Datatilsynet skal ikke give virksomheder, der ikke overholder persondatareglerne, et ”gult kort”, inden en eventuel politianmeldelse med bøde til følge.
Sådan lyder konklusionen fra Justitsministeriet, der i en delrapport har gransket det udtalte ønske om en påbudsordning samt muligheden for, at der skal kunne indhentes en form for forhåndsgodkendelse af løsninger.
Begge dele bliver skudt ned af centraladministrationens dygtigste jurister.
»Det er efter Justitsministeriets vurdering ikke foreneligt med databeskyttelsesforordningen at indføre en generel ordning, hvor Datatilsynet skal meddele en bindende udtalelse om lovligheden af en påtænkt aktivitet, der indebærer en behandling af personoplysninger,« står der således i rapporten.
Justitsministeriet har i behandlingen indhentet udtalelser fra netop Datatilsynet, der er omdrejningspunktet for ønskerne. I det første tilfælde, hvor det drejer sig om ønsket om at kunne få en forhåndsgodkendelse, mener man hos Datatilsynet, at man i forvejen giver rigelig vejledning.
»Efter Datatilsynets opfattelse er det således allerede i dag en del af tilsynets opgaver at yde konkret vejledning, herunder fremkomme med ikke bindende forhåndstilkendegivelser. Datatilsynet har desuden i de senere år brugt og bruger fortsat betydelige ressourcer på at rådgive og vejlede om databeskyttelsesreglerne,« skriver tilsynet i sit svar til Justitsministeriet med henvisning til, at man i efteråret har oprettet en særlig vejledningsenhed.
Derudover understreger Datatilsynet, at GDPR er en videreførelse af regler, som allerede fulgte af databeskyttelsesdirektivet fra 1995, ligesom tilsynet henviser til, at den tidligere persondatalov på mange punkter videreførte regler, der havde været gældende
i dansk ret siden 1. januar 1979.
Glem det gule kort
I forbindelse med evalueringen af implementeringen af GDPR har blandt andet erhvervslivet efterspurgt, at Datatilsynet skulle starte med at give et påbud som en form for gult kort, inden man trak bødehæftet frem. Idéen er, at den virksomhed eller myndighed, der har brudt loven, således ville få mulighed for at rette op og bringe sine sager i orden, inden der landede en bøde i indbakken.
Men heller ikke det ønske kan man imødekomme rent juridisk, vurderer Justitsministeriet.
Datatilsynet kan nemlig allerede i dag give advarsler, kritik og påbud. Tilsynet selv konstaterer da også, at det i dag er langt fra alle sager, der ender med en politianmeldelse og en bøde. Faktisk behandles for tiden den første af GDPR-sag af sin slags mod ILVA ved Retten i Aarhus.
Den kan munde ud i den allerførste millionbøde herhjemme, eftersom Anklagemyndigheden har krævet en bøde på halvanden millioner kroner.
Og tager man i betragtning, at reglerne trådte i kraft i 2018, så er det knap 1.000 dage siden. Alene sidste år blev der indrapporteret 8.773 brud på sikkerheden, og millionbøderne er således udeblevet indtil videre.
I sit arbejde med at vurdere sagen, har ministeriet ligeledes henvendt sig til andre europæiske lande for at høre, hvad de tænker om en påbudsordning. Tyskland, Irland, Sverige og Holland oplyser, at de ikke har hverken påbuds- eller forhåndstilkendegivelsesordning.
Og vores naboer syd for grænsen anser en påbudsordning for at være decideret i strid med databeskyttelsesforordningen,
Men det er ikke kun det faktum, at det er en meget begrænset del af sagerne hos Datatilsynet, der ender med udsigten til en bøde.
Forordningen kræver også, at myndigheden er uafhængig, og derfor er det svært at se muligheden for, at man rent faktisk skulle kunne instruere Datatilsynet til at give påbud, skriver Justitsministeriet i sin vurdering af sagen.
»Kravet om uafhængighed indebærer efter Justitsministeriets vurdering, at Datatilsynet hverken direkte eller indirekte kan pålægges at anvende bestemte sanktioner i de sager, som tilsynet behandler. Datatilsynet har således i den forstand et frit sanktionsvalg,« skriver ministeriet i sin delrapport.
Dør på klem
Selvom rapporten let kan læses som et hårdt nej til ønsket om at bløde op, så står der fortsat én mulighed åben. For selvom idéen om et påbud inden en bøde generelt afskrives, så er der måske en mulighed for, at ordningen kan blive til noget for de offentlige myndigheder.
»Der vil efter Justitsministeriets vurdering kunne indføres en påbudsordning for offentlige myndigheder, da databeskyttelsesforordningen specifikt lader det være op til medlemsstaterne at bestemme, om og i hvilket omfang offentlige myndigheder skal kunne ifalde bødeansvar for overtrædelse af reglerne,« skriver ministeriet med henvisning til artikel 83 stk. 7 i forordningen.
Om det bliver muligt fast at give en advarsel, inden der udmåles en bødesanktion til offentlige myndigheder, er endnu uvist.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
