Datatilsynet har i oktober gjennomført en kontrollrunde hos en gruppe norske bedrifter og offentlige organisasjoner, og serverer nå oppsiktsvekkende konklusjoner. Både Norsk Hydro og Jotun fabrikker, to mindre byråer som arbeider med personalutvelgelse, samt kommuneadministrasjonene i Skien og Sandefjord, har hatt besøk av Datatilsynet.
Hensikten med kontrollene har vært å få fram om reglene for bruk av personopplysninger i personalregistre blir fulgt, og få satt personvern på dagsorden, skriver Datatilsynet i en pressemelding.
De private bedriftene har i større grad tatt i bruk ny teknologi enn kommunene. De private bedriftene har derfor bedre dokumentasjon av organisasjonens bruk av personopplysninger.
Datatilsynets informasjonssjef Hege Njaa Rygh sier til digi.no at de private bedriftene som skal behandle økonomiske forhold og inntjening av penger er flinkere til å tenke på personvern fordi det blir en del av arbeidet med å sikre verdiene i selskapet.
- Kommunene her ikke samme bevissthetsnivå når det gjelder total gjennomtenkning og sikring av personopplysningene, forteller Rygh, og legger til at Datatilsynet kun har foretatt en juridisk kontroll, de har ikke sett på de tekniske systemene.
Mer oppsiktvekkende er det at Datatilsynet hevder at de private bedriftene har større kjennskap til lovene og hvordan man skal forholde seg til dem. - Det at de er nødt til å forholde seg til alle lovene, inkluderer dette også personvernloven. Når det gjelder personalforhold finnes det regler for hva man kan registrere. For eksempel, sier Rygh, kan man ikke registrere de ansattes preferanser for mat.
- Selskapet eller foretaket skal kun registrere det som trengs for å kunne utbetale lønn, samt en kontaktperson i familien til de ansatte dersom noe skulle inntreffe. Poenget er at registrene ikke skal inneholde mer enn det som er nødvendig for at personen skal kunne gjøre jobben sin.
- Har dere opplevd problemer med mangel på persovnern i bedriftsregistre eller at personer har klaget på misbruk av disse opplysningene?
- Nei, ikke direkte. Man gjør ting feil eller halvgalt, men det har ikke forekommet noen graverende tilfeller av overtramp. For eksempel er hverken private eller kommunale foretak flinke til å sette seg inn i lovgivningen rundt de ansattes telefonbruk i arbeidsforholdet. Bedriftene trenger ikke registrere hvem de ansatte har ringt til. Det er en unødvendig bruk av registrering. Kontrollene vi nå har foretatt er en slags bevisstgjørings-kampanje før en ny lov trer i kraft på dette området om et års tid, sier Rygh.
Datatilsynet skal hvert år rapportere til Stortinget om hvor mange kontroller de har gjennomført. Den nye loven vil kreve oftere kontroll. Loven vi har nå er fra 1978, og på grunn av den teknologiske utviklingen og erfaringer Datatilsynet har gjort i løpet av denne tiden, trenger denne loven en oppdatering. Nå er det slik at folk må søke om å få opprette personregistre, mens det etterhvert vil være nok å melde fra om at man har et register.
Det er allerede sendt inn et lovforslag til Stortinget, og Rygh håper og tror på behandling i løpet av våren.
Bransjene kan selv lage adferdsnormer for hvordan de skal behandle alle opplysningene og ivareta personvernet.
