Hender det at du på jobben gjør notater eller stikkord på post-it-lapper fra samtaler med andre? Lar du disse ligge på bordplaten eller fester dem på veggen? Eller hender det at andre dokumenter med personopplysninger blir liggende på pulten din når du ikke er der? Ja, da kan det være brudd på personvernreglene i GDPR og medføre bot. En dansk kommune unngikk bot fordi de makulerte post-it-lappene etter kort tid. 

Et eiendomsselskap har satt tysk rekord i GDPR-bot. Da det tyske datatilsynet tok en sjekk hos selskapet, konkluderte de med at det ikke hadde gode nok rutiner for sletting og hadde dessuten ikke slettet personopplysninger som de ikke lenger hadde grunnlag for å ha lagret. Om lag 150 millioner kroner syntes datatilsynet var en passende bot for dette bruddet på EUs personvernforordning GDPR).

Det første GDPR-året har gått. For Datatilsynet har de nye personvernreglene ført til et travelt år med mange klager og mye saksbehandling.  Noen store GDPR-bøter har det blitt selv om de fleste sakene er løst ved at virksomheter har lagt om til sikrere rutiner for behandling av personopplysninger.  Klagene og behandlingen av sakene betyr imidlertid ekstra ressursbruk for alle virksomhetene som berøres. Hvordan står det til hos dere? Har dere sikkerhetsrutiner på plass som hindrer at dere får klager, og er dere godt nok  forberedt hvis datatilsynet kommer på en uanmeldt GDPR-kontroll?

Datatilsynet gjennomførte i 2016 kontroller for å se hvordan de sentrale helseregistrene etterlever kravene i personvernreglementet. Rapporten fra kontrollen foreligger nå. Der får registrene skryt for å ha gjort et stort stykke arbeid for å etablere en tilfredsstillende  internkontroll. Selv om kontrollene ble utført før EUs personvernfordning (GDPR) ble en del av norsk lov, mener Datatilsynet også at resultatene er relevante for å etterleve kravene i GDPR. I den forbindelsen er det nyttig å notere seg hvilke temaer de var opptatte av. I tillegg til internkontroll var det informasjonssikkerhetstiltak og de registrertes rettigheter. Har dere tiltak på plass som vil tilfredsstille Datatilsynet hvis de kommer på GDPR-ettersyn?

Det er litt over et år siden EUs personvernforordning (GDPR) ble innført i Europa og 10 måneder siden den ble innlemmet i den norske personopplysningsloven. Det har ført til betydelig større oppmerksomhet rundt personvern. Datatilsynet har i løpet av den tida fått inn nærmere 2000 saker til behandling. De aller fleste er avviksmeldinger. Om lag 350 er klager fra privatpersoner. Temaer som går igjen er ønsker om å bli slettet og sensitive data på avveier.

Du skal sikkert om litt ha ferie. Har du før det sørget for rydding og makulering av papirdokumenter på din egen kontorplass og alle andre steder i lokalene? Og hvordan er det med PCer, nettbrett, mobiltelefoner og harddisker som ikke er i bruk? Har dere kontroll på at personopplysninger og sensitive data slettes på en forsvarlig måte slik at du kan ta ferie i visshet om at de ikke kommer på avveie? Bekymringen for at det skal skje, kan være greit å slippe.

Datatilsynet stadfestet nylig gebyret på 1,6 millioner kroner for brudd på EUs personvernforordning (GDPR) som de tidligere har varslet Bergen kommune om.  Nå har Oslo kommune fått varsel om en enda høyere GDPR-bot, nemlig 2 millioner kroner. I begge tilfeller er begrunnelsen at kommunene ikke har ivaretatt den informasjonssikkerheten som de nye personvernreglene krever. Hvordan står det til med sikkerheten for at personopplysninger ikke skal komme på avveie i din virksomhet?

Bruker dere nok ressurser på opplæring og kompetanseutvikling innen IT-sikkerhet? Gjør dere ikke det, blir informasjonssikkerheten i virksomheten for dårlig. Sjansene øker da for å pådra seg store driftskostnader og høye bøter for brudd på EUs personvernforordning (GDPR). De første millionbøtene for GDPR-brudd er allerede varslet.

Det franske datatilsynet har satt en foreløpig rekord for bøtelegging av brudd på GDPR-regelverket. Det amerikanske søkeselskapet Google har fått en bot på 50 millioner euro, eller om lag 490 millioner kroner – for brudd personvernreglene nedfelt i EUs personvernforordning (GDPR). Boten skyldes manglende åpenhet ved innhenting av samtykke fra brukerne når de samler inn personopplysninger om dem.

Personvern og miljøvern kan gå hånd i hånd. Hvis du makulerer papirdokumenter og digitale lagringsmedier som ikke lenger er i bruk, bidrar du til gjenvinning, mindre bruk av råvarer og skaper arbeidsplasser. I tillegg bidrar du til at EE-avfall behandles på en forsvarlig måte. Du kan med andre ord oppfylle kravene i den nye personopplysningsloven og GDPR og bidra litt til det grønne skiftet.