Justitsministeriet dumper forslag om påbud og forhåndsgodkendelser fra Datatilsynet

Juristerne hos landets Justitsministerium dømmer idéen om påbud og forhåndsgodkendelser ude. Illustration: Justitsministeriet
Landets kronjurister fastslår i en delrapport, at der ikke kan blive tale om, at virksomheder skal have et påbud, før GDPR-bøden falder, ligesom der heller ikke lægges op til, at løsninger kan godkendes på forhånd.

Datatilsynet skal ikke give virksomheder, der ikke overholder persondatareglerne, et ”gult kort”, inden en eventuel politianmeldelse med bøde til følge.

Sådan lyder konklusionen fra Justitsministeriet, der i en delrapport har gransket det udtalte ønske om en påbudsordning samt muligheden for, at der skal kunne indhentes en form for forhåndsgodkendelse af løsninger.

Begge dele bliver skudt ned af centraladministrationens dygtigste jurister.

»Det er efter Justitsministeriets vurdering ikke foreneligt med databeskyttelsesforordningen at indføre en generel ordning, hvor Datatilsynet skal meddele en bindende udtalelse om lovligheden af en påtænkt aktivitet, der indebærer en behandling af personoplysninger,« står der således i rapporten.

Justitsministeriet har i behandlingen indhentet udtalelser fra netop Datatilsynet, der er omdrejningspunktet for ønskerne. I det første tilfælde, hvor det drejer sig om ønsket om at kunne få en forhåndsgodkendelse, mener man hos Datatilsynet, at man i forvejen giver rigelig vejledning.

»Efter Datatilsynets opfattelse er det således allerede i dag en del af tilsynets opgaver at yde konkret vejledning, herunder fremkomme med ikke bindende forhåndstilkendegivelser. Datatilsynet har desuden i de senere år brugt og bruger fortsat betydelige ressourcer på at rådgive og vejlede om databeskyttelsesreglerne,« skriver tilsynet i sit svar til Justitsministeriet med henvisning til, at man i efteråret har oprettet en særlig vejledningsenhed.

Derudover understreger Datatilsynet, at GDPR er en videreførelse af regler, som allerede fulgte af databeskyttelsesdirektivet fra 1995, ligesom tilsynet henviser til, at den tidligere persondatalov på mange punkter videreførte regler, der havde været gældende
i dansk ret siden 1. januar 1979.

Glem det gule kort

I forbindelse med evalueringen af implementeringen af GDPR har blandt andet erhvervslivet efterspurgt, at Datatilsynet skulle starte med at give et påbud som en form for gult kort, inden man trak bødehæftet frem. Idéen er, at den virksomhed eller myndighed, der har brudt loven, således ville få mulighed for at rette op og bringe sine sager i orden, inden der landede en bøde i indbakken.

Men heller ikke det ønske kan man imødekomme rent juridisk, vurderer Justitsministeriet.

Datatilsynet kan nemlig allerede i dag give advarsler, kritik og påbud. Tilsynet selv konstaterer da også, at det i dag er langt fra alle sager, der ender med en politianmeldelse og en bøde. Faktisk behandles for tiden den første af GDPR-sag af sin slags mod ILVA ved Retten i Aarhus.

Den kan munde ud i den allerførste millionbøde herhjemme, eftersom Anklagemyndigheden har krævet en bøde på halvanden millioner kroner.

Og tager man i betragtning, at reglerne trådte i kraft i 2018, så er det knap 1.000 dage siden. Alene sidste år blev der indrapporteret 8.773 brud på sikkerheden, og millionbøderne er således udeblevet indtil videre.

I sit arbejde med at vurdere sagen, har ministeriet ligeledes henvendt sig til andre europæiske lande for at høre, hvad de tænker om en påbudsordning. Tyskland, Irland, Sverige og Holland oplyser, at de ikke har hverken påbuds- eller forhåndstilkendegivelsesordning.

Og vores naboer syd for grænsen anser en påbudsordning for at være decideret i strid med databeskyttelsesforordningen,

Men det er ikke kun det faktum, at det er en meget begrænset del af sagerne hos Datatilsynet, der ender med udsigten til en bøde.

Forordningen kræver også, at myndigheden er uafhængig, og derfor er det svært at se muligheden for, at man rent faktisk skulle kunne instruere Datatilsynet til at give påbud, skriver Justitsministeriet i sin vurdering af sagen.

»Kravet om uafhængighed indebærer efter Justitsministeriets vurdering, at Datatilsynet hverken direkte eller indirekte kan pålægges at anvende bestemte sanktioner i de sager, som tilsynet behandler. Datatilsynet har således i den forstand et frit sanktionsvalg,« skriver ministeriet i sin delrapport.

Dør på klem

Selvom rapporten let kan læses som et hårdt nej til ønsket om at bløde op, så står der fortsat én mulighed åben. For selvom idéen om et påbud inden en bøde generelt afskrives, så er der måske en mulighed for, at ordningen kan blive til noget for de offentlige myndigheder.

»Der vil efter Justitsministeriets vurdering kunne indføres en påbudsordning for offentlige myndigheder, da databeskyttelsesforordningen specifikt lader det være op til medlemsstaterne at bestemme, om og i hvilket omfang offentlige myndigheder skal kunne ifalde bødeansvar for overtrædelse af reglerne,« skriver ministeriet med henvisning til artikel 83 stk. 7 i forordningen.

Om det bliver muligt fast at give en advarsel, inden der udmåles en bødesanktion til offentlige myndigheder, er endnu uvist.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Emil Kampp

Virksomheder: Det er nyt og forvirrende. Datatilsynet: "[det har] været gældende i dansk ret siden 1. januar 1979."

Hold kæft det er tragisk at se, hvor langt virksomheder er villige til at vride sig for ikke at skulle være anstændige og ærlige overfor deres kunder.

  • 17
  • 4
#2 Børge Svingalius

»Der vil efter Justitsministeriets vurdering kunne indføres en påbudsordning for offentlige myndigheder, da databeskyttelsesforordningen specifikt lader det være op til medlemsstaterne at bestemme, om og i hvilket omfang offentlige myndigheder skal kunne ifalde bødeansvar for overtrædelse af reglerne,« skriver ministeriet med henvisning til artikel 83 stk. 7 i forordningen.

Det har vel hele tiden været hensigten at det var den offentlige sektor der skulle slippe lettere - med statens historie for IT-havari, tror jeg nogle kan begynde at mærke bødeblokken nærme sig, og så er det jo meget bedre (red. lettere) at skræddersy reglerne til en problematisk sektor end det er at udbedre problemerne, ikke?

  • 10
  • 0
#3 Johnny Lüchau Blogger

Jep.

Ordentlighed er blevet en by i Rusland, for danske private og offentlige organisationer.

Nu handler det bare om at finde ud af hvordan man snor sig uden om reglerne eller slipper for sanktioner, når man bryder dem. Og juristerne står i kø for at hjælpe dem med at snyde.

Føj.

  • 9
  • 2
#5 Finn Christensen

Og juristerne står i kø for at hjælpe dem med at snyde.

Juraen har konstant været fodslæbende, på bagkant eller helt fraværende undervejs i digitaliseringen. Det er ikke godt set ud fra et samfundsmæssigt perspektiv.

Hvorfor skal offentlige projekter ligne de tidligere statslandbrug i DDR, hvor 3 mand skal til for at dreje plæneklipperen og 8 mand til for at måle samt skrive sig ud af, hvem der er ansvarlig og hvornår der (måske) skal drejes.

Radigales evindelige "Hvad skal det nytte" mantra er sør'm umuligt at få aflivet.

  • 3
  • 1
Log ind eller Opret konto for at kommentere