Persondata: En labyrint af nye regler

Millioner af forbrugeres persondata bliver hver år stjålet fra virksomheder. En stribe af politiske initiativer søger at skærpe reglerne for opbevaring af persondata.

Hvis en virksomhed opbevarer persondata om kunderne, så er virksomheden forpligtet til at beskytte disse data mod tyveri.

Men hvordan persondata skal beskyttes, og hvad der sker, hvis data alligevel bliver stjålet, det er uklart for de fleste.

Virksomhedernes anvendelse og opbevaring af persondata er reguleret gennem nationale regler i EU’s medlemslande.

Desuden har USA sine egne regler, der også varierer fra stat til stat.

Hvilke regler, der gælder hvor, afhænger af hvilken type virksomhed, der er tale om.

Finansielle virksomheder, som banker, har deres egne regler.

Offentlige virksomheder, har også særlige regler.

Politiet og sikkerhedstjenesterne har deres helt egne regler.

Ved siden af de nationale regler er der i de seneste år blevet vedtaget er række EU-regler, der enten gælder på EU-niveau, eller som foreskriver, hvordan medlemslandene skal tilpasse deres lovgivning.

De nationale regler forvaltes af flere forskellige myndigheder, afhængig af virksomhedstype og karakteren af reguleringen.

Teleselskaber er for eksempel underlagt en helt særlig regulering, der forvaltes i en særlig administrativ ramme.

EU-reglerne forvaltes af flere forskellige administrative enheder, hvoraf nogle er på EU-niveau og andre er fordelt ud på nationale myndigheder.

Hvis en europæisk virksomhed også driver virksomhed i USA, så vil virksomheden på samme tid være reguleret af tre forskellige regelsæt, der forvaltes af myndighederne i virksomhedens europæiske hjemland, af myndighederne i EU og af myndighederne i USA.

Hvis virksomheden så også driver virksomhed i for eksempel Rusland, så gælder der et helt nyt sæt af nationale regler, der skal opfyldes for den russiske del af forretningen.

Alt dette vedrører kun spørgsmålet om, hvad virksomheder skal gøre for at passe på kundernes persondata.

Der findes andre sæt af reguleringer, der bestemmer, hvordan data kan udveksles over landegrænser, hvordan data kan deles med andre virksomheder, og hvilke rettigheder kunderne har over deres data.

Med de store datatyverier fra virksomheder, der er set i Europa i de sidste par år, så har omfanget af følgeskaderne nået et niveau, hvor det bliver relevant at placere et ansvar.

Men når det gælder sanktioner, så er reglerne igen uklare, og en eventuel håndhævelse af reglerne forvaltes af flere forskellige myndigheder.

Virksomhedernes håndtering af persondata sker således inden for et stort og tåget felt af reguleringer, der er uden klare sanktioner.

Konsekvensen af dette bliver ofte, at virksomhederne opgiver at tilpasse deres adfærd til reglerne, fordi det bliver uoverskueligt at afgøre, hvad reglerne er.

I de tilfælde, hvor reglerne ikke bliver efterlevet, udsætter virksomhederne sig imidlertid for et erstatningsansvar, som det i mange tilfælde ikke er muligt at forsikre sig mod.

Alt i alt så afspejler retstilstanden for virksomhedernes anvendelse af persondata, at myndighedernes regulering ikke har kunnet følge med tempoet i udviklingen af virksomhedernes It-løsninger.

Men de tilbagevendende store datatyverier afspejler samtidig, at virksomhederne i mange tilfælde ikke har været parate til at bruge de nødvendige ressourcer på af sikre en forsvarlig omgang med kundernes persondata.

I EU er der nu ny lovgivning på vej, der vil bringe en vis klarhed over området.

Reglerne kommer til at gælde på EU-niveau, og dermed kommer der til at gælde ens regler på hele EU-markedet.

Samtidig med at reglerne bliver gjort klarere, så bliver der skruet kraftigt op for sanktionerne.

Bøderne for ikke at overholde reglerne kan løbe op i beløb, der vil kunne ruinere ikke så få virksomheder.

Risikoen for at kunne blive idømt meget store bøder vil utvivlsomt medføre, at spørgsmålet om håndtering af persondata fremover får større opmærksomhed fra virksomhedernes ledelser.

Der vil sikkert også blive investeret mere i udviklingen af It-sikkerhed.

En af udfordringerne ved de nye EU-regler er imidlertid, at det er uklart hvem, der er omfattet af de nye regler.

Det meste af den offentlige sektor er i praksis undtaget.

Politiet og sikkerhedstjenesterne kører videre med deres særlige nationale regler.

Langt de fleste virksomheder – nemlig alle dem med under (ca.) 250 ansatte – vil også være undtaget. Men det uklart, hvor omfattende undtagelsen bliver, eller om nogle af de nye regler skal overholdes, og i givet fald hvilke.

Det er derfor endnu usikkert, hvilke virksomheder, der faktisk vil være omfattet af de nye regler i deres helhed.

Endnu er det også uklart, hvornår de nye regler træder i kraft.

Det forventes at ske i løbet af 2018.

Sideløbende med denne beslutningsproces arbejder EU på at indgå en ny aftale med USA, der kan sikre, at den nuværende digitale handel over Atlanten kan holdes åben, og at det fortsat vil være muligt at udveksle persondata i forbindelse med gennemførelsen af denne store samhandel.

Uanset udfaldet af forhandlingerne, så kan en ny aftale mellem USA og EU forventes at blive udfordret ved EU-domstolen, hvor en proces vil kunne tage flere år.

Samtidig med at alt dette reguleringsarbejde står på, så stiger antallet af angreb på virksomhedernes databaser år for år, og millioner af kunders persondata bliver stjålet.

Henvisninger og baggrund: 09.11.2015