Mange virksomheter har i lang tid gjort en stor innsats for å sikre etterlevelse av GDPR. Flere av disse opplever nok etter hvert en slags tretthet, som gjør det vanskelig å komme helt i mål med de aktivitetene som var planlagt. Vi mistenker at det ligger flere halvferdige “GDPR-prosjekter” rundt om i norske virksomheter. Hvis disse ikke fullføres innen rimelig tid, så vil tid og penger som allerede er brukt i prosjektet fort være bortkastet.
Andre virksomheter kom seg aldri ordentlig opp av startgropen før GDPR trådte i kraft. Dette gjelder nok særlig mange små og mellomstore virksomheter, som opplever at risikoen for å bli “tatt” av Datatilsynet er svært liten. En slik tilnærming gjør virksomhetene dårligere rustet for å håndtere henvendelser fra virksomhetskunder eller enkeltpersoner, for eksempel krav om informasjon eller dokumentasjon. En åpenbar effekt av GDPR er at kunder har høyere forventning til at leverandørene opptrer i samsvar med personvernreglene.
Noen opplever nok at “momentet” ble borte, da GDPR trådte i kraft uten at det fikk noen umiddelbare konsekvenser for dem. Det kommer imidlertid stadig nye avklaringer gjennom veiledninger og praksis fra tilsynsmyndighetene, og etter hvert også fra domstolene. For mange virksomheter er det derfor viktig å følge med på nye avklaringer knyttet rollefordeling (særlig felles behandlingsansvar), valg av rettslig grunnlag og krav til sikkerhetstiltak og revisjon. Det ventes også nye og skjerpede regler innen direkte markedsføring og bruk av informasjonskapsler. Virksomhetene bør derfor fortsatt følge med i timen.
Personvern er blitt et viktig kriterium ved kjøp og salg av virksomheter. I tillegg til risikoen for bøter og erstatningskrav, er det naturligvis kritisk for kjøper å få avklart om kundedatabaser og aktiviteter baserer seg på lovlig grunnlag. Vår erfaring fra en rekke DD-er (selskapsgjennomganger) avdekker at overraskende mange virksomheter ikke har på plass grunnleggende tiltak som f.eks. protokoller og risikovurderinger. I konsernforhold er det ofte mangler knyttet til intern rollefordeling og gjennomføring av konsernets retningslinjer.
Våre råd til virksomheter generelt er som følger:
- Hvis dere ennå ikke er kommet i gang, så er det lurt å begynne nå. Første steg er å kartlegge hvordan virksomheten behandler personopplysninger.
- Gjør opp status på eventuelle GDPR-prosjekter som er igangsatt. Hvis de ikke er fullført, sett nye og realistiske frister for gjennomføringen, vær åpen for å omprioritere i lys av ny praksis og tilfør nødvendige ressurser.
- Hvis all relevant dokumentasjon er på plass, sørg for en mekanisme som innebærer at dokumentasjonen blir gjennomgått og oppdatert med jevne mellomrom.
- Legg en plan for hvordan virksomheten best kan sikre etterlevelse over tid. En nøkkel er å ha dedikerte ressurser til dette (personvernombud eller annen person), som over tid vil tilegne seg nødvendig kunnskap og erfaring.
- Sørg for jevnlig (f.eks. årlig) rapportering om status på personvernområdet til virksomhetens ledelse.