DI: Myndighederne bør holde igen med GDPR-bøder

Realistisk set må man erkende, at meget få virksomheder er 100 procent i mål med håndteringen af persondata i maj måned, lyder det fra DI

Danske virksomheder har travlt med at leve op til bestemmelserne i den nye persondataforordning, GDPR, som træder i kraft 25. maj. Og netop fordi de fleste anstrenger sig for at være på plads, bør Datatilsynet og domstolene anlægge en forsigtig linje i forhold til at hive bødeblokken frem, mener underdirektør Kim Haggren, DI’s ansvarlige for arbejdet med EU’s nye dataforordning, ifølge DI Business.

»Realistisk set må man erkende, at meget få virksomheder er 100 procent i mål med håndteringen af persondata i maj måned. Vi håber derfor, at myndighederne først og fremmest vil satse på vejledning af virksomhederne i stedet for sanktioner, hvis de ser, at virksomhederne bestræber sig på at ville behandle og opbevare persondata ordentligt,« siger han til DI Business.

Det kræver en ny kultur i mange virksomheder og hos de enkelte medarbejdere at følge GDPR, mener DI. Det skyldes, at man ikke har været vant til at håndtere persondata så struktureret og dokumenteret. Der skal nye arbejdsgange ind for at arkivere data og for at rydde op. I det arbejde vil der være detaljer, som ikke når at komme på plads.

Eksperter peger på, at der er stor forskel på, hvor stram en linje EU-medlemslandene kører i forhold til sanktioner for manglende overholdelse af GDPR. I Storbritannien har meldingerne således været, at man vil slå hårdt ned på dem, der ikke er i mål, straks når forordningen træder i kraft.

DI mener, at der er behov for en harmonisering, for ellers kan det ramme konkurrenceevnen.

»Det giver problemer, hvis de danske myndigheder lægger en helt anden linje end deres kolleger i det øvrige EU. Reaktionerne skal harmoniseres på tværs, men det vil være udfordret af, at der er mange nationale særhensyn indbygget, eksempelvis har vi et CPR-system, som skal integreres,« siger Kim Haggren.

DI mener dog, at bøder i særligt grove tilfælde, hvor virksomheder er fuldstændig ligeglade med håndtering af persondata eller sælger dem bag ryggen på de involverede, kan være på sin plads.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"DI mener dog, at i særligt grove tilfælde, hvor virksomheder findes fuldstændig ligeglade med håndtering af persondata – eller sælger dem bag ryggen på de involverede, kan bøder være på sin plads."

Det var meget ædelmodigt af jer.....

Både vor regering og vort erhvervsliv er i fuld gang med at udvande kravene - det skal jo desværre nok lykkes.

  • 12
  • 3
Bjarne Nielsen

... er det, som jeg hører.

Ingen medlidenhed herfra, for at have været fløjtende ligeglade med reglerne, hvoraf store dele i princippet allerede har eksisteret i lang tid.

Men med det sagt, så er det vigtigere at der sker noget, end at der deles bøder ud. Så lad domstolene afgøre, om der i de konkrete tilfælde kan være undskyldende omstændigheder.

  • 14
  • 2
Povl H. Pedersen

Det er faktisk muligt med henstillinger og påbud inden man skrider til bøder.

Bøder skal have afskrækkende virkning.

Jeg vil tro at det betyder, at bøden skal have en størrelse der vil være noget højere (minimum 2x) end omkostningen ved at implementere kravene (som iøvrigt er utroligt fluffy). De 2-4% af omsætningen tror jeg ikke vi ser. Og man kan lave nationale bødesatser sålænge det ikke er nationgrænse overskridende forhold.

Derudover tror jeg ikke de danske domstole ønsker at lukke danske virksomheder. Men de er nødt til at give bøder der kan mærkes, ihvertfald efter påbud. Men jeg tror ikke der gives ret mange bøder de første 6 måneder, nok primært henstillinger og påbud - Hvis datatilsynet har sagsbehandlere nok.

  • 6
  • 0
Claus Bobjerg Juul
  • 8
  • 1
Flemming Jacobsen

"Realistisk set må man erkende, at meget få bilister er 100 procent i mål med nedbremsningen før vejarbejdet. Vi håber derfor, at myndighederne først og fremmest vil satse på vejledning af bilisterne i stedet for sanktione, hvis de ser, at bilisterne bestræber sig på at køre pænt"

  • 20
  • 1
Hans Nielsen

Myndigheder i andre lande kan anlægge sager i Danmark, eller give bøder selv, hvis de mener at loven er overtrådt i deres eget land. - Som jeg forstår det ?
Hvilket land vil ikke give facebook en bøde på 4% af 59,3 milliarder kroner ?

Hvis Danske firmaer handler ud over grænsen, så tror jeg ikke at Tyske, Spanske eller andre EU land spiller med synd.
Hvorfor også det, de fleste af kravene i GDPR bunder i den gamle dataforordning. Den eneste store forskel før og efter den 25. maj er at derefter er mulighed for store bøder. Formode at Danske firmaer har overholdt de gamle regler, så skulle det ikke være svært at overholde de nye.

Jeg håber til gengæld at hvis ikke de Danske, så at udenlandske EU datatilsyn vil give store bøder til dem som misbruger og sælger vores persondata . Og som ødelægger vores tillid til samfundet og Internet. Samtidigt med at de overtræder basiske menneskerettigheder, som retten til et privatliv.

Kan da se på Facebook, Microsoft, og de andres stores nye regler for data. at de ikke regner med at få en vejledning først. Formoder også at bøder bliver reguleret af en dommer, hvis det er i sager hvor man kunne være i tvivl.
Hvis Danske Myndigheder ikke lever op til ånden i loven, så tror jeg også at de andre EU ikke vil se til i stilhed. Lige som med Irland i Skattesagerne. Tror ikke selv om datatilsynet har siddet med finger i r*** i mange år, at andre lande vil tillade Danske firmaer at krybe uden om, ved en slap myndighed i Danmark. Det vil virke konkurrenceforvridende.

Men hvis jeg ejet et firma som kunne risikere en bøde på lidt over 2 milliarder kr. Så tror jeg ikke jeg vil handle, så man kunne komme i tvivl.

  • 7
  • 0
Hans Nielsen

Jeg vil tro at det betyder, at bøden skal have en størrelse der vil være noget højere (minimum 2x) end omkostningen ved at implementere kravene (som iøvrigt er utroligt fluffy). De 2-4% af omsætningen tror jeg ikke vi ser


Tror da at vi ser bøder der er større. Du kan jo få en på 20.000.000 EUR uanset din omsætning.

Hvis risikoen for at bliver "taget" er tæt på nul, som DI formand mener det skal være. Så kan bøderne være nok så store. Jeg mener tværtimod at man godt kunne starte med at statuere et eksempel og give en kæmpe bøde. Så er det også nemmere for administratorer og andet godtfolk at bede om penge og resurser til at få styr på gdpr. Noget som burde have været på plads i det forrige århundrede.

Hvis du ikke har taget hånd i hanke med dine data og nok især samtykke og din deling med andre, så tror jeg man kan være i risikozonen.
Firmaer skal nok i stedet for at tænke på at data udover at de har en værdi, også indebære en risiko, og en udgift.

Det er jo meget nemt at overholde gdpr. Smid alt data ud du ikke SKAL bruge, sørg for samtykke, del ikke data med andre, og sikre data krypteret på europæiske server eller hjemme.

Alle dem som piver, er mennesker og firmaer som har levet af at sælge og indsamle data, uden at have styr på, eller overholde love regler samt etik og moral.

Tror ikke at det enkeltmandsfirma som har glemt at få slettet eller krypteret backup, får en kæmpe bøde. Hvorfor også det. Men de som har hjemmesider, betalingsløsninger eller mange persondata skal nok se at få strammet op.

  • 5
  • 0
Mark Klitgaard

Selvom det jo selvfølgelig altid er sjovt at bashe de store stygge firmaer, så kunne kommentarsporet måske godt bruge lidt mere nuance, og som Povl er inde på er nogle af kravene utroligt fluffy ift. hvad konsekvensen af ikke at overholde dem kan være.

Gør det de ikke skal overholdes? Selvfølgelig ikke. Gør det, det svære at være sikker på man overholder dem og samtidig levere whatever legitime tjeneste man udbyder? Ja. Tro det eller lad være, men ikke alle
som har persondata i et vist omfang kører Cambridge Analytica forretningsmodellen.

Ud fra mine egne erfaringer ift. at blive GDPR compliant der kan jeg se vi har brugt oceaner af tid og advokat timer på at finde hoved og hale i hvad der i strid med GDPR og hvad der ikke er.

Selvfølgelig kan man bare dreje nøglen om og lukke og slukke, men det er ikke just en gangbar forretningsmodel, så det er nok mere relevant f.eks. at finde ud af hvilket form for samtykke er påkrævet og hvad der kræver samtykke, hvilket er det en jungle.

Den pointe jeg vil frem til, er at vores tilfælde har vi har gjort et kæmpe arbejde for at sikre at vi er GDPR compliant, så hvis der er noget der skulle være i strid med GDPR stadig, så tænker jeg at fra et humant synspunkt giver mere mening at evt. problemer bliver fixet fremfor bare at drive firmaet i grunden.

Personligt synes jeg ideen bag GDPR er rigtig god og giver anledning til at gennemgå procedure m.m., vi fandt i hvert fald nogle ting hist og her, men selvom det er 2 år siden GDPR blev vedtaget på EU plan har Danmark ladet vente på sig med hvad GDPR betyder ift. dansk lovgivning hvilket har markant reduceret tiden til at verificere man overholder GDPR.

Sidst men ikke mindst er det værd at huske på det er mennesker der har skulle finde hoved og hale i hvad GDPR i praksis betyder og hvordan det evt. påvirker den givne forretning og derefter mennesker der har skulle foretage evt. ændringer for at være GDPR compliant, og derfor kan der som i så mange andre tilfælde ske menneskelige fejl, så i stedet at råbe bål og brand fra starten, mener jeg det er værd at kigge på omfanget og dermed finde en straf der passer til forbrydelsen i stedet for at gå automatisk efter maximal straf.

  • 3
  • 0
Philip Juhl

Jeg er enig i at diskussionen her kan være lidt ensporet.

Det er ikke blot regler der skal implementeres men rettere adfærd der skal ændres.

Nogle af GDPR-reglerne kan være svære at følge.
Eksempel:
Et foto hvor personen indgår betragtes som personfølsomtdata. Det betyder at billeder af tidligere ansætte, f.eks. til et teambuilding event, skal fjernes når personen stopper.
Selvom der er givet samtykke da billede blev taget.
I en virksomhed med flere 100 mennesker, kan det være svært at sætte regler eller rettere ændre adfærd der følger GDPR-lovgivningen.

  • 2
  • 1
Hans Nielsen

Et foto hvor personen indgår betragtes som personfølsomtdata. Det betyder at billeder af tidligere ansætte, f.eks. til et teambuilding event, skal fjernes når personen stopper.


Hvad er det svære ved at pille et billede ned, eller fjerne det fra en hjemmeside ?

Nu tror jeg ikke, at et glemt billede i kantinen, er det første som udløser en bøde. Men hvis du ser dig om, så er det også færre ansvarlige firmaer der har sådan noget hængende på vægge, hvor offentligheden kommer til.
Hvis vi snakker webside, så er det ikke vanskeligt at fjerne, forhåbentligt heller ikke at overskue.

Så jeg kan ikke se problemet, heller ikke med et enkelt glemt billeder, det kan datatilsynes sikkert heller ikke. Tror heller ikke at gråzoner, selv om jeg ikke kan se dem,vil give bøder i starten. Synes regler er forholdsvis enkelt. Hvis man er tvivl, så er det nok mere fordi man ikke har til hensigt at følge ånden i lovgivning, eller tror der findes smarte smuthuller, så man kan gøre som man altid har gjort. Misbruge persondata.

Kan ikke lige se at flere ansatte automatisk udgør et større problem.
Hvis der er mere end 100 ansatte i en virksomhed, og de har mange følsomme data. Ja så har de vel en data officere der tager sig af sådan ting. Eller har mulighed for at delegere ansvaret ud.

Det her virker mere som FUD i forhold til at forhold sig til at få styr på data.

Hvis man er i tvivl om noget er ulovligt, så bør man nok handle som det var det. Det her lyder lige som når taxiførere forsvare sig, når de køre over for taxa grønt.

  • 2
  • 0
Jan Larsen

En dansk myndighed kopierede data om medarbejderes helbredsforhold, inden disse medarbejdere blev fyret.

Højesteret frikendte myndigheden. Ikke fordi det var lovligt, men fordi det ikke havde indflydelse på om de blev fyret.

Det er nogle af de overgreb fra firmaer og myndigheder vi snart slipper for.
Den 25. Maj kan ikke komme hurtigt nok.

  • 2
  • 0
Anne-Marie Krogsbøll

Højesteret frikendte myndigheden. Ikke fordi det var lovligt, men fordi det ikke havde indflydelse på om de blev fyret.


Interessant eksempel - men uden at være jurist får jeg da den tanke, at sagen var rejst mht. ulovlig fyring, og at det var det, de blev frikendt for. Hvis man rejste en sag om ulovlig hentning af persondata kan det da være, at udfaldet var blevet et andet - men det er ikke sikkert, for arbejdsgivere har fået meget vide beføjelser mht. at snage i helbredsdata de senere år.

  • 0
  • 0
Hans Nielsen

"for arbejdsgivere har fået meget vide beføjelser mht. at snage i helbredsdata de senere år."

Da der skal samtykke til indhentning. Også til bare at snage.
Hvis et firma henter og gemmer sådan oplysninger, kan de også hurtigt komme i en situation, hvor de står med data som kan give store bøder.

Igen, hvorfor at GDPR er helt på sin plads.

Som en yderligere kommentar til spørgsmål om hvornår noget er i gråzonen.
Det er ligesom når man spørger sig selv om man har fået en for meget til at køre. Det har man. Hvis man stiller spørgsmålet er det her nu lovligt. Så sikkert nej.

  • 1
  • 0
Jesper Nielsen

Igen, hvorfor at GDPR er helt på sin plads.

Jeg ved ikke om GDPR ændrer noget i den sammenhæng. En arbejdsgiver er part i fx en sygedagpengesag og har derfor i vid udstrækning mulighed for at opnå egenaccess. Der var for et års tid eller to siden et eksempel på, at en medarbejder blev opsagt på baggrund af oplysninger, som de havde fået udleveret gennem egenaccess. Medarbejderen havde svjh oplyst til kommunen, at årsagen til dennes stress eller depression var chefen.

Muligheden for egenaccess er reguleret i Forvaltningsloven, og den bliver svjv ikke ændret med GDPR på det punkt.

  • 1
  • 0
Log ind eller Opret konto for at kommentere