Forsker kritiserer danske GDPR-bøder: »Jeg synes, det er påfaldende, hvor lavt de ligger«

22 kommentarer.  Hop til debatten
Forsker kritiserer danske GDPR-bøder: »Jeg synes, det er påfaldende, hvor lavt de ligger«
Illustration: gar1984/Bigstock.
Den samlede bødesum for danske GDPR-bøder er lav i forhold til andre EU-lande. Det kan skyldes dansk bødekultur, mener lektor.
22. oktober 2020 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Nogle gange er det nødvendigt med en bødeindstilling for at få virksomheder eller myndigheder til at overholde GDPR, og den sanktion har Datatilsynet gjort brug af otte gange siden forordningen trådte i kraft d. 25. maj 2018.

Men den samlede bødesum på 563.150 euro - eller omkring 4,2 millioner kroner - er meget lav i EU-sammenhæng, fortæller Ayo Næsborg-Andersen, lektor i persondataret ved Syddansk Universitet:

»I EU-sammenhæng er de ikke særlig store, de her bøder,« fortæller hun og tilføjer:

»Jeg synes, det er påfaldende, hvor lavt de ligger.«

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
22 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
25. oktober 2020 kl. 11:40

Jeg tror ikke du har læst hvad jeg skriver. Jeg mener netop at de danske bøder er for lave og bør være større, ligesom i de andre EU lande vi normalt sammenligner os med. Personligt har jeg ikke noget i klemme , men konstaterer at der i forbindelse med forordningens vedtagelse blev oprettet et organ, der har til opgave at harmonisere bøders og sanktioners størrelse. Det arbejde fungerer ikke. Specielt og slet ikke fordi Danmark er blandt de lande, der give de mindste bøder og sanktionerer mindst. Endvidere er det ikke muligt for Datatilsynet selv, i modsætning til andre EU lande, at udstede bøder, det hele skal først igennem politiet og derefter videre til domstolene, og det er en forsinkelsesproces der vil noget, og som de formastelige nok er godt tilfredse med.

19
25. oktober 2020 kl. 10:32

Enig, men der intet til hinder for at vi justerer og harmoniserer bødernes og sanktionernes størrelse, så de kommer på linie med de andre EU land. Danmrk ligger helt i bund i en sammenligning.

Så må jeg jo spørge om du kun mener der skal harmoniseres fordi du mener det her er vigtigt for dig og derfor mener de danske bøder er for lave.

  • Ville du bryde dig om at dit lands bøder skulle sættes ned for at harmonisere?
  • Ville du bryde dig om lavere miljø standarder for at harmonisere?
  • Ville du bryde dig om dårligere sociale ydelser for at harmonisere?

EU består altså af 27 forskellige lande med 27 forskellige måder at gøre ting på. Hvad der er nødvendigt i Sydeuropa kan være dårligt i Skandinavien og omvendt.

18
25. oktober 2020 kl. 07:17

Enig, men der intet til hinder for at vi justerer og harmoniserer bødernes og sanktionernes størrelse, så de kommer på linie med de andre EU land. Danmrk ligger helt i bund i en sammenligning. Årsagen til at der er oprettet et EU organ, hvor EU landenes Datatilsynsdirektører møde en gang om måneden, er netop etableret for at kunne harmonisere sanktionerne, så der ikke er for stor forskel på disse landene imellem. Desværre er resulaterne begrænset indtil nu og man kan med rette spørge om pengene til disse møder er givet godt nok ud. Det er sikkert interessante og hyggelige møder der gennemføres, men som sagt er resultatet indtil nu mindre end godt.

17
23. oktober 2020 kl. 18:43

Jeg tror, at det er svært at sige, om sagen med Banedanmark ville være faldet anderledes ud i dag, idet retspraksis fra det daværende direktiv i stor stil videreføres i dag under GDPR. Under det tidligere direktiv var det kun økonomisk skade, som var erstatningspådragende, men GDPR har også åbnet op for "ikke-materiel" skade skal være omfattet.

Det ved man ikke helt, hvad betyder, og der kører pt. en sag i England, hvor man har bedt EU Domstolen tage stilling til, hvilke slags immaterielle skader, man mener skal være erstatningspådragende.

I praksis er det derfor ikke GDPR, men stadig de enkelte landes retspraksisser, som pt. definerer, hvor stor en bevisbyrde der kræves for at kunne give erstatning pba. immateriel skade. Der har været nogle sager i Tyskland efter GDPR blev indført, og i ingen af sagerne er der tildelt erstatning for immateriel skade. I Østrig har der været én sag, hvor en borger fik erstatning, men det var også et meget systematisk og alvorligt misbrug.

Så jeg må desværre tvivle oprigtigt på, at sagen med Banedanmark var faldet anderledes ud i dag, for dokumentationskravene for at kunne opnå erstatning har ikke ændret sig synderligt.

16
23. oktober 2020 kl. 13:27

Du antyder, at de berørte medarbejdere havde fået erstatning, hvis bare BaneDanmark havde fået en stor bøde.

Jeg er ked af hvis det er sådan du læser det. Jeg mener tværtimod at BaneDanmark havde tænkts sig rigtigt godt om før de brød Persondataloven, hvis bøden havde været på 1 million eller mere.

Nej, hvor har du det fra? Jeg siger blot, det giver rigtig god mening, at man skal kunne dokumentere et tab, før man bliver berettiget til erstatning. Den enes lovovertrædelse skal ikke automatisk blive den andens gevinst.

Igen er vi ikke enige, jeg mener at det vil være mere rimeligt at forulemperen skal bevise deres overtrædelse, ikke nu og aldrig fremover vil påvirke skadelidte. Derudover tænker jeg ikke på gevinst, men frihed! Frihed fra nysgerrige blikke der ikke har noget at gøre med andres data.

Tror du (sådan helt oprigtigt) at Facebook og Google ved mindre om dig nu, end de gjorde før GDPR? Til gengæld får du som forbruger lov til at betale for en masse bureaukrati, fordi alle virksomheder rundt omkring er bange for at få store bøder og derfor er nødt til at bruge store summer på juristeri.

Nej, men er det en grund til ikke at gøre noget? Frihed er ikke gratis.

Der er mange fine elementer i GDPR, men lad nu være med at drage den alt for simple konklusion, at højere bøder er løsningen på alle problemer.

Og netop dér er vi uenige! Jeg synes du drager de forhastede slutninger og kaster håndklædet i ringen uden kamp.

15
23. oktober 2020 kl. 10:09

@Yoel Som jeg læser dommen og din kommentar: Er der intet i vejen med at firmaer, tilgår personoplysninger de ikke har brug for, hvadenten man overholder Persondataloven eller ej. Hvorfor så have den lov?

Du antyder, at de berørte medarbejdere havde fået erstatning, hvis bare BaneDanmark havde fået en stor bøde.

Men det er jo ikke sådan, det hænger sammen - en eventuel bøde ville have været en sag mellem staten og BaneDanmark og har ikke noget med en eventuel erstatning til de berørte medarbejdere at gøre.

Og her konkluderer domstolen (sådan lidt forsimplet) at de berørte medarbejdere var blevet fyret under alle omstændigheder, fordi de ikke mødte op og passede deres job, og at det var BaneDanmarks ret at gøre dette.

Yderligere mener du ikke det er et problem at firmaer bryder loven, så længe det kan ikke kan bevises, det har økonomiske konsekvenser for skadelidte?

Nej, hvor har du det fra? Jeg siger blot, det giver rigtig god mening, at man skal kunne dokumentere et tab, før man bliver berettiget til erstatning. Den enes lovovertrædelse skal ikke automatisk blive den andens gevinst.

Af samme årsag, mener jeg GDPR er den eneste garant for personlig frihed, når det gælder vores data.

Tror du (sådan helt oprigtigt) at Facebook og Google ved mindre om dig nu, end de gjorde før GDPR? Til gengæld får du som forbruger lov til at betale for en masse bureaukrati, fordi alle virksomheder rundt omkring er bange for at få store bøder og derfor er nødt til at bruge store summer på juristeri.

Der er mange fine elementer i GDPR, men lad nu være med at drage den alt for simple konklusion, at højere bøder er løsningen på alle problemer.

14
23. oktober 2020 kl. 08:11

@Yoel Som jeg læser dommen og din kommentar: Er der intet i vejen med at firmaer, tilgår personoplysninger de ikke har brug for, hvadenten man overholder Persondataloven eller ej. Hvorfor så have den lov?

Yderligere mener du ikke det er et problem at firmaer bryder loven, så længe det kan ikke kan bevises, det har økonomiske konsekvenser for skadelidte?

Af samme årsag, mener jeg GDPR er den eneste garant for personlig frihed, når det gælder vores data.

12
22. oktober 2020 kl. 17:06

BaneDanmar BLEV kendt skyldige i ulovlig omgang med disse personers data, men da de ikke kunne påvises at det havde haft konsekvenser for de forurettede - udover de blev fyret - fik de ikke erstatning.

Hvilket er et helt igennem sundt princip. Hvis man med retsvæsenets mellemkomst kan få erstatning for tab, man ikke har lidt, får vi amerikanske tilstande, hvor man sagsøger til højre og venstre i håb om en hurtig gevinst.

Det fremgår direkte af dommen, du linker til:

Det må desuden lægges til grund, at den omstridte praksis, og Banedanmarks håndtering af oplysningerne, ikke har påvirket den materielle rigtighed af de tre personalesagers udfald.

Så BaneDanmark var i deres gode ret til at fyre de pågældende personer, uagtet om persondataloven i øvrigt var overholdt eller ej. Hvorfor skulle det være anderledes i dag end i 2015?

11
22. oktober 2020 kl. 13:59

Næh, dér er jeg ikke enig.

Jeg foretrækker at se GDPR som en revision baseret på erfaringerne gennem 20 år med Persondataloven.

Der var latterligt små bøder - jeg har været med til møder hvor vi fravalgte at følge Persondataloven, fordi det var en bedre forretning at lade være. De firmaer ER lukket i dag.

Der var ingen respekt for personfølsomme data:https://www.selskabsadvokaterne.dk/domme/landsretten-tjenestemaend-blev-ikke-tilkendt-godtgoerelse/

BaneDanmar BLEV kendt skyldige i ulovlig omgang med disse personers data, men da de ikke kunne påvises at det havde haft konsekvenser for de forurettede - udover de blev fyret - fik de ikke erstatning.

Derudover skulle de forurettede betale sagens omkostninger.

Denne dom vil BaneDanmark bløde for, hvis den kom for retten i dag og de skulle betale sagens omkostninger! Det gjorde de ikke fordi den kom for retten i 2015.

Som jeg ser det: GDPR er godt for borgerne

10
22. oktober 2020 kl. 12:16

Hvilke hindringer? Politiet udsteder bøder uden bevis, arbejdstilsynet og fødevarestyrelse udsteder bøder etc.

9
22. oktober 2020 kl. 12:13

En grund til den danske bødekultur kunne være at danskere generelt er gode til at overholde loven, i forhold til andre lande.

  • Laver man en EU regel, så er Danmark generelt først til at overholde den.
  • Vi har lav korruption i Danmark.
  • Bliver der lavet en regel, så efterkommer hele systemet den.
  • Forargelsen i offentligheden er stor når nogle ikke overholder reglerne.
  • Frygten for Datatilsynet er stor selvom de ikke har mange ressourcer.
8
22. oktober 2020 kl. 11:55

Det er jo en EU-forordning, og det er mit klare indtryk, at man i EU generelt er ganske godt tilfreds med GDPR, og at man ikke finder anledning til ændringer. Den evaluering har man vist netop været igennem.

I Danmark taler man for øjeblikket meget om, at man skal evaluere GDPR og lave ændringer. Men det er ikke en dansk lov, så det kan vi ikke. I Danmark kunne vi derimod tildele Datatilsynet flere midler, hvis vi fx synes, at der er brug for mere information. Det har vi så valgt ikke at gøre i den nye finanslov. Men ændre forordningen kan vi ikke.

7
22. oktober 2020 kl. 11:49

Vi har begge ret, for vi taler om forskellige ting: Som du siger, vil Datatilsynet med tiden kunne tildele administrative bøder inden for grundlovens rammer, når domstolene først har lavet en domspraksis for en bestemt type overtrædelser. Men hver gang der kommer en ny type situationer, skal domstolene ind over igen, indtil der foreligger en ny domspraksis. Så Datatilsynet vil i Danmark aldrig få frie tøjler som i de fleste andre EU-lande. Det har selvfølgelig en kæmpe betydning for Datatilsynets arbejde, og det skaber og vil generelt skabe en langsommelighed. Det er det jeg siger.

6
22. oktober 2020 kl. 11:18

GDPR trænger til en kraftig revision baseret på de erfaringer man har. Før denne revision er foretaget bør man anvende et forsigtigheds princip og derfor er det fornuftigt med lave bøder.

5
22. oktober 2020 kl. 09:44

Det ville være skønt, men det ville fordre en grundlovsændring at nå dertil

Nej, det vil det ikke. Man bruger det fx i forbindelse med fødevarekontrol, men der er tale om et bødeforlæg (en administrativ bøde). Betaler man bøden, er sagen afsluttet, og hvis man ikke gør, så bliver sagen givet videre til politiet, og så er det grundlovens bestemmelser er gældende.

3
22. oktober 2020 kl. 08:34

Det ville være skønt, men det ville fordre en grundlovsændring at nå dertil, og Danmark har næppe heller nogen reel interesse heri.

Tværtimod kan man få det indtryk, at det erhvervspolitisk snarere betragtes som værende helt fint, hvis tyngden i det danske bødesystem og underbemandingen af Datatilsynet medfører, at der i sidste ende kommer meget færre bøder til virksomheder i Danmark. Derved kan Danmark i ly af grundloven udvikle sig til et privacy-mæssigt “safe haven”, som udenlandske datagrise kan føle sig tiltrukket af - a la at virksomheder bevidst spekulerer i at flytte deres EU hovedkvarter til Danmark, fordi risikoen for store GDPR-bøder her er lav i forhold til andre lande.

En sådan politik vil stille og roligt øge skattegrundlaget herhjemme, så det er da en seriøs fristelse for enhver finansminister: Færre udgifter til Datatilsynet samtidig med, at der kommer flere skatteindtægter. Det er næsten et Kinderæg!

Den samme strategi kan man få indtryk af er den reelle politiske dagsorden bag det irske datatilsyn, som ligeledes udsultes, og som tilsyneladende bruger en betragtelig del af tiden på at lægge sager an mod privacy-aktivister som Max Schrems frem for at sagsbehandle internationale tech-giganters åbenlyse GDPR-overtrædelser. Sådan kan man jo misforstå sin rolle og ende med at beskytte krænkerne og gå efter ofrene i stedet. Gad vide hvornår der mon kommer en privacy-mæssig variant af #MeToo bevægelsen?

Skal der sikres en ensartet sanktionspolitik på tværs af EU og et tilstrækkeligt magtfuldt tilsynsorgan, tror jeg snarere, at opgaven må fjernes fra nationalstaterne og gøres til en føderal instans, som styres og finansieres direkte af EU kommissionen. Men det vil nok også kræve en grundlovsændring i Danmark, så sandsynligheden herfor er formentlig meget lille.

Jeg forestiller mig, at medarbejderne i Datatilsynet må være dybt frustrerede over altid at blive beskåret og holdt nede af deres politiske “masters”. Men skiftende danske regeringer har altid stræbt efter at fjerne/stække vagthundens tandsæt, så det er der ikke noget nyt i.

Måske har Ayo Næsborg-Andersen derfor lidt ret i, at tilsynet muligvis fra tid til anden glemmer, at man faktisk godt kan bide igen. Der udtales i hvertfald til rigtig meget “kritik” og “alvorlig kritik” i sager, hvor der er sket endog store overtrædelser, hvor man kan undre sig over, at der ikke oftere sanktioneres med bøder i stedet. Særligt i forhold til andre offentlige myndigheder lader der til at være stor langmodighed...

2
22. oktober 2020 kl. 08:24

Sjovt at det offentlige ikke bliver nævnt med ét ord. Så vidt jeg ved er der ikke skrevet ét eneste bødeforlæg til en offentlig myndighed, hvilket jeg ser som endnu mere påfaldende en at bøderne måske er mindre i Danmark.

1
22. oktober 2020 kl. 07:26

Det bliver først bedre, når Datatilsynet selv, ligesom i de andre EU lande, får lov til at udstede bøder. At sagerne først skal til politiet og derefter de danske domstole (begge instanser har nok at se til i forvejen), er jo kun forsinkede led. Hvilket også dokumenteres af, at der endnu ikke, efter så mange år, er faldet en eneste afgørelse ved danske domstole for manglende overholdelse af GDPR loven. Endvidere er det beærkelsesværdigt og tankevækkende, at man i EU's Databeskyttelsesråd endnu ikke har kunne aftale en bedre harmonisering af sanktionerne og bødestrørrelserne, når man tænker på, at alle EU landenes Datatilsyns direktører mødes en gang om måneden, netop for at harmonisere arbejdet med overholdelse af EU forordningen.