11 påstander om GDPR og de nye personvernreglene som er (delvis) feil
Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi
GDPR er en forkortelse som man ser nesten oftere enn GoT denne høsten. Og det er ikke uten grunn, for fristen for at alle virksomheter skal følge de nye personvernreglene nærmer seg. Men det er ikke alt som blir sagt og påstått om de nye personvernreglene som er helt riktig. Her er noen påstander som ikke er (helt) riktige.
1. GDPR og de nye reglene gjelder ikke oss
Dette stemmer ikke. Noen selskaper mener de ikke behandler personopplysninger, men alle selskaper behandler personopplysninger, enten det er i personalregistre, kunderegistre, eller på annen måte. De nye reglene gjelder for alle selskaper, og alle selskaper vil måtte gå gjennom hva de behandler av personopplysninger, vurdere om behandlingen følger de nye reglene, utbedre avvik fra regelverket, utarbeide dokumentasjon for å vise at reglene følges mv. Hvor mye arbeid det vil være med vurdere og gjennomføre tiltak for å være i overensstemmelse med de nye reglene avhenger av omfanget av behandling av personopplysninger, hvilke typer personopplysninger som behandles mv.
2. Vi blir aldri ferdig til 25. mai 2018, så da kan vi likegodt vente
Fra 25. mai 2018 så gjelder reglene, og det blir ingen amnestiperiode etter dette. Etter denne datoen kan selskaper få pålegg om å følge utbedre avvik fra reglene og/eller bøter for å ikke følge reglene. Selv om man ikke blir ferdig, så bør arbeidet startes med å få virksomheten i overensstemmelse med de nye reglene. Blir man ikke ferdig, vil det være være mindre å ferdigstille om det skulle avdekkes av Datatilsynet at man ikke er i overensstemmelse med reglene. Det vil også kunne ha betydning for eventuelle bøter at man ikke har forsøkt å etterleve reglene, enn om man har forsøkt, men ikke klart det. Ikke for å stresse dere, men det er ikke så mange arbeidsdager igjen..
3. Vi kommer aldri til å klare å følge reglene helt, så da kan vi like gjerne ikke gjøre noe
Som nevnt i punktet ovenfor, vil det alltid være en risiko for at man ikke er helt i overensstemmelse med reglene, men det å ikke gjøre noe i motsetning til å forsøke å etterleve vil ha betydning for de bøter eller gebyrer man får dersom Datatilsynet avdekker at man ikke følger reglene. I et slikt tilfelle kan det være at selskapet får en frist til å bringe virksomheten i overensstemmelse med reglene, og da er det bedre å ha noen forhold å utbedre enn å forsøke å gjennomføre et fullstendig prosjekt innenfor den fristen som gis.
4. GDPR har med it-systemene å gjøre, derfor bør it-sjefen ha ansvaret for dette
De nye personvernreglene omfatter hele virksomheten, og ikke bare it-systemene. It-systemene er som regel der personopplysninger behandles, men de som beslutter hvilket personopplysninger som skal behandles og hvordan disse skal behandles er som regel andre i organisasjonen enn it-sjefen. Kravene etter de nye reglene omfatter helevirksomheten, og ansvaret for at behandling av personopplysninger har daglig leder/administrerende direktør/konsernsjef. Ansvaret for å gjennomføre prosjekt om GDPR bør derfor ligge i selskapets ledelse, mens andre kan ha ansvaret for den praktiske gjennomføringen.
5. Det er en enorm jobb som krever et stort prosjekt for å bli klar for GDPR
For enkelte virksomheter som behandler personopplysninger i meget stort omfang eller spesielt sensitive opplysninger vil det kreves et stort prosjekt for å bli klar for GDPR, men for de fleste selskaper vil å bli klar for GDPR være en overkommelig oppgave som kan gjennomføres på relativ kort tid (forutsatt at man har rette ressurser tilgjengelig og gjennomfører prosjektet metodisk). Det handler om å kartlegge hvilke personopplysninger som behandles, vurdere om behandlingen er i overensstemmelse med reglene, utbedre avvik fra reglene, utarbeide dokumentasjon på behandlingen og andre tiltak og krav som følger av regelverket. Et prosjekt kan gjennomføres på 1 til 3 måneder avhengig av hvor mye som allerede er på plass i virksomheten, ressurser internt og eksternt, hvor mye og hvordan personopplysninger behandles i virksomheten og enkelte andre forhold.
6. Vi trenger ikke juridisk ekspertise for å bli klare til GDPR
Dette kan være riktig dersom man behandler personopplysninger i meget lite omfang og man har god ekspertise internt, men for de fleste virksomheter vil det som regel oppstå spørsmål om behandling av personopplysninger er i overensstemmelse med personvernforordningen eller den nye personopplysningsloven, det må utarbeides dokumentasjon og det må gjøres vurderinger. Da vil det være en fordel at vurderingene er tatt av ekspertise, dersom det blir spørsmål senere om man har gjort det man kan for å være i overensstemmelse med reglene. Som regel vil også de som har erfaring med GDPR-prosjekter ha verktøy, maler og kunnskap som gjør at prosjektet går raskt og effektivt (og får riktig resultat).
7. Vi kan bli klar for GDPR og de nye reglene med kun interne ressurser
Som for punktet over, så kan man klare seg uten ekspertise, men det gjelder kun for et fåtall av virksomheter som har tilstrekkelig god ekspertise internt. Med ekspertise som har gjennomført GDPR-prosjekter tidligere, som har verktøy og prosedyrer tilgjengelig, så vil prosjektet gå raskere, dekke alle forhold og man risikerer ikke at det er forhold som ikke er dekket og som kan være brudd på regelverket.
8. Vi har ikke tid eller ressurser til å gjennomføre et slikt prosjekt, så benytter kun eksterne konsulenter for å få dette i orden
De tiltakene som skal gjennomføres for å følge de nye reglene, må til en viss grad gjøres av de som kjenner virksomheten. Det vil normalt ikke være mulig at dette arbeidet gjøres av kun eksterne konsulenter eller andre. Et normalt prosjekt for å bli i overensstemmelse med de nye reglene vil kreve 70-80 % innsats fra interne ressurser og 10-30 % bistand fra eksterne rådgivere.
9. Det finnes programvare og it-systemer som gjør en klar for GDPR
For å bli klar for GDPR må en gjennomgå hvilke personopplysninger som behandles i virksomheten, vurdere om behandlingen er i overensstemmelse med regelverket, utbedre avvik fra regelverket ved vurderinger, dokumentasjon og endringer mv. Programvare og it-systemer kan fungere som verktøy for å gjennomføre enkelte av tiltakene, spesielt i virksomheter som behandler personopplysninger i stort omfang, men programvare og it-systemer kan aldri alene være tilstrekkelig for å bli klar for de nye reglene.
10. Det blir enormt store bøter for brudd på reglene
Det er åpnet for meget høye maksimalnivåer på bøter (eller administrative gebyr som det kalles) under de nye personvernreglene på opp til EUR 20 mill./4 % av global årlig omsetning. Det er imidlertid lite trolig at bøter i Norge kommer opp i maksimalgrensene. Nivået på bøter kommer til å øke noe fra dagens nivå, hvor den høyeste bot som er gitt har vært kr 750.000 og maksimalgrensen er ca. kr 900.000, men det er lite trolig at bøtenivået vil være i nærheten av maksimalgrensene i de nye reglene. Men dette bør ikke være en sovepute for virksomhetene for å implementere GDPR-tiltak.
11. Bare vi blir ferdig med dette prosjektet har vi lagt GDPR bak oss
Å være i overensstemmelse med reglene er heller ikke et éngangsprosjekt, men en pågående oppgave som ikke slutter. Virksomheter skal være i overensstemmelse med reglene, og endres hvordan personopplysninger behandles i virksomheten, det behandles nye opplysninger, det avdekkes avvik fra reglene osv., må det gjøres endringer i dokumentasjon og prosedyrer. Virksomhetene må derfor etablere prosedyrer for å overholde reglene også etter man kan si at virksomheten følger reglene. Dette gjelder også etter 25. mai 2018.
Om artikkelforfatteren
Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. DLA Piper er det eneste globale advokatfirma i Norge, og det eneste advokatfirma som har kontorer i både Danmark, Finland, Norge og Sverige. DLA Piper har 500 advokater spesialisert i IP og teknologi blant sine nær 4 500 advokater over hele verden. Jan Sandtrø kan kontaktes på jan.sandtro@dlapiper.com, telefon +47 997 31 934 eller via LinkedIn