Som rådgiver i personvern – et emne som kan være ganske så komplekst både for nettstedseiere, brukere og myndigheter, er det bare om å tilegne meg all den kunnskapen jeg kan få.
Og hvem andre enn Datatilsynet, tenker jeg, Norges tilsynsmyndighet på området, kan det være lurt å ta en prat med? Det blir til et lærerikt, herlig og uformelt intervju med Tobias Judin, seksjonssjef i internasjonal seksjon. God fornøyelse!
Spørsmål 1: Hva betyr personvern for deg – som menneske?
For meg handler det om de større tingene. Personvern er selvfølgelig viktig i forhold til mitt eget privatliv, men viktigst; ja, vi skal bruke data, og vi skal bruke data riktig:
- Vi skal bruke data rettferdig
- Vi skal bruke data respektfullt
Vi er heldige som har mulighet til å underbygge den tilliten som er spesiell for særlig Norden. Vi har grunnleggende en tillit til hverandre og vi har tillit til myndighetene. Og det aspektet er viktig, for hvis vi var av den oppfattelse at Internettet bare er farlig, da måtte vi jo beskytte oss mot det. Det er helt klart en fordel vi som utgangspunkt ser internettet som en trygg sfære, at vi stoler på at data blir brukt riktig.
Og det skal vi sikre oss at det fortsatt er – en trygg sfære. Vi har allerede sett eksempler på det motsatte, hvordan data kan brukes til å målrette politiske budskaper til deg, manipulere dine politiske valg og til å manipulere økonomiske disposisjoner.
Vi må huske på at noen mennesker er veldig sårbare. Det er mange forskjellige typer mennesker der ute, og noen – mer enn andre, vil være i risikosonen for å bli manipulert av et budskap som er veldig tilpasset til dem. Uten at de skjønner det og innser hva som har skjedd. Det er jo i praksis markedssvikt.
Jeg synes personvern kan sammenlignes med miljøvern. Mange bekker små. Et eksempel kan være en mindre norsk virksomhet som samler inn data om brukerne. Og ja, de har kunder «men jo ikke så mange kunder, det er jo mange større virksomheter der ute og større problemer i verden». Vi slipper ut litt forurensning i den elva og det betyr ikke så mye. Men det er kanskje mange virksomheter langs elva, og hvis alle slipper ut litt… mange bekker små. Og ja, mange bekker små kan bli til mye data.
Spørsmål 2: Beste og enkleste tips til virksomheter som vil unngå bøter?
Spørsmålet er om vi har et regelverk som gjør det mulig å si det er helt lette tiltak vi kan gjøre for å overholde GDPR? Men det kan være en god idé å:
- Få oversikt over data. Motsatt ser vi at manglende oversikt gjør at det oftere går galt.
- Sørge for opplæring. Papirarbeidet er på plass, dere har internkontroll – men kanskje litt mange klager fra kundene og avviksmeldinger. Da har man nok tenkt at GDPR bare handler om papirarbeid, og man har med andre ord ikke nok kunnskap om hva GDPR egentlig innebærer.
Det vi ofte ser er at virksomhetene synes personvern er komplekst. Det får ikke topp prioritet, delegeres til et sted – og så er det jo ofte noen som gjør sitt beste for å få dette til, men…
Kanskje ledelsen ikke tar ansvar? Personvern er nemlig et ledelsesansvar, og må involvere toppledelsen selv om det kan være både vanskelig, vondt og litt kjedelig. Festbrems i praksis.
Se opptaket av vårt populære webinar med Tobias Judin og Jan Sandtrø
Det er lederne som har mulighet til å:
- Styre retning
- Vurdere risiko for virksomheten – hva skjer hvis vi ikke sikrer personvern?
- Sørge for at virksomheten kollektivt tar ansvar for personvern
Da er det lettere å få de ansatte med på laget, uansett avdeling og geografisk plassering.
GDPR-bøter i Norge
Rekordår for Datatilsynet i 2021:
- 26 overtredelsesgebyrer
- Totalsum på litt under 80 MNOK
- Bøter ble gitt fra NOK 40.000 – til 65 MNOK (Grindr-saken)
Per 1. juli 2022:
- 9 overtredelsesgebyrer
- Totalsum på 16,9 MNOK
- Bøter ble gitt fra 50.000 NOK til 5 MNOK
Klassiske gjengangersaker har vært:
- Ulovlig innsyn i ansattes filer eller e-postkasser
- Ulovlige kredittvurderinger – ingen brukere har kjøpt på kreditt, og allikevel innhenter virksomheten opplysninger og kredittvurderer
Spørsmål 3: Hvor er personvern om 5 år?
Det er noe særnorsk med cookies. I Norge har det vært litt uklart om reglene, ingen som helt vet.
Men nå får vi en ny ekomlov, som sier klart og tydelig at vi må ha samtykke for å plassere cookies i Norge. Og det er indikasjoner på at den nye loven blir lagt frem til høsten 2022.
Dessuten kan vi se frem til nye lovreguleringer fra EU-kommisjonen.
- Ekomloven i Norge – vil gi brukerne mye mer valgfrihet omkring persondata
- Digital Services Act og Digital Markets Act i EU/EØS – vil gi virksomhetene mer ansvar og flere begrensninger, og for eksempel være transparente om målretting av annonser på en helt ny måte.
Digital Services Act og Digital Markets Act
Digital Services Act er et lovforslag fra EU-kommisjonen for å modernisere e-handelsdirektivet angående ulovlig innhold, gjennomsiktig reklame og desinformasjon, som venter på endelig godkjenning av rådet før det trer i kraft.
Digital Markets Act vil tilsvarende være mer rettet mot lovregulering av de store tech-plattformene.
Det innebærer blant annet at det ikke skal profiteres på markedsføring basert på sensitive personopplysninger, heller ikke adferdsbasert markedsføring overfor barn. Virksomhetene kommer med andre ord ikke til å bestemme så mye selv, men bli fortalt hvordan de skal håndtere personvern. Ferdig snakka.
Og så vil jeg gjerne fremheve en diskusjon jeg også ser på europeisk nivå: Mer harde grenser som alle kan forholde seg til. Mye mer håndheving. Apropos 2021 som rekordår i Norge mht. bøter – her ser jeg akkurat samme trend nå på europeisk nivå:
- Flere bøter
- Høyere bøter
Digital Markets Act har mulighet til å gjøre noe med styrken til de store internasjonale tech-gigantene. Den kan gå inn og begrense innflytelsen deres. Dette kan ha stor betydning for mindre norske virksomheter som egentlig konkurrerer med de større tech-plattformene.
Det digitale versus det fysiske liv
Ellers, når vi tenker personvern frem i tiden, synes jeg vi skal slutte å snakke om det er et skille mellom våre digitale og fysiske liv. Nå er samfunnet vårt såpass digitalisert at det ikke er noen grunn til å behandle dem ulikt. Kanskje revurdering av forretningsmodeller? Det er jo ikke akseptert at noen følger etter deg i en fysisk butikk, og deler det du har i handlekurven med virksomheter i ulike land. Det er planlagt en større gjennomgang av GDPR og personvern i 2025, så vi får se. Det er snakk om at EU-kommisjonen vil lage prosessregler og gjøre det lettere for brukerne å klage. I det hele tatt blir det fokus på å lage tilleggsregler for å gjøre GDPR mer effektiv.
Stor takk til Tobias Judin.
Disclaimer: Datatilsynet har ikke godkjent Cookie Information eller andre tilsvarende løsninger.
Anne-Grete Pettersen er personvernrådgiver hos Cookie Information. Følg Anne-Grete på LinkedIn – og hold deg oppdatert på nyheter og nye webinarer med nyhetsbrevet “Greit å vite om cookies”:
