Innsikt

GDPR blir advokatmat i årevis

Data-borgerrettigheter: I sommer blir EUs personvernforordning GDPR den gjeldende loven i hele Europa. Her er Facebook-sjef Mark Zuckberg kalt inn på teppet til Europa-parlamentet og dets president Antonio Tajani (t.v.) i kjølevann av Cambridge-skandalen. Foto: Europaparlamentet

Hva trenger du som advokat eller jurist egentlig å vite om GDPR når det trer i kraft? Juridika Innsikt har spurt noen av Norges ledende GDPR-eksperter for å kartlegge situasjonen.

– Det er rett og slett ikke nok advokater med personvernkompetanse i dette landet til å ta unna det som skjer det neste halve året! 

Det konstaterer Cecilie Rønnevik, personvernekspert og advokatfullmektig i Simonsen Vogt Wiig. Rønnevik er tidligere juridisk fagdirektør i Datatilsynet og medforfatter av en fersk kommentarutgave til EUs personvernforordning (GDPR). 

EUs forordning har allerede forårsaket et skred av e-post til private innbokser i de tusen hjem. Den har også holdt norske advokater i hektisk aktivitet hele våren.

– GDPR er rett og slett en gavepakke til advokatbransjen, oppsummerer Rønnevik.

Han får også støtte av omsetningstallene:

DN tallfestet denne gavepakken til en halv milliard kroner bare det siste året, med Deloitte, PWC og Schjødt i førersetet.

Dermed er også spøkene Rønnevik pleide å høre om at det «ikke er noen penger» i personvern, gjort til skamme. Betalingsviljen har blitt høy, og personvern har blitt et vekstmarked.

Ryddejobb til høsten  

– GDPR og personvern vil være hot lenge, ikke minst fordi vi får en ryddejobb etter at mange har fått og gitt GDPR-råd på så kort tid. Ikke alle råd er like gode, og jussen i personvern vil være preget av skjønn, spår Rønnevik.

Det står for eksempel i den engelske versjonen av forordningen at sikkerhetssystemer må være «state of the art». Da kreves det skjønn for å bedømme hva som skal regnes for state of the art avhengig av tidspunkt og av hvilken bransje man er i.

– Mange har vært forutseende og sett at dette har vært et kommende marked. Andre kaster seg vel på bølgen. «GDPR-advokat» er jo ikke en beskyttet tittel, og for tiden popper det opp selvutnevnte personverneksperter. Men personvern er i realiteten en spisskompetanse det tar tid å skaffe seg, sier Rønnevik.– Og siden regelverket skal gjelde i årtier, er det rom for at flere spesialiserer seg, mener hun. 

Den spådommen får støtte både fra Jenny Hovda, GDPR-ekspert i Bull & Co, Åste Marie Skullerud, avdelingsdirektør i Kommunal- og moderniseringsdepartementet, Jørgen Skorstad, juridisk direktør i Datatilsynet og Marius Engh Pellerud, personvernombud i Sparebank1 Forsikring.

– Selv vi som har god kompetanse internt, kjøper også vi eksterne tjenester nå, bekrefter Pellerud.

Gavepakke: – GDPR var en gavepakke til advokatbransjen. For tiden finnes det imidlertid en del selvoppnevnte GDPR-eksperter, og alle gir ikke like gode råd, advarer Cecilie Rønnevik, advokatfullmektig i Simonsen Vogt Wiig og tidligere juridisk fagdirektør i Datatilsynet. Foto: Henrik Pryser Libell

Snoking for å stoppe snoking

Pellerud, Skullerud og Skorstad er medforfattere på den nevnte kommentarutgaven til GDPR. Hovda er en av kreftene bak Bull & Cos personverngruppe og blogg «Personvernfabrikken». Selv kaller de bloggen en ny måte å presentere advokattjenester på – for å unngå at kundene føler takstameteret går, men uten å innføre fastpris på rådgivningen heller.

Det siste året er det spesielt store aktører i teknologibransjen som har brukt tid og krefter på GDPR. Hovda tror det blir mange små og mellomstore bedrifter som må gjøre det samme framover.

– Og det er jo disse bedriftene det er flest av i Norge, legger hun til.

Selv internasjonale selskaper med kontor i Norge ber for tiden om norske advokatråd, selv om de har sentral etterlevelse av GDPR i konsernet.

– Det må likevel tilpasses nasjonalt. Spesielt i arbeidslivet finnes mange regler som er særegne for Norge, som grenser for kameraovervåkning av ansatte og arbeidsgivers rett til innsyn i ansattes e-post, sier Rønnevik.

En av nøttene i GDPR er nemlig hvor mye snoking man kan tillate seg for å hindre snoking. Kan for eksempel en bank overvåke e-postene til bankansatte for å sjekke at de ikke går inn på kontoer de ikke skal? Dilemmaet har vært diskutert i flere juridiske tidsskrifter de siste årene.

Det er rett og slett ikke nok advokater med personvernkompetanse i dette landet til å ta unna det som skjer

- Cecilie Rønnevik, advokatfullmektig i Simonsen Vogt Wiig

Dette er nytt i GDPR

Alle ekspertene understreker imidlertid at EUs nye personvernforordning i det store og hele er en videreføring av Norges personvernlov av 2000. Både forordningen og den tidligere norske loven bygger på EUs personverndirektiv av 1995. De aller viktige prinsippene er derfor de samme.

Men GDPR innebærer noen viktige endringer, som vi har plassert i en faktaboks. Ikke minst blir rettspraksis nå felleseuropeisk, ikke nasjonal. Datatilsynet går fra konsesjon til å gi konsultasjon. Programvare og tjenester må komme med mer innebygd personvern, og borgere får større rett til kontroll over egen data. Regelverket gjelder dessuten alle selskaper som selger tjenester til borgere av EU/EØS – ikke bare til selskaper i EU/EØS.

Menneskerettigheter ved forordning

GDPR legger krav på alle virksomheter som behandler persondata – det vil si alle data som kan knyttes til privatpersoner, uansett om de er såkalt sensitive opplysninger eller ei. I teorien gjelder forordningen vel så mye små som store selskaper, og både privat og offentlig sektor.

I bunnen ligger ideen om at all data som finnes om deg som person, er noe du som borger eier og har rett til å bestemme over.

Rønnevik sammenlikner det med en rett til å få «se mappa si». Retten har eksistert lenge, men datatilsynene får nå kraftigere virkemidler til å ivareta den.

– Hvis du ikke får skikkelige svar, kan du nå klage bedriften inn for sitt datatilsyn, forklarer Rønnevik.

Den første store GDPR-klagen er allerede levert, av juristen og internettaktivisten Max Schrems i Østerrike. Schrems er jusstudenten som i 2012 ba Facebook om å få se mappa si – og fikk levert 1222 sider.

Han og hans stiftelse har klaget inn både Facebook, Google og Instagram for å kreve tilgang til altfor mye persondata når folk melder seg inn i tjenestene deres.

– Så vidt jeg vet er dette første gang EU regulerer en grunnleggende menneskerettighet ved forordning, forklarer Jørgen Skorstad.

I tillegg til å være en av medforfatterne av kommentarutgaven til GDPR, representerer Skorstad Norge i det nye organet Personvernrådet, EU Data Protection Board, som er EUs samarbeidsorgan for personvernspørsmål. Rådet består av alle EU og EØS sine nasjonale datatilsyn. Norges tilsyn har medlemskap i Personvernrådet, men ikke stemmerett.

– EU har valgt forordning over direktiv fordi forordninger gjelder som de er i alle medlemsland, mens direktiver gir rom for nasjonal skjønnsmargin. Med forordning blir det like kår for virksomheter og enkeltindivider overalt i Europa, sier han.

Det er første gang EU regulerer en grunnleggende menneskerettighet ved forordning.

- Jørgen Skorstad, juridisk direktør, Datatilsynet

Vinn eller forsvinn for databehandlere

GDPR-forordningen har fire nøkkelord: personopplysning, behandling, behandlingsansvarlig og databehandler (se faktaboks).

GDPRs nøkkeldefinisjoner

  • «Personopplysninger» er enhver opplysning om en identifiserbar person. 
  • «Behandling» er all innsamling, lagring og utlevering av personopplysninger. 
  • «Behandlingsansvarlig» er den som bestemmer formålet med behandlingen av personopplysninger. Det kan foreksempel være en bank eller et sykehus.
  • «Databehandler» er den som behandler personopplysninger på vegne av behandlingsansvarlig. Det kan for eksempel være et faktureringsselskap eller et IT-selskap som leverer arkivsystemer.

Behandlingsansvarlig er blant annet pålagt å utpeke personvernombud og dokumentere hvordan de og deres leverandører behandler personopplysninger, mens at behandlere får en del nye og konkrete plikter med GDPR. Hensikten med dette er et lovkrav i bunnen som får alle databehandlere til å kappes om å tilby mest mulig datasikkerhet – ikke bare best pris og hastighet.

– For en del databehandlere betyr GDPR vinn eller forsvinn. Kan de ikke dokumentere etterlevelse, finner kundene en annen leverandør som kan, sier Rønnevik.

Innovasjon versus vern: Marius Engh Pellerud, personvernombud i Sparebank1 Forsikring sier at stordata-tenking er vanskelig å forene med personvern. Den nye loven sier først formål, så data. Logikken i stordata er motsatt: først data, så formål. Foto: Henrik Pryser Libell

Gullstandarden og GDPR-flyktninger  

Håpet er at GDPR skal starte tilsvarende kappløp internasjonalt, ikke bare i EU. Mange har kalt GDPR en slags global «gullstandard» innen personvern og datasikkerhet, fordi den er høyere enn de fleste land har per i dag.

GDPR favoriserer dessuten europeiske GDPR-underlagte selskap i kampen om europeiske kunder. For mens EUs personvern-direktiv av 1995 «bare» gjaldt for selskaper etablert eller drevet fra i EU og EØS, gjelder GDPR for alle selskaper som selger tjenester til borgere av EU og EØS.

I praksis betyr det til og med amerikanske IT-giganter som Facebook, Google, Apple og Amazon, samt russiske og kinesiske selskaper.

– Selskaper i USA og Kina vil ikke per i dag kunne etterleve GDPR, fordi nasjonal lovgivning krever at myndighetene skal ha tilgang til personopplysningene deres. Mange europeiske selskaper kan ikke godta det nå, sier Rønnevik.

I første rekke tror hun derfor GDPR blir en boost for europeiske selskaper i konkurransen om kunder, og at en del amerikanske selskaper vil sette opp enda flere europeiske filialer.

Vi vil nok se et par store signalsaker veldig snart. Kanskje først fra det franske datatilsynet.

- Cecilie Rønnevik, advokatfullmektig i Simonsen Vogt Wiig

Erstatningssaker og megabøter  

Fra høsten av venter advokatene de mange ryddejobbene og konfliktene om hva forordningen egentlig betyr.

– Det er inngått tusenvis av kontrakter mellom dataansvarlige og databehandlere, men detaljene i disse er ikke klare ennå, sier advokat Rønnevik.

For eksempel kan man se for seg hvordan en behandlingsansvarlig har avtalt rett til «jevnlig kontroll» av databehandleren. Dataansvarlig mener det betyr per kvartal, mens databehandler mener det er per år. Siden forordningen ikke gir konkrete svar, kan det fort bli strid.

Rønnevik spår både rettssaker om kontraktene samt erstatningssaker om økonomiske tap og omdømmetap som følge av datalekkasjer.

Å unngå rettssaker er en av næringslivets grunner til å innføre gode nok personvernregler i tide. En annen grunn er å unngå Datatilsynets nye, potensielt store gebyrer.

Fram til nå har gebyrtaket vært på 10 G, det vil si maks én million kroner. Fra nå av er gebyrene uten tak. Og hvis andre land i EU legger seg på høyere bøter og alle land harmoniserer reglene, kan de norske straffegebyrene i framtiden bli langt større.

Hvis for eksempel det østerrikske eller irske datatilsynet idømmer Facebook - eller en liten databehandler -svære bøter, kan det påvirke bøtenivået over hele Europa.

– Vi vil nok se et par store signalsaker veldig snart. Kanskje først fra det franske datatilsynet CNIL, eller det tyske eller britiske datatilsynet. Disse tilsynene har en annen tradisjon enn det tilsvarende norske. De har hatt gebyrkompetanse lenge, og har ilagt høye gebyrer før. De kommer til å være ganske hissige i sin kontroll av næringslivet, sier Rønnevik, med støtte fra Hovda.

Skorstad i Datatilsynet understreker på sin side at «ingen har sagt at vi skal bruke den enorme pisken» og at det finnes andre virkemdler enn gebyr for å sikre etterlevelse. Ikke desto mindre, påpeker Hovda, har tilsynsdirektør Bjørn Erik Thon nå sluttet å love at de ikke skal gi store bøter.

Nye Datatilsynet  

For Datatilsynet betyr GDPR en ny hverdag. Tilsynet har i to statsbudsjetter fått ekstra midler for å forberede seg. Tilsynet skal ikke lenger dele ut konsesjoner. I stedet skal de gi flest mulig gode råd og konsultasjon.

– Vi lanserer derfor nye nettsider så snart loven trer i kraft, lover juridisk direktør Skorstad, og sier tilsynet også jobber med å legge om saksbehandlingsrutinene.

Tilsynet vil i første rekke konsentrere sin kontroll om offentlig sektor, og om de nye personvernombudene.

Rønnevik ser en viss fare i at bøtene blir høye mens kunnskapen om GDPR er lav og håper bransjeorganisasjonene tar ansvar for maler, veiledninger og standarder, slik blant annet Advokatforeningen har gjort for sin egen bransje.

Mange har spørsmål fremover. Sparebank1 Forsikring måtte for eksempel nylig rådføre seg med Datatilsynet før de lanserte et nytt forsikringsprodukt. I dette forsikringsproduktet reduseres prisen på bilforsikring hvis bilene utstyres med svarte bokser som registrerer kjøringen. Det er da data om bilen som registreres i boksen, ikke data om eieren eller sjåføren.

Cambridge-skandalen har åpnet manges øyne for ulempene ved bruk av persondata.

- Jenny Hovda, advokat, Bull & Co

Brems på innovasjonen

Lignende spørsmål står i kø når forsikringsselskaper skal koble treningsklokker med alt fra helseforsikring eller smarthus med husforsikring.

Også andre bransjer står overfor små og store stordata-revolusjoner av samme type. Stordata gir muligheter, ikke minst innen kreftforskning, og kan løse store problem og åpne døren til uante muligheter. Men ofte i konflikt med personvern. 

– Big data-tenkingen er ofte vanskelig å forene med personvern. Loven sier at data-behandlingen skal ha et klart definert formål før den begynner, men tanken bak å utforske mulighetene i big data er motsatt: Først får du en masse data, deretter kan dataen fortelle deg hva formålet med den kan være, sier Pellerud.

Innovasjons- og analysemiljøer forfekter ofte mulighetene i stordata, men juridiske avdelinger og styrer påpeker farene ved for lite begrensning.

Men også i personvern gjelder en hårfin balanse mellom vekst og vern. Pellerud påpeker at all all data, uansett godt formål, før eller siden «vil havne i uvedkommende hender» slik virus-angrepet Wanna Cry tappet tonnevis med britisk helsedata ifjor høst.

Hovda i Bull & Co mener Cambridge-skandalen har åpnet manges øyne for ulempene ved bruk av persondata.

– Dette er ikke bare advokaters bekymring lenger. Det er alles bekymring, sier hun.

Det er litt hauset opp hvor store endringer GDPR skaper.

- Åste Marie Skullerud, Kommunal-og moderniseringsdepartementet

Personvern som default-setting  

For advokater som vil sette seg inn i feltet, er det flere nyord i GDPRs «stammespråk». Det gjelder for eksempel «privacy by default», personvern som standardinnstilling.

Det betyr at standardinnstillingene i et program eller en digital tjeneste tar utgangspunkt i de aller strengeste personvernvilkår slik at du som kunde eller bruker må klikke deg «nedover» til mindre grad av personvern i stedet for å øke graden.

Et annet ord er «privacy by design», innebygd personvern. Det betyr at det bygges inn tiltak som automatisk sletting og anonymisering av data inn i IT-systemer.

I fjor anbefalte Kommunal- og moderniseringsdepartementet (KMD) for første gang innebygd personvern i alle offentliges IKT-systemer. Avdelingsdirektør Åste Marie Skullerud i KMD tror GDPR vil sørge for at personvern kommer inn i starten av nye prosjekter og tjenester, ikke bare på slutten.

– Likevel er det litt hauset opp hvor store endringer GDPR skaper. Personvernhensyn skal i stor grad være ivaretatt i forvaltningen på grunn av krav i andre lover som forvaltningsloven, offentlighetsloven og arkivloven, sier Skullerud.

Hun minner også om at det fra før finnes særregler og særlover om behandling av personopplysninger blant annet i politiets behandling av personopplysninger og i deler av helsesektoren.

De største endringene tror hun kommer på søknader om innsyn i dokumenter som kan inneholde GDPR-beskyttet data. I tillegg tror hun Personvernnemda, klageorganet for vedtak fattet av Datatilsynet, vil få mer å gjøre framover, hvis gebyrene fra Datatilsynet blir større.

Finne frem i jungelen

Jurister som søker mer kunnskap om GDPR, kan søke i selve forordningsteksten på norsk og engelsk. De kan også ty til fagbøker, kommentarutgaver, tidsskrifter samt lese på hjemmesidene til det norske datatilsynet – eventuelt også det tyske, britiske, danske og svenske – samt EUs ressurssider.

Ny hverdag med GDPR

Dette er nytt i GDPR:

  • Nesten identiske regler i hele EU/EØS. Rettspraksis blir felles-europeisk, ikke nasjonal
  • Mange virksomheter får krav om å ha personvernombud.
  • Datatilsynet går fra konsesjon til å gi konsultasjon.
  • Krav til programvare og tjenester om mer innebygd personvern
  • Regelverket gjelder alle selskaper som selger tjenester til borgere av EU/EØS, ikke bare selskaper i EU/EØS.

Dette er noen av konsekvensene:

  • Bøtene for å lovbrudd kan bli langt større. 
  • Datatilsynet vil kontrollere de nye ombudene. 
  • Advokatbransjen får ny inntektsstrøm. 
  • Borgere får større rett til kontroll med egen data
  • Kommende rettssaker om rettigheter og plikter i GDPR. 
  • Personvern-hensyn i potensiell konflikt med innovasjon og stordata-utvikling
  • Kan sette global standard
  • Nytt juridisk skille mellom vedtak som gjøres av mennesker og maskin tydeliggjør rettighetene når beslutninger gjøres av maskiner («automatiske avgjørelser»).