GDPR skyder små virksomheder med kanoner

GDPR er udarbejdet efter en ”one size fits all” model og efter min opfattelse, giver det ingen mening. Man drukner de fleste virksomheder i Danmark med administrative byrder for at ramme nogle få store virksomheder. Tømrermesteren med et par ansatte, skal overholde de samme GDPR-regler som store internationale virksomheder. 119 siders tung og svær tilgængelig lovtekst.

Alle virksomheder er omfattet af alle bestemmelser i persondataforordningen. Det gælder både den lille tømrervirksomhed, og de allerstørste internationale virksomheder i C20 indekset samt globale virksomheder som Google, Amazon, Linkedin og Facebook for at nævne nogle. Det gælder uanset om virksomheden har 0 eller 50.000 medarbejdere.

Lad mig slå fast, at formålet med at beskytte af persondata, er der næppe nogen, som kan være imod. Selvom vi har haft regler om beskyttelse af persondata fra år 2000 af – og endnu længere tilbage, hvis man tager den dagældende registerlovning med - så er det først nu, at virksomhederne, det offentlige, foreninger m.v. er begyndt at tage reglerne alvorligt. Det, der er sket – er med et fortærsket ord –  et paradigmeskifte. Og det er godt.

Sundhedsdata sendt med posten
Særligt de store virksomheder og det offentlige, der har uanede mængder af persondata liggende, har fået en kæmpe opgave med at få implementeret reglerne. Sådan må det være, for sker der et datalæk her, så kan de negative konsekvenser på samfundsplan være meget store. Se bare sagen om Statens Serum Institut, hvor 5.282.616 danskeres sundhedsdata og personnumre blev sendt ukrypteret på to DVD’er med posten og uheldigvis havnede hos en kinetisk virksomhed. Helt grotesk at behandle kæmpe mængder yderst fortrolige/følsomme oplysninger på sådan en lemfældig måde.

Men hvad med de små virksomheder med få ansatte – Tømrervirksomheden? En sådan virksomhed vil have personoplysninger liggende om ansatte og måske nogle persondata om kunder. Der bliver typisk brugt et af de større lønbureau’er, hvor databehandleraftalen er i orden. Data bliver gemt på Onedrive, hvor databehandleraftalen med Microsoft ikke er til forhandling. Hjemmeside har man typisk ikke og sender heller ikke nyhedsbreve ud. Datasikkerheden er sådan ca. i orden, og computeren går på pauseskærm efter 5 minutter.

Fremkalder fjerne blikke
Det er ca. situationen for 10.000 vis af danske virksomheder. Det er bare ikke disse virksomheder, man har tænkt på, da man lavede forordningen, som fylder 119-A4 sider + lige den danske databeskyttelseslov på 13 sider. Prøv lige at forklare tømrermesteren dette (præambel nr. 2):

”Denne forordning har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed samt en økonomisk union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mellem økonomierne inde for det indre marked og fysiske personers velfærd.”

Han vil få et meget fjernt blik i øjnene og måske prøve at komme i tanke om, hvorvidt han har kunder, som bor uden for kommunen.

GDPR er udarbejdet efter en ”one size fits all” og efter min opfattelse, giver det ingen mening. Man drukner de fleste virksomheder i Danmark med administrative byrder for at ramme nogle få store virksomheder.

Monsterstore regelsæt
Skiftende regeringer har i mange år prædiket, at de administrative byrder for erhvervslivet skal lettes. Med den ene hånd har man lettet nogle få byrder, og med den anden hånd er monster regelsæt, som GDPR blevet vedtaget.

Inden for regnskabslovgivningen har man for mange år siden erkendt, at det ikke giver mening at underlægge tømrermesteren de samme regnskabsregler, som de store børsnoterede virksomheder. Og derfor har man indført en trappemodel, hvor kravet til oplysninger i regnskaberne bliver større jo større virksomheden er. Hvorfor har man ikke brugt en sådan løsning i forhold til GDPR?

Det har man bare ikke. Til gengæld så trues tømrermesteren med bøder op til ca. 150 mio. kr. og ja endnu højere, hvis 4% af koncernens omsætning er over dette beløb, men det behøver tømrermesteren nok ikke at spekulere over.

Giver ikke mening for de små
Samtidig har man indført en slags omvendt bevisbyrde, hvor det er virksomheden, som skal godtgøre, at GDPR er overholdt og ikke omvendt. Det svarer lidt til, at man ikke bare skal overholde færdselsreglerne, men også detaljeret skal skrive ned, hvordan man har tænkt sig at gøre det. Fx hvordan undgår man at køre for tæt på en forankørende bil eller glemme at bruge blinklyset ved vognbaneskift?  Man skal også foretage en risikovurdering af hvornår uheld kan indtræde. Er det på den snoede landvej eller et venstresving i en storby?

Nu har jeg kritiseret GDPR helt ned under gulvbrædderne i forhold til de små virksomheder, men som jeg også skrev indledningsvist, så er formålet med reglerne prisværdigt og giver god mening for mange store virksomheder. Det gør de bare ikke for små virksomheder. Der skyder GDPR med alt for store kanoner.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle