Persondataforordningen er trådt i kraft, og den nye bødesats på op til 20.000.000 euro eller 4 % af den årlige omsætning gælder nu. Mange virksomheder i den private sektor er dog stadig i gang med arbejdet, og spørger sig selv ”Jeg skal opfylde lovens regler, men jeg skal også drive en virksomhed. Hvor går grænsen mellem de to, og hvad er min risiko i det hele taget?”. Er du i tvivl? Lad os hjælpe dig.
I det følgende gennemgås risikoen for at få en bøde i forbindelse med overtrædelse af Persondataforordningen (GDPR). Samtidig opstilles en række gode råd til at undgå bøderne.
Der hersker en væsentlig usikkerhed blandt mange private virksomheder omkring hvad der helt præcist skal til, før virksomheden overholder persondatareglerne. Virksomhederne ved typisk ikke hvilke helt konkrete tekniske og organisatoriske sikkerhedskrav, der skal opfyldes som minimum. I andre tilfælde har virksomheden opgivet at få et overblik over opgaven.
Virksomheder har derfor ofte dårlige forudsætninger, for at vurdere sine risici og prioritere persondataindsatsen, i tilfælde hvor enten tid eller økonomi gør det urealistisk, at gennemgå hele virksomheden med en professionel rådgiver. Det kan imidlertid kun lade sig gøre at forstå risiciene, og fastlægge en kompetent prioritering, når virksomheden ved hvad konsekvensen af overtrædelsen er.
Datatilsynet har tre primære reaktionsmuligheder, når persondatareglerne er overtrådt; udtale sig kritisk om virksomheden, udstede påbud om berigtigelse af overtrædelse, eller give et bødeforlæg.
Det anbefales, at virksomheder prioriterer ressourcerne på de punkter, hvor en overtrædelse formodningsvist medfører bøde, frem for overtrædelser, som er nærmere til at blive sanktioneret med påtale eller påbud.
Den mest åbenlyse – men ikke den eneste – løsning består i en trindelt rygdækning.
I første række bør virksomhederne konstatere, på hvilke punkter persondataforordningen og den nye databeskyttelseslov stiller faste, klart formulerede og forståelige krav.
I anden række bør virksomhederne identificere de regler, som indebærer en eller anden form for flydende eller diskutabelt element. Dvs. regler hvor virksomhederne ikke nødvendigvis har en aktiv pligt, men hvor virksomhederne som minimum må forholde sig til problemstillingen.
I tredje række kommer de helt generelle krav, hvor virksomhederne skal opfylde brede principper, og hvor det i vidt omfang er op til den enkelte virksomhed at gætte på, hvordan disse krav helt præcist skal opfyldes. Vejledning kan ofte søges i juridiske tekster, eller godkendte sikkerhedscertificeringer vedrørende datasikkerhed, men det er stort set umuligt at opstille et spørgsmål, og besvare dette med et ”ja” eller ”nej”.
1. Virksomheden skal have en skriftlige aftale med databehandlere, som behandler personoplysninger på vegne af og under instruks fra virksomheden.
2. Virksomheden skal vurdere, om den er omfattet af kravet om at have en databeskyttelses-rådgiver (såkaldt ”DPO, Data Protection Officer”).
3. Virksomheden skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at imødegå risici til fysiske personers rettigheder og frihedsrettigheder, som behandling af personoplysninger indebærer.
Virksomheder der tilsidesætter pligter på første trin er særligt eksponeret overfor den høje bøderisi-ko. Der er tale om helt klare lovovertrædelser. Har man således undladt at indgå databehandleraftaler med sine databehandlere, er risikoen for en bøde større.
Virksomheden der foretager en reel vurdering med en begrundet konklusion, løber en mindre bøderisiko end virksomheden, der enten ikke har foretaget nogen vurdering overhovedet, eller kun har foretaget en ren proforma vurdering.
Har en virksomhed fuldstændigt undladt at træffe sikkerhedsforanstaltninger og dokumentere disse, følger der med høj sandsynlighed en bøde. Risikovurdering bliver først vanskelig, når virksomheden har gjort en indsats for at dokumentere, at den har foretaget en reel vurdering af risikoen for, at de registreredes personers oplysninger kan misbruges, og faktisk har implementeret en effektiv beskyttelse imod denne risiko.
På tredje trin bør virksomheden have fokus på at yde en reel indsats. Har virksomheden afsat mere end blot bagatelagtige ressourcer, vil alene indsatsen ofte medføre en lavere bøderisiko. Manglende kompetencer bør suppleres enten med kurser, vejledning fra brancheorganisation, eller professionel rådgivning.
En virksomhed som oprigtigt har arbejdet på at implementere 9 sikkerhedsforanstaltninger, men overså foranstaltning nr. 10, vil med stor sandsynlighed kunne nøjes med en påtale eller et påbud, frem for en bøde.
Læs mere om vores persondatakoncept her og kontakt os på telefon 72 30 12 05, hvis du har brug for hjælp til at få styr på din virksomheds behandling af persondata.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.