Datatilsynet håvet inn på personvernsbrudd i fjor

Riktignok er det ikke alle sakene fra i fjor som er endelig avgjort – blant annet er den største boten på 65 millioner kroner til datingtjenesten Grindr påklaget til Personvernnemnda, som har til gode å fatte endelig vedtak i saken. Men uansett vil bøtenivået være det høyeste noensinne med god margin, opp fra 15 millioner året før. Til sammen er det delt ut noe over 130 millioner kroner i GDPR-bøter siden 2018.

– Dette er en helt riktig utvikling når man ser presset på personvernet som følger den digitale utviklingen i samfunnet, og hvor stor makt og innflytelse private aktører som for eksempel Grindr har på enkeltmenneskers liv. Da er det riktig å være tydelig og slå hardt ned på grove brudd, sier direktør Line Coll i Datatilsynet til Kapital.

Grindr-saken er til dags dato den mest høyprofilerte av sitt slag i Norge. Forbrukerrådet klaget først det amerikanske selskapet inn til Datatilsynet i 2020. Tilsynet undersøkte selskapets app, og kom frem til at brukernes personopplysninger hadde blitt utlevert til tredjeparter uten gyldig samtykke, deriblant GPS-lokasjon, IP-adresse, annonserings-ID samt alder og kjønn.

– Personvernet blir satt mer og mer på prøve. Det har vært behov for å se på hvordan vi kan forvalte personvernet enda bedre, og behovet for en tydelig tilsynsmyndighet har blitt større, sier Coll.

Millioner til det offentlige

Det er ikke kun private næringslivsaktører som begår feil på personvernområdet. Blant sakene fra i fjor er en bot til Østre Toten kommune som skyldes avdekkede mangler ved personopplysningssikkerheten og tilhørende internkontroll, på fire millioner kroner. En gjennomgang av de sentrale avgjørelsene fra fjoråret viser i tillegg at bøter til Stortinget på to millioner og Nav på fem millioner er blant de største i perioden, foruten et overtredelsesgebyr til Trumf på fem millioner. De øvrige bøtene er ellers i størrelsesorden noen hundre tusen kroner eller lavere.

– Kommune og stat er helt sentrale i å forvalte personvernretten til oss som enkeltindivider. Derfor er det så viktig at det offentlige tar ansvar og jobber godt med personvern, slik at vi som borgere fortsatt kan ha tillit til alle de offentlige tjenestene og leveransene som kommer fra dem, sier Line Coll.

Grunnen til at ingen av bøtene til det offentlige er i nærheten av den til for eksempel Grindr, er blant annet at tilsynet ser hen til omsetning i fastsettelsen. I tillegg er det en kjensgjerning at overtredelsesgebyrer som er tildelt enkelte private aktører, ikke minst i Europa, er så store at det raskt kunne radbrukket økonomien til en norsk kommune.

En rapport fra advokatfirmaet DLA Piper viser at europeiske tilsynsmyndigheter det siste året har utstedt bøter for 2,9 milliarder euro for brudd på GDPR, mer enn en dobling sammenlignet med samme periode året før. Det gikk spesielt hardt utover Facebooks eierselskap Meta, som nylig ble ilagt gebyr på 390 millioner euro i Irland. Og det er ikke første gang selskapet straffes – ifølge internasjonale medier har Meta totalt måttet betale rundt én milliard euro for personvernbrudd.

Strammer inn: Det er helt riktig med høyere bøter i takt med økende press på personvernet som følge av den digitale utviklingen i samfunnet, sier direktør Line Coll i Datatilsynet. Foto: Ilja C. Hendel/Datatilsynet

Kan gi veldig store bøter

Ut fra statistikken kan det se ut som Datatilsynet frem til nå har gitt virksomhetene det kontrollerer noe slack, før det i fjor ble strammet til. GDPR ble imidlertid vedtatt i 2016 og innført i 2018, og overgangsperioden er for lengst utløpt. Men også for tilsynsmyndighetene har det tatt litt tid å områ seg og se an hvordan det nye regelverket har materialisert seg ute hos virksomhetene. Coll påpeker i tillegg at norsk rettstradisjon generelt er mer moderat enn i flere andre land, både når det gjelder eksempelvis erstatninger, men også bøter fra det offentlige.

–  Konkurransetilsynet har gitt noen veldig store bøter. Andre offentlige etater og organer har ikke gjort tilsvarende, men nå har vi i Datatilsynet hjemmel og myndighet til det gjennom GDPR. Vi har brukt noen år på å lande hvordan vi skal forvalte det virkemiddelet, sier direktøren.

Stadig høyere bøter tilsier dermed ikke nødvendigvis at nivået er lavt hos norske bedrifter. Coll understreker at høy aktivitet ikke nødvendigvis er negativt. I tilsynet er man for eksempel glad for at det fra mange bransjer kommer inn et høyt antall avviksmeldinger, fordi det viser at systemene fungerer. Det er mer urovekkende dersom det aldri rapporteres avvik.

– Det er stor variasjon. Mange gjør veldig mye bra, og så er det noen som fremdeles henger etter. Jeg tror det har noe med ressurser å gjøre, det er krevende å drive virksomhet i det som er en slags compliance era, sier hun.

Compliance kan oversettes til overholdelse eller etterlevelse. Og det har vært mye nytt som skal etterleves de siste årene, knyttet til blant annet antikorrupsjon, hvitvasking, miljø og personvern.

– Det er mange nye regelverk som alle virksomheter må hensynta, og det kan være spesielt krevende for små og mellomstore bedrifter. De store lokomotivene i Norge vil jeg si at har gjort mye bra, og det samme har staten og kommunene – særlig de store kommunene. For mindre bedrifter og mindre kommuner er det mer utfordrende. Det krever ressurser og kapital for å etterkomme disse relativt komplekse reglene, sier Coll.

– Mørketall

Ifølge tilsynsdirektøren utgjør størrelse og ressurser et større skille for om bedriftene er gode på personvern enn type virksomhet eller bransje. Men det er noen som skiller seg ut.

– Virksomheter som har identifisert stor risiko, med hensyn til både bøter og reaksjoner fra oss, men også tillits- og omdømmetap, får ofte gjort mye mer. I hvert fall om de er av en viss størrelse. Forsikringsselskaper i det private lever for eksempel av å forvalte personopplysningene våre, og denne bransjen har jobbet veldig systematisk og grundig, slik jeg erfarer det. I det offentlige har helseforetakene også tatt dette veldig alvorlig fra starten, og skiller seg ut positivt. Der skjer det omfattende digitalisering og er mye pågående arbeid, sier hun.

Mer krevende er det å peke ut noen som skiller seg ut i negativ retning. Men dersom man knytter personvern opp mot tillit, scorer for eksempel sosiale medier lavt blant folk flest i undersøkelser. Det samme gjør også endel nettbutikker. Og Coll forteller for øvrig at de får relativt få avviksrapporter fra hotellnæringen, samt fra butikk og varehandel, som gjerne driver store kundeklubber og lojalitetsprogrammer.

– Der tipper jeg kanskje det er mørketall. Vi får i liten grad meldinger herfra, og det er lav tillit. Selv om det ikke har vært noen store saker, kan det være en indikasjon på at disse bransjene kanskje skiller seg ut i negativ forstand.

Uanmeldte kontroller

I Datatilsynet har man tradisjon for brevlige tilsyn eller forhåndsvarslede tilsyn. Men de utelukker ikke at de også kan komme på uanmeldt visitt, selv om det har vært relativt sjeldent. Line Colls beste tips er uansett rett og slett å være godt forberedt.

– Om man får til operasjonell og funksjonell etterlevelse, er man godt stilt når man får besøk av oss. I det ligger det at man har kontroll, og har systemer og ansatte som er kjent med virksomhetens forpliktelser. De gangene vi opplever at man må lete etter en mappe på noens skrivebord, da sliter man. Hvis man må gå flere runder på hvem som er ansvarlig for håndteringen, er det også veldig uheldig, sier hun.

De gangene vi opplever at man må lete etter en mappe på noens skrivebord, da sliter man. Hvis man må gå flere runder på hvem som er ansvarlig for håndteringen, er det også veldig uheldig.

Direktør Line Coll i Datatilsynet

Datatilsynet mener at det viktigste er at bedriftene har “en operasjonell etterlevelse” av regelverket, i den forstand at det integreres i virksomheten. De beste klarer å jobbe inn personverntematikk som en del av kulturen og i bevisstheten til både ansatte og ledelsen. Motsatsen er å behandle det som en skrivebordsøvelse. 

– Det er et gap fra det å vite om loven og kjøpe en pakke, til å få til godt operasjonelt personvern som er tilpasset det risikobildet den enkelte bedrift har. Man må få til det operasjonelle, det er en akilleshæl i mange bedrifter.

Hos tilsynet ser man også antydninger til at det er lettest for bedriftene å ta tak i de tingene som går direkte på tilliten til virksomheten, hvor man risikerer omdømmetap. Det som stort sett er usynlig, og kun kommer til overflaten dersom det skulle gå galt, kan fort bli nedprioritert. Men det er likevel viktig å ha kontroll på.

– Det er ikke alt som er så sexy å jobbe med, men det grunnleggende må ligge i bunnen, sier Coll.

Vil hjelpe

Tilsynsdirektøren jobbet tidligere som partner i advokatfirmaet Wikborg Rein og bisto virksomheter med spørsmål knyttet til teknologi og digitalisering. Hun mener god etterlevelse slett ikke kun er ekstra bryderi, men kan gi et konkurransefortrinn med løpende effekt. Og også i sin nye jobb vil hun hjelpe bedriftene med å oppnå dette.

– Jeg har, med min erfaring og historie som personvernadvokat, et ønske om at vi som tilsynsmyndighet skal være mer med på å hjelpe bedrifter gjennom veiledning og dialog for å oppnå den operasjonelle etterlevelsen. Vi må tørre å være mer med på oversetterjobben mellom lov og forskrifter og få det til å funke i virksomhetene, både offentlige og private. Det er ikke lett. Samtidig skal vi holde fast ved å bruke tilsynsmyndigheten der det åpenbart er behov for det.

Hun forteller at dialogen allerede er god mot en del av det offentlige.

– Men det jeg tenker er vel så viktig, er å styrke den siden også inn mot det private. Det å invitere bedrifter til å ta enda mer kontakt med oss, uten å være redde fordi de samtidig avdekker utfordringer, det tror jeg sender et viktig signal fra oss.

Datainnbrudd: Selv ikke lovgivere er unntatt loven. Stortinget fikk i juni to millioner i gebyr for manglende IT-sikkerhet. Foto: Håkon Mosvold Larsen/NTB