GDPR – godt for konkurrencevilkår og dataetik
Da vi passerede 25. maj, mødte vi en ny virkelighed, hvor indsamling, opbevaring og brug af data er blevet strømlinet og strammet op på tværs af alle EU-lande.
Det er godt, at konkurrencevilkårene nu er ens, selv om den langsommelige tilblivelse af den danske databeskyttelseslov samt manglende forudgående vejledninger og orientering gjorde det svært for de danske virksomheder at tilpasse sig de nye regler. Spørgsmålet var, hvordan forordningen egentlig skulle tolkes i praksis.
Forløbet medførte imidlertid en god og sund debat, for når virksomheder, organisationer og myndigheder indsamler vores data, er det kun rimeligt, at de også passer godt på dem og bruger dem med omhu.
Samtidig er vi også nødt til at bevare en pragmatisme i datareguleringen, for ellers bliver vi låst og tør til sidst ikke foretage os noget af frygt for de hårde sanktioner, Datatilsynet nu kan pålægge os.
Det vil være en katastrofe i en digital tidsalder, hvor data spiller en stadig vigtigere rolle i virksomheders, organisationers og myndigheders muligheder for at træffe bedre beslutninger og opnå større sikkerhed.
Døgnflue?
Der er talt og skrevet meget om de ændringer i lovgivningen om persondatabeskyttelse, som trådte endeligt i kraft i 25. maj 2018. Mange taler og skriver stadig om det, og måske har nogen efterhånden vendt det døve øre til.
Der er mange, der har ventet på at se, hvilke konsekvenser det skulle have, hvis man som almindelig dansk virksomhed ikke håndterer sin persondatabeskyttelse tilstrækkeligt, for selv om vi alle gerne vil leve op til love og regulativer, kan det være svært med motivationen, hvis der ikke er en konsekvens.
Regler håndhævet i forskellige Europæiske Datatilsyn
Idet der er tale om en EU-forordning, har vi set reglerne håndhævet i forskellige Europæiske Datatilsyn, og her er der udstedt bøder, som har været langt over, hvad vi har set under de gamle regler (et EU-direktiv, som i Danmark var udmøntet i Persondataloven).
I marts 2019 kom det danske Datatilsyn med den første politianmeldelse, hvor det anbefales, at et taxaselskab idømmes en bøde på 1,2 mio. kr. Taxaselskabet har behandlet almindelige persondata om deres kunder i længere tid, end der er hjemmel til, og det er dette forhold, taxaselskabet i givet fald måtte få en bøde for.
Efter det oplyste har der ikke været datalæk eller problemer med it-sikkerheden generelt.
Data til rådighed i “for lang tid” kan give en stor bøde
Det danske Datatilsyn indikerer dermed, at alene det at have data til rådighed – som i øvrigt ikke er følsomme – i ”for lang tid”, kan give en velvoksen bøde.
Om det er rimeligt eller ej, forholder vi os ikke til, men vigtigt er, at selv den helt almindelige virksomhed i sin fortegnelse (GDPR, art. 30) tager stilling til, hvor lang tid data må opbevares, før de skal slettes.
Datatilsynet har – og er – på tilsynsbesøg hos en række virksomheder, og man fokuserer specielt på, at virksomhederne har styr på:
- fortegnelser (oversigt over, hvilke personoplysninger der behandles)
- placering af data (inden for eller uden for EU)
- risikoafvejning
- databehandlere (underleverandører)
GDPR er ikke en døgnflue. Alle er nødt til at forholde sig til GDPR.
