Måten personvernforordningen er skrevet på, og at den fortsatt er ganske ny, etterlater mange åpne spørsmål. For eksempel: Hvordan kan vi vite om organisasjonens retningslinjer og prosedyrer lever opp til kravene i GDPR? Hvor stor blir boten vi får dersom det skjer et databrudd?
DLA Piper utgav en rapport 20. januar 2021 som oppsummerer databrudd og GDPR-bøter det siste året (nettsiden er på dansk, men du kan finne rapporten på engelsk her). Denne rapporten gir oss et bedre bilde av hvilke databrudd det oftest gis bøter for, og hvilke typer databrudd det vil bli gitt bøter for i fremtiden.
Denne artikkelen vil hjelpe deg med å få en dypere forståelse av hvilke typer databrudd du bør være spesielt oppmerksom på, og spesifikke strategier du kan bruke for om mulig å unngå at selskapet ditt blir ilagt bot.
Tabellen under viser de tre største bøtene som ble gitt i fjor, og en ser her hvorfor det er viktig å ta GDPR på alvor.
Nr 1. Google Inc. |
Tilsynsmyndighet |
Frankrikes databeskyttelsesmyndighet, CNIL |
Bot |
€50m |
Begrunnelse |
Google Inc. fikk bot for å ikke forklare på tilfredsstillende vis hvordan de behandler data og å ikke ha juridisk grunnlag for å behandle data som gjelder personlig tilpasset reklame. |
Nr 2. H&M |
Tilsynsmyndighet |
Hamburgs tilsynsmyndighet for databeskyttelse |
Bot |
€35,26m |
Begrunnelse |
En global aktør i retailsegmentet fikk bot for å ikke ha god nok lovhjemmel for å behandle data. |
Nr 3. Telecom |
Tilsynsmyndighet |
Italias tilsynsmyndighet for databeskyttelse, Garante |
Bot |
€27,8m |
Begrunnelse |
En aktør innen drift av telekommunikasjon fikk bot for å ikke forklare på tilfredsstillende vis hvordan de behandler data, å mangle rettslig grunnlag for å behandle perosnopplysninger, og mer |
-
Mulighetene for å anke bøter
-
Vurderinger for multinasjonale organisasjoner
-
Fire typer databrudd det ofte ble gitt bøter for i fjor
-
Ulovlig overføring av data til tredjepartsland: fremtidige databøter
Det er mulig å klage på GDPR-bøter
Det siste året rapporterte EU-landene en økning på 19 % i varsler om brudd. Dette gir et gjennomsnitt på 331 varsler per dag. Reguleringsmyndighetene har ilagt totalt 158,5 millioner EUR i bøter siden 28. januar 2020, men dette er ikke det eneste viktige. Noen organisasjoner anket disse kravene og vant frem, noe som førte til store reduksjoner i forventede bøter. Bøtene ble redusert med 80-90 %, delvis på grunn av den økonomiske motgangen Covid-19 medførte.
Den viktige lærdommen her er at det lønner seg å anke – og klage på – bøter.
Hvilke typer databrudd gis det bøter for?
De samme reglene blir praktisert på ulike måter
Siden hvert land har sin egen reguleringsmyndighet, varierer databrudd og bøter fra land til land. Selv om alle databeskyttelseslover i EU og Storbritannia har opprinnelse i GDPR, er det store variasjoner i kulturen for hvordan man etterlever dem i de forskjellige organisasjonene.
Videre har de forskjellige tilsynsmyndighetene for databeskyttelse forskjellige tolkninger av lovgivningen, og derfor forskjellig praksis. Denne usikkerheten er veldig utfordrende å håndtere for multinasjonale organisasjoner som har virksomhet i mange forskjellige land, siden den gjør det vanskelig for dem å forutsi og iverksette de forskjellige tolkningene av GDPR. Likevel ble organisasjoner ofte ilagt bøtene i sammendraget under, uavhengig av tilsynsmyndighet.
Å ikke kommunisere klart og åpent om hvordan de behandler data.
Organisasjoner har fått problemer når de ikke har vært åpne og klare overfor brukerne om hvordan de behandler deres data. Den viktigste måten de viser dette på er i personvernerklæringen. Denne erklæringen må forklare enkeltbrukere, på en enkel måte, hvordan organisasjonen vil bruke deres personlige data og hvordan praksisen deres samsvarer med GDPR.
Organisasjoner blir bøtelagt for å ha for kompliserte personvernerklæringer. De har også fått bøter for å ha erklæringer som var for bastante, unøyaktige eller ufullstendige. Hvis du f.eks. flytter personlige data til et tredjeland (et som ikke ligger i EU), men ikke kommuniserer denne informasjonen, er personvernerklæringen din ufullstendig.
Utfordringen med å skrive personvernerklæringer kan være det at du tar med for mye informasjon, slik at publikum kanskje ikke forstår erklæringen, og du bryter på den måten gjennomsiktighetsprinsippet i GDPR. På den annen side: Hvis du tar med for få detaljer, risikerer du bot for å ha gitt upresis eller ufullstendig informasjon.
Mulig løsning: Bruk en «lagvis tilnærming» til personvernerklæringer. Med denne tilnærmingen leverer man personvernerklæringen på tre forskjellige måter.
-
En kort erklæring (en kort forklaring av hvorfor man bruker personlige data, og hvor man kan finne mer informasjon)
-
En middels lang erklæring (grafikk som viser hvordan man bruker personlige data)
-
En lang erklæring (en fullstendig og grundig erklæring som omfatter all informasjon som er nødvendig for å overholde GDPR).
Imidlertid er heller ikke dette noen vanntett løsning. Organisasjoner har også fått bøter for denne metoden, siden brukerne i noen tilfeller måtte lese og krysse av på for mange forskjellige personvernerklæringer. I dette tilfellet ble informasjonen presentert på en måte som var altfor komplisert for brukeren.
Det dette viser oss, er først og fremst at det kan være ekstremt vanskelig å forklare kompleksiteten i databehandlingen til vanlige forbrukere som ikke er jurister. Totalt sett hadde ikke rapporten noen fullgod løsning på dette problemet. Hovedbudskapet her er: Vær forsiktig når du skriver personvernerklæringer, og spør om hjelp når du er i tvil.
Å ikke ha, eller ikke vise til en lovlig grunn til at man behandler data.
Det finnes mange forskjellige scenarier der organisasjonen din trenger en lovlig grunn til å behandle data, eller rettslig grunnlag for behandling av personopplysninger, som det heter i personvernforordningen.
For eksempel: Organisasjonen din selger et abonnement til en musikk-app og ber forbrukeren om å samtykke til at dere kan behandle data om hvilken musikk han liker, slik at dere kan komme med forslag om andre sanger og artister som han kanskje kan like.
Organisasjoner fikk bøter for å ikke ha tillatelse til å behandle personlige data etter loven (lenke til annen bloggpost). De fikk også bøter når det fantes juridisk grunnlag for å behandle data, men organisasjonen hadde ikke vist eller dokumentert dette skikkelig. Altså er dokumentasjon like viktig som å ha juridisk grunnlag for databehandling.
Til sist: Organisasjoner fikk bøter når databehandlingen var basert på ugyldig samtykke. Dette er et vidt begrep som dekker et vidt spekter av situasjoner. Noen av dem er: At noen kan bli straffet eller gå glipp av en mulighet dersom de ikke samtykker, de forstår kanskje ikke at de har samtykket, organisasjonen nevner ikke seg selv spesifikt ved navn når den ber om samtykke, med mer.
For å være sikre på at bruken av personlige data er lovlig, bør organisasjoner ha:
-
God kartlegging av data med grundige og nøyaktige logger over databehandlingen.
-
Regler og retningslinjer som beskytter personlige data på riktig måte.
-
Dokumentasjon som viser at de har mulighet til å behandle personlige data etter loven.
-
Klare personvernerklæringer som forbinder hver enkelt behandlingsaktivitet med loven som tillater dem å bruke vedkommende data.
Mulig løsning: Du kan bruke en risikobasert tilnærming (lenke til bloggpost + mal når den er klar), hvor du bruker mer tid og oppmerksomhet på behandlingsaktiviteter med høyere risiko. For disse aktivitetene er det viktig at du bruker et Data Protection Impact Assessment (DPIA). Dette er en type risikovurdering som kan hjelpe deg med å identifisere hvor det finnes databeskyttelses-risiko ved et bestemt prosjekt eller plan. Dette vurderingsverktøyet, kan, når det brukes riktig, hjelpe deg med å demonstrere på hvilke måter du overholder alle dine plikter med tanke på databeskyttelse.
Å ikke ta i bruk passende sikkerhetstiltak.
Ifølge GDPR må organisasjoner bruke «passende» tiltak for å sikre at man har et sikkerhetsnivå som korresponderer med hvor mye risiko som er involvert for enkeltpersonen du behandler dataene til. Uttrykket «passende» er veldig subjektivt, noe som gjør det vanskelig for organisasjoner å identifisere og ta i bruk slike tiltak på adekvat vis. Imidlertid kan vi få en bedre forståelse av hva som oppfyller kravet om passende sikkerhetstiltak basert på bøtene som ble ilagt i fjor.
Følgende tabell er en liste over sikkerhetstiltak som kan være nødvendige å innføre for å unngå bot.
Mulig løsning: organisasjoner bør vurdere og evaluere hvorvidt de trenger noen av disse tiltakene i sitt arbeid med å beskytte personlige data. Organisasjoner bør også vurdere å dokumentere grunnlaget for hvorfor de har tatt i bruk, eller ikke tatt i bruk et bestemt sikkerhetstiltak.
Brudd på prinsippene om dataminimering og datalagring.
Organisasjoner har blitt bøtelagt når de har behandlet for mye data og når de har lagret for mye data. I de to tiårene før GDPR kom, var det veldig lite regulering av hvordan du kunne bruke personlige data, kombinert med en enorm økning i mengden personlige data som ble behandlet og lagret av organisasjoner. Nå står disse organisasjonene overfor den tids– og ressurskrevende oppgaven i å løse opp flokene, og sortere denne massive datamengden. To ting må skje:
-
En må finne og klassifisere alle data i to kategorier: det som skal slettes (dataminimering) og det som skal lagres.
-
Sletting av personlige data som er lagret i gamle systemer og applikasjoner som ikke støtter sikker sletting på enkelt vis, eller ikke har mulighet til slik sletting overhodet.
Les mer: Hvordan sikre at bedriften din er GDPR compliant
Mulige løsninger: For å løse dette og hindre negative følger for dem dataene handler om, må organisasjoner lage en oversikt over alle sine data og slette data de ikke lenger trenger, eller har rett til å behandle. I tillegg er det viktig å utvikle retningslinjer og bruke systemer som kan behandle data på sikker måte i det videre arbeidet.
Overføring av personlige data til tredjeland og internasjonale organisasjoner: Vil bli bøtelagt oftere i fremtiden
I juli 2020 leverte Europas høyeste rettsinstans Schrems II-dommen. Domstolen krevde at «i tillegg til bøter må de påstått ulovlige overføringene av personlige data fra EU til tredjeland umiddelbart opphøre». Det gjenstår å se hvilke følger denne avgjørelsen vil få, og det kan ta noe tid før den siver inn i håndhevingspraksis.
Mulig løsning: Vi venter fortsatt på ferdige utkast fra Kommisjonen om hvordan en skal behandle data som overføres til tredjeland (alle land som ikke er medlemmer av EU, samt Storbritannia). Denne kontrakten skal beskytte personlige data, slik at de – når de forlater EU – fortsatt vil være beskyttet av GDPR i andre land som ikke verner personlige data i like høy grad.
Straks Kommisjonen har oppdatert disse retningslinjene bør organisasjoner innføre et Transfer Impact Assessment (TIA). Dette vil illustrere hvilke risikoer som er koblet til overføring av personlige data ut av EU, og organisasjonen din bør revidere standardformuleringene i kontraktene i samsvar med dette.
Arbeidet med å behandle personlige data på en sikker måte kan virke skremmende. Ofte er de ansvarlige for denne oppgaven ikke juridiske eksperter på området. På bloggen vår kan du finne mer informasjon om beste praksis og prosesser for å trygge personlige data.