Ny persondataforordning: Se og Hør-sag kan åbne for mere magt til Datatilsynet

Der er udsigt til, at Finanstilsynets rolle på persondataområdet neddrosles.

Det fremtidige Datatilsyn kan få udvidet sine beføjelser til at være overordnet tilsynsmyndighed, når det gælder persondata inden for alle områder af det danske samfund. Bortset fra ét.

Det fremgår af en ny 1.200 sider lang betænkning fra Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen samt samtlige ministerier, som beskriver, hvordan nye regler fra EU om databeskyttelse kommer til at påvirke dansk lovgivning. Link til dokument

Netop Datatilsynets fremtidige rolle har været genstand for mange spekulationer i forbindelse med implementeringen af den nye persondataforordning.

Baggrunden for Datatilsynets mulige forøgede magt er blandt andet den såkaldte Se og Hør-sag, hvor en systemoperatør i Nets/PBS blev kendt skyldig i at skaffe sig adgang til kreditkortoplysninger på kendte personer - og at udlevere oplysningerne til Se og Hør om mindst 135 offentligt kendte personer.

I forbindelse med sagen var det imidlertid Finanstilsynet, som gav påbud til Nets for svigtende it-sikkerhed efter lækagen af de følsomme personoplysninger.

»Beskyttelsen af personoplysninger er i dag omfattet af regler i flere forskellige love og under tilsyn af flere myndigheder,« lyder det i betænkningen. Ud over Datatilsynet har Domstolsstyrelsen, Finanstilsynet og Forbrugerombudsmanden tilsynsforpligtelser på området.

Men det kan altså være en saga blot, at ansvaret er spredt ud på mange myndigheder.

»Der er i forbindelse med kortlægningen af beskyttelse af oplysninger om borgernes elektroniske betalinger som følge af den såkaldte Se og Hør-sag blevet peget på, at der mangler en klar afgrænsning mellem disse forskellige tilsynsførende myndigheders kompetencer, og at der mangler et formaliseret samarbejde mellem myndighederne,« lyder det i betænkningen.

»En sådan klar afgræsning kunne komme i forbindelse med vedtagelsen af en ny persondatalov.«

Der peges på, at Datatilsynet vil blive ansvarlig for tilsyn på alle områder inden for persondataforordningens område, »mens de øvrige tilsyn, Finanstilsynet og Forbrugerombudsmanden, der ikke har status som uafhængige tilsynsmyndigheder, vil alene have karakter af supplerende tilsyn i forhold til Datatilsynets generelle tilsyn.«

Tilbage står, at Domstolsstyrelsen stadig vil beholde ansvaret for tilsyn med behandling af personoplysninger for domstolene.

Et andet område, der har været genstand for mange spekulationer er, om der med Persondataforordningen bliver åbnet for bøder til offentlige instanser. Det giver betænkningen imidlertid intet svar på:

»Der vil i forbindelse med vedtagelsen af en ny persondatalov skulle tages stilling til, hvorvidt der skal gives adgang til at pålægge offentlige myndigheder bøder,« lyder det

Lovforslag til efteråret

I øvrigt fremgår det af pressemeddelelsen fra Justitsministeriet, at danske persondataregler i høj grad vil fortsætte som i dag, men fremover vil offentlige myndigheder bl.a. skulle ansætte en databeskyttelsesrådgiver, og hvis der sker brud på persondatasikkerheden, skal det indberettes.

Men organisationer, virksomheder og offentlige myndigheder, som i dag følger persondataloven er ifølge Jusitsministeriet rigtig godt på vej til at efterleve de nye regler, som får virkning fra den 25. maj 2018. Nogle af de nye elementer er bl.a.:

  • Databeskyttelsesrådgiver. Offentlige myndigheder og enkelte private virksomheder vil skulle udpege en såkaldt databeskyttelsesrådgiver. Databeskyttelsesrådgiveren skal understøtte, at den dataansvarlige overholder reglerne i forordningen.
  • Indberetning af sikkerhedsbrud. Hvis der sker brud på sikkerheden, skal virksomheder og myndigheder indberette det til Datatilsynet.
  • Markant forhøjelse af strafferammerne for bøder, hvis virksomheder bryder reglerne.

Regeringen vil til efteråret fremsætte et forslag til en ny persondatalov på baggrund af betænkningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Biering Blogger

Efter at have læst blot enkelte udvalgte dele af de 1200 sider, har jeg nogle kritikpunkter til betænkningen.

Teknisk fejl! Under ca. 10% af teksten er søgbar, hvilket er et væsentligt problem, hvis man gerne vil afsøge et emne/problemstilling på tværs af kapitlerne i et så omfattende dokument (samme problem observeret på 4 PDF læsere på både Win og Mac). Er det mon muligt for Justitsministeriet at rense dokumentet op og lave en fuldt søgbar PDF-udgave?

Mangel Gennemgangen af ændringer ifm samtykke savner fuldstændigt behandling af den væsentlige ændring fra nuværende praksis, det britiske datatilsynsmyndighed ICO gør opmærksom på i sin draft vejledning fra marts i år. Nemlig at det ikke længere vil være tilstrækkeligt at angive hvilken afgrænset type formål, der søges samtykke til, men at samtlige tredjeparter som modtager data (f.eks. til "markedsføringsformål") skal nævnes explicit i samtykkeerklæringen. Uden at tage stilling til om denne fortolkning er rigtig, er det under alle omstændigheder noget som det er vigtigt at de danske myndigheder forholder sig aktivt til, da det kan være væsentligt for ganske mange markedsaktører.

Mærkværdighed Der er ligeledes en stor forskel mellem betænkningens ordlyd og ICO's samtykkevejledning, når det gælder beskrivelsen af den registreredes samtykke på områder, hvor der kunne være alternative behandlingshjemler.

ICO's anviser (side 11 i ovenstående link) at man på forhånd undersøger situationen og aldrig beder om samtykke til behandlinger, man også vil påberåbe sig andre hjemler til at udføre. Og antyder at andet ville være være "misleading" eller "inherently unfair" hvilke begreber vi jo i DK har både aftalelov og markedsføringslov til at håndtere.

Den danske betænkning (side 177) er derimod helt blottet for tanken om at samtykket udgør en del af aftalegrundlaget for brugerens valg af tjenesten:
"Hvis et samtykke trækkes tilbage, og der oprindeligt var hjemmel til behandlingen af hensyn til en legitim interesse vil behandlingen kunne fortsætte efter denne hjemmel. Endvidere vil en behandling også kunne fortsætte, hvis samtykket trækkes tilbage, såfremt der efterfølgende er mulighed for at benytte en anden behandlingshjemmel."

  • 2
  • 0
René Nielsen

Jeg håber at kompetencerne samles men jeg tvivler på at der for alvor vil ske noget markant anderledes i det offentliges brug/misbrug af persondata.

Det skyldes at embedsværket jo ikke har interesse i bøder eller andre former for sanktioner imod sig selv. Normen synes at være, at ”vi er hævet over loven” og folketingspolitikerne ser sig selv som en slags direktion i selskabet ”Kongeriget Danmark” og vi har ”folk” til den slags praktiske detaljer.

At de ”folk” i embedsværket har en åbenlyst interesse i aldrig at blive draget til ansvar, gør at lovene aldrig effektivt vil gøre embedsværket ansvarlig for deres forsømmelser.

Folketingpolitikerne burde stille sig selv det spørgsmål om sanktioner som bøder virker. Hvis bøder virker adfærdsregulerende over for personer/virksomheder, så virker det nok også adfærdsregulerende over for embedsværket.

  • 1
  • 0
Mette Nikander

Der har været diskutteret en del hvorvidt det giver mening at udstede bøder til det offentlige, med spørgsmål om hvilken kasse skulle pengene i givet fald gå til og ville de ikke blot ende det samme sted som de kom fra?

Mit forslag er at bøderne (som også kan gå til det offentlige), kan gå til en "kasse", hvor midlerne SKAL bruges til IT Sikkerhedsinformation /uddannelse af skolebørn (skolebørn bliver allerede koblet til nettet i 1. klasse), samt alle studieretninger og desuden bør der også være oplysning til borgerne i al almindelighed F.eks. gennem OBS udsendelser og informationsvideo'er på nettet. På den måde er bøderne med til at styrke Security Awareness i samfundet, hvilket jo netop er det EU persondataforordningen stiler imod.

  • 0
  • 0
Bjarne Nielsen

Folketingpolitikerne burde stille sig selv det spørgsmål om sanktioner som bøder virker. Hvis bøder virker adfærdsregulerende over for personer/virksomheder, så virker det nok også adfærdsregulerende over for embedsværket.

Sikkerhed har en pris. "Bøder" sikrer at mangel på sikkerhed også får en synlig pris.

Størrelsen skulle gerne gøre, at man naturligt foretrækker at designe løsningerne sikkert. F.eks. ved at det er værd at overveje dataminimering, for uden bøder, så er det nemmeste og billigste jo at lave en pokemon-agtig collect them all ... for en "sikkerheds" skyld. Og sådan kunne jeg blive ved.

  • 1
  • 0
Log ind eller Opret konto for at kommentere