menu close Teknologiens Mediehus
person Konto arrow_drop_down
»Selvfølgelig giver 25. maj sved på panden,« stod der på forsiden af Dansk Industris månedsmagasin for snart tre år siden. Men man kan få sved på panden af flere årsager.
Læser man artiklerne i magasinet og lodder stemningen blandt virksomhederne og deres interesseorganisationer i perioden, så emmer det af panik og frygt for de millionbøder, som flere spåede ville falde som et tæppebombardement over dansk erhvervsliv, når den nye persondataforordning trådte i kraft den sidste fredag i måneden.
»Omkring maj 2018 var det virkelig bøderne, der drev arbejdet. Det er det ikke i samme grad i dag. Selvfølgelig har man stadig angsten, men i dag er det mere et spørgsmål om, at man siger, at man simpelthen skal have en compliant organisation,« siger Kim Haggren, der er underdirektør i Dansk Industri.
Opmærksomheden var da også berettiget. For forordningen muliggjorde bøder i en helt anden kategori, end man tidligere havde været vant til.
Med de nye regler kunne der gives bøder på op til fire procent af en virksomheds omsætning – maksimalt omkring 150 millioner kroner.
Den trussel var nok til, at et retsområde, der groft sagt havde henligget i en døs, nu pludselig blev vakt til live.
»GDPR var et frygtet paradigme, fordi man ikke kunne overskue konsekvenserne af de nye rammer. Der var også en bekymring for, at bødestørrelsen ville skade konkurrencen og begrænse innovationsevnen, da bødefrygten alene ville hæmme lysten til at ekspandere på andre markeder eller forsøge sig med nye aktiviteter,« husker Natasha Friis Saxberg, der er administrerende direktør i IT-Branchen.
Selvom der, siden reglerne trådte i kraft, har været en række sager fremme, og selvom Datatilsynet har foretaget flere politianmeldelser og givet deres bud på bødernes størrelse, så er der dog endnu ikke officielt udskrevet en bøde herhjemme.
Sådan er det ikke i resten af EU, hvor der jævnligt udmåles alvorlige økonomiske ørefigner til virksomheder, der forbryder sig imod persondataforordningens regler. Blandt de mest markante sager kan British Airways nævnes. Først fik flyselskabet udstukket en rekordstor bøde på 183 millioner pund for at have lækket data fra en halv million kunder.
Den oprindelige bøde svarede til halvanden procent af British Airways omsætning i 2018. Bøden er dog senere blevet nedsat til 22 millioner pund. I europæiske lande er det sådan, at myndighederne selv kan udskrive bøder til virksomheder, der overtræder reglerne, hvorefter bøden kan indklages for domstolene.
Herhjemme skal Datatilsynet først politianmelde virksomheden, og herefter overgår sagen til anklagemyndigheden, der så behandler sagen. Det har medført en forsinkelse, der kan efterlade et indtryk af, at der slet ingen bøder gives herhjemme.
Men i sidste uge faldt der så dom i den første danske sag, der blev behandlet ved Retten i Aarhus. Den drejede sig om møbelkæden ILVA, der var tiltalt for at have gemt et kundekartotek med 350.000 kunders oplysninger. Møbelkæden var indstillet til en bøde på halvanden million kroner, og sagen var den første af ialt tre sager mod private virksomheder, hvor der er lagt op til en betydelig bøde.
Fredag faldt der så dom i sagen, og Retten i Aarhus idømte ILVA en bøde på 100.000 kroner. Altså en del lavere end der var lagt op til fra Anklagemyndighedens side. Retten lagde blandt andet til grund, at der var tale om uagtsomhed samt en række andre formildende omstændigheder. Derudover har man også lagt til grund for bøden, at den skal udregnes fra ILVA's omsætning og ikke Jysk, der ellers er moderkoncern til virksomheden.
Uanset bødestørrelsen, er vi med den første dom på vej ud af en periode, hvor vi har ventet på, hvad det egentlig ville ende med i forhold til bøderne, forklarer Henrik Udsen, der er professor i it-ret på Københavns Universitet.
»Der er ingen tvivl om, at det store fokus på bøderne har været med til at skabe opmærksomheden omkring reglerne, og det har været tiltrængt. Mange af reglerne gjaldt også før, men der var ikke så meget opmærksomhed på at overholde dem, som der er nu. Det har det her bødespøgelse været med til at skabe. Men det har også skabt nogle forkerte billeder af, hvad det var for nogle bøder, man kunne forvente,« siger han.
ILVA-sagen er den første bødemæssige bøje for virksomhederne at navigere efter, forklarer Henrik Udsen.
»Vi får først et endeligt billede af bødeniveauet, når domstolene begynder at afgøre sagerne. Der kan vi se, om domstolene er enige i de bødeniveauer, som Datatilsynet og Anklagemyndigheden har lagt op til i de verserende sager. Men der går noget tid, før vi kender det niveau. Der er i andre europæiske lande eksempler på, at domstolene har sat bøderne ret meget ned, i forhold til hvad der var lagt op til fra tilsynsmyndighederne,« siger professoren og understreger, at dette var sager, hvor bøderne var højere end i de verserende danske sager.
Han ikke er bekendt med, at man i nogen sag har været i nærheden af de berygtede fire procent af omsætningen. Alligevel er det af den største betydning, at man holder øje med bødernes endelige størrelser, og dermed hvor på havbunden bøjerne fastgøres, så at sige.
»Det store fokus på GDPR har særligt været drevet af bødeniveauerne og angsten for de her potentielle kæmpebøder. Det er klart, at hvis vi kommer i en situation, hvor det viser sig, at bøderne er meget lavere, end vi gik og troede, så kan det have en påvirkning. Men lad os nu se, hvor bødeniveauet kommer til at ligge. Bøderne kan stadig få et niveau, hvor de er med til at ændre folks adfærd, også selvom det ikke bliver i nærheden af de meget høje millionbeløb, der har været talt så meget om,« siger Henrik Udsen.
Myndigheder og virksomheder er forpligtet til at indberette brud på persondatasikkerheden, maksimalt 72 timer efter at de bliver klar over det. Sidste år betød det, at tilsynet modtog 9.000 anmeldelser om brud.
Og det er da også blevet til en række påtaler og kritiske afgørelser, men bøderne venter man altså fortsat på. Og selvom Datatilsynet i tre af sagerne har lagt op til en bøde på mere end en million kroner, er der et stykke op til det maksimum, der er sat i forordningen. Det forklarer Allan Frank, der er jurist og it-sikkerhedsspecialist hos Datatilsynet. Han peger på, at bøder på det niveau, virksomhederne frygtede for år tilbage, nok kun vil kunne komme på tale for de tungeste i dansk erhvervsliv.
»I min verden er det sådan, at man skal drive en lovlig virksomhed i Kongeriget Danmark. Uanset om man er utilfreds med, hvor hurtigt man må køre på motorvejen, skal man respektere landets love. Længere er den sådan set ikke,« siger Allan Frank og fortsætter:
»Hvad der har været drevet af økonomisk frygt hos virksomhederne, og hvad der har været drevet af trangen til at overholde de nye regler, skal jeg ikke kunne sige. For mig er det at være compliant i en dataretlig sammenhæng ikke kun en udgift i bundlinjemæssig sammenhæng, det er også et aktiv til forståelse af egne processer og forretningsudvikling.«
Og han lover virksomhederne, at hvis man kører over for rødt lys med åbne øje, så skal man ikke være i tvivl om, at Datatilsynet står klar med bødeblokken.
Med den første bøde uddelt, er det begyndelsen på en ny virkelighed, hvor virksomhederne i praksis kommer til at kunne se, hvad konsekvensen kan være ved at overtræde loven. Og selvom den oprindelige frygt for en byge af millionbøder altså ikke er blevet til virkelighed, har truslen om sanktioner fået virksomhederne til at arbejde intensivt med persondatabeskyttelse – og det var tiltrængt, fortæller Natasha Friis Saxberg, der henviser til de mange frivillige indberetninger til Datatilsynet og de hundredtusindvis af kroner, virksomhederne i gennemsnit har brugt på arbejdet.
»GDPR var også en nødvendighed. I forhold til persondata havde vi i flere år levet som i Det Vilde Vesten, så der var et behov for, at man sikrede borgernes rettigheder og fik en mere stram lovgivning,« siger hun og fortsætter:
»Vi kan heldigvis se, at virksomhederne tager GDPR meget alvorligt.«
Det billede genkender de andre erhvervsorganisationer, der dagligt er i kontakt med deres medlemmer i erhvervslivet. Dommen vil minde virksomhederne om, at arbejdet med persondataforordningen fortsætter, vurderer Martin Jørgensen, advokat og chefkonsulent hos Dansk Erhverv.
»Når de store sager med bøder på mere end en million bliver afsluttet herhjemme, så vil det give noget opmærksomhed igen. Der vil komme en form for runde to, hvor man lige vil se efter, om man har styr på det hele.«
I øjeblikket overvejer Anklagemyndigheden, om dommen over ILVA skal ankes til Landsretten.
