Professor: Minimal risiko for kæmpebøder til virksomheder når EU-persondataforordningen træder i kraft

Når den nye persondataforordning træder i kraft til maj næste år, lægger lovgivningen op til gigantbøder til persondatasynderne.

Det betyder dog ikke, at de danske it-virksomheder skal forvente, at der fra første dag bliver udskrevet millionbøder lige med det samme. Det vurderer Henrik Udsen, der er professor i jura på Københavns Universitet.

"Hvis man kigger på overgangen, så tror jeg, at når man skal udmåle bøder, så vil man have en vis pragmatisk holdning til, at det vanskeligt og uklart," siger han. 

Læs også: Bliv klar til EU-persondataforordningen: Ministerium klar med længe ventet dansk vejledning til den nye EU-lov

En forsigtig start

Justitsministeriets mere end tusind sider lange betænkning er kompliceret, og reglerne fremstår uklare for mange virksomheder. 

Det bliver da også taget med i betragtningerne, når der fra 25. maj næste år kan uddeles bøder, hvis virksomhederne ikke overholder den nye lovgivning.

"Det er klart, at hammeren givetvis falder, hvis der kommer nogen, som fuldstændigt klokkeklart og med åbne øjne laver nogle krænkelser, som har store konsekvenser," siger professoren, der har siddet i Justitsministeriets ekspertreferencegruppe på området-

"Men i alle de situationer, hvor det måske skyldes, at man er lidt usikker på, hvad der gælder og egentlig har haft en god vilje, tror jeg, det kommer til at påvirke, hvornår man vil give en bøde, og det vil også påvirke bødestørrelsen."

Læs mere om dem, der skal håndhæve lovgivningen her: Datatilsynet 11 måneder før persondataforordningen: "Vi kan ikke håndhæve loven med de nuværende ressourcer"

Lægger op til gigantbøder

I forordningen lægges der op til, at virksomheder kan idømmes bøder på enten fire procent af virksomhedens globale omsætning eller op til 20 millioner euro, hvilket svarer til omkring 150 millioner kroner, hvis man ikke passer ordentligt på den persondata, man ligger inde med.    

Det skal dog ikke tolkes sådan, at en mindre webshop eller en badmintonforening får kastet et ubetaleligt girokort i nakken, forklarer Henrik Udsen. 

"Det er vigtigt at understrege, at de pågældende bødeniveauer på fire pricent af den globale omsætning eller 20 millioner euro er bøderammer. Voldsparagrafen giver jo også op til tre års fængsel, men det får man jo ikke for at give en person en lussing. Det får du måske 30 dage eller 14 dage for," uddyber han.

Regelmæssig tåge

I mange virksomheder kigger man bekymret på kalenderen.

Dagene går nemlig hurtigt, og virksomhederne skal til maj næste år være parate til at overholde en lovgivning,  som de knapt nok kender i dag.

Det giver anledning til en panderynker hos erhvervs-organisationerne, der efterlyser klar besked om de regler, der skal overholdes.

Det kan du læse mere om her: Frustreret dansk it-virksomhed tvunget til at famle i blinde: "Hverken vi eller vores kunder ved, hvad persondataforordningen kommer til at betyde"

De frustrationer forstår professor Udsen godt. 

"Det er koblingen mellem, at det på den ene side er svært at sige, hvilke regler der gælder koblet med de her potentielt meget meget store bøder. Det er den kobling, som jeg tror, at specielt virksomhder er meget bekymrede for. Det kan jeg godt forstå," siger han. 

Han har dog svært ved at skyde skylden for uklarhederne på Justitsministeriet, der har udarbejdet betænktningen.

Han har selv siddet tæt på arbejdet med forordningen i kraft sin position i ministeriets ekspertreferencegruppe, og i følge ham er der ikke noget af udsætte på slipsedrengene fra Slotsholmen.    

"Jeg synes, at Justitsministeriet har gjort et godt stykke arbejde, men det ændrer ikke på, at det er rigtig svær situation for en virksomhed, der skal være compliant i maj 2018, hvis man meget sent i det forløb får at vide nogenlunde, hvad der gælder. Jeg kan sagtens forstå de frustrationer, det giver."

Danmark bliver ikke klar

Om knap elleve måneder forventes det altså, at virksomheder, foreninger og alle andre, der ligger inde med persondata, er klar til at indordne sig under de nye regler. 

Der er dog en udbredt forventning om, at det ikke kommer til at blive en realitet.

Det kor tilslutter Henrik Udsen sig nu.

Danmark kommer som helhed i følge ham ikke til at være klar i maj næste år.

Læs mere om de danske virksomheders arbejde med at blive klar her: Danske virksomheder smøler med forberedelser til ny kæmpe-persondataforordning

"Jeg tror ikke, at Danmark er 100 procent klar. Der er en stor bevidsthed omkring det, og der bliver arbejdet enormt hårdt på det mange steder. Jeg tør ikke sige noget om, hvorvidt vi er x eller y procent klar. Jeg tror, at vi er langt, men vi vil ikke være i mål i maj 2018."