Hvilke opplysninger trenger bedriften å håndtere?
Under følger noen eksempler for gruppering av de ulike typer opplysninger:
Sensitive opplysninger.
Dette er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Det er særskilte krav til behandling av sensitive personopplysninger, dekket av personopplysningsloven §§ 8 og 9.
Lovpålagte opplysninger.
De færreste lover og forskrifter gir direkte pålegg om lagring eller behandling av spesifikke opplysninger, men en del opplysninger må nødvendigvis lagres eller behandles for å kunne oppfylle andre lovkrav: Bedriften må ha en del opplysninger om sine arbeidstakere, som navn, personnummer, adresse og kontonummer, fordi den skal rapportere opplysninger til skattemyndighetene.
Enkelte bransjer har også særskilt krav om personallister med navn og fødselsnummer, med det formål å motvirke svart arbeid, og en del andre lover med tilhørende forskrifter kan legge føringer på opplysninger som må samles inn og behandles for at virksomheten kan drive lovlig. Eksempler på dette er bokføringsloven, helseregisterloven, regnskapsloven, arkivlova, offentlighetsloven og diverse lover som regulerer finansvirksomheter. Noen av disse lovene vil dessuten gå på tvers av hverandre – for eksempel vil deler av arkivloven kunne overstyre personopplysningsloven. Datatilsynet har en oversikt over en del av lover og forskrifter som omhandler personopplysninger, men heller ikke denne er komplett.
Nødvendige opplysninger.
Bedriften må nødvendigvis lagre opplysninger som kreves for at den ansatte skal få gjort jobben sin, f.eks. epostadresse og telefonnummer, eller at en kunde skal få varen eller tjenesten de har kjøpt – som navn og adresse, og evt. kontaktinformasjon dersom noe ikke går etter planen.
Kjekt-å-ha-opplysninger
Dette er opplysninger som strengt tatt ikke er nødvendige, men kan være praktiske f.eks. for statistikk eller markedsføring. Typisk er dette opplysninger det vil kreves samtykke for å lagre og behandle.
Unødvendige opplysninger
Dette er opplysninger som bedriften ikke trenger, og derfor kan slettes. De er derfor svært viktige å kartlegge, siden de ikke skal oppbevares.
Det er svært viktig å gjøre denne sorteringsjobben grundig, for det er her grunnlaget for fremtidige rutiner legges, og i en senere artikkel vil vi komme med konkrete metoder for å gjøre dette arbeidet.