Datatilsynets direktør efter kritik: »Jeg måler ikke GDPR-succes på antallet af bøder«

11 kommentarer.  Hop til debatten
Datatilsynets direktør efter kritik: »Jeg måler ikke GDPR-succes på antallet af bøder«
Illustration: Rasmus Meisler.
I mere end tre år har truslen om klækkelige GDPR-bøder hængt tungt over både det offentlige og det private erhvervsliv. Herhjemme er indtil videre en sag endt ved domstolene, og flere er på vej. Der er dog endnu ikke endeligt uddelt så meget som én eneste bøde. Alligevel frygter direktør for Datatilsynet, Cristina Angela Gulisano, ikke, at bødetørken fjerner fokus fra arbejdet med compliance.
17. september 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der var lagt op til den første alvorlige millionlussing, da Retten i Aarhus den 12. februar i år skulle tage stilling til, om møbelkæden ILVA skulle idømmes danmarkshistoriens første GDPR-bøde.

Datatilsynet havde indstillet ILVA til en bøde på halvanden million kroner for at have gemt et kundekartotek med 350.000 kunders oplysninger, men retten fandt kun grundlag for en bøde på 100.000 kroner. En bøde som anklagemyndigheden kort tid efter valgte at anke til landsretten.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
11 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
11
20. september 2021 kl. 10:39

En politimand som måler om billister kører for stærk - kan vel ikke tillade sig af at sige som fru Gulisano (udskift selv fartbegrænsning med GDPR);

"Jeg måler ikke succesen af GDPR på antallet af bøder. Jeg måler succesen på efterlevelsen af GDPR"

Men for politimanden – er bøder jo ikke det eneste værktøj i ”værktøjskassen” og sådan er det også med GDPR.

Det virker ikke rimeligt at ”hele værktøjskassen” ikke bliver brugt i de grove eksempler som dukker op.

Det som bare er tankevækkende, er at der har været en række rigtigt grove GDPR-sager, som ikke giver bøder.

På en eller anden virker det forkert at det som i ”trafikken” svarer til dødskørsel i GDPR-sammenhæng straffemæssigt fastsættes til en ”løftet pegefinger” og at fru Gulisano virker stolt af det!

10
20. september 2021 kl. 08:07

"Jeg måler ikke succesen af GDPR på antallet af bøder. Jeg måler succesen på efterlevelsen af GDPR"

Uden at tage bestik af situationen i øvrigt, så har man i amerikansk udenrigspolitik et princip om at "establish credibility". Eller på jævnt dansk, at give nogle smæk, når det glemmes hvem der bestemmer.

Fru Gulisanos succeskriterie er sundt, men hvis hun ikke vil bruge stokken undervejs, er det ligegyldig. Hvis regler ikke håndhæves, sygner de bort.

9
18. september 2021 kl. 22:45

Men sådan er det jo med dansk politik i disse år. Agendaen bestemmer hvor de moralske værdier ligger, ikke omvendt.

"Målet helliger midlet"[1] har vist været moralen siden engang i slut-1900-tallet for mange partier. Og slagordene om fællesskab, frihed, lighed, velfærd og tryghed virker i dag lettere antikvarisk - plat og populistisk valgflæsk for datidens stemmekvæg.

8
18. september 2021 kl. 18:19

Cristina bliver næppe populær hos sin chef (Justitsminister Nick Hækkerup) ved at forpurre regeringens øvrige politik.

Bingo.

Jeg tror Enhedslisten og Frie Grønne er de eneste der har en bare nogenlunde idé om at borgere skal være frie...?

Men derudover er hendes udtalelse om:

"Jeg håber så sandelig, at virksomhederne passer godt på deres kunders oplysninger, eller at det offentlige på borgernes oplysninger, fordi det er et ideelt og et ædelt formål i sig selv."

godt nok svært at sluge.

Når man som almindeligt menneske mistænkeliggøres udover alle grænser, uanset hvad fanden man laver og hvor ædle ens intentioner er, så virker det katastrofalt hyklerisk at man håber på at virksomheder (som jo alle er sat i verden med ædle formål, skal man huske) sådan af etisk pligt sikrer deres kunder på fornuftig vis.

Men sådan er det jo med dansk politik i disse år. Agendaen bestemmer hvor de moralske værdier ligger, ikke omvendt.

7
18. september 2021 kl. 11:27

at give en bøde til Region Hovedstaden giver ingen mening

Og dog. I det offentlige er der også "aktionærer", nemlig os allesammen, repræsenteret via folkevalgte. Hvis en sygehusdirektør skal til at bede om flere penge (eller skære ned på operationer) på grund af en bøde, så skal aktionærerne nok også tage sig af det.

Datasikkerhed koster penge. Hvis det er gratis at droppe den, bruger man pengene på noget andet. Sådan er det både i det private og i det offentlige.

Ligesom det private, skal vi have det offentlige til at afsætte penge til datasikkerhed i budgetttet inden skaden sker. Bøder er ikke målet i sig selv, men de skal gøre, at det er billigere at passe på data end at lade være.

Det virker også i det offentlige.

6
18. september 2021 kl. 09:40

Det giver fin mening at udstede bøder til Ilva og Taxaselskaber. Bliver bøderne for mange og for store, tager aktionærerne sig af det videre forløb.

Men at give en bøde til Region Hovedstaden giver ingen mening. Pengene kan kun tages fra sygehuse eller lønninger. Hvis en Region får underskud, kan den selvfølgelig søge staten om flere penge. Fx de penge som staten har fået ind i bødekassen. "cirkulær økonomi" eller hvad man nu skal kalde det.

5
17. september 2021 kl. 14:10

Man mangler den politiske opbakning.

Det tror jeg du har ret i. Vores politikere lægger jo ikke skjul på at de prioriterer fremmede magters interesser langt højere end danske borgeres rettigheder eller ønsker.

Jeg ville nu alligevel ønske at Gulisano viste lederevner og, hvis man vil undskylde mig udtrykket, udviste mandsmod nok til at gøre sit arbejde ordentligt.

4
17. september 2021 kl. 13:36

Mangler man teknisk viden i Datatilsynet?

Man mangler den politiske opbakning.

Cristina bliver næppe populær hos sin chef (Justitsminister Nick Hækkerup) ved at forpurre regeringens øvrige politik.

Hvor mange politiske partier mener overhovedet, at borgernes privatliv bør vægtes højere end erhvervslivets og statens økonomiske interesser?

3
17. september 2021 kl. 10:00

"Jeg håber så sandelig, at virksomhederne passer godt på deres kunders oplysninger, eller at det offentlige på borgernes oplysninger, fordi det er et ideelt og et ædelt formål i sig selv."

Det er jo præcis det som Gulisano burde præcisere for virksomheder og myndigheder.

Istedet har Datatilsynet unders hendes kommando, i seks år set stiltiende til, mens personoplysninger er fosset ud til amerikanske myndigheder, under brugen af Microsoft365, Google G-suite og Amazon AWS (og mange flere).

Jeg tror ikke på at Gulisano og hendes folk for alvor tror på at Safe Harbor og Privacy Shield stoppede dataoverførslerne. (Så ville de da være de eneste)

Og hvorfor siger Datatilsynet ikke lige ud til det offentlige og private Danmark, at man ikke kan bruge amerikanske firmaer til persondatabehandling? Det fremgår jo tydeligt af EU Domstolen (Schrems-2), selvom det jo ikke burde være nødvendigt at vente på en dom.

Mangler man teknisk viden i Datatilsynet?

2
17. september 2021 kl. 08:41

Jeg må korrigere mig selv. Der ser ikke mere ud til at gemme sig skjulte aktiverede cookies, når man trykker "Påkrævede" i JP's cookiesamtykke, sådan som der gjorde for et stykke tid siden. Det er da afgjort et fremskridt, tak JP.

Om "Påkrævede" generelt er blevet omdefineret tila t betyde "Nødvendige" (som det logisk burde betyde), eller om det bare er JP, der er kommet til fornuft - det vil jeg holde øje med den kommende tid.

Men der er under alle omstændigheder masser af lignende eksempler på bevidst uigennemskuelige "samtykker".

1
17. september 2021 kl. 08:12

"...men i ligeså høj grad kontrollen med, at virksomheder og institutioner i det offentlige overholder reglerne. »Jeg måler ikke succesen af GDPR på antallet af bøder. Jeg måler succesen på efterlevelsen af GDPR. Det er det ultimative succeskriterium,« siger hun.""

Og hvordan går det så? At dømme efter den energi mange hjemmesider/virksomheder lægger i at lave cookie-bokse, som er så uigennemskuelige som overhovdet muligt - formålet er helt tydeligt at gøre det stort set umuligt for gæsten at sige "Nej"til alle unødvendige cookies - så er virksomhederne ikke særligt bange for Datatilsynet. Ikke på det område, i det mindste.

Her er Datatilsynets vejledning på området:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/feb/ny-quickguide-til-brugen-af-cookies

Datatilsynets helt (bevidst) utilstrækkelige forståelse af cookie-problemet, fremgår her:"Noget af det som gør at reglerne er komplekse for hjemmesideejere er, at der er flere forskellige regelsæt som regulerer området. De forskellige regelsæts krav samles nu for første gang i denne Quickguide, og dermed bliver det lettere for hjemmesideejere at efterleve cookiereglerne."

WRONG! Det er ikke spor komplekst at undgå, at virksomheder spekulerer i at narre gæsterne på hjemmesiden. For e-privacy-direktivet siger - i Datatilsynets udlægning - klart, at:

"Efter ePrivacy-direktivet skal brugerens samtykke indhentes, før der må sættes cookies. I det omfang der også sker behandling af personoplysninger ud over de oplysninger, der gemmes i cookies, eller der i øvrigt efterfølgende behandles personoplysninger, skal der også gives samtykkes hertil i henhold til persondataforordningen. Principielt set er der derfor tale om to forskellige samtykker. Der gælder de samme kriterier for begge samtykker: Samtykket skal være frit, specifikt, informeret og udgøre en utvetydig viljestilkendegivelse. "https://www.datatilsynet.dk/Media/E/7/Quickguide.pdf

Så det burde være meget enkelt: Lav en knap, der siger "Nej til alle unødvendige cookies". Og den skal være stor og tydelig, og ikke konkurrere med "snydeknapper" i mere øjenfaldende farver, og med kryptiske formuleringer. Hvis brugeren så aktivt ligefrem ønsker at blive afluret, så kan man i et hjørne sætte et lille, kedeligt menupunkt, som hedder "Redigering af cookie-indstillinger", eller noget i den stil. I virkeligheden burde man slet ikke behøve at sige "Nej" til cookies - det burde være "Nej" i udgangspunktet.

Ud fra de angivne kriterier er f.eks. JP's cookieboks for mig at se klart ulovlig, for den et helt uigennemskuelig (disclaimer: Jeg er ikke jurist - bare forarget borger) - og det ser den nærmest ud til bevidst at være konstrueret til at være:https://jyllands-posten.dk/

Den burde i mine øjne (men åbenbart ikke i Datatilsynets) retsforfølges.

Og den slags er særdeles udbredt.

Så hvorfor har Datatilsynet travlt med at bilde både sig selv, os andre og erhvervslivet ind, at det er "komplekst" at overholde ePrivacy-direktivet? De burde i stedet være i fuld gang med at jagte overtrædelserne, og uddele klækkelige bøder, for overtrædelserne er i min bedste overbevisning meget ofte helt bevidste - de skyldes ikke uvidenhed, men beregning.