Rundt tre hundre personer var påmeldt da Deloitte for ellevte gang inviterte til Personverndagen på Munchmuseet torsdag morgen.
- Datatilsynet
står i en krevende situasjon med en tredobling i antall klagesaker de siste to årene. Samtidig har ikke ressursene økt i takt med saksmengden, noe
som har resultert i en saksbehandlingstid på opptil 18 måneder, fortalte Erlend Andreas Methi.
Annonse
Den tidligere Wiersholm-advokaten ble ny juridisk direktør i Datatilsynet i fjor. Han stod på scenen for å gi en oppdatering om dagsaktuelle nyheter innen personvern.
EU-kommisjonen har foreslått en digital omnibus, altså en pakkeløsning for flere foreslåtte endringer i GDPR-reglene. Methi konserterte seg om særlig tre sentrale forslag.
Utvider betydning av begrepet «forskning»
Et av forslagene er å gi virksomheter ny frist for avvik.
- Det foreslås å øke fristen for å melde avvik fra
72 til 96 timer, samt å etablere en felles kanal for avviksmeldinger på
tvers av ulike regelverk som GDPR og NIS2, sa Methi.
Deloitte-partner og leder for selskapets teknologiavdeling, Bjørn Ofstad, ønsket velkommen sammen med kollegene Hanne Pernille Gulbrandsen og Eirin Helen Hauvik..Foto: Thea N. Dahl
Et annet forslag dreier seg om en klargjøring av forskningsbegrepet. I dag inneholder personvernsforordningen egne regler for bruk av personopplysninger til forskningsformål. Dog har det vært uklart hva som rent juridisk faller inn under begrepet «forskning», samt om begrepet kun skal inkludere akademisk forskning ved universiteter og offentlige institusjoner.
EU foreslår at skillet mellom offentlig og kommersiell forskning viskes ut i lovverket.
- Det skal altså presiseres at også kommersiell
forskning kan falle inn under særreglene for forskning, forklarte Methi.
Pseudonymiserte data og personopplysninger
Et tredje forslag, som kanskje er blant de mest kontroversielle, gjelder såkalt pseudonymiserte data, som vil si personopplysninger hvor navn er byttet ut med en kode.
EU-kommisjonen foreslår at visse data ikke lenger skal regnes som personopplysninger - for alle. For pseudonymiserte data vil informasjonen nemlig kun være personopplysninger for dem som kan tolke koden.
Det var fullt i salen på Munchmuseet under Deloittes personvernsdag.Foto: Thea N. Dahl
Utgangspunktet for forslaget er en dom fra EU-domstolen som nettopp slår fast at pseudonymiserte data ikke alltid er personopplysninger. EU-kommisjonen ønsker å innlemme det samme prinsippet i lovverket.
- Datatilsynet
og andre stiller spørsmål ved om kommisjonen her strekker domstolsavgjørelsen
lenger enn det det er grunnlag for, for eksempel i tilfeller der mottakeren er
en databehandler, kommenterte Methi.
Aldersgrenser og svindel
Her hjemme pågår det også flere viktige prosesser knyttet til personvern. Deriblant vurderingen av aldersgrenser på sosiale medier.
- Regjeringen har foreslått en aldersgrense på 15 år for bruk av sosiale medier, men det innebærer store personvernutfordringer, sa Methi.
- Datatilsynet er bekymret for at dette vil tvinge frem omfattende aldersverifisering, eksempelvis via BankID, noe som kan føre til at store mengder personopplysninger flyter rundt hos kommersielle aktører.
- Datatilsynet står i en spagat hvor tilsynet både skal være en sanksjonerende vaktbikkje og veiledende førerhund på samme tid, sa Erlend Andreas Methi.Foto: Thea N. Dahl
En annen sak er prosjektet med den såkalte «banksandkassen». Her har Datatilsynet og Finanstilsynet, samt banker som DNB og Nordea, gått sammen for å finne løsninger for økt informasjonsutveksling mellom banker for å forebygge svindel.
- Her fant man ut at det ofte ikke er GDPR som er
hinderet for informasjonsdeling, men heller uklare nasjonale taushetspliktsregler i
finansforetaksloven. Dette har nå ført til lovforslag som skal klargjøre
hjemlene for slik deling, fortalte Methi.
