Tilsidesættelse af datakrav kan koste millioner

Der er få måneder til den 25. maj, hvor persondataforordningen træder i kraft. Derefter kommer forordningens krav til at medføre en række af problemstillinger for erhvervsdrivende, hvilket kan blive en dyr fornøjelse, hvis virksomheden ikke er ordenligt forberedt. 

Sanktionerne øges
Med persondataforordningens skærpede krav bliver der sat rammer for bøders størrelse. Forordningen hjemler bøder på op til enten EUR 20 mio. eller 4 pct. af en virksomheds årlige, globale omsætning.

Formålet med at udstede bøder er at sikre, at forordningens regler overholdes. Derfor kommer udmålingen af bøder ikke alene til at ske på baggrund af omfanget af bruddet på reglerne, men også på baggrund af en vurdering af, om virksomheden har forsøgt at leve op til forordningens krav. Der ses altså bl.a. på, hvilke foranstaltninger, der er truffet forud for og efter databruddet, samt om der tidligere har været lignende brud.

Uber blev i 2016 angrebet af hackere, og millioner af brugeres informationer blev stjålet. Uber betalte hackerne bag angrebet $ 100.000,00 for at holde databruddet hemmeligt og tilsidesatte deres pligt til selv at anmelde bruddet. Efter den nye forordning vil hemmeligholdelse af et sådant databrud være en begrundelse for en forhøjelse af bødens størrelse. Omvendt vil en overholdelse af anmeldelsespligten tale for en sanktion i en lavere størrelsesorden.

Kursen er lagt med de nye bøderammer og udregningsmomenter. Vi kan roligt vinke farvel til de relativt lave bødesatser, som vi tidligere har kendt i dansk retspraksis, for vi går en væsentlig stigning i møde. Hver enkelt krænkelse skal vurderes selvstændigt, men der er et EU-retligt ønske om, at sanktionerne skal harmoniseres og udmåles ens ud i de europæiske lande. Så to identiske forseelser i to forskellige EU-lande vil blive mødt med en bøde af samme størrelse. Praksis fra andre EU lande kan hermed få betydning for sanktionernes størrelse.

Sanktionerne suppleres med erstatning
Bøderne står dog ikke alene. Lider en person et tab som følge af en tilsidesættelse af forordningens forpligtelser, kan der søges erstatning hos den dataansvarlige. Forordningen giver mulighed for at kræve erstatning for økonomiske tab hos enhver, som har behandlet oplysningerne på vegne af den dataansvarlige. Kun hvis den, der behandler persondata på egne eller andres vegne, kan bevise, at denne ikke har været skyld i begivenheden, kan behandleren gå fri for ansvar.

Persondata bliver et nyt element i mange situationer
Databeskyttelseslovgivningen rammer tværfagligt over et utal af retsområder. Den nye fokus på og den kommende stigning i sanktioneringen af området kommer potentielt til at give anledning til nogle ubehagelige situationer, man ikke er ordenligt forberedt på.

Eksemplificeret må portrætbilleder generelt ikke ligges op på en arbejdstagers hjemmeside, før der er indhentet et udtrykkeligt samtykke fra den ansatte, som senere skal kunne bevises. Generelt må billeder af besøgende på natklubber og barer heller ikke deles uden samtykke.

I forbindelse med ansættelse er det normalt, at virksomheder indhenter, og i nogle tilfælde får tilsendt, personoplysninger i forbindelse med en jobsamtale. Dette kan ske ved at indhente en reference fra en tidligere arbejdsgiver. Her skal både den nye og tidligere arbejdsgiver være påpasselig med, hvilke informationer, der videregives, for ikke at overtræde loven. Der må ikke altid videregives personoplysninger uden et forudgående frivillig, specifik, informeret og utvetydig samtykke fra den jobsøgende. Personoplysningerne må heller ikke indsamles uden, at lovens oplysningspligt, senest samtidig med indsamlingen, iagttages. Resulterer informationerne i, at den jobsøgende ikke opnår ansættelse, vil et erstatningskrav kunne være aktuelt.

Tilsvarende må en arbejdsgiver ikke indhente fx straffeattester uden at tage hensyn til forordningens krav om saglighed og proportionalitet. Kun når indhentelsen er relevant, er den lovlig.

En grim retsstilling for de uforberedte
Virksomhederne står ikke kun overfor mulige erstatningskrav, men tillige potentielle enorme bøder, når en borgers personoplysninger er blevet behandlet forkert. Der kan opstå en frygt for, at borgere kan anvende disse krav som pressionsmidler, hvilket i et vist omfang kan være deres ret. Det kan forventes, at disse situationer bliver aktuelle især i forbindelse med ophøret af f.eks. et leje- eller ansættelsesforhold.

En lejer kunne fx mene, at dennes udlejer har forbrudt sig på lejerens rettigheder. Lejeren tilbyder imidlertid ikke at anmelde udlejeren, såfremt denne udbetaler hele lejerens depositum tilbage ved fraflytning. Der kan opstå tvivl om, hvorvidt lejeren her anvender ulovlig afpresning. Men hvis der forelægger et databrud, og udlejeren forsøger at feje det under tæppet, så vil en bøde efter forordningen, ligesom den ville i Uber-sagen kun blive større.

Den sikreste måde at gardere sig imod lignende situationer er ved at sikre overholdelse af reglerne.

DATA, Marcus Jensen, stud.jur.