Ett år med GDPR – nå kommer tilsynene

Gå til hovedinnhold Gå til navigasjon
Det første halvåret etter GDPRs inntreden mottok Datatilsynet flere avviksmeldinger (821) enn de fikk de fire foregående årene til sammen (755). Bildet viser kommunikasjonsrådgiver Anders Ballangrud i Datatilsynet. Foto: Lilja Hendel.
Det første halvåret etter GDPRs inntreden mottok Datatilsynet flere avviksmeldinger (821) enn de fikk de fire foregående årene til sammen (755). Bildet viser kommunikasjonsrådgiver Anders Ballangrud i Datatilsynet. Foto: Lilja Hendel.

Ett år med GDPR – nå kommer tilsynene

Personvernet ble i fjor sommer kraftig styrket med EUs nye GDPR-forordning. Så langt har norske virksomheter i hovedsak vært spart for tilsyn og eventuelle bøter. Når loven nå har satt seg vil det trolig endre seg.

LO Ingeniør

TEKST: ALF TORE BERGSLI

Omtrent ett år har gått siden GDRP-forordningen ble til lov i EU og Norge. Mange virksomheter har frenetisk forsøkt å tilpasse seg det nye lovregimet. Dette kan gjelde lagring og behandling av alt fra registre for nyhetsbrev til informasjon om personlig helse og forbrukeradferd.

I Norge er det Datatilsynet som har ansvaret for å etterse at alt foregår etter boka når det gjelder personvern generelt og GDPR spesielt.

– Selv om den nye personopplysningsloven trådte i kraft omtrent halvveis i meldingsåret, har 2018 i stor grad vært et år preget av forberedelser. Vi behandler alle saker etter nytt regelverk, og har også gjennomført tilsyn, forteller kommunikasjonsrådgiver Anders Ballangrud.

 

Åttedobling i avvik

Ja, for Datatilsynet har det vært et hektisk og arbeidskrevende år. Antallet klager og henvendelser de har fått til behandling har økt brått. Det første halvåret etter GDPRs inntreden mottok de flere avviksmeldinger (821) enn de fikk de fire foregående årene til sammen (755).

Privat sektor melder noe flere avvik (57 prosent) enn offentlig sektor. Finansnæringen er klart i tet, etterfulgt av henholdsvis kommuner og statsforvaltningen.

– Her er det imidlertid viktig å huske på at mange avvik ikke nødvendigvis betyr dårlig bransjestandard, det kan like gjerne bety gode melderutiner, understreker Datatilsynet-rådgiveren.

Også antallet klager har økt betraktelig. Sakene som meldes inn er ellers ofte helt nye sakstyper og mer kompliserte enn tidligere. Mange av sakene er dessuten internasjonale, og krever egne samarbeid med andre lands datatilsyn.

– Oppmerksomheten rundt personvernspørsmål er fortsatt stor snart ett år etter innføringen. Det er mange ting vi skal jobbe videre med når forordningen går inn i sitt andre leveår. Vi tror ikke nødvendigvis at antallet vil roe seg eller at kompleksiteten i sakene minsker, men vi må være beredt på at tematikken og utfordringene i sakene vil variere noe, sier Ballangrud.

 

Første bot til Bergen

GDPR innebærer et kraftig ris bak speilet. Bøter kan gis på opptil 4 prosent av omsetningen, med øvre grense på rundt 200 millioner kroner.

Så langt har Datatilsynet kun ilagt ett overtredelsesgebyr ut fra det nye lovverket. Her ble Bergen kommune ilagt å betale 1,6 millioner kroner som følge av dårlig sikkerhet i innloggingssystemene. Uvedkommende kunne få tilgang til brukernavn, passord, læringsplattformen «It’s learning» og skoleadministrative systemer til opp mot 35 000 lærere og elever.

I tillegg har Oslo kommune i skrivende stund fått varsel om et gebyr på 2 millioner kroner – også for skolesektoren.

Hvorvidt dette er en trend – at det er offentlige og ikke private virksomheter som svikter mest der det gjelder – eller om dette skyldes andre forhold, er for tidlig å si. En tilsynsrunde i offentlig sektor viste i det minste at den store majoriteten fulgte det lovpålagte kravet om personvernombud.

– For oss virker det som om veldig mange virksomheter, både offentlige og private, har klart å omstille og harmonisere med regelverket etter den trådte i kraft i fjor. Nå som vi har fått regelverket mer på plass, kommer vi til å gjennomføre flere tilsyn i tiden fremover. Det gjelder også små og store private selskaper. Det kommer nok flere overtredelsesgebyrer i år, forteller han.

 

Arbeidslivet en gjenganger

Sakene og henvendelsene til Datatilsynet spenner vidt, forteller rådgiveren.

– Det kan handle om alt fra ulovlig kameraovervåking og feilsendte eposter til data på avveie, dårlige eller sviktende rutiner eller sikkerhetsbrudd. En gjenganger er henvendelser om arbeidsliv. Det utgjorde rundt 15 prosent av alle henvendelser i 2018, og inkluderte for eksempel overvåking på arbeidsplassen.

Selv om de aller fleste virksomheter ser ut til å ha føyd seg etter GDPR, mangler det nok heller ikke på klager og spørsmål om alle de pålagte begrensningene virkelig er nødvendig.

– Personvern står sentralt for mange forskjellige debatter og må avveies mot veldig mange forskjellige hensyn. Eksempler på dette er deriblant om forskning og helsesektoren, om digitalt grenseforsvar, alternative løsninger til bompenger – veiprising, registre i skolen og digitaliseringen av offentlig sektor, ramser Ballangrud opp.

Hans hovedinntrykk er likevel at personvernforordningen er tatt veldig godt imot i norske virksomheter.

– Det varierer selvsagt fra virksomhet til virksomhet, men alt i alt er det nå en høyere bevissthet på personvern både hos bedrifter og blant folk flest. Dette gjelder også virksomheter som behandler personopplysninger, der vi ser flere positive tegn til endring i mentalitet og praksis. Men ett knapt år med nytt regelverk er kort, og foreløpig har vi ikke konkrete tall på effektene.