COMPLIANCE
og at standardinnstillinger skal ligge på det mest personvernvennlige nivået. Fortalen til forordningen gir som et eksempel at et tiltak for å etterleve dette vil være å minimere behandlingen av personopplysninger. Reglene om avvikshåndtering vil bli strengere. Det er flere avvik som skal meldes til Datatilsynet, meldingen skal sendes innen 72 timer og det er krav om underretting til de berørte uten unødig forsinkelse. Det er ingen slik varslingsplikt til de berørte i dag, men det er grunn til å tro at dette likevel gjøres etter konkrete vurderinger. Risikobaserte krav til etterlevelse innføres. Det skal identifiseres behandlinger som kan medføre en stor risiko for personvernet. Behandling av sensitive personopplysninger antas å være eksempel på dette. Der behandlingen vil resultere i stor risiko, plikter virksomheten å gjennomføre en vurdering av personvernkonsekvensene (PIA), og Datatil synet skal involveres i forhåndsdrøftelser. For de virksomhetene som i dag har en konsesjonsplikt, vil denne opphøre. Det innføres i stedet krav til bransjenormer, standarder og sektorvis utforming av retningslinjer. Datatilsynet skal godkjenne bransjenormer. I dag er det mange virksomheter som har personvernombud, men dagens ordning er frivillig. Nå innføres det et krav til personvernombud for alle offentlige og private virksomheter, som regelmessig og systematisk over våker personer i stort omfang eller behandler sensitive personopplysninger i stort omfang. Ombudets uavhengighet og posisjon i virksomheten styrkes i de nye reglene. I tillegg stilles det strengere krav til ombudets faglige kunnskap og evne til å utføre oppgavene sine. Brudd på personvernlovgivningen vil kunne få store økonomiske konsekvenser. Datatilsynet vil få hjemmel til å utstede bøter i størrelsesordenen opp til EUR 20 mill. eller 4 % av global årlig omsetning mot maks ca 850 000 kroner i dag. For konsern som opererer i flere land kan bestemmelsen om global omsetning, reise et interessant spørsmål. Vil brudd på personvernregler i et land virksomhetene opererer i, utløse bøter regnet av global omsetning, eller vil man avgrense beregSIRK nr. 2 2016
ningsgrunnlaget for boten? Det er nærliggende å tro at dersom avviket kan isoleres til virksomheten i det enkelte land, vil beregningsgrunnlaget for boten isoleres. Dersom avviket derimot avslører gjennomgående dårlig internkontroll i konsernet, vil det være større risiko for at man legger global omsetning til grunn ved beregningen.
Gjensidiges forberedelser til nye personvernregler Gjensidige er et forsikringskonsern som forvalter en mengde personopplysninger, også sensitive. Det betyr at arbeidet med personvern er svært viktig både overfor dem vi behandler personopplysninger på vegne av, kunder og ansatte, og i forhold til myndigheter. At kunder oppfatter at vi behandler personopplysninger på en ryddig måte, vil også gi et konkurransefortrinn. Risiko for m anglende etterlevelse av personvern forordningen innebærer der-
Dataportabilitet betyr at den registrerte kan kreve å få flyttet egne personopplysninger fra en behandlingsansvarlig til en annen i et vanlig brukt filformat.
for en b etydelig compliancerisiko for oss. I Gjensidige er det nedsatt en intern arbeidsgruppe som har som formål å få oversikt over regelverket, gjennomføre en gap-analyse både i henhold til dagens lovkrav og i henhold til nytt regelverk. identifisere løsninger som krever IKT- utvikling av systemer kontra regler som bare krever endringer i styrende dokumenter, rutiner og organiseringer. Prosjektet skal også foreslå tiltak som skal gjennomføres på forretningssiden. På dette tidspunktet er det en utfordring at forordningsteksten gir stort rom
for fortolkning, og det finnes lite veiledning for hvordan man skal innrette seg for å etterleve reglene. Det mest krevende i dette arbeidet er å kartlegge hva som kreves av våre IT-systemer for å ivareta kravet til for eksempel dataportabilitet og innebygd personvern, og så utføre disse IKTutviklingene. Dette er en øvelse som vil være ressurskrevende. For konsern som har virksomhet i flere land, vil ulik modenhet på behandling av personopplysninger i de ulike geografiene gi noen utfordringer når nye personvernregler skal implementeres i organisa sjonen. Virksomheter som har kunder og spesielt de som behandler sensitive personopplysninger, vil ha større utfordringer og vil måtte sette av mer ressurser enn virksomheter som ikke har det. En av Gjensidiges uttalte strategier er å være en innsikts basert og analytisk virksomhet. Med økende digitalisering følger det med vekst i datamengde. Gjensidige har for eksempel kommet langt i å utnytte offentlig tilgjengelig geografi- og bygningsdata på tvers av alle prosesser, som bidrar til bedre prising, kunde- og risikoseleksjon og mer effektivt skadeoppgjør. Når data identifiseres på personnivå vil dette være personopplysninger, og kravene i personforordningen inntrer. Datatilsynet har gitt noen råd om hva man allerede nå bør gjøre for å etterleve kravene som kommer; skap bevissthet innad i organisasjonen, få oversikt over kilder, sjekk hvorvidt dere behandler personopplysninger om barn, kartlegg informasjonsflyt, oppdater rutiner, gjennomfør risikovurderinger, dokumenter, men det er viktig å ikke glemme implementeringen - opprett personvernombud og bruk nettverket for å finne beste praksis. Lykke til!
53