Erfaringer fra ett år med GDPR i Europa

Innføringen av den nye personvernforordningen for ett år siden har økt bevisstheten om personvernrettigheter blant europeiske borgere. I Norge har dette betydd rekordmange varsler, et stort gebyr og langt mer forpliktende, internasjonalt samarbeid.  

Hvis du synes det siste året har handlet mye om personvern, har du nok rett. Mye av grunnen skyldes selvsagt at den nye personvernforordningen (General Data Protection Regulation, eller «GDPR») trådte i kraft i EU-landene 25. mai. Ett felles regelverk og økt samarbeid mellom tilsynsmyndighetene i EU og EØS-området skal bidra til å styrke og harmonisere borgeres personvern på hele kontinentet. Parallelt med innføringen av det nye regelverket, har bevisstheten om personvern og personvernrettigheter økt i befolkningen og hos virksomheter som behandler personopplysninger.

Rekordmange avviksmeldinger

Her hjemme ble det nye regelverket innført den 20. juli i fjor, og Datatilsynet kan blant annet vise til rekordmange avviksmeldinger som følge av dette. I 2018 mottok vi hele 1276 avviksmeldinger – 821 av dem kom etter at  regelverket trådte i kraft. Offentlig sektor står for om lag 43 prosent av avviksmeldingene sendt til Datatilsynet. Når det kommer til de mye omtalte gebyrene, som kan følge av brudd på personvernforordningen, har Datatilsynet i løpet av dette året gitt et overtredelsesgebyr på 1,6 millioner kroner til Bergen kommune og et varsel om et gebyr på 2 millioner kroner til Oslo kommune.

- Vi har lagt et svært arbeidskrevende år bak oss. Vi får inn langt flere saker enn tidligere, i tillegg til at vi får inn helt nye sakstyper. Sakene er mer kompliserte og vi møter større «motstand» blant annet fordi overtredelsesgebyrene er blitt større. Sakene med Bergen og Oslo kommune har samtidig bidratt til større oppmerksomhet om personvern og sikkerhet i kommunesektoren, sier direktør i Datatilsynet Bjørn Erik Thon.

Personvernbevisste europeere

Den samme bevisstheten om personvernrettigheter er også å finne i resten av Europa. En ny undersøkelse viser at to tredeler av borgerne i EU har hørt om GDPR, og over halvparten av disse oppgir at de vet hva GDPR er. Videre er 57 prosent av de spurte klar over eksistensen av et nasjonalt tilsyn som er ansvarlig for å beskytte sine personvernrettigheter (kilde: The European Data Protection Board (EDPB)/Special Eurobarometer 487a, 2019, se Special Eurobarometer 487a, 2019).

Her kan den økte bevisstheten også sees i tilknytning til antallet henvendelser, klager og avviksmeldinger til 27 tilsynsmyndigheter i hele EU og EØS-området, inkludert Norge. I perioden 25. mai 2018 til 30. april 2019 har tilsynene i Europa totalt fått inn nesten 145 000 henvendelser og klager, og nesten 90 000 avviksmeldinger. Over en tredel av sakene over er fortsatt under behandling.

Av de mest profilerte sakene det siste året finner vi det franske datatilsynets (CNIL) gebyr på 50 millioner euro til Google LLC. I Storbritannia gransker det britiske datatilsynet (ICO) hvordan data ble brukt, eller misbrukt, i Brexit-valgkampen. Det er registrert totalt 446 grenseoverskridende GDPR-saker gjennom EUs administrasjons- og informasjonssystem  (IMI-forordningen).

- Avgjørende med samarbeid

I det norske Datatilsynet kan vi allerede vise til et mye tettere samarbeid med våre nordiske og europeiske kolleger, blant annet gjennom det europeiske personvernrådet (EDPB). Mange personvernrelevante prosesser og beslutninger som påvirker norske innbyggere blir tatt internasjonalt. Gjennom godt samarbeid kan europeiske datatilsynsmyndigheter sikre lik anvendelse av regelverket og snakke med en enhetlig og tydelig stemme utad.

- Mer forpliktende og betydelig mer ressurskrevende saker krever at tilsynsmyndighetene samarbeider om saker på tvers av grenser. Gode eksempler på saker som utfordrer oss er de som gjelder internasjonale selskaper og som har utfordrende forretningsmodeller, og europeiske tilsyn behandler for tiden flere klager mot nettgantene. Hvis vi klarer å koordinere godt i Europa, kan forordningen være med på å rette opp i en skjev maktfordeling på Internett. Det er viktig at det norske Datatilsynet tar en aktiv rolle i det internasjonale arbeidet, sier Bjørn Erik Thon.

Han synes det er fint å se at både nordmenn og europeere tenker bevisst rundt innsamling og bruk av egne personopplysninger.

- Disse opplysningene er en ressurs som kan utnyttes, og for å beskytte seg selv er det viktig at hver enkelt lett kan finne informasjon om rettighetene sine og bruke dem i praksis, fortsetter Bjørn Erik Thon.

Ny måte å tenke data på

Personvernforordningen gir kort sagt borgere i hele Europa flere rettigheter og virksomheter større ansvar for behandling av personopplysninger om dem. Som datatilsynsmyndighet skal vi bidra til at individet i større grad kan ivareta sitt eget personvern. Samtidig skal vi arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.

- Vi går mer og mer bort fra holdninger om at data ikke skal brukes eller deles, og at personvern er noe bare datafolk holder på med. I dag har folk en helt annen forventning til hvordan dataene deres blir brukt. Da er det viktig at dataene blir brukt riktig og ansvarlig i tråd med folks rimelige forventninger, sier Bjørn Erik Thon.

- Selv skal vi sørge for å forvalte lovverket godt blant annet gjennom nye arbeidsmåter for å håndtere avvik og veiledningshenvendelser, utvikle gode tilsynsmetoder, nasjonalt og internasjonalt samarbeid, følge med på teknologi og trender og være tilstede i debattene, avslutter direktøren.

18