Gratulerer med ettårsdagen, GDPR!

Den 20. juli 2019 er det ett år siden EUs Personvernforordning («GDPR») trådte i kraft i Norge. Før GDPRs ikrafttreden var det store forventninger knyttet til forordningen og hva den kunne utrette. Mange virksomheter har brukt mye tid, ressurser og kostnader på å implementere nødvendig infrastruktur, systemer og rutiner for å etterleve det nye regelverket. Hvilken effekt har så GDPR hatt i sitt første leveår?

 

Rekordmange avviksmeldinger

2018 ble et rekordår for antall avviksmeldinger innsendt til Datatilsynet. Tilsynet melder om 821 innkomne avviksmeldinger siden ikrafttredelsestidspunktet 20. juli 2018. Til sammenligning ble det sendt inn 349 avviksmeldinger i 2017.

Den kraftige økningen i antall avviksmeldinger indikerer at norske virksomheter har fått et mer bevisst forhold til regelverket, samt etablert interne rutiner for å fange opp og rapportere brudd på personopplysningssikkerheten. Datatilsynets svar på avviksmeldingene indikerer samtidig at mange virksomheter fortsatt er usikre på når en avviksmelding skal sendes inn og at det derfor varsles om flere brudd enn det som er påkrevd.

De første overtredelsesgebyrene er ilagt

I mars kom det første norske overtredelsesgebyret etter GDPR, da Bergen kommune ble ilagt NOK 1,6 millioner i gebyr for brudd på personopplysningssikkerheten ved å ha eksponert personopplysninger til 35.000 lærere og elever gjennom skoleportalen eFeide. Beløpet utgjør kun 1,6 % av maksimalnivået etter GDPR for brudd på reglene om personvernsikkerhet, som er EUR 10 millioner eller 2 % av den ansvarliges årlige globale omsetning. Likevel er beløpet omtrent dobbelt så høyt som maksimalbeløpet etter den tidligere personopplysningsloven.

I april varslet Datatilsynet et gebyr på NOK 2 millioner til Oslo kommune for brudd på personopplysningssikkerheten i mobilapplikasjonen Skolemelding. Sårbarheten som er avdekket innebærer at det potensielt er 63.000 grunnskoleelever som er påvirket av sikkerhetsbruddet. Dette er det høyeste gebyret som er varslet etter GDPRs ikrafttredelse, men utgjør likevel kun 2 % av det maksimale bøtenivået.

Også i EU har de første overtredelsesgebyrene blitt ilagt. Den mest profilerte saken er det franske Datatilsynet CNILs bøteleggelse av Google i januar i år. Overtredelsen gjaldt brudd på kravet til transparens og informasjon til brukerne og utilstrekkelig rettslig behandlingsgrunnlag. Begge bruddene relaterte seg til Googles bruk av personopplysninger for målrettede annonser. Boten var på EUR 50 millioner. Til sammenligning var Googles samlede globale årlige omsetning i 2018 USD 136 milliarder. Med tanke på at det maksimale bøtenivået for denne type overtredelser er EUR 20 millioner eller 4 % av den ansvarliges årlige globale omsetning, er boten likevel liten. Google meldte tidlig at de ville anke avgjørelsen fra det franske Datatilsynet.

Det nyeste eksemplet fra europeiske datatilsynsmyndigheter kom 8. juli 2019. Da varslet det britiske Information Commissioner’s Office (ICO) et gebyr på GBP 183 millioner til British Airways som en følge av kredittopplysninger til ca. 500 000 nettkunder ble stjålet i forbindelse med et eksternt angrep høsten 2018. Dette er det høyeste gebyret som har blitt varslet etter at GDPR trådt i kraft.

I tråd med regelverket er bøtene fastsatt etter en konkret helhetsvurdering, der et viktig formål er å sikre at virksomheter overholder regelverket. Selv om det generelle bøtenivået til nå ikke har vært avskrekkende høyt, er bøtene høyere enn etter det gamle regelverket. Boten varslet til British Airways er likevel kanskje en indikasjon på hva som kan forventes fremover.

Forordningen legger også opp til et enhetlig bøtenivå innen EØS. Det betyr at eventuelle nye bøter som gis i øvrige EØS-land vil være retningsgivende også for bøtenivået i Norge.

Det europeiske personvernrådet har gitt sin tilslutning til flere av Artikkel 29-gruppens uttalelser

Med ikrafttredelsen av GDPR fulgte også etableringen av et nytt EU-organ, Det europeiske personvernrådet. Personvernrådet kan sees på som en videreføring av Artikkel 29-gruppen, men med noe utvidede oppgaver. Personvernrådet har det siste året gitt sin tilslutning til flere av Artikkel 29-gruppens veiledere til det gamle personverndirektivet. Dette er en illustrasjon på at GDPR på mange områder ikke har medført så store endringer.

BAHR mener

Økt digitalisering og teknologisk utvikling setter stadig personvernet på prøve. Personvern er viktig og det er liten tvil om at de fleste virksomheter har blitt mer bevisste på regelverket. Samtidig synes mange virksomheter fortsatt det er vanskelig å forstå hva de enkelte reglene egentlig går ut på. Dette viser at det er behov for flere og tydeligere veiledere fra Datatilsynet og Personvernrådet når det gjelder den nærmere forståelse og praktisering av regelverket.

Så langt kan vi også konstatere at datatilsynene foreløpig har holdt seg i det nedre sjiktet av skalaen ved fastsettelse av overtredelsesgebyrer. Nivået på gebyrene er likevel betydelig høyere enn etter det gamle regelverket.

Etterlevelse av GDPR krever kontinuerlig arbeid. Rutiner må gjennomgås og dokumentasjon må oppdateres jevnlig. Ettårsmarkeringen for GDPR i Norge kan være et passende tidspunkt for en slik revisjon.

Share aticle to
Loading video ...close