21

1 2 Beslutt , planl egg og forbered Gj ennom før Evalue r og følg opp Vur der b ehov og kartlegg risiko 3 4

2. Er kontrolltiltaket innarbeidet i virksomhetens system

for internkontroll?

Internkontroll

innebærer at virksomheten skal ha oversikt over hvilke person­

opplysninger som blir samlet inn, og hvordan de blir behandlet. Eventuelle nye

tiltak må derfor føres inn i virksomhetens internkontrollsystem. Sammen med

kravet til internkontroll følger også krav til nødvendig opplæring og rutiner for

å sikre at personopplysningene blir brukt i tråd med regelverket.

*

3. Er tiltaket melde- eller konsesjonspliktig?

Hovedregelen er at behandling av personopplysninger er meldepliktig, og at

behandling av sensitive personopplysninger er konsesjonspliktig. Det finnes

imidlertid flere unntak fra hovedreglene, og mange vanlige tiltak krever verken

melding eller konsesjon.

Hvis tiltaket er meldepliktig, må det sendes meldingsskjema til Datatilsynet senest

30 dager før oppstart. Konsesjonsplikt innebærer at du må søke Datatilsynet om

tillatelse. Personopplysningene kan ikke brukes før det er gitt tillatelse.

**

4. Er det laget planer for opplæring?

Dersom kontroll- og overvåkingstiltaket fører til endrede rutiner og bruk av nytt

utstyr, må arbeidsgiveren sørge for at arbeidstakerne får nødvendig opplæring.

Dette gjelder for eksempel bruk av utstyr, arbeidsteknikk og organisering av arbeidet.

Les mer om melding og konsesjon

hos

Datatilsynet.

Les mer om internkontrollsystem

hos

Datatilsynet.

Videre lesning

**

*