Datatilsynets praksis vækker undren: Behandler gamle sager efter nye regler

Illustration: Henning Mølsted
Klager til Datatilsynet, der er indsendt, før GDPR trådte i kraft, behandles alligevel efter de nye regler.

Selv om den europæiske databeskyttelsesforordning (GDPR) først trådte i kraft i slutningen af maj i år, bliver alle klager til det danske datatilsyn i dag afgjort efter de nye regler – også klager, der er indsendt før da.

Det oplyser Datatilsynet til Version2. Oplysningen falder, efter redaktionen har modtaget en afgørelse på en klagesag, der faldt i torsdags.

Læs også: Datatilsynet: Ringe video-evner ugyldigt argument for ikke at udlevere overvågningsklip

Klagen blev indsendt til tilsynet den 2. maj – altså tre uger før, GDPR trådte i kraft – og handlede om en overtrædelse, der fandt sted i oktober 2017.

I forlængelse af afgørelsen har vi derfor spurgt tilsynet, hvorfor sagen var behandlet efter de nye regler.

»Datatilsynet kan i den forbindelse oplyse, at det ikke fremgår af databeskyttelsesloven, at klager til Datatilsynet, der er indkommet inden en given dato, skal færdigbehandles efter de hidtil gældende regler. Datatilsynet skal derfor behandle alle sager efter de nugældende regler, dvs. databeskyttelsesforordningen og databeskyttelsesloven,« hedder det i en mail fra Datatilsynet.

Læs også: GDPR: Autentifikation af kamera-overvågede borgere volder problemer

Svaret undrer Fisketorvet, som Version2's journalist havde klaget over. Her har man endnu ikke fået klarhed over, hvorvidt centret havde ret til at afvise anmodningen på daværende tidspunkt.

»Vi har noteret os Datatilsynets afgørelse, som vi tager til efterretning. Vi står fortsat undrende over for, at tilsynet tager udgangspunkt i et regelsæt, som ikke var gældende på tidspunktet for vores behandling af oplysningerne. Fremadrettet følger vi naturligvis de regler, som nu er gældende, og vi har taget de nødvendige skridt, for at dette er muligt,« skriver centerchef Casper Didriksen Von Der Ahé i en mail til Version2.

Læs også: Borgerindsigt er en bombe under dansk videoovervågning

»Skeler« til gamle regler

Tilsynet oplyser i et brev til Fisketorvet efter afgørelsen, at man imidlertid stadig skeler til de gamle regler i den daværende persondatalov. Præcis hvordan nye og gamle regler vejes i forhold til hinanden, oplyser tilsynet dog ikke.

»Datatilsynet gør opmærksom på, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Denne afgørelse er derfor truffet efter de nye regler. Datatilsynet har i den forbindelse imidlertid skelet til de regler, der gjaldt på tidspunktet for Fisketorvets behandling af personoplysninger og til, hvad tilsynets reaktion ville have været efter disse regler,« hedder det i et brev fra Datatilsynet til Fisketorvet.

Dokumentation

Herunder de to breve, Datatilsynet har sendt til Version2 vedr. afgørelsen på klagesagen. (Tilføjet den 28/11)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Joe Sørensen

GDPR trådte sådan set i kraft i maj 2016, 20 dage efter at den var vedtaget.
Reglerne blev offentliggjort i 2012.
Men i 2018 blev bøderne "harmoniseret".

Pointen var at reglerne ikke skulle træde i kraft fra en dag til en anden. Men som andre love skal de overhåldes, så snart de er vedtaget og offentliggjorte. Hvis de overtrådte loven imellem 2016 og 2018, så var straffen altså den samme som før 2016. Hvilket vil sige løftet pege pegefinger ifølge dansk lov. I perioden mellem 2016 og 2018 har Datatilsynet valgt at oplyse om hvilken straf de ville have anbefalet efter 2018, så virksomheder kunne vide hvor mange penge de skal lægge til side, hvis de ikke ønsker at overholde reglerne.

Mogens Ritsholm

Når der ved en lovændring eller regelændring ikke er lavet overgangsregler kan myndigheden ikke opfinde egne overgangsregler.

Alle gamle sager må bortfalde og klagere opfordres til eventuelt at fremsætte klagen igen.

Det hjælper end ikke, at et regelelement er uændret. For den tidligere regel er jo ophævet forud for iværksættelsen af de nye regler.

Det lyder endu mere mærkeligt, at man skeler til gamle regler. Man kan skele til praksis udviklet under gamle regler, men ikke de tidligere regler i sig selv.

Hvis det forholder sig som beskrevet i artiklen bør nogen gå til domstolene.

For det vil skabe en kedelig præcedens, hvis datatilsynets ageren accepteres.

Og det kan jeg slet ikke forestille mig, at en domstol vil gøre.

Hans Nielsen

Alle gamle sager må bortfalde og klagere opfordres til eventuelt at fremsætte klagen igen.


Hvorfor det, der er ikke lavet nye regler, det er bare kommet andre bøde størelser. Så sager skal vel behandles ens.
Der skal bare ikke gives børder for sager inden de trådte i kraft.

  • Hvis man fordobler strafen for bandemedlemer, skal man så lukke alle ud af fængsel som er dømt efter de gamle regler ?
Mogens Ritsholm

Hvorfor det, der er ikke lavet nye regler, det er bare kommet andre bøde størelser. Så sager skal vel behandles ens.
Der skal bare ikke gives børder for sager inden de trådte i kraft.

Jeg kender ikke sagen i detaljer, men reagerer på artiklens beskrivelse af datatilsynets udtalelser. Og der er noget helt galt, når de ikke henviser til hjemmel i en overgangsbestemmelse.

Når regler er ophævet, så er de væk inkl. de tidligere reglers straffebestemmelser. Og nye regler kan ikke virke med bagudvirkende kraft.

Derfor ryger alt før regelændringen ud, med mindre der er en overgangsbestemmelse. Og så er det fuldstændig ligegyldigt, at dele af reglerne i realiteten er uændret.

Sådan er det under det danske retssystem. Og sådan har jeg selv forvaltet det i myndighedsrolle.

Om der så er et direkte virkende retsgrundlag under GDPR, ved jeg ikke. Men i så fald er det jo det, som datatilsynet må henvise til.

Vi kan jo ikke have, at gamle sager i princippet kan blive behandlet og straffet efter nye regler begrundet i tilsynets judgement, hvorved resultatet i realiteten kommer til at afhænge af tilsynets behandlingstid.

Så enten er den helt gal med tilsynets forvaltning eller også er deres forklaring ufuldstændig.

Mogens Ritsholm

et hurtigt kig på loven viser følgende i § 46:

"§ 46. Loven træder i kraft den 25. maj 2018.

Stk. 2. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, ophæves. "

Der er herefter overgangsbestemmelser for tilladelser udstedt efter den gamle lov. Men alle andre aspekter af den gamle lov er tydeligt ophævet uden overgangsbestemmelser.

Så jeg kan ikke få øje på Datatilsynets hjemmel i dansk lov til at behandle gamle sager forud for 25. maj 2018.

Anne-Marie Krogsbøll

Når regler er ophævet, så er de væk inkl. de tidligere reglers straffebestemmelser. Og nye regler kan ikke virke med bagudvirkende kraft.


Jeg ved ikke, om jeg misforstår det - men i mine øjne forekommer det mærkeligt, hvis det skal forstås på den måde, at såfremt man udsættes for en "datakrænkelse" dagen før en ny lov træder i kraft, men man ikke når at få indsendt en anmeldelse før et par dage efter - så er det desværre bare ærgerligt, for så er overtrædelsen blevet straffri i mellemtiden?

Mogens Ritsholm
Mogens Ritsholm

Jeg husker svagt, at vi vist engang med vilje ændrede nogle klageadgange uden overgangsregler for at "viske tavlen ren" og undgå dobbelt administration.

Men her er det næppe gjort med vilje. For så kommer man vel i strid med bagvedliggende EU-regler. Og det er min mistanke, at det også er årsagen til de lidt forkrampede forklaringer. Det havde jo været lettere bare at konstatere, at grundlaget for at administrere gamle regler er bortfaldet med lovens ophævelse. Men så får man måske en EU-sag i hovedet.

Selve det forhold, at man kommer med så dårlige forklaringer, peger måske også i retning af, at manglende overgangsregler ikke er en bevidst handling - men snarere en tanketorsk.

Men det er også ren spekulation fra min side.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize