I GDPRs kapittel 3 om de registrertes rettigheter er det skrevet mye om våre rettigheter til innsyn, retting og sletting. Det som ikke har vært fokusert så mye på er artikkel 19 - underretningsplikten.
I artikkelen står det:
Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling.
"Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr 1, og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det."
GDPR enforcement tracker viser at det er kun 2 av 1100 registreringer som også omfatter brudd på artikkel 19. Disse sakene var fra Tsjekkia og bruddet var kun som en opplisting av mange artikler det var brudd mot. Så 6 år etter at GDPR trådte i kraft, og 4 år etter at regelverket skal håndheves, er det altså veldig få som har blitt tatt for manglende etterlevelse av dette punktet, og ingen for brudd på denne artikkelen spesielt. Da er det lett å spørre seg om hvorfor denne artikkelen er med i regelverket i det hele tatt? Er det for å gi noen hint til en forventing om hvilken presisjon som faktisk er forventet at virksomheter skal ha i sin behandling av personopplysninger?
Uten å vite er det lett å forestille seg at dette er en plikt som veldig mange ikke har tatt inn over seg. Er det den glemte rettigheten? Eller gjemmer man seg bak at det vil være ‘uforholdsmessig stor innsats’ og at personvernekspertene sier at dette kan man bare se bort fra?
Så, her er et par spørsmål til personvernekspertene;
i) hva ansees som 'uforholdsmessig stor innsats'?
ii) kan sanksjonene som Bisnode fikk i Polen for brudd på informasjonsplikten iht artikkel 14 være relevant for å forstå hvordan 'uforholdsmessig stor innsats' skal fortolkes?
De valgte bevisst kun å informere 6 millioner registrerte via en personvernerklæring fremfor aktivt å varsle de registrerte, da de mente det ville være for omstendelig og dyrt å aktivt informere hver enkelt. Datatilsynet i Polen var ikke enig i dette og i tillegg til boten på EUR 220 000, fikk Bisnode en frist på 3 måneder på å etterleve kravet om å informere de berørte om behandlingen.
En oppsummering av saken kan leses her: Poland's DPA issues its first GDPR fine
Hva betyr dette?
Schrems II viser behovet for å ha god presisjon i personvernet, og det brukes mye tid på tredjelandsvurderinger og endringer av underdatabehandlere etc. Dette dekkes av godt juridisk håndverk og dokumentasjon.
Artikkel 19 derimot stiller veldig operative krav som også viser behovet for å ha presisjon. Her må man ha praktiske løsninger som må bakes inn i forretningsdriften. Gjør man det er det faktisk ikke så vanskelig, eller dyrt, å også overholde artikkel 19. Da bortfaller jo også argumentet med 'uforholdsmessig stor innsats'.
Reel etterlevelse av GDPR fordrer god virksomhetsstyring og at ledelsen bygger bro mellom juss, IT og løpende forretning/drift.
