Jeg har i bilag 4 til L68 konstateret nogle væsentlig fejl, som jeg hermed gerne vil gøre opmærksom på:
FEJL 1:
======
På side 2 står der følgende: "Forordningen stiller større krav til virksomheder og myndigheder ift. til at
dokumentere deres overholdelse af forordningen. Kravet gælder dog ikke for virksomheder med under 250
ansatte."
Dette er absolut ikke korrekt, idet lempelsen for virksomheder under 250 ansatte eksplicit kun gælder for et
enkelt af forordningens mange dokumentationskrav, nemlig den såkaldte "behandlingsfortegnelse".
Alle øvrige dokumentationskrav vil derimod skulle overholdes af alle virksomheder (selv
enmandsvirksomheder) og myndigheder, idet der i forordningen er lagt op til "omvendt bevisbyrde" med
indledende formodning om skyld. Det er således virksomheden/myndigheden, som skal kunne
bevise
(hvilket kræver at man kan
dokumentere
dette), at den fuldt ud har implementeret den fornødne sikkerhed.
Dokumentationen vil blandt meget andet f.eks. skulle omfatte detaljerede og specifikke risikovurderinger for
alle behandlingstyper og dertil relaterede tekniske it-anvendelser. Datatilsynet og Artikel 29-gruppen har her
ved deres hidtidige praksis og guidelines indikeret, at der er høje krav til omfanget og dybden af sådanne
risikovurderingers tekniske detaljeringsgrad. I praksis vil dette og de øvrige dokumentationskrav være en
stor byrde særligt for mindre virksomheder, som ikke har personale, som kan skabe en sådan omfattende
dokumentation.
I øvrigt er alle eksperter på området enige om, at virksomheder under 250 medarbejdere i praksis også vil
være nødt til at udarbejde den såkaldte "behandlingsfortegnelse", som de ellers eksplicit er fritaget for i
forordningens tekst. For har man ikke en sådan fortegnelse, vil det i praksis ikke være muligt at overholde de
øvrige dokumentations- og sikkerhedskrav, som alle relaterer sig til de faktiske behandlinger. Så alle vil
alligevel være tvunget til at opnå et overblik over deres behandlinger - og at kunne dokumentere dette
- hvilket i praksis være en behandlingsfortegnelse. Så fritagelsen er i praksis ikke meget (om overhovedet
noget) værd for mindre virksomheder.
FEJL 2:
======
På side 3 står der følgende: "Bødeniveauet er fastsat op til 10 mio. Euro eller op til 2 pct. af virksomhedens
globale, årlige omsætning, afhængig af overtrædelsens art."
Dette er ikke korrekt. Således er der i forordningen fastsat to bøderammer, hvoraf den nævnte bøderamme
"kun" er den lave bøderamme. Der er således også en højere bøderamme til mere alvorlige forseelser, hvor
bødeniveauet er det dobbelte, altså op til 20 mio. Euro eller op til 4 pct. af virksomhedens globale, årlige
omsætning.
Hvis der kun nævnes en bøderamme vil det være rigtigst at nævne den høje bøderamme.
I forlængelse heraf står der på side 9, at virksomheder, som ikke lever op til forordningens krav, vil kunne
komme af med en bøde på 70 millioner kroner. Jf. ovenstående burde det nok nærmere have været 150
millioner kroner (med den typiske kronekurs overfor Euro).
Jeg håber, at det vil være muligt herved at få kommunikeret disse væsentlige fejl til retsudvalgets
medlemmer, så disse får et mere korrekt grundlag at behandle loven på.
De bedste hilsner,
N.N.