25. maj i år trådte GDPR i kraft, og med den dataforordning fulgte muligheden for, at virksomheder kunne få meget store bøder, hvis de overtrådte forordningen. Reglerne siger, at en bøde under GDPR i yderste konsekvens kan løbe op i 20 millioner euro eller 4 procent af en virksomheds årlige omsætning.
Det siger sig selv, at der ikke er nogen virksomheder, der budgetterer med et tab på 4 procent af omsætningen eller 20 millioner euro – knap 150 millioner kroner.
Derfor er der også blevet vredet hænder på direktionsgangene mange steder i Danmark. GDPR – General Data Protection Regulation – er en tung sag at komme igennem, og nogle af fortolkningerne er endnu ikke lagt helt fast i sten.
Det betyder, at der ikke er komplet klarhed over, hvordan reglerne skal fortolkes. I Danmark er der heller ikke delt nogen store bøder ud her et halvt år efter, forordningen er trådt i kraft.
Bebudet af Datatilsynet
At der ikke er blevet delt bøder ud i hobetal er ikke så overraskende, hvis man kigger tilbage på det, Datatilsynet selv har sagt. Til mediet Version 2 lød en udtalelse, at Datatilsynet ikke havde til mål at dele bøder ud, men hellere ville have en pragmatisk tilgang til GDPR.
Hovedfokus ligger fra tilsynets side på, at databehandling sker på den rigtige måde og med de rigtige hensyn. Databehandling når det kommer til personoplysninger, vel at mærke, fordi det er jo det, GDPR handler om.
Man behøver måske derfor ikke at forvente, at det lige om lidt vil regne med millionstore bøder, men omvendt kan man måske heller ikke længere forvente, at Datatilsynet vil give meget mere line, hvis de opdager brud på forordningen.
Det store spørgsmål er måske, hvornår man som virksomhed kan begynde at forvente, at der vil vente bøder, hvis man ikke har styr på databehandlingen. Selvfølgelig er der altid individuelle vurderinger, men på et tidspunkt vil en virksomhed træde så meget ved siden af, at der skal betales ved kasse 1.
Tyskerne har uddelt første bøde
I Tyskland har man allerede udskrevet den første bøde til en virksomhed, som ikke har kunnet holde sig inden for linjerne, der er trukket op af GDPR. Det var et datingsite, der blev første modtager af en GDPR-bøde i landet, efter omkring 330.000 brugeres data blev stjålet.
Herhjemme kan den første bøde være på vej til GoMentor, som er blevet politianmeldt for ikke at have styr på datasikkerheden. Det er en sag, der kan gå hen og blive en prøvesag i forhold til at fastlægge niveauerne på bøder og konsekvenser.
I den sag er der tale om cirka 70.000 mennesker, som kunne få blandet oplysninger sammen, og hvor nogle brugere har kunnet se andre brugeres meget personlige oplysninger. Det er oplysninger som problemer med parforhold, seksualliv, misbrug og den slags.
Det er ikke bare personoplysninger, det er meget følsomme personoplysninger og meget private oplysninger, som ikke skal deles med andre. Hvornår der vil falde en afgørelse omkring lækket hos GoMentor er ikke sikkert, men det kan potentielt være vigtigt for fremtidige GDPR-sager.
