ITWatch

Lav bøde i første persondatadom kan betyde nedprioriteret it-sikkerhed

Mere end tre år efter de skrappere GDPR-regler trådte i kraft, varsler den første dom om markant lavere bøder end ventet. Bøden endte på en 15-del af det krævede, og stadfæster Landsretten senere bøden, kan det betyde nedprioriteret indsats for persondata, frygter rådgiver.

Bodil Brabæk, chef for Data Privacy Law hos EY Law | Foto: PR

Rådgivere indenfor it-sikkerhed og persondata ser med stor spænding frem til afgørelsen af den første store GDPR-dom.

ID Design, det tidligere Ilva og Idemøbler, er blevet idømt en bøde på 100.000 kr. for at have håndteret kunders persondata i strid med reglerne, men bøden er af byretten sat 15 gange lavere end den bøde, Datatilsynet indstillede.

Nu skal landsretten tage endelig stilling til sagen, men stadfæster man bødestørrelsen, kan det få stor betydning for virksomhedernes indsats overfor persondata, frygter man hos rådgivnings- og revisionsgiganten EY.

"Hvis landsretten når til samme afgørelse, kan det således desværre ikke udelukkes, at visse virksomheder ud fra en mere økonomisk risikotilgang vil nedprioritere organisationens compliance tiltag, også set i lyset af de ressourcer der typisk vil skulle afsættes for at sikre efterlevelse af de databeskyttelsesretlige regler," siger Bodil Brabæk, chef for Data Privacy Law hos EY Law.

Ifølge Datatilsynet er sagen i Østre Landsret berammet til oktober, men kan blive udskudt på grund af coronakrisen.

Bodil Brabæk understreger, at det er for tidligt at sige noget fast om bødeniveauet i Danmark.

"Der skal mere end én afgørelse til," siger hun og tilføjer, at EY forventer, at de danske domstole i denne og efterfølgende sager vil skabe en retspraksis, "der tager højde for selve forudsætningen med databeskyttelsesforordningen."

"Den fastsætter et væsentligt forhøjet bødeniveau, der skal afspejle en harmonisering i hele EU og samtidig være effektiv og have en vis afskrækkende virkning. Vi forventer derfor et højere bødeniveau," siger hun.

Bøderne betyder noget

Bodil Brabæk oplever, at virksomheder er optaget af at efterleve reglerne af hensyn til deres omdømme. Men bøderne betyder noget.

"Virksomhederne har stor fokus på risikoen for bøder, og de spørger i den forbindelse meget ind til retspraksis og ikke mindst bødeniveau," siger Bodil Brabæk

Hun påpeger, at virksomhederne efterlever reglerne og ikke "som sådan afventer praksis, før de igangsætter deres complianceprojekt."

"Men det er klart, at bødeniveauet – ligesom inden for andre retsområder – har en ikke ubetydelig indvirkning på, hvorvidt reglerne bliver efterlevet til fulde. Det har lovgiver jo netop også været opmærksom på og direkte fremhævet, at bøderne også skal have et afskrækkende element."

Hvis danske bøder skiller sig ud i EU ved at være markant lavere på sigt, hvilken betydning får det så?

"Da der er tale om et europæisk regelsæt, forventer vi, at Danmark – herunder de danske domstole – i sidste ende afstemmer praksis i overensstemmelse med forordningens forudsætninger, herunder kravet om harmonisering i EU."

Hos Datatilsynet siger Allan Frank, der er it-sikkerhedsspecialist og uddannet jurist, at håndhævelsen af GDPR-reglerne blandt andet er baseret på meget store bøder på op til fire pct. af en virksomheds omsætning.

Men som sagt er den første sag herhjemme indtil videre endt i en langt lavere bøde på bare 100.000 kr.

Udlandske bøder nedsat

Allan Frank siger, at der i udlandet er uddelt meget store bøder, men at flere af disse er bortfaldet eller er blevet nedsat til et betydeligt lavere beløb.

"Det er derfor også svært at sige, hvad der egentlig er det korrekte europæiske niveau. Det vigtigste er, at den sanktion, der benyttes konkret i sagen, lever op til databeskyttelsesforordningens regler om, at den skal virke effektivt og sikre, at andre dataansvarlige fremadrettet vil overholde forordningen," siger Allan Frank.

Han understreger, at herhjemme kender man endnu ikke det endelige bødeniveau.

"Bødeniveauet mod enkeltpersoner i de sager, der har været, er endt i op til det femdobbelte af bøderne, før GDPR fandt anvendelse. Så her er der sket en skærpelse. Men vi kender ikke det endelige bødeniveau for virksomheder. Her har vi kun stadig ID Design afgørelsen, der er anket."

Han forklarer, at det generelt er Datatilsynets erfaring, at de dataansvarlige herhjemme reelt gerne vil følge reglerne.

"Det danske datatilsyn kan derfor komme meget langt i forhold til databeskyttelse ved at komme med rådgivning og vejledning. Når det er sagt, er det også klart, at grove og bevidste overtrædelser og handlen mod bedre vidende vil blive sanktioneret med bøder."

Øget behov for GDPR-rådgivning får advokathus til at satse på området 

Beskæring af Datatilsynet vækker kritik 

Mere fra ITWatch

Læs også

Relaterede

Seneste nyt

ITWatch job

Se flere jobs

Se flere jobs

Watch job

Se flere jobs

Se flere jobs