GDPR - en døgnflue?

Redaktionsslutdato: 25. april 2019

Der er talt og skrevet meget om de ændringer i lovgivningen om persondatabeskyttelse, som trådte endeligt i kraft i maj 2018. Mange taler og skriver stadig om det, og måske har nogen efterhånden vendt det døve øre til. 

Der er mange, der har ventet på at se, hvilke konsekvenser det skulle have, hvis man som almindelig dansk virksomhed ikke håndterer sin persondatabeskyttelse tilstrækkeligt, for selv om vi alle gerne vil leve op til love og regulativer, kan det være svært med motivationen, hvis der ikke er en konsekvens.

Idet der er tale om en EU-forordning, har vi set reglerne håndhævet i forskellige Europæiske Datatilsyn, og her er der udstedt bøder, som har været langt over, hvad vi har set under de gamle regler (et EU-direktiv, som i Danmark var udmøntet i Persondataloven). 

I marts 2019 kom det danske Datatilsyn med den første politianmeldelse, hvor det anbefales, at et taxaselskab idømmes en bøde på 1,2 mio. kr. Taxaselskabet har behandlet almindelige persondata om deres kunder i længere tid, end der er hjemmel til, og det er dette forhold, taxaselskabet i givet fald måtte få en bøde for. 

Efter det oplyste har der ikke været datalæk eller problemer med it-sikkerheden generelt.

Det danske Datatilsyn indikerer dermed, at alene det at have data til rådighed – som i øvrigt ikke er følsomme – i ”for lang tid”, kan give en velvoksen bøde. 

Om det er rimeligt eller ej, forholder vi os ikke til, men vigtigt er, at selv den helt almindelige virksomhed i sin fortegnelse (GDPR, art. 30) tager stilling til, hvor lang tid data må opbevares, før de skal slettes. 

Datatilsynet har – og er – på tilsynsbesøg hos en række virksomheder, og man fokuserer specielt på, at virksomhederne har styr på fortegnelser (oversigt over, hvilke personoplysninger der behandles), placering af data (inden for eller uden for EU), risikoafvejning og databehandlere (underleverandører).

GDPR er ikke en døgnflue. Alle er nødt til at forholde sig til GDPR.