Persondata: En forordning tilegnet The One Percent

Der går et spøgelse gennem Europa.

Fra nord til syd og helt over til den amerikanske vestkyst har virksomheder samlet en hær af eksperter for at kunne møde gespenstet ansigt til ansigt ved midnat den 24. maj 2018.

GDPR, The General Data Protection Regulation, eller Persondataforordningen, er lykkedes til overmåde, hvor alle andre EU-initiativer hidtil er fejlet: forordningen har eftertrykkeligt sat Europa på den globale, digitale dagsorden.

Facebook oplyser til Financial Times, at “dusinvis” af interne og eksterne eksperter er beskæftiget med at undersøge virkningerne af GDPR. Det er ifølge Facebook “den mest omfattende aktivitet virksomheden nogen sinde har gennemført” i relation til beskyttelse af persondata, og den vil koste Facebook flere millioner dollars, – hvad der svarer til nogle timers omsætning.

Men Facebook er langt fra alene om at bruge penge på at forberede sig på GDPR.

Microsoft oplyser i en artikel på sit Partner Network, at forberedelserne til GDPR repræsenterer en gylden mulighed for at sælge konsulentydelser til virksomheder i Europa.

Under overskriften “Hvordan du kan tjene penge på det nye privatlivsregulativ GDPR”, skriver Microsoft, at virksomheders indkøb af generel rådgivning og konsulentydelser i forbindelse med indførelsen af GDPR kan forventes at løbe op i mindst 3,5 milliarder $, svarende til ca. 22 milliarder kroner.

Mange tech-virksomheder har i deres kommentarer til GDPR fokuseret på de øgede omkostninger, der vil følge af forordningen, men Microsoft har fra starten fremhævet GDPR som en potentiel guldgrube.

Denne mere optimistiske vurdering kan være begrundet i, at markedet for generel rådgivning og tekniske konsulentydelser i forbindelse med GDPR kan forventes at vokse også efter, at forordningen er trådt i kraft den 25. maj 2018.

GDPR er en kompliceret lovtekst, og hverken virksomheder eller borgere vil på egen hånd kunne gennemskue, hvordan deres rettigheder og pligter bliver reguleret af forordningen.

Om retten til at blive glemt:
“Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, (…) hvis den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der ikke er et andet retsgrundlag for behandlingen, [eller] den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der ikke foreligger legitime grunde til behandlingen, som går forud for indsigelsen, eller at den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.”
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679, Artikel 17, stk.1

Desuden bliver den generelle EU-regulering inden for rammerne af GDPR i disse måneder fulgt op med supplerende national lovgivning i alle medlemslande.

Meget af den nationale lovgivning vil have væsentlig indflydelse på, hvordan GDPR kommer til at virke i de enkelte medlemslande.

Når ballet bliver åbnet ved midnat den 24. maj 2018 vil både virksomheder og borgere derfor komme til at stå overfor en samlet regulering, der vil omfatte mange tusinde sider af komplicerede retsakter og tilknyttede bemærkninger.

Jurister og domstole vil skulle bruge mange år til at udrede virkningerne af hele dette sammenhængende men helt uoverskuelige lovkompleks, hvoraf langt den overvejende del – nemlig medlemslandenes nationale lovgivning – kun vil være tilgængelig på ét af EU’s 24 officielle sprog. Den nationale lovgivning i relation til GDPR vil desuden indeholde omfattende referencer til den eksisterende nationale lovgivning.

Kommende retssager om fortolkningen af den samlede retstilstand vil derfor kunne trække ud i årevis, – eller i årtier, som det kendes fra konkurrenceretten.

Dette langstrakte og komplicerede juridiske udredningsarbejde vil give sig udtryk i store og vedvarende omkostninger for de virksomheder, der bliver berørt af lovgivningen.

I praksis vil det dog kun være et lille mindretal af virksomhederne i EU, der vil komme til at opleve nogen særlig forandring, når GDPR og den tilknyttede nationale lovgivning træder i kraft.

“Databeskyttelsesforordningen svarer i stort omfang til den gældende retstilstand efter persondataloven og databeskyttelsesdirektivet med tilhørende praksis fra bl.a. EU-Domstolen.(…) Forordningen indeholder et bemærkelsesværdigt stort rum for national regulering og svarer på dette område således nærmest til et direktiv.”
Jens Møller, Folketingets ombudsmand og formand for Justistministeriets eksterne ekspertgruppe, på Justistministeriets stormøde om databeskyttelsesforordningen og betænkning nr. 1565, den 13. juni 2017.

Alle virksomheder skal fortsat efterleve de almindelige regler for behandling af persondata, der har været gældende i EU i de sidste 25 år, og som bygger på det eksisterende persondatadirektiv og den tilknyttede nationale lovgivning.

Men de nye krav i GDPR, der påfører virksomhederne omkostninger til ekstra administration og til indkøb af kostbar, ekstern rådgivning, vil være forbeholdt en lille eksklusiv kreds af store virksomheder, herunder en lille gruppe af amerikanske tech-koncerner.

Denne kreds af virksomheder bliver med GDPR stillet overfor et krav om detaljeret dokumentation for alle de aktiviteter, der knytter sig til virksomhedens behandling af persondata, og hele denne dokumentation skal kunne vise, at virksomheden overholder alle bestemmelser i GDPR og i den tilknyttede nationale lovgivning.

Hvis dokumentationen, der i forordningen betegnes som “fortegnelser”, ikke er i orden, kan virksomhederne idømmes store bøder. Mangelfulde fortegnelser vil desuden være en skærpende omstændighed, hvis virksomheden på et tidpunkt overtræder andre regler, for eksempel hvis der mistes persondata ved et hackerangreb.

Udarbejdelsen af disse “fortegnelser”, og hele det analysearbejde, der skal til for at finde ud af, hvad, hvor meget og hvordan, der skal “fortegnes”, er det, der for alvor kommer til at gøre en forskel i forhold til de gældende regler.

De virksomheder, der fremover vil være underlagt disse bestemmelser, vil være nødt til at skaffe sig ekspertbistand fra advokater og andre rådgivere, for at løse opgaven. GDPR forudser i den forbindelse en europæisk certificering af denne kommende hær af GDPR-rådgivere.

Det er derfor vigtigt, at det allerede i indledningen til GDPR bemærkes, at der vil være “…en undtagelse for organisationer med mindre end 250 ansatte med hensyn til at føre fortegnelser.”

Denne fritagelse fra at skulle “føre fortegnelser” betyder i praksis, at GDPR vil være uden betydning for næsten alle virksomheder med under 250 ansatte.

For disse virksomheder vil behandling af persondata i det store og hele kunne fortsætte som hidtil.

I Danmark udgør virksomheder med under 250 ansatte 99 pct. af de private virksomheder i byerhvervene.


Henvisninger og baggrund: 27.11.2017