Datatilsynet opplevde «tsunami» med nye saker i 2019

EUs nye personvernforordning GDPR har ført til en strøm av avviksmeldinger til Datatilsynet. illustrasjonsfoto: Colourbox Les mer Lukk

På ett år økte antallet personvern-avvik meldt til Datatilsynet med hele 50 prosent. – En tsunami, er beskrivelsen tilsynet gir av situasjonen.

Det er EUs nye personvernforordning GDPR som er årsaken. Sommeren 2018 erstattet den den norske personopplysningsloven, og nå strømmer det inn meldinger om avvik til Datatilsynet.

– I fjor mottok vi 1916 avviksmeldinger. En tsunami, faktisk på nivå med de fem foregående årene til sammen, kommenterer Janne Stang Dahl, Datatilsynets kommunikasjonsdirektør.

I 2018 mottok Datatilsynet 1275 avviksmeldinger, en økning på 641 (50,2 prosent). Men ser man på utviklingen fra 2015 blir resultatet voldsomt – fra kun 86 til 1916. Det er en økning på 22 ganger.

«Den prosentvise endringen fra 2015 er nesten høyere enn hva en skarve jurist kan regne seg fram til», lyder den humoristiske kommentaren fra direktør Bjørn Erik Thon i Datatilsynets årsmelding for 2019.

Går mot ny rekord

Og det ser ikke ut til å stoppe:

– Antall avviksmeldinger øker på. Vi har siden innføringen av GDPR for to år siden opplevd en kraftig økning i antall meldinger fra norske virksomheter, både offentlige og private. Hittil i år har vi mottatt rundt 740 avviksmeldinger, sier Dahl som tror 2020 kan bli et nytt rekordår.

Det er både private og offentlige instanser som melder inn brudd på det nye personvernregelverket. Behandlingen av slike avviks-meldinger har derfor tatt mye ressurser for Datatilsynet i 2019, selv om de fleste sakene avsluttes med et enkelt brev når virksomheten iverksetter tiltak.

– Et viktig moment i vurdering av alvorlighetsgraden, er også om feilen kunne vært unngått. Målet er ikke å skrive ut gebyrer, men å hindre at det skjer nye brudd på personopplysningsloven, påpeker kommunikasjonsdirektøren i en epost med svar på spørsmål fra ABC Nyheter.

Men også de mest alvorlige sakene som Datatilsynet har behandlet det siste året, har sitt utspring i avviksmeldinger. I årsmeldingen fremhever tilsynsmyndigheten at de alvorligste lovbruddene kan resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen, eller 20 millioner euro i alle andre tilfeller.

10 prosent rammer barn

I fjor fattet tilsynet tre avgjørelser om overtredelsesgebyr etter brudd på GDPR. To av sakene berørte barn og unges personopplysninger i henholdsvis Bergen og Oslo kommune, og de måtte betale et gebyr på 1,6 og 1,2 millioner kroner.

I Bergen var personopplysningssikkerheten i datasystemene som ble brukt i grunnskolen, mangelfull. Datafiler med brukernavn og passord til over 35000 brukere –i hovedsak barn – hadde ligget tilgjengelige for elever og ansatte i grunnskolen. Saken i Oslo lignet, her hadde man brutt reglene i forbindelse med behandling av personopplysninger i mobilapplikasjonen «Skolemelding».

I årsmeldingen noterte Datatilsynet at de ved inngangen til 2020 hadde «flere alvorlige avvikssaker som berører barn og unge under behandling». På spørsmål om man er særlig bekymret for avviksmeldingene knyttet til barn og skole, svarer Janne Stang Dahl:

– Vi er bekymret når vi ser at 10 prosent av avviksmeldinger Datatilsynet har mottatt i 2019, handlet om avvik som har rammet barn. Barn er en spesielt sårbar gruppe. Hele 49 prosent av dem gjelder skolesektoren. Flere av disse avvikene har vært alvorlige og har utløst overtredelsesgebyr.

Overvåket millioner av biler

Hun viser også til at Bergen kommune så sent som forrige uke fikk varsel om et rekordgebyr på tre millioner kroner. Nå var det personopplysninger i skolens kommunikasjonssystem (Vigilo) som ikke var tilstrekkelig sikret.

– Bergen kommune har akseptert gebyret, og sier selv at de har lært mye i prosessen. Saken tydeliggjør hvordan personvernet kan bli utfordret i de store digitaliseringsprosjektene som pågår i skolene over hele landet, sier hun.

– Vi får inn mange saker som handler om at personvernet ikke er godt nok ivaretatt i digitale kommunikasjonsverktøy i skolen. Manglende rutiner og tiltak for å sikre personopplysningssikkerheten er ikke godt nok innarbeidet, mener Datatilsynets kommunikasjonsdirektør.

I tillegg ble det i 2019 fattet sju andre vedtak om gebyr etter gamle regler, viser årsmeldingen. Disse gjaldt ulovlig innsyn i e-post på arbeidsplassen, kredittvurderinger uten saklig behov og ulovlig publisering av bilder fra overvåkingskamera.

Det mest kjente var da Tolldirektoratet møtte betale 900.000 kroner i gebyr for ulovlig overvåking av flere millioner biler. 80 millioner bilpasseringer hadde blitt videoovervåket uten hjemmel i loven, ved hjelp av tollernes kameraer både ved grensen og i innlandet.

Ny type utfordring

Men en ny type utfordring venter på datatilsynet. Mens det så langt har vært offentlige instanser som har blitt ilagt gebyrer, regner man med at det samme vil skje i privat sektor i fremtiden. Da regner tilsynet med at sakene vil bli utfordret juridisk.

«I tiden som kommer vil vi gjennomføre kontroll og etterlevelse av regelverket i privat sektor. Dersom behandlingen av disse sakene munner ut i overtredelsesgebyr, er Datatilsynet forberedt på å bli utfordret rettslig på en annen måte enn hva vi har opplevd hittil», heter det i årsmeldingen.

– Vi har foreløpig ikke opplevd dette etter det nye regelverket. Vi er imidlertid forberedt på at det kan komme mer motstand fra de behandlingsansvarlige nå som gebyrene stadig blir høyere, sier Janne Stang Dahl.

– Hvis avviket fører til et overtredelsesgebyr, vil bedriften alltid få et varsel først. De vil så ha muligheten til å komme med sine synspunkter innen en gitt frist, før Datatilsynet gjør endelig vedtak. Hvis de fortsatt er uenig i gebyret eller størrelsen på dette, kan de klage til Personvernnemda som gjør endelig vedtak, sier hun.