Organisasjoner må forberede seg på personvernpåvirkninger i år

I 2022 så vi bred støtte bak føderal personvernlovgivning i den amerikanske kongressen. Mens American Data Privacy Protection Act (ADPPA) så ikke presidentens penn før mellomperiodene, det faktum at et slikt lovforslag så en komitéavstemning i huset – godkjent 53–2, med støtte fra to partier – og både industri og talsmenn fremmet gjennomføring er bemerkelsesverdig. Spørsmålet er ikke lenger om vi vil se føderal personvernlov, men når. Og mens ADPPA tok opp mye av oppmerksomheten i USA i 2022, brakte året også en progressiv Federal Trade Commission (FTC) som lanserte et bredt reguleringsinitiativ, fortsatt vekst av statlige personvernspørsmål i California og utover, og introduksjonen av en pålegg om å reparere Privacy Shield-programmet. I 2022, USA privatliv var brennende varmt.  

Fjoråret så fortsatt vekst i det internasjonale riket. Kinas nye lov begynte å vise de betydelige risikoene for manglende overholdelse. India fortsatte sine parlamentariske grep mot vedtak av en omfattende lov om databeskyttelse. Og EU så betydelig fremgang i håndhevingsaktiviteten. Mer enn 100 land har nå nasjonale personvernlover, og feltet vokser hver dag.

Disse trendene vil fortsette, og akselerere, i 2023. Forvent mer statlig lov i USA, mer regulerings- og håndhevingstiltak fra Federal Trade Commission, et aktivt håndhevingsmiljø i EU – store saker forventes i Irland, veldig snart – og fortsatte modenhet og vekst rundt om i verden når personvernpersonell kjemper med kompleksiteten og risikoen ved disse lovene.

Spådommer for 2023

2023 blir et turbulent år i personvernet. Økonomisk motvind og forstyrrelser i teknologibransjen kan gi opphav til krav om ytterligere personvern og sterkere håndhevelse. M&A-aktivitet kan fremheve det faktum at bedriftens retningslinjer for personvern kan endres eller ignoreres når konkurrerende interesser prioriteres. Dataoverføringer vil fortsatt være en sentral bekymring, med EU-vurderingen av tilstrekkeligheten for det oppdaterte Privacy Shield som dukker opp tidlig på det nye året.

Her er noen viktige trender å se:

• Strammere budsjetter, men en enda strammere talentmasse. Personvernledere vil slite med to konkurrerende temaer. På den ene siden vil personvernbudsjetter, som alle utgiftsposter i organisasjoner, føle presset fra resesjonskrefter i det globale markedet. Personvernledere vil i mange tilfeller måtte gjøre mer med mindre. Motsatt vil talentmangelen på personvernfeltet fortsette å bli verre med erfarne personvernproffer som behersker høyere lønnsnivåer og krypskyting av topptalenter over hele feltet.

• Hvem er din personvernansvarlige (DPO)? EUs databeskyttelsesråd har kunngjort at utnevnelsen og rollen til databeskyttelsesansvarlig i henhold til den generelle databeskyttelsesforordningen (GDPR) vil være en delt håndhevingsprioritet i hele EU for 2023. Nå er det et godt tidspunkt å sørge for at: (1) du har en DPO; (2) du har registrert dem på riktig måte hos din DPA; (3) de er tilstrekkelig opplært, erfarne og ressurser for jobben; (4) de har uavhengighet i sine oppgaver; og (5) de har tilgang til de øverste ledelsesnivåene. Forvent mer av veiledningen fra European Data Protection Board (EDPB). Vi kan se forventninger dukke opp rundt riktige kvalifikasjoner, uavhengighet og konflikter innenfor DPO-rollen.

• Noe gammelt, noe nytt. Nye lover tar opp mye av vårt fokus på personvernfeltet, og det med rette. Den amerikanske databeskyttelsesloven (ADPPA), Brasils generelle databeskyttelseslov (LGPD) og Kinas lov om beskyttelse av personopplysninger (PIPL) presenterer alle ny kompliseringskompleksitet for personvernproffer. Men ikke gå glipp av antall lover som blir oppdatert, til og med overhalt, rundt om i verden. Canada, Australia, New Zealand og flere har fullført eller satt i gang en omfattende reform av sine eksisterende personvernlover. Disse endringene kan ha like store konsekvenser som en ny lov.

• Håndhevingsrisiko og kreativitet. Ofte fokuserer vi på den økonomiske størrelsen på en håndhevingshandling. Men det er andre håndhevingsverktøy tilgjengelig for regulatorer over hele verden. Se etter økningen av lederansvar (noen ganger kriminelt!), dataforstyrrelser og styrets tilsynsforpliktelser ettersom regulatorer ønsker å endre bedriftens atferd. Disse verktøyene endrer utvilsomt risikoprofilen for personvern og kan heve oppmerksomheten til de høyeste nivåene i organisasjoner.