Din virksomhet har antageligvis allerede gjort en kartlegging av personopplysninger i arbeidet med personvern, men har du sett på de ustrukturerte dataene?

Fordi GDPR gjelder ALLE personopplysninger er det smart å gå gjennom det hele på nytt, men nå med tanke på ustrukturerte data. For dette vil jeg anbefale at det arrangeres en workshop, med ulike folk i virksomheten som kan tenkes å behandle personopplysninger. Ta gjerne med noen representanter fra hver avdeling eller hvert virksomhetsområde, og sørg for at minst én fra ledelsen er med slik at man får forankret arbeidet også i toppen.

Dersom å arrangere en workshop ikke er aktuelt, kan du gjøre intervjuer hvor du tar med sjekklisten du finner under her rundt i ulike avdelinger, og forhører deg om hvordan behandling av personopplysninger foregår.

Fokuser på prosesser

Bildet over viser en typisk flyt der en medarbeider i salgsavdelingen har eksportert en liste med viktige kunder, for å finne ut hvilke bedriften skal jobbe videre med. Listen prosesseres og sendes videre i flere steg. Her ender man opp med fem kopier av listen med alle personopplysningene liggende som lokale kopier, i sky og i e-postboksene til avsender og mottaker. Prøv å få nedtegnet slike typer prosesser som er typiske for din virksomhet.

Sjekkliste

• Uttrekk: Trekker dere data ut fra systemer som da går fra å være strukturert til å bli ustrukturert? Eksporterer dere for eksempel kundelister ut i fra CRM til Excel-filer som deretter sendes rundt på e-post? Eller tas lister over ansatte ut fra HRM-systemet i ulike sammenhenger?
  Prøv å få en oversikt over alle tilfeller der dette skjer, slik at dere senere kan vurdere tiltak for å gjenhente kontrollen. Skriv ned både on-demand eksporteringer og periodisk oppsatte eksporteringer.
• E-post: Hva befinner seg ulike e-postbokser rundt om i bedriften? Sannsynligvis finnes det mye personopplysninger i e-poster rundt omkring. Her kan det være nyttig å skille på personlige e-postkontoer (f. eks ola.nordmann@bedrift.no), der arbeidsgiver ikke har ubetinget rett til innsyn, og upersonlige e-poster (f. eks post@bedrift.no), der arbeidsgiver har kontroll.
• Digitale filer: Her gjelder det samme som for e-post, prøv å skille mellom filer på delte områder og på peronlige områder. Sørg for å få med:
  • Filer med personopplysninger på hjemmeområder tilhørende ansatte.
  • Filer med personopplysninger liggende på ulike lagringsmedier som minnepinner, CD-er og så videre.
  • Backups
  • Vedlegg i eposter
  • Lokalt lagrede filer på enheter som tilhører virksomheten, som f. eks på skrivebordet eller i trash-folder.
  • Lokalt lagrede filer på andre enheter, som private PC-er, mobiltelefoner og så videre.
• Lyd, bilder og video: Sjekk om dere har lyd-, video- eller bildefiler liggende som kan inneholde personopplysninger. Noen eksempler på dette er opptak av telefonsamtaler, video fra overvåkningsutstyr og små filmsnutter brukt I intern eller ekstern markedsføring. Disse er i samme grad som skriftlige kilder og bilder underlagt personvernforordningen.
• Dokumenter i papirform: Mange dokumenter finnes kun i fysisk format og kan bli liggende i lang tid i arkiver, eller mindre organisert på diverse skrivebord og i skuffer rundt om i bedriften. De samme reglene gjelder for personopplysninger her som for opplysninger lagret i elektronisk format, og det kreves at virksomheten har oversikt.
  Slike dokumenter inneholder ofte personopplysninger slik som navn på kvitteringer, bilder av folk og møtereferat, eller enda mer detaljert som når søknader og relaterte dokumenter er innlevert eller skrevet ut på papir.