Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud

Illustration: bigstock
Der er nu gået en måned, siden GDPR trådte i kraft og siden da er data-skeletterne væltet ud af skabet. Men hvor bliver de frygtede bøder af? Hverken politi eller Datatilsyn kan sige, hvornår den første dom falder - men den er på vej.

Når der endnu ikke er blevet langet store og små GDPR-bøder ud skyldes det, at der er en lang, juridisk vej fra anmeldelse af for eksempel et alvorligt datalæk til en bøde, fortæller Peter Knudsen, der er en af fire kontorchefer hos Datatilsynet.

»Der er mange der i sager om brud på persondatasikkerheden spørger os, hvor grænsen går, før der gives bøder og hvor store de er, men siden der ikke har været nogle afsluttede sager endnu er det svært for os at sige, siger Peter Knudsen.

Læs også: Jurist: Tvivlsomt om Facebook kan redde sideadministratorer med opdaterede vilkår

»Vi har allerede en del sager liggende. Nogle af dem er meget slemme, andre er ret banale,« siger Peter Knudsen, der er overbevist om, at nogle af de større sager vil blive sendt videre til politiet og dermed potentielt kan ende med bøder.

Men vejen fra anmeldelse til bøde er lang.

1: Visitering

Først og fremmest visiterer en medarbejder hos Datatilsynet anmeldelsen. Er der overhovedet tale om en forseelse, og er den i så fald i den slemme eller mindre slemme ende?

2: Overblik over sagens detaljer

Hvis der ér sket en forseelse og et brud med enten GDPR eller Databeskyttelsesloven, ja så går Datatilsynet i gang med at få et overblik over, hvad der præcis er blevet lækket, hvor mange der er blevet berørt. Har virksomheden gjort, hvad den kunne for at undgå eller afværge forseelsen?

Læs også: Yousee lækker 10.000 hemmelige numre og adresser på offentlig søgemaskine

Overblikket skabes i samarbejde og dialog med den organisation eller virksomhed, der har overtrådt reglerne eller mistet data, og denne del i sig selv kan godt tage flere måneder, fortæller Peter Knudsen.

3: Vurdering af alvorlighed

Herefter skal Datatilsynet endeligt vurdere, om der er tale om en forseelse, der er så kritisabel, at der bør gives en bøde, eller om der kun skal udtales kritik.

»I forhold til fastsættelsen af bødestørrelsen, så står der jo i GDPR, at bøden skal være 'effektiv, afskrækkende og stå i rimeligt forhold til overtrædelsen'. Men derudover er det en vurderingssag,« fortæller Peter Knudsen, der giver udtryk for, at det er svært at fastslå bødestørrelser, uden at have præcedens at gå ud fra.

Læs også: KL’s pinlige datalæk skyldes stort ukrypteret datasæt

Altså uden at der ligger sager, der er afsluttet og som man kan sammenligne med.

4: Sendes videre til politiet

Men Datatilsynet må give et bud, som de sammen med en politianmeldelse og en beskrivelse af forseelsen sender til den politikreds, der er mest relevant. Er det en virksomhed i Kolding, der har lækket en masse data, sendes anmeldelsen for eksempel til Sydøstjyllands politi.

Hvis politikredsen får behov for at få et overblik over andre verserende sager, eller har brug for juridisk bistand, kan de som en del af deres sagsbehandling hive fat i politiets databeskyttelses-enhed.

»Vi er en form for videnscenter for databeskyttelsesretlige spørgsmål, som de enkelte politikredse generelt kan trække på. Også på dette område,« lyder det fra chefen for Rigspolitiets Databeskyttelsesenhed, Christian Wiese Svanberg, som fortsætter;

»De skal ikke bruge os, men vi står til rådighed. Det er dog altid den enkelte politikreds, der beslutter, om nogen skal sigtes eller tiltales. Vi fungerer også som kontaktpunkt i forhold til Datatilsynet, hvis tilsynet for eksempel vil have hjælp fra National Cybercrime Center (NC3), som en del af tilsynets egen efterforskning, bevissikring og så videre.«

Han fortæller, helt i tråd med Datatilsynet, at Politiet endnu ikke har modtaget nogle anmeldelser.

5: Politiet samler beviser

Nu går anden runde af detektivarbejdet i gang. Hvis en virksomhed ikke har været samarbejdsvillig i forhold til at hjælpe Datatilsynet med at finde ud af, hvad der er op og ned med forseelsen, så må Rigspolitiet ‘fremskaffe oplysningerne med de metoder, de har til rådighed’, som Peter Knudsen udtrykker det.

Læs også: Datatilsynet til virksomheder på Facebook: I skal indgå aftale om fælles dataansvar

Hvis forseelsen skyldes et decideret hack, kan NC3 hjælpe de enkelte politikredse med at beslaglægge servere og på anden vis snuse rundt i de digitale spor.

6: Sigtelse og retssag

Derefter vurderer politiet, om der skal rejses sigtelse, og selvom det i sidste ende er op til politiet alene, skal det tillægge Datatilsynets vurdering en del vægt, fortæller Christian Wiese Svanberg.

Læs også: GDPR: Industrigigant forbyder 240.000 ansatte at bruge Whatsapp og Snapchat

Hvis politiet ender med at rejse sigtelse, indgår sagen i rettens bunke af sager, der skal prioriteres. Som ved mange andre sager kan der gå månederne, inden denne del af processen alene ender med rettergang og en afgørelse.

Og denne afgørelse kan efterfølgende ankes.

Der vil komme danske GDPR-retssager

»Der er jo pludselig et helt nyt retsgrundlag med et helt anderledes niveau for bødestørrelser, og derfor er der brug for at få nogle sager gennem systemet for at se, hvad niveauet er rent bødemæssigt, men også for at se, hvor længe det tager for en sag at komme fra A til Z, fortæller Peter Knudsen fra Datatilsynet.

Både han og Christian Wiese Svanberg er overbevist om, at vi kommer til at se sigtelser mod danske virksomheder, myndigheder og organisationer, men de bøde-ivrige kan meget vel blive skuffet.

»Vi kommer til at se sigtelser og bøder. Men det bliver nok ikke i det ekstreme omfang, som man får indtryk af at nogen parter tror,« vurderer Christian Wiese Svanberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Tak for granskningen og opfølgningen Version2. Som forventet kommer der ikke fra Datatilsynet og Polituet nogle nævneværdige reaktioner. I bedste fald vil der gå måneder eller år før vi ser bare spæde tiltag til reaktioner eller bøder.
Specielt forventes ingen bøder eller sanktioner til de offentlige institutioner, der ikke overholder reglernerne. Snarere vil man forsøge at finde private, der kan pumpes for penge,
Desværre er Dataltisynet blevet det vi alle frygtede - en overflødig papirtiger - uden tænder - der skal anmode politiet om at føre sager, de ingen forstand har på. De forudsigelige fik ret - ingen hjælp og ingen koneskvens. GDPR = Flop og tidspilde, men mange penge til advokaterne og de instanser, der forudsagde at GDPR ville få konsekvenser og beskyttelse af privat livets fred- kun non sense!

  • 5
  • 3
Finn Christensen

5: Politiet samler beviser
Nu går anden runde af detektivarbejdet i gang. Hvis en virksomhed ikke har været samarbejdsvillig..
...Hvis forseelsen skyldes et decideret hack...
2: Overblik over sagens detalje
..skabes i samarbejde og dialog med den organisation eller virksomhed, der har overtrådt reglerne eller mistet data, og denne del i sig selv kan godt tage flere måneder...

Halleluja.. sådan blev Grande Dino Plejer Røverne = GDRP.

Alt (igen suk) for lidt, alt for sent ude og selvfølgeligt derfor alt for dyrt.

Vedr. pkt 2 og 5: Med den hastighed og effektivitet, som beviser kan "blive pist væk" eller kan forvanskes med på tryk på tastaturet (de kære maskiner <rem/move/copy/delete . + ENTER>), så skal ovennævnt amatøragtige drømmeproces i en lille process-pusher-brain ændres radikalt til:

Tænk på de mail, som hos politiet mfl. "blev væk" og så sør'm findes år efter i "backups" etc.
Lær for pokker af historien om virkeligheden derude, og gentag den venligst ikke tosserierne.
(Hint.. selv en helt almindelig it-mand ved, at både backup og log'en.. lige kan "trimmes til").

1: Vurdering af alvorlighed
2: Politiet samler beviser
3:.. nu er mest muligt materiale + beviser sikret,
og de kære jurister, djøf'er og andre godtfolk starter
her deres vanemæssige papirkrig, som de kan på rygmarven..

Ak ja, nogle banditter vil så trække tiden ifm. at at anmelde sager, men så kender man jo årsagen og skal derfor sikre materialet med eksprestempo, ellers er alle belastende spor jo pist væk.

Hastighed er en nær ukendt og sjældent brugt del i enhver offentlig administration. De kære mennesker er jo vant til at både bogstaver samt ord er tålmodige og trofast venter på at blive brugt ;)

At hele it-sektoren og deres materialet har næsten en modsat opførsel; * hastigt som lyset og konstant foranderligt..* lige det har kontrollagene hos staten endnu ikke fatte ret meget af.

  • 2
  • 0
Per Jeppesen

"Som forventet kommer der ikke fra Datatilsynet og Polituet nogle nævneværdige reaktioner. I bedste fald vil der gå måneder eller år før vi ser bare spæde tiltag til reaktioner eller bøder"

Målet med GDPR er ikke bøder eller beskæftigelsesterapi hos myndighederne. Der er flere ting i Foleys opstød jeg ikke kan kende eller tage seriøst, og jeg synes ikke kritikken er konstruktiv.

Jeg sidder selv med en måneds praktisk erfaring i GDPR, og har positive erfaringer med både lovgivning og Datatilsyn. Når Version2 mener "data-skeletterne vælter ud af skabet", så tænker jeg snarere, at vi er blevet bevidste om vores databehandling, og de processer der skal sikre data. I hvertfald i min virksomhed. Var det ikke dét der var tanken med GDPR?

Dialogen med Datatilsynet er startet - nu er der så en dialog, hvilket er et fremskridt. Vi skal nemlig finde et rimeligt leje for GDPR, en praksis som ikke bygges på en måned, og som ikke skabes gennem brok.

  • 2
  • 4
John Foley

Forhold dig realiteter og virkeligheden og den kendsgerning, at vi ikke indenfor en overskuelig fremtid får nogen reaktion fra hverken Politiet eller Datatilsynet. Det er såmænd bare budskabet som Version2 og jeg fremhæver og gør opmærksom på. Det er ikke brok, det er kendsgerninger. Skriv igen når du har en reaktion fra de to instanser, som skal sørge for at GDPR overholdes.

  • 2
  • 1
Per Jeppesen

Det skulle gerne fremgå af mit indlæg, at jeg rent faktisk befinder mig i virkeligheden, og arbejder praktisk og konstruktivt med GDPR. Det er ikke den stemme du har brug for, kan jeg forstå. Det er ikke de kendsgerninger der passer narrativet, antager jeg.

Jeg rapporterer iøvrigt hverken til dig eller medierne når jeg hører fra myndighederne. Hvor mange gør mon det?

  • 0
  • 1
John Foley

I modsætning til dig fortæller jeg gerne, når der er nyt fra myndighederne, herunder fra Politiet og Datatilsynet. Men tro mig, der vil gå tid - lang tid inden vi hører noget som helst fra dem. Procedurerne med tilsyn og evt. efterfølgende proces er rent Kafka. Har i øvrigt netop læst at Datatilsynet begynder sit virke med at holde en længere sommerferie inden man tager fat på opgaverne.

  • 1
  • 0
John Foley

Som på de fleste andre arbejdspaldser kan man godt tilrettelægge arbejdet på en måde, så de vigtigste opgaverne bliver løst alligevel.Så der er ikke tale om at Datatilsynets medarbejder skal have deres ferie inddraget. Mange opgaver kan sagtens varetages selv i en ferieperiode. Mig bekendt er der ikke indført total ferielukning hos myndighederne.

  • 0
  • 0
Claus Jørgensen

Når Version2 mener "data-skeletterne vælter ud af skabet", så tænker jeg snarere, at vi er blevet bevidste om vores databehandling, og de processer der skal sikre data. I hvertfald i min virksomhed. Var det ikke dét der var tanken med GDPR?


100% enig.

Et eksempel der har været oppe i medierne var Yousee’s bøvs med 10.000 hemmelige telefonnumre.

Her har Yousee ikke bare informeret de 10.000 ejere af telefonnumrene, men også dem (eller i hvert fald nogle af dem) der bruger nogle de services som Yousee stillere professionelt til rådighed. Disse har så informeret deres kunder.

I vores tilfælde får vi vasket navn/adresser og evt. tilføjet telefonnummer hos et bureau der hedder Bisnode. Bisnode bruger Yousee’s service, har selvfølgelig en databehandleraftale og er informeret. Vi får så info fra Bisnode i hht. databehandleraftalen med os, og vi har kunnet tage de relevante skridt mht. data.

Det var aldrig sket i gamle dage.

Det er tydeligt at ret mange debattører baserer deres kommentarer på et meget lavt kundskabsniveau til de forskellige aspekter i GDPR, samtidig med at de åbenbart ingen praktisk erfaring har med det.

/Claus

  • 2
  • 1
Per Jeppesen

"I modsætning til dig fortæller jeg gerne, når der er nyt fra myndighederne"

Ahh, nu strammer du squ retorikken til det uanstændige. Forestiller du dig, at DPO'er skal sidde og dele deres sager i medierne?

Jeg håber du fangede, at dialogen med myndighederne er i fuld gang. Hvis ikke du selv har haft den, er det enten fordi du ikke arbejder med GDPR, eller fordi du ikke har haft brud eller klagesager.

  • 0
  • 1
Log ind eller Opret konto for at kommentere