SANKTIONER VED OVERTRÆDELSE

Under den nuværende persondatalov, kan man næppe få mere end 25.000 kr. i bøde for de mest grove forseelser. Dette bliver ændret markant under persondataforordningen. Overtrædelser af forordningen bliver ikke en gratis fornøjelse. Man kan således risikere bøder i millionklassen, hvis man overtræder forordningens regler. Hermed vil EU sende et signal om, at persondatabeskyttelse skal tages alvorligt. Bøder er dog ikke den eneste sanktion. I milde tilfælde kan man nøjes med en advarsel. Derudover kan man udover en bøde også blive mødt af et erstatningskrav.

ADVARSLER OG LIGNENDE
Datatilsynet kan vælge at udstede forskellige sanktioner i stedet for en bøde:

Advarsler
Kritik
Forbud
Påbud
Suspension af overførsler af personoplysninger til lande uden for EU
Trække certificeringer tilbage

I hvilket omfang, disse muligheder vil blive benyttet, vides ikke på nuværende tidspunkt, men vil formentlig mest blive benyttet over for fysiske dataansvarlige og databehandlere med en lille økonomi eller ved mindre forseelser, mens virksomheder og andre organisationer i højere grad vil blive mødt med hårdere sanktioner. Hvis din organisation får en advarsel, skal der rettes op på forholdet snarest muligt, så man ikke risikerer andre (hårdere) sanktioner.

ERSTATNING

Den dataansvarlige og databehandleren kan risikere at blive sagsøgt af den registrerede med påstand om erstatning ved overtrædelser af forordningen.

Det særlige ved disse sager er, at der er omvendt bevisbyrde. Det er op til den dataansvarlige eller databehandleren at bevise, at de ikke har overtrådt forordningen. Det er derfor særdeles vigtigt, at der bliver udarbejdet tilstrækkelig dokumentation.

BØDESTRAF
Bødestraf må forventes af blive hovedsanktionen inden for håndhævelse af persondataretten. Hvor stor en bøde, man kan ifalde, kommer an på overtrædelsens karakter og omstændighederne i øvrigt. Momenter, der kan indgå i denne vurdering er:

Overtrædelsens grovhed
Omfanget af overtrædelsen
Skadens omfang for de registrerede
Hvor store bestræbelser virksomheden har gjort for at højne sikkerheden
Om virksomheden har gjort noget for at begrænse skaden
Om det er et gentagelsestilfælde
Om virksomheden selv har anmeldt overtrædelsen
Forholdene i øvrigt

Forordningen fastsætter selv rammerne for bødernes størrelse. For en række mildere forseelser fastsættes maksimum til 10 mio. euro eller 2 % af virksomhedens omsætning fra sidste år. Det er det højeste beløb af de to, der gælder. For nogle grovere forseelser bliver maksimum sat op til 20 mio. euro eller 4 % af sidste års omsætning, alt efter hvad der er højest.

Bødeniveauet er således sat meget højt i forhold til, hvad vi er vant til efter dansk ret. Hidtil har Danmark kun givet bøder på op til 25.000 kr., men det vil altså ændre sig drastisk, når forordningen træder i kraft.

Det er som udgangspunkt ikke den enkelte person, der rent faktisk har foretaget den ulovlige behandling, der bliver straffet med bøde, men derimod den dataansvarlige, der oftest vil være en juridisk person, fx et aktie- eller anpartsselskab. Hvis den dataansvarlige eller databehandleren er en fysisk person, vil han dog også kunne ifalde bødestraf.

BOD

I mange forhold mellem fagforeninger og arbejdsgiverorganisationer, er der fastsat visse regler om anvendelse af de ansattes personoplysninger i en overenskomst eller i en hovedaftale. Det kan være bestemt, at overtrædelse af disse regler vil medføre betaling af en større bod til den anden part. Dette gælder allerede i dag og vil også gælde, når forordningen træder i kraft.

FÆNGSELSSTRAF

Det er i dag muligt at ifalde fængselsstraf, hvis man overtræder persondataloven. Det er dog aldrig nogensinde blevet brugt og er nok nærmere en teoretisk mulighed. Persondataforordningen bestemmer, at de forskellige lande selv kan fastsætte fængselsstraf for grove overtrædelser af reglerne. Hvorvidt dette vil ske i Danmark, kan der ikke siges noget sikkert om på nuværende tidspunkt. Det fremgår dog af det endnu ikke vedtagne lovforslag om databeskyttelse, at man kan ifalde fængselsstraf for overtrædelse af reglerne.

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden n etI P.

På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden n etIP , der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.

netIP anbefaler - Skyldig indtil andet er bevist?

Hvor I i dag iflg. gældende Persondatalov blot skal ”…træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres…” så vil forordningen fremover kræve, at I fortsat gennemfører samme foranstaltninger, men indskærper at I med disse, skal kunne ”…sikre og for at være i stand til at påvise” at behandling er i overensstemmelse med forordningen.

Denne påvisning af overholdelse er måske (sammen med krav om at kunne udlevere data i maskinlæsbart format) dét, der i forordningen mest direkte peger på IT som løsning, snarere end at klare kravene alene med organisatoriske tiltag. For hvorledes vil I f.eks. påvise at kun relevante personer har tilgået et givent sæt persondata? Løbende notering i en logbog ved en udpeget ansvarlig ved hver tilgang, kunne være en løsning, men ikke en elegant løsning, for slet ikke at tale om effektiv. Overvej i stedet med en IT kyndig at ”sætte strøm” til denne notering.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - Coaching

Det man ledelsesmæssig giver opmærksomhed vokser, mens det man vender ryggen til dør!” Mon ikke dette noget bombastiske udsagn er genkendelig for de fleste ledere i en eller anden udstrækning?

Når det handler om implementering af IT-systemer, der måske ikke i sig selv rummer den store meningsfuldhed, ja så er lederens opmærksomhed afgørende. Lederen skal ganske simpelt give energi til implementeringen ved til stadighed at spørge til den. Systematik er i denne sammenhæng afgørende. Plot det i kalenderen. Book medarbejderne. Lav en dagsorden med afsæt i de justeringer persondataforordningen kræver, og send den til dem i god tid. Dette, for at den enkelte kan nå at ”stramme op”, før chefen spørger til det.

Opmærksomheden skal holdes et pænt stykke tid efter opstart. Et forslag kunne være månedlige coachingseancer på enten individ- eller gruppeniveau, der strækker sig over et år. Måske skal der sættes en time af dertil de første måneder. Derefter kan coachingseancerne forkortes, og måske er det blot et 5 min. punkt på dagsordningen i marts 2019.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.

Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.