5 år med GDPR. Er vi overhovedet kommet i mål?
Den 25. maj er det 5 år siden, at GDPR trådte i kraft. Databeskyttelse kom på alles læber, primært fordi der var trusler om store bøder for manglende overholdelse af reglerne. Vi gør status på GDPR i en tid, hvor mange virksomheder fortsat ikke er kommet i mål med opgaven.
Efterlevelse af GDPR er fortsat en udfordring for virksomheder
Truslen om millionbøder fik mange virksomheder til at opstarte GDPR-projekter for 5 år siden, hvor GDPR endnu ikke var trådt i kraft. Medarbejdere uden særlige kompetencer inden for databeskyttelse blev sat til at skrive politikker og få styr på, hvordan kravene om samtykke, oplysningspligt, datasikkerhed og alt det andet kunne opfyldes.
Men trods den store indsats dengang er der fortsat mange virksomheder, der kæmper med at blive GDPR-compliant.
”Vi møder fortsat mange virksomheder, der kæmper med at få helt styr på GDPR-opgaven. Det er alt fra udarbejdelse af fortegnelser til oplysningsbreve, som der fortsat kæmpes med, og så har rigtig mange virksomheder ikke helt fået hånd om sikkerhedskravene til deres IT-systemer”, fortæller Karina Søndergaard, der er advokat (H) og fagchef for persondata hos HjulmandKaptain.
Det er ikke bøderne man skal frygte
Angsten for bøder var det, der fyldte mest for 5 år siden. Men i dag kan vi konstatere, at det er meget få virksomheder, der faktisk har fået en bøde for overtrædelse af GDPR.
På Datatilsynets hjemmeside fremgår det, at Datatilsynet har indstillet til 27 bøder for overtrædelse af GDPR, siden reglerne trådte i kraft den 28. maj 2018. Kun få af sagerne er på nuværende tidspunkt endeligt afgjort.
Til gengæld er listen over sager, hvor Datatilsynet har udtalt kritik, alvorlig kritik eller har givet et påbud lang. Og disse afgørelser er endelige.
”Bøder er naturligvis den alvorligste sanktion, en virksomhed kan blive ramt af. Men set fra virksomhedens synspunkt er det i høj grad påbuddet, man skal have fokus på. Her gives der f.eks. få uger eller måneder til at rette op på en manglende overholdelse af reglerne, og det kan blive dyrt ressourcemæssigt og dermed økonomisk”, siger Karina Søndergaard.
Det mest kendte påbud er påbuddet til Helsingør Kommune om at standse brugen af Google Chromebooks i folkeskolen.
”Et påbud kan i værste fald betyde, at virksomheden må standse sin produktion, fordi man eksempelvis ikke længere kan bruge et IT-system. Men det kan også betyde, at man på meget kort tid skal udføre noget af det GDPR-arbejde, som virksomheden reelt burde have udført allerede inden 25. maj 2018. Og det giver sig selv, at det kan være en meget tung byrde, hvis man pludselig skal udføre et stykke arbejde på få uger, som man ikke har formået at finde ressourcer til at gennemføre de seneste 5 år”, siger Karina Søndergaard.
GDPR kan være en gevinst fremfor en byrde for virksomhederne
Ifølge Karina Søndergaard er mange virksomheder kommet forkert i gang med deres GDPR-arbejde, og det har gjort opgaven unødigt kompliceret.
”Der er ikke mange, der synes, at arbejdet med GDPR er det sjoveste, de kan beskæftige sig med. Og det er bestemt ikke blevet bedre af, at der var en udpræget mangel på viden om, hvordan opgaven skal gribes an hos mange af de medarbejdere, der fik opgaven tilbage i 2018. Derfor fik virksomhederne ikke sat arbejdet i system, og så bliver GDPR svær at arbejde med. Reglerne blev også gjort unødigt svære, og det fik mange til at overimplementere ”for en sikkerheds skyld”. Det er rigtig ærgerligt, for det har betydet, at mange virksomheder nu ser GDPR som en byrde og ikke som den gevinst, det kan være både økonomisk og ressourcemæssigt”, siger Karina Søndergaard.
Hun peger på, at reglerne i GDPR blandt andet kan hjælpe virksomhederne med at sikre, at de har overblik over, hvilke opgaver de løser, hvilke oplysninger de har brug for til løsning af disse opgaver, om arbejdsgangene er de mest hensigtsmæssige, og om der betales til IT-systemer, som ikke længere anvendes, eller som har sikkerhedsudfordringer, der kan koste virksomheden dyrt.
”Hvis virksomhederne får sat GDPR i system på den rigtige måde, så er det min påstand, at reglerne kan blive en stor gevinst for mange virksomheder og ikke den byrde, som det i dag betragtes som af mange. Vi kommer selvfølgelig ikke uden om, at der er nogle arbejdsgange med GDPR, der kræver ressourcer, men når nu reglerne er her og derfor skal overholdes, så er det min anbefaling, at virksomhederne finder vejen til at bruge dem som et aktiv i stedet for at gøre dem til en modspiller”, siger hun.
Lad HjulmandKaptain hjælpe dig
Er GDPR-arbejdet blevet unødigt kompliceret, eller har du brug for en sparringspartner, der trygt og enkelt kan hjælpe dig med at løfte GDPR-byrden? Så står HjulmandKaptains specialister i persondata klar til at hjælpe dig.
Nyheder
Se flere-
Nyhed15.07.2024Datatilsynet: Sådan er de nye regler om indsigt i logfiler
Læs nyhed
-
Nyhed12.07.2024
Lovforslaget, der skal implementere NIS2, er landet.
Læs nyhed
-
Case10.07.2024
En tilfredsstillende konsolidering for Wolturnus A/S i samarbejde med HjulmandKaptain
Se case
-
Nyhed08.07.2024
EU-domstolen udtaler: Øst/vest-modellen kan bruges i udbud
Læs nyhed
-
Nyhed24.06.2024
Husker du at underrette de registrerede, når der sker databrud?
Læs nyhed
-
Nyhed17.06.2024
Ny kendelse: Derfor er det afgørende, at du udbyder dit indkøb efter det korrekte regelsæt
Læs nyhed
-
Nyhed14.06.2024
Hvad betyder regeringens nye iværksætterudspil for dig?
Læs nyhed
-
Nyhed11.06.2024
Er din virksomhed klar til at registrere medarbejdernes arbejdstid?
Læs nyhed
-
Nyhed28.05.2024
Områdedirektør havde krav på kompensation for konkurrenceklausul, da opsigelse skyldtes virksomhedsforhold
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.