Kæmperegning for nye datakrav rammer dansk erhvervsliv
EU’s nye persondataforordning har fået hver femte virksomhed til at hyre ekstern rådgivning, som skal sikre, at selskaberne undgår de nye rekordhøje bøder. Det er en god forretning for advokatfirmaerne.
Det kommer til at koste danske virksomheder et anseeligt millionbeløb at leve op til EU’s persondataforordning, som træder i kraft til maj.
Ifølge en rundspørge til 123 virksomheder, som Wilke har lavet for Finans, har hver femte været nødt til at købe ekstern rådgivning for at være sikker på at leve op til reglerne. Desuden forventer 18 pct. at bruge mindst 500.000 kr. de kommende år i ekstra udgifter på at leve op til de nye regler.
En enkelt forventer en regning på over 5 mio. kr.
- Virksomheder skal kunne dokumentere og kontrollere de strømme af persondata, som bliver indsamlet og sendt videre. Alene denne kortlægning kan være et stort arbejde, for det overblik har de færreste i dag.
- Borgere skal i højere grad end i dag give deres tydelige samtykke til, hvordan data om dem bliver brugt af virksomheder, for eksempel til marketing eller videresalg til andre.
- Strafferammerne for overtrædelser bliver markant strammet ifht. gældende dansk lov. I de mest alvorlige tilfælde er der bøder helt op til 4 procent af en virksomheds årlige, globale omsætning. For et selskab som Google svarer det et pænt, tocifret milliardbeløb.
- Det kommer krav om en Data Protection Officer, en ’databeskyttelses-ombudsmand’, hos virksomheder, der behandler særligt følsomme data, for eksempel helbredsoplysninger, analyseinstitutter og markedsføringsvirksomheder, og som har det som hovedaktivitet.
- Borgere får mulighed for at kræve data om dem slettet, eller kan flytte dem over til en anden leverandør, samt retten til at blive underrettet, hvis data er blevet lækket.
- Virksomheder skal følge princippet om privacy by design, så data så vidt muligt bliver gjort anonyme i it-systemerne, for eksempel hvis de skal bruges til store analyser, hvor man ikke har brug for at kende identiteten på hver enkelt.
- En række meldepligter bliver fjernet, så både datatilsyn og virksomheder sparer tid og ressourcer. Til gengæld falder hammeren så meget hårdere, hvis det senere viser sig, at en virksomhed ikke har levet op til reglerne og ikke kan gøre rede for, hvordan persondata bliver håndteret.
- Alle børn under 13 år må kun blive en del af sociale tjenester på nettet med deres forældres godkendelse. Lande kan individuelt hæve dette krav op til 16 år.
Ifølge flere af rådgiverne, har forordningen især det seneste halve år været en god forretning.
»Vi begyndte at skrive om forordningen for halvandet år siden, og da var der ikke den store opmærksomhed herpå hverken fra virksomheder eller offentlige myndigheder. Men siden sommerferien er der kommet tryk på kedlerne. Vi har siden foråret holdt en række møder og arrangementer, hvor der har været stor tilslutning, og lige nu er der stor efterspørgsel efter rådgivning om den praktiske implementering af et relativt kompliceret regelsæt, der påvirker mange arbejdsprocesser,« forklarer partner i BDO, Per Sloth.
Han forventer, at større virksomheder blandt andet skal til at investere i dedikerede HR-systemer, som kan styre ansættelseskontrakter, rekruttering og leve op til krav om eksempelvis "sletteperioder", da overtrædelser kan medføre anseelige bøder. Derfor ser han også mange systemleverandører, der har rettet fokus på forordningen.
»Der er mange, der gerne vil have en bid af den kage,« tilføjer han.
Nis Peter Dall, partner i Bird & Bird, er ikke overrasket over tallet. Han holder en del kurser og ser mange virksomheder, der i første omgang regner med selv at håndtere tingene, men som længere henne i forløbet erkender, at de skal have mere hjælp for at sikre, at de gør det godt nok.
- En måling blandt EU-borgerne viste i 2011 blandt andet, at 70 pct. var bekymrede for, om deres persondata blev brugt til andre formål af virksomheder end den sammenhæng, de blev givet i, for eksempel et køb på nettet.
- I 2012 begyndte arbejdet med at nå frem til nye, fælles regler for alle EU-lande - i stedet for at lade hvert land selv fortolke. Reglerne er derfor en EU-forordning, ikke et EU-direktiv.
- I 2015 var der stadig over 10.000 punkter, hvor Europa-Parlamentet, EU-Kommissionen og Ministerådet (medlemslandene) var uenige.
- Kort før julen 2015 var der enighed om reglerne og de sidste finpudsninger, som så er vedtaget formelt nu af EU-Kommissionen og Europa-Parlamentet.
- De nye regler skal nu indføres i dansk lov og gælder fra 25. maj 2018. Alle EU-landenes datatilsyn skal samarbejde om at finde fælles fodslag.
- Databeskyttelsesforordningen afløser regler, som bygger på EU-lov fra 1995 - fra før internettet var almindeligt brugt.
Hos Kammeradvokaten har man det seneste år oplevet en stor stigning i henvendelser fra virksomheder, der ønsker juridisk rådgivning om, hvordan de skal indordne sig under de kommende regler.
»Helt bogstaveligt får vi 100 gange så mange henvendelser vedrørende håndtering af persondata i forhold til før, forordningen blev vedtaget,« siger advokat Niels Banke, der er partner hos Kammeradvokaten.
Han har været advokat i 22 år og har ikke tidligere oplevet en sådan interesse for området.
»Alle skal jo være klar til, at dette træder i kraft. Nu er der under 150 dage tilbage, og derfor er der mange, der har meget travlt med at se på disse ting,« siger han.