Små bedrifter sliter med GDPR: – Overveldende komplisert regelverk

De nye personvernlovene (GDPR) trer i kraft i Europa fredag. I løpet av sommeren blir reglene en del av norsk lov, og da kan Datatilsynet dele ut rekordgebyrer for selskapene som ikke er godt nok forberedt.

NYTT REGELVERK: De nye EU-reglene påvirker så godt som alle selskaper.

Foto: Wilfredo Lee AP
  • Sigrid Moe
Publisert:

– For ett år siden, trodde jeg at jeg hadde oversikt og forsto GDPR. Etter mange frokostmøter hos advokatfirmaer og konsulentselskaper er jeg forvirret, sier Tore Meling, daglig leder i produksjonsselskapet Snöball, til E24.

Fredag trer den nye forordning for personvern (GDPR) i kraft i EU, og i løpet av sommeren er det ventet at den også vil være norsk lov.

Dette påvirker alle selskaper som samler inn eller bruker personopplysninger om borgere i EU og EØS.

– Det er et overveldende komplisert regelverk. Det oppleves som skremmende for mange bedrifter. De begynner å tvile på om de har lov til å drive med det de driver med, sier advokat Hedvig Svardal i Bedriftsforbundet.

LITE SELSKAP: Tore Meling jobber i et lite selskap, og synes GDPR har blitt stadig mer forvirrende.

Foto: Snöball

Gode intensjoner

Snöball har 16 ansatte, og deres kunder er andre bedrifter.

– Intensjonen bak de nye reglene er veldig bra, men som en liten bedrift som hovedsakelig jobber med andre bedrifter er det mildt sagt uoversiktlig, sier Meling.

Han synes for eksempel det er vanskelig å vite om han kan lagre kontaktinformasjonen til kunder og leverandører om de ikke sender ut samtykke-skjema.

– Jeg har sjekket lisenser på samtykkeløsninger, og det koster mellom 150.000 og 200.000 kroner i året. Det er like mye som hele markedsbudsjettet vårt, sier Meling.

En undersøkelse Intrum har gjort, viser at den antatte gjennomsnittskostnaden blant norske bedrifter med inntil 250 ansatte, er på 58.000 kroner.

Rekordgebyrer

Om man bryter reglene, kan man bli ilagt gebyrer på opptil fire prosent av foretakets årsomsetning, eller 20 millioner euro.

Pål Karlsen er produsent i Hacienda Film AS, som er et filmproduksjonsselskap som er eid og drevet av tre personer.

– Det er ikke slik at vi lagrer mye informasjon om folk, men vi har mye opptak. Alle gjøres alltid i samarbeid med de vi filmer, de vet hva de sier, og at en del vil bli publisert. Store, tunge filmfiler på norsk byr seg ikke akkurat fram for datatyveri. For oss oppleves GDPR som veldig byråkratisk, sier Karlsen.

Han understreker også at prinsippene i lovene er gode.

– Slik det presenteres på Datatilsynets sider, så skal alt være i et språk folk forstår. Men når jeg, som har vært 30 år i formidlingsbransjen og vet godt hvordan vi behandler informasjon og presenterer en sak, får råd om jeg ikke selv bør skrive selskapets personvernerklæring, så gjør man det unødvendig vanskelig, sier Karlsen, og legger til at deres lille selskap ikke har økonomi til å leie inn ekstern kompetanse på det som ikke angår deres hovedvirksomhet.

– Dette skal ikke være et stort juridisk avtaleverk, som min innboks flommer over av nå, fra alle jeg en eller annen gang har gitt min e-postadresse. Jeg tenker på alle de dyre advokattimene som legges ned i dette kjipe formelle nå, og resultatet blir ofte at vanlige folk ikke klarer å forstå det de leser, sier Karlsen.

Forvirring

Over 90 prosent av norske bedrifter har under 10 ansatte. Bedriftsforbundet organiserer om lag 4.000 norske bedrifter, de fleste av dem små og mellomstore.

Advokat Svardal i Bedriftsforbundet sier at hennes inntrykk er at det hersker en generell forvirring rundt regelverket.

Loven skulle egentlig tre i kraft i EØS også den 25. mai, men har blitt utsatt.

– De bedriftene som tar kontakt er glade for den utsettelsen de kan få. Vi mener det er for lite tid til å sette seg inn i et omfattende regelverk, som kan resultere i omfattende gebyrer, sier Svardal.

Hun trekker også frem eksempelet med bedrifter som opererer i bedriftsmarkedet.

– Hva slags opplysninger krever samtykke, og hva slags samtykke må gis? Om en kunde bestiller tilleggsprodukter, må du da be om opplysninger på nytt, om de ikke har gitt samtykke til lagring av informasjon? spør Svardal.

Les også

Tjenester blokkerer europeiske brukere på grunn av GDPR

Likhet i EU og Norge

Bedriftsforbundet har sammen med den europeiske organisasjonen for små- og mellomstore bedrifter (UEAPME) vært en pådriver for å få til en overgangsordning der man i realiteten ikke ilegger noen økonomiske sanksjoner på brudd på reglene det første året.

Næringslivets hovedorganisasjon (NHO) sier på den andre siden at lovverket ikke trenger en utsettelse.

– Grunnen er at både norske bedrifter med utenlandske kunder, og utenlandske bedrifter med norske kunder, burde ha samme regelverk å forholde seg til, sier Halvor Sigurdsen, som er fagleder for næringsjus i NHO.

– Mitt inntrykk er at selskapene som ikke har kompliserte forbrukerforhold klarer denne overgangen alene, sier Sigurdsen.

Les også

Ekspert om ny personvernlov: – Tror mange selskaper velger å ta det som en skriveøvelse

Les også

Ikke få personvernangst

Les også

Nye regler gir forbrukere flere rettigheter: – Kan koste virksomheter dyrt

Her kan du lese mer om

  1. Personvern
  2. NHO

Flere artikler

  1. GDPR innføres i Norge 20. juli

  2. Datatilsynet: – Får mange meldinger om sikkerhetsbrudd fra finansbransjen

  3. Rekordår for Datatilsynet etter GDPR: – Regelverket er fortsatt uklart for mange

  4. Annonsørinnhold

  5. Nå trer GDPR i kraft i Norge

  6. Ny EU-lov kan gi Bitcoin-trøbbel