Sammenliknet med Norge hvor Datatilsynet har varslet en GDPR-bot for Bergen kommune på 1,6 millioner kroner, er det svimlende beløp det er snakk om i Frankrike. Det skyldes selvsagt omfanget av Googles virksomhet og at konsekvensene av brudd på personvernreglene dermed blir store. Men det er samtidig en påminnelse om hvor alvorlig det ses på at det nye GDPR-regelverket ikke følges.
Brudd på personopplysningssikkerheten
Den norske og den franske boten viser også at det er mange typer krav GDPR stiller, som skal oppfylles. Bergen kommune fikk varsel om overtredelsesgebyr, som er den formelle betegnelsen, fordi de ikke hadde sikret personopplysningene som finnes i grunnskolens datasystemer godt nok. Det viste seg å være mulig ved innlogging å få tilgang til brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse for 35.000 brukere.
Brudd på samtykkereglene
Google har fått kjempeboten i Frankrike for brudd på regelverket om samtykke. De har utarbeidet interne rutiner for innhenting av samtykke. Disse rutinene mener tilsynet ikke er gode nok. Google har ifølge dem ikke gitt god nok informasjon og samtykket er ikke spesifikt eller entydig nok.
Det kreves at Google får på plass et internt regelverk i overensstemmelse med GDPR-reglene. Hvis ikke kan nye bøter komme.
Informasjonsplikt
Etter at GDPR er blitt en del av personopplysningsloven, er det felles personvernregler i Europa. Hendelser i andre land er derfor interessante også i vårt land. Det er her snakk om fersk lovgivning med liten rettspraksis. Tolkning av lovverket i andre europeiske land kan derfor bli førende for tolkninger i Norge. Kjempeboten viser tydelig at Google og det franske datatilsynet har ulik tolkning om sentrale GDPR-krav.
Det franske datatilsynet nevner i forbindelse med saken tre helt sentrale prinsipper i GDPR, som må følges. Det er prinsippene om samtykke, åpenhet og informasjon. Av dette følger det at virksomheter har en omfattende informasjonsplikt. Det vil si at de som skal gi samtykke, må få informasjon om hvilke personopplysninger som samles inn, hvordan de samles inn, hvordan de behandles og hva de skal brukes til. De skal også informeres om retten til å bli slettet og hvordan sletting skjer når samtykket trekkes tilbake, eller det av andre årsaker ikke lenger er grunnlag for å ha opplysningene lagret. Denne informasjonsplikten er leders ansvar.
Sikker makulering
Et annet grunnleggende og viktig krav i GDPR er at personopplysninger ikke skal komme på avveie og bli misbrukt av uvedkommende. For å oppfylle dette kravet, må sletting av personopplysningene skje på en sikker måte. NG Secure kan tilby en slik sikker sletting ved makulering av data både på digitale lagringsmedier og i papirdokumenter. Vår metode er kverning. Etter kverning blir det så små biter at det ikke er mulig å gjenskape det sensitive innholdet. Vi legger vekt på sikkerhet i alle ledd i makuleringsprosessen vår.