Etterlevelse av personvernregelverket

I forbindelse med innføringen av personvernforordningen i 2018, brukte mange offentlige og private virksomheter tid og ressurser på å gjennomgå og få på plass rutiner og praksis knyttet til behandlingen av personopplysninger. Samtidig førte regelverket til noen betydelige forenklinger – for eksempel er det ikke lenger nødvendig å søke til Datatilsynet om konsesjon til å behandle sensitive personopplysninger.

EU-kommisjonen publiserte sin første evaluering av personvernforordningen i juni 2020. Deres vurdering var at forordningen generelt hadde nådd målene sine om å styrke borgernes individuelle rettigheter til personvern, og for å kunne garantere fri flyt av personinformasjon innenfor EU. De pekte likevel på at det var for tidlig til å konkludere om hvordan den praktiske innføringen av personvernforordningen har fungert.

Til tross for at det fortsatt er for tidlig å konkludere om hvordan implementering av forordningen har fungert i Europa, har enkelte utredninger gitt oss indikasjoner på hvordan det har gått. Det svenske datatilsynet (Integritetsskyddsmyndigheten) publiserte i 2019 en undersøkelse om hvordan virksomheter og personvernombud opplevde implementeringen av regelverket. Ifølge rapporten, opplevde tre av fire personvernombud at innføringen av personvernforordningen i Sverige hadde gått bra. Samtidig svarte flere av virksomhetene at de største hindrene var å få til fungerende rutiner og prosesser, og å tolke regelverket.

I Norge ser vi at mange virksomheter arbeider aktivt med å etterleve regelverket. Samtidig er det varierende tillit i befolkningen til hvordan virksomhetene behandler personopplysninger. I Datatilsynets personvernundersøkelse (2019/2020), fant vi som nevnt at nordmenn har gjennomgående høy tillit til hvordan offentlige myndigheter behandler personopplysningene deres, mens det er gjennomgående lav tillit til hvordan mange private virksomheter behandler og bruker personopplysningene. Over halvparten av befolkningen har også latt være å bruke en tjeneste eller et produkt som følge av at de er usikre på hvordan personopplysningene vil bli håndtert.

Hvordan opplever ombudene at virksomhetene etterlever regelverket?

Vi spurte ombudene om i hvilken grad de opplever at virksomhetene de jobber for etterlever regelverket. Svarene er kategorisert etter hvilke bransjer ombudene jobber innenfor. Noen bransjer er utelatt fra oversikten fordi det er for få respondenter til å beregne svarandeler. Disse bransjene er "varehandel og butikk", "overnattings- og serveringsvirksomhet", "grunnskole, videregående og barnehage" og "bygg- og anleggsvirksomhet".

Svarene viser at:

• I gjennomsnitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene de representerer etterlever personvernregelverket i stor eller svært stor grad. Bare fem prosent opplever at virksomhetene etterlever regelverket i svært liten eller liten grad.
• Ombudene som er mest positivt til virksomhetenes etterlevelse, jobber innenfor rådgivnings- og konsulentvirksomheter og advokatbyråer, samt innenfor forsikring og finans.
• Hos frivillige organisasjoner og foreninger, er det ingen av respondentene som oppgir at virksomhetene i liten eller svært liten grad etterlever regelverket. Det er heller ingen som svarer at de etterlever i svært stor grad.
• Det er i kommuner og fylkeskommuner at færrest av personvernombudene opplever at virksomhetene deres etterlever regelverket. Hele 12 prosent av disse svarer at virksomhetene i svært liten eller i liten grad etterlever regelverket. Samtidig er det bare litt over halvparten (56 prosent) som svarer at regelverket etterleves i stor eller svært stor grad.

Den generelle oppfatningen er positiv. Svarene viser at personvernombudene i stor grad opplever at virksomhetene de representerer etterlever personvernregelverket. Det er likevel noen områder som skiller seg negativt ut, spesielt kommuner og fylkeskommuner.

Grunnen til at etterlevelsen oppleves lavere av personvernombudene i kommuner og fylkeskommuner, er nok sammensatt. Kommunene behandler store mengder informasjon om sine innbyggere, fra vugge og til grav, inkludert sensitive eller på andre måter beskyttelsesverdige personopplysninger. I tillegg er kommuner og fylkeskommuner komplekse virksomheter med svært stor bredde i oppgavene de skal utføre. Dette gjelder både i form av tjenester de skal levere, og myndighetsutøvelsen deres. Det kan også trekkes fram at mens ombudsordningen er frivillig for mange private virksomheter, har alle offentlige virksomheter plikt til å ha et personvernombud.

Svarene som er gitt i denne undersøkelsen, er i tråd med tendensen vi ser i Datatilsynets daglige veilednings- og saksbehandlingsarbeid. Vi har sett flere eksempler på at etterlevelsen av personvernregelverket har vært vanskelig for enkelte kommuner, og det har vært mange brudd på personopplysningssikkerheten i kommunene – noe som har ført til store bøter. I 2019 mottok både Bergen- og Oslo kommune overtredelsesgebyrer på over én million kroner. Flere andre kommuner har også fått betydelige bøter og andre vedtak rettet mot seg siden 2018.

Hvilke krav sliter virksomhetene med å etterleve?

Selv om mange personvernombud opplever at virksomhetene generelt sett etterlever regelverket, stilles det flere konkrete krav i regelverket som aktivt må overholdes. Vi spurte derfor om i hvilken grad ombudene opplever at sentrale krav og premisser for etterlevelse av personvernlovgivningen er på plass i virksomhetene de representerer.

Svarene viser at:

• De fleste ombudene svarer at virksomhetene har fått databehandleravtaler på plass (75 prosent), har utarbeidet protokoller (74 prosent), og har etablert gode rutiner for å håndtere innsynskrav fra de registrerte (72 prosent).
• Syv av ti ombud (70 prosent) oppgir også at det er etablert gode rutiner for å avdekke og rapportere brudd på personopplysningssikkerheten.
• Nesten syv av ti ombud (68 prosent) oppgir at virksomheten etter deres oppfatning arbeider systematisk og kontinuerlig med personvern.
• Det er i hovedsak få som svarer at virksomhetene i liten grad har innført de ulike tiltakene. Størst utfordringer ser ombudene når det gjelder arbeidet med kompetanseheving blant de ansatte om personvern og informasjonssikkerhet.

Tallene viser at ombudene oppfatter det som at mange av lovkravene er oppfylt. Konkrete krav som databehandleravtaler, protokoll, rutiner for innsyn og system for å rapportere brudd er i stor grad på plass.

Svarene viser imidlertid noen bekymringsfulle tendenser. Det virksomhetene i minst grad har på plass, er knyttet til kompetanse og kultur, slik som løpende kompetanseheving og opplæring. Konsekvensene kan være at systemer og rutiner er utarbeidet, men at ansatte ikke er bevisst på dette eller i tilstrekkelig grad har kompetanse til å gjennomføre tiltakene i praksis. Det er et hinder for god etterlevelse.

Hva mener ombudene er de største utfordringene for etterlevelse?

Undersøkelsen viser at mange ombud oppfatter at virksomhetene etterlever regelverket, men at det likevel er flere krav og premisser som ikke er på plass. I undersøkelsen ba vi også ombudene om å identifisere hvilke utfordringer de ser ved etterlevelsen av dagens personvernlovgivning.

Svarene viser at:

• Halvparten av ombudene vurderer at mangel på menneskelige ressurser i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Det er spesielt i offentlig sektor (kommuner og fylkeskommuner og statlig administrasjon) og hos frivillige organisasjoner og foreninger, at dette oppleves som en stor utfordring.
• Omtrent halvparten svarer at det er en utfordring å få til fungerende rutiner og prosesser (48 prosent).
• 27 prosent opplever at det er uklart hvordan regelverket skal tolkes.
• Noen viser til at manglende kompetanse og engasjement i virksomheten skaper utfordringer. 29 prosent ser utfordringer med manglende engasjement blant ledelsen, 22 prosent mener det er vanskelig å få medarbeidere til å jobbe i tråd med personvernregelverket.
• Det som i minst grad ser ut til å være et problem, er selve personvernregelverket.

Slik ombudene ser det, er tilgang til menneskelige ressurser og å få til fungerende rutiner og prosesser, de to største utfordringene for virksomhetenes etterlevelse av regelverket. Selve personvernregelverket opplever de imidlertid ikke å være til hinder for gode løsninger.

Det er imidlertid 27 prosent av ombudene som mener at det er uklart hvordan regelverket skal tolkes. Dette kan sees i sammenheng med at det fortsatt er et relativt nytt regelverk, og at det i virksomhetene derfor må håndteres juridiske avklaringer som ikke er gjort før. Samtidig har undersøkelsen vist at 24 prosent av ombudene ikke har deltatt på kurs, seminarer eller har fått bygd kompetanse om personvernlovgivningen og/eller informasjonssikkerhet. Det kan derfor være et betydelig potensiale i å la flere ombud delta på kompetansehevende tiltak.