I al stilhed er EU godt i gang med at forberede en omfattende opgradering af GDPR, der kommer til at give genlyd i alle organisationer i EU.
Det er indtil videre planen, at den markante opgradering skal træde i kraft på fireårs-dagen for ikrafttrædelsen af det nuværende GDPR-regelsæt, nemlig 25. maj 2022.
Arbejdet med den meget omfattende opgradering har stået på i længere tid og er foregået i stilhed sideløbende med den mindre justering, som EU i stykke tid har forberedt sammen med de forskellige EU-lande.
Den kommende opgradering er så omfattende, at GDPR kommer til at ændre navn til GDPRR - General Data Protection Regulated Regulation.
For centralt i opgraderingen ligger planen om en helt ny fordeling af bødeindtægterne på tværs af Europa, som især Frankrig har kæmpet hårdt for skulle realiseres.
I dag er der vidt forskellige bødesystemer på tværs af de europæiske lande, når det gælder GDPR-brud: Nogle lande har anlagt et relativt højt bødeniveau, mens andre ser ud til at anlægge et relativt lavt niveau.
Det gælder blandt andet Danmark, hvor den første prøvesag blev afgjort i Retten i Aarhus i midten af februar.
Her blev møbelselskabet Ilva idømt en bøde på 100.000 kroner - langt under det million-niveau, som anklagemyndigheden var gået efter.
Dommen blev da også anket kort tid efter af anklagemyndigheden.
Det kan du læse mere om her: Derfor anker statsadvokaten GDPR-dom: Vil have bødestørrelsen til Ilva markant op.
Stor udligning
Med GDPRR vil EU indføre en omfordeling af de indtægter, der hentes på GDPR-bøder, i stil med omfordeling, som vi kender det fra de danske kommuner, hvor de rige kommuner med høje skatteindtægter betaler en udligning til de knap så velhavende kommuner med lavere skatteindtægter og mange udgifter.
“Det er jo urimeligt, hvis vi ikke alle skal have en del af kagen, når nu det er meget nemt at kradse store beløb ind i nogle lande, men sværere i andre. Vi har jo den samme arbejdsbyrde med at håndtere GDPR, så gevinsten bør også være den samme,” siger franskmanden Thierry Francochamp, der for EU-partiet Renew Europe har været med til at udarbejde GDPRR.
EU regner med, at de fleste landes domstole og lignende vil have fastlagt et nationalt bødeniveau, når vi når frem til 25. maj 2022.
I praksis kommer udligningsordningen under GDPRR til at blive håndteret af EU’s nyetablerede overvågningskontor for nationale overtrædelser af persondata-lovgivning, Office National des Infractions au Règlement sur les Données Personnelles (ONIRDP).
I spidsen for ONIRDP indsættes den tyske EU-veteran Horst Biedermann.
Han lover, at han vil gøre, hvad han kan for at bringe orden i sagerne, selv om han siger, at han er ‘noget utilfreds’ med, at hans kontor har fået et fransk navn og ikke et tysk, når nu ‘tysk bare klinger bedre,’ som han siger.
“Fransk er så fesent. Men lad nu det ligge,” siger Horst Biedermann.
Den kommende chef for et par hundrede GDPRR-specialister - fortrinsvist EU-jurister - fortæller, at det er planen, at de enkelte landes anklagemyndigheder i det første år via et nyudviklet it-system skal indrapportere alle sager, der afgøres med bøder for overtrædelser af GDPR i deres lande.
Tre kategorier
Her vil ONIRDP indplacere de indrapporterede sager i tre kategorier ud fra deres geografiske udgangspunkt, indtægtsniveau og alvor/omfang.
“Vi har valgt, at kategorierne kommer til at hedde henholdsvis ‘schwarz,’ ‘gelb’ og ‘rot’, for vi bestemmer jo ligesom selv, hvad vores egne kategorier skal hedde. Det skal franskmændene jo ligesom ikke blande sig i," siger Horst Biedermann.
De indleverede bøderapporter skal i de første 12 måneder danne grundlag for en månedlig udlignings-opgørelse, der - 'fordi vi er meget åbne og retfærdige,' som Horst Biedermann siger - skal sendes til alle EU-landene til nærmere gennemsyn og politisk behandling.
Disse 12 første opgørelser skal efter det første år - altså fra maj 2023 - danne grundlag for en egentlig udligningsnøgle, som EU-landene er forpligtede til at indrette sig efter på a conto-niveau.
Med den i hånden skal de lande, der får mindst bødekroner i kassen, hvert år i slutningen af maj således modtage et a conto-beløb fra de lande, der får mange bødekroner i kassen. A conto-beløbet skal dække frem til det efterfølgende års afregningsdato.
Som udgangspunkt sigter EU efter, at a conto-ordningen for nemheds skyld skal gælde i de første fem år uanset om landene her hæver eller sænker deres bødeniveau.
Det sjette år skal dernæst anvendes til at fastsætte et nyt a conto-niveau med udgangspunkt i årets sager, som dernæst skal gælde i de efterfølgende fem år. Og sådan skal systemet fortsætte i cyklusser med et + fem år.
Fast dato
Udligningsdatoen bliver fast 25. maj, som jo er årsdagen for indførelse af både GDPR og GDPRR.
Her skal de indbetalte a conto-beløb dermed reguleres, ligesom der skal afregnes skyldige beløb mellem de forskellige lande.
Både indbetalinger og udbetalinger skal håndteres af ONIRDP-kontoret og mine 'dygtige sekretærer,' som Horst Biedermann siger.
Og pengene skal ind - også selv om det regnes for givet, at ikke alle virksomheder vil være lige villige til at hoste op med de store penge, som de risikerer at skulle betale i bøde i nogle EU-lande.
Her gør EU klar til at køre kanonerne i stilling med alternative planer.
Horst Biedermann peger nemlig på, at han har 'modtaget signaler' fra visse medlemmer af EU-Kommissionen om, at der på sigt kan blive givet grønt lys for, at ONIRDP vil kunne indkradse værdier på andre måder end ved lige at modtage kontanter fra europæiske virksomheder, der af den eller anden grund ikke har likvider til at betale eventuelle bøder.
Horst Biedermann vil ikke gå i detaljer, men han antyder dog, at der kan blive tale om at betale med eksempelvis arbejdskraft uden for normal arbejdstid til hans eget ONIRDP-kontor eller til EU i almindelighed eller med eksempelvis markarealer, fødevarer eller elektronik-produkter, hvis den pågældende virksomhed skulle ligge inde med den slags.
Værdierne vil ONIRDP så sælge på det frie marked eller på anden måde omveksle til hård valuta, der kan indgå i a conto-ordningen.
"Jeg vil ikke sige, at vi er decideret på vej ind i en naturalie-økonomi. Men på den anden side er vi jo indstillede på, at tingene skal glide, og at vi i hver enkelt sag skal have fundet nogle fornuftige løsninger, så vi kan få løst tingene og komme videre," siger han.
Der kan være braindrain på vej
I dag har især lande som Spanien, Tyskland, Portugal, Polen og Italien anlagt relativt højt bødeniveau, mens lande som Danmark, Sverige, Frankrig, Holland og Ungarn har anlagt eller ser ud til at ville anlægge et relativt lavt niveau.
Det åbne spørgsmål er nu, om ikke GDPRR vil anspore de enkelte lande til blot at sænke bødeniveauet, så de dermed slipper for at betale til de andre lande.
Det er et kompleks billede, siger den polske forsker i national psykologi ved Sorbonne Universitet, Piotr Schyyh.
“Lysten til at straffe lovovertrædere og tjene lidt på det er ikke en dynamik, som man uden videre kan fjerne fra et lands kultur. Vi ser dog tydeligt i vores forskning, at landene ofte ikke er særligt samarbejdsvillige, når det handler om at betale nogle kroner til andre lande. Så det er sådan set et klassisk EU-dilemma,” siger han.
Kan få konsekvenser
Ifølge den polske forsker er der noget, der tyder på, at der i en række EU-lande arbejdes med planer om ligefrem at hæve bødeniveauet for overtrædelse af GDPR yderligere.
Det sker i et forsøg på at sikre de slunke statskasser lidt ekstra mønt i en tid, hvor mange lande har hårdt brug for penge til hjælpepakker, beredskaber og lignende på grund af Covid-19.
I den forbindelse er timingen med GDPRR uhensigtsmæssig, påpeger den polske forsker, da de lande, der nu lige har set en mulighed for at få lidt ekstra kroner i kassen, ser ud til bare at skulle aflevere dem til EU igen.
"Det er klart, at det ikke er særligt fedt," siger han.
Ifølge Piotr Schyyh vil GDPRR da også kunne føre til, at især de store virksomheder på sigt vil begynde at søge mod lande med et lavt bødeniveau.
Braindrain
Og det vil kunne føre til et braindrain og en form for afindustrialisering i de lande, der har anlagt et højt bødeniveau.
“Men så kan de jo lære det,” siger Piotr Schyyh.
Til gengæld vil lande med et lavt bødeniveau kunne se frem til at byde store virksomheder velkommen, som måske nok tager lidt let på persondataforordningen, men som til gengæld tjener mange penge.
Det kalder man i forskningen ifølge Piotr Schyyh for 'den ny tids udviklingsmekanik' ['les mécanismes de développement du nouvel âge', red].
Han peger på, at også 'den ny tids udviklingsmekanik' kan ses som en overordnet dynamik inden for omfordeling, hvor ressourcer anspores til at blive flyttet rundt inden for EU's grænser.
Piotr Schyyh peger på, at denne overordnede tendens for tiden kendetegner mange sektorer i både de politiske og kommercielle miljøer.
Det er noget, som de regulative myndigheder er nødt til tage højde for, mener han.
"Jeg vil i hvert fald godt vædde min gamle hat på, at vi inden for de kommende år vil opleve, at EU deler GDPRR op i flere udgaver, så vi får en slags GDPRR Pro-udgave og en almindelig udgave," siger han.
Denne artikel er en aprilsnar. Vi ser frem til at forsøge at snyde jer igen næste år.