Er GDPR urimeligt byrdefuld for foreninger, startups og SMV’er?

Tirsdag 9. februar var der 1. behandling af et beslutningsforslag i Folketinget, som har overskriften »Forslag til folketingsbeslutning om at undtage mindre foreninger fra hvidvaskningsregler og persondataforordningen«.

I dette indlæg ser vi på sidstnævnte, nemlig muligheden for at undtage foreninger (og lignende små aktører) fra databeskyttelseskravene, og vi ser særligt på den begrundelse, som forslagsstillerne kommer med i bemærkningerne til lovforslaget:

»Det er ikke hensigtsmæssigt, hvis Danmark grundlæggende stiller de samme krav til behandling af persondata til en lille badmintonklub som til en stor virksomhed eller offentlig myndighed. Det tyder på overimplementering[…].«

Det er langt fra første gang, at budskabet om Danmarks »overimplementering« fremsættes. Flere politikere har fremsat dette budskab, herunder Venstres IT-ordfører Christoffer Melson i et interview med Finans.dk d. 21.10.2019 og DF’s Dennis Flydtkjær i et spørgsmål til Justitsministeren d. 13.12.2019.

Derudover iværksatte Justitsministeriet i foråret 2020 en evaluering af databeskyttelsesreglerne, hvor en af målsætningerne er at afdække: »Generelle muligheder for at begrænse databeskyttelsesforordningens anvendelse på mindre aktører, herunder frivillige foreninger.« Mange brancheorganisationer har i deres høringssvar om den nationale evaluering betonet samme målsætning.

Der er nok ikke mange, som er uenige i det grundlæggende ønske om at undgå unødigt bøvl for mindre organisationer, men vi ønsker med dette indlæg at belyse nogle af de forudsætninger, som de mange forslag om lempelser synes at være baseret på: Har Danmark egentlig overimplementeret? Er databeskyttelsesforordningen (GDPR) urimeligt byrdefuld for foreninger og SMV’er? Og hvad er egentlig muligt at gøre for at hjælpe mindre organisationer med at efterleve de til tider komplekse regler?

Har Danmark overimplementeret?

Det korte svar er »Nej!« GDPR er et fælles EU-regelsæt, der i udgangspunktet indeholder samme krav i alle EU-lande. Der er dog visse steder i forordningen åbnet for, at de enkelte lande kan fravige udgangspunktet i forordningen, og det er ingen hemmelighed, at det danske Justitsministerium i forbindelse med vedtagelsen af den danske databeskyttelseslov havde fokus på at lempe reglerne alle de steder, hvor det var muligt.

På overskriftsniveau kan nævnes følgende ikke-udtømmende eksempler på »lempelser« i de danske regler:

• Enhver form for journalistisk behandling er i udgangspunktet undtaget fra GDPR og underlagt mere lempelige regler andre steder.
• Lovhjemmel til at resortministre kan udstede bekendtgørelser, som muliggør mere vidtgående »genbrug« af personoplysninger til nye formål, end GDPR ellers lægger op til.
• Danmark har valgt at fravige GDPR’s aldersgrænse for, hvornår behandling af oplysninger om børn kræver samtykke fra forældrene (DK har sat grænsen til 13 år fremfor 16 år).
• Udvidelser af forordningens såkaldte »behandlingsgrundlag«, herunder i relation til behandling af følsomme oplysninger samt muligheden for at ansatte kan give samtykke.
• Omfattende undtagelser til de rettigheder GDPR ellers som udgangspunkt tildeler registrerede personer.

Er GDPR urimeligt byrdefuld for små organisationer?

Det korte svar må her være: »Måske, men i så fald er det i vidt omfang en midlertidig udfordring.«

Der er ingen tvivl om, at GDPR er et komplekst regelsæt, og at mange, herunder særligt små organisationer, har behov for vejledning for at forstå reglerne. Der er heller ingen tvivl om, at Datatilsynet indtil nu ikke har været gode nok til at give den konkrete vejledning og klare svar, som foreninger og SMV’er har efterspurgt – hvilket tilsynet da også har fået kritik for af Rigsrevisionen.

Vi vender tilbage til forklaringen på den mangelfulde vejledning, men først er det relevant at aflive endnu en myte: Kravene i GDPR er ikke voldsomt meget mere byrdefulde, end de regler vi i Danmark havde i forvejen – det var bare de færreste, der havde skænket de gamle regler en tanke. Dette er da også en af forklaringerne på, at vi f.eks. ikke har set samme ramaskrig over GDPR i et land som Tyskland, idet man her i vidt omfang efterlevede de gamle regler, og  »kulturchokket«, der kom i kølvandet på GDPR’s ikrafttræden, var derfor langt mindre.

Hertil kommer, at der faktisk er indbygget proportionalitet i en del af kravene i GDPR i form af den »risikobaserede tilgang« som mange regler tager udgangspunkt i. Det betyder f.eks., at selvom både Mærsk og den lokale badmintonklub er underlagt et krav om »tilstrækkelig sikkerhed« og »ansvarlighed«, så er kravene i praksis naturligvis vidt forskellige i de to scenarier.

Endelig synes en stor del af den offentlige debat at være baseret på en frygt for, at Datatilsynet vil komme buldrende med bøder i millionklassen, hvis blot en kasserer i en skakklub er kommet til at sende en mail forkert. Praksis fra Datatilsynet viser dog et ganske andet billede, idet lige præcis 0 foreninger og små virksomheder indtil nu er blevet indstillet til bøder af tilsynet.

Hvad kan vi så gøre for at hjælpe de små organisationer?

Til sidst kan man så spørge, hvad vi kan gøre for – trods alt – at gøre livet lidt lettere for mindre organisationer.

Vender vi tilbage til beslutningsforslaget i Folketinget, så kommer det nok ikke til at føre nogen vegne i relation til GDPR: Som Allan Frank fra Datatilsynet også allerede har været ude at sige i en artikel i Version2 d. 18. december 2020, så er GDPR et EU-regelsæt, der ikke bare kan ændres af det danske folketing. På længere sigt kan en lempelse af GDPR godt komme på tale, i hvert fald ift. små frivillige foreninger, hvilket Europa-Parlamentet da også har foreslået ifm. den parallelle evaluering i EU. I mellemtiden må vi dog finde andre løsninger.

Det er også værd at bemærke, at der allerede er blevet vedtaget en række skridt, som alle netop har til formål at hjælpe med at gøre reglerne lettere at overholde. Dette skete, da Justitsministeriet i efteråret 2020 besvarede 13 forslag fra »Erhvervslivets EU og regelforum«, og besvarelsen indeholder også en tidsplan, der viser, at de nye tiltag vil blive implementeret i løbet af de kommende 18 måneder.

Man har fra EU’s side desuden indsat udtrykkelige bestemmelser specifikt med det sigte at gøre efterlevelse af reglerne lettere. Et eksempel herpå er artikel 40 om muligheden for at vedtage et såkaldt »adfærdskodeks«, som netop har til formål at omsætte GDPR’s meget generelle krav (som skal dække alt fra Københavns Kommune til den lokale slagter) til nogle mere konkrete krav målrettet bestemte sektorer eller typer af organisationer.

Så vidt vides er der pt. kun én dansk brancheforening/sektor, der har taget dette initiativ og indsendt et adfærdskodeks til godkendelse hos Datatilsynet (et adfærdskodeks for behandling af personoplysninger i kirker). Der synes således at være et stort uudnyttet potentiale for at simplificere andre sektorer, men det kræver at man på brancheniveau tager initiativet hertil.

Sidst men ikke mindst er det værd at gentage et budskab, som er blevet fremsat rigtig mange gange, men indtil videre uden at føre nogen vegne: Vi har i Danmark et af de mindste Datatilsyn i hele EU, og hvor andre lande i disse år tilfører yderligere ressourcer, har man fra dansk side valgt at skære i Datatilsynets ressourcer i de kommende år!

Eftersom Datatilsynet har en række lovbundne opgaver, herunder håndtering af de mange tusinder indberetninger og klager, der kommer ind hvert eneste år, så efterlader de nuværende afsatte midler meget lidt plads til udarbejdelse af vejledninger, skabeloner, tjeklister, telefonisk rådgivning, arrangementer, dialog med brancher og sektorer, forhåndsvurderinger, »regulatorisk sandkasse« til nye innovative løsninger og lignende tiltag, som ellers alt sammen er noget, der er blevet efterspurgt i forbindelse med den igangværende evalueringsproces.

Når man så samtidig ønsker, at Danmark skal fastholde sin position som et af verdens mest digitaliserede lande, så går regnestykket simpelthen bare ikke op!