Møbelkæden ILVA fik klækkelig bøderabat, da der i fredags blev afsagt dom i den første GDPR-sag herhjemme. Anklagemyndigheden havde krævet en bøde på 1.500.000 kroner som resultat af, at virksomheden havde gemt 385.000 danskeres oplysninger i et gammelt ERP-system uden en plan for, hvornår de skulle slettes igen.
Fredag præsenterede Retten i Aarhus sin afgørelse i sagen, og ILVA blev i dømt en bøde på 100.000 kroner, hvilket er mindre end 10 procent af det beløb, Datatilsynet havde sat næsen op efter.
- emailE-mail
- linkKopier link
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Så hvor trækker man grænsen, for hvor hårdt skal man gå til værks?
Det kan du naturligvis have ret i.
Men at behandle ILVA som en lille virksomhed, der ikke har resurser til at håndtere lovgivningen, ovenikøbet i Jysk-koncernen med mange, mange tusinde medarbejdere og mia. overskud, så er der altså noget galt.
Der er også forskel på uagtsomt manddrab og mord, selv om slutresultatet er det samme for den døde.Hvis bare du er en klovn, så slipper du billigere. Det virker da helt galt
Og det er lige præcis derfor vi har et retssystem.
Så måske det er på tide at være lidt mere nuanceret, og tørre fråden væk fra munden, ellers risikerer vi bare at en langt vigtigere debat ender i støj, fordi man er så opsat på en heksejagt.
Det problematiske i det er, at små virksomheder givet ofte vil klovne. Større virksomheder derimod, må man kunne forvente har adgang til kompetencerne, som kan bringe tingene i orden.Hvis bare du er en klovn, så slipper du billigere. Det virker da helt galt.
Så hvor trækker man grænsen, for hvor hårdt skal man gå til værks?
Det eneste der er at gøre er at komme på fornyet tilsyn fx 3 månededr efter dommen med den 'for milde' straf.Hensyn, bl.a.:</p>
<pre><code>"Uagtsomhed”
”1. gangs forseelse”
”Data befandt sig i et system, der kun blev tilgået lejlighedsvist”
”Ingen registrerede havde lidt nogen skade”
”Overtrædelsen var alene af formel karakter”
(Ligesom kun tiltaltes egen omsætning (ej koncernens) skulle lægges til grund for bødestørrelsen).
</code></pre>
<p>
Forholdene er jo ikke bragt i orden, og der er intet gjort for at bringe dem i orden. Og så kommer man en tur i retten igen, og der bør hammeren så falde nårdt, for nu er man i decideret ond tro!
Og så må man ikke glemme at uden markedsføring, bliver du aldrig opmærksom på et produkt som er bedre end det du købte i går og og i forgårs.
Er det ikke at gribe efter et halmstrå?
Vi bliver alle proppet med tusindvis af reklamer, som har absolut ingen nyhedsværdi.
Jeg køber simpelthen ikke, at denne snagen skulle betyde, at lige præcis når jeg har brug for at få en rødvinsplet bort, så dukker "supergenialt pletfjerner", som jeg aldrig før har hørt om, op i reklamerne.
Er det noget teknisk, så søger jeg aktiv efter information, og øvrige større anskaffelser, der er "Tænk" og lignende, mere afgørende, end hvad der ligger øverst i en Google-søgning.
Du bruger i så tilfælde ikke Google søgemaskinen.Hvad? Jeg kan ikke erindre hvornår jeg sidst er blevet oplyst, eller bare opmærksom, af en reklame.
Met sandsynligt er, at du bare er irriteret over de reklamer der ikke bider på dig, men har lykkeligt glemt når de har ramt rigtigt.
I den aktuelle sag (der muligvis kandiderer som forlæg for fremtidens sager) lægger domstolen, i sin afgørelse, en del vægt på, at lovovertrædelsen er sket uagtsomt.
Men broderparten af de datasikkerhedsbrud og overtrædelser af GDPR, vi kender til, sker uagtsomt. Uforsætligt, ubevidst. I vilkårlig rækkefølge pga.:
FEJL, UVIDENHED, SJUSK, HOVEDET UNDER ARMEN eller UTILSTRÆKKELIGE SIKKERHEDSFORANSTALTNINGER.
Vi har kendskab til en lang række eksempler, alene omtalt her på V2. Jeg har halet en håndfuld blandede frem, af mit linkarkiv, fra 2018 til nu:
https://www.version2.dk/artikel/datalaek-hos-erhvervsstyrelsen-vokser-150000-cpr-numre-spredt-3000-brugere-1092042https://www.dr.dk/nyheder/indland/politisjusk-med-persondata-glemte-dokumenter-i-s-tog-og-knyttede-borger-til-876https://www.dr.dk/nyheder/penge/12-millioner-danskere-har-faaet-cpr-numre-laekkethttps://politiken.dk/indland/uddannelse/art7605113/Helsing%C3%B8r-Kommune-videregav-personlige-oplysninger-om-skoleelever-til-Googlehttps://www.version2.dk/artikel/24-kommuner-sender-boerns-persondata-google-blinde-meget-kritisabelt-1091947https://www.version2.dk/artikel/uhindret-adgang-500000-cpr-numre-sundhedsdata-region-syddanmark-1089890https://www.version2.dk/artikel/stort-sikkerhedsbrud-region-syd-skal-underrette-800000-borgere-1090855https://www.version2.dk/artikel/fagforening-efter-gdpr-broeler-vi-mente-var-ok-1089460https://skoleliv.dk/nyheder/art7506098/Aula-indeholder-alvorlig-sikkerhedsbristhttps://politiken.dk/indland/art6935409/Usb-stik-med-dybt-personlige-oplysninger-sendt-til-beboere-i-tre-ejendommehttps://www.version2.dk/artikel/ansat-gemte-filer-lokalt-paa-pc-nu-rammer-datalaek-20000-borgere-gladsaxe-kommune-1087012https://politiken.dk/indland/art6915725/Kommune-hj%C3%A6lper-med-at-udstille-l%C3%A6kage-ofre-p%C3%A5-Facebookhttps://www.dr.dk/nyheder/penge/danmarks-stoerste-terapi-portal-laekker-detaljer-om-klienters-stofmisbrug-sexliv-oghttps://www.version2.dk/artikel/mindst-500-patienters-journaler-med-foelsomme-persondata-solgt-ved-fejl-1086399
(Beklager uoverskueligheden ^^, man kan ikke lave enkelt linjeskift).
Tilbage i 2019 lød det sådan her fra Allan Frank, cand.jur og sikkerhedsspecialist hos Datatilsynet:
https://www.bt.dk/samfund/dansk-domstol-i-broeler-jeg-er-meget-rystet<strong>Det er et udbredt problem, at oplysninger bliver sendt til den forkerte person. De sager fylder cirka 80 % af brudene på databeskyttelseslovgivningen</strong>,« siger han og fortæller, at Datatilsynet modtager omkring 600 anmeldelser om måneden.
Og senest, i sidste uge:
11.02.21: https://www.dr.dk/nyheder/seneste/kommuner-1900-gange-er-persondata-endt-i-de-forkerte-haender<strong>Siden 16. april 2020 og frem til nytår har landets kommuner indberettet omkring 1.900 sikkerhedsbrud, hvor persondata er endt i forkerte hænder</strong>. Flere end 1.600 havde kommunerne selv ansvaret for.
Hvis uagtsomhed ligeledes vil være en formildende omstændighed i fremtidige sager, spår jeg databeskyttelsens fallit.
Bøderne vil således blive så milde, at de er uden den tiltænkte, afskrækkende effekt. Og dermed uden den påtænkte virkning – hensigten med både bøder og myndighedskontrol: At begge instanser skulle virke adfærdsændrende (til det bedre).
Tilsvarende vil databeskyttelseslovens formål – om at beskytte borgernes rettigheder – ligeledes spille fallit.
https://www.version2.dk/artikel/datatilsynet-gdpr-overtraedelser-saadan-afgoer-vi-du-skal-have-boede-1091186»Hele forordningen går ud på at beskytte den registreredes rettigheder.«
Signalet vil således være:
Hvis bare du er en klovn, så slipper du billigere. Det virker da helt galt.
Jeg har heller ikke hørt om at marketing arbejder gratis, og at udgifterne til marketing tages fra firmaets overskud. Det er altid kunderne der betaler.
Når du siger "kunderne betaler", at der så firmaet, som der laves marketing for, som betaler, eller siger du, at det væltes over på deres kunder. Nok det første, for du siger jo også, at det tages af overskuddet ... og det er jo ejernes penge og ikke kundernes penge.
Antallet af brands har aldrig været højere end det er i dag, og det skyldes at prisen for at brande er faldet drastisk.
Ja, der er et betydeligt incitament til at gøre ens produkter usammenlignelige med konkurrenternes, så man derved mere eller mindre kan sætte markedsmekanismerne ud af spil, og opnå monopollignende forhold.
Trist, hvis man tror på, at markedet giver det bedste produkt til den bedste pris, for det forudsætter sammenlignelighed og deraf følgende konkurrence.
Og så kan man så undskylde sig med, at man ikke sælger læskedrikke, men derimod livsstil. Det ændrer ikke noget.
Og så må man ikke glemme at uden markedsføring, bliver du aldrig opmærksom på et produkt som er bedre end det du købte i går og og i forgårs.
Hvad? Jeg kan ikke erindre hvornår jeg sidst er blevet oplyst, eller bare opmærksom, af en reklame. Det skulle da lige være hvilken burger man nu har fundet på i denne uge i en af landets større burgerkæder, og så mange spiser jeg altså ikke af dem, så det er nok nærmest støj.
Derimod bruger jeg gerne prissammenligningssites og omtale i fagtidsskrifter eller lignende. Eller ved at rådføre mig med kyndige venner og bekendte. Og ja, det er ofte også resultat af markedsføring, men ikke af den slags som overtræder GDPR eller kalder sig "reklamer".
Jeg har heller ikke hørt om at marketing arbejder gratis, og at udgifterne til marketing tages fra firmaets overskud. Det er altid kunderne der betaler.Forbrugsmønstre bruges først og fremmest af marketing. jeg har aldrig oplevet at de gør noget billigere.</p>
<p>Men jeg hører da gerne argumenter for den påstand.
Altså, hvis prisen på marketing falder, så falder slutprisen på produktet også, med mindre der er tale om et monopol.
Antallet af brands har aldrig været højere end det er i dag, og det skyldes at prisen for at brande er faldet drastisk.
Og så må man ikke glemme at uden markedsføring, bliver du aldrig opmærksom på et produkt som er bedre end det du købte i går og og i forgårs.
Og hvilken skade lider samfundet ved at forbrugsmønstre kan analyseres. Det har jo også sine positive sider, at det billiggør slutprisen på produkter.
Forbrugsmønstre bruges først og fremmest af marketing. jeg har aldrig oplevet at de gør noget billigere.
Men jeg hører da gerne argumenter for den påstand.
Der er ingen normale anstændige virksomheder der spekulerer i at overtræde GDPR reglerne,
Det er jo i bund og grund nogle regler, som stammer fra lang tid før GDPR.
Så når IT-chefen beder om penge til at sikre lovmedholdenheden i systemerne, men får nej. Hvad er det så ?
Jeg tror faktisk at de fleste virksomheder og myndigheder, offentlige, som private, har haft en viden om at IT-sikkerheden ikke har været helt iorden.
Men man har ikke ønsket at bruge ressourcer på at undersøge det, og til et vist niveau ment at man stod sig bedre i "uvidenhed", end med afdækkede og dokumenterede svagheder.
Andre dele af lovgivningen hylder princippet, at det ikke skal kunne betale sig at bryde loven. Det burde man også gøre her.
Måske vi har et mærkeligt forhold til at være skadelidt.Kunne man anlægge den betragtning at samfundet er den skadelidte?
Samfundet tillader luftforurening som bevisligt dræber.
Omvendt er skaden ved GDPR svær at gøre op. I det konkrete tilfælde, vil man kunne se, at jeg på et tidspunkt har købt en sofa hos ILVA, hvis man kan se så meget.
Og hvilken skade lider samfundet ved at forbrugsmønstre kan analyseres. Det har jo også sine positive sider, at det billiggør slutprisen på produkter.
Det gør det lidt svært at håndtere, når det mere er et princip som skades fremfor noget konkret. WV har helt sikkert vidst da de lavede deres snydesoftware, at de reelt slog mennesker ihjel, så der er ingen undskyldninger der.
Det er noget helt andet med GDPR, her står softwareudviklerne i vildrede, for hvilke oplysninger skal man deklarere og hvilke må man slet ikke gemme o.s.v. Og hvor slemt er det at advokaten i de 32 siders samtykke har glemt at notere at man gemmer i 3 år i stedet for 2 år.
Jeg glæder mig til den dag hvor der kommer dokumentation for, at GDPR har reddet mennesker fra noget slemt.
Hvis man ser på afgørelsen, fra Aarhus Byret (som en var så venlig at linke til, i tråden i fredags) så lægges der en række hensyn til grund for dommen/bødestørrelsen.
https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/
Hensyn, bl.a.:
- "Uagtsomhed”
- ”1. gangs forseelse”
- ”Data befandt sig i et system, der kun blev tilgået lejlighedsvist”
- ”Ingen registrerede havde lidt nogen skade”
- ”Overtrædelsen var alene af formel karakter”
- (Ligesom kun tiltaltes egen omsætning (ej koncernens) skulle lægges til grund for bødestørrelsen).
Hvis man skal iagttage disse hensyn, disse formildende omstændigheder, i fremtidige sager, så bliver det, for mig at se, nogle meget små bøder, der vil blive udskrevet fremover. Overordnet set.
Dels fordi broderparten af alle forseelser begås på størstedelen af disse vilkår ^^, navnligt uagtsomt – i hvert fald i det offentlige. Som er den sektor, vi kender for flest GDPR-brud herhjemme (uddybes i kommentaren nedenfor).
Dels skal også tages i betragtning, at rigtig mange sager end ikke indstilles til bøde. Men blot afgøres ved, at Datatilsynet udtaler alvorlig kritik (med fed) og beder pågældende rette op. Vi har set talrige eksempler, her på V2. Også med 1000vis af borgeres persondata involveret.
Og hvor mange sager, fra det offentlige, kender vi, indtil nu, som er indstillet til en bøde? (Ingen? 2? 5?)
Har du belæg for at postulere at Irland skulle have en mere lempelig håndhævelse af GDPR end resten af EU?
Se f.eks. her: https://noyb.eu/en/irish-high-court-allows-judicial-review-stop-facebook-eu-us-transfers - der er en, som er mindre end uimponeret over det Irske datatilsyn.
Der er også tale om at man rundt omkring i EU er begyndt at undgå at bruger GDPR, fordi at aftalen er, at det skal gå forbi "ejerlandet", og man så tit ser at sagerne "strander" i Irland. Ved at bruge anden lovgivning, så kan man selv følge sagerne til dørs.
Kunne man anlægge den betragtning at samfundet er den skadelidte?
I den betragtning er 100.000 ikke meget i forhold til udgifterne til datatilsynets kontrol og retsystemets sagshåndtering.
Har du belæg for at postulere at Irland skulle have en mere lempelig håndhævelse af GDPR end resten af EU?man søger sandelig også derhen, hvor håndhævelsen er lempelig.
Jeg vil gerne sige det ligeud. Da jeg så afgørelsen i fredags, tænkte jeg – lad være med at kommentere. Fordi du (jeg) kommer til at sige alt for mange grimme ting. I dag, flere dage senere, er min holdning/indstilling uændret.
Jeg vil hævde – og det er en påstand, det medgiver jeg – at begge parter er klar over, at de ”tager én for holdet” i denne omgang. I denne sag.
Forstået således, at domstolen, på deres side, har en anelse om, at de kan være med til at spare samfund og erhvervsliv store summer fremover. Fordi denne sag vil medvirke til at danne forlæg for alle fremtidige, være en målestok.
Det er i hvert fald den smag, jeg sidder med i munden.
(Som sagt, det er en påstand. Og en hård påstand, det medgiver jeg. Jeg finder belæg i enkelte, tidligere, afgjorte sager, som jeg, i denne anledning, kommer i tanker om nu. Sager, der har haft bred samfundsmæssig indflydelse. Hvor en specifik afgørelse kan være udslagsgivende for tusindvis af andre sager. Med store økonomiske omkostninger, for fx. staten, hvis forurettede part/sagsøger fik medhold. Det har drejet sig om leje, pension, lign., mener jeg at huske. Har desværre ikke gemt disse link, det er jeg ked af nu).
Anklagemyndigheden skulle, efter dommen fredag, lige tage stilling til, om de ville anke. Dertil kan jeg kun tilføje:
Ank, Østergaard! Der er intet alternativ.
For at opretholde egen integritet. Samt standens integritet. Tilliden til anklagemyndigheden generelt, i disse anliggender.
Don’t worry. Bøden forhøjes måske en smule, men det bliver sandsynligvis ikke eksorbitant. 200.000 kroner (?) hvilket stadig er til grin, men det levner os tid.
Det køber os samtidig værdifuld tid. Tid til at tage slaget. Fordøje den bitre erkendelse, at dette er et gennemført forlorent arrangement. Jeg tænker dels på den omstændelige og langsommelige proces, med de 3 instanser, sagerne skal igennem, således de forhales igennem en årrække. Men overordnet set, har jeg ikke længere tillid til, at der hersker hverken intention eller vilje, i statsapparatet, til at sanktionere for alvor. Det er rent skin og formalia.
Det er den smag, jeg sidder med i munden, efter afgørelsen fredag.
https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/
Der er buldret løs, siden 2018, om, at nu kommer bøderne! De store bøder! Ren teatertorden.
Vi er alle sammen så grundigt til grin. Det er hvad, jeg mener om det.
Irland vælges pga. den lave selskabsskat, næppe for at begå bevidst GDPR brud.Det er ikke tilfældigt, at mange firmaer vælger Irland.
Hey, vi har en ny businessplan, vi flytter til Danmark, så vi kan bryde loven.
Det er ikke tilfældigt, at mange firmaer vælger Irland. Jeg er også ret sikker på, at man ved præcist, hvad man gør, når man vælger hjemsted i Schweiz, Lichtenstein eller på kanaløerne.
Så nej, det ville på ingen måde overraske mig. Man søger ikke bare derhen, hvor reglerne er gunstige, man søger sandelig også derhen, hvor håndhævelsen er lempelig.
Det er næppe et tilfælde at f.eks. Erhvervsstyrelsen er meget langmodig; det tæller givetvis som et forsøg på "erhvervsfremme".
Nu er der jo altså andre virksomheder som beskæftiger sig med andet end at pushe du-er-ikke-kunden-men-produktet software, og for dem er der mange andre parametre der er mere afgørende for om hvorvidt de vil slå sig ned i EU/Danmark.P.t. tror jeg det er bedre at placere sig udenfor EU, end i Danmark hvis man ikke vil overholde reglerne.
Vestagers område er konkurrence. Hvem tager sig af GDPR for selskaber udenfor EU?Hvis man opererer inden for EU, så skal man også følge EUs regler - det er sådan set det Margrethe Vestager har ført en, desværre ret meget op ad bakke, kamp for.
P.t. tror jeg det er bedre at placere sig udenfor EU, end i Danmark hvis man ikke vil overholde reglerne.
Vil du mene at et selskab vil skifte adresse for at lave den slags ulovligheder.Falck misbrugte jo også deres dominerede stilling på markedet for ambulancetjenester, og BIOS er nu gået konkurs. Vil du mene, at Falck var i god tro?
Hey, vi har en ny businessplan, vi flytter til Danmark, så vi kan bryde loven.
Strammer du den ikke lige lovligt meget der.
Helt ærligt, mener Henning Mortensen at firmaer planlægger med at bryde loven bevidst?
Det er desværre ikke så usædvanligt, som det burde være.
Begrebet "procesrisiko" dækker også over, at man spekulerer i, at man skal opdages først, og at nogen skal være villige til at tage sagen.
Og jeg sidder f.eks. tilbage med en underlig fornemmelse, når jeg kigger tilbage på Danske Bank og hvidvask-eventyret i Baltikum - det er svært at forstå, at de ikke på et eller andet tidspunkt havde indset, at det var for alt for godt til at være lovligt.
For de mange sager om rådgiving om flytning til skattely kan det også være svært at se, at det ikke skulle være medvirken til ulovligheder, måske endda direkte opfordring.
Falck misbrugte jo også deres dominerede stilling på markedet for ambulancetjenester, og BIOS er nu gået konkurs. Vil du mene, at Falck var i god tro?
Der er nok også en grund til, at man har fartskrivere i lastbiler; hvis virksomheder aldrig brød loven, som ville det være overflødigt.
Det er næppe heller tilfældigt, at mange store firmaer har valgt Irland som hjemsted; det er tydeligt, at myndighederne der er langt mere tilgivende og langmodige end andre steder, og f.eks. Schrems peger på at det irske datatilsyn er gået ind på Facebooks side i retsagerne imod dem - og aktivt medvirker til at retsager trækkes i langdrag uden opsættende virkning.
Jeg må sige, at det virker naivt at mene, at der ikke skulle være virksomheder, som ikke er villige til bryde loven.
Det er flere gange nævnt, at bl.a. ^^ ovennævnte sag vil bidrage til at danne præcedens / være forlæg for bødeniveauet i fremtidige sager. Også kaldt en prøvesag.
Er der nogen, der ved noget om, hvor mange sager, der er udtaget som prøvesag?
Altså, udvælges f.eks. 5 – 10 sager, af forskellig karakter, og så lægger man et fremtidigt niveau/gennemsnit (præcedens) herefter? Eller hvordan foregår det?
Siden de nye GDPR-regler/Databeskyttelsesloven trådte i kraft, i 2018, er der talt med store bogstaver om, at visse sager kunne ende med høje sanktioner/store bøder. Både fra Datatilsynet, medierne og uafhængige eksperter, fx:
Det er også pointeret, at bødestørrelsen har stor indflydelse på, hvor alvorligt virksomhederne tager datasikkerhed:
Martin Jørgensen, chefkonsulent i Dansk ErhvervIngen tvivl om, at bødernes størrelse har betydet noget for prioriteringen. Bødestørrelsen har gjort, at spørgsmålet har fået både bestyrelsens og direktionens bevågenhed.
De sager, der ender hos domstolene, er forskellige. Derfor finder jeg det også relevant, at de prøvesager, der udtages, er repræsentative for spektret.
Eksempel: I aktuelle sag lægges der, i afgørelsen/strafudmålingen, vægt på, at forseelsen er sket uagtsomt, og bøden fastsættes (bl.a.) herefter.
https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/
Andre sager kan derimod variere, således der kan være bevis for, at forseelsen er sket forsætligt, overlagt, bevidst, hvilket kan resultere i et langt højere bødeniveau.
Tilsvarende kan der være variabler vedr. mængde/antal data, graden/mængden af følsomme data, varians i perioden data har været ubeskyttet/tilgængelige for uvedkommende (3 måneder? 5 år?), etc.
Alt sammen medvirkende til at afgøre bødens størrelse.
Derfor finder jeg det relevant, at få lidt mere at vide om prøvesagerne.
Hvis man opererer inden for EU, så skal man også følge EUs regler - det er sådan set det Margrethe Vestager har ført en, desværre ret meget op ad bakke, kamp for.Se nu ligger de slet ikke i EU, så det er reelt er det vel frivilligt om de vil følge reglerne.
Se nu ligger de slet ikke i EU, så det er reelt er det vel frivilligt om de vil følge reglerne. Jeg har ikke lige kunnet google mig frem til nogle steder, hvor der stod at de var.Der er ingen normale anstændige virksomheder der spekulerer i at overtræde GDPR reglerne, men Google, Facebook, Amazon et al, har selvfølgelig en helt anden agenda.
De reklamerer så med at de er compliante, men hvad er konsekvensen hvis de ikke er?
Lad mig lige omformulere det udsagn:Udsagnet er søgt, for der er ingen firmaer der spekulerer i at overtræde GDPR reglerne
Der er ingen normale anstændige virksomheder der spekulerer i at overtræde GDPR reglerne, men Google, Facebook, Amazon et al, har selvfølgelig en helt anden agenda.
Og de er desværre fløjtende ligeglade.
Udsagnet er søgt, for der er ingen firmaer der spekulerer i at overtræde GDPR reglerne, og det ligger også implicit i dommen at hvis der bliver tale om gentagelser og/eller man har en kulpøs tilgang til det, så er det nogle helt andre bødestørrelser der tales om.»Det er meget vigtig at følge med i, hvordan bødeniveauerne udvikler sig i på fælleseuropæisk plan, så vi ikke når ud i, at Danmark bliver det land, virksomhederne lægger sig i, fordi her giver vi de laveste bøder.«
Det udsagn er så også ret søgt, for selve procentsatsen for selskabsskat betyder stort set intet for de fleste firmaer, det kan klares rent regnskabsmæssigt - der er mange andre parametre som er vigtigere for et firma, herunder niveauet af arbejdskraft, infrastruktur, almindelige omkostninger, korruption mv., og i det spil er Danmark faktisk ikke uinteressant for mange firmaer.Men altså, at lægge er firma i Danmark er da mere eller mindre at give sig selv en skattemæssig dummebøde.
Der er jeg så uenig.argumentet omkring dommen forstår jeg, men bøden er efter min mening for lav.
Der er ikke tale om personfølsomme data osv. som dommen også forholder sig til - og 100K er altså stadig en sjat.
Ellers så skal vi til at forholde os strafferetligt til også bruge krudt på der hvor der virkelig er problemer, nemlig i forbindelse med myndigheders stærkt sløsede omgang med personfølsomme data - hvis ikke vi tager seriøst fat i det kan ovennævnte ende med at have karakter af dummebøde, samtidig med de reelt grove sager ender i støj.
Helt ærligt, mener Henning Mortensen at firmaer planlægger med at bryde loven bevidst?»Det er meget vigtig at følge med i, hvordan bødeniveauerne udvikler sig i på fælleseuropæisk plan, så vi ikke når ud i, at Danmark bliver det land, virksomhederne lægger sig i, fordi her giver vi de laveste bøder.«
Men altså, at lægge er firma i Danmark er da mere eller mindre at give sig selv en skattemæssig dummebøde.
Og dermed er det slået fast, at almindelige ikke følsomme kundeoplysninger, må man ikke gemme uden en plan, selvom det er et system, som er under afvikling.Til sidst, så er det hele her jo en principsag par excellence - først bøde sætter niveauet. Præcis her skal denne afskrækkende effekt fra Artikel 83 da komme i spil - hvornår ellers? Skal vi sætte niveauet så langt nede i en sag, der skal afskrække organisationer fra fremtidige overtrædelser, så skal niveauet lang højere op. Det er for at sætte et eksempel.
Jeg tror det er en dom, som vil få flere til at tænke sig om, og kigge på deres elendige datasystemer en gang til.
Problemet er jo at data misbruges af folk som er stort set umulige at finde og fra lande hvor der ikke er udleverings aftaler eller samarbejde med myndighederne. Det er netop derfor man er nødt til at rette reglerne efter dem som opbevare data.
Afskaf dog det GDPR direktiv som gør det så bøwlet og risikabelt at drive virksomhed og forening. Det kan ikke være meningen at man skal være juridisk ekspert og betale dyre forsikringer fordi man sidder i bestyrelsen for en forening. Man burde straffe dem der misbruger personoplysninger, ikke dem der opbevarer dem til et rimeligt formål. Identitetstyveri og lignende er et stort problem, som politiet burde rette indsatsen imod, i stedet for ILVAs kartoteker.
Jeg kan upåagtet alle de relevante kommentarer, se Hennings bekymring i et videretænkt scenarie...store techgiganter etablerer sig i Danmark og det bliver ikke mindre attraktivt af at vores bødesatser er så lave, når man måske er lidt lemfældig med privacybeskyttelse i forvejen...well blot en tanke.. argumentet omkring dommen forstår jeg, men bøden er efter min mening for lav.
Stoler man ikke på domstolene eller? Det fremhæves at det er data som i en telefonbog gasnke harmløst. Det er i et gammlet system som som ikke er aktivt og derfor næppe let tilgængeligt fra hackere udefra. De gamle systemer var ikke gearet til at slette data efter aller g Skat kræver data 10 år bagud som der er tale om her. Så hvor kommer de skarpe argumenter/holdninger fra.
Først og fremmest er det naivt at tro, at nogle persondata er "ganske harmløst". Hvorfor så overhovedet beskytte dem, hvis de er så harmløse? For det er de ikke, i hvert fald hvis du spørger den person, der står bar de her personoplysninger.
For det andet, så kan det være ligemeget, hvor vidt det er en gammelt system. Jeg har et ældgammelt USB-drev med masser af ulovlige persondata på - er det så helt fint, eller hvordan? Nej, det er det ikke, det er stadig ulovligt. Husk på, at Ilva rent faktisk er blevet dømt for en forbrydelse. Og som også er blevet fremhævet af Gert Madsen her i tråden, så står der ingen steder, at hackere ikke kan få adgang til gamle systemer... husk at hackere også kan møde op fysisk, at persondata kan stjæles, evt ved at bære gamle enheder ud, osv.
For det tredje, så er det ikke en undskyldning, at systemet ikke var gearet til at slette data... de her regler findes altså siden mange årtier, så jeg vil være forundret, hvis deres systemer er mere end 30 år gammel... 2010 er ikke så lang tilbage! Og man er da heller ikke beskyttet fra loven hvis man bruger dårlig IT?
Til sidst, så er det hele her jo en principsag par excellence - først bøde sætter niveauet. Præcis her skal denne afskrækkende effekt fra Artikel 83 da komme i spil - hvornår ellers? Skal vi sætte niveauet så langt nede i en sag, der skal afskrække organisationer fra fremtidige overtrædelser, så skal niveauet lang højere op. Det er for at sætte et eksempel.
Så, der har du dine argumenter. Jeg stoler ikke på domstolen her, må jeg ærlig sige. Det ligner helt klart, at domstolen ikke har sat sig ind i det, lige som de fleste andre heller ikke har. Eller bare ikke tager det så alvorligt... måske bare dommerne i Aarhus, der er lidt for indspist i erhvervslivet, eller måske bare er for gamle til at forstå emnet og dets alvor.
Hvorfor har vi ikke et organ til at dømme den slags? En dataretlig domstol? Nogle der intensivt kender til afgørelser i andre EU lande, der kender tendenser, der kender IT, etc. Nogen der forstår at data er nutidens guld, og at den ejes af nogen, og (mis)bruges af andre.
Ja, man efterlades lidt med indtrykket af at man med denne sag prøver at tegne et billede af at det store problem skulle ligge hos det danske erhvervsliv (og man kan da altid finde noget hvis man leder længe nok, der er jo tale om data, backups osv.). Man kunne dog ønske sig et forbillede i den offentlige sektor, før man gik igang med at jage møbelkæderne (især hvis denne bøde danner præcedens). Jeg må dybest set erkende at jeg ikke kærer mig om min e-mail skulle ligge i et gammelt ERP system hos ILVA, men det bekymrer mig hvis SSI sender mine børns DNA og sundhedsdata i hænderne på Facebook ejede selskaber (og hvem end der ellers har fingre i den data inkl. Kinesiske “firmaer”).
der var tale om et frakoblet system under nedlukning
Hmm. Det må jeg have overset. Hvor finder du det ?
Der hersker en underlig tendens til ikke at være nuanceret, hvorved den underliggende vigtighed udvandes - der var ikke tale om personfølsomme data, der var tale om et frakoblet system under nedlukning, og der var ikke tale om at ILVA med overlæg ikke ville slette data.
Alt i alt en rimelig tilgang til sagen - 100K er immervæk stadig væk en bøde, og det er jo pointeret at den "kun" er på den størrelse fordi der var tale om uagtsomhed, første gang, og ikke følsomme data.
Så der er intet belæg for at påstå at virksomhederne bare kan lægge sig om på den anden side og ikke foretage sig noget - der kan sagtens komme andre sager som er (langt mere) grove, og hvor der så bliver sanktioneret derefter.
På mig virker det som om at nogen nærmest har fråde om munden, bare et firma tillader sig at have et kunderegister - måske de selv samme personer burde begynde at overveje et tiltag mod den GDPR bombe de selv slæber rundt med i lommen!
Enig og jeg vil tilføje hvad også er meget vigtigt: "Der er ingen skadelidte." Der har ikke været nogen læk, så data er blevet misbrugt.
Der er ikke KONSTATERET nogen skadelidte.
Det er jo ikke sådan at de skadelidte ligger i sygesenge. Problemet med læk af data, er jo netop at det kan være enormt svært at konstatere.
Ved man om afslaget på livsforsikringen, eller jobansøgningen er delvis begrundet i lækkede data ?
Der kan sagtens være sket læk af data, uden at ILVA er klar over det, og iøvrigt kan de ikke siges at være sandhedsvidner i den sag.
Det er i et gammlet system som som ikke er aktivt og derfor næppe let tilgængeligt fra hackere udefra.
Det tror jeg ikke man kan konkludere.
Bare fordi et system er gammelt, og ikke i egentlig brug, så betyder det jo ikke at systemet er koblet af det interne net.
Og så er der tværtimod tale om usupporteret kode, evt. med masser af kendte sikkerhedsbrister. Altså kan der være meget større risiko for læk af data her, end fra det nye system.
Søren, hele idéen med fælleseuropæiske regler og dermed bødeniveau på området var jo netop at give befolkningerne i hele EU tillid til digitalisering.
Den idé går helt fløjten dels hvis bødeniveauet for identiske forseelser er meget lavere i Danmark end i resten af EU, dels hvis organisationer kan begynde at spekulere økonomisk i at det kan være billigere at se stort på reglerne, holdt op mod risikoen for at blive opdaget sammenholdt med størrelsen af sanktionen.
Jeg tænker at den kun går en gang for ILVA.
Hvis Datatilsynet så kommer igen når også Landsretten har talt - og det håber jeg de gør - og hvis de så finder forholdende uændrede, så må de mødes i retten igen.
Anden gang kan de ikke sige det vidste de ikke, og bøden var jo ikke så stor første gang.... Mon retten stadig vil gå lavt i bødeniveau?
Den dom kan kun gøre mig stolt over at være dansker. Vi løber ikke bare med på vognen og uddeler tosse-store bøder, men ser lige på alvorligheden i forseelsen. Så godt gået domstol.
jeg vil tilføje hvad også er meget vigtigt: "Der er ingen skadelidte."
Det bør ikke give rabat på straffen, at man ikke har konstateret et læk. Hele idéen med at data skal slettes, er jo netop, at så længe de bliver opbevaret, er der risiko for misbrug.
Misbrug behøver i øvrigt ikke at være i form af læk. Det kan også være i form af medarbejdere, der som led i deres arbejde tilgår oplysninger, som virksomheden ikke burde have.
Stoler man ikke på domstolene eller? Det fremhæves at det er data som i en telefonbog gasnke harmløst. Det er i et gammlet system som som ikke er aktivt og derfor næppe let tilgængeligt fra hackere udefra. De gamle systemer var ikke gearet til at slette data efter aller g Skat kræver data 10 år bagud som der er tale om her. Så hvor kommer de skarpe argumenter/holdninger fra.
Enig og jeg vil tilføje hvad også er meget vigtigt: "Der er ingen skadelidte." Der har ikke været nogen læk, så data er blevet misbrugt.
Så dilemmaet er derfor stor for pointen i artiklen er stadig valid. Incitamentet til at værne om forbrugernes data falder desværre nok.
For de fleste beslutningstagere kan ikke gennemskue kompleksiteten i deres systemlandskab og hvordan data flyder. Så de kigger på bødens størrelse og holder den op mod omkostningerne ved at rydde op i legacy systemer.
Så teknisk gæld, ifht data, kommer nok til at blive tilbagebetalt over længere tid fremover.......
Heldigvis bliver dommen beskrevet i bunden, og så er det vel meget forståeligt at bøden blev reduceret. Det havde jo trods alt blot data af “almindelig og ikke personfølsom karakter”, altså ligesom i vores gamle navnebøger fra teleselskaberne.
Og det kan vel ikke umiddelbart let sammenlignes med Taxa, hvor en tur til en bøssebar jo potentielt kan sige noget personfølsomt, og lokalitetsdata er vist følsomme generelt.