Ett år med GDPR

Snart ett år har gått siden EUs personvernforordning (GDPR) ble innført i Norge. Det nye regelverket har medført strengere krav til virksomheter, og enkelte bedrifter har allerede blitt bøtelagt for å behandle personopplysninger galt.

 

– GDPR er et nytt og relativt komplisert lovverk som mange virksomheter trenger hjelp til å forstå og anvende. I Wikborg Rein bistår vi klientene våre  med rådgivning knyttet til hva de gjør bra og hva de bør gjøre annerledes, men også med å identifisere forretningsmessige muligheter for bedriftene, forteller Gry Hvidsten, advokat og Specialist Counsel i Wikborg Rein.

Sammen med Wikborg Rein-advokat Lars Vinden, var de med å arrangere det årlige personvernombudskurset. Kurset arrangeres av Juristenes Utdanningssenter (JUS) i tett samarbeid med Datatilsynet, og bringer sammen personvernombud og andre med ansvar for personvern fra ulike sektorer for å bygge nettverk og utveksle erfaringer.

– Det nye GDPR-regelverket stiller krav om at offentlige og mange private virksomheter skal ha et personvernombud.  Også virksomheter som ikke er underlagt dette kravet har mye å hente på å ha dedikerte personer med ansvar for behandling av personopplysninger, forteller Hvidsten videre.

Populært kurs

På kurset deltar blant annet advokater og HR-personell som jobber med GDPR i det daglige. Karoline Bøhler, advokat og personvernombud i Rederiforbundet, var en av årets deltakere. Hun forteller at kurset var nyttig og ga gode eksempler på erfaringer med og praktisering av de nye GDPR-reglene.  

– Som personvernombud er min oppgave å bidra til at vi som organisasjon etterlever personvernregelverket. Som advokat i forbundet gir jeg også råd til våre nesten 150 medlemsbedrifter om forståelsen av GDPR innen maritim næring, hvor vi møter en del utfordringer som følge av medlemmenes globale virksomhet, sier hun.

Også advokat og personvernombud i Vy, Sverre McSeveny-Åril, deltok på personvernombudskurset 9. mai. Han forteller at Vy er en stor arbeidsgiver som behandler personopplysninger om mange kunder og ansatte, og at endringene i regelverket påvirker dem og måten selskapet behandler opplysninger på.

– Dette var et veldig godt kurs som tar opp mange aktuelle spørsmål. Det var interessant å få input fra fagpersoner og andre som jobber med personvern i ulike organisasjoner til daglig. Man får høre om hvordan andre har løst ulike utfordringer, og i tillegg får man nyttige tips til praktisk gjennomføring i egen organisasjon, sier han.

Mange nye og ukjente problemstillinger

Blant hovedpostene på årets program var kravet om formålsbestemthet og nye regler om felles behandlingsansvar.

– Formålsbestemthet innebærer at personopplysninger skal samles inn for spesifikke, formål. Virksomhetene opplever at det er et press i retning av å bruke data for nye formål, og det er derfor en fare for formålsutglidning og bruk som kan være problematisk sammenlignet med det dataene ble samlet inn for, forklarer Hvidsten.

Ifølge Gry skjer dette ofte som en følge av digitaliseringsprosesser der data samles i såkalte "data lakes" el. for å kunne benyttes som grunnlag for ny kunnskap.

– Reglene om felles behandlingsansvar har særlig blitt aktualisert som en følge av avgjørelser fra EU-domstolen, som bl.a. har fastslått at en virksomhet som har en side på Facebook – en såkalt fanpage – vil være ansvarlig sammen med Faceboook for personopplysninger som samles inn via informasjonskapsler (cookies), fortsetter hun.

– Gry er en av de dyktigste i Norge når det gjelder personvern, og hun er en av de som har jobbet lengst med dette. I tillegg er hun jo en utrolig flink foredragsholder, sier Cecilie Wille Søvik, advokat og personvernombud i Econa, og deltaker på årets kurs.

Wikborg Rein-advokat, Lars Vinden, som har lang og omfattende erfaring fra blant annet Forbrukertilsynet, Schibsted og Telia, snakket  om markedsføring på internett, og gjennomgikk både relevant regelverk og utvalgte problemstillinger.

– Mange selskaper har tilpasset seg den digitale fremtiden, og bruker i dag online markedsføring for å nå utvalgte målgrupper. For å målrette annonser samles det inn og utveksles store mengder data i et komplekst økosystem og det kan være vanskelig å få oversikt over hva som faktisk skjer. Samtidig må man passe på å overholde både GDPR, ekomloven og markedsføringsloven, så her gjelder det å holde tungen rett i munnen, forteller han.

Tilbyr en personvernpartner

I mange bedrifter gjør personvernombud og personvernrådgivere et omfattende arbeid for å styrke kunnskapen og lage felles kjøreregler. Likevel er det fremdeles mange bedrifter som mangler kapasitet eller kompetanse for å håndtere kravene som følger av GDPR på en god måte.

–  Blant annet fordi Datatilsynet ikke har ressurser til å ivareta alle virksomheter med personvernombud, lanserte Wikborg Rein i 2018 Personvernpartner, som innebærer løpende støtte fra Wiborg Reins svært erfarne og praktisk orienterte personverneksperter. Personvernpartner er et tilbud til virksomheter som ønsker økt kompetanse i det daglige personvernarbeidet, eller som har kapasitetsutfordringer knyttet til personvern, forklarer Hvidsten.

Tilbudet omfatter blant annet at Wikborg Rein vil være en diskusjonspartner knyttet til organiseringen av personvernombud, utarbeidelsen av verktøy og maler, løpende forretningsutvikling, markedsføringstiltak, kursing av ansatte  mv.

–  Personvernpartner tilbys til en forutsigbar, håndterbar og skalerbar kostnad. Våre personvernseksperter vil være en one-stop-shop for praktisk og relevant rådgivning for alle med personvernansvar i sin virksomhet, avslutter Hvidsten.  

Les mer om Personvernpartner