PERSONVERN

Har du husket å føle deg GDPR-utmattet i dag?

Advokat Thomas Flo Haugaard i Bryn Aarflot skriver i denne kronikken at det er mange norske bedrifter som sliter med å holde følge med regelverket på personvernområdet.

Thomas Flo Haugaard, assosiert partner/advokat i Bryn Aarflot, mener personvernregelverket ikke er tilpasset landskapet det skal fungere i.
Thomas Flo Haugaard, assosiert partner/advokat i Bryn Aarflot, mener personvernregelverket ikke er tilpasset landskapet det skal fungere i. Foto: Bryn Aarflot
Av Thomas Flo Haugaard i Bryn Aarflot.
14. sep. 2022 - 12:10

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

I sitt første foredrag som ny direktør for Datatilsynet, uttalte Line Coll at «vi har så mye regler i så mange lag, at det er nesten umulig for en person, et team eller en enhet i virksomheter å holde seg oppdatert». Videre påpekte hun at denne kompleksiteten «innebærer en risiko, både for etterlevelsesdelen og for informasjonssikkerheten», og viste til en stadig mer utbredt følelse av utmattelse hos norske bedrifter. Vi i Bryn Aarflot kan dessverre bekrefte at det er mange som sliter med å holde følge med regelverket på dette området.

Gi oss i dag vår daglige fortvilelse

Når en fortvilet bedriftsleder ringer oss etter å ha forsøkt å lese seg opp på uforståelige EU-regler, retningslinjer eller avgjørelser, prøver vi gjerne å berolige på et språk hun forstår. Det hender vi innleder med å fortelle at reglene i stor grad handler om å respektere den enkeltes privatliv og integritet, og at det er viktig å balansere dette opp mot bedriftens legitime behov.

Dersom man sørger for at bedriften har kontroll på alle sine personopplysninger og hva man skal bruke dem til, samt dokumenterer dette, ja da har man allerede kommet ganske langt på vei. Ofte kan det til og med være nyttig å bruke sunn fornuft, altså et enkelt budskap som dessverre lett kan drukne i en jungel av vanskelige regler.

Det hender vi også inviterer bedriftslederen til å se problemstillingen fra et helt annet perspektiv enn det hun kanskje er vant med: Hvordan ville du som privatperson likt at en tilfeldig bedrift sendte deg reklame på e-post eller SMS uten å ha spurt deg på forhånd? Eller hvordan ville du som ansatt reagert om sjefen din med jevne mellomrom dobbeltsjekket innboksen din for å forsikre seg om at responstiden din var god nok? «Aha, men da skjønner jeg!» kan en lettet bedriftsleder da uttale før telefonsamtalen avsluttes, og hun kan gå tilbake til det hun egentlig skal bruke tiden på, nemlig verdiskaping.

Problemet er at vi nesten aldri opplever slike telefonsamtaler, med unntak av fortvilelsen i starten. Svært få – om noen – av dem har gitt oss trygghet på at bedriften har full kontroll på personvernregelverket.  Dette er egentlig en ganske så absurd situasjon å være vitne til, og illustrerer et regelverk som ikke er tilpasset landskapet det skal fungere i, og som stadig vokser både i omfang og kompleksitet. Datatilsynets egen illustrasjon av regelverket viser med all tydelighet hvor utydelig og sammensatt det juridiske landskapet egentlig er blitt.

Datatilsynets illustrasjon av komplekse GDPR-regler. <i>Illustrasjon:  Datatilsynet</i>
Datatilsynets illustrasjon av komplekse GDPR-regler. Illustrasjon:  Datatilsynet

Regelverket må også sees fra bedriftenes perspektiv

Ett av hovedproblemene for norske bedrifter er at dette komplekse regelverket i stor grad skyver vurderingene over på bedriftene selv, og at vurderingene forutsetter en risikobasert tilnærming til hvordan regelverket skal overholdes. Dette kan være vel og bra for større bedrifter som er vant til slikt arbeid, og som har kapasitet og kompetanse til å gjøre dette til en naturlig del av virksomhetsstyringen.

For de mindre bedriftene er imidlertid skjønnsmessige vurderinger av personvernrisiko og interesseavveininger noe helt annet enn for eksempel forbrukerkjøpslovens bestemmelser om mangler. Vår erfaring er at høy bevissthet, få ressurser og et svært komplekst regelverk har gitt norsk næringsliv høye skuldre og frykt for å gjøre feil på personvernområdet.

I en slik situasjon bør bedriftene etter vårt syn gis en mer risikobasert rådgivning innen personvern, hvor lederne må læres opp til å ta beslutninger og innføre rutiner som er gode nok. Når Datatilsynets nye direktør, som selv har lang erfaring fra næringslivet, uttaler at tilsynet bør bli tøffere og bedre på å hjelpe bedrifter til å forstå regelverket, vitner dette om et tilsyn som endelig tør å se regelverket også fra bedriftenes perspektiv.

Norwegian får refs av Datatilsynet. Her konsernsjef Geir Karlsen under fremleggingen av kvartalstall tidligere i år.
Les også

Datatilsynet refser Norwegian

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra