DEBATT

Tre år med GDPR: Hva kan finansbransjen vente seg fremover?

Hanne Steen Lindstad er fagsjef for personvern i SpareBank 1 utvikling.
Hanne Steen Lindstad er fagsjef for personvern i SpareBank 1 utvikling.
Hanne Steen Lindstad Fagsjef for personvern SpareBank 1 Utvikling
2. juni 2021 - 13:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

25. mai var det tre år siden EUs personvernforordning (GDPR) trådte i kraft. Mange virksomheter i finansbransjen har brukt enormt med tid og ressurser på å sikre etterlevelse, og bevisstheten om personvern har økt. Det er bra, men det vil ikke bli anledning til å hvile på laurbærene. GDPR-toget stormer videre, og det er særlig fire institusjoner som vil gi bransjen nye føringer - og trolig krevende arbeidsoppgaver - i tiden fremover.

Overføring av personopplysninger til tredjeland

Fra EU-hold er det særlig grunn til å holde utkikk etter tre sentrale dokumenter om overføring av personopplysninger til land utenfor EU/EØS, såkalte tredjeland.

EU-domstolens avgjørelse i den såkalte Schrems II-saken, har allerede gitt virksomheter mye å snakke om og ta tak i. Dommen handlet egentlig om hvorvidt Facebook kunne overføre personopplysninger om brukere i Europa til USA. Domstolen satte imidlertid tilleggskrav for overføring av personopplysninger til alle tredjeland. I etterkant har særlig bruken av skytjenester fra de store tjenesteleverandørene voldt hodebry for mange. Ett år senere fremstår rettssituasjonen fortsatt kompleks og usikker. Forhåpentligvis kommer det en avklaring i form av en veileder i endelig format fra Det europeiske personvernrådet (EDPB) før sommeren. Det er i det minste lov å håpe at den gir gode svar og ikke skaper for mange nye spørsmål.  

Det har vært forventet at EU-kommisjonen i løpet av kort tid ville fatte en beslutning om at personopplysninger kan overføres til Storbritannia på samme måte som innad i EU/EØS, også etter Brexit. Fredag 21. mai kom imidlertid en resolusjon fra EU-parlamentet som kan sette en stopper for en slik beslutning, eller i alle fall forsinke den. Flertallet i EU-parlamentet anmodet Kommisjonen om å justere innholdet i beslutningen sin, blant annet på grunn av overvåkningslovgivningen i Storbritannia og landets deling av data med USA. Siste ord er dermed ikke sagt i denne saken heller.

Ifølge ryktene vil i tillegg EU-kommisjonen før sommeren presentere nye standard kontraktsbestemmelser, som er ett av flere grunnlag som muliggjør overføring av personopplysninger til tredjeland. Det er foreløpig uvisst hvor mye utkastene blir endret etter alle innspillene fra høringsrunden. En ting som likevel er klart, er at alle eksisterende avtaler må skiftes ut. Ifølge utkastet som nå foreligger må det skje innen ett år. En stor oppgave venter dermed for mange.

Hvordan skal vi forstå Schrems II-dommen? Hvilke vurderinger må selskaper som fortsatt vil bruke skytjenester gjøre? Her svarer advokatene fra advokatfirmaet Hjort.
Les også

Det har neppe blitt forbudt å bruke amerikanske skytjenester

Veiledere fra Finans Norge

Det er en uttrykt ambisjon med GDPR at bransjenormer, som er utviklet av bransjene selv og godkjent av Datatilsynet, skal bli et hyppigere brukt verktøy. I Finans Norge har det i lengre tid blitt arbeidet med å utvikle slike bindende bransjenormer for både bank og forsikring. Siden det er strenge krav for å få slike bransjenormer godkjent, er det inntil videre formidlet at arbeidet isteden skal resultere i ikke-bindende veiledere. Dokumentene vil likevel kunne tegne et tydeligere bilde av hvordan bank og forsikring bør behandle personopplysninger, bidra til etterlengtede avklaringer på bransjenivå og skape en mer ensartet praksis fremover. Begge veiledere forventes publisert i sin endelige form i løpet av de nærmeste månedene.

Personvernkommisjonen

Personvernkommisjonen ble opprettet av Regjeringen i fjor. Den har fått i mandat å kartlegge den samlede situasjonen for personvernet i Norge i dag, og trekke frem de viktigste utfordringene og utviklingstrekkene. For finansbransjen er det særlig interessant at kommisjonen skal se på «forbrukeres reelle muligheter til å ivareta eget personvern ved bruk av digitale løsninger og tjenester». Kommisjonen skal levere sin utredning innen desember 2021. Det blir spennende å følge kommisjonens arbeid og ikke minst se hvordan Regjeringen følger opp dens anbefalinger.

Christine Stousland (t.h.) og Kristin Holme Førde er advokater i Bull & Co
Les også

Privacy Shield kjent ugyldig: Hva nå?

Flere tilsyn og overtredelsesgebyr fra Datatilsynet

Før Covid-19 varslet Datatilsynet at de ville gjennomføre flere tilsyn i privat sektor fremover. Mye peker i retning av at det er nettopp finansbransjen som kan forvente tilsynsbesøk nå som vi igjen nærmer oss en normalsituasjon. Finans stod nemlig for nesten en fjerdedel av avviksmeldingene Datatilsynet mottok i 2020 - det nest høyeste antallet avviksmeldinger, etter kommunesektoren. Datatilsynet har flere ganger uttalt at når enkelte sektorer melder flere avvik enn andre, kan det like gjerne antyde at kompetansen, systemene og rutinene er bedre utviklet her. Tilsynet har derimot også påpekt at bank- og finansbransjen behandler store mengder beskyttelsesverdige personopplysninger om mange, og at personvernbrudd i denne bransjen derfor medfører høy risiko. Kanskje kan bransjen etter hvert forvente seg et tilsyn om etterlevelsen av reglene om overføring til tredjeland?

Skulle et tilsyn (eller en av de mange avviksmeldingene) ende i overtredelsesgebyr, er det i alle fall grunn til å tro at det vil svi. Så langt i år har Datatilsynet allerede varslet om langt høyere summer enn tidligere i overtredelsesgebyr. Blant annet 100 millioner til dating-appen Grindr for brudd på samtykkekravene, 25 millioner til Disqus Inc for manglende behandlingsgrunnlag og brudd på informasjonsplikten og ansvarlighetsprinsippet, og 5 millioner til Ferde for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina. Selv om noen av gebyrene utvilsomt vil bli påklaget, kan de tas til inntekt for en langt strengere linje fra Datatilsynet i mer alvorlige saker. Omdømmetapet kan dessuten bli stort, uavhengig av om overtredelsesgebyret reduseres eller ei.

Personvern er kommet for å bli

Hva som vil komme finansbransjens vei fra disse fire institusjonene gjenstår å se. Det er imidlertid ingenting ved utviklingen så langt som tilsier at personvern blir mindre relevant i fremtiden, ei heller i finans. Personverntoget kommer etter alle solemerker til å fortsette i høy hastighet. Finansbransjen gjør derfor lurt i å følge med på utviklingen og forberede seg, slik at tempoet ikke blir for høyt til at man klarer å henge med videre.

Bortfallet av Privacy Shield kan fort gi GDPR-hodepine for mange norske virksomheter.
Les også

Dette må du vite om overføring av personopplysninger til utlandet og amerikanske selskaper

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.