ThommessenFlow Finn folk
Fagstoff

Håndheving av personvernregelverket – hva har vi lært av to år med GDPR?

Getty Images 1135380665

Da personvernforordningen (GDPR) i EU/EØS trådte i kraft i 2018, fikk det nye sanksjonsregimet mye oppmerksomhet. Hvordan er regelverket blitt håndhevet så langt – to år inn i forordningens levetid?

Overtredelsesgebyr er nesten utelukkende ilagt behandlingsansvarlig, ikke databehandler

Frem til nå har europeiske nasjonale tilsynsmyndigheter nesten utelukkende ilagt behandlingsansvarlige overtredelsesgebyr. Datatilsynet har bare sanksjonert behandlingsansvarlige. Enkelte unntak finnes, for eksempel vedtaket fra italienske Garante fra april 2019 der databehandler ble ilagt en bot på 50 000 EUR for brudd på kravene til personopplysningssikkerheten i GDPR art. 32. Den generelle tendensen i Europa er likevel klar.

Behandlingsansvarlig har riktignok flest og mest vidtrekkende plikter i henhold til regelverket, men GDPR legger uttrykkelig opp til at også databehandler kan sanksjoneres. Det blir derfor interessant å se om fokuset på behandlingsansvarlig fortsetter.

Dersom behandlingsansvarlig blir ilagt en bot for forhold databehandler er helt eller delvis ansvarlig for, kan databehandler likevel holdes kontraktsrettslig ansvarlig. Databehandleravtaler inneholder ofte en regulering av regressoppgjøret mellom behandlingsansvarlig og databehandler. Dersom databehandler sjeldent blir sanksjonert direkte øker viktigheten av å regulere dette regressoppgjøret.

Særlig i IT-kontrakter med en rekke underdatabehandlere vil et brudd på GDPR gjerne være et resultat av et sammensatt årsaksforhold der det kan tenkes at flere aktører har utvist skyld. I denne sammenheng er det verdt å merke seg den sist oppdaterte ansvarsbestemmelsen for personvern i statens standardavtaler for IT-anskaffelser (SSA). Bestemmelsen legger opp til at Datatilsynets plassering av overtredelsesgebyr skal være endelig også i forholdet mellom partene. Det spørs om dette er en gunstig løsning dersom også fremtidig tilsynspraksis primært sanksjonerer behandlingsansvarlig.

Fokus på offentlig sektor

Datatilsynet har til nå fokusert håndheving av regelverket inn mot offentlig sektor. Årsrapporten for 2019 tyder på at dette vil fortsette, særlig innenfor digitalisering av helse og utdanning. Tilsynet signaliserer likevel at blikket fremover også vil rettes mot private aktører, og trekker frem bransjer som telekommunikasjon, samferdsel, bank og forsikring.

Ingen tilsyn gjennomført av Datatilsynet

I 2018 gjennomførte Datatilsynet en rekke såkalte brevlige tilsyn, blant annet for systematisk å kontrollere at kravet til å opprette personvernombud ble overholdt. Det ble imidlertid ikke gjennomført noen stedlige tilsyn hverken i 2018 eller i 2019. Årsrapporten fra 2019 forklarer nedprioriteringen dels med avvikshåndtering, dels med implementering av ny tilsynsmetodikk.

Økt antall avviksmeldinger

Antall meldinger om brudd på personvernsikkerheten fortsetter å øke kraftig. I 2019 mottok Datatilsynet om lag 1916 avviksmeldinger, hvorav 30 % fra finanssektoren. Datatilsynet påpeker at mange av avvikene kunne ha vært unngått ved interne rutiner og retningslinjer. Mange virksomheter har nok til nå fokusert på ekstern dokumentasjon som personvernerklæringer, erklæring for informasjonskapsler og databehandleravtaler, men mangler kanskje et godt internt rutineverk for personvern. Dette bør på plass så fort som mulig.

Samarbeid mellom nasjonale tilsynsmyndigheter i EU

EDPB (European Data Protection Board, tidligere Article 29 Working Party) har blant annet ansvar for å koordinere samarbeid mellom nasjonale tilsynsmyndigheter på europeisk nivå. I EDPB's årsrapport for 2019 oppgir de at hele 2542 samarbeidsprosesser mellom nasjonale tilsynsmyndigheter har blitt initiert. Samtidig fremgår det at det ikke har blitt gjennomført noen felles, grenseoverskridende håndhevingsaktiviteter i 2019. De enkelte nasjonale tilsynsmyndighetene har imidlertid ilagt en rekke større bøter. Størst til nå er franske CNIL's overtredelsesgebyr på MEUR 50 ilagt Google LLC, mens britiske ICO har varslet ileggelse av betydelig større bøter til både British Airways og Marriott International.

Veien videre

To år etter ikrafttredelsen av GDPR begynner både norsk og europeisk håndhevingspraksis å ta form. Innkjøringsfasen er nok likevel ikke helt overstått, slik at det blir spennende å følge med på utviklingen fremover. Med økt tilfang av tilsynspraksis kommer også rettslige avklaringer, og vi mener at et særlig viktig tema er ansvarsfordelingen mellom behandlingsansvarlig og databehandler. I denne sammenheng er det verdt å merke seg at EDPB skal publisere oppdaterte retningslinjer om emnet i løpet av 2020.

Kontaktpersoner