Hvorfor gælder GDPR også før 25. maj?

Sat på spidsen, så har Datatilsynet givet GDPR tilbagevirkende kraft. Ikke alene skal man opfylde reglerne efter den 25. maj – men også før (!), fremgår det af en ny afgørelse. Det er et retssikkerhedsmæssigt problem, og det er et politisk problem, anfører Jakob Dedenroth Bernhoft i dennes uges ’Privacy på spidsen’.

Datatilsynet har ifølge IT-nyhedsmediet Version2 meldt ud, at klagesager fra før 25. maj 2018, hvor det var persondataloven som gjaldt, skal behandles efter de nye GDPR-regler. Det fremgår af en afgørelse fra Datatilsynet, som Complidia efterfølgende har fået adgang til.

Med andre ord bedømmer man disse sager efter regler, som man ikke skulle opfylde, da selve sagen fandt sted. Sat på spidsen, så har man givet GDPR tilbagevirkende kraft. Ikke bare skal man opfylde reglerne efter den 25. maj 2018 – men også før (!). Det er et retssikkerhedsmæssigt problem.

Udmeldingen stammer fra en konkret sag, hvor en person i oktober 2017 beder et shoppingcenter om indsigt i tv-overvågningsoptagelser, hvor vedkommende optræder. Herefter følger en mailkorrespondance mellem parterne og ender med, at shoppingcentret et par uger senere afslår anmodningen om indsigt endeligt.

Personen klager til Datatilsynet den 2. maj 2018, som kommer med en endelig afgørelse den 22. november 2018. Afgørelsen bygger primært på reglerne i databeskyttelsesloven, og hvor der i afgørelsen gennemgås de bestemmelser, som Datatilsynet finder relevante:

”Datatilsynet gør opmærksom på, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Denne afgørelse er derfor truffet efter de nye regler. Datatilsynet har i den forbindelse imidlertid skelet til de regler, der gjaldt på tidspunktet for [shoppingcentrets] behandling af personoplysninger og til, hvad tilsynets reaktion ville have været efter disse regler.”

Altså oversat til dansk: Vi har behandlet sagen efter de nye regler, selvom sagen stammer fra dengang, de ikke var trådt i kraft (’fik retsvirkning’ som vi jurister vil sige).

Kan man det?
Nej! Nu kommer der lidt lov-teknik: Persondataforordningen trådte i kraft (fik retsvirkning) den 25. maj 2018 og ikke før. Databeskyttelsesloven trådte i kraft samme dato. Samtidig blev persondataloven ophævet. Snittet mellem hvornår, man skal følge de gamle og de nye regler, er efter min opfattelse helt klart. Hvis man læser lovbemærkninger til databeskyttelsesloven eller præamblen til forordningen, kan man heller ikke nå frem til et andet resultat.

The International Association of Privacy Professionals (IAPP) i Storbritannien når også frem til samme resultat. De har regnet lidt på, hvornår man i Storbritannien kan forvente at se den første afgørelse, truffet efter GDPR, og har et gæt på at det sker i februar 2019. De lægger til grund, at man jo ikke kan dømme efter regler, som ikke er trådt i kraft.

Hvad betyder det så?
Alene i 2017 modtog Datatilsynet 2.200 klagesager vedrørende offentlige myndigheder og private virksomheder, svarende til ca. 180 om måneden. Hvor mange af dem, som nåede at blive færdigbehandlet inden 25. maj 2018, er der, så vidt jeg kan se, ikke opgørelser over. I den konkrete sag tog det seks måneder, før der forelå en endelig afgørelse. Det kan give et fingerpeg om, hvor mange måneder det kan tage for Datatilsynet at behandle en sag. Lægger man de seks måneder til grund, så har der ligget ca. 1000 gamle sager fra før, GDPR fik retsvirkning den 25. maj 2018, som nu bliver behandlet efter de nye regler. Det skal understreges, at det er en usikker opgørelse og kun et fingerpeg.

Skaber flere problemer
1.000 sager. Det er i min optik mange sager, som nu risikerer at bliver afgjort efter regler, som ikke skulle følges på det tidspunkt, begivenhederne udspillede sig. Det er et retssikkerhedsmæssigt problem. Hvordan skal man vide, at man bliver bedømt efter regler, som ikke gælder?

Det er et politisk problem, for det er politisk bestemt, at regler først skal finde anvendelse fra 25. maj 2018. Så kan en administrativ myndighed ikke komme og mene noget andet.

Endelig, så skaber det forvirring i en periode, hvor mange virksomheder kæmper med at få styr på GDPR-reglerne – for hvilke regler er det egentlig, man skal følge? De nye eller gamle?

Som Datatilsynet skriver i afgørelsen (jf. ovenfor), så har man da også ”skelet” til persondatareglerne. Opfordringen skal herfra lyde, at man i sager fra før 25. maj 2018 alene ”skeler” til de gamle regler og efter denne dato skeler til GDPR.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle