close
Share with your friends

Mer fokus på personvern, men ikke helt i mål

I løpet av disse to årene har personvern fått et større fokus i både virksomheter og i samfunnet generelt. Sanksjonsmuligheten i GDPR har ledet til økt fokus og endring i styringssystemet i mange virksomheter, men fortsatt gjenstår det mye arbeid. Her er noen betraktninger rundt hvor vi står i dag og hva norsk næringsliv og offentlige virksomheter bør forberede seg på fremover. 

Lisa Marie Engebø

Lisa Marie Engebø

Advokatfullmektig/rådgiver innen IT Governance, Risk and Compliance hos KPMG

Overtredelsesgebyr

Siden innføringen av GDPR i 2018  har tilsynsmyndighetene i EU/EØS benyttet sanksjonsmyndigheten i stor utstrekning. Ved utgangen av juni var det i EU/EØS totalt varslet overtredelsesgebyr for mer enn 450 millioner euro.[1] De fleste overtredelsesgebyr som har blitt varslet så langt gjelder først og fremst mangelfullt behandlingsgrunnlag og utilstrekkelig informasjonssikkerhet.[2]

I Norge er det gitt flere overtredelsesgebyr, de fleste til virksomheter i offentlig sektor. Datatilsynet har imidlertid varslet at de i tiden fremover vil ha økt fokus på privat sektor,[3] og det er derfor rimelig å forvente flere overtredelsesgebyr for norske bedrifter i tiden som kommer.  

Datatilsynet har så langt i år skrevet ut de største gebyrene til Statens Vegvesen og Bergen kommune. Førstnevnte gjaldt i hovedsak reglene om sletting og innebygd personvern.[4] Det at personopplysninger ikke blir slettet når de skal, er et kjent problem. Mange virksomheter bruker fortsatt IT-systemer hvor det teknisk sett er vanskelig å slette opplysninger. I slike tilfeller må virksomheten bli flinkere til å stille krav til leverandøren om at slike sletting eller anonymisering skal implementeres.

Trenden frem til GDPRs to-årsdag er at alle overtredelsesgebyr som er gitt fra Datatilsynet har vært rettet mot den behandlingsansvarlige, selv om databehandler har vært medskyldig i avviket/bruddet. Vi ser at mange behandlingsansvarlige sliter med å regulere muligheten for regress ved overtredelsesgebyr fra Datatilsynet i sine databehandleravtaler. Virksomheter bør imidlertid forsøke å sikre slike regressmuligheter når avviket/bruddet skyldes databehandlers brudd på avtale eller GDPR. Regressmuligheten fra databehandler bør også gjelde i de tilfeller hvor privatpersoner krever erstatning fra den behandlingsansvarlige. Uavhengig av slik regulering viser Datatilsynets fokus på den behandlingsansvarlige viktigheten av god oppfølging og kontroll med databehandlere. Behandlingsansvarlige bør også huske at det er mulig å klage på vedtak om overtredelsesgebyr, dersom de mener at databehandler også er medskyldig i overtredelsen.

Personvernombudets rolle

Personvernombudet skal ha en uavhengig rolle. I mange bedrifter ser man at det har vært personvernombudet som har hatt ansvar for implementeringen av regelverket, og til dels fortsatt har ansvar for oppfølging av regelverket. Det kan by på problemer ettersom ombudet har hatt, og til en viss grad fortsatt har en dobbeltrolle i flere virksomheter.

Nylig avsa det Belgiske datatilsynet en avgjørelse hvor en bedrift ble ilagt bot blant annet fordi personvernombudets rolle ikke var tilstrekkelig uavhengig.[1] I den aktuelle saken var personvernombudet også leder for avdelingen for Compliance, Risk Management og Internrevisjon. Det Belgiske datatilsynet mente at kombinasjonen av å lede en avdeling og samtidig være personvernombud ga potensielle interessekonflikter.

Vi kjenner ikke til om Datatilsynet har sett på hvordan denne rollen utøves i Norge. Det at personvernombudet har en dobbeltrolle, hvor rollen både tar beslutninger og kontrollerer virksomheten, er problematisk av flere grunner. Flere ombud vil potensielt føle på et enormt ansvar, som gjør at de er for strenge i sine råd og dermed hindrer virksomheter i å gjennomføre behandlinger av personopplysninger. Videre kan det føre til at ombudets viktige rolle som kontrollør ikke fungerer som tiltenkt, da vedkommende i prinsippet vil kontrollere seg selv og sitt arbeid. Virksomheter som har personvernombud bør derfor alltid gi andre funksjoner ansvaret for personvernbeslutninger.

Saker i EU-domstolen

Selv om personvernregelverket allerede har vært gjeldende i to år, gjenstår det fortsatt å få rettslige avklaringer innenfor flere deler av regelverket. I EU-domstolen verserer det flere interessante saker, som kan gi oss mange slike avklaringer fremover.

Blant sakene som er til behandling i EU-domstolen er Schrems II-dommen. Den er ventet 16. juli og dreier seg om adgangen til å overføre personopplysninger til tredjeland (land utenfor EU/ EØS).[1] EU-domstolens generaladvokat har avgitt sin uttalelse, og dersom denne blir fulgt av domstolen vil standard personvernbestemmelsene som er vedtatt av EU-kommisjonen fortsatt kunne brukes som overføringsgrunnlag. Generaladvokaten minner i sin uttalelse om at den behandlingsansvarlig har et ansvar for å vurdere om lovgivningen i et tredjeland kan komme i konflikt med standardbestemmelsene. Legger EU-domstolen samme forståelse til grunn, vil dette kunne innebære at den behandlingsansvarlige blir ilagt et stort ansvar, som for de fleste virksomheter vil være krevende å håndtere med interne ressurser.

En annen interessant sak for EU-domstolen er Privacy Shield-saken. Privacy Shield er et overføringsgrunnlag som i gitte tilfeller kan brukes når personopplysninger skal overføres til USA. EU-domstolen vil først ta stilling til denne saken når Schrems II-saken er avgjort. I Privacy Shield-saken har saksøker anført at overføringsgrunnlaget må annulleres, dvs. at det ikke skal være gyldig. Dersom dette blir utfallet, vil overføring av personopplysninger til USA bli svært vanskelig, og det vil trolig kunne føre til store politiske kamper i EU (og mellom EU og USA). For flere internasjonale virksomheter vil dette kunne by på problemer. Valg av og krav til skytjenester kan også bli påvirket av dette.

Kompetansekrevende regelverk

Personvernregelverket er risikobasert. Dette medfører at lovgivningen ikke forteller virksomhetene hva de konkret skal gjøre, men pålegger dem i stedet å gjøre egne vurderinger for å finne egnede tiltak for sin virksomhet basert på relevant risiko. I tillegg skal risikovurderinger, behandlingsoversikter og andre dokumenter holdes oppdatert, og rettigheter ivaretas. Dette er kompetanse- og ressurskrevende, og virksomhetene blir svært avhengige av å ha gode rutiner som sikrer at personvernregelverket blir etterlevd.

Ved implementeringen av GDPR var det for mange bedrifter krevende å skreddersy og anvende regelverket på egen virksomhet. At regelverket er så kompetanse- og ressurskrevende har heller ikke gjort det lett for virksomhetene å sikre etterlevelse. Vår erfaring er at det fremdeles er mange bedrifter som har grunnleggende mangler i sine  styringssystem for personvern. Oppfølging av databehandleravtaler, implementering av automatisert sletting og gjennomføring av personvernkonsekvensvurderinger (DPIA) er utfordringer som mange virksomheter fremdeles jobber med. Selv om de fleste barn vil ha lært seg å gå ved to-års alderen, opplever vi at dette ikke er tilfellet når det gjelder virksomheters håndtering av GDPR. Mange virksomheter sliter fortsatt med å komme seg på beina.

6 råd for hva virksomheter bør fokusere på fremover

  • Sikre tilstrekkelig digital forståelse og kompetanse, og holde seg oppdatert på risiko- og trusselbildet virksomheten står overfor.
  • Gjennomføre risikovurderinger, holde disse oppdaterte og sørg for at vurderingene gjøres på riktig tidspunkt.
  • Gjennomføre personvernkonsekvensvurderinger både i nye og eksisterende IT-systemer.
  • Stille tilstrekkelige krav til personvern og informasjonssikkerhet ved anskaffelser og tjenesteutsetting.
  • Sette opp relevante og rimelige krav til databehandler i databehandleravtalen, og ha en klar ansvarsfordeling mellom partene.
  • Følge opp leverandørene og sikre at disse etterlever databehandleravtalene.

Kontakt oss

KPMG hjelper deg

Har du spørsmål eller lurer på noe i forbindelse med GDPR eller relaterte fagområder, så er du velkommen til å kontakte våre rådgivere for en uforpliktende samtale på hvordan vi kan hjelpe deg.