Stilheden efter GDPR

Hypen oven på ”25. maj 2018” har efterhånden lagt sig. Men spørgsmålet er, om de danske virksomheder hviler i en falsk tryghed, funderer Jakob Dedenroth Bernhoft i denne uges ’”Privacy på spidsen”, hvor han påpeger, at man ikke nødvendigvis er compliant i dag, blot fordi man var det, da GDPR fik virkning.

GDPR lever i bedste velgående, men al den hype, som var op til 25. maj 2018, er forsvundet. Og godt for det, for mange var gået helt i selvsving, og det føg rundt med mails til højre og venstre med anmodning om samtykker. Nu er der blevet stille. Måske lidt for stille.

Det kan skyldes, som en undersøgelse fra Dansk Erhverv viser, at 82 pct. af virksomhederne lever op til de nye GDPR-regler pr. 1. januar 2019. I hvert fald ifølge virksomhederne selv. Det efterlader jo ikke så mange virksomheder, der ikke mener, de har styr på det.

Spørgsmålet er bare, om de 82 pct. dækker over de faktiske forhold.

Et er at tro…
Hvis man ser på Datatilsynets afgørelser inden for de seneste 3 måneder, så er det store virksomheder, Datatilsynet har ment, overtræder reglerne:

  • Manglende behandlingssikkerhed hos PFA Pension
  • Alvorlig kritik og påbud til Rejsekort A/S
  • Forbud til TDC om optagelse af telefonsamtaler uden samtykke
  • YouSee A/S’ (TDC A/S’) behandling af personoplysninger

Jeg er sikker på, at de pågældende fire virksomheder har ment, at de har været fuld compliant, men alligevel er de røget i fælden. Jeg er også sikker på, at de har haft ressourcerne til en grundig implementering. De hører dog til de heldige, da de har fået alvorlig kritik, men ikke nogen bøde.

Taxa 4x35 og IDdesign (ILVA og IDEmøbler) har været mindre heldige, da de står til bøder på henholdsvis 1,2 mio. kr. og 1,5 mio. kr., hvis domstolene følger Datatilsynets indstilling. (Se kort gennemgang af disse to sager nedenfor).

Et er at tro, man lever op til reglerne, noget andet er faktisk at gøre det. Så mon 82 pct. af Dansk Erhvervs medlemmer nu også er compliant?

En anden fælde
For de, som rent faktisk var compliant 25. maj 2018, er der en anden fælde: Hvis virksomheden er ændret, har nye produkter, er på andre markeder, har fået nyt IT mv., skal man tjekke, om det har betydning i forhold til GDPR. Vi er ved at få de første audit-opgaver og vi kan se, at det kniber lidt med for eksempel at huske forretningsgange og sætte nye kollegaer ind i GDPR.

Så selv om man var compliant den 25. maj 2018, så er det ikke sikkert man er det nu.

Se nu at komme videre og i mål. Når først GDPR-’oprydningen’ er overstået, er det normalt en overkommelig opgave at holde sin dokumentation vedlige. Vi mangler måske en gang hype til.

P.S. For en ordens skyld vil jeg lige fastslå, at jeg ikke har noget at udsætte på Dansk Erhverv. Jeg er selv medlem og har stort udbytte af det.

Danske GDPR-bøder
Indtil nu har Datatilsynet i Danmark indstillet to virksomheder til bøder i millionklassen. Det er nu op til domstolene at tage endelig stilling, da det danske tilsyn som et af de eneste i EU ikke kan udstede administrative bøder.

Taxa 4x35
Taxa 4x35 står til en bøde på 1,2 mio kr. ifølge Datatilsynet. Baggrunden er, at taxaselskabet ikke i tilstrækkeligt omfang slettede tidligere kunders oplysninger. Det drejede sig om knap 9 mio. personhenførbare taxature, som er blevet gemt uden et sagligt formål. Sagen er nu indbragt for domstolene.

IDdesign
I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign (ILVA og IDEmøbler), hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet. Her kom det frem, at IDdesign opbevarede oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik uden at have taget stilling til, om det var nødvendigt at gemme alle disse persondata og uden at have fastsat slettefrister. Det mente Datatilsynet var en overtrædelse af GDPR og har indstillet virksomheden til en bøde på 1,5 kr. Sagen er også indbragt for domstolene.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle