Vi er sat i verden for at beskytte danskernes personoplysninger. Vi er ikke sat i verden for at skaffe indtægter til statskassen, siger Cristina Gulisano, Datatilsynets direktør.

Foto: Niels Hougaard
DI Business Nyheder

Datatilsynet varmer op til de første persondata-bøder

Frygten for bøder i millionklassen var stor i maj, da persondataforordningen (GDPR) trådte i kraft. Men endnu er ingen bøder delt ud. Datatilsynets direktør, Cristina Gulisano, advarer dog om, at de første bøder kan falde snart.

Fire procent af den globale omsætning. Så stor kan bøden blive, hvis din virksomhed ikke lever op til persondataforordningens regler om behandling af data. Det kan for mange virksomheder løbe op i mange millioner kroner, og for de rigtige store virksomheder snakker vi bøder i milliardklassen.

Siden persondataforordningen trådte i kraft 25. maj 2018, er der imidlertid ikke udstedt en eneste bøde i Danmark. Det skal ikke foranledige til at tro, at truslen om bøder bare var en skræmmekampagne skabt til at skabe overskrifter og dårlig nattesøvn hos virksomhedslederne. Det siger Datatilsynets direktør, Cristina Gulisano, der har ansvaret for at holde øje med, at virksomheder og myndigheder efterlever reglerne.

– Jeg forstår godt, at folk undrer sig og spørger, hvorfor der ikke sker noget. Ikke mindst fordi mange også er interesserede i at vide, hvor domstolene lægger sig i forhold til bødestørrelserne. Men der er altså ikke noget underligt i, at der ikke er udstedt nogle bøder endnu, siger Cristina Gulisano.

Læs også: Hårdt arbejde med persondata giver gevinst

Sagsbehandling tager tid

Hun fortæller, at Datatilsynet behandler sagerne i den rækkefølge, som de kommer ind, hvorfor tilsynet i øjeblikket stadig er i gang med at kigge på sager fra før persondataforordningen trådte i kraft – ud over at kigge på de nye sager, der kommer ind. Samtidig er det vigtigt at forstå, at Datatilsynet i Danmark – i modsætning til andre lande – ikke selv kan udstede bøder. Det skal først omkring politiet og domstolene. 

– Medierne har hæftet sig ved, at der er udstedt bøder i blandt andet Portugal og den tyske delstat Baden-­Württemberg, men begge steder er der et andet set-up end herhjemme, hvor tilsynsmyndigheden ikke selv kan udstede bøder, siger Cristina Gulisano.

I Portugal var et hospital ikke god nok til at passe på patienternes data, og det udløste i juni 2018 en bøde på 400.000 euro for brud på persondataforordningen. Mens synderen i Baden-Württemberg var et datingsite, der havde adgangskoder liggende i klar tekst og i ikke-krypteret form. Det udløste en bøde på 20.000 euro.

Cristina Gulisanos vurdering er, at de første danske sager, der kan resultere i bøder, ryger afsted til politiet i nær fremtid. Det er ”i proces”, som hun siger.

Der er altså ikke noget underligt i, at der ikke er udstedt nogle bøder endnu. Cristina Gulisano, direktør, Datatilsynet

Bøder er ikke målet

Datatilsynets direktør understreger, at bøder i sig selv ikke er målet. Det bedste ville faktisk være, at danske virksomheder og myndigheder var så gode til at passe på følsomme data, at der aldrig blev behov for at udstede bøder.

– Vi er sat i verden for at beskytte danskernes personoplysninger. Vi er ikke sat i verden for at skaffe indtægter til statskassen, siger Cristina Gulisano.

Og den første periode med persondataforordningen efterlader hende med en god portion optimisme.

– Det går over stok og sten. Vi er meget glade for det store fokus, der er kommet på området: Både blandt borgere og virksomheder. Der er rigtig mange, der har fået blik for, at det er et virkelig vigtigt område, fortæller hun.

Opmærksomheden har blandt andet resulteret i, at Datatilsynet, i det første halvår efter persondataforordningen trådte i kraft, har besvaret 8.000 telefonopkald og har fået 2.584 indberetninger om sikkerhedsbrud på persondata.

Data er det nye bacon

Ifølge Datatilsynets direktør vil et øget fokus på persondata også komme virksomhederne til gavn.

– Data er det nye olie eller bacon, hvis vi nu skal være meget danske, siger Cristina Gulisano.

For det første er der et helt andet trusselsniveau, hvor såvel kunderne som virksomhedernes egne data kan blive udsat for angreb.

For det andet er sikker behandling af kundernes data blevet et konkurrenceparameter.

– Det kan hurtigt gå hårdt ud over forretningerne, hvis kunderne oplever, at du ikke passer ordentlig på deres data. For mig at se handler virksomhedernes behandling af persondata derfor ikke bare om at leve op til reglerne. Det handler i lige så høj grad om, at det helt grundlæggende er en god forretning på lang sigt, siger Cristina Gulisano.

Gode råd

Fem råd fra DI til håndtering af persondata: 

1 Skab overblik 

Find ud af, hvilke oplysninger I har om medarbejdere, kunder mv. Spørg hver eneste afdeling, og kortlæg jeres it-systemer. Dernæst skal I sikre, at I har en lovlig grund til at have disse persondata. 

2 Ryd op

Sørg for at indføre sletterutiner. Loven siger, at virksomheder ikke må gemme persondata i længere tid end nødvendigt. Hvor lang tid er det? Det kommer an på den konkrete situation, men I må ikke gemme oplysninger til evig tid.

3 Overhold rettighederne

De personer, I har oplysninger om, har en række rettigheder. I har pligt til at give dem en række oplysninger, når I indsamler deres persondata, og de har ret til indsigt og kan gøre indsigelse. 

4 Sørg for sikkerhed

I skal sikre, at jeres persondata er tilstrækkeligt beskyttet. I skal sørge for teknisk sikkerhed og organisatorisk sikkerhed. Derudover skal I fremover huske at informere Datatilsynet inden 72 timer, hvis I oplever et databrud, som eksempelvis et hackerangreb. 

5 Dokumentér jeres arbejde

Dokumentér, at I følger reglerne og forklar, hvordan I opfylder de enkelte forpligtelser i loven. Og udarbejd fortegnelser over jeres arbejde med persondata.

Kontakt underdirektør i DI Kim Haggren, kih@di.dk eller 3377 3449 med spørgsmål om GDPR.

Kim Haggren

Underdirektør

  • Direkte +45 3377 3449
  • Mobil +45 2124 4608
  • E-mail kih@di.dk
Relateret