Hvordan kan du begrunne det at du må overvåke eget nettverk eller iverksette andre tiltak som innebærer behandling av personopplysninger av sikkerhetshensyn? Fortalen oppstiller en løsning!

Written By Ida Tho

Photo by Miłosz Klinowski on Unsplash.

Du er en virksomhet i 2023, og det betyr at du må beskytte deg mot IT-trusler. F.eks. må du hindre ulovlig tilgang til elektroniske kommunikasjonsnett, spredning av skadelige koder, du må kunne forhindre «tjenestenektangrep» og stoppe skade på dine datasystemer og elektroniske kommunikasjonssystemer.

Et av tiltakene kan være sikkerhetslogging eller annen type overvåkning av nettrafikken din. Og det betyr at du også fort behandler personopplysninger for sikkerhetsformål.

Hva kan være behandlingsgrunnlaget for det? La meg presentere to alternativer:

1 Berettigede interesser

Fortalen sier i punkt 49 at det å behandle personopplysninger for sikkerhetsformål, utgjør en berettiget interesse.

Dette forutsetter at de tiltakene du iverksetter for å ivareta informasjonssikkerheten er nødvendige og forholdsmessige ut ifra det du ønsker å oppnå. Det setter noen skranker for de sikkerhetstiltakene du kan iverksette, men det betyr også at du som behandlingsansvarlig har stor frihet til å vurdere treffende tiltak selv. 

Og ja, det fremgår direkte av fortalen at også offentlig myndighet kan bruke berettigede interesser som behandlingsgrunnlag her.

Det har nok å gjøre med at «sikkerhetsformål» slik vi forstår dem her, ikke er knyttet til offentlig myndighetsutøvelse. Dette er behandling av personopplysninger som enhver virksomhet må gjøre for å sikre seg selv fra IT-trusler.

2 Artikkel 6(1)c) eller 6(1)e) og GDPR artikkel 32 som supplerende rettsgrunnlag (eller annet relevant regelverk som pålegger deg sikkerhetstiltak)

Der jeg kan, liker jeg å vise til rettslig forpliktelse i GDPR artikkel 6 (1) bokstac c) eller oppgave i almennhetens interesse i GDPR artikkel 6 (1) bokstav e) - alt ettersom hvor tydelig sikkerhetspålegget ditt er i det supplerende rettsgrunnlaget.

Bakdelen med det er at det ikke bare holder å vise til rettslig forpliktelse eller oppgave i almennhetens interesse, du må kunne vise til en konkret lovpålagt forpliktelse aka en bestemmelse, helst i lov eller forskrift som pålegger deg å jobbe risikobasert.

Heldigvis finnes det flere slike lover og forskrifter.

Noen behandlingsansvarlige er bundet av sikkerhetsloven, den inneholder krav til å iverksette sikkerhetstiltak ut ifra risiko. Mens andre kan være bundet av eForvaltningsforskriften eller pasientjournalloven.

Det finnes sikkert spesiallovgivning i andre sektorer, finanssektoren f.eks, men jeg kjenner ikke konkret til de bestemmelsene.

Og om du ikke finner supplerende nasjonal lovgivning, pleier jeg å bruke artikkel 32! Den er generell, og samtidig en forpliktelse som er så konkret at den pålegger deg som behandlingsansvarlig å iverksette risikoreduserende tiltak ut i fra de faktiske forholdene du må forholde deg til.

 

Ps. Jeg har lest mye i fortalen i det siste. Det er en del av jobben jeg gjør når jeg skal holde meg oppdatert faglig. Og det betyr ikke bare å lese om nye ting, det betyr også å gå tilbake til de mer grunnleggende kildene. Som fortalen!

Ida Tho
Previous

Barn er en «sårbar gruppe» i personvernsammenheng, men hva betyr det?

Next

Upopulær mening: navnet ditt er en særlig kategori personopplysning