Er GDPR gået over?

GDPR og beskyttelse af persondata var på alles læber for tre år siden, da lovgivningen trådte i kraft. Hvad så nu? Var det en døgnflue? Har vi i mellemtiden lært noget om, hvorvidt bøderne blev så store, som man forstod, de skulle være? 

Vi har alle dage skullet beskytte persondata. Vi har helt tilbage fra 1979 haft en lovgivning om det. I 2018 blev en ny lovgivning om persondatabeskyttelse – GDPR – implementeret, og mange talte meget (og længe) om den. Bøderne skulle blive (meget) store, hvis man forbrød sig mod reglerne; der skulle dokumenteres, beskrives, overvejes, tilknyttes databeskyttelsesrådgivere, udformes databehandleraftaler og formuleres procedurer for dette og hint. Var det overhovedet muligt at passe sit arbejde vel vidende, at ens telefon indeholdt en telefonbog med kollegaer? Hvad med billederne af ens børn på ForældreIntra? Skulle alt slettes? Måtte vi overhovedet tage et billede af nogen mere? Hvad med samtykke? Der var vild forvirring i mange kredse. 

Europæisk lov

Der var tale om en forordning. Altså en europæisk lov, der (næsten) én til én skulle implementeres i medlemsstaterne. Der var ikke noget at gøre. Sådan var det bare. Rådgiverne var ellevilde; nu skulle der bruges timer og males skræmmebilleder – og sendes regninger. Selv kontorforsyningsvirksomheder ville have en bid af GDPR-kagen, når de solgte makuleringsmaskiner med løftet om at kunne blive GDPR-klar ved at makulere alle persondata. 

Hvor er vi så nu? Det er et faktum, at der tilbage i 2018 var meget lidt sikkerhed for, hvad vi som helt almindelige virksomheder skulle gøre. Var det for galt? Burde Datatilsynet, myndigheder eller EU have udformet vejledninger og skabeloner på forhånd? Ja, måske. Imidlertid er det lovgivning, og praktisk talt alle love skal tolkes og prøves. Hvis Datatilsynet havde udformet alt for mange skabeloner og standardbeskrivelser, skulle man som virksomhed ”passe ind” i en kasse. Det havde nok heller ikke været for smart. 

Siden GDPR trådte i kraft, er der på EU-plan udstedt bøder for lidt over 277 mio. euro. Altså lidt over 2 mia. danske kroner. I Danmark er der indtil videre afsagt dom for 150.000 kr. Datatilsynet havde godt nok anbefalet bødestørrelse på 1,5 mio. kr., men byretten i Aarhus lagde niveauet lavere. Dommen er dog anket. Herudover venter retssager (pt. 7 stk.) på i alt 2,7 mio. kr. Historisk er der i Danmark udstedt meget få og meget små bøder, så der er bestemt sket en ændring med GDPR.  

Bøder er ikke det, der skal motivere

Det er trods alt det at følge en lov, der skal motivere. Er der så fundet en metode, så det kan gøres enkelt og nemt? Ja og nej. Siden 2018 er vi blevet væsentligt klogere på, hvordan en typisk dansk SMV skal registrere brugen af persondata. Der kræves en fortegnelse, en risikovurdering, nogle procedurer, politik og et årshjul og muligvis nogle kontroller til at vise, at persondatabeskyttelse er en aktivitet, som virksomheden prioriterer. Gør alle det? Nej, det er nok ikke tilfældet, og mange forestiller sig også, at det at have en databehandleraftale er tilstrækkeligt.  

Ud over domme, afgørelser, og mange, mange tusinde klager og henvendelser til Datatilsynet, er der også alt det som absolut kan karakteriseres som en akademisk øvelse. En dom i EU-regi afgjorde i sommeren 2020, at data placeret i USA de facto opbevares ulovligt. Der er mange detaljer i dette, men med ét blev praktisk talt samtlige store cloud-tjenester ulovlige, og hvem kan se bort fra at benytte disse?  

Aftagende forvirring

Siden er der kommet nogle juridiske ændringer, men sagen er ikke helt død. Giver alt dette værdi, og er det i ånden af tilblivelsen af GDPR? Ja og nej. GDPR fortæller, at data ikke må forlade EU (med visse undtagelser). Når USA så ikke betragtes som et sikkert land, opbevares data ulovligt, hvis de ligger på Microsofts servere (også selv om datacenteret er i EU). Er det irriterende og meget lidt praktisk? Ja, måske. Nu er det svært at komme uden om USA i al almindelighed, men se på beskyttelsen i, at vi ikke vil have vores børns data placeret hos virksomheder og i lande, hvor der ikke er fundamentale rettigheder. Det er vel på en måde mere til at forstå. Måske. 

Tilbage står, at hvis man er en helt almindelig virksomhed i Danmark, er man nødt til at gøre noget; GDPR er kommet for at blive. Forvirringen tilbage fra 2018 er aftaget. Vi er blevet klogere på, hvad der konkret skal gøres. Det er blevet lidt mere simpelt. Der er efterhånden dukket en del webbaserede it-løsninger op på nettet, som gør det enklere at komme igennem GDPR-processen.