Hvad der i særdeleshed adskiller den nye persondataforordning fra den gamle personlov er sanktionerne.
Efter den gamle lovgivning kunne du teknisk set blive straffet for ikke at behandle persondata efter lovens forskrifter, men meget få danske virksomheder tog reglerne seriøst – og myndighederne prioriterede ikke at håndhæve dem. De største danske bøder var ikke værd at tale om.
Det ændrer sig alt sammen nu.
Med den nye persondataforordning er der lagt op til bøder på 4 {c89dcbb3fd0b14303407148ddc440ca45db85f22dc8ba182e84fad3075efc165} af den globale omsætning eller 20 millioner euro (ca. 150 millioner kroner) – hvad end, der er højest.
Det er altså ikke for sjov længere.
De nye og væsentlige bøder er også den anden gode grund – udover det etiske ansvar til naturligvis at behandle folks persondata ordentligt – til, at du skal reagere og i god tid inden Datatilsynet begynder at lange bøder ud tilpasse virksomheden.
Persondataforordningen slår fast, at alle kan klage til den nationale tilsynsmyndighed – i Danmark Datatilsynet – over behandlingen af persondata.
Der er 3 relevante spørgsmål at stille til sanktioner (særligt bøder) i persondataforordningen:
- Hvor stor er risikoen for at jeg får en bøde?
- Hvor stor er bøden?
- Hvordan minimerer jeg risikoen?
Lad os tage dem en ad gangen:
7.1 Risikoen for at få en bøde
Tidligere har risikoen for at blive bødesanktioneret efter persondataloven som nævnt været lig nul i praksis.
Det ændrer sig nu. Men vi ved ikke i hvilken grad, det ændrer sig.
Niveauet for bøder bliver først lagt når persondataloven er trådt i kraft den 25. Maj 2018. Men der er ingen tvivl om, at niveauet bliver intensiveret i forhold til lige nu.
Persondataforordningen er først og fremmest skrevet med store virksomheder og sociale netværk in mente, men bestemmelserne gælder i lige så høj grad for dig som mindre virksomhed.
Derfor bør du minimere din risiko ved at leve op til det af persondataforordningen du kan inden for rimelighedens grænser – hvilket er hele formålet med denne bog og dette produkt.
7.2 Størrelsen af bøden
Persondataforordningen indeholder en opsigtsvækkende artikel omkring bødens størrelse:
Om bødens størrelse, der i Danmark fra gang til gang endeligt bestemmes af Datatilsynet:
”Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning.”
Der er 2 modsatrettede hensyn her:
Bøden skal stå i rimeligt forhold til overtrædelsen. Har du trådt en smule ved siden af uden stor skadesvirkning, skal du altså ikke have en bøde på 20 millioner euro.
Men samtiigt skal bøden have en afskrækkende virkning, så du ikke gør det igen. Og det ville 20 millioner euro have for de fleste virksomheder (ikke dig, Mark Zuckerberg, det ved vi).
Vi ved altså, at båden skal stå i forhold til, hvad du har gjort, være afskrækkende og at den går fra 0 til 20.000.000 euro.
Der er også forskel på, hvilke dele af persondataforordningen, du overtræder.
Brud på databehandlers forpligtelser og rettigheder straffes mere lempeligt end brud på reglerne omkring samtykke og behandling af almindelig data efter artikel 6.
7.3 Mindskelse af risikoen
Persondataforordningen gælder som lov. Du fjerner derfor effektivt din risiko ved at overholde persondataforordningen.
Nogle dele er dog nemmere end andre.
Med dette produkt får du udkastet til en databehandlerkontrakt, der gør det nemt for dig at lave kontrakter med de databehandlere, du har i din virksomhed.
Til gengæld kan det være svært at omstrukturere et eksisterende IT-system, så du nemt og uden unødig forsinkelse kan slette data på en person efter ønske fra denne – eller sende data til en konkurrent jævnfør princippet om dataportabilitet. Derfor er der også indsat mere lempelige indførselsregler ved disse tiltag, der tager hensyn til ’nuværende tekniske niveau’ og ’omkostninger forbundet med skiftet’.
Med til dette produkt hører også en tjekliste over tiltag, du kan gennemføre i virksomheden. Det er alle tiltag, du selv har kontrol over.
Jeg anbefaler som minimum at gennemføre denne tjekliste og herudover have persondataforordningens vigtige principper, fx privacy by design, in mente til fremtidige redesigns og recodes af interne IT-systemer m.v.
Kilder:
