Hvert år afholder Justitsministeriet, Erhvervsstyrelsen og Datatilsynet en databeskyttelsesdag, for at skabe opmærksomhed omkring databeskyttelse. Det at skabe opmærksomhed har dog ikke være nødvendigt dette år, da der i kraft af den nye forordning, er et kæmpe fokus på databeskyttelse, hvilket også blev tydeliggjort af det fulde fremmøde.

Justitsministeren startede dagen med sin åbningstale, hvori det blev understreget, at regeringen også prioriterer databeskyttelse.

 

Datatilsynet om status på arbejdet

Direktør Cristina Angela Gulisano fortalte, at der i øjeblikket er 90 projekter i gang hos Datatilsynet, nogle omkring de nye opgaver som følger af forordningen, som fx brud på persondatasikkerheden, certificering og konsekvensanalyse, andre omkring de nye organisatoriske udfordringer. Derudover blev der lagt fokus på, hvad vi kan vente os fra Datatilsynet i de kommende måneder. I februar regner Datatilsynet med, at der både kommer skabeloner til databehandleraftaler og delt dataansvar, samt en ny tilsynsstrategi, der fik sit eget oplæg. Derudover vil de sidste 7 vejledninger blive offentliggjort og der vil komme en ny og nemmere hjemmeside.

Erhvervsstyrelsen oplæg fokuserede på, hvilke fordele der er ved Databeskyttelsesforordningen, herunder særligt at man skal se databeskyttelse og dataetik som et konkurrenceparameter, og at det er en sund øvelse for virksomheder at ”rydde op” i alt deres data.

Gennem hele databeskyttelsesdagen var der både oplæg fra virksomheder og Københavns kommune, der fortalte om deres praktiske implementering af Databeskyttelsesforordningen.

Fremtidsforskere og fake news

Selvom der var meget fokus på Databeskyttelsesforordningen til databeskyttelsesdagen, var der dog også et par oplæg som fokuserede på nogle lidt bredere emner med andre problematikker. Heriblandt var fremtidsforsker Liselotte Lyngsø, der fremsatte forslaget om at alle udover deres nuværende profession også burde være fremtidsforskere, og Vincent F. Hendricks, der fortalte om fake news, og om hvordan mere information ikke nødvendigvis gør os klogere. Disse oplæg fungerede som gode opbrud i den ellers til tider lidt tunge Databeskyttelsesforordning debat.

Nuværende og kommende tilsynstrategi fra Datatilsynet

Datatilsynet holdt endnu et oplæg omkring deres nuværende og kommende tilsynsstrategi. Normalt laves der ca. 60-80 tilsyn om året, selvom der dog kun blev lavet ca. 40 i 2017 på grund af al forberedelsesarbejdet med forordningen. Normalt varsler Datatilsynet tre uger før, de har tænkt sig at komme på besøg, og allerede i løbet af de 3 uger ses der forandring. Lige pludselig kommer der anmeldelser ind, der måske lige var blevet glemt, og der bliver ringet ind med en masse spørgsmål. Målet med tilsynet er ikke at straffe og hænge myndigheder og virksomheder ud, men derimod at skabe en dialog.

Datatilsynet udvælger normalt nogle tilsynsemner, som de vil fokusere på, steder hvor de ved, at der er udfordringer som fx databehandleraftaler, men det forekommer også, at der kommer henvendelser fra medarbejdere, der fortæller om, hvor slemt det står til i virksomheden med fx håndtering af data.

De nuværende konsekvenser af et tilsyn er, at Datatilsynet kommer med en udtalelse på deres hjemmeside, der lige så meget skal tjene som hjælp for andre virksomheder og myndigheder, der har de samme problemer. Selvom Datatilsynet godt kan politianmelde nu, er dette dog ikke praksis.

Konsekvenserne ved tilsyn ændrer sig dog ved forordningens ikrafttræden, da Kommissionen lægger op til at alle overtrædelser sanktioners. Dette betyder dog ikke kun bøder, da Datatilsynet også vil have mulighed for at komme med forbud og påbud.

Lige nu arbejdes der mellem de forskellige tilsyn om at finde et passende bødeniveau, da der på nuværende tidspunkt er meget store forskelle på hvad bødeniveauet er i de forskellige lande.

Den nye tilsynsstrategi kommer til februar, og kommer nok ikke til at være meget anderledes end den der er nu, så der vil stadig ske tilsyn både gennem oplysningsindsamling og ved egentlige tilsyn. Noget nyt er dog, at der af andre udenlandske tilsyn kan kræves fælles tilsyn, hvor udenlandske tilsyn kan bede Datatilsynet om at tage på tilsyn hos en bestemt virksomhed eller myndighed, nogle gange også med repræsentanter fra det andet tilsyn.