Print URL: http://www.klassekampen.no/article/20171103/ARTICLE/171109981

I mai 2018 trer EUs omfattende personvernforordning i kraft. Loven vil utløse store bøter:

Vil utsette ny EU-lov

Av Astrid Hygen Meyer (tekst) og Tom Henning Bratlie (tekst og foto)

Publiseringsdato: Fredag 3. november 2017

Seksjon: Kultur og medier

Ikke fått informasjon: Kaja Maria Marstrander driver butikken Hundehuset AS, og forteller at hun ikke har hørt noe om det nye regelverket fra EU, som også vil få konsekvenser for personvernet i hennes butikk.

Om få måneder må alle bedrifter skjerpe rutinene for lagring av personopplysninger. Nå anbefaler en av ring­revene innen IT og personvern at Norge utsetter hele loven.

Kamp om Personvernet

Det er blitt omtalt som et slags Klondyke for vår tid, den massive innsamlingen av personlig kundeinformasjon som flyter mellom selskapene, på tvers av landegrenser og markeder.

Men fra mai neste år innføres EUs massive oppdatering av personvernlovgivningen, og bedriftene får en stor jobb å gjøre. I 2016 vedtok EU en ny omfattende personvernforordning, som går under forkortelsen GDPR, og 25. mai trer den i kraft i hele Europa. For dem som slurver, venter bøter på opp mot 20 millioner euro – eller fire prosent av omsetningen.

Bøtene bekymrer advokat Arve Føyen, leder i Den norske dataforeningens IT-politiske råd. Føyen er kjent som en nestor innen IT, og i sin høringsuttalelse til Justis- og beredskapsdepartementet skriver Føyen på vegne av rådet at Norge bør avvente innføringen av GDPR. Han mener loven trenger mer utredning.

– Vi ser med grunnleggende bekymring på konsekvensene av loven. Veldig mye i det nye regelverket er skjønnsmessig vanskelig å forstå. Hvis en bedrift ikke skulle opptre i overensstemmelse med forordningen, får det store økonomiske konsekvenser.

– Er ikke den bekymringen først og fremst et tegn på at bedriftene i dag behandler personopplysninger for lemfeldig?

FAKTA

Dette er GDPR:

• GDPR står for General Data Protection Regulation, og er en EU-lovgivning som skal styrke og harmonisere personvernet i hele EU.

• At GDPR er en forordning, betyr at den er en inngripende lov som er ferdig behandlet i EU-systemet.

• Den trer i kraft 25. mai 2018 over hele Europa.

– Dette er et nytt regelverk, og kravene i dette er mye strengere enn i det gamle. Men siden bøtenivået ikke er så høyt i det gamle regelverket, kan det hende de ikke i like stor grad har innrettet seg etter regelverket.

Overraskende

At en kapasitet som Arve Føyen ber Norge om å avvente GDPR, er overraskende, mener Datatilsynets direktør Bjørn Erik Thon.

– Det er overhodet ingen realisme i et sånt innspill. Dette regelverket ble vedtatt i 2016, så bedriftene har snart hatt to år på seg på å bli klare.

Likevel ser også Datatilsynets direktør at svært mange later til å ligge langt på etterskudd med forberedelsene til det nye regelverket.

– Hvis du ikke har noen ting på plass ennå, begynner du å få alvorlig dårlig tid. Vi ser at de store, tunge bedriftene stort sett er i gang, og at de allerede bruker store interne og eksterne ressurser. Men i offentlig sektor og i kommunene begynner det å bli hastverk.

For bedrifter som trenger hjelp til å fortolke det avanserte regelverket, har Datatilsynet lagt ut veiledere på sine nettsider. Mange er også i gang med å søke juridisk hjelp.

– Det nye regelverket blir god butikk for advokatene?

– Det gjør det nok. Samtidig er det en forutsetning for suksess at bedriftene selv tar eierskap til disse prosessene.

Bryter dagens regelverk

Denne uka meldte NRK om en fersk undersøkelse som viser at mellom 30 og 40 prosent av bedriftene bryter dagens personvernregler. Særlig syndes det mot kravet om å informere om hvilke rettigheter kundene har når de melder seg inn i kunderegistre, skriver NRK. En femdel av bedriftene lagrer dessuten kundenes fødselsnummer.

For Datatilsynet er det dermed liten tvil om at de ønsker det nye regelverket velkommen. Hensikten med loven er å styrke rettighetene til mannen i gata, påpeker Thon.

– Dette har vært et unisont ønske fra alle som jobber med personvern. For norske virksomheter bør dette også være en god anledning til å rydde opp i egne databaser.

astrid.hygen.meyer@klassekampen.no