Datatilsynets praksis vækker undren: Behandler gamle sager efter nye regler

12 kommentarer.  Hop til debatten
Datatilsynets praksis vækker undren: Behandler gamle sager efter nye regler
Illustration: Henning Mølsted.
Klager til Datatilsynet, der er indsendt, før GDPR trådte i kraft, behandles alligevel efter de nye regler.
Reportage27. november 2018 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Selv om den europæiske databeskyttelsesforordning (GDPR) først trådte i kraft i slutningen af maj i år, bliver alle klager til det danske datatilsyn i dag afgjort efter de nye regler – også klager, der er indsendt før da.

Det oplyser Datatilsynet til Version2. Oplysningen falder, efter redaktionen har modtaget en afgørelse på en klagesag, der faldt i torsdags.

Klagen blev indsendt til tilsynet den 2. maj – altså tre uger før, GDPR trådte i kraft – og handlede om en overtrædelse, der fandt sted i oktober 2017.

I forlængelse af afgørelsen har vi derfor spurgt tilsynet, hvorfor sagen var behandlet efter de nye regler.

Artiklen fortsætter efter annoncen

»Datatilsynet kan i den forbindelse oplyse, at det ikke fremgår af databeskyttelsesloven, at klager til Datatilsynet, der er indkommet inden en given dato, skal færdigbehandles efter de hidtil gældende regler. Datatilsynet skal derfor behandle alle sager efter de nugældende regler, dvs. databeskyttelsesforordningen og databeskyttelsesloven,« hedder det i en mail fra Datatilsynet.

Svaret undrer Fisketorvet, som Version2's journalist havde klaget over. Her har man endnu ikke fået klarhed over, hvorvidt centret havde ret til at afvise anmodningen på daværende tidspunkt.

»Vi har noteret os Datatilsynets afgørelse, som vi tager til efterretning. Vi står fortsat undrende over for, at tilsynet tager udgangspunkt i et regelsæt, som ikke var gældende på tidspunktet for vores behandling af oplysningerne. Fremadrettet følger vi naturligvis de regler, som nu er gældende, og vi har taget de nødvendige skridt, for at dette er muligt,« skriver centerchef Casper Didriksen Von Der Ahé i en mail til Version2.

»Skeler« til gamle regler

Tilsynet oplyser i et brev til Fisketorvet efter afgørelsen, at man imidlertid stadig skeler til de gamle regler i den daværende persondatalov. Præcis hvordan nye og gamle regler vejes i forhold til hinanden, oplyser tilsynet dog ikke.

»Datatilsynet gør opmærksom på, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Denne afgørelse er derfor truffet efter de nye regler. Datatilsynet har i den forbindelse imidlertid skelet til de regler, der gjaldt på tidspunktet for Fisketorvets behandling af personoplysninger og til, hvad tilsynets reaktion ville have været efter disse regler,« hedder det i et brev fra Datatilsynet til Fisketorvet.

Dokumentation

Herunder de to breve, Datatilsynet har sendt til Version2 vedr. afgørelsen på klagesagen. (Tilføjet den 28/11)

12 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
28. november 2018 kl. 09:14

Ja rigtigt . Det er lodret i strid med dansk lovgivning at anvende regler på forhold der ligger forud for en lov's ikrafttræden.

11
27. november 2018 kl. 17:21

Tak for svar, Mogens Ritsholm.

Banarepubliktilstande...

10
27. november 2018 kl. 17:06

Jeg husker svagt, at vi vist engang med vilje ændrede nogle klageadgange uden overgangsregler for at "viske tavlen ren" og undgå dobbelt administration.

Men her er det næppe gjort med vilje. For så kommer man vel i strid med bagvedliggende EU-regler. Og det er min mistanke, at det også er årsagen til de lidt forkrampede forklaringer. Det havde jo været lettere bare at konstatere, at grundlaget for at administrere gamle regler er bortfaldet med lovens ophævelse. Men så får man måske en EU-sag i hovedet.

Selve det forhold, at man kommer med så dårlige forklaringer, peger måske også i retning af, at manglende overgangsregler ikke er en bevidst handling - men snarere en tanketorsk.

Men det er også ren spekulation fra min side.

9
27. november 2018 kl. 16:48

Tak for svar, Mogens Ritsholm.

Så man kan måske ligefrem mistænke, at man fra politisk side har set sit snit til at slippe en del formastelige virksomheder og myndigheder af krogen?

7
27. november 2018 kl. 16:18

Når regler er ophævet, så er de væk inkl. de tidligere reglers straffebestemmelser. Og nye regler kan ikke virke med bagudvirkende kraft.

Jeg ved ikke, om jeg misforstår det - men i mine øjne forekommer det mærkeligt, hvis det skal forstås på den måde, at såfremt man udsættes for en "datakrænkelse" dagen før en ny lov træder i kraft, men man ikke når at få indsendt en anmeldelse før et par dage efter - så er det desværre bare ærgerligt, for så er overtrædelsen blevet straffri i mellemtiden?

6
27. november 2018 kl. 15:57

et hurtigt kig på loven viser følgende i § 46:

"§ 46. Loven træder i kraft den 25. maj 2018.

Stk. 2. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, ophæves. "

Der er herefter overgangsbestemmelser for tilladelser udstedt efter den gamle lov. Men alle andre aspekter af den gamle lov er tydeligt ophævet uden overgangsbestemmelser.

Så jeg kan ikke få øje på Datatilsynets hjemmel i dansk lov til at behandle gamle sager forud for 25. maj 2018.

5
27. november 2018 kl. 14:52

Hvorfor det, der er ikke lavet nye regler, det er bare kommet andre bøde størelser. Så sager skal vel behandles ens.
Der skal bare ikke gives børder for sager inden de trådte i kraft.

Jeg kender ikke sagen i detaljer, men reagerer på artiklens beskrivelse af datatilsynets udtalelser. Og der er noget helt galt, når de ikke henviser til hjemmel i en overgangsbestemmelse.

Når regler er ophævet, så er de væk inkl. de tidligere reglers straffebestemmelser. Og nye regler kan ikke virke med bagudvirkende kraft.

Derfor ryger alt før regelændringen ud, med mindre der er en overgangsbestemmelse. Og så er det fuldstændig ligegyldigt, at dele af reglerne i realiteten er uændret.

Sådan er det under det danske retssystem. Og sådan har jeg selv forvaltet det i myndighedsrolle.

Om der så er et direkte virkende retsgrundlag under GDPR, ved jeg ikke. Men i så fald er det jo det, som datatilsynet må henvise til.

Vi kan jo ikke have, at gamle sager i princippet kan blive behandlet og straffet efter nye regler begrundet i tilsynets judgement, hvorved resultatet i realiteten kommer til at afhænge af tilsynets behandlingstid.

Så enten er den helt gal med tilsynets forvaltning eller også er deres forklaring ufuldstændig.

3
27. november 2018 kl. 11:55

Ufatteligt at journalisten ikke ved bedre ... men ja reglerne tråde i kraft i 2016.

At datatilsynet ikke har styr på sagerne undrer mig knap så meget :)

2
27. november 2018 kl. 10:46

Når der ved en lovændring eller regelændring ikke er lavet overgangsregler kan myndigheden ikke opfinde egne overgangsregler.

Alle gamle sager må bortfalde og klagere opfordres til eventuelt at fremsætte klagen igen.

Det hjælper end ikke, at et regelelement er uændret. For den tidligere regel er jo ophævet forud for iværksættelsen af de nye regler.

Det lyder endu mere mærkeligt, at man skeler til gamle regler. Man kan skele til praksis udviklet under gamle regler, men ikke de tidligere regler i sig selv.

Hvis det forholder sig som beskrevet i artiklen bør nogen gå til domstolene.

For det vil skabe en kedelig præcedens, hvis datatilsynets ageren accepteres.

Og det kan jeg slet ikke forestille mig, at en domstol vil gøre.

1
27. november 2018 kl. 09:48

GDPR trådte sådan set i kraft i maj 2016, 20 dage efter at den var vedtaget. Reglerne blev offentliggjort i 2012. Men i 2018 blev bøderne "harmoniseret".

Pointen var at reglerne ikke skulle træde i kraft fra en dag til en anden. Men som andre love skal de overhåldes, så snart de er vedtaget og offentliggjorte. Hvis de overtrådte loven imellem 2016 og 2018, så var straffen altså den samme som før 2016. Hvilket vil sige løftet pege pegefinger ifølge dansk lov. I perioden mellem 2016 og 2018 har Datatilsynet valgt at oplyse om hvilken straf de ville have anbefalet efter 2018, så virksomheder kunne vide hvor mange penge de skal lægge til side, hvis de ikke ønsker at overholde reglerne.