Slider billede til forside

TL;DR:

1) Der kommer mere fokus på dokumentation på bekostning af it-sikkerhed

2) Håndhævelsen er reelt crowdsourcet til de registrerede

3) Væksthæmmende uro i virksomhederne pga. usikkerhed om retningen i retspraksis

4) Manglende vejledning fører til dobbeltarbejde, da samme vurdering skal foretages i samme type virksomhed

5) Større behov for rådgivning, som dog vil mangle kvalitet pga. nævnte manglende retning og vejledning

6) Svækket indflydelse på persondatarettens udvikling i EU ved manglende mulighed for aktiv deltagelse i Det Europæiske Databeskyttelsesråd

7) Svækket iværksætteri

8) Uforholdsmæssig stor konkurrencefordel for de virksomheder, der har styr på GDPR

 

Skyd!! HVOR?? Der! NEJ! DER!!!

Det er lidt som at gå til skydning igen: Står du med et ladt gevær i hænderne, er alle involverede parter interesserede i, at der er ret stor enighed om hvordan, hvornår og hvorhen, der affyres en kugle.

Bøder, erstatningskrav og tab af tillid og den lidt oversete sanktion, forbud mod behandling af persondata, bliver en del af virksomhedernes risikoprofil fra maj 2018. Vi har derfor brug for et stærkt Datatilsyn, der kan pege i den rigtige retning allerede nu.

Om vi får et svagt eller et stærkt Datatilsyn, er dog endnu uklart. Men døm selv her.

 

Uafhængighed kræver ressourcer

Datatilsynet skal efter GDPR være uafhængigt og tilføres de nødvendige menneskelige, tekniske og finansielle ressourcer.

Men hvor mange penge koster et uafhængigt Datatilsyn, der kan løse de opgaver, som fremgår af art. 57 og anvende de beføjelser, som fremgår af art. 58 i GDPR?

 

Opgaverne

Efter art. 57 omfatter Datatilsynets opgave (scroll blot hurtigt igennem, indtil du kommer til litra v):

a) føre tilsyn med og håndhæve anvendelsen af denne forordning

b) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling. Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

c) i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling

d) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

e) efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant

f) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

g) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning

h) gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

i) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi og handelspraksis

j) vedtage standardkontraktbestemmelser som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)

k) opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4

l) rådgive om behandlingsaktiviteter som omhandlet i artikel 36, stk. 2

m) tilskynde til udarbejdelse af adfærdskodekser i henhold til artikel 40, stk. 1, og afgive udtalelse om og godkende sådanne adfærdskodekser, som sikrer tilstrækkelige garantier i henhold til artikel 40, stk. 5

n) tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 42, stk. 1, og godkende kriterierne for certificering i henhold til artikel 42, stk. 5

o) når det er relevant, regelmæssigt gennemgå certificeringer udstedt i henhold til artikel 42, stk. 7

p) opstille og offentliggøre kriterierne for akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

q) foretage akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

r) godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 46, stk. 3

s) godkende bindende virksomhedsregler i henhold til artikel 47

t) bidrage til Databeskyttelsesrådets aktiviteter

u) føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i henhold til artikel 58, stk. 2, og

v) udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.

Man kan kun beundre den sidste: udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger. De kunne også bare have skrevet: løfte Midgårdsormen..

 

Beføjelserne

Datatilsynet har efter art. 58 følgende undersøgelsesbeføjelser (igen scroller du bare igennem ned til næste overskrift):

a) at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver

b) at foretage undersøgelser i form af databeskyttelsesrevisioner

c) at foretage en revision af certificeringer udstedt i henhold til artikel 42, stk. 7

d) at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

e) af den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage dens opgaver

f) at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller medlemsstaternes nationale ret.

 

 

Og følgende korrigerende beføjelser (læg mærke til litra f):

a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c) at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

e) at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

g) at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19

h) at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt

i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

j) at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

Og så er der godkendelses- og rådgivningsbeføjelserne:

a) at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 36

b) på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

c) at godkende den i artikel 36, stk. 5, omhandlede behandling, hvis en sådan forudgående godkendelse er påkrævet i henhold til den pågældende medlemsstats nationale ret

d) at afgive udtalelse og godkende forslag til adfærdskodekser i henhold til artikel 40, stk. 5

e) at akkreditere certificeringsorganer i henhold til artikel 43

f) at udstede certificeringer og godkende kriterier for certificering i overensstemmelse med artikel 42, stk. 5

g) at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)

h) at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a)

i) at godkende administrative ordninger som omhandlet i artikel 46, stk. 3, litra b)

j) at godkende bindende virksomhedsregler i henhold til artikel 47.

Og så mangler vi denne, som der nok også vil gå lidt tid med i Datatilsynet:

Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

 

Hvad siger juraen?

Som nævnt i indledningen er medlemslandene forpligtede til at stille de nødvendige ressourcer til rådighed for Datatilsynet.

Det er desuden anerkendt i retspraksis ved EU-domstolen, at økonomi spiller en rolle for, om et medlemsland overholder sine forpligtelser i forhold til at sikre, at det stedlige Datatilsyn er uafhængigt (se sidste sætning i præmis 58).

Sagen gav anledning til spørgsmål herhjemme.

Men ressourcespørgsmålet blev imidlertid ikke vurderet nøjere, og sagen afsluttedes:

Samlet set er det Justitsministeriets opfattelse, at EU-Domstolens dom […] ikke kan antages at rejse spørgsmål i forhold [Datatilsynets] uafhængighed […].

Så hvor mange penge skal Datatilsynet have? Det er svært at afgøre, men det er ikke godt nok at se på, hvor mange penge Datatilsynet før har fået og så runde op / doble op / forøge med x procent eller lignende.

 

Ikke mindst fordi Datatilsynets bevilling efter professor Blume har været stagnerende eller ligefrem nedadgående i de senere år.

 

I stedet bør man følge Justitsministeriets anvisning på side 760 i betænkning 1565, punkt 7.2.3.2.2.:

Den nærmere opgørelse af, hvad der er nødvendige ressourcer hænger sammen med tilsynets opgaver og beføjelser, hvortil der skal være de nødvendige menneskelige kompetencer, et tilstrækkeligt antal medarbejdere, IT infrastruktur, tilstrækkeligt med lokaleplads mv.

Hvad siger professor Blume?

Blume skriver:

Der er grund til betydelig kritisk opmærksomhed omkring ressourcetildelingen, og det må undgås, at persondatabeskyttelsen politisk nedprioriteres, når statens budget bliver lagt.

 

Konsekvenser af et svagt Datatilsyn

Der er mange, men her er et par stykker.

1) Der kommer mere fokus på dokumentation på bekostning af teknisk af it-sikkerhed: Hvis Datatilsynet ikke ved et teknisk gennemsyn vurderer, om virksomhederne beskytter sine personoplysninger i passende grad, har det den konsekvens, at GDPR kan gå hen og blive en papirtiger, hvor fokus ligger på at se ud som om, man overholder reglerne i stedet for rent faktisk at gøre det ved at sikre den fornødne tekniske sikkerhed. Ressourcerne anvendes derfor på dokumentationen, så man kan vise noget til Datatilsynets folk på inspektion og ikke på den tekniske del af sikkerheden, hvilket giver sårbarhed overfor den forhøjede cybertrussel. Sandelig en beklagelig udvikling.

2) Håndhævelsen er reelt crowdsourcet til de registrerede: Presset på virksomhederne kommer ikke fra Datatilsynet, men fra de registrerede, som formentlig i stigende grad bliver bevidste om de rettigheder, de har i kapital III i GDPR. Ikke at efterleve reglerne om de registreredes rettigheder er i øvrigt en af de dyre overtrædelser, hvor checken potentielt skal lyde på 20 mio. EUR / op til 4 % af den samlede globale omsætning i det foregående regnskabsår, hvis sidstnævnte beløb er højere. Presset kan også komme fra handelspartnere, der stiller krav om compliance. Skal virksomheden sælges, er det nok heller ikke godt at stille med et persondataretligt håndværkertilbud.

3) Væksthæmmende uro i virksomhederne pga. usikkerhed om retningen i retspraksis: Klare regler skaber ro, ro skaber drift, drift skaber værdi, værdiskabelse fører til vækst. Det er en no brainer.

4) Manglende vejledning fører til dobbeltarbejde, da samme vurdering skal foretages i samme type virksomhed. Der er grænser for, hvor troværdig man fremstår som rådgiver, hvis man ikke anerkender, at meget af compliancearbejdet er det samme rundt omkring. Det ville være bedre for alle, hvis virksomhederne og deres rådgivere ikke skulle lave rugbrødsarbejdet, men kunne fokusere på de dele, som er affødt af den enkelte virksomheds særlige karakteristika.

5) Større behov for rådgivning, som dog vil mangle kvalitet pga. nævnte manglende retning og vejledning: Ofte går rådgivningen ud på at kunne skelne skidt fra kanel i junglen af persondataretlige kilder og komme med en velovervejet vurdering. Får vi rådgivere ikke ret meget vejledning fra Datatilsynet, kan det dog næppe undgås, at den ene rådgivers fornuftige overvejelser fører et andet sted hen, end den anden rådgivers fornuftige overvejelser. Og det er en ærgerlig situation for alle. Selv et Datatilsyn kan komme i tvivl om, hvad GDPR reelt indebærer for virksomhederne.

6) Svækket indflydelse på persondatarettens udvikling i EU ved manglende mulighed for aktiv deltagelse i Det Europæiske Databeskyttelsesråd: Rent praktiske bliver der langt mere rejseaktivitet for Datatilsynets medarbejdere. De skal rundt og undersøge virksomhederne, og de skal samarbejde meget mere på tværs af EU gennem Det Europæiske Databeskyttelsesråd. Husk på, at Datatilsynet fremover kan komme på inspektion i alle virksomheder – ikke blot som hidtil i de virksomheder, der udfører tilladelsespligtige behandlingsaktiviteter eller tv-overvågning.

7) Svækket iværksætteri: Når en investor eller en bank skal klarlægge, om en (tech-)virksomhed skal modtage midler til fortsat vækst, kan det ikke afvises, at persondataretlige risici vil spille ind. Barren for at komme ind på et marked, entry level, løftes med andre ord højere op. Dermed svækkes mulighederne for succesfuldt (it-)iværksætteri. Og det er der vist ingen, der kan have en interesse i.

8) Uforholdsmæssig stor konkurrencefordel for de virksomheder, der har styr på GDPR: De virksomheder, der har styr på GDPR, er mere modstandsdygtige over for cyberangreb, er mere klar til at blive solgt og er bedre i stand til at indgå aftaler med handelspartnere, der kræver et højt GDPR-complianceniveau. Dertil kommer, at virksomheden formentlig i samme complianceproces har fået ryddet op og dermed sparet penge ved effektivisering af arbejdsprocesser og på at slippe for unødig IT. Endelig burde en complianceproces resultere i bøderesistens.

 

Men lad os nu se, hvor galt det går. Mon ikke parterne blot har kridtet banen op på nuværende tidspunkt, så det ender med et pletskud efter forhandlingerne?

 

Under alle omstændigheder skal ressourcerne tilpasses opgaverne, ikke omvendt.

 

#gdpr#persondata#datatilsynet#EU

Profil af Jacob

Hvis du vil vide mere, så kontakt meget gerne Jacob Naur

Telefon: (+45) 6144 0707
Mail: jgn@hejm.dk