Hva er effekten av GDPR?
GDPR (General Data Protection Regulation) ble innført i 25. mai 2018 og regulerer virksomheters innsamling, bruk og oppbevaring av persondata. I tillegg gir den enkeltpersoner rett til å se, begrense og kontrollere hvilke personopplysninger som registreres.
EUs GDPR, og vår norske lov om behandling av personopplysninger (personopplysningsloven), skal bidra til å styrke og samkjøre personvernet til alle Europas innbyggere. Ikke minst skal felles regelverk og økt samarbeid i EU og EØS øke bevisstheten rundt personvern og rettigheter, både i befolkningen og virksomheter som behandler personopplysninger.
I utgangspunktet er all bruk av personopplysninger, det vil si innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av disse, forbudt. For å behandle personopplysninger må man ha et gyldig grunnlag og dette må kunne dokumenteres. Lovlig behandling av personopplysninger er underlagt en rekke regler. Felles for alle er at de bygger på en rekke personvernprinsipper alle som behandler personopplysninger må opptre i samsvar med.
Enkeltpersoner, som kalles den registrerte, har på samme måte en rekke rettigheter som er knyttet opp til personvernprinsippene. Til sammen skal rettighetene og pliktene sikre størst mulig forutsigbarhet og forholdsmessighet for hver enkelt av oss.
Les mer om personopplysninger og personvernprinsippene
Fra lovendring til holdningsendring
Innføringen av GDPR er et eksempel på hvordan en lovendring tvinger frem en holdningsendring. Man ser at flere og flere virksomheter bruker godt personvern som et konkurransefortrinn i takt med at forbrukernes bevissthet rundt egne rettigheter øker. Etter to år med GDPR hadde 69% av EUs befolkning over 16 år kjennskap til GDPR og hele 71% kjenner til at det finnes et nasjonalt datatilsyn. (European Commission - two years of application of the General Data Protection Regulation) Neste rapport kommer om tre år og det forventes at kjennskapen da er enda høyere. Videre har GDPR vært inspirasjonskilde for endring av regelverket i en rekke land på andre kontinenter og det er forventet at andelen av jordens befolkning som er dekket av moderne personvernregelverk vil nærme seg 65% innen utløpet av 2023.
GDPR har gitt nasjonale datatilsyn sterkere og mer enhetlig håndhevelsesmyndighet. I 2019 skrev de nordiske datatilsynene under på Stockholmserklæringen. Hovedpunktene i erklæringen er samarbeid om strategi, metode og resultater fra tilsynsvirksomheten, for å skape et nettverk for utveksling av informasjon om samarbeidet innen EU og om å gi best mulig støtte og veiledning til personvernombudene.
Fri flyt av varer, tjenester og data
Like vilkår for alle selskaper som opererer i EU-markedet er en av grunnpilarene i EU. Et viktig mål for GDPR er å skape et indre digitalt marked som ivaretar fri flyt av arbeidskraft, kapital, varer og tjenester innen EU og EØS området. Personvernforordningen skal også være et grunnlag for innovasjon og digitalisering der personvernprinsippene ligger til grunn for utviklingen. Felles regelverk og håndhevelse gjør det enklere å ekspandere en virksomhet til flere land. Når de europeiske datatilsynene samarbeider blir det også vanskeligere for internasjonale selskaper med kompliserte forretningsmodeller å ikke følge loven.
GDPR er altså juridiske regler som beskytter rettighetene til fysiske personer i forbindelse med behandling av personopplysninger - og om fri utveksling av slike data. Den styrker personopplysningssikkerheten, gir enkeltpersoner flere og bedre rettigheter, øker gjennomsiktigheten og gjør alle som håndterer personopplysninger mer ansvarlige. Etter innføringen av regelverket har Datatilsynet, både i Norge som ellers i EU, opplevd et skred av avvikshenvendelser fra privatpersoner såvel som fra virksomheter. Avvik, altså brudd på personopplysningssikkerheten, har egne retningslinjer for hvordan det skal håndteres.
Når uhellet er ute
En vanlig avvikssak som meldes inn fra virksomhetene er for eksempel at en e-post med personopplysninger blir sendt ved et uhell:
En liste over deltakere på et femdagers kurs som finner sted på et hotell blir ved en feil sendt til 15 tidligere deltakere på kurset i stedet for hotellet. Listen inneholder navn, e-post og matpreferanser. Bare to deltakere har fylt ut sine matpreferanser, laktoseintoleranse. Arrangøren oppdager feilen umiddelbart og informerer mottakere av feilen og ber dem om å slette listen. (Guidelines 01/2021 on Examples regarding Data Breach Notification)
I eksemplet er det en særlig kategori personopplysning (tidligere kalt sensitive personopplysninger) som er delt med utenforstående. Laktoseintoleranse er helseinformasjon, men neppe egnet til å bli brukt på en ødeleggende måte. I motsetning til andre matpreferanser er ikke laktoseintoleranse knyttet til noen religiøs tro. I tillegg er omfanget av data på avveie relativt liten og det ble raskt fulgt opp. Dette bruddet vil sannsynligvis ikke føre til en risiko for rettighetene og frihetene til de registrerte, derfor er det ikke nødvendig å varsle Datatilsynet eller berørte registrerte. Imidlertid må avviket dokumenteres i samsvar med artikkel 33/5.
De gangene det derimot er risiko for brudd på rettighetene og frihetene til de registrerte er det Datatilsynet som kommer med sanksjoner. For eksempel fikk Bergen kommune om et overtredelsesgebyr på 1,6 millioner kroner for mangelfull personopplysningssikkerheten i datasystemene brukt i grunnskolen. Det norske bompengeselskapet Ferde fikk et overtredelsesgebyr på 5 millioner kroner til for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina. Norges idrettsforbund (NIF) har mottatt et overtredelsesgebyr på 1,5 millioner kroner for å ha personopplysninger om 3,2 millioner nordmenn liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. I Portugal ga CNPD (National Data Protection Commission) INE (National Institute of Statistics) en frist på 12 timer til å få sikkerheten på plass eller stoppe innsamlingen av sensitive personopplysninger i den obligatoriske folketellingen 2021.
Uansett størrelsen på gebyret, eller en nedstengning av driften, kan tap av omdømme ikke måles i kroner og øre. I en stadig mer bevisst befolkning koster det både kunder og omsetning å ikke ta personvern på alvor. Det er effekten av GDPR.
Iconfirm
ICONFIRM er et digitalt verktøy som tillater virksomheten din å demonstrere etterlevelse av GDPR på en meget enkel og meget kostnadseffektiv måte.
ICONFIRM gjør det enkelt for borgeren å be om innsikt og gjør det enkelt for virksomheten å behandle begjæringen. Skulle myndighetene ønske informasjon, er virksomheten alltid klar til å dokumentere etterlevelse.