Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud
Når der endnu ikke er blevet langet store og små GDPR-bøder ud skyldes det, at der er en lang, juridisk vej fra anmeldelse af for eksempel et alvorligt datalæk til en bøde, fortæller Peter Knudsen, der er en af fire kontorchefer hos Datatilsynet.
»Der er mange der i sager om brud på persondatasikkerheden spørger os, hvor grænsen går, før der gives bøder og hvor store de er, men siden der ikke har været nogle afsluttede sager endnu er det svært for os at sige, siger Peter Knudsen.
»Vi har allerede en del sager liggende. Nogle af dem er meget slemme, andre er ret banale,« siger Peter Knudsen, der er overbevist om, at nogle af de større sager vil blive sendt videre til politiet og dermed potentielt kan ende med bøder.
Men vejen fra anmeldelse til bøde er lang.
1: Visitering
Først og fremmest visiterer en medarbejder hos Datatilsynet anmeldelsen. Er der overhovedet tale om en forseelse, og er den i så fald i den slemme eller mindre slemme ende?
2: Overblik over sagens detaljer
Hvis der ér sket en forseelse og et brud med enten GDPR eller Databeskyttelsesloven, ja så går Datatilsynet i gang med at få et overblik over, hvad der præcis er blevet lækket, hvor mange der er blevet berørt. Har virksomheden gjort, hvad den kunne for at undgå eller afværge forseelsen?
Overblikket skabes i samarbejde og dialog med den organisation eller virksomhed, der har overtrådt reglerne eller mistet data, og denne del i sig selv kan godt tage flere måneder, fortæller Peter Knudsen.
3: Vurdering af alvorlighed
Herefter skal Datatilsynet endeligt vurdere, om der er tale om en forseelse, der er så kritisabel, at der bør gives en bøde, eller om der kun skal udtales kritik.
»I forhold til fastsættelsen af bødestørrelsen, så står der jo i GDPR, at bøden skal være 'effektiv, afskrækkende og stå i rimeligt forhold til overtrædelsen'. Men derudover er det en vurderingssag,« fortæller Peter Knudsen, der giver udtryk for, at det er svært at fastslå bødestørrelser, uden at have præcedens at gå ud fra.
Altså uden at der ligger sager, der er afsluttet og som man kan sammenligne med.
4: Sendes videre til politiet
Men Datatilsynet må give et bud, som de sammen med en politianmeldelse og en beskrivelse af forseelsen sender til den politikreds, der er mest relevant. Er det en virksomhed i Kolding, der har lækket en masse data, sendes anmeldelsen for eksempel til Sydøstjyllands politi.
Hvis politikredsen får behov for at få et overblik over andre verserende sager, eller har brug for juridisk bistand, kan de som en del af deres sagsbehandling hive fat i politiets databeskyttelses-enhed.
»Vi er en form for videnscenter for databeskyttelsesretlige spørgsmål, som de enkelte politikredse generelt kan trække på. Også på dette område,« lyder det fra chefen for Rigspolitiets Databeskyttelsesenhed, Christian Wiese Svanberg, som fortsætter;
»De skal ikke bruge os, men vi står til rådighed. Det er dog altid den enkelte politikreds, der beslutter, om nogen skal sigtes eller tiltales. Vi fungerer også som kontaktpunkt i forhold til Datatilsynet, hvis tilsynet for eksempel vil have hjælp fra National Cybercrime Center (NC3), som en del af tilsynets egen efterforskning, bevissikring og så videre.«
Han fortæller, helt i tråd med Datatilsynet, at Politiet endnu ikke har modtaget nogle anmeldelser.
5: Politiet samler beviser
Nu går anden runde af detektivarbejdet i gang. Hvis en virksomhed ikke har været samarbejdsvillig i forhold til at hjælpe Datatilsynet med at finde ud af, hvad der er op og ned med forseelsen, så må Rigspolitiet ‘fremskaffe oplysningerne med de metoder, de har til rådighed’, som Peter Knudsen udtrykker det.
Hvis forseelsen skyldes et decideret hack, kan NC3 hjælpe de enkelte politikredse med at beslaglægge servere og på anden vis snuse rundt i de digitale spor.
6: Sigtelse og retssag
Derefter vurderer politiet, om der skal rejses sigtelse, og selvom det i sidste ende er op til politiet alene, skal det tillægge Datatilsynets vurdering en del vægt, fortæller Christian Wiese Svanberg.
Hvis politiet ender med at rejse sigtelse, indgår sagen i rettens bunke af sager, der skal prioriteres. Som ved mange andre sager kan der gå månederne, inden denne del af processen alene ender med rettergang og en afgørelse.
Og denne afgørelse kan efterfølgende ankes.
Der vil komme danske GDPR-retssager
»Der er jo pludselig et helt nyt retsgrundlag med et helt anderledes niveau for bødestørrelser, og derfor er der brug for at få nogle sager gennem systemet for at se, hvad niveauet er rent bødemæssigt, men også for at se, hvor længe det tager for en sag at komme fra A til Z, fortæller Peter Knudsen fra Datatilsynet.
Både han og Christian Wiese Svanberg er overbevist om, at vi kommer til at se sigtelser mod danske virksomheder, myndigheder og organisationer, men de bøde-ivrige kan meget vel blive skuffet.
»Vi kommer til at se sigtelser og bøder. Men det bliver nok ikke i det ekstreme omfang, som man får indtryk af at nogen parter tror,« vurderer Christian Wiese Svanberg.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
