Klumme: Man kan nærmest ikke arbejde med markedsføring, uden at skulle forholde sig til databeskyttelsesreglerne, bedre kendt under forkortelsen for den EU-forordning, der rummer de vigtigste databeskyttelsesregler, GDPR. 

Og man kan nærmest ikke forholde sig til GDPR, uden at forholde sig til de bøder, som fra starten blev varslet, og som man nok må erkende har været en væsentlig, hvis ikke den væsentligste, årsag til, at GDPR nu er blevet en almindeligt kendt forkortelse også udover juridiske kredse. 

Bødehysteriet meldte sig hurtigt, efter reglerne var vedtaget; mange talte og skrev om de høje bøder på fire procent af koncerners globale årsomsætning eller 20 millioner EURO.

Mange brancher – inkl. min egen advokatbranche – har solgt toptunede complianceprojekter og andet GDPR-tilbehør for milliarder, og virksomhedernes fokus på databeskyttelse er blevet forøget kraftigt de sidste par år.

GÅ IKKE GLIP AF DAGENS VIGTIGSTE NYHEDER. KLIK HER.

Som rådgiver inden for området, kan jeg kun bifalde dette, og så i øvrigt glæde mig over, at det ser ud til, at Datatilsynet (selvfølgelig) også har husket at læse den danske straffelov, da tilsynet i sidste uge indgav den første politianmeldelse i en GDPR-sag med en indstilling om, at bøden i sagen skal udgøre 1,2 millioner kroner.

Jeg har allerede læst vinkler af sagen, hvor man taler om danmarkshistoriens største persondatabøde, og hvor man gør sig umage for at bidrage til bødehysteriet. Det får mig til at minde om, at der altså ikke er givet nogen bøde endnu, og at de 1,2 millioner kroner alene er Datatilsynets indstilling, som er baseret på en vurdering af lovovertrædelsens grovhed og oplysninger om gerningsmanden, Taxa 4x35.

Det skal man nemlig basere en bødeudmåling på i Danmark, og de nævnte fire procent / 20 millioner EURO er alene udtryk for maksimale bødestørrelser. Taxaselskabet skal en tur omkring domstolene, før der bliver givet en bøde, og det ville ikke være første gang det skete, hvis domstolene ender med at udmåle en lavere bøde end indstillet fra en myndighed.

Udover denne pointe skal det høje beløb også ses i lyset af, at der er tale om en sag, hvor Datatilsynet har udtalt alvorlig kritik, som ligger ganske højt oppe på tilsynets kritik-stige.

Og så handler sagen om lige under ni millioner behandlinger af persondata, hvor Datatilsynet har vurderet, at oplysninger om knap ni millioner taxature var opbevaret i strid med databeskyttelsesreglerne. Det er lige omkring 15 øre per potentielt ulovlig behandling.

Hvis man drager en parallel til et andet, nærliggende område, nemlig spamreglerne, er tallet ikke skræmmende. I spamsagerne har Forbrugerombudsmanden således fået indført en praksis, hvor det koster 100 kroner per ulovlig udsendt e-mail (med en minimumsbøde på 10.000 kroner).

Når de første sager har været igennem domstolene, og de første bøder er givet, kan vi sige meget mere om, hvor bødeniveauet bliver lagt.

Og uanset hvor bødeniveauet ender, skal reglerne overholdes, så hvis GDPR-compliance-opgaven er blevet udskudt på ubestemt tid, er lige nu et godt tidspunkt at sætte GDPR-compliance øverst på dagsordenen, så den næste pressemeddelelse fra Datatilsynet ikke kommer til at handle om jer.

For det er ikke ligefrem karrierefremmende, hvis man skal ind og fortælle direktøren, at der er en seks- eller syvcifret bøde på vej. 

GÅ IKKE GLIP AF DAGENS VIGTIGSTE NYHEDER. KLIK HER.