Gratulerer med dagen GDPR!
5 år og over 30 milliarder i bøter: GDPR – hva har den betydd?
Gratulerer med 5 årsdagen til personvernforordningen, eller GPPR som mange kaller den! 25. mai 2018 trådte forordningen i kraft i EU, og like etter i Norge. Det høye nivået på bøtene har medført et paradigmeskifte for personvenet ikke bare i Europa, men også i USA og resten av verden.
Så hvordan har de fem årene med GDPR preget oss?
Personvernet har blitt et vern
På papiret hadde vi personvern også før GDPR. Men det er helt klart at store og små virksomheter i de siste fem årene har fått øynene opp for hvor viktig det er med god sikkerhet og omsorg for persondata.
I Norge og Europa har det vært gitt bøter for brudd på reglene i et omfang vi ikke har sett før. Big Tech blir sakte men sikkert tvunget til skjerpe seg når det gjelder bruk av våre data. Frykten for tap av omdømme og fortjeneste tvinger selskaper til å bygge personvern inn i sine produkter fra start.
EU: Megabøter til tech-gigantene
Instagram, Meta, Google, Amazon og Whatsapp har alle fått bøter på mellom 60 og 750 millioner euro, og nå sist uke med en bot til Meta på 1,4 milliarder euro.
Bøtene gjelder misbruk av kundens personopplysninger, ulovlig bruk av cookies, mangel på åpenhet og offentliggjøring av brukeres personopplysninger, bruk av kundedata til målrettet reklame og ulovlig overføring av data til USA.
Norge: Datatilsynet sliper knivene
På årets Alpine Privacy Days fortale Tobias Judin fra det norske Datatilsynet at antall klager har økt for hvert år etter GDPR ble innført. Vi har også sett at Datatilsynet i større grad tar i bruk muligheten til å ilegge bøter ved brudd på GDPR. Blant annet fikk datingappen Grindr overtredelsesgebyr på 65 millioner kroner for brudd på samtykkekravene. Nylig fikk SATS bot på 10 millioner kroner for dårlig informasjon og manglende behandlingsgrunnlag.
Datatilsynet i Norge har ikke gitt noen bøter for overføring av data til land utenfor EU/EØS. Men dette temaet har vært høyt oppe i debatten her til lands. For eksempel om det er lovlig å bruke Google Analytics eller andre tjenester basert i USA.
USA begrenser masseovervåking og innfører personvernlover
Som følge av amerikansk masseovervåking og manglende rettsmilder, ble overføringsgrunnlaget Privacy Shield erklært ugyldig av EU-domstolen i Schrems II-saken i 2020. Dermed mistet vi et grunnleggende rammeverk for lovlig flyt av personopplysninger over Atlanterhavet. Som følge av nye regler i USA trer trolig erstatningen Data Privacy Framework i kraft om ganske kort tid.
Bøteleggingen av Meta legger press på beslutningstakerne i EU: Om Meta blir tvunget til å stoppe overføringene på grunn av manglende overføringsgrunnlag, har Meta selv uttalt at konsekvensene blir å skru helt av sosiale medier som Facebook og Instagram for europeere.
Personvernet ditt har blitt bedre de siste fem årene
GDPRs formål er å styrke personvernrettighetene til enkeltpersoner. Vi blir overvåket og profilert i stadig flere sammenhenger. Ofte blir vi til og med bedt om å gi vårt samtykke til overvåkingen. Men hvor enkelt er det å forstå rekkevidden? GDPR innførte strenge krav til informasjon, frivillighet, dokumentasjon og rett til å trekke tilbake samtykket.
Selv om GDPR har vist seg utfordrende å etterleve, vil vi likevel påstå at GDPR har bedret enkeltpersoners personvern. Sakte men sikkert.
Bull forsøker å skape muligheter
I Bull var vi tidlig ute med å gjøre GDPR enkelt for våre klienter. Vi har etablert:
- personvernfabrikken.no (link) (2017) med mål om enklere informasjon og klare råd på det kompliserte regelverket.
- Bull personvernnettverk, med medlemmer fra ulike bransjer som møter to ganger i året for diskusjoner og erfaringsutveksling (2017).
- Alpine Privacy Days, en intim internasjonal personvernkonferanse i Sveits (2019).
Vår erfaring er at de grunnleggende spørsmålene fremdeles er både aktuelle og kompliserte for mange norske virksomheter:
- hva slags behandling av data gjør virksomhetene?
- har virksomheten lovlig behandlingsgrunnlag?
- overholdelse de generelle prinsippene i GDPR?
- hvordan gjennomføre tekniske og organisatoriske tiltak?
Målet vårt er å løse problemer for klientene våre ved å se muligheter regelverket gir, og gå frem på riktig måte. Til å gjøre det er vi en gruppe med syv advokater i Personvernfabrikken. Vi brenner for ny teknologi – inkludert kunstig intelligens. Ta kontakt om du vil ha følge på reisen.