Artikkel
GDPR 5 år
Fem faktorer for det femte året
Personvernforordningen (GDPR) ble vedtatt i EU i 2016 og trådte i kraft 25. mai 2018. I Norge ble forordningen inkorporert gjennom personopplysningsloven og trådte i kraft 20. juli samme år. Siden forordningen trådte i kraft har den hatt stor europeisk og global innvirkning på hvordan personopplysningene våre blir behandlet og beskyttet. Fra økt bevissthet om personvern til strengere reguleringer og håndhevelse, har GDPR forandret måten bedrifter og organisasjoner håndterer personopplysninger på, og har ført til økt ansvarlighet og åpenhet. Her er fem faktorer som har preget de siste fem årene med GDPR.
1. Økt bevissthet om personvern
GDPR har ført til økt bevissthet om personvern hos både enkeltpersoner og virksomheter. Enkeltpersoner er nå mer klar over sine rettigheter når det gjelder behandling av personopplysninger, og de kan kreve at organisasjoner behandler personopplysninger på en måte som er i tråd med GDPR. Virksomheter har blitt tvunget til å implementere nye rutiner og systemer for å sikre at de oppfyller kravene i GDPR. Dette har økt bevisstheten om personvern i organisasjoner, og har ført til at de tar personvern mer seriøst. Videre har tilsynsmyndigheter fått større makt til å håndheve GDPR, og dette har skapt en kultur hvor virksomheter blir mer opptatt av å overholde reglene for personvern.
Mediedekningen av GDPR har også bidratt til økt bevissthet rundt personvern. I perioden 2013-2016 var årlig antall medieoppslag med omtale av Datatilsynet 1864 på det laveste, og 3632 på det høyeste . I perioden 2019-2022 var tallene hhv. 4233 og 5173 . Økningen fra ca. 400 000 sidevisninger på Datatilsynets nettside i 2015 til hele 6.8 millioner visninger i 2022 underbygger også at bevisstheten har økt i Norge som i resten av EØS.
2. Strengere sanksjoner og økonomiske bøter
GDPR åpnet for betydelig strengere sanksjoner, herunder høye overtredelsesgebyr. Noen av de mest kjente sakene i Norge gjaldt en datingapp for skeive som ble ilagt gebyr på 65 millioner kroner i 2021, og en treningskjede som fikk 10 millioner i gebyr tidligere i år. Ser vi utenfor landegrensene finner vi eksempler på gebyrer til de store TEK-selskapene i milliardklassen.
Disse bøtene har gjort det klart at brudd på personvernreglene kan få alvorlige økonomiske konsekvenser, og utviklingen synes å gå i retning av høyere bøter. Rekorden så langt er et overtredelsesgebyr på 746 millioner euro til Amazon Europe fra datatilsynsmyndigheten i Luxemburg.
3. Styrkede rettigheter for enkeltpersoner
GDPR har styrket rettighetene til enkeltpersoner ved å gi dem større kontroll over hvordan deres personopplysninger behandles. Etter GDPR ble ansvarlighetsprinsippet tydeliggjort. I ble følgende rettigheter styrket: rett til å få informasjon om hvordan deres personopplysninger blir behandlet, rett til å få tilgang til egne personopplysninger, rett til å korrigere feilaktige opplysninger og rett til å få personopplysninger slettet. GDPR stiller også strenge krav til informasjonssikkerhet og personvern som gjelder for virksomheter og organisasjoner som behandler personopplysninger. GDPR har etablert nye virkemidler og tiltak for å håndheve personvernforordningen og beskytte enkeltpersoners rettigheter, inkludert sanksjoner mot virksomheter og organisasjoner som bryter GDPR-reglene, samt mulighet for enkeltpersoner å klage til tilsynsmyndighetene hvis de mener at deres rettigheter ikke blir ivaretatt.
4. Tredobling av alvorlige cyberangrep
Nasjonal Sikkerhetsmyndighet melder om en tredobling i alvorlige cyberangrep mot norske myndigheter og virksomheter fra 2019-2021 . Cyberangrep fører ofte til at personopplysninger kommer på avveie, og personvernregelverket stiller krav til varsling og håndtering. Den eksplosive utviklingen innen kunstig intelligens er en av flere faktorer som gir grunn til å tro at denne trenden bare vil fortsette. Cybersikkerhet har derfor fått stor oppmerksomhet i EU, og det har kommet flere regelverk som vil bli relevante for norske virksomheter å sette seg inn i. Det er i tillegg flere forslag til nye regelverk på trappene.
Det har den siste tiden vært flere medieoppslag om norske virksomheter som rammes av dataangrep, og dette er saker som skaper stor oppmerksomhet. Angrepet på Toten kommune i 2021 hvor kommunen regnskapsførte utgifter på 33 millioner kroner knyttet til angrepet, viser dessuten at det slike angrep kan bli svært kostbare . Dette i tillegg til et overtredelsesgebyr på 4 millioner kroner. Samspillet mellom cybersikkerhet og personvern er tett, og i en tid hvor antall angrep øker blir det desto viktigere å iverksette tiltak for å øke personopplysningssikkerheten.
5. Kunstig intelligens og rask teknologisk utvikling
Kunstig intelligens og rask teknologisk utvikling utfordrer personvernet på flere måter. Teknologier som maskinlæring og nevrale nettverk brukes stadig mer til å behandle store mengder personopplysninger. Det kan også være vanskelig å forstå hvordan kunstig intelligens kommer fram til sine beslutninger, og dette kan gjøre det vanskelig for enkeltpersoner å forsvare sine rettigheter. GDPR har allerede tatt høyde for noen av disse utfordringene, og krever blant annet at organisasjoner gjennomfører risikovurderinger før de tar i bruk kunstig intelligens. Likevel vil den raske teknologiske utviklingen fortsatt være en utfordring for personvern og GDPR i årene som kommer. For å takle disse utfordringene, vil det være nødvendig med kontinuerlig overvåkning og tilpasning av personvernregler og -praksis. EU har tatt den utfordringen på alvor, og i løpet av 2023 kan det hende vi har den endelige versjonen av AI-forordningen.
Kilder:
1arsrapporten_2016.pdf (datatilsynet.no)
2arsrapport-datatilsynet-2022.pdf
3Risiko 2023 - Nasjonal sikkerhetsmyndighet.pdf (nsm.no)
4Data-angrep, Østre Toten | Dataangrepet kostet 33,2 millioner – nå søker Østre Toten kommune om hjelp fra staten (totenidag.no)
5Overtredelsesgebyr til Østre Toten kommune | Datatilsynet
Tjenester: Personvern, IT-rett og IPR