Fire procent af den globale omsætning. Så stor kan bøden blive, hvis din virksomhed ikke lever op til persondataforordningens regler om behandling af data. Det kan for mange virksomheder løbe op i mange millioner kroner, og for de rigtige store virksomheder snakker vi bøder i milliardklassen.

Siden persondataforordningen trådte i kraft 25. maj 2018, er der imidlertid ikke udstedt en eneste bøde i Danmark. Det skal ikke foranledige til at tro, at truslen om bøder bare var en skræmmekampagne skabt til at skabe overskrifter og dårlig nattesøvn hos virksomhedslederne. Det siger Datatilsynets direktør, Cristina Gulisano, der har ansvaret for at holde øje med, at virksomheder og myndigheder efterlever reglerne.

– Jeg forstår godt, at folk undrer sig og spørger, hvorfor der ikke sker noget. Ikke mindst fordi mange også er interesserede i at vide, hvor domstolene lægger sig i forhold til bødestørrelserne. Men der er altså ikke noget underligt i, at der ikke er udstedt nogle bøder endnu, siger Cristina Gulisano.

Læs også: Hårdt arbejde med persondata giver gevinst

Sagsbehandling tager tid

Hun fortæller, at Datatilsynet behandler sagerne i den rækkefølge, som de kommer ind, hvorfor tilsynet i øjeblikket stadig er i gang med at kigge på sager fra før persondataforordningen trådte i kraft – ud over at kigge på de nye sager, der kommer ind. Samtidig er det vigtigt at forstå, at Datatilsynet i Danmark – i modsætning til andre lande – ikke selv kan udstede bøder. Det skal først omkring politiet og domstolene. 

– Medierne har hæftet sig ved, at der er udstedt bøder i blandt andet Portugal og den tyske delstat Baden-­Württemberg, men begge steder er der et andet set-up end herhjemme, hvor tilsynsmyndigheden ikke selv kan udstede bøder, siger Cristina Gulisano.

I Portugal var et hospital ikke god nok til at passe på patienternes data, og det udløste i juni 2018 en bøde på 400.000 euro for brud på persondataforordningen. Mens synderen i Baden-Württemberg var et datingsite, der havde adgangskoder liggende i klar tekst og i ikke-krypteret form. Det udløste en bøde på 20.000 euro.

Cristina Gulisanos vurdering er, at de første danske sager, der kan resultere i bøder, ryger afsted til politiet i nær fremtid. Det er ”i proces”, som hun siger.

Bøder er ikke målet

Datatilsynets direktør understreger, at bøder i sig selv ikke er målet. Det bedste ville faktisk være, at danske virksomheder og myndigheder var så gode til at passe på følsomme data, at der aldrig blev behov for at udstede bøder.

– Vi er sat i verden for at beskytte danskernes personoplysninger. Vi er ikke sat i verden for at skaffe indtægter til statskassen, siger Cristina Gulisano.

Og den første periode med persondataforordningen efterlader hende med en god portion optimisme.

– Det går over stok og sten. Vi er meget glade for det store fokus, der er kommet på området: Både blandt borgere og virksomheder. Der er rigtig mange, der har fået blik for, at det er et virkelig vigtigt område, fortæller hun.

Opmærksomheden har blandt andet resulteret i, at Datatilsynet, i det første halvår efter persondataforordningen trådte i kraft, har besvaret 8.000 telefonopkald og har fået 2.584 indberetninger om sikkerhedsbrud på persondata.

Data er det nye bacon

Ifølge Datatilsynets direktør vil et øget fokus på persondata også komme virksomhederne til gavn.

– Data er det nye olie eller bacon, hvis vi nu skal være meget danske, siger Cristina Gulisano.

For det første er der et helt andet trusselsniveau, hvor såvel kunderne som virksomhedernes egne data kan blive udsat for angreb.

For det andet er sikker behandling af kundernes data blevet et konkurrenceparameter.

– Det kan hurtigt gå hårdt ud over forretningerne, hvis kunderne oplever, at du ikke passer ordentlig på deres data. For mig at se handler virksomhedernes behandling af persondata derfor ikke bare om at leve op til reglerne. Det handler i lige så høj grad om, at det helt grundlæggende er en god forretning på lang sigt, siger Cristina Gulisano.