Løven, der lander som et lam?

Datatilsynets ressourcer rækker kun til kontrol af nogle få håndfulde virksomheder hvert år. Risikoen for at blive trukket ud til kontrol som almindelig virksomhed er stort set nul. Det kan man som virksomhed vælge at glæde sig over, men tager vi en tur op i helikopteren, så handler GDPR om at beskytte vores alle sammens persondata. Når vi ikke er på arbejde, er vi alle privatpersoner, som bestiller flybilletter, handler i web-butikker, giver oplysninger til vores læge osv. Derfor har vi alle en interesse i, at GDPR generelt overholdes. Skal det blive en realitet, så er det næppe nok at satse på tillid. Der skal også kontrol til, skriver Jakob Dedenroth Bernhoft i denne uges ’Privacy på spidsen’.

Lad os forestille os en bilist, som altid kører for stærkt. Han ved, han får en bøde på for eksempel 1.000 kr., hvis han bliver stoppet. Han er bare aldrig blevet stoppet. Hvad vil der ske, hvis bøden blev tredoblet, så han vil stå til en bøde på 3.000 kr. i stedet? Nok ikke så meget, for han ved, at risikoen for at få en bøde er meget lille.

Hvad nu, hvis man ikke satte bøderne op men i stedet indførte mere kontrol, så risikoen for at blive opdaget bliver langt større? Når bilisten ved, at han nemt vil kunne få en bøde, hvis han kører for stærkt, så vil han sikkert sætte farten ned. Også selvom bøden stadig var på 1.000 kr.

Bøder for at overtræde GDPR
Det er først nu, at der er afgørelser på vej, som skal bedømmes efter GDPR, så vi kender ikke til, hvilket bødeniveau domstolene vil lægge sig på endnu. Det er dog helt sikkert, at bøderammerne kun vil blive udnyttet fuldt ud i store og meget alvorlige sager.

Ved overtrædelse af GDPR er bøderammen 20 mio. euro eller 4 procent af omsætningen, hvis det for den pågældende virksomhed er større end 20 mio. euro (i nogle tilfælde 10 mio. euro eller 2 procent af omsætningen). Bøderammen gælder for alle virksomheder – også tømrermesteren med et kundekartotek. Dette har givet store overskrifter igennem de seneste år, for hvem kunne tænke sig at betale bøder, som potentielt kan blive astronomiske?

Et er bøderammer og bødeniveau, noget andet er opdagelsesrisiko. Hvilken betydning har det for efterlevelsen af GDPR, at bøderammerne er så store?

Stort set ingen kontrol
Det er Datatilsynet, som kontrollerer, om myndigheder og virksomheder overholder GDPR. I 2017 var Datatilsynet ude at kontrollere 17 virksomheder. 15 af tilsynsbesøgene angik supermarkeders brug af overvågningskamera og de sidste to drejede sig om fodboldklubbers behandling af personoplysninger ved håndhævelse af politiets karantæner i forbindelse med afholdelse af fodboldkampe. Sidste halvår af 2018 blev seks virksomheder kontrolleret.

Til sammenligning findes der mange hundrede tusinder virksomheder (cvr-numre) i Danmark.

Så hvad er risikoen for at blive udtrukket til kontrol som almindelig virksomhed? Den er tæt på 0. Det er paradoksalt, at man har vedtaget en lovgivning, som er kommet så højt op på den politiske agenda, men som der i realiteten ikke føres tilsyn med.

Ikke enten eller
De meget høje bøderammer kan vise sig at være løven, som springer op, men bliver ramt af en virkelighed uden kontrol og lander som et lam.

Det er et politisk valg: Skal der satses på tillid eller kontrol? Det er nok ikke enten eller, men erfaringen fra mange andre områder tilsiger, at man også bør have kontrol, hvis reglerne skal overholdes.  

* * * 

Jeg vil gerne understrege, at mit ærinde på ingen måde er at kritisere de hårdt arbejdende folk i Datatilsynet. Jeg er helt sikker på, at de inden for de økonomiske rammer gør alt, hvad de kan, for at løfte de mange opgaver, som de er pålagt.

Med til historien hører så også, at Datatilsynet behandler en lang række klagesager over virksomheder hvert år. Derfor er der flere virksomheder end nævnt ovenfor, som kommer i berøring med Datatilsynet hvert år, men de er ikke udsat for en egentlig kontrol.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle