Nylig fikk Google den hittil største smekken på fingrene for dårlig håndtering av persondata da det franske datatilsynet, CNIL, gav den amerikanske teknologikjempen en bot på hele 50 millioner euro, eller rundt 500 millioner norske kroner, for brudd på de nye GDPR-reglene i januar i år.
Også i Danmark har det nå blitt gitt bøter for brudd på GDPR. I mars ble et taxiselskap innstilt bøtelagt med 1,2 millioner danske kroner. Hittil er Bergen Kommune den eneste mottaker av et overtredeslesgebyr for brudd på det nye regelverket i Norge. Den var på rekordhøye 1,6 millioner kroner, men Datatilsynet varsler at det vil komme flere bøter i tiden fremover.
- Vi har gjort ferdig noen saker fra det gamle regelverket, men saken med Bergen Kommune er det eneste overtredelsesgebyret vi har gitt så langt. Det kommer nok flere i år, det er helt sikkert, sier kommunikasjonsdirektør i Datatilsynet, Janne Stang Dahl, til Kampanje
- Kan vi komme til å se en bølge av bøter?
- Jeg vil ikke kalle det en bølge av bøter, men de nye GDPR-reglene åpner opp for høyere bøter, så det vil vi nok se mer av i løpet av året, svarer Dahl.
Les også: Nå trer GDPR i kraft i Norge
Rekordantall i avviksmeldinger
Da GDPR-reglene trådte i kraft 20. juli i fjor var det mange virksomheter som jobbet på spreng for å få på plass nødvendig infrastruktur og systemer for å håndtere de nye reglene. Noe av det som understrekes i GDPR er at virksomhetene og bedriftene har et større ansvar for å ivareta personopplysninger. Det gjelder også personlige data som deles med tredjepartsleverandører.
Dahl forteller at de merker at både privatpersoner og norske virksomheter har fått en større bevissthet rundt persondata og håndtering av dette. Det viser seg også i Datatilsynets avviksmeldingsstatistikk. 2018 ble et rekordår for antall innsendte avviksmeldinger med hele 1276 varsler, hvorav 821 av dem kom etter 20. juli da GDPR-reglene trådte i kraft i Norge. Til sammenligning ble det i 2017 sendt inn 349 avviksmeldinger.
- Det er jo en enorm økning, nærmest en eksplosjon. Vi er glade for at virksomheter melder i fra om de oppdager at personopplysninger er på avveie, så det er veldig viktig og riktig at de melder inn avvikene til oss. I mange av de andre europieske landene opplever man nå også en økning i antall avviksmeldinger, kommenterer Dahl.
Les også: Klager Google inn til Datatilsynet: - Samler inn data uten lovlig samtykke
- Blitt flinkere til å melde inn avvik
Dahl tror rekordantallet av innmeldte avvik er en kombinasjon av flere faktorer, men først og fremst på grunn en økt bevissthet omkring de nye personvernreglene.
- Bedrifter er rett og slett blitt flinkere til å melde inn avvik når de kommer. Samtidig er vår hverdag blitt mer og mer digital, og personvernet kommer fort under press når opplysninger om enkeltpersoner er lett å både distribuere og dele. Det nye regelverket er bedre tilpasset vår digitale virkelighet, og har også skjerpet virksomhetenes eget ansvar, sier hun.
Ifølge Dahl dreier avviksmeldingene seg om alt fra feilsendte e-poster, hacking og brudd som skyldes menneskelig svikt, tenkniske svakheter og dårlige rutiner. Hittil i år har Datatilsynet fått inn rundt 500 varsler om avvik.
Risikerer å miste kunder og tillit
Med det nye regelverket fikk Datatilsynet utvidede fullmakter til å bøtelegge norske virksomheter, og størrelsen på bøtene er nå markant mer avskrekkende enn tidligere: Selskaper som bryter regelverket kan få bøter opp mot 20 millioner euro, eller bøter som tilsvarer fire prosent av omsetningen.
Les også: Har kjøpt GDPR-råd for 500 millioner: – Bedriftene er livredde for bøter
Dahl har inntrykk av at mange nå har kommet rimelig godt på plass.
- Både de store, men også mange små virksomheter, har ryddet opp i sine arkiver og er påpasselige med hva de sender ut, og hva de ikke sender ut av personopplysninger. En ting er at man kan få høyere bøter nå, men det er tross alt personvern man snakker om. Brukeren og kunden har blitt utrolig opptatt av at virksomhetene forvalter dette forsvarlig, så om personopplysningene ikke behandles ordentlig så mister man rett og slett kunder og tillit, sier Dahl.
Nylig gjennomførte Datatislynet en tilsynsrunde blant Norges kommuner for å påse at de har fått på plass personvernombud, eller om de har iverksatt tiltakt for å løse dette. I tillegg til å følge opp avviksmeldinger, blir dette en viktig metode for å avdekke brudd i tiden fremover.
- Vi har ikke vært mye ute på tilsyn enda, men vi kommer til å ha flere tilsyn i år. Nå har vi fått regelverket på plass, så nå skal vi også konsentrere oss om tilsyn i større grad, forteller Dahl.
Kommentér