Finansfokus

Datatilsynet er bekymret

Svein Åge Eriksen

– Jeg er bekymret for at det vil være virksomheter som behandler store mengder personopplysninger, som ikke klarer å få det nye personvernregelverket på plass innen 26. mai neste år. Det har vi fått klare signaler om, sier direktør Bjørn Erik Thon i Datatilsynet.

lengst vedtatt i EU og blir i disse dager oversatt til norsk. Lovforslaget sendes trolig ut på høring før sommerferien. Styrket forbrukervern står sentralt i det nye regelverket, og endringene som nå skjer, er de største i Europa på over 20 år.

DÅRLIG TID

– De virksomhetene som ikke har gjort en grundig jobb med å følge opp dagens personvernlovgivningen, begynner å få dårlig tid. Min klare oppfordring er å sette seg nøye inn i det nye regelverket og om nødvendig kjøpe inn kompetanse på området. Fra Datatilsynets side vil vi veilede så langt kapasiteten rekker. Det vil også bli lagt ut omfattende informasjon på våre nettsider om hvordan det nye regelverket skal forstås og praktiseres, forteller Bjørn Erik Thon.

– Men er det ikke slik at store aktører som Google, Facebook og finansnæringen allerede i dag samler inn og behandler store mengder personopplysninger gjennom algoritmer og kunstig intelligens, slik at personverntoget i praksis allerede har gått?

– Ofte ser vi at reguleringene henger etter utviklingen, men likevel synes jeg ikke det nye regelverket kommer for sent. Nettopp på grunn av den store teknologiske utviklingen vi har sett når det gjelder de store aktørenes innsamling og behandling av personopplysninger, er det viktig å få bedre og strengere regulering av forbrukernes rettigheter.

PSD2 BLIR VIKTIGERE

– Hva tenker du blir den største gevinsten for forbrukerne med innføringen av nytt personvern- regelverk i Norge?

– På sikt blir kundenes rett til å flytte alle sine personopplysninger til en annen aktør, den vik- tigste gevinsten. Gjennom såkalt dataportabilitet må alle typer virksomheter legge til rette for nettopp dette. I dag kan jeg for eksempel ikke gå til DNB for å be banken om å overføre mine personopplysninger til Nordea. Det finnes ikke standardiserte rutiner for hvordan slike data skal sendes og mottas. Jeg tror dette vil skjerpe konkurransen mellom de ulike aktørene i finansbransjen, spesielt når det nye betalingstjenestedirektivet PSD2 blir innført.

Når det gjelder konsekvensene for finansnæ- ringen, mener Datatilsynets direktør at innføringen av PSD2 vil bli langt større enn innføringen av de nye personvernreglene i GDPR.

– Min vurdering er at finansnæringen i dag er flinke til å etterleve dagens personvernregelverk. Det står langt dårligere til i andre sektorer. Men det betyr ikke at jobben er gjort en gang for alle. Alle virksomheter må sette seg grundig inn i de nye personvernreglene og gjøre det som er nødvendig. Det kommer flere og strengere reguleringer som også får konsekvenser for hvordan personopplysninger blir håndtert i finansnæringen, understreker Thon.

NYE PERSONVERNOMBUD

De nye personvernreglene vil være så omfattende at en lang rekke virksomheter vil måtte ansette eller lære opp egne personvernombud. Hvilke bedrifter dette vil gjelde, er avhengig av hvilke personopplysninger som behandles. Det er virksomhetens ledelse som selv må ta stilling til hvordan det nye personvernregelverket skal organiseres, og om det er behov for et personvernombud på deltid eller heltid.

– Hvis det er behov for å rekruttere og lære opp nye personvernombud, begynner bedriftene å få dårlig tid for å få dette på plass. Det nye personvernregelverket trer i kraft 26. mai neste år og innen den tid må alle virksomheter, også i finansnæringen, ha planer for hvordan det nye regelverket skal iverksettes og etterleves. Et personvernombud vil i denne sammenheng være den gode hjelper, men kan ikke straffes hvis bedriften ikke oppfyller den nye loven. Det er ledelsens ansvar.

MANGLER FLERE TUSEN

Så langt Datatilsynet har oversikt, finnes det i dag 320 personvernombud i 500 virksomheter i Norge. Om lag 50 arbeider i finansnæringen. Men det er ingen hemmelighet at det vil være behov for mange tusen nye personvernombud når det nye lovverket trer i kraft i mai neste år. Det er et formidabelt og udekket opplæringsbehov og dette kan ikke Datatilsynet løse alene.

– Markedet vil langt på vei dekke opplærings- behovet. Slik regelverket i dag er formulert, så finnes det ikke konkrete kompetansekrav til personvernombudene, men det sier seg selv at de må kunne det nye regelverket og i tillegg ha en teknisk og juridisk forståelse. Videre er det viktig at rollen som personvernombud blir plassert slik i organisasjonen at ombudet kan påvirke. Ombudene må bli lyttet til, slik at de best mulig blir i stand til å gjøre den jobben de er satt til, understreker Bjørn Erik Thon.

LEDELSENS ANSVAR

Med innføringen av den nye personvernlovgivningen blir ansvaret for iverksettelse og etterlevelse overført fra Datatilsynet til ledelsen i hver enkelt virksomhet. Datatilsynet vil få en sterkere rolle som veileder, og vil blant annet bistå virksomhetene i å etablere bransjenormer. I tillegg vil Datatilsynet øke sin kontrollvirksomhet. Virksomheter som ikke etterlever det nye personvernregleverket, vil i første omgang få en anmerkning og senere et vedtak om å iverksette de nye personvernreglene. I alvorlige tilfeller vil Datatilsynet kunne ilegge bøter på inntil fire prosent av omsetningen. Totalt sett vil Datatilsynet få mer å gjøre når den nye personvernloven kommer. For å følge opp arbeidet med GDPR har Datatilsynet fått en ekstrabevilgning på 7,5 millioner kroner i år og har ansatt fem nye spesialister på området.