EUs nye personvernforordning GDPR trådte i kraft her til lands 20. juli. Dette har folk flest allerede fått merke gjennom en hel rekke eposter fra bedrifter som endrer personvernsvilkårene sine. Men også hos Datatilsynet strømmer det på med meldinger knyttet til det nye lovverket.
Som ansvarlig tilsynsorgan skal Datatilsynet varsles av bedrifter og virksomheter dersom de har avdekket egne brudd på reglene. I fjor på samme tid hadde det kommet 189 slike avviksmeldinger, mens det så langt i år har kommet 499 – nesten tre ganger så mye.
– Dette regner vi med har å gjøre med den nye lovgivningen og at det stilles strengere krav, sier avdelingsdirektør for teknologi Hallstein Husand i Datatilsynet til NTB.
Samtidig er trafikken på datatilsynet.no firedoblet.
– Gjelder alle med ansatte
Kort fortalt skal GDPR gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem på nettet. I kjernen av regelverket ligger et krav om samtykke. Samtidig innføres «retten til å bli glemt». Det betyr at folk skal kunne be om å få personopplysninger slettet.
– Har du ansatte, kunder eller klienter, så behandler du personopplysninger, og da gjelder lovverket. Sånn var det før også, men vi opplever at mange har satt i gang arbeid med dette etter at GDPR er blitt mye omtalt i mediene. Vi er bekymret for dem som ennå ikke har skjønt hvilke konsekvenser det har for dem, sier Husand.
Konsekvensene av brudd på lovverket kan i verste fall bli alvorlige. Selskaper kan bli ilagt et overtredelsesgebyr på opp til på opptil 20 millioner euro – eller 4 prosent av den årlige globale omsetningen dersom dette utgjør mer. For store internasjonale selskaper betyr det at bøtene kan vokse til milliardstørrelse.
– Vi har også tidligere hatt muligheten til å ilegge gebyrer, og det er noe vi har brukt. Forskjellen er at det nå blir et helt annet nivå på gebyrene, sier Husand.
Sommerstille
Snart to uker etter at det nye lovverket ble innført, har Datatilsynet foreløpig ikke fått inn noen nye saker hvor det har vært aktuelt å vurdere gebyr.
– Vi har inntrykk av at GDPR blir tatt på alvor. Det finnes både virksomheter som tar det veldig på alvor, mens andre kanskje ikke har erkjent at dette treffer dem. Men det gjør det, sier avdelingsdirektøren.
Inntrykket til Datatilsynet er at mange virksomheter har vært i forkant for å få orden i sysakene sine før 20. juli. Selv om trykket har vært stort så langt i år, var den første uken etter innføringen forholdsvis rolig.
– Timingen med at dette kom på sommeren, har gjort at det har vært ganske stille. Vi har ikke fått så fryktelig mange flere henvendelser enn på en vanlig sommeruke, sier Husand om den første uken.