En evaluering af GDPR-loven har længe stået højt på ønskelisten hos både IT-Branchen og Dansk Erhverv.
De to organisationer har derfor indsamlet input fra medlemsvirksomhedernes daglige erfaring med persondataloven, og sendt en række forslag til forbedringer fra et samlet dansk erhvervsliv – og i særdeles fra it-virksomhederne, der om nogen slås med de mange krav, som lovgivningen har medført.
Uklart om man er dataansvarlig eller databehandler
Det har vist sig, at det i praksis er meget vanskeligt at slå fast, hvornår man er det ene eller andet, og der er derfor behov for bedre vejledning omkring dette.
”Problemstillingen om, hvornår man er det ene eller det andet, er et af de emner, vi har drøftet mest med vores medlemmer. Det er f.eks. vanskeligt at forstå, hvorfor PostNord ikke er en databehandler, når de bringer posten ud, mens en tjeneste, der sender e-mails ud, er,” siger Martin Jensen Buch, chefkonsulent i IT-Branchen.
Uklarheden er særlig en udfordring for it-leverandører, hvor leverandørens opgave ikke er at behandle persondata, men blot har adgang til systemet, f.eks. i forbindelse med teknisk support.
Det er desuden et emne, der medfører mange konflikter i kunde-leverandørforholdet, idet mange dataansvarlige ikke har lyst til at indgå databehandleraftaler på grund af de administrative konsekvenser, det medfører.
Situationen er derfor mange gange den at en virksomhed for nøjagtige samme tjeneste, vurderes som værende databehandler af den ene kunde, mens den anden kunde mener, at pågældende leverandør er dataansvarlig.
”Vi anbefaler, at Datatilsynets vejledning udbygges i samarbejde med relevante organisationer, og at vejledningen bringes i overensstemmelse med EU-vejledningen. Samtidig bør man supplere vejledningen med en FAQ på Datatilsynets hjemmeside vedrørende dette emne,” fortæller Martin Jensen Buch.
Clouddata skal prioriteres
Efter Shrems II sagen, er det blevet uhyre vanskeligt at eksportere data til 3.lande, idet det nu er uomtvisteligt, at den dataansvarlige ikke kun skal forholde sig til de 4 europæiske garantier, men også selv vurdere sikkerhedsniveauet og datalovgivningen i det pågældende land.
Noget der i praksis er umuligt ressourcemæssigt for SMV’ere og i store dele af det offentlige at håndtere, og derfor frygter IT-Branchen og Dansk Erhverv, at flere fremover helt fravælger cloudløsninger.
”Dommen er realiteten en stor udfordring i forhold til anvendelsen af cloudløsninger både i det private, men i særdeleshed i offentlig regi, og der er brug for alternativer meget hurtigt. Vi håber derfor, at Justitsministeriet presser på for at finde en hurtig løsning i EU-regi.”
Datatilsynet skal have en mere rådgivende og bindende rolle
Mange vejledninger fra Datatilsynet var slet ikke klar, da persondataloven trådte i kraft i 2018, og både i det offentlige og i erhvervslivet stod man derfor i et langt stykke tid i et juridisk limbo. For hvordan skulle de mange lovtekster reelt fortolkes?
Heldigvis er det sket positive forandringer på den front. Vejledningerne er kommet ud, de har nået et tilfredsstillende niveau og senest har Datatilsynet med sin nye strategi meldt ud, at de fremover vil opprioritere vejledningsindsatsen.
”Selvom der er kommet bedre vejledninger, så er vi stadig ikke i mål, hvis man spørger virksomhederne. Der er ganske enkelt brug for flere gode eksempler og cases, så virksomhederne kan se sig selv i vejledningerne.”
Ifølge IT-Branchen og Dansk Erhverv mangler Datatilsynet at beskrive, hvad der helt præcist skal til, for at man som mindre virksomhed overholder reglerne. Hvordan skal et håndværkerfirma eller en boligorganisation f.eks. konkret dokumentere, at de overholder reglerne?
Her anbefaler de to brancheforeninger, at man beskriver dette i form af fiktive cases, samtidig med, at vejledningerne i detaljer skal beskrive, hvordan man opfylder kravene, når man f.eks. ønsker at optage en telefonsamtale til uddannelsesformål.
Virksomhederne skal vide, om de er købt eller solgt
En af de helt store frustrationer er, at virksomhederne ikke kan få et klart svar på, om de, på trods af nok så mange tiltag, overholder loven.
”Det er ikke tilfredsstillende, at virksomhederne i praksis ikke har anden mulighed, end at vente på et kontrolbesøg fra Datatilsynet, før de finder ud af, om de har overholdt loven,” udtaler Martine Jensen Buch.
Her efterspørger IT-Branchen og Dansk Erhverv muligheden for, at Datatilsynet kan give bindende forhåndsgodkendelse i forhold til konkrete forespørgsler.
Det skal forstås på den måde, at en virksomhed skal kunne rette henvendelse til Datatilsynet, og så få godkendt deres processer, politiker og arbejdsgange, inden de går i gang med at bruge ressourcer på at implementere dem.
At overholde persondataforordningen er nemlig ikke billigt. En undersøgelse fra foråret 2020 viser, at små virksomheder havde en årlig GDPR-omkostning på 50.-100.000 kr., mens hver 8. virksomhed havde omkostninger på over 1 mio. kr. om året for at overholde GDPR-kravene.
En høj pris, hvis det så via et kontrolbesøg senere viser sig, at loven alligevel ikke var overholdt – og at virksomheden derfor står til en mio. kr. stor bøde.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.
- Erhvervsjuridisk fagchef, advokat, LLM, Handel
Sven Petersen
- Email: svp@danskerhverv.dk
- Telefon: 33 74 61 09
- Mobil: 40 98 41 71