Nu kommer persondatapolitiet

Kristian Holte er cand.jur. og advokatfuldmægtig hos KLAR Advokater med speciale i IT- og life science-sektorens udfordringer.

Der er flere banebrydende elementer i det forslag til nye regler for behandling af persondata, som EU-Kommissionen for nylig har fremlagt. Forslaget har potentiale til at tvangsændre danske virksomheders holdning til behandling af persondata og minder om de regler, der gælder på konkurrenceområdet, som bliver taget meget seriøst af virksomhederne.

Kommissionens forslag er interessant af flere årsager. Dels indeholder forslaget en skærpelse af selve reglerne for behandling af persondata. Dels har Kommissionen valgt forordningen som teknisk lovform. Det betyder i praksis, at de enkelte medlemslande får langt mindre råderum, når reglerne skal gennemføres på nationalt plan. Det betyder også, at de nye regler kan blive en realitet i Danmark allerede om to til tre år.

Forslaget er blandt andet båret af den 'lovløshed', som EU mener hersker blandt visse internetvirksomheder, hvad angår behandlingen af persondata. Dog vil reglerne få betydning for alle typer virksomheder, der som led i forretningen behandler persondata, uanset om det sker fysisk eller digitalt.

Forslaget lægger op til potentielle kæmpebøder for virksomheders overtrædelse af reglerne. Forslaget præsenterer en graduering af bøderne alt efter grovheden af overtrædelsen. I de groveste tilfælde, hvor en virksomhed eksempelvis bevidst har behandlet persondata ulovligt, kan virksomheden idømmes en bøde op til op 2 pct. af virksomhedens globale omsætning. I mindre grove tilfælde kan bødens størrelse udgøre op til 0,5 pct. af virksomhedens globale omsætning. Så hårde sanktioner er ikke hverdagskost i Danmark.

Som endnu et banebrydende element giver forslaget Datatilsynet mulighed for at gennemføre såkaldte dawn raids. Her tropper myndighederne op uanmeldt hos en virksomhed for at sikre sig det bevis, som myndigheden skal bruge for at kunne vurdere, om virksomheden har foretaget sig noget ulovligt. Dawn raids er kendt fra konkurrenceområdet, hvor myndighederne har anvendt dem til at indlede store undersøger af blandt andet ulovlig kartelvirksomhed.

Forslaget lægger op til en mere effektiv kontrol af virksomheders behandling af persondata. Ud over selve Datatilsynet beføjelser er der lagt op til, at også interesseorganisationer kan klage til Datatilsynet over en virksomheds brud på reglerne. På den måde inviterer EU-Kommissionen til, at organisationerne bidrager til, at reglerne bliver efterlevet.

Forslaget nævner ikke, at virksomheder kan klage over konkurrenters brud på reglerne, men det vil i praksis kunne lade sig gøre. Det vil så være op til Datatilsynet, om Datatilsynet vil gå videre med sagen. Reglerne kan skabe et klima, hvor danske virksomheders behandling af persondata i højere grad bliver fremstillet i offentligheden.

Det leder videre til et vigtigt punkt: Ressourcer. Hvis reglerne skal have den ønskede effekt, kræver det, at Datatilsynet får tilført ressourcer til at efterforske sagerne og reagere med kort varsel. Datatilsynet har indtil nu skulle løse en række forskellige opgaver, og personligt har jeg haft fornemmelsen af, at håndhævelse af reglerne ikke altid har stået øverst på dagsordenen.

Hvis forslaget bliver gennemført i sin nuværende form, har det potentiale til at ændre den afslappede holdning til behandling af persondata, som hersker blandt mange danske virksomheder. Det vil de seriøse sanktioner bidrage til. Virksomhederne bliver derfor tvunget til at yde en indsats for at sikre, at reglerne bliver overholdt.

Ellers kommer persondatapolitiet.

**Læs også: **Pas på nye privacy-regler: Datatilsynet får kæmpe bødehammer

Kommentarer (0)