EØS’ personvernforordning, GDPR, trådte i kraft i EU 25. mai 2018 og i Norge 20. juli 2018 som implementert ved personopplysningsloven. Både virksomheter som behandler personopplysninger og enkeltindivider er i ferd med å legge bak seg to år med et vidtrekkende og harmonisert personvernregelverk i en tid hvor personvernet er under press.
Forordningens mange krav og det faktum at den gjelder alle virksomheter som tilbyr varer eller tjenester til EØS-området, har gjort regelverket til verdens «gullstandard» innen personvern med virkning for foretak langt utenfor Europa.
Virksomhetene har mye på plass, men overholdelse av reglene krever kontinuerlig arbeid.
Etterlevelse
Å forstå og etterleve reglene kan være en kompleks øvelse, særlig for små og mellomstore virksomheter som forut for GDPR ikke hadde et særlig fokus på beskyttelse av personopplysninger.
Ved utgangen av 2016, før GDPRs ikrafttredelse, foretok selskapet Symantec en kartleggelse som viste at 96% av berørte virksomheter ikke forsto de nye personvernreglene. Kun 22 % anså implementering av regelverket som en topprioritet frem mot ikrafttredelsen.
Selv om mange virksomheter jobbet målrettet for å få på plass nødvendig infrastruktur og systemer for å håndtere de nye reglene, indikerer kartleggingen at et stort antall virksomheter ikke var godt nok forberedt på å overholde sine plikter ved GDPRs inntog.
To år senere, er vårt inntrykk at virksomheter nå har en økt bevissthet om ansvaret de har ved behandling av personopplysninger. Særlig større aktører bruker betydelige ressurser på etterlevelse av reglene, være seg motivert av trusselen om overtredelsesgebyr eller erkjennelsen av at å prioritere personvern kan være et konkurransefortrinn.
I forbindelse med forordningens toårsjubileum, uttalte Europakommisjonen at overholdelse av GDPR er en dynamisk prosess som ikke skjer over natten.
Uttalelsen gjenspeiler realiteten, da man fortsatt ser virksomheter som tilsynelatende overholder reglene ved utelukkende å vise etterlevelse av de mer synlige pliktene. Vi registrerer en tendens der virksomheter eksempelvis har utformet utfyllende personvernerklæringer på sine nettsider, men mangler både gjennomføring av og dokumentasjon på nødvendige risikovurderinger, protokoller og generelle internkontrollrutiner.
Vi observerer også en annen tendens i tiden, nemlig at såkalt «GDPR-compliance» er et stadig mer fremtredende element ved M&A-relaterte investeringsvurderinger. Foruten risiko for overtredelsesgebyr og erstatningssøksmål, kan det naturligvis være en kostbar affære å implementere tekniske og organisatoriske tiltak på et sent tidspunkt.
Håndheving
Tilsynsmyndighetene, Datatilsynet for Norges vedkommende, har ansvaret for å håndheve anvendelsen av GDPR.
Den nye personopplysningsloven har generert en økning i mottatte avviksmeldinger hos Datatilsynet. I perioden fra forordningen trådte i kraft til 27. januar 2020 har de mottatt i underkant av 3000 avviksmeldinger.
Den desidert vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. De aller fleste avviksmeldingene blir imidlertid avsluttet uten noen videre form for saksbehandling, da dette er avvik med lav risiko for alvorlige konsekvenser for enkeltindividet samt at de ansvarlige har gjort tiltak for å informere de berørte. Dette indikerer at virksomheter tar personvernbrudd på alvor.
Datatilsynet har foreløpig vært relativt beskjedne med å utstede vedtak om overtredelsesgebyr. Frem til nå har det blitt fattet tre endelige vedtak etter reglene i GDPR, hvorav alle har handlet om brudd på personopplysningssikkerheten i offentlig sektor.
Datatilsynet har nylig signalisert at de i tiden som kommer vil gjennomføre tettere kontroll av etterlevelse av regelverket også i privat sektor. Det er derfor en sikker antakelse at vi vil se ytterligere granskninger og gebyrsaker i tiden fremover, og mest sannsynlig en strengere vurdering av gebyrstørrelsen ettersom tiden går. Det er med andre ord all grunn til å fortsette å etterstrebe overholdelse av GDPR.
Kontakt
Flere nyheter
