Med dette innlegget vil vi sette søkelys på hvordan GDPR rammer bedrifter hvis kjernevirksomhet ikke er basert på kommersiell utnyttelse av personopplysninger og som heller ikke på annen måte utgjør noen særskilt personvernrisiko. Spørsmålet er om lovgiver i tilstrekkelig grad har tatt innover seg at GDPR gjelder for alle markedsaktører; små og store, offentlige og private, annonseplattformer og byggefirmaer og om målsetningen om å unngå nettopp “one size fits all” er realisert gjennom det regelverket vi nå har fått.
Bedrifter som utelukkende håndterer personopplysninger i forbindelse med salg av tjenester og produkter, ofte i en B2B-kontekst, er i utgangspunktet underlagt de samme kravene som virksomheter hvis forretningsmodell består av kommersiell utnyttelse av personopplysninger. GDPR stiller relativt omfattende krav til dokumentasjon og øvrige rutiner og tiltak som åpenbart kan være byrdefullt, og hvor man kan spørre seg i hvilken grad tiltakene strengt tatt fremstår som nødvendige for denne typen virksomhet.
Forordningen gjør riktignok noen forsøk på å skille mellom foretak basert på hvor inngripende virksomheten antas å være i et personvernperspektiv. Det stilles krav til DPO (personvernombud) for enkelte virksomheter, det er strengere krav ved behandling av sensitive personopplysninger og ved bruk av automatiserte beslutningsmetoder, og det stilles krav om å gjøre en konsekvensutredning ved særlig risikofylte behandlinger. Selv om nevnte krav skiller mellom virksomheter basert på bransje og størrelse, er hovedinntrykket fortsatt at alle skjæres over én kam, og at dette først og fremst går utover virksomheter hvor risikoen for personvernkrenkelser er minst.
Det er forventet at tilsynsmyndighetene i Europa i tiden fremover vil komme med flere tolkningsuttalelser om hvordan regelverket skal forstås, og veiledninger for utarbeidelse av påkrevet dokumentasjon. Det er imidlertid usikkert i hvilken grad slike uttalelser og veiledninger vil bidra til å kaste lys over de spørsmålene vi her tar opp.
Vi tror derimot at det vil kunne være fordelaktig for virksomheter å samarbeide med andre virksomheter innenfor samme bransje i et forsøk på å enes om hvordan regelverket bør forstås for den aktuelle bransjen. På den måten kan risiko fordeles virksomhetene i mellom. Dersom det av tilsynsmyndighetene skulle bli stilt spørsmål ved om praksisen i virksomheten er god nok, vil det være en styrke å kunne vise til at virksomheten har lagt seg på samme “nivå” som bransjen for øvrig.
Artikkelen ble først publisert i Finansavisen 27.08.18.