NFF, Edvardsen og mailer på avveie

0

Den pågående konflikten mellom NFF og tidligere dommer Svein-Erik Edvardsen får mye medieoppmerksomhet. Maktkampen mellom et forbund, som har et svært dårlig omdømme, og en enkeltperson, som har innrømmet feil og helt klart har opptrådt på en måte som ikke er etter boka, er det som har fått størst fokus. Som informasjons-nerder er det likevel et svært interessant aspekt vi mener ikke har fått den oppmerksomheten det fortjener, kun åtte måneder før GDPR iverksettes.

Nylig kom det frem at generalsekretær Bjerketvedt hadde skrevet en epost med personkarakteristikker av Edvardsen til ledergruppen. Eposten ble feilsendt, og kom etter hvert ut i det offentlige rom. Denne eposten inneholder utvilsomt personopplysninger om Edvardsen slik personopplysninger er definert i GDPR. Gitt at eposten ikke allerede var offentlig kjent; hvordan skulle en eventuell innsynsbegjæring under GDPR-reglene fra Edvardsen til fotballforbundet om personopplysninger bli behandlet?

Muligens en kunstig problemstilling, all den tid eposten er lekket i alle fall, men denne type saker og vurderinger knyttet til GDPR kommer til å bli dagligdags når GDPR trer i kraft.

Landets fremste juridiske ekspert på personvern og de nye GDPR-reglene, Jens-Christian Gjesti i Kvale Advokatfirma, forteller at utfallet i det aktuelle eksempelet ikke er gitt.

– E-posten inneholder personopplysninger. Han har derfor i utgangspunktet krav på innsyn – om ikke i selve eposten så i hvert fall i innholdet av denne. Men reglene har jo unntak, og interne e-poster om ansatte kan komme inn under disse. Dette området er uklart, og noe datatilsynet og eventuelt retten må gå opp i tiden som kommer, sier han.

Uansett utfall, for å kunne behandle innsynsbegjæringer er det helt fundamentalt at en organisasjon har oversikt over de personopplysningene de besitter. Informasjonen i den ustrukturerte sfæren som eposter, filservere og i mer eller mindre ustrukturerte systemer er svært utfordrende å finne.

At det vil dukke opp flere saker som den vi har skissert her i tiden fremover er helt åpenbart. Å definere en helt klar og tydelig grense for saker som dette vil være vanskelig, men å sørge for at teknologien som forenkler selve informasjonsinnhentingen er på plass bør likevel være øverste prioritet for alle som tar den nye personvernforordningen på alvor. Og det må man jo. Organisasjoner som forbereder seg på GDPR må kunne planlegge for å kunne identifisere personopplysninger i denne sfæren. IntelliSearchs GDPR-modul er et verktøy som kan bidra til dette!

Share.

About Author

Comments are closed.