21
1 2 Beslutt , planl egg og forbered Gj ennom før Evalue r og følg opp Vur der b ehov og kartlegg risiko 3 42. Er kontrolltiltaket innarbeidet i virksomhetens system
for internkontroll?
Internkontrollinnebærer at virksomheten skal ha oversikt over hvilke person
opplysninger som blir samlet inn, og hvordan de blir behandlet. Eventuelle nye
tiltak må derfor føres inn i virksomhetens internkontrollsystem. Sammen med
kravet til internkontroll følger også krav til nødvendig opplæring og rutiner for
å sikre at personopplysningene blir brukt i tråd med regelverket.
*
3. Er tiltaket melde- eller konsesjonspliktig?
Hovedregelen er at behandling av personopplysninger er meldepliktig, og at
behandling av sensitive personopplysninger er konsesjonspliktig. Det finnes
imidlertid flere unntak fra hovedreglene, og mange vanlige tiltak krever verken
melding eller konsesjon.
Hvis tiltaket er meldepliktig, må det sendes meldingsskjema til Datatilsynet senest
30 dager før oppstart. Konsesjonsplikt innebærer at du må søke Datatilsynet om
tillatelse. Personopplysningene kan ikke brukes før det er gitt tillatelse.
**
4. Er det laget planer for opplæring?
Dersom kontroll- og overvåkingstiltaket fører til endrede rutiner og bruk av nytt
utstyr, må arbeidsgiveren sørge for at arbeidstakerne får nødvendig opplæring.
Dette gjelder for eksempel bruk av utstyr, arbeidsteknikk og organisering av arbeidet.
Les mer om melding og konsesjon
hos
Datatilsynet.Les mer om internkontrollsystem
hos
Datatilsynet.Videre lesning
**
*