Serier
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Danske virksomheder risikerer millionbøder for at ignorere nye datakrav

Om få måneder træder den såkaldte persondataforordning fra EU i kraft. Det er den mest omfattende ændring på området i nyere tid og får vidtrækkende konsekvenser for erhvervslivet. Danske virksomheder skal til at vågne op, advarer eksperter.

Sprængfarlige data

Danske virksomheder risikerer bøder i millionklassen, hvis de fra 25. maj ikke har styr på deres persondata.

Her træder EU’s nye persondataforordning i kraft, og det er den mest omfattende af sin slags nogensinde på området. Hvor virksomhederne tidligere kunne nøjes med et rap over fingrene, vanker der nu bøder på op mod ca. 150.000.000 kr. eller fire pct. af koncernens globale indtjening, hvis der ikke er styr på tingene.

Kort om forordningen
  • Virksomheder skal kunne dokumentere og kontrollere de strømme af persondata, som bliver indsamlet og sendt videre. Alene denne kortlægning kan være et stort arbejde, for det overblik har de færreste i dag.
  • Borgere skal i højere grad end i dag give deres tydelige samtykke til, hvordan data om dem bliver brugt af virksomheder, for eksempel til marketing eller videresalg til andre.
  • Strafferammerne for overtrædelser bliver markant strammet ifht. gældende dansk lov. I de mest alvorlige tilfælde er der bøder helt op til 4 procent af en virksomheds årlige, globale omsætning. For et selskab som Google svarer det et pænt, tocifret milliardbeløb.
  • Det kommer krav om en Data Protection Officer, en ’databeskyttelses-ombudsmand’, hos virksomheder, der behandler særligt følsomme data, for eksempel helbredsoplysninger, analyseinstitutter og markedsføringsvirksomheder, og som har det som hovedaktivitet.
  • Borgere får mulighed for at kræve data om dem slettet, eller kan flytte dem over til en anden leverandør, samt retten til at blive underrettet, hvis data er blevet lækket.
  • Virksomheder skal følge princippet om privacy by design, så data så vidt muligt bliver gjort anonyme i it-systemerne, for eksempel hvis de skal bruges til store analyser, hvor man ikke har brug for at kende identiteten på hver enkelt.
  • En række meldepligter bliver fjernet, så både datatilsyn og virksomheder sparer tid og ressourcer. Til gengæld falder hammeren så meget hårdere, hvis det senere viser sig, at en virksomhed ikke har levet op til reglerne og ikke kan gøre rede for, hvordan persondata bliver håndteret.
  • Alle børn under 13 år må kun blive en del af sociale tjenester på nettet med deres forældres godkendelse. Lande kan individuelt hæve dette krav op til 16 år.

Og lige nu er der ikke styr på tingene. Det viser en rundspørge, som analyseinstituttet Wilke har lavet for Finans blandt 123 danske virksomheder. Her svarer hver tredje, at de ikke aner, hvad den går ud på, mens 55 pct. enten slet ikke er klar eller kun delvist klar til at håndtere de nye regler.

Det billede genkender en stribe eksperter på området. En af dem er Per Sloth, der er partner i revisionshuset BDO og chef for risk assurance.

»Det er et udmærket billede af situationen. Mit indtryk er, at de store virksomheder har meget fokus på det, men der er et stort segment af større og mellemstore virksomheder, som ikke har den fornødne opmærksomhed på det,« siger han.

Persondataens lange vej
  • En måling blandt EU-borgerne viste i 2011 blandt andet, at 70 pct. var bekymrede for, om deres persondata blev brugt til andre formål af virksomheder end den sammenhæng, de blev givet i, for eksempel et køb på nettet.
  • I 2012 begyndte arbejdet med at nå frem til nye, fælles regler for alle EU-lande - i stedet for at lade hvert land selv fortolke. Reglerne er derfor en EU-forordning, ikke et EU-direktiv.
  • I 2015 var der stadig over 10.000 punkter, hvor Europa-Parlamentet, EU-Kommissionen og Ministerådet (medlemslandene) var uenige.
  • Kort før julen 2015 var der enighed om reglerne og de sidste finpudsninger, som så er vedtaget formelt nu af EU-Kommissionen og Europa-Parlamentet.
  • De nye regler skal nu indføres i dansk lov og gælder fra 25. maj 2018. Alle EU-landenes datatilsyn skal samarbejde om at finde fælles fodslag.
  • Databeskyttelsesforordningen afløser regler, som bygger på EU-lov fra 1995 - fra før internettet var almindeligt brugt.

Ifølge Nis Peter Dall, som er partner i advokatfirmaet Bird & Bird, svarer rundspørgen »meget godt« til de udmeldinger, firmaet hører fra virksomhederne. Ligesom Per Sloth oplever han også, at de store er begyndt at have styr på sagerne, mens det bliver sværere, jo mindre virksomheden er. Og det vil give problemer.

»Alle virksomheder behandler persondata. De har HR eller regnskab, som er til at have med at gøre. Men når de får en vis størrelse, får de rutiner og processer, hvor de ikke tænker over, at de nu skal leve op til regler, det kan give store bøder at overtræde,« forklarer Nis Peter Dall.

Han peger på håndtering af jobansøgninger som »et klassisk eksempel« på ting, virksomheder glemmer, men det gælder også virksomhedernes brug af oplysninger fra kundernes Facebook-side eller andre oplysninger. Derfor skal virksomhederne til at tænke sig grundigt om.

»Ingen virksomheder sætter gang i noget uden at tænke på den økonomiske eller skattemæssige effekt. Fremover skal de også tænke persondata ind,« siger Nis Peter Dall.

BRANCHENYT
Læs også