Ny persondataforordning: Se og Hør-sag kan åbne for mere magt til Datatilsynet

24. maj 2017 kl. 15:114
Der er udsigt til, at Finanstilsynets rolle på persondataområdet neddrosles.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det fremtidige Datatilsyn kan få udvidet sine beføjelser til at være overordnet tilsynsmyndighed, når det gælder persondata inden for alle områder af det danske samfund. Bortset fra ét.

Det fremgår af en ny 1.200 sider lang betænkning fra Justitsministeriet, Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen samt samtlige ministerier, som beskriver, hvordan nye regler fra EU om databeskyttelse kommer til at påvirke dansk lovgivning. Link til dokument

Netop Datatilsynets fremtidige rolle har været genstand for mange spekulationer i forbindelse med implementeringen af den nye persondataforordning.

Baggrunden for Datatilsynets mulige forøgede magt er blandt andet den såkaldte Se og Hør-sag, hvor en systemoperatør i Nets/PBS blev kendt skyldig i at skaffe sig adgang til kreditkortoplysninger på kendte personer - og at udlevere oplysningerne til Se og Hør om mindst 135 offentligt kendte personer.

Artiklen fortsætter efter annoncen

I forbindelse med sagen var det imidlertid Finanstilsynet, som gav påbud til Nets for svigtende it-sikkerhed efter lækagen af de følsomme personoplysninger.

»Beskyttelsen af personoplysninger er i dag omfattet af regler i flere forskellige love og under tilsyn af flere myndigheder,« lyder det i betænkningen. Ud over Datatilsynet har Domstolsstyrelsen, Finanstilsynet og Forbrugerombudsmanden tilsynsforpligtelser på området.

Men det kan altså være en saga blot, at ansvaret er spredt ud på mange myndigheder.

»Der er i forbindelse med kortlægningen af beskyttelse af oplysninger om borgernes elektroniske betalinger som følge af den såkaldte Se og Hør-sag blevet peget på, at der mangler en klar afgrænsning mellem disse forskellige tilsynsførende myndigheders kompetencer, og at der mangler et formaliseret samarbejde mellem myndighederne,« lyder det i betænkningen.

Artiklen fortsætter efter annoncen

»En sådan klar afgræsning kunne komme i forbindelse med vedtagelsen af en ny persondatalov.«

Der peges på, at Datatilsynet vil blive ansvarlig for tilsyn på alle områder inden for persondataforordningens område, »mens de øvrige tilsyn, Finanstilsynet og Forbrugerombudsmanden, der ikke har status som uafhængige tilsynsmyndigheder, vil alene have karakter af supplerende tilsyn i forhold til Datatilsynets generelle tilsyn.«

Tilbage står, at Domstolsstyrelsen stadig vil beholde ansvaret for tilsyn med behandling af personoplysninger for domstolene.

Et andet område, der har været genstand for mange spekulationer er, om der med Persondataforordningen bliver åbnet for bøder til offentlige instanser. Det giver betænkningen imidlertid intet svar på:

»Der vil i forbindelse med vedtagelsen af en ny persondatalov skulle tages stilling til, hvorvidt der skal gives adgang til at pålægge offentlige myndigheder bøder,« lyder det

Lovforslag til efteråret

I øvrigt fremgår det af pressemeddelelsen fra Justitsministeriet, at danske persondataregler i høj grad vil fortsætte som i dag, men fremover vil offentlige myndigheder bl.a. skulle ansætte en databeskyttelsesrådgiver, og hvis der sker brud på persondatasikkerheden, skal det indberettes.

Men organisationer, virksomheder og offentlige myndigheder, som i dag følger persondataloven er ifølge Jusitsministeriet rigtig godt på vej til at efterleve de nye regler, som får virkning fra den 25. maj 2018. Nogle af de nye elementer er bl.a.:

  • Databeskyttelsesrådgiver. Offentlige myndigheder og enkelte private virksomheder vil skulle udpege en såkaldt databeskyttelsesrådgiver. Databeskyttelsesrådgiveren skal understøtte, at den dataansvarlige overholder reglerne i forordningen.
  • Indberetning af sikkerhedsbrud. Hvis der sker brud på sikkerheden, skal virksomheder og myndigheder indberette det til Datatilsynet.
  • Markant forhøjelse af strafferammerne for bøder, hvis virksomheder bryder reglerne.

Regeringen vil til efteråret fremsætte et forslag til en ny persondatalov på baggrund af betænkningen.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
29. maj 2017 kl. 12:01

Folketingpolitikerne burde stille sig selv det spørgsmål om sanktioner som bøder virker. Hvis bøder virker adfærdsregulerende over for personer/virksomheder, så virker det nok også adfærdsregulerende over for embedsværket.

Sikkerhed har en pris. "Bøder" sikrer at mangel på sikkerhed også får en synlig pris.

Størrelsen skulle gerne gøre, at man naturligt foretrækker at designe løsningerne sikkert. F.eks. ved at det er værd at overveje dataminimering, for uden bøder, så er det nemmeste og billigste jo at lave en pokemon-agtig collect them all ... for en "sikkerheds" skyld. Og sådan kunne jeg blive ved.

3
29. maj 2017 kl. 09:35

Der har været diskutteret en del hvorvidt det giver mening at udstede bøder til det offentlige, med spørgsmål om hvilken kasse skulle pengene i givet fald gå til og ville de ikke blot ende det samme sted som de kom fra?

Mit forslag er at bøderne (som også kan gå til det offentlige), kan gå til en "kasse", hvor midlerne SKAL bruges til IT Sikkerhedsinformation /uddannelse af skolebørn (skolebørn bliver allerede koblet til nettet i 1. klasse), samt alle studieretninger og desuden bør der også være oplysning til borgerne i al almindelighed F.eks. gennem OBS udsendelser og informationsvideo'er på nettet. På den måde er bøderne med til at styrke Security Awareness i samfundet, hvilket jo netop er det EU persondataforordningen stiler imod.

2
29. maj 2017 kl. 09:03

Jeg håber at kompetencerne samles men jeg tvivler på at der for alvor vil ske noget markant anderledes i det offentliges brug/misbrug af persondata.

Det skyldes at embedsværket jo ikke har interesse i bøder eller andre former for sanktioner imod sig selv. Normen synes at være, at ”vi er hævet over loven” og folketingspolitikerne ser sig selv som en slags direktion i selskabet ”Kongeriget Danmark” og vi har ”folk” til den slags praktiske detaljer.

At de ”folk” i embedsværket har en åbenlyst interesse i aldrig at blive draget til ansvar, gør at lovene aldrig effektivt vil gøre embedsværket ansvarlig for deres forsømmelser.

Folketingpolitikerne burde stille sig selv det spørgsmål om sanktioner som bøder virker. Hvis bøder virker adfærdsregulerende over for personer/virksomheder, så virker det nok også adfærdsregulerende over for embedsværket.

1
26. maj 2017 kl. 14:55

Efter at have læst blot enkelte udvalgte dele af de 1200 sider, har jeg nogle kritikpunkter til betænkningen.

Teknisk fejl! Under ca. 10% af teksten er søgbar, hvilket er et væsentligt problem, hvis man gerne vil afsøge et emne/problemstilling på tværs af kapitlerne i et så omfattende dokument (samme problem observeret på 4 PDF læsere på både Win og Mac). Er det mon muligt for Justitsministeriet at rense dokumentet op og lave en fuldt søgbar PDF-udgave?

Mangel Gennemgangen af ændringer ifm samtykke savner fuldstændigt behandling af den væsentlige ændring fra nuværende praksis, det britiske datatilsynsmyndighed ICO gør opmærksom på i sin draft vejledning fra marts i år. Nemlig at det ikke længere vil være tilstrækkeligt at angive hvilken afgrænset type formål, der søges samtykke til, men at samtlige tredjeparter som modtager data (f.eks. til "markedsføringsformål") skal nævnes explicit i samtykkeerklæringen. Uden at tage stilling til om denne fortolkning er rigtig, er det under alle omstændigheder noget som det er vigtigt at de danske myndigheder forholder sig aktivt til, da det kan være væsentligt for ganske mange markedsaktører.

Mærkværdighed Der er ligeledes en stor forskel mellem betænkningens ordlyd og ICO's samtykkevejledning, når det gælder beskrivelsen af den registreredes samtykke på områder, hvor der kunne være alternative behandlingshjemler.

ICO's anviser (side 11 i ovenstående link) at man på forhånd undersøger situationen og aldrig beder om samtykke til behandlinger, man også vil påberåbe sig andre hjemler til at udføre. Og antyder at andet ville være være "misleading" eller "inherently unfair" hvilke begreber vi jo i DK har både aftalelov og markedsføringslov til at håndtere.

Den danske betænkning (side 177) er derimod helt blottet for tanken om at samtykket udgør en del af aftalegrundlaget for brugerens valg af tjenesten:"Hvis et samtykke trækkes tilbage, og der oprindeligt var hjemmel til behandlingen af hensyn til en legitim interesse vil behandlingen kunne fortsætte efter denne hjemmel. Endvidere vil en behandling også kunne fortsætte, hvis samtykket trækkes tilbage, såfremt der efterfølgende er mulighed for at benytte en anden behandlingshjemmel."