‘Ekspert: Den er god nok - men det er ikke super pragmatisk’ 
Interview l 17.05.2018

Ekspert: Den er god nok - men det er ikke super pragmatisk

A
Aktuelt
Interview l 17.05.2018
2 min
Ekspert i GDPR forordningen og partner i Advokatfirmaet Gorrissen Federspiel Tue Goldschmieding, rådgiver og underviser større virksomheder i persondatareglerne. Han har set på de krav, der nu bliver stillet til RUC's medarbejdere og kommer med en forklaring på tolkningen af de nye regler.

Skrevet af

Hvorfor kommer der nye regler?

»De her regler er slet ikke så nye. Selve princippet er ikke nyt. Men der er mere fokus på dem og større konsekvenser. I mange år har ingen overholdt reglerne. Det nye er, at de nu bliver overholdt.«

Er det en rigid overfortolkning af reglerne?

»Så længe de tjener et klart formål, kan man beholde sine emails. Det handler om at undgå at akkumulere de her enorme mængder data. Så det, de gør her, er det, der står, at man skal. Principielt følger det reglerne. Det med de 30 dage, ved jeg ikke, hvor kommer fra. Men umiddelbart forekommer det at være en frist, man selv har sat. Men problemet er de (RUC) ikke alene med. Alle de her regler kan fungere fint, hvis man har struktureret data, hvor man kan slå op og slette. Men med ustruktureret data som emails er det enormt svær. Der findes meget få værktøjer. Strategien i sig selv er derfor ikke ualmindelig – det vil man også gøre forskellige andre steder. Det handler mere om, at graden af pragmatisme ikke er så stor. Nogle virksomheder tager en mere pragmatisk tilgang. Eksempelvis ved fremadrettet at bede ansatte rette ind. Grundlæggende gælder reglerne dog både for eksisterende og fremtidige oplysninger Men det er nok lettere i det private.«

Hvad vil konsekvenserne være, hvis der sker brud på reglerne?

»Der er ingen, der ved, hvad der præcist kommer til at ske. Men det er en strengere håndhævelse. Det minder om konkurrenceretsreglerne, der skulle forhindre karteldannelse. De førte til ændringer i adfærd. I forhold til persondata har den største bøde, som er givet for brud på dataloven været på 25.000 kr. Så det var jo noget helt andet end de potentielle millionbøder, der kan komme nu. Store konsekvenser betyder, at der er flere, der tager det alvorligt.«

Hvordan vil overtrædelser blive opdaget?

»I Danmark er det datatilsynet, der skal holde opsyn. Så de kan jo komme på besøg og bede om at få adgang til opbevaring af data.«

Kan en enkelt medarbejder blive stillet til ansvar?

»Det vil være organisation, der bliver holdt ansvarlig. Det er nemlig den, der har ansvaret for data.«

Kan jeg ikke bare gemme de mails, jeg måske får brug for?

»Der skal være et legitimt formål. Det kan for eksempel være, at man gemmer noget til efter en klagefrist er overskredet. Men det er ikke sådan, at man kan gemme alting i 20 år, hvis der potentielt skulle komme en sag. Men kan ikke bruge en klausul efter et behov, der eventuelt måtte opstå. Der skal være et eksplicit formål. Det er akkumulation af data, man er ude efter.«