Tre dage tilbage: Virksomheder risikerer millionbøder for brud på dataregler

Datatilsynet forventer at kunne sende de første bøder inden årets udgang.

Danmarks har omkring 300.000 aktive virksomheder. De skal ligesom myndighederne leve op til EU's dataforordning fra på fredag. Ellers kan Datatilsynet straffe brud på reglerne med bøder i millionklassen, fortæller kontorchef Peter Fogh Knudsen. (© Datatilsynet)

Fra på fredag kan danske virksomheder og myndigheder blive straffet med bøder i millionklassen, hvis ikke de lever op til EU's persondataforordning.

Nye digitale rettigheder

Persondataforordningen bliver indført 25. maj 2018

Du får her ret til:

  • At få en kopi af dine personlige data fra enhver virksomhed, der samler oplysninger om dig - på en læsbar og forståelig måde.
  • At rette i dine personlige oplysninger hos enhver virksomhed
  • At få slettet oplysninger om dig hos enhver virksomhed
  • At overføre dine oplysninger fra en virksomhed til en anden.

Den sidste rettighed giver dig mulighed for at overføre oplysninger til en virksomhed, der kan agere sælger for dig og dine data.

Kilde: Persondataforordningen, EU

De nye regler dikterer, hvordan virksomhederne skal håndtere oplysninger lige fra navn og adresse til religiøs overbevisning og biometri. Gør de ikke det, kan straffen blive bøder på op til fire procent af virksomhedens omsætning - helt op til 150 millioner kroner.

- Hidtil har vi givet advarsler til virksomhederne. Det har været vores sanktion i langt de fleste tilfælde. Men det har ikke rigtig har haft den ønskede effekt. Så på den måde er vi glade for, at bøderne kommer op i et højere niveau, siger kontorchef i Datatilsynet Peter Fogh Knudsen.

Datatilsynet forventer, at de første bøder for brud på EU's persondataforordning vil falde inden årets udløb. Men der skal meget til, før det udløser bøder på syv cifre og derover.

- Vores mål er ikke at ruinere seriøse virksomheder. Men både store og små skal tænke på, at det fremover kan det have en alvorlige konsekvenser at overtræde reglerne, siger han.

Erhvervslivet er langt fra i mål

Mange danske virksomheder kæmper med at få styr på reglerne få dage før deadline.

I en undersøgelse blandt 400 medlemsvirksomheder i Dansk Erhverv svarer halvdelen, at de ikke er har styr på reglerne.

- Det er ikke ens betydende med, at de ikke er kommet i gang. Det her er bare mere vanskeligt og omfattende, end mange havde regnet med, siger Martin Jørgensen, advokat og chefkonsulent i Dansk Erhverv.

En af virksomhederne er Sundby Rengøring med 16 ansatte. Her har ejer Danielle Hansen brugt de sidste to uger på at få styr på alle personoplysninger virksomhedens i arkiver.

- Vi er på vej. Men jeg er usikker, fordi jeg ikke har en facitliste. Jeg ved ikke, hvor langt jeg egentlig er fra målet. Men et slag på tasken er, at jeg har cirka 80 procent styr på det, siger Danielle Hansen.

Danielle Hansen driver et lille rengøringsfirma i Sundby ved København. Men de sidste par uger har hun brugt det meste af sin tid på, at forberede sig til EU's persondataforordning træder i kraft. (Foto: (C) DR Nyheder)

Datatilsynet: Der er ingen undskyldning

Hos Datatilsynet mener Peter Fogh Knudsen dog ikke, at der er undskyldninger for ikke at være klar til de nye regler.

- Mange af reglerne er helt basale og har været gældende i mange år. Og hvis man tager det fra bunden af, så kan man også som lille virksomhed sætte sig ind i rigtig mange ting. Men det kræver noget arbejde. Der er ikke noget quick fix, siger han.

Er man som virksomhed eller myndighed slet ikke gået i gang med at leve op til reglerne, så når man det næppe før fredag, vurderer Peter Fogh Knudsen.

- Men så må de gøre, som de skulle have gjort på et tidligere tidspunkt, og det handler om at starte fra bunden af og få skabt sig et overblik over, hvad det er for data, de behandler, hvad de bruges til, om der er samtykke, og hvor lang tid data gemmes, siger han.

Bøde afhænger af overtrædelsens karakter

Helt konkret skal Datatilsynet have en anmeldelse af, at en virksomhed ikke lever op til reglerne. Ellers skal det påvises i en af de stikprøvekontroller, som vil blive gennemført af Datatilsynet, der tæller omkring 50 ansatte.

Datatilsynet kan udstede et bødeforlæg for overtrædelse af reglerne. Men ligesom med en fartbøde kan modtageren vælge ikke at acceptere bøden - og dermed få sagen prøvet i retten.

I sidste ende vil sanktionen afhænge af overtrædelsens karakter, fortæller Peter Fogh Knudsen.

- Reglerne lægger op til, at der skal være en konsekvens i alle tilfælde, hvis reglerne ikke bliver overholdt. Men der er meget stor forskel på, hvad overtrædelserne er.

- Hvis vi kan se, at en virksomhed i øvrigt har prøvet at overholde reglerne så godt som de kan, men at der er mindre mangler, så vil vi ikke påstå den højeste bødestraf dér, siger Peter Fogh Knudsen.