Hva er en personopplysning?

Personopplysninger er enhver opplysning som direkte eller indirekte kan kobles til en enkeltperson.

Eksempler på personopplysninger er navn, fødselsnummer, e-post- og boligadresse. Også opplysninger om kjønn og alder kan i noen tilfeller være personopplysninger. Grunnen til dette er at slik informasjon indirekte kan identifisere noen.

Personopplysninger deles inn i «særlige kategorier» personopplysninger og ordinære personopplysninger. Særlige kategorier personopplysninger er for eksempel informasjon om helse og religiøs tilknytning. Slike opplysninger krever et spesielt vern, og behandlingen av slik informasjon er derfor underlagt strengere regler. Navn og adresse er typiske eksempler på personopplysninger som er ordinære. Opplysningene skal likevel oppbevares og behandles på en trygg måte. Med behandling menes for eksempel innsamling, lagring og utgivelse av personopplysninger. Du kan lese mer om behandling av personopplysninger på Datatilsynets nettsider ved å trykke her.

Hva er personvern?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Når man leverer fra seg personopplysninger til for eksempel offentlig myndighet eller en virksomhet, har man rett til at disse opplysningene blir behandlet i tråd med regelverket.

Som verge mottar du i ulike sammenhenger opplysninger om den du er verge for. Du har ansvaret for at disse opplysningene behandles, oppbevares, lagres og registreres på en trygg måte, og å sørge for at personopplysningene ikke kommer på avveie.

Regelverket

Som verge er du selv ansvarlig for å sette deg inn i regelverket og handle i tråd med dette. Det er kun de vergene som driver en virksomhet (les mer nedenfor) som er forpliktet til å følge personvernforordningen. Statens sivilrettsforvaltning oppfordrer likevel alle verger til å følge personvernprinsippene. Se link nedenfor.

Datatilsynet har nyttig informasjon om personvern på sine nettsider. Der kan du få et overblikk over hva du som verge må være oppmerksom på.

  • Les mer om personvernforordningen her
  • Les mer om personopplysningsloven her
  • Les mer om personvernprinsippene her

Virksomhetsvilkåret 

Det er kun de vergene som driver en virksomhet som er forpliktet til å følge personvernforordningen. Om en verge kan sies å drive en virksomhet eller ikke må vurderes konkret. Statens sivilrettsforvaltning antar at det i en slik vurdering vil være relevant å se hen til hvor mange oppdrag vergen har og hvor mye godtgjøring vergen mottar i året. Videre kan det være relevant å se hen til om vergen er registrert i Brønnøysundregisteret, og om oppdragene er personens bierverv eller hovederverv. Om vedkommende har oppdrag over en lengre periode kan kanskje også ansees relevant, der det er en fast verge som har få oppdrag. Hvor grensen går må avklares i praksis.

Statens sivilrettsforvaltning er av den oppfatning at problemstillingen først og fremst er aktuelt for de faste vergene. Vi mener at det kan legges til grunn at de faste vergene, som har mange vergeoppdrag og f.eks. er registrert i Brønnøysundregisteret etc., faller innenfor virksomhetsvilkåret i personvernforordningen. Uansett om du som verge faller innenfor eller utenfor virksomhetsvilkåret i GDPR legger vi til grunn at du følger personvernprinsippene.

Dersom du er fast verge og etter en nærmere vurdering har kommet frem til at du driver en virksomhet, har du selv ansvaret for å sette deg inn i personvernregelverket. Datatilsynets nettsider gir gode retningslinjer og råd for hvordan du kan gå frem. Nedenfor følger en kortfattet oversikt over noen av aspektene som må kartlegges og planlegges når du driver en virksomhet som behandler personopplysninger.

Formål

Personvernforordningen krever en bevissthet rundt formålet med behandlingen av personopplysninger. Dette må angis konkret og skal gjøres før behandlingen starter, slik Datatilsynet har beskrevet på sine nettsider

Som verge vil hovedformålet med behandlingen av personopplysninger være å hjelpe med å ivareta vergehavers interesser. Personvernforordningen krever at man spesifiserer formålet noe nærmere enn dette En mer konkret angivelse av formålet er for eksempel å beskrive at formålet med å lagre økonomiske opplysninger om vergehaver er å betale personens regninger og å overholde regnskapsplikten i vergemålsloven.

Utgangspunktet er at du ikke kan bruke eller behandle opplysninger som du har samlet inn for ett formål til et annet formål, som er strid med det opprinnelige formålet. Denne vurderingen kan være vanskelig. Et eksempel som viser hva som åpenbart vil være i strid med det opprinnelige formålet er å bruke personopplysninger du har innhentet/mottatt om en vergehaver for å hjelpe han med å få orden på økonomien til å betale en annen persons regninger eller kjøpe lottokuponger.

Behandlingsgrunnlag

For å lovlig kunne behandle personopplysninger må du ha et såkalt behandlingsgrunnlag som følger av personvernforordningen. Behandlingsgrunnlag vil typisk være vergehavers samtykke, hjemmel i lov eller avtale. Du kan lese mer om behandlingsgrunnlag på Datatilsynets nettsider.

Som verge har du blitt oppnevnt av fylkesmannen til å ivareta vergehavers interesser i henhold til nærmere angitt mandat, jf. vergemålsloven § 25 og § 21.  

Informasjonssikkerhet

Det er viktig at du som verge har en bevissthet rundt hvor og hvordan du behandler og lagrer personopplysninger. Dette innebærer blant annet at du som verge tar stilling til hvilke verktøy du benytter deg av i hverdagen, at du har god internkontroll og god informasjonssikkerhet.  Du kan lese om dette på Datatilsynets nettsider.

Noen spørsmål du bør stille deg er: Oppbevarer du personopplysninger om vergehaver på datamaskinen din? Benytter du telefonen din i oppdraget som verge? Hva gjør du for å sikre at opplysninger ikke kommer på avveie når du bruker telefonen eller datamaskinen din? Hvilke risikovurderinger har du foretatt? Sender du personopplysninger om vergehaver på e-post? Har du tenkte gjennom hvilke opplysninger du lagrer og hvordan du lagrer dem? Du kan lese mer på Datatilsynets nettsider.

Avvikshåndtering

Et avvik kan for eksempel være at du har utlevert opplysninger til feil sted/person, slik at noen har fått urettmessig tilgang til opplysningene. Et annet eksempel kan være at du har oppbevart/lagret opplysningene på datamaskinen din, som andre personer også har tilgang til.

Et avvik skal meldes til Datatilsynet så snart som mulig etter at avviket ble oppdaget. Du kan lese mer om hvilken vurdering du må gjøre i denne forbindelse og håndtering av avvik her.

Hjelp

Vi anbefaler deg å ta kontakt med Datatilsynet dersom du har spørsmål om personvern. Fylkesmannen og Statens sivilrettsforvaltning vil også kunne være behjelpelig med å svare på spørsmål om behandling av personopplysninger.