– Mange må skifte ut hele IT-systemet sitt på grunn av kravet om innebygd personvern, sa sjeføkonom i IKT-Norge, Roger Schjerva (nummer to fra venstre). Til venstre Emily Weitzenboeck, Schjerva, Bjørn Erik Thon og Nicolai Pfeiffer, group privacy officer i Telenor.
Datatilsynet: - Forordningens tekst er helt forferdelig
Noen av bestemmelsene i GPDR er veldig vurderingspregede, og vil være utfordrende å tolke, sa Wikborg Rein-advokat Emily Weitzenboeck i debatt på Arendalsuka. Datatilsynets sjef frykter en uønsket rettsutvikling med skyhøye gebyrer.
ARENDAL: «Hva betyr det når kundene dine har rett til å bli glemt» var temaet for en debatt arrangert av Handelshøyskolen BI under Arendalsuka. I panelet satt blant annet direktør i Datatilsynet, Bjørn Erik Thon, Wikborg Rein-advokat Emily Weitzenboeck og Telenor-topp Sigve Brekke.
Weitzenboeck, som jobber i Wikborg Reins avdeling for IKT og digitalisering, trakk frem to utfordringer fra den nye personvernforordningen:
– Når man skal innføre et nytt datasystem, eller en ny løsning som vil innebære høy risiko for individets personvern, så kreves det en dybdeanalyse for å vurdere risiko for personvernbrudd, tiltak for å ivareta personvern, og for å håndtere risiko-situasjonene. Men når kan man vite at man har tatt, eller innført, gode nok tiltak? Og når kreves det at dette må drøftes med Datatilsynet?
– Behovet for avklaringer tilsier at det vil være mange virksomheter som ønsker å drøfte dette med Datatilsynet det første halvannet året. Dette vil kanskje stå noe i motsetning til den påtenkte forenklingen av tilsynsmyndighetens rolle. Jeg ser dette som en utfordring, sa Weitzenboeck.
Et annet, nokså komplisert krav i GPDR er kravet til innebygd personvern, såkalt data protection by design.
– I nye systemer er det kanskje enklere, fordi man kan ta stilling til dette fra anskaffelsen. Men hva gjør man med eksisterende systemer som ikke kan tilpasses? Bør man unngå å bruke disse systemene for å behandle personvernopplysninger? Artikkel 25, som omhandler dette, er vagt formulert, og åpner for mange tolkninger, sa Weitzenboeck.
«Helt ubegripelig»
Direktør Bjørn Erik Thon i Datatilsynet er også kritisk til deler av tekstene i GPDR.
– Forordningens tekst er helt forferdelig og noen steder helt ubegripelig. Oversettelsen er jeg ikke helt enig i, for eksempel forslaget om å erstatte ordet «personvernombud» til «personvernrådgiver», sa Thon.
Advokat Weitzenboeck understrekte at hun synes fortalene til GPDR er gode, og hjelper til å tolke bestemmelsene, fordi de peker på årsakene bak.
Uønsket rettsutvikling?
At regelverket er felles for hele Europa, er en utfordring, sa Datatilsynets direktør.
– Dette betyr at slik vi tolker regelverket her i Norge, kan være annerledes enn i andre land. Vi har ikke tradisjon for å bruke overtredelsesgebyrer, men kommer til å følge de store sakene. Hvis noen europeiske land er veldig på hugget, og legger seg på et skyhøyt gebyr, kan vi bli trukket inn i en rettsutvikling vi ikke ønsker, sa Thon.
Han kalte innføringen av GPRD som et «tidsskille».
– Den som har mest data, kan langt på vei kan tilby de beste tjenestene. Det er et kappløp om innsamlingen. Mange selskaper som sier at de skal vite mer om kundene enn kunden vet om seg selv. Dette er helt nytt.
Men markedet i dag er i ubalanse, mente Thon.
– Det er noen, sterke aktører som vet veldig mye om oss, men vi vet veldig lite om dem, og hva de bruker dataene til, eller hva de skal bruke dem til om to, tre eller fem år frem i tid. Dette er bakteppet for GPDR. I et maktperspektiv gir det nye regelverket forbrukerne bedre rettigheter. En rettighet som er uhyre interessant, er retten til såkalt dataportabilitet. Dette betyr at forbrukerens eiendomsrett til egne data styrkes.
– Jeg har veldig tro på at dette vil skape en ny balanse i markedet. Forbrukeren kan ta med seg dataene til et selskap som er bedre på personvern. Det styrker også eiendomsretten, og er en konkurransebestemmelse. At det nye regelverket styrker forbrukersiden, vil endre maktforholdet, sa Thon.
Les flere artikler om GDPR og hva forordningen betyr for advokater i Advokatbladet nr 8/9.
Mer hjelp
På Datatilsynets nettsider kan du lese mer om hva GPDR betyr for ulike virksomheter, og laste ned en veileder.
Informasjonen er delt i 12 punkter:
1. Hva betyr de nye personvernreglene for din virksomhet?
2. Alle norske virksomheter får nye plikter.
3. Alle skal gi god informasjon om hvordan de behandler personopplysninger.
4. Alle skal vurdere risiko og personvernkonsekvenser.
5. Alle skal bygge personvern inn i nye løsninger.
6. Mange virksomheter må opprette personvernombud.
7. Reglene gjelder også virksomheter utenfor Europa.
8. Alle databehandler får nye plikter.
9. Alle bør samarbeide i egne nettverk og følge bransjenormer.
10. Alle får nye krav til avvikshåndtering.
11. Alle må kunne oppfylle borgernes nye rettigheter.