Nå kommer GDPR-bøtene. Slik lever norske virksomheter med reglene
Hvor flinke er norske virksomheter til å etterleve GDPR-reglene – og hva skal egentlig til for å bli bøtelagt? Les intervju med GDPR-ekspert Tobias Judin fra Datatilsynet.
Astronomiske bøter. Det var pisken EU viftet med, i tiden før personvernforordningen (GDPR) trådte i kraft våren 2018. Ta reglene på alvor, ellers…
Nå har vi levd med GDPR en stund (det står forresten for General Data Protection Regulation). Men har vi forstått hva det er? Hvor flinke er vi til å etterleve reglene? Hva er det egentlig som står på spill? Ikke minst, for vi er selvfølgelig nysgjerrige: Hvor er det blitt av bøtene?
Blir du klaget inn for brudd på GDPR i Norge, er det Datatilsynet som kommer på døra. Vi har snakket med GDPR-ekspert Tobias Judin i Datatilsynet, for å ta tempen på norske virksomheters forhold til personvernforordningen.
Hvorfor er GDPR så viktig, igjen?
Databehandleravtaler, personvernombud, informasjonssikkerhet, samtykke … med GDPR følger det ganske mye å sette seg inn i, og å holde styr på. Vi kan forresten hjelpe deg i gang: Ta for eksempel vårt korte introkurs til GDPR – eller se denne GDPR-ordlisten.
Tingen er at alle faktisk må ta stilling til dette, store som små. Ikke bare for å unngå bøter – det er jo ikke det som bør være motivasjonen. Til syvende og sist handler GDPR om at hver av oss skal føle oss tryggere og friere, når vi navigerer i den digitale verden og ytrer oss på nettet.
– Både offentlige myndigheter og private virksomheter samler inn info om oss. GDPR handler om at skal kunne stole på dem – at vi kan stole på at informasjonen behandles på en god måte, sier Tobias Judin.
Han er jurist av utdanning, og som seksjonssjef for internasjonal seksjon i Datatilsynet jobber han i praksis med GDPR på heltid.
Informasjonen han snakker om, er alle opplysninger som kan knyttes til en bestemt enkeltperson. Navn, e-post og telefonnummer er åpenbare eksempler. Det samme med kjøpshistorikk, pasientjournaler, telefonlogger. Men det omfatter også ting som en kanskje ikke tenker over som personopplysninger. Alt fra IP-adressen din, til opptak fra overvåkningskameraet på nærbutikken.
Målet er ikke å stanse bruk av data. Men vi må ha tillit til at den ikke misbrukes, og oppleve å ha kontroll over våre egne opplysninger.
– Hvis vi ikke stolte på noen, hadde vi gjort alt vi kunne for å holde dataene våre for oss selv. Men dataene er jo veldig nyttige, hvis de brukes riktig. De kan hjelpe samfunnet, og gi oss gode tjenester som vi vil ha, sier Judin.
Forstå GDPR bedre med dette kurset:
Introkurs
Innføring i GDPR
Vil du lære det du trenger om GDPR på en rask og lettfattelig måte? Da er du på rett sted! Kurset er laget i samarbeid med Datatilsynet.
Hva er det minste jeg må gjøre?
GDPR er teknologi- og sektornøytral. Både store og små bedrifter, i alle bransjer, må følge reglene.
– Ja, dessverre gjelder det absolutt alle. GDPR er en tung tekst, og en lang tekst. For mange blir det en vanskelig oppgave å sette seg inn det. Men størrelsen på virksomheten er ikke avgjørende. Det er mange små virksomheter med få ansatte som behandler mye data, sier Judin, og legger til:
– Du kan ha et enkeltpersonsforetak og drive en kiosk, med et overvåkningskamera som filmer inn i naboens soveromsvindu… Folk kan bli krenket uavhengig av størrelsen på virksomheten.
Som et minimum, må alle virksomheter blant annet ha oversikt over hvilke opplysninger de behandler, og de må ha et bestemt formål med å samle inn og oppbevare disse dataene. Opplysningene kan bare brukes til det formålet de er samlet inn for, og som virksomheten kanskje har fått samtykke til. Bordet fanger, som Judin formulerer det.
Hva slags øvrige tiltak en virksomhet bør iverksette, avhenger av både risiko- og interesseavveininger.
– For eksempel er det forskjell på å lagre en kundeliste som inneholder navn og e-post, og en som inneholder helsedata, hva slags nettsider folk har sett på, eller hvilken religion de tilhører. Det er de som behandler slikt, med høy personvernrisiko, som har størst ansvar, og som også må gjøre de strengeste tiltakene, sier Judin.
De som har mye beskyttelsesverdige, sensitive data, må ha et personvernombud. Da kommer vi inn på de mer kompliserte reglene. Et personvernombud er en person i virksomheten som skal rådgi virksomheten om personvern.
– En kan være pliktig å ha en slik person i virksomheten, og vedkommende skal da involveres i alt som kan påvirke personopplysninger. Skal dere for eksempel bruke en ny sporingsteknikk eller starte et nytt kundeprogram, må personvernombudet involveres. Han eller hun blir også et kontaktpunkt for brukerne, sier Judin.
Han mener at den eneste måten å etterleve reglene er at ledelsen selv tar ansvaret.
– Lederen må ha et eller annet forhold til GDPR, og sørge for at ting faktisk gjennomføres. Ofte er det mye som er uklart og risikobasert, så da må ledelsen kunne stå for de vurderingene som er gjort, sier han, og fortsetter:
– Det er ikke alle som må snu opp og ned på alt de gjør for å etterleve GDPR. Men ting som opplæring av ansatte – at alle vet at de ikke kan ta med opplysninger hjem eller legge dem ut på sosiale medier, at avvik må behandles sånn og sånn – dette må ledelsen følge opp og sørge for at blir tatt på alvor.
Datatilsynet har en sjekkliste på hjemmesidene sine med virksomhetens plikter, og du kan også lære mer i vårt introkurs.
Hvor flinke er vi?
Etter et par år med GDPR – hvor flinke er norske virksomheter, alt i alt? Kan vi reglene? Gjør vi en god jobb?
– Noe som er interessant, er at vi hadde personvernregler før GDPR også, som ikke var helt ulike. Men det har skjedd veldig mye blant norske virksomheter etter at GDPR kom. Vi har virkelig tatt i et tak. Status er mye, mye bedre enn for et par år siden, sier Judin.
Samtidig er det slik at «compliance» koster. Det kan være nødvendig å leie inn ekspertise, eller ansette noen, for å få ting på stell og være sikker på at en overholder reglene. Det gjør at de større virksomhetene, som har større ressurser, ofte har kommet lenger enn de små.
– Det er mange som imponerer meg – med vurderingene de har gjort, hvor grundige de er, og ekspertisen deres. Det står egentlig ganske bra til. Det betyr ikke at alt er bra, men vi har kommet veldig langt. Og det er veldig gledelig, sier Judin, og fortsetter:
– Samtidig mottar vi også flere og flere klager. Men det skyldes nok at folk blir mer og mer oppmerksomme. De vet at personvern er viktig, at de har rettigheter, og at de faktisk kan klage. Så det skjer en bevisstgjøring.
Rettigheten som brukes mest, er retten til innsyn i hvilke opplysninger en virksomhet har om deg. Judin råder alle virksomheter til å være forberedt på at det kan skje med dem.
Hva skal til for å bli bøtelagt?
GDPR er lagt opp slik at det er virksomhetene selv som sitter med ansvaret. Hver enkelt virksomhet må sette seg inn i reglene, og følge dem.
Judin sier at Datatilsynet har tillit til at norske virksomheter følger regelverket. De har dessuten en veiledningstelefon som er åpen hver dag for å hjelpe de som har spørsmål.
Men de vet også at noen synder.
– Hvis noen mener at GDPR ikke er ivaretatt, kan de klage til oss. Vi åpner da en sak mot virksomheten. Vi kan også gå på tilsyn på eget initiativ, der vi ser det er stor sjanse for at noen bryter GDPR, sier Judin.
Og, ja: Det er virkelig veldig strenge sanksjoner for å bryte reglene.
– Vi har mulighet til å ilegge overtredelsesgebyr, altså en bot, på opptil 20 millioner euro – eller fire prosent av global omsetning, som kan være enda høyere. Det er det høyeste tallet som gjelder. Det betyr ikke at man automatisk får strengeste bot, det avhenger av hvor alvorlig regelbruddet er, sier han.
Så hva skal til for å bli bøtelagt? Skjer det med mange, og hvor dramatisk er det?
– Det har foreløpig ikke skjedd med så veldig mange, men det varierer litt fra land til land. I Norge har vi først og fremst mottatt meldinger om at ting har gått galt i det offentlige. Men det sier seg selv at vi ikke kan ilegge sykehus en bot på ti millioner euro, det ville blitt for dumt, sier Judin.
Et slikt giga-gebyr, på 100 millioner kroner, er imidlertid nylig blitt varslet til datingappen Grindr, for brudd på samtykkekravene. Det er et av flere overtredelsesgebyr som er kommet nå de siste ukene og månedene.
At det kommer flere gebyrer først nå, det er det en god grunn til, forklarer Judin.
– Det er jo slik at det å undersøke ordentlig om reglene er blitt brutt, se alle sider av saken og forholde oss upartiske – det tar litt tid. Det var mange som så for seg masse bøter rett etter at reglene kom. Men å behandle en sak kan ta et år eller mer. Effekten kommer over tid, sier han.
Når det er sagt, er ikke Datatilsynet ute etter å ta folk.
– Det er viktig å si det at vi ikke bøtelegger alle som gjør noe galt. Tvert om. I mange tilfeller ser vi at bedriften faktisk har prøvd å gjøre det riktig, men at de kanskje har misforstått, eller at en ansatt har gjort en feil. Vi ser at de tar det på alvor, og at har gjort gode vurderinger i forkant, sier Judin, og fortsetter:
– Typiske situasjoner hvor vil vurdere bot, er der det har gått veldig galt, og det får store konsekvenser. Eller at bedriften rett og slett ikke har satt seg inn i reglene, eller prøvd å etterleve dem.
Hva skal jeg gjøre hvis uhellet er ute?
– Det er veldig mye ulikt, sier Tobias Judin, når vi spør hva slags tabber og misforståelser de ser oftest.
– Det vi ofte ser, er manglende informasjonssikkerhet – at virksomheter ikke beskytter dataene sine. Det er mange som har sensitive opplysninger, og det kan fort gå veldig galt.
Det kan være så enkelt som at noen sender en epost med personopplysninger til feil mottaker. Den går til Arne A i stedet for Arne B. Persondata kan også komme på avveie dersom du blir rammet av cyberangrep.
Ved slike avvik, skal du melde fra til Datatilsynet innen 72 timer.
– Det skal ikke være farlig å melde avvik til oss. Det er viktig at en gjør det, da vet vi hva som rører seg: Hvilke trusler er det norske virksomheter møter her og nå? Trengs det mer veiledning om et gitt tema? Der det virkelig har gått galt, må vi kanskje grave i det, men i de aller fleste tilfeller vil saken avsluttes, sier Judin, og fortsetter:
– Hvis vi derimot får vite at det har vært et avvik og du ikke har meldt det til oss, da er det et problem. Hvis du faller for fristelsen og tenker at du skal holde det hemmelig, da kommer du i problemer. Spill med åpne kort – så kan vi hjelpe.
Introkurs
Innføring i GDPR
Vil du lære det du trenger om GDPR på en rask og lettfattelig måte? Da er du på rett sted! Kurset er laget i samarbeid med Datatilsynet.
