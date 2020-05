Da GDPR ble innført for to år siden var det mye snakk om risikoen for store bøter ved overtredelse av reglene. Erfaringen er da også at det ble gjort mange og flere raske grep for å sikre etterlevelse av de omfattende kravene. Men neppe alle var like gjennomtenkte eller treffende. Samtidig lar de mest saftige bøtene fortsatt vente på seg her i Norge. Og man kan spørre seg om det er fare for at trettheten så smått begynner å melde seg med hensyn til å sikre etterlevelse.

Viktigheten av GDPR-compliance er imidlertid åpenbar. Ingen av oss ønsker at våre mest personlige opplysninger skal bli brukt for formål vi ikke er kjent med eller forstår. Fokus på kravene til lovlig behandling av personopplysninger har trolig heller aldri vært mer relevant. Skandalen om Cambridge Analytica, som noen nok husker fortsatt, og andre lignende saker som har herjet mediebildet de seneste årene, har for lengst gjort det klart at dine og mine persondata har en ekstremt høy verdi. De seneste dagene er det blitt publisert artikler om hvordan detaljerte opplysninger om enkeltpersoners bevegelser i det fysiske rom omsettes i markedet, ofte uten at forbrukeren er klar over det. Myndighetene har gått aktivt ut og iverksatt gransking i konkrete saker.

Å samle inn og behandle personopplysninger er imidlertid legitimt i veldig mange tilfeller. Og i en del tilfeller er det ikke hva en virksomhet gjør med opplysningene som avgjør om det er lovlig og legitimt, men hvordan virksomheten gjør det. Dette gjelder også aktører som lever av å kommersialisere persondata.

Mange bedrifter har investert betydelige summer i å innføre nye interne krav og rutiner, kanskje til og med investert i tungvinte kontrollsystemer. Hvor effektive er systemene og kravene som er innført egentlig? Og kan man være sikker på at alle tiltakene (utarbeidelse av behandlingsprotokoll, informasjon om personvernerklæringer mv.) egentlig er tilstrekkelige eller relevante tiltak for å hindre misbruk av personopplysninger? Dersom bedriften har kommet feil ut fra starten av, eller ikke følger arbeidet godt nok opp, kan GDPR-etterlevelse gjøre virksomhetens helt vanlige og legitime oppgaver unødig krevende eller kostbare.

Malin Tønseth. Foto: Simonsen Vogt Wiig

Så hvor «GDPR-moden» er bedriften din egentlig? Har ledelsen satt seg inn i personvernutfordringene som kan oppstå ved nye digitale løsninger? Og er grepene som blir tatt egentlig treffende eller relevante?

I Danmark fikk det statlige meteorologiske instituttet (DMI) tidligere i år en skikkelig smekk for ikke å ha satt seg godt nok inn i eller oppfylle kravene til innsamling av brukerdata ved hjelp av analysecookies på DMIs online værtjeneste (nettside tilsvarende yr.no). Det er naturlig å tenke seg at DMI ikke hadde til hensikt å drive med urimelig utnyttelse av borgernes data. Man hadde bare ikke gjort jobben godt nok!

Vi må komme til et punkt hvor GDPR-kravene ikke bare oppfattes som «formalia» som skal på plass uten at tiltakene gir noen faktisk mening eller verdi. Vi må forstå den reelle risikoen for personvernet ved dagligdagse handlinger. Samtidig må bedriftene være sitt ansvar bevisst. Og for mange er det nok på høy tid med en liten opprydding i rekkene. Noen vil kunne trenge å luke ut kronglete og uforståelige interne prosedyrer og retningslinjer som har blitt innført i hui og hast, mens andre med fordel kan innføre nye rutiner og kontrollmekanismer.

Malin Tønseth

Assosiert partner i Simonsen Vogt Wiig