Så falder hammeren: Et år efter indførelse af databeskyttelseslov rammer bøderne

Skrevet af Jens Christian Kaltoft

Positivt er det til gengæld, at fem ud af seks virksomheder har fået styr på dine data, lyder det fra Dansk Erhverv.

Det er i dag ét år siden, at nye EU-regler indførte mulighed for bøder i millionklassen for virksomheder, der krænker dine persondata.

Helt op til 150 millioner kroner eller fire procent af en virksomheds samlede globale omsætning, hvis omsætningen er større en 150 millioner kroner.

Alligevel kæmper mange danske virksomheder stadig med at leve op til reglerne.

Hver sjette af Dansk Erhvervs medlemsvirksomheder siger, at de endnu ikke er i mål. Det fremgår af en rundspørge, Dansk Erhverv har gennemført blandt 380 af sine medlemsvirksomheder.

- Vi har været i dialog med rigtig mange af vore medlemmer. For dem kan det være unødvendigt bøvlet med de dokumentationskrav, der er, siger Martin Jørgensen, chefkonsulent i Dansk Erhverv.

To procent af virksomhederne siger lige frem, at de “ikke på noget tidspunkt kommer til at efterleve reglerne”.

- En del af forklaringen er, at det kan være svært at vurdere, hvornår man egentlig er i mål med reglerne. Der er ingen praksis. Nogen tøver måske med at sige, at de er i mål, fordi de er i vildrede om reglerne, mener Martin Jørgensen.

En anden forklaring er, ifølge chefkonsulenten, at nogle virksomheder har undervurderet, hvor lang tid det tager at rydde op i data.

BØDER PÅ VEJ FOR BRUD PÅ EU-DATAREGLER

  • I Danmark har Datatilsynet anbefalet en bøde på 1,2 millioner kroner til Taxa 4x35, fordi selskabet blandt andet har forsømt at slette data fra ni millioner personhenførbare taxature.

  • I Frankrig har datatilsynet, CNIL, i januar idømt techgiganten Google en bøde på 373 millioner kroner.

  • I Tyskland har datatilsynet i Baden-Württemberg givet det sociale medie Knuddels.de en bøde på knap 150.000 kroner, efter at hackere havde skaffet sig adgang til personoplysninger om tusinder af Knuddels brugere.

  • I Østrig har datatilsynet pålagt en mindre virksomhed en bøde på 36.000 kroner for at have installeret overvågningskamera, der filmede på offentligt fortov.

  • I Norge – der som EØS-land også efterlever EU`s persondataregler - er Oslos skoleforvaltning blevet idømt en bøde på to millioner norske kroner for at have lækket 63.000 elevers persondata i en app.

  • I Litauen har datatilsynet i denne uge anbefalet en bøde på 460.000 kroner til finansieringsvirksomheden, Mister Tango, for at have offentliggjort kunders persondata. Ingen af sagerne er endeligt afsluttede.

Udsigt til store bøder har inspireret

Undersøgelsens gode nyhed er, at fem ud af seks virksomheder rent faktisk er kommet i mål med at gennemføre de nye dataregler.

- Det er positivt, at det er lykkes så godt for virksomhederne at tage reglerne til sig. For mange har det oven i købet betydet, at de har fået bedre overblik over deres data, siger Martin Jørgensen.

Han erkender, at udsigten til store bøder har fremskyndet processen.

- Ingen tvivl om, at bødernes størrelse har betydet noget for prioriteringen. Bødestørrelsen har gjort, at spørgsmålet har fået både bestyrelsens og direktionens bevågenhed, siger han.

Selv om det er strømmet ind med underretninger om databrud til Datatilsynet det seneste år, er der foreløbig ikke faldet nogen endelig afgørelse om bøder i Danmark som følge af brud på persondatareglerne.

Men flere sager er på vej. I en enkelt sag har Datatilsynet efter et tilsyn i efteråret anbefalet en bøde på 1,2 millioner kroner til Taxa 4x35 for at have undladt at slette persondata.

Virksomheder slås stadig med regler

At flere danske virksomheder fortsat kæmper med at efterleve reglerne, et år efter de er trådt i kraft, bekræfter Bent Bro Miltersen, der er advokatfuldmægtig med speciale i persondataret hos Leoni Advokater i Viborg og Holstebro.

- Jeg får stadig henvendelser fra virksomheder, der har brug for hjælp til at efterleve de her regler. Også nogen hvor jeg kan se, at de reelt ikke har lavet noget eller har lavet meget lidt for at leve op til reglerne, siger han.

Den helt typiske henvendelse er ifølge advokaten fra produktionsvirksomheder, hvor det har knebet med at finde tid og ressourcer.

- De har ikke rigtig haft tid til at rette ind efter reglerne. Så nu har de brug for at få det hele lavet fra bunden, siger han.

Ekspert: Skab klarhed om regler

Det er ikke kun virksomhederne, som opfordrer til større klarhed omkring reglerne.

Søren Sandfeldt Jakobsen, professor i it- og medieret ved Aalborg Universitet opfordrer nu til at få mere skub i de sager, der nu ligger på Datatilsynets bord, så virksomhederne bedre ved, hvad de kan regne med.

- Nu er der gået et år. Tilsynet kunne godt have taget nogle af de større sager ud og prioriteret dem. Så var de måske ført til ende nu, og så ville virksomheder og organisationer have mere klarhed over bødeniveauet, siger han og tilføjer:

- Jo før, vi får pejlingspunkter, jo bedre. Det er vigtigt for retssikkerheden.

GDPR - NØGLEN TIL DINE DIGITALE RETTIGHEDER

  • GDPR er en forkortelse for General Data Protection Regulation.

  • På dansk er den også blevet kaldt for databeskyttelsesforordningen, dataforordningen eller persondataforordningen.

  • Det er en EU-lov, der trådte i kraft den 25. maj 2018.

  • Loven giver dig kontrol over de oplysninger, der ligger om dig på internettet.

  • For eksempel over personlige data, som du har givet til sociale medier og forskellige hjemmesider.

  • Loven gør det også nemmere for dig at gennemskue, hvordan virksomheder og organisationer – lige fra banker til fodboldklubber - behandler og opbevarer oplysninger om dig.

Jens Christian Kaltoft https://www.mondo.dk
Forrige

De fire største GDPR faldgruber
Næste

Så mange millioner har EU indtil videre indkradset i GDPR-bøder