Personvernforodningen i et iverksettingsperspektiv - i kommunal sektor
Abstract
This thesis is about the General data protections regulation (GDPR) in public sector, in the Norwegian
local governance. My research question for this thesis is: “What challenges does a local governance
experience when it comes to implementing and following up on GDPR?
The new Personal Data Act and GDPR came into force on 20 of July 2018 in Norway. Many local
governances found that there is a large amount of personal data, and it is challenging for them to have a
secure data system for personal data. GDPR protects fundamental rights of natural persons, and their right
to personal data. After the new law was implemented, two Norwegian local governances received large
fees from the Norwegian Data Protection Agency due to breaches of GDPR.
The theoretical framework for this thesis is implementation theory and organizational theory.
I discovered through qualitative method, that the local governance had challenges in its implementation
process, based on the implementation variables of Van Meter and Van Horn. The implementation process
of the GDPR was also structured hierarchically within the organization. The local governance has been in
a merger with two other local governances. This turned out to have an impact on the implementation
process. This created challenges for the culture of the public organization. Den nye personopplysningsloven og personvernforordningen (GDPR) trådte i kraft 20.juli 2018 i Norge.
Dette medførte et mer utfyllende og mer forklarende lovverk enn det vi hadde hatt tidligere. I takt med det
nye lovverket, økte individers oppmerksomhet og bevissthet, rundt hvilke rettigheter de besitter når de deler
sine personopplysninger. Dette har medført et større press og strengere krav til både offentlig og privat
sektor. Videre har dette skapt en større bevissthet for virksomheter, og behovet for å behandle
personopplysninger slik de skal med hjemmel i norsk lov. Mange norske kommuner har hatt utfordringer,
når det kommer til å ha gode systemer for oppbevaring personopplysninger og behandle disse på riktige
måte.
Mange kommuner opplever at det er store mengder personopplysninger, og det er utfordrende for dem å ha
sikre datasystemer, slik at man kan redusere eventuelle avvik og risiko. Datatilsynet har blitt strenger i form
av gebyrer, som omfatter store beløp for kommunene, dersom det er store avvik. Ved brudd på
personopplysningsloven og GDPR. Oslo og Bergen kommune har mottatt store gebyrer, grunnet brudd på
lovverket. Dette har vært mye i media det siste året, og har hatt en avskrekkende effekt på andre
kommuner. Det er en betydelig forskjell i størrelsen på kommunen i Norge, og dette vil også påvirke
mengden personopplysninger som en kommune behandler. Større kommuner vil ha større mengder
personopplysninger å behandle, men disse kommune har ofte flere disponible ressurser, i form av
økonomiske og menneskelig kapital. I denne oppgaven har jeg tatt utgangspunkt i en kommune, som etter
årsskifte ble slått sammen med to andre kommuner. Dette har medført utfordringer i iverksettingsprosessen
og oppfølgingen av GDPR i kommunen. Min problemstilling for denne oppgaven er som følgende: «Hvilke
utfordringer er det en kommune står ovenfor når det kommer til iverksetting og oppfølging av GDPR?»
Description
Master i sosialfag