I dag 20. juli 2020 er det 2 år siden GDPR ble implementert i personopplysningsloven. Hva skjedde, hvor er vi og hvor skal vi?

Hva skjedde?

Det er ingen tvil om at vi måtte regulere hvordan våre personopplysninger ble behandlet. Da Max Shrems la frem de 1222 A4 sidene Facebook hadde lagret om hans personopplysninger var det egentlig ingen vei tilbake. EU utarbeidet et nytt direktiv; GDPR. Norge som medlem i EØS valgt da altså 20. juli 2018 og implementere GDPR i vår personopplysningslov. Det var egentlig ikke så store endringer for vår del, men et punkt stod sentralt; bøter. Datatilsynet fikk nå muligheter for å kunne bøtelegge bedrifter, foreninger, stat og kommune som ikke fulgte GDPR. Frykten for bøter satte fart i en ny næring; personvernrådgivere. Nå ble alle eksperter på GDPR og bedrifter betalte høye summer for dårlige råd. Bedrifter slettet kundeopplysninger som aldri skulle blitt slettet, man ble fortalt at det var nærmest umulig å markedsføre seg. Slik var det selvsagt aldri ment. Datatilsynet uttalte at det er bedre å gjøre noe enn ingenting. Loven var vanskelig, for enkelte umulig å forstå, man meldte HR og eller regnskap på kurs som kom tilbake fra kurset med ennå større frustrasjon enn før. Det hele fremsto som noe kaotisk.

 

Hvor er vi?

I kjølvannet av frustrasjon følger ofte resignasjon. Flere velger i dag å se bort fra GDPR, min erfaring er at i SMB markedet og foreningsmarkedet har 80% fortsatt store mangler på GDPR. Årsakene til dette er selvsagt flere. Vi kan peke på noen åpenbare. Når prisene for å gjennomføre GDPR for en liten bedrift koster fra 40.000.- og oppover har ikke bedriften finansielle muskler til å gjøre dette arbeidet. Så kom aldri Datatilsynet på døra heller. En annen årsak er at lovverket er rett og slett for komplisert. Veiledningene på Datatilsynet er vanskelig å finne ut av. Mange gjorde det Datatilsynet sa i starten -litt er bedre enn ingenting. Så ble det med det. Nå to år senere begynner Datatilsynet å dele ut bøter. Bedrifter, foreninger, stat og kommune ligger fortsatt bakpå. Dette gjelder ikke bare i Norge, men stort sett hele EØS sliter med det samme. Det som er interessant i dette kan vi lese i personopplysningslovens artikkel 52.4: Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte. Har Norsk stat innfridd forpliktelsene de en gang skrev under på? Datatilsynet har kanskje ikke hatt de ressursene de burde ha for å tydeliggjøre hvilke forpliktelser de som må følge GDPR er og hvordan man skal gjøre dette.

 

Hvor skal vi?

 I oktober kommer GDPR til Dubai, Egypt har de siste dagene lansert sin versjon av GDPR, California har sin. EU forkastet fredag USA sitt forhold til GDPR gjennom sin privacy shield ordning. Forsøker vi å se langt nok inn i krystallkula ser vi nok på en global GDPR. GDPR forsvinner med andre ord ikke, men vil styrke seg. Det blir nok heller ikke enklere, dessverre. Mange har forsøkt med enkle digitale løsninger, men det er for mange fallgruver. De som nå har fått bøter, eller er innstilt på bøter ville fortsatt fått bøter dersom man hadde benyttet en heldigital løsning. Så GDPR er kommet for å bli og kommer til å bli viktigere og viktigere i fremtiden. Personvernrådgivere blir de nye revisorene. Det er dit vi er på vei. Det er ikke utelukkende negativt. En god rådgiver vil kunne hjelpe deg til å nå ut til kunder og du vil kunne bruke dette arbeidet i din bedrift til å bygge omdømme å styrke din bedrift. Så i stedet for å skyve GDPR bort, ta det imot og gjør det beste av det.  

Råder

Rådhusgaten 1

3126 Tønsberg

Org. nr. 924 647 175

post@raader.no