Når persondata-fælden klapper
af Mia Storm, Advokat
Der bliver næppe skrevet mange spændingsromaner om EU’s nye persondataforordning, og spørger du den gennemsnitlige sofa-dansker en lørdag aften, om han helst vil se det nyeste afsnit af Barnaby eller høre 10 minutter om persondataforordningen, falder det sjældent ud til forordningens side.
Det har været en generel udfordring for EU fra start – at få kommunikeret noget så vigtigt ud til så mange borgere, der samtidig var så kedeligt og juridisk. Hvor godt de har klaret opgaven, kan man diskutere – men én ting er dog alligevel trængt igennem til en del, nemlig at det kan have alvorlige konsekvenser, hvis man ikke overholder reglerne. Særligt bødestørrelserne i milliardklassen har fanget opmærksomheden hos de fleste, og der kan ikke være tvivl om, at de nye regler – og konsekvenserne ved manglende overholdelse – ikke er for sjov.
Datatilsynet er som Supervisory Authority i Danmark tillagt en række kompetencer, herunder at kunne give advarsler og irettesættelser, hvis virksomheder ikke overholder reglerne. De kan undersøge virksomheder af egen drift, ligesom de behandler klager fra privatpersoner. I graverende sager melder de sagen til politiet, som herefter kan pålægge virksomheden en bøde for overtrædelsen.
Hvis overtrædelsen er af grov karakter, f.eks. hvis den vedrører ulovlig datadeling til udlandet, eller manglende overholdelse af en instruks fra Datatilsynet, kan der gives bøde på op til 20 millioner Euro eller 4% af den årlige omsætning på globalt plan (den højeste af de to). Er der tale om andre overtrædelser, kan man ”nøjes” med en bøde på op til 10 millioner Euro eller 2% af den årlige omsætning på globalt plan (igen den højeste af de to).
Det er nok de færreste virksomheder, der ikke vil kunne mærke det, hvis der bliver taget 20 millioner Euro fra kassen – for de fleste virksomheder i Danmark vil det betyde farvel og tak. Og selvom målet er, at alle efterlever reglerne, så skal midlerne selvfølgelig være derefter. Derfor vil vi næppe opleve, at der bliver udskrevet bøder til højre og venstre i starten, men derimod at de nationale tilsyn i langt højere grad vil prøve sig frem med vejledning og irettesættelser.
Og skulle der være et par nationale tilsyn, som står klar med bødeblokken og blot venter på, at kalenderbladet vender til 25. maj, så er Datatilsynet næppe blandt dem; i forbindelse med cookie-direktivet, hvor virksomheder blev pålagt at bruge cookie-meddelelser på deres hjemmesider, blev der også truet med bål, brand og bøder, men i praksis er der kun udskrevet en håndfuld bøder, og der gik meget lang tid før den første bøde blev udskrevet. Så mon ikke det bliver en relativt pædagogisk proces for de fleste – det kan vi i hvert fald krydse fingre for.
EU’s nye persondataforordning træder i kraft den 25. maj 2018. Som optakt hertil sætter vi øget fokus på forordningen ved at udgive en række blogindlæg om udvalgte emner. Læs mere her: Er du klar til den nye persondataforordning?
Har du spørgsmål til ovenstående eller har du brug for hjælp med persondataforordningen generelt, kan du kontakte advokat og CIPP/E Mia Storm på ms@otello.dk.