GDPR - erfaringene så langt

Vår erfaring er at Norske bedrifter har jobbet hardt med å oppdatere sine personvernerklæringer. Mange har laget avviksrutiner for å overholde den svært korte 72 timers fristen til å varsle Datatilsynet ved brudd på personopplysningssikkerheten. Antallet avviksmeldinger har økt kraftig, og vi har all grunn til å tro at dette vil fortsette.

Innsyn 

Bedriftene har også tatt reglene om innsyn på alvor. Mange har etablert gode rutiner for å behandle og besvare personers krav om innsyn i sine egne personopplysninger innen de 30 dagene GDPR legger opp til.

Internkontroll

Hva gjelder den totale jobben med å utarbeide lovpålagt internkontrolldokumentasjon inkludert overordnede styringsdokumenter, fullstendige rutinesett, informasjonssikkerhetsvurderinger med risikovurdering, avviksmeldingssystem  og årlige revisjoner, tror vi mange bedrifter har gjenstående arbeid. Når dette er sagt vet vi ikke sikkert hvilket nivå på dokumentasjonen Datatilsynet vil kreve, når tilsynet etter hvert vil kontrollere bedriftene. Datatilsynsmyndighetene i Europa har uformelt kommunisert at bedriftene gis tiden ut 2018 til å ferdigstille dokumentasjonen. Det er først i 2019 det er ventet at Datatilsynet og deres europeiske kollegaer vil reise på tilsyn og inspeksjoner hos bedriftene.

Det som er sikkert, er at GDPR har hevet norske bedrifters bevissthet om personopplysningsregelverket kraftig.

Forståelse av reglene i GDPR 

Hva gjelder forståelsen av de ulike reglene i GDPR foreligger det foreløpig lite formell praksis. Datatilsynet har jobbet hardt med løpende å publisere veiledningsdokumenter, for eksempel for Privacy By Design, Personvernombud, DPIA, Dataportabilitet og internkontroll. Konkrete avgjørelser foreligger foreløpig i liten grad, men dette vil ventelig komme løpende i tiden fremover.

Databehandleravtaler

Vi konstaterer for vår del at bedrifter diskuterer seg imellom hvorvidt det skal inngås databehandleravtale eller ikke, og at det diskuteres hvem det er som er behandlingsansvarlig. Ikke sjelden opplever vi at det er riktig å si at når to bedrifter samarbeider, så er begge hver for seg behandlingsansvarlig for personopplysninger som utveksles.

Klager

På det internasjonale nivået har det nylig blitt levert flere klager mot ad-tech industrien. Spørsmålene som stilles i klagene er hvorvidt innsamling av personopplysninger gjennom cookieteknologi, advertising ID eller device fingerprint, og etterfølgende bruk av data til skreddersy digital reklame levert til internettbrukere, er tillatt under GDPR, og i tilfellet hvordan annonsører, mediebyråer, apptilbydere, nettstedinnehavere og aktører som Google, Facebook skal samle inn og bruke data. Ikke minst er dette et spørsmål om hvilken informasjon som må gis til brukerne av smarttelefon, appbrukere og internett og ikke minst i hvilken grad og hvordan hver enkelt bruker først må ha samtykket til datainnsamling og bruk.  

Vi tenker at GDPR befinner seg i en startfase, og utviklingen regelverket vil lede til, ligger foran oss.