En fersk rapport fra IT-sikkerhetsselskapet Eset viser at kun fire europeiske land har delt ut flere bøter enn Norge for brudd på personvernforordningen GDPR (se hele listen i faktaboks nederst i saken).

Siden regelverket ble innført i 2018, har Norge delt ut 32 slike bøter, for totalt 24,9 millioner kroner. Tallene bekreftes av Datatilsynet. Av totalen er 22 bøter for 16,2 millioner kroner delt ut i år.

– Vi har også flere varsler om gebyr for flere millioner kroner i omløp – disse er ikke endelig vedtatt. Og det kommer til å komme flere varsler i år, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet.

Flinke bedrifter

Målet med GDPR er å gi enkeltpersoner bedre kontroll over hvilken data som samles inn, og hvordan den kan brukes, deles og oppbevares.

At Norge ligger som nummer fem i Europa på listen over antall gebyrer som er delt ut, betyr derimot ikke at virksomheter her til lands er slurvete med personvern, mener Dahl. Mens GDPR var et fremmedord i 2018, er det på manges lepper i dag, påpeker hun.

– Ikke bare er det et regelverk som skal overholdes for ikke å risikere store gebyrer. Personvernforordningen er et viktig redskap for å sikre personvernet som er under sterkt press.

– Vi opplever en høy bevissthet om personvern blant mange. Samtidig er det viktig at vi markerer med gebyrer der vi ser alvorlige brudd, sier hun og legger til:

– I år har etterlevelsen av regelverket virkelig satt fart.

GDPR kan bli veldig dyrt hvis startups tenker på det for sent: Her er tipsene som kan redde deg fra gigantbøtene

Blir flere og større

I oktober ble det delt ut to GDPR-bøter i Norge. Ultra-Technology AS fikk et overtredelsesgebyr på 125.000 kroner for å ha kredittvurdert en person uten rettslig grunnlag, mens St. Olavs hospital måtte ut med 750.000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.

Dahl påpeker at den samlede summen som er krevd inn i Norge ikke er høy sammenlignet med andre europeiske land.

Men også på den listen kan Norge fort klatre, blant annet fordi tilsynet har varslet et gebyr på hele 100 millioner kroner til datingappen Grindr.

– Den digitale transformasjonen i samfunnet er enorm, og data eksponeres og stilles sammen på nye og overveldende måter. Både offentlig forvaltning, private sektor og big tech-selskaper gjør at vi manøvrerer oss lettere rundt, men det er mange fallgruber og måter våre persondata kan utnyttes på, sier Dahl.

Bedre balanse

For å oppnå best mulig personvern, er man nødt til å prioritere oppgavene og jobbe strategisk, mener Datatilsynet.

– Ett av våre viktigste strategiske mål er å arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Vi må derfor aktivt håndheve regelverket for å sikre bedre etterlevelse blant aktører som utfordrer personvernet i særlig grad.