I kjølvannet av medias avsløring av og fokusering på dårlig sikring av personopplysninger, kan det virke som om problemstillingen vil komme mer i fokus i tiden som kommer. Spesielt vil mediaomtalen av bedrifter som blir ilagt sanksjoner for ikke å ha ivaretatt lovhjemlet vern få mye oppmerksomhet. Det er her nyttig å vise til den foreslåtte endringen av Personopplysningsloven (Pol.) §46, hvor Datatilsynet vil få et nytt reaksjonsmiddel gjennom å kunne ilegge et overtredelsesgebyr på opp til 10 G. (kr 668 120,-)
Behandling av personopplysninger er underlagt reglene i Pol. med tilhørende forskrift (Polf).
Krav til behandling av personopplysninger i tilknytning til virksomheter som går konkurs har vært lite omtalt. Det beskyttelsesvern som er tilsiktet fra lovgiver må også gjelde under konkursbehandling. Skyldneren vil etter at konkurs er åpnet ikke lenger kunne ivareta den beskyttelse loven pålegger. Når konkurs åpnes mister skyldneren etter Konkurslovens (Kkl.)§100 rett og legitimasjon til å forføye over boets eiendeler og skifteretten eller bostyrer sikrer, registrerer, verdsetter og forsegler disse i henhold til Kkl. § 80. Dette innebærer at det også må foretas en vurdering av om det finnes personopplysninger i boet som må sikres etter personopplysningslovens Pol. §13. Samtidig må det vurderes om den videre behandling av personopplysninger i boet, krever at det etableres en internkontroll i henhold til Pol. §14, som sikrer opplysningenes integritet, tilgjenglighet og konfidensialitet.
De fleste virksomheter behandler personopplysninger i en eller annen form. I praksis ved konkurs vil bostyret, herunder bobestyreren være de eneste som kan oppfylle kravene til vern av personopplysninger som er nedfelt i Pol. De må derfor foreta en vurdering av hvilke personopplysninger de sitter med, hjemmel for å sitte med dem, vurdere hva de skal brukes til i den forestående prosess, og hvordan de eventuelt skal slettes på betryggende måte. Følgelig blir bostyret å betrakte som behandlingsansvarlig etter Pol, §2 nr. 4, med det ansvar loven pålegger denne. Behandlingsansvarlig må løpende kunne dokumentere tiltakene og disse skal være tilgjengelige for eventuelle medarbeidere, Datatilsynet og Personvernnemnda.
Behandlingsansvarlig får også ansvar for å ivareta informasjonsplikten om personopplysningene de besitter etter Pol. Kapittel III. og andre rettigheter etter Kapittel IV. Dette gjelder f.eks å gi informasjon etter Pol. §18 om formålet med behandlingen, beskrive hvilke typer personopplysninger som behandles, hvor opplysningene er hentet fra og om personopplysningene vil bli utlevert. I tillegg kommer kravene om at feil og mangelfulle opplysninger skal rettes og at de skal slettes når formålet med behandlingen er avsluttet.
Bostyret består av kreditorutvalget og bobestyreren. Bostyret må derfor påse at personopplysningene behandles etter grunnkravene i Pol. §11. De må foreta en risikovurdering etter §13 for å klarlegge den risiko behandlingen av personopplysninger innebærer som tidligere nevnt, for å finne ut om risikonivået ligger innefor akseptable nivåer. Sikringen skal omfatte hele prosessen fra personopplysningene innhentes, behandles, lagres, videresendes og til slutt destrueres. Sikringstiltakene skal også dokumenteres og de skal være tilgjengelige for medarbeidere, Datatilsynet og Personvernnemnda.
Dersom det vern av personopplysninger som er nedfelt i Pol. ikke ivaretas har loven egne bestemmelse om tvangsmulkt (§47), bøter eller fengsel (§48), samt erstatningsansvar (§49).
Reaksjons bestemmelsene etter Pol ble godt kjent etter oppslag i media gjennom Oslo politidistrikt og politimester Anstein Gjenegdals i den såkalte NRK/plata saken.