IT-Branchen og Dansk Erhverv i fælles GDPR-opråb: Virksomheder ved ikke, om de er købt eller solgt
Når Justitsministeriet i den kommende tid går i gang med at evaluere GDPR, så er der mange interesser på spil. Virksomheder må i mange tilfælde nemlig lægge mange ressourcer i at overholde de gældende persondataregler.
En undersøgelse foretaget af IT-Branchen fra 2018 viser, at små og mellemstore virksomheder havde en årlig GDPR-omkostning på mellem 50.000 og 100.000 kroner, og hver 8. virksomhed bruger over 1 million kroner om året for at overholde reglerne.
Derfor er IT-Branchen og Dansk Erhverv gået sammen i et opråb til myndigheden om at lempe reglerne, så f.eks. små og mellemstore virksomheder får lettere ved at navigere i Datatilsynets forventninger til GDPR-praksis. De peger på i alt fire punkter, hvor de mener, der er plads til forbedringer.
For det første er det i mange tilfælde ikke til at gennemskue, hvornår man er dataansvarlig, og hvornår man er databehandler, mener Martin Buch, chefkonsulent i IT-Branchen:
»Det er f.eks. vanskeligt at forstå, hvorfor PostNord ikke er en databehandler, når de bringer posten ud, mens en tjeneste, der sender e-mails ud, er,« udtaler han i IT-Branchens pressemeddelelse.
Uklarheden går i særdeleshed ud over it-leverandører, understreger han, og reglerne har ført til mange konflikter i branchen, hvor leverandør og kunde ikke kan blive enige om, hvem der skal agere dataansvarlig. Organisationen mener derfor, at Datatilsynet bør udbygge deres vejledninger, for at informere virksomhederne mere klart.
Reglerne kan også få konsekvenser for samfundets digitale fremskridt, mener organisationerne, da de frygter at små og mellemstore virksomheder vil fravælge cloud-løsninger fremover. Det er nemlig svært at eksportere data til tredjelande efter Schrems II-sagen, for den dataansvarlige både skal forholde sig de fire europæiske garantier og selv vurdere sikkerhedsniveauet i det pågældende tredjeland:
»Noget der i praksis er umuligt ressourcemæssigt for SMV’ere og i store dele af det offentlige at håndtere,« skriver organisationerne i pressemeddelelsen.
Brancheorganisationer: Der er brug for mere vejledning
Generelt er det en meget kompleks lovgivning, og derfor er det vigtigt, at Datatilsynet skruer op for vejledningen, mener brancheorganisationerne, der dog påpeger, at tilsynet har meldt ud, at de fremover vil opprioritere den indsats.
Der er dog stadig lang vej endnu, og derfor foreslår de i pressemeddelelsen, at tilsynet opstiller nogle fiktive cases - eksempler på situationer, hvor persondata spiller en rolle - og tilhørende vejledninger, der konkret beskriver, hvordan en virksomhed bør handle.
Den usikkerhed betyder, at virksomheder ofte ikke ved, om de er købt eller solgt, og det er kritisabelt, mener Martin Buch:
»Det er ikke tilfredsstillende, at virksomhederne i praksis ikke har anden mulighed, end at vente på et kontrolbesøg fra Datatilsynet, før de finder ud af, om de har overholdt loven,« udtaler han i pressemeddelelsen.
Derfor foreslår organisationerne også, at virksomheder skal have mulighed for at få en bindende forhåndsgodkendelse af praksisser, politikker og arbejdsgange, før de går i gang med at implementere dem.
