Personvern har kommet på dagsorden på en helt annen og større måte enn tidligere.
– Jeg har inntrykk av at både private og offentlige virksomheter og enkeltpersoner snakker om det som en rettighet vi alle har. Det er større forståelse for at personvern er en viktig søyle i vårt demokratiske samfunn, sier Line Coll.
Som tidligere forretningsadvokat i Wikborg Rein har hun i mange år hjulpet klienter med å unngå å havne i Datatilsynets søkelys. Nå sitter hun på den andre siden av bordet som nytilsatt direktør i Datatilsynet, og skal slå ned på dem som bryter loven.
En helt ny hverdag
Antall henvendelser til tilsynet har skutt i været etter at GDPR ble innført. Både antall klager fra enkeltpersoner og meldinger om brudd på personopplysningssikkerheten (avviksmeldinger) har hatt en formidabel økning.
– Det sier mye, sier hun.
Men det er ikke bare bedriftene som har måttet lære mye på kort tid. Også de ansatte i tilsynet forholder seg til en ny hverdag.
– Hvordan skal vi best mulig gi både råd og veiledning, og hvordan vi skal sanksjonere for å oppnå best mulig personvern i samfunnet? Vi ser nå at det kanskje er på tide med en justering, sier hun.
Jobbes gjøres i bedriftene
Det er nemlig virksomhetene, både private og offentlige, som i realiteten håndhever personvernet for deg og meg.
– Vi må derfor bli enda bedre på det operasjonelle og hvordan vi veileder, tror jeg.
Hennes inntrykk er at veldig mange bedrifter har personvern og etterlevelse av GDPR høyt på agendaen, men det er fortsatt mye som skal på plass.
– Jeg brenner for dette, og har sammen med de ansatte startet et større arbeid for å se hvor skoen trykker i dag, fem år etter implementering.
Nylig fikk hun innspill fra over 100 virksomheter.
– Én ting er å etterleve regelverket, men enda viktigere er det å forstå verdien av regelverket.
Kommentar fra Bjørn Ofstad, partner i Deloitte og personvernekspert, kan du lese her:
Store bøter har effekt
Rett som det er leser man i mediene om bedrifter og etater som ilegges millionbøter av Datatilsynet.
Bergen og Oslo kommune og SATS er noen av dem. Rekorden innehar sjekke-appen Grindr. 65 millioner er de avkrevd i overtredelsesgebyr.
– Selv om denne saken er påklaget til Personvernnemnda, så sender den et viktig signal, sier Coll.
Hun mener det er rom for å øke beløpene, men ønsker samtidig å bruke virkemidlet konstruktivt og der det gir størst mulig effekt.
– Vår misjon er at alle skal lære enda mer om personvern, og et av virkemidlene er overtredelsesgebyr. Store gebyrer har en avskrekkende effekt, men det gir også mye læring til alle som jobber med personvern. Og det gjør jo så å si alle bedrifter i dag, sier Coll.
Luker ut verstinger
I fjor mottok tilsynet 2.250 avviksmeldinger.
– Det sier seg selv at det er umulig for oss å kontrollere alle disse i detalj. Men vi går igjennom alle meldinger vi får inn, og løfter de som er kritiske for videre behandling, sier hun.
Hun har mer tro på at god veiledning gir bedre resultater på sikt.
– Siden regelverket er ganske overordnet og åpent, har det ført til at vi stadig må finne gode retninger i veiledningsarbeidet vårt. Det er mange nyanser, og det er mye det ikke finnes et entydig svar på, sier Coll.
GDPR fordrer at man går inn og gjør interesseavveininger, og vurderer personvernkonsekvenser når data skal behandles.
– Det vi kaller ansvarlighetsprisippet, gir alle bedrifter et særlig ansvar for å etterleve regelverket og vurdere ulike problemstillinger selv. Det er behov for gode veiledere med masse eksempler.
Etter fem år med de nye reglene finnes det mange eksempler.
Grensene flyttes raskt
Datatilsynet er en vaktbikkje som spør hva slags samfunn vil vi ha?
– Grensene for overvåkning og kontroll pushes hele tiden, og maktbalansen forskyves. Tenk bare hvilken enorm makt de store teknologiselskapene sitter på i dag, takket være persondata om deg og meg, sier Coll.
Nå utfordres samfunnet av en ny teknologi, nemlig kunstig intelligens.
– Utviklingen går i rakettfart, og ikke en gang de mest avanserte eksperter kan alltid gi en god forklaring på hva som skjer. Det er umulig å ikke forholde seg til utviklingen, og det kommer nok til å gjenspeile våre prioriteringer, sier Coll.
Hun hverken kan eller vil forsøke å stanse den teknologiske utviklingen.
– Men vi må ha stor oppmerksomhet på at kunstig intelligens følger personvernprinsippene. EU har mange lover i støpeskjeen.
Kunstig intelligens og algoritmer lever av data, ofte i form av personopplysninger.
– Revolusjonen legger et stort press på personvernet i samfunnet. Det vil påvirke hvordan man forholder seg til GDPR-spørsmål og alle som jobber med personvern i egen organisasjon, sier Coll.
– Og tilsynsarbeidet?
– I aller høyeste grad påvirker det vårt tilsynsarbeid. Vi ser det også ellers i hele Europa, det er mange saker i omløp, blant annet om ChatGPT, sier direktøren i Datatilsynet.
