Justitsministeriet vil undersøge nye lempelser af GDPR

Har datatilsynet været for aggressive med bødeblokken og har skabt et stort had til GDPR på samme måde som stærekasserne er forhadte af bilisterne?

Det er nyt for mig.

Det er en skændsel dette her.

Ikke alene er den danske implementering af GDPR-reglerne allerede en tynd kop te, nu mener justitsministeriet således, at det er tid til at udvande yderligere.

Så vel som at Datatilsynet er en papirtiger. Stækket til en skygge, knapt et alibi, en art pro forma-tilsyn, der ganske rigtigt sagsbehandler efter alle Databeskyttelseslovens og kunstens regler, men gør en meget ringe forskel for persondatasikkerheden i praksis. Dette vil ministeren således lade yderligere hånt om.

Ministeriet vil blandt andet undersøge [...] om man kan gøre det sværere for Datatilsynet at indstille virksomheder og myndigheder til bøder for overtrædelser af databeskyttelsesreglerne.

Helt specifikt vil justitsministeriet kigge på mulighederne for at lægge et ekstra led ind i processen, inden en bøde kommer på bordet, ved at belyse »Muligheder for at indføre en påbudsordning, hvorefter tilsynsmyndigheden i videre omfang end i dag skal meddele påbud, før der kan indstilles til bøde for overtrædelse af reglerne, eller før der udstedes et administrativt bødeforelæg«.

Påbud er en praksis, Datatilsynet allerede benytter. I vidt omfang. Hvis ministeriet bare ville ulejlige sig med at undersøge i hvor stort et omfang, Datatilsynet uddeler påbud allerede. (Bede om et tal – hvor mange påbud?) I stedet for blot at igangsætte forberedelser til forringelse af loven. 11.02.20: https://www.version2.dk/artikel/minister-klar-at-lempe-uklare-gdpr-regle... 12.02.20: https://www.version2.dk/artikel/datatilsynet-indskaerper-dataansvarlige-...

Samt undersøge (= bede om et tal), hvor ringe et udbytte disse påbud giver. Hvor få konsekvenser – forandringer og forbedringer i praksis – al denne sagsbehandling fører til.

Hvor mange bøder er det, at Datatilsynet har medvirket til? Kan de tælles på én hånd?

10.000 anmeldelser om brud på persondatasikkerheden har Datatilsynet, efter eget udsagn, modtaget i perioden fra 25. maj 2018 - 31. december 2019, altså imens de nye GDPR-regler har været i kraft. (side 9 nedenfor). https://www.datatilsynet.dk/media/7955/anmeldelser-af-brud-paa-persondat...

Hvor mange bøder er pt. udstedt? Er det blevet til 1? 2? Eller er bøderne stadig undervejs?

Faktisk bliver jeg nu i tvivl, fordi vejen til at blive idømt en bøde er så lang(sommelig), træg og fuld af forhindringer. Fra Datatilsynet via politiet til domstolene.

Politiet har for nylig – omsider – rejst en sag. 30.03.20: https://www.version2.dk/artikel/politiet-rejser-sag-mod-dansk-moebelfirm...

Ligesom de første aktører, blandt mange, i den offentlige sektor også først for nylig er indstillet til en GDPR-bøde. (Og dermed afventer endnu ekstra og lang sagsbehandling, mulighed for frafald, mv). 10.03.20: https://www.version2.dk/artikel/foerste-gdpr-boeder-paa-vej-offentlige-d...

Hvorfor er det, på den baggrund, relevant at indføre yderligere barrierer? Yderligere smuthuller? Jeg synes, det er en hån.

Har datatilsynet været for aggressive med bødeblokken og har skabt et stort had til GDPR på samme måde som stærekasserne er forhadte af bilisterne?

Nu er netop hastighedsbegrænsningerne, som du hentyder til, et rigtigt godt eksempel på en udvikling mod forsimpling, som ligner det, der måske efterspørges fra mange erhvervsdrivende i relation til GDPR.

Før i tiden var der fri hastighed på vejene - reglen var blot at man selv skulle afpasse hastigheden efter forholdene - og jeg bestod f.eks. køreprøve med ros fra den førerprøvesagkyndige efter at have kørt over 130 km/t på en omfartsvej, hvor man i dag får bøde for at køre over 80 km/t. Hastighedsbegrænsningerne blev indført for at spare brændstof, men siden er de fastholdt med henvisning til ulykkesstatistikker, altså fordi et mindretal ikke selv kunne finde ud af at tilpasse hastigheden efter forholdene. Resultatet er at det i dag med stærekasser er langt lettere administrativt at udskrive bøder for rent formelle forseelser, der måske hverken har et reelt sikkerheds- eller brændstofforbrugsmæssigt aspekt. Mens det modsat er blevet sværere at få en bøde for at køre for hurtigt efter de reelle forhold, hvis farten reelt (ved regn / isglat / dårligt oversyn) ud fra sikkerhedshensyn burde ligge langt under de gældende faste hastighedsgrænser.

GDPR er med sin komplexitet meget svarende til "at køre fornuftigt efter forholdene". Såvidt jeg kan se er det der efterspørges at man får nogle tilsvarende mere firkantede regler, inden for hvilke man nærmest er immun mod bødeforlæg, mens bøderne kunne udskrives langt mere automatisk ved overtrædelse af disse mere simple regler.

Det er den samme problematik, man har i forbindelse med Coronavirus. Man kan enten antage at borgerne har fornuft til at forstå hvordan den smitter, har tillid til landets ledelse, udviser samfundssind og handler intelligent ud fra dette. Eller man kan regere med tilladelser, forbud, og stærekasse-lignende overvågning som måske er let at indrette sig efter, men som ofte relaterer meget lidt til den reelle smittefare og derfor let fører til manglende tillid og brug af sund fornuft i befolkningen.

Henrik Bierring har ret - det går tilsyneladende altid den vej. I dag fungerer ATK med dyre kameraer og man har tilladt sig helt at sende bødekrav ud - uden bevis. Man kunne have sparet de dyre fotovogne og bare trække et nummer i lotteriet fra basen over bilnumre. - Byretterne blåstempler denne retsstridige adfærd. Anklager vil ikke forsvare de tåbelige skilte, men henholder sig bare til det formelle en overskridelse er en overskridelse, og der skal betales. Byretten afviser retsplejeloven som gældende love i straffesager. Det er rent stasi. Lyngbyvejen har et motorvejsskilt med et forbud på 60 km det er totalt latterligt. Justitsministeriet er det dyreste ministerium og det ringeste. Tænk bare på hvilke faglige kriterier der stilles sundhedsområdet særligt forstærket nu under coronakrisen. Hvis de fungerede som Justitsministeriet blev der sat grænser for hvornår man gider behandle syge mennesker, ingen respirator over 80 år, fede mennesker kan ikke opereres, etc. faglighed sættes til side og reglerne bestemmer.

Det er ikke rar læsning. Kan ikke tro på, at justitsministeriets vil reducere borgernes ret til privatliv, og især at de vil slække på kravene til staten, kommuner og virksomheders behandlingssikkerhed. Det koster på tilliden....

Det er lige slemt for den det går ud over om data bliver lækket fra et stort firma eller fra en lille forening. Ganske mange foreninger har pligt til at opbevare ganske mange data på den del af deres medlemmer der står for kontakt til andre medlemmer under 18 år, personnumre, straffeattest etc. Det er den samme diskussion som dengang der blev krævet at når man serverede mad i sportsforeninger skulle man have kursus i fødevarehåndtering. Nogen argumenterede for at det skulle man ikke når man stod der under et vist timetal, men man får stadig ondt i maven af en forgiftet pølse serveret af en frivillig der kun serverer pølser en gang hver 14. dag.

Det er lige slemt for den det går ud over om data bliver lækket fra et stort firma eller fra en lille forening. Ganske mange foreninger har pligt til at opbevare ganske mange data på den del af deres medlemmer der står for kontakt til andre medlemmer under 18 år, personnumre, straffeattest etc.

Jeg er helt enig i substansen om læk af data. Men hvorfor skal 10.000-vis af foreninger pålægges administrative pligter, når roden til problemet er et grundlæggende defekt system til identitetshåndtering (CPR + NemID), som det vil være en langt mindre opgave at GDPR-tilrette centralt, så foreningerne i stedet undgår at skulle opbevare disse følsomme data på deres medlemmer.

Alle med indsigt i identitetshåndtering har jo forlængst klassificeret brugen af CPR-numre som en anakronisme, som det blot er svært at komme af med, fordi det er så indsyltet i den offentlige administration. Men foreningslivet kunne netop egne sig som et af de første områder, hvor man gennemfører et skifte til nutidig identitetshåndtering.

Det oprindelige formål var at ulovliggøre brug af personhenførbare data til formål som brugeren ikke har givet eksplicit tilsagn til. Derudover ønskede man politisk at begrænse dataophobningen hos de store selskaber som Facebook og Google.

Det havde været relativt nemt at føre sagerne ud fra devisen: “Bevis, at DU har fået eksplicit tilladelse fra brugeren til at bruge hans data til det konkrete formål du er igang med” ... kan du ikke bevise det, så tager vi den store hammer i brug.

Hver gang du sælger en brugers data til andre, skal han give tilladelse til det enkelte salg og formålet med det ... og have 50% af salgsprisen.

Nu har vi så i stedet fået et administrativt misfoster som ikke gavner nogen og i mellemtiden sælger og køber man mine profildata uden mit vidende og eksplicitte accept og jeg bliver præsenteret for reklamer og andet bras jeg aldrig har givet direkte accept til ... blandt andet fordi cookie loven heller ikke bliver overholdt.

Og Facebook og Google ... ja de lænser fortsat de nationale medier og marketingsbureauer for en meget stor del af den samlede kage ... og betaler så i øvrigt heller ikke nationale skatter i et omfang der svarer til omsætningen.

Men vi kan da altid finde ud af af give et taxaselskab en millionbøde for noget der ligner en ligegyldighed ...

Det hele er en politisk skændsel

Det hele er en politisk skændsel

Skændslen er, at man fra politisk har tilladt snævre særinteresser at sabotere en god og nødvendig ide (i en grad, så det fremstår som medløberi). GDPR er at i virkeligheden forsøget på at skære almindelig anstændig opførsel ud i pap, da det desværre viser sig at være nødvendigt, og derfor er alle disse forsøg på uvanding og omgående tilsvarende uanstændige.

Men det mest skændige er nu, at det i det hele taget skal være nødvendigt at lovgive om almindelig fornuft, respekt og anstændighed.

... at være lavet af folk som ikke har IT teknisk indsigt.

Hele formålet med GDPR er totalt gået tabt. Tanken var vel at person data ikke måtte indsamles uden det er tydeligt at man har fået tilladelse dertil, samt at person data ikke benyttes udenfor de rammer der måtte være aftalt.

Men hvornår er det indsamling? Og hvorfor er der ikke lige regler for alle?

Praktisk eksempel:

Hvis en kunde køber en mobil telefon og bruger den til at snakke med en anden person, så skal teleselskabet ikke underskrive en GDPR da de allerede betragtes som "sikre".... meeen.... det er jo dem (eller nogle af dem) som vælger at mine data til kommercielt brug.

Hvis en kunde køber en mobil telefon og bruger den til at skrive emails til en anden person, så pålægges firmaet/personen som har email serveren ikke at underskrive en GDPR.

Hvis en kunde køber en mobil telefon og bruger den til at sende data til en anden person via andre services (som ikke lagrer eller læser data der er end 2 end krypterede med nøgler som kun kunden og dennes modtager kender), som tilfældigvis hostes i f.eks. DK, så pålægges ejeren af de services at underskrive GDPR.

Ikke nok med at ejeren pålægges at underskrive en GDPR, så er GDPR aftalen så firkantet formuleret, at ejeren af servicen underskriver pligt til at sikre backup og reetablereing af KUNDENS data, selvom ejeren af servicen overhovedet ikke ønsker at gemme kundens data.

Kæden er simpelthen totalt er hoppet af i forhold til hvad GDPR er og hvad leverandører tvinges til af forpligtigelser.

Det er noget helt andet, når leverandøren faktisk har fingrene i data og det er meningen at denne virkelig skal behandle disse data, altså tilføre dem praktisk værdi eller datamine dem eller lign.

Og så er det også "pudsigt" at revisorer ikke skal underskrive en GDPR med deres kunder.... de betragtes selv som dataansvarlige, hvorved underskriften går den anden vej. Det er sgu et helt håbløst og totalt uigennemskueligt system.