Site Search

Loading Results

Dommen etter to år med GDPR

25/06/20

GDPR er så langt en suksess ifølge ny rapport fra EU-kommisjonen, men vi må blant annet gjøre det enklere å overføre personopplysninger til land utenfor EU/EØS.

Dette er GDPR 2020-rapporten

I følge GDPR artikkel 97 skal EU-kommisjonen evaluere implementeringen av GDPR hvert fjerde år fra og med 2020. Formålet er å avdekke utfordringer i implementeringen av GDPR, og derved avklare fokusområder for videre personvernarbeid både for EU og for medlemslandene. 

Rapporten skal legge føringer for tilsynsmyndighetene i EU/EØS, og kan derfor gi et hint om hvor Datatilsynet vil rette søkelyset fremover. I tillegg går kommisjonen gjennom ordningene som ligger til grunn for overføring av personopplysninger til land utenfor EU/EØS. Disse er under utvikling, og er essensielle for behandling av personopplysninger hos selskaper som for eksempel bruker skytjenester med servere utenfor EU/EØS eller underleverandører etablert utenfor EU/EØS. Videre løfter kommisjonen frem pågående prosjekter som vil bli relevante for norske virksomheter når disse er ferdigstilt. - Det kan være lurt å begynne å forberede seg, sier advokatfullmektig Maria Fonneløp Inderberg. 

GDPR har styrket personvernet 

GDPR har bidratt til at land over hele verden nå har plassert personvernlovgivningen på toppen av prioriteringslisten. Det er dermed klart at GDPR har styrket personvernet – både i Europa og i andre deler av verden. De registrerte har all grunn til å feire. 

Men det gjenstår noen utfordringer 

Kommisjonen har identifisert visse utfordringer når det gjelder en effektiv implementering av GDPR. Her har de vært tilbakeholdne med å trekke konklusjoner. Årsaken er at det er for tidlig å vite om disse utfordringene best møtes gjennom endringer i regelverket eller gjennom at medlemslandene får mer tid til å implementere regelverket. De identifiserte utfordringene er flere, og særlig interessant er de som knytter seg til overføring av personopplysninger til land utenfor EU/EØS, sanksjoner og EUs plan for personvernarbeid i tiden fremover.

Gebyrer opp til 204 600 000 euro

Skal man velge ut én årsak til at GDPR plutselig var på alles tunger i 2018, så var det introduksjonen av de potensielt enorme gebyrene. 4 % av global årlig omsetning eller 20 millioner euro er gebyrer av en størrelsesorden uten presedens. 

EU-kommisjonen skriver i rapporten at tilsynsmyndighetene har brukt sanksjonsmuligheten på en balansert måte. Gebyrene varierer mellom noen tusen euro til flere millioner. De største gebyrene er angitt nedenfor, og samtlige gjelder brudd på kravene til rettslig grunnlag for behandling av personopplysninger og for manglende sikkerhetstiltak:

  • 204 600 000 euro til British Airways for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerhet (varslet av det britiske datatilsynet ICO 8. juli 2019 - ikke endelig vedtatt )

  • 110 390 200 euro til Marriott International Inc. for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerhet (varslet av det britiske datatilsynet ICO 9. juli 2019 - ikke endelig vedtatt)

  • 50 000 000 euro til Google Inc. for manglende rettslig grunnlag for behandling av personopplysninger (vedtatt av det franske datatilsynet CNIL 21. januar 2019)

  • 27 800 000 euro til TIM (telecom-operatør) for manglende rettslig grunnlag for behandling av personopplysninger (vedtatt av det italienske datatilsynet Garante 15. januar 2020)

  • 18 000 000 euro til Austrian Post for manglende rettslig grunnlag for behandling av personopplysninger (vedtatt av det østerrikske datatilsynet Datenschutzbehörde 23. oktober 2019)

Rapporten sier ingenting om utfordringer knyttet til sanksjonsapparatet. Det er likevel verdt å merke seg at EU-kommisjonen løfter frem at tilsynsmyndighetene generelt sett mangler menneskelige, tekniske og økonomiske ressurser til å gjøre jobben sin tilstrekkelig. Kommisjonen oppfordrer medlemslandene til å ta dette i betraktning, og kanskje vil dette føre til mer aktiv bruk av sanksjoner.  

Overføring av personopplysninger til land utenfor EU/EØS skal bli enklere 

Overføring av personopplysninger til land utenfor EU/EØS, såkalte “tredjeland”, må skje i henhold til et overføringsgrunnlag som fremgår av GDPR artikkel V. De mest brukte er beslutninger om tilstrekkelig beskyttelsesnivå og standard personvernbestemmelser. 

I lys av all usikkerheten som har knyttet seg til Brexit, er det naturlig å begynne med spørsmålet rundt status for overføring av personopplysninger til Storbritannia. Storbritannia gikk ut av EU 1. januar 2020, og anses derfor som et tredjeland. Ettersom Storbritannia er en såpass viktig handelspartner med EU, jobber EU-kommisjonen nå med en beslutning om tilstrekkelig beskyttelsesnivå for hele Storbritannia: the Political Declaration on the Future Relationship between the EU and the UK. 

Rapporten skulle egentlig gi en konklusjon på om de 11 eksisterende beslutningene om tilstrekkelig beskyttelsesnivå som er basert på det tidligere personvernregelverket oppfyller kravene i GDPR. Kommisjonen har imidlertid valgt å utsette dette arbeidet på bakgrunn av at en dom som kommer i juli (Schrems II, C-311/18) vil få innvirkning på arbeidet. 

Revisjon av standard avtalebestemmelser om personvern

Standard avtalebestemmelser om personvern  er det desidert mest brukte overføringsgrunnlaget i fravær av en beslutning om tilstrekkelig beskyttelsesnivå. Tusenvis av EU-baserte virksomheter er avhengig av dem for å yte tjenester til klienter, ansatte og andre. 

Bestemmelsene er utarbeidet og vedtatt av EU-kommisjonen. I praksis fungerer bestemmelsene som et vedlegg til tjenesteavtalen mellom den EU-baserte parten og parten i et tredjeland. Bestemmelsene blir utarbeidet på bakgrunn av identifiserte svakheter i tredjelandets beskyttelsesnivå.

I rapporten kommer det frem at EU-kommisjonen har satt i gang et omfattende arbeid med å modernisere eksisterende standard personvernbestemmelser. På lik måte som for beslutningene om tilstrekkelig beskyttelsesnivå, er også disse vurderingene basert på det gamle personvernregelverket.

Erfaringer fra Norge

Selv om det ikke inngår eksplisitt i rapporten, er det likevel nyttig å se til hvilke erfaringer vi har gjort oss på personvernområdet siden GDPR ble inkorporert i norsk lov 15. juni 2018. 

Største boten i Norge så langt: tre millioner kroner  

Det første verdt å nevne er hvilke gebyrer Datatilsynet har vedtatt, ettersom disse gir en god pekepinn på hvor fokuset til tilsynet har ligget siden implementeringen av GDPR.

  • 283 000 euro (MNOK 3) til Bergen kommune for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten (vedtatt 19. mai 2020) 

  • 134 000 euro (MNOK 1,5) til Telenor Norge AS for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten (vedtatt 3. mai 2020) 

  • 36 800 euro (NOK 400 000) til Coop Finnmark SA for manglende rettslig grunnlag for behandling av personopplysninger (vedtatt 28. februar 2020)

  • 73 600 euro (NOK 800 000) til Rælingen kommune for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten (vedtatt 26. februar 2020)

  • 120 000 euro (MNOK 1,3) til Utdanningsetaten i Oslo for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten (vedtatt 29. april 2019)

  • 170 000 euro (MNOK 1,8) til Bergen kommune for manglende tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten (vedtatt 

Fokuser på sikkerheten 

Vi ser altså at de norske gebyrene knytter seg til de samme områdene som de virkelig store bøtene fra EU-hold. Hvorvidt dette er tilfeldig eller ikke er vanskelig å si, men det kan være verdt å merke seg at Datatilsynet har blitt utnevnt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. 

Dette betyr at Datatilsynet har en særlig sterk kompetanse når det gjelder design og bruk av tekniske løsninger. Summa summarum vil det nok være hensiktsmessig å prioritere system- og rutinedesign i budsjetteringen av virksomhetsmidlene. 

Vi skal øke bruken av bindende virksomhetsregler 

Videre planla Datatilsynet å sende den første norske søknaden om bindende virksomhetsregler til det europeiske personvernrådet i første kvartal av 2020. Vi regner derfor med at søknaden ligger til behandling i den europeiske personvernrådet i skrivende stund. Bindende virksomhetsregler kan benyttes av konserner for å sikre at alle enhetene i et konsern følger de samme reglene for behandling av personopplysninger.  

Hvor bør virksomheter rette fokuset fremover? 

I rapporten har kommisjonen vært tydelige på hvilke fokusområder som gjelder fremover. Utover arbeidet som knytter seg til overføringsgrunnlagene for overføring av personopplysninger til land utenfor EU/EØS, kan vi vise til følgende initiativer:

For det første

jobber kommisjonen med å vedta en e-Privacy-forordning. Forordningen skal regulere bruk av elektronisk kommunikasjon, og sentrale temaer er kommunikasjonens konfidensialitet, elektronisk samtykke og cookies. Videre skal forordningen i henhold til utkastet gjelde for alle virksomheter som bruker elektronisk kommunikasjon, online sporingstjenester og elektronisk markedsføring. Sanksjonsmulighetene skal være det samme som etter GDPR. 

Meningen var at e-Privacy-forordningen skulle komme samtidig som GDPR, men den er i skrivende stund behandlet for 48. gang i førstegangsbehandling i EU-rådet. Til sammenligning var GDPR gjennom 16 slike diskusjoner… Føringene nå er at e-Privacy-forordningen ikke vil bli ferdig før i slutten av 2021.

For det andre

har kommisjonen anerkjent at retten til dataportabilitet ikke har nådd sitt fulle potensiale. Dette skyldes særlig mangelen på standarder som tillater utlevering av data i et maskinlesbart format. Kommisjonen peker på at “lock-in”-effekten i en tidsalder hvor tingenes internett er i fremmarsj representerer en betydelig risiko for de registrertes personvern. For å takle disse utfordringene anbefaler kommisjonen løsninger slik som design av gode databehandlingsverktøy og utvikling av standardiserte dataformater.

For det tredje

har EU som helhet utarbeidet en strategi for bruk og deling av data (“European Data Strategy”). Strategien ble offentliggjort i februar i år sammen med EUs strategi for kunstig intelligens, og målet er å lage en samlet markedsplass for bruk og deling av data i EU. Realiseringen av en slik markedsplass vil også bidra til å utnytte potensialet i dataportabilitet. Kommisjonen skal i denne sammenheng også se på muligheten for å tilgjengeliggjøre data som er lagret i offentlige databaser for forskningsformål. 

Neste rapport kommer i 2024

Neste gjennomgang av GDPR-implementeringen blir i mai/juni 2024. Da har kommisjonen forhåpentligvis litt mer “kjøtt på beinet” til å evaluere i hvilken grad medlemslandene implementerer GDPR på en tilfredsstillende måte. Det er uansett ingen tvil om at GDPR brøyter vei for personvernregelverk verden over, og det blir spennende å følge med på den videre utviklingen.

 

Maria Inderberg i sola

- Mitt råd til virksomheter er å sette inn støtet på sikkerhetsstrukturen og rutinene rundt disse. Datatilsynet følger nøye med her, sier advokatfullmektig Maria Fonneløp Inderberg som spesialiserer seg på personvern.

Kontakt oss

Christine Ask Ottesen

Christine Ask Ottesen

Advokat | Partner, PwC Norway

Tlf: 928 09 229

Kontakt meg
Lars Erik Fjørtoft

Lars Erik Fjørtoft

Partner | Leder for Risk Services, PwC Norway

Tlf: 974 74 469

Kontakt meg
Cecilie Lorvik Bødtker Rønnevik

Cecilie Lorvik Bødtker Rønnevik

Advokat | Direktør, PwC Norway

Tlf: 913 93 436

Kontakt meg