Dansk Erhverv efter tre år med GDPR: EU må vise vejen ud af dokumentationsjunglen

Ingen vil vel bestride, at beskyttelse af personoplysninger principielt er vigtigt, og at denne beskyttelse derfor med rette er nævnt som en grundlæggende rettighed i den Europæiske Unions charter om borgernes grundlæggende rettigheder.

Da GDPR trådte i kraft for tre år siden var mange af forordningens behandlingsregler som sådan ikke nye, men vi må desværre erkende, at interessen for et regelsæt stiger, når overtrædelser kan sanktioneres med store bøder.

Interessen for GDPR var derfor voldsom i 2018, og mange virksomheder kastede sig for første gang ud i at skulle udarbejde en privatlivspolitik og indgå databehandleraftaler.

Da der samtidig skulle oprettes fortegnelser, udarbejdes risikovurderinger, nedskrives sletteprocedurer og så videre, blev GDPR en overordentlig stor mundfuld, og et papirmonster af rang, da virksomhederne tillige skulle og fortløbende skal dokumentere de enkelte behandlingsskridt.

Alle disse tiltag har medført omkostninger i milliardklassen for dansk erhvervsliv. 

Beskytter ‘kedelige’ data
Set i bakspejlet er det nok ikke helt forkert at antage, at rigtigt mange virksomheder - men også det offentlige – indsamlede persondata uden synderligt formål.

”Det kunne jo være, man fik brug for dem”, var en udbredt tilgang. Enkelte virksomheder har efterfølgende tilkendegivet over for mig, at GDPR ”var med til at rydde lidt op i gamle data, og det var jo nok ikke så skidt endda”.

Livet med GDPR kunne gøres lettere for alle, hvis EU-Kommissionen i samarbejde med det Europæiske Dataråd og de nationale datatilsyn kunne udvikle flere værktøjer og typeeksempler, der viser vejen ud af dokumentationsjunglen.

Sven Petersen
Erhvervsjuridisk fagchef, Dansk Erhverv

Det ændrer dog ikke ved, at reglerne for langt de fleste virksomheder til stadighed medfører store administrative byrder og udgifter til bistand fra konsulenter, revisorer og advokater, hvis reglerne skal efterleves til punkt og prikke. Står disse omkostninger mål med dét, EU ønskede at beskytte?

I bund og grund lancerede EU et regelsæt, hvor man forsøgte at ramme de store techgiganters smarte adfærd og den hastigt voksende indsamling af data på internettet, men hvor man nok ikke helt har haft fantasi til at forestille sig, hvor stor en påvirkning GDPR ville få på erhvervslivet over en bred kam.

I den forbindelse må man huske på, at såvel dansk, men også europæisk erhvervsliv overvejende består af SMV'ere med op til 20-30 ansatte, og hvor persondata ofte består af data om deres ansatte og relativt kedelige data om deres kunder.

Hvor spændende er det i bund og grund, at en forbruger har købt en sofa for ti år siden i én eller anden butik, eller at kontaktpersonen hos en kunde er indkøbschef?

Det kan man sikkert have forskellige holdninger til, men det er formentlig sådan, at de fleste borgere ikke finder den slags oplysninger særligt beskyttelsesværdige.

Omvendt stiger interessen for personoplysninger, når vi har at gøre med følsomme data såsom helbredsoplysninger, politisk tilhørsforhold, oplysninger om seksuelle forhold, strafbare forhold og så videre.

EU skal vise vejen ud af dokumentationsjunglen
Set i bakspejlet kan det diskuteres, om ikke GDPR i første omgang blot skulle have handlet om beskyttelse af følsomme data.

Hvor spændende er det i bund og grund, at en forbruger har købt en sofa for ti år siden i én eller anden butik, eller at kontaktpersonen hos en kunde er indkøbschef?

Sven Petersen
Erhvervsjuridisk fagchef, Dansk Erhverv

Men da denne indskrænkning næppe kommer til at ske, bør EU-Kommissionen kraftigt overveje, hvordan livet med GDPR fremadrettet kan gøres lettere for hovedparten af erhvervslivet.

GDPR har højnet bevidstheden om datahåndteringen hos alle, hvilket er godt – men vi skal ikke skyde gråspurve med kanoner.

Livet med GDPR kunne gøres lettere for alle, hvis EU-Kommissionen i samarbejde med det Europæiske Dataråd og de nationale datatilsyn kunne udvikle flere værktøjer og typeeksempler, der viser vejen ud af dokumentationsjunglen.

Det er klart, at disse eksempler ikke kan dække enhver situation, men de giver forhåbentlig en ide om, hvad der konkret efterspørges, når vi taler dokumentation af behandlingsskridt. Hvornår har man gjort nok? Det er der rigtigt mange virksomheder, der spørger sig selv i forbindelse med treårsfødselsdagen for GDPR.