Mange virksomheter har i 2018 brukt store ressurser på å sikre etterlevelse av personvernforordningen, og ønsker nå å fokusere på andre oppgaver. Noen skal komme til å oppleve at det blir vanskelig. En rekke virksomheter har rett og slett investert i godt personvern. Databehandleravtaler og personvernerklæringer er blitt revidert over en lav sko. Det er utnevnt en lang rekke personvernombud, etablert internkontrollrutiner og gjennomført omfattende risiko- og konsekvensvurderinger. Dette har beredt grunnen for tillit. Ikke bare mellom enkeltindivider og ansvarlige virksomheter, men også mellom profesjonelle parter som på ulike måter samarbeider om å behandle personopplysninger. Økt tillit er en hovedintensjon med personvernforordningen, og en nøkkelfaktor for å sikre at personopplysninger kan behandles for kommersielle og ideelle formål, i samfunnets interesse. 2019 blir antagelig det året da denne tilliten for alvor blir satt på prøve.
Personvernforordningen skal først og fremst håndheves av de nasjonale tilsynsmyndighetene, gjennom tilsyn og strenge sanksjoner. Men tilsynsmyndighetenes ressurser står ikke i forhold til de oppgavene som forordningen pålegger dem. Deler av håndhevelsen forutsettes derved å skje i regi av enkeltindividene og av virksomhetene selv. Alle har et felles ansvar for å påse at forordningen etterleves. Enkeltindivider forutsettes å føre kontroll med hvordan ulike virksomheter behandler deres personopplysninger, gjennom blant annet å benytte sine innsyns- og klagerettigheter etter forordningen. De gis også rett til å kreve erstatning og oppreisning dersom forordningen er brutt, enten alene eller som part i et gruppesøksmål. Virksomhetene pålegges på sin side å bære fullt ansvar for hvordan deres databehandlere og enkelte andre samarbeidsparter behandler personopplysninger. Forordningen krever at det gjennomføres regelmessige revisjoner hos databehandlere for å avdekke brudd på forordningen, og det forventes at slike brudd får konsekvenser i form av erstatningskrav og oppsigelse av avtaler. Det er altså ikke nok å ha dokumentert orden i eget hus, og skriftlige databehandleravtaler i skuffen.
Foreløpig er det lite som tyder på at håndhevelsesmekanismene i forordningen har begynt å virke.
Det norske Datatilsynet har hatt behov for å etablere nye metoder og prosesser, og øyensynlig ikke kommet ordentlig i gang med å kontrollere etterlevelse av forordningen. Få virksomheter har meldt om en økning i antall innsynsbegjæringer fra de registrerte, og blekket på databehandleravtalene har så vidt tørket. Men når de ulike aktørene først begynner å røre på seg, vil vi antagelig oppleve at selv små enkeltsaker har dominoeffekt og får betydning for en rekke virksomheter i «det digitale økosystemet». Det er vanskelig å spå når dette vil skje, og hvilke type virksomheter som først vil bli påvirket. Men virksomheter som er databehandlere i en eller annen form, vil nok særlig oppleve at de blir gjenstand for økt oppmerksomhet og nye krav fra sine kunder.
Forordningens bestemmelser er vanskelig tilgjengelige, og det forutsettes at rettstilstanden avklares gjennom praksis fra europeiske tilsynsmyndigheter og domstoler. Derfor er det en fare for at flere har begått små og store feilskjær, hvilket kan være alvorlig i seg selv. Virksomheter som ennå ikke har gjort et redelig forsøk på å etterleve forordningen utgjør nok allikevel en større trussel mot den tilliten som de andre har investert i.
Denne kronikken ble først publisert i Finansavisen 31.12.18.