Rigspolitiet sender danske persondata til USA i strid med persondataloven

6. oktober 2017 kl. 05:1110
Datatilsynet kritiserer Rigspolitiet for at overføre persondata til en amerikansk databehandler uden tilladelse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Rigspolitiet har overført persondata til en databehandler i USA uden at have overholdt de formelle krav. Det viser en afgørelse på et tilsyn, som Datatilsynet har ført af Rigspolitiet.

Rigspolitiet må gerne sende persondata til virksomheder uden for EU, men kun hvis overførslen baserer sig på EU-Kommissionens standardkontraktbestemmelser - eller alternativt har fået Datatilsynets tilladelse på forhånd.

Datatilsynet skriver, at Rigspolitiet har overført persondata til den amerikanske databehandler Chainalysis, der arbejder med at spore, pågribe og få pengevaskere og cyberkriminelle dømt.

Persondataene er sendt under en ‘ad hoc-kontrakt’. Der er altså foretaget ændringer i forhold til kommissionens standardkontrakt. Dermed er overførslen ulovlig, medmindre man i stedet har indhentet tilladelse fra Datatilsynet. Det var dog ikke sket.

Artiklen fortsætter efter annoncen

Datatilsynet omtaler det i afgørelsen som »kritisabelt«.

Må ikke længere sende data

Datatilsynet skal give særskilt tilladelse til at overføre persondata til tredjelande, der ikke »sikrer et tilstrækkeligt beskyttelsesniveau«, som det står i persondatalovens § 27. Men eftersom Rigspolitiet ikke har søgt tilladelse, får det nu Datatilsynet til at sætte en stopper for dataoverførslen.

»Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.,« skriver Datatilsynet i afgørelsen.

For lidt kontrol

Datatilsynet kontrollerede ligeledes, om Rigspolitiet har ført kontrol med alle de databehandlere, som de sender persondata til. Rigspolitiet skal sikre, at databehandlerne har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen. Men i under halvdelen af tilfældene har Rigspolitiet undersøgt, om databehandlerne har de påkrævede sikkerhedsforanstaltninger.

Artiklen fortsætter efter annoncen

Samtidig har Rigspolitiet ikke konsekvent gennemgået egne sikkerhedsregler, som ellers er krævet efter sikkerhedsbekendtgørelsen.

Rigspolitiets databeskyttelseschef, Christian Svanberg, understreger, at Datatilsynets kritik – som han dog fastslår, at politiet tager alvorligt – ikke går på, at oplysninger er blevet lækket, eller at uvedkommende har haft adgang til oplysninger, de ikke skulle have adgang til.

»Kritikken knytter sig til nogle af de formelle krav, som vi skal efterleve, bl.a. når vi indgår aftaler med eksterne parter. Vi er enige med Datatilsynet i, at der skal rettes op på de angivne forhold. Det er allerede sket, og vi vil også fremover have skærpet opmærksomhed på de punkter, som Datatilsynet har påpeget,« lyder kommentaren i en e-mail til Version2.

På baggrund af kritikpunkterne anmoder Datatilsynet Rigspolitiet om en redegørelse for, hvordan myndigheden i fremtiden vil efterleve persondataloven og sikkerhedsbekendtgørelsen. Redegørelsen skal ligge hos Datatilsynet senest den 23. oktober.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
8. oktober 2017 kl. 19:31

Han fik ikke 30 dages fængsel, men en bøde på 94.000 kr.

Forkert Landsretten stadfæstede byretsdommen.

og byretten dømte følgede;

</p>
<p>T h i k e n d e s f o r r e t</p>
<p>Tiltalte T straffes med en bøde på 94.000 kr.</p>
<p>Forvandlingsstraffen er fængsel i 30 dage.</p>
<p>Tiltalte skal betale sagens omkostninger.

8
8. oktober 2017 kl. 17:20

Han fik ikke 30 dages fængsel, men en bøde på 94.000 kr.

7
6. oktober 2017 kl. 22:52

Skat ser ikke så meget på om det er moms, a-skat eller noget andet.

Det er som hovedregel afgiftsbeløbets størrelse som er afgørende for om Skat politianmelder, selvom andre faktorer spiller ind. Såsom om Skat tror at det er en bevist handling at et afgiftsbeløb ikke er betalt.

Er det tilfældet, er politianmeldelse hovedreglen. Men en politianmeldelse er jo ikke det samme som at politiet optager sagen eller at folk også bliver dømt.

Her kan du se en liste over sager

http://www.skat.dk/SKAT.aspx?oId=80859&type=Østre+Landsret

Min pointe var at myndigheder nidkært forfølger borgerne for overtrædelser af formalia, men selv ser stort på formalia. På listen ovenfor finder i en sag som http://www.skat.dk/SKAT.aspx?oid=2135041&vid=0

Det er ubestridt at manden var i Danmark for at byde på en veteranbil på en auktion. Som han mødte op til. Handlen blev ikke til noget og formålet med pengene kunnes traces hele vejen fra hans bank til han blev stoppet i lufthavnen.

Han skulle have udfyldt en formular, som han ikke udfyldte. Det kostede ham en bøde på dkk 94.000 og 30 dages fængsel.

Men hvorfor skal den mand som ikke er tidligere straffet i fængsel og samtidig have en bøde når det er helt evident at der er tale om en forglemmelse?

5
6. oktober 2017 kl. 18:58

Jeg har aldrig før hørt om, at Skat foretager politianmeldelse, fordi man ikke betaler sin moms til tiden. Er det virkelig korrekt?

4
6. oktober 2017 kl. 13:56

Politiet har deres egen agenda,- de agere som en stat i staten. Sager de ikke har lyst til at opklare/afklare, bliver blot henlagt med begrundelsen at det er der ikke ressourcer til. Og politikerne kan da rende og hoppe,- de bestemmer da intet! Vi anmeldte en sag til politiet om datasnyd for snart 10 år siden og den har da nu fået et nummer. Ellers er der intet sket. Men en sagkyndig EDB-mand klarede at få de nødvendige oplysninger frem på under en time!! Uhyggeligt så effektive politiet er ( humor kan forekomme).

3
6. oktober 2017 kl. 13:21

..... selvom det sikkert vil være en sag politiet henlægger grundet manglende ressourcer til efterforskning :)

2
6. oktober 2017 kl. 11:41

... politiets brug af Palantir ... kampflyene og deres uundgåelige behov for at være "online" ... der kommer helt sikkert mere af samme skuffe (som beslutningstagerne helt sikkert godt kunne ha' forudset, eller fået oplyst hvis de havde spurgt).

1
6. oktober 2017 kl. 10:29

Rigspolitiets databeskyttelseschef Christian Svanberg udtalelse er rent spin. Man kan ikke gradbøje loven – enten er det lovligt eller også er det ikke tilfældet.

Hvad skal jeg sige til politiet hvis jeg bliver taget i det samme – henvise til Christian Svanberg udtalelse om at formelle krav ikke betyder noget?

Men Christian Svanberg udtalelse berører noget vigtigere, nemlig at politiet i stadigt stigende omfang ikke overholder loven, men også et politi som med stor nidkærhed slår ned på borgere som uforvarende overtræder formalia.

En ven af mig tog for 2 år siden på ferie og betalte via netbanken sin enmandsvirksomheds moms ugen før afrejse. Da han kom hjem fra 2 ugers ferie var det til en bøde og en politianmeldelse.

Pengene var returneret og i Skats afstumpede logik havde han ikke betalt sin moms til tiden idet Skat havde returnet pengene da han havde betalt 6 dage for tidligt, så det kostede ham en bøde og strafrenter samt politianmeldelse.

Denne rigide form for lovgivning overfor landets borgere er på ingen måde usædvanlig. Og nu påstår Rigspolitiets databeskyttelseschef Christian Svanberg at formelle krav ikke betyder noget.

Jo det betyder noget, for det han kalder formelle krav – er i virkeligheden hans undersøgelse af om hans påtænkte databehandler (af dybt fortrolige oplysninger) lever op til lovkravene.

Eksemplets magt er en del af det danske DNA, så politiet burde øjeblikkelig smide Chainalysis ud som leverandør da udbuddet/kontrakten ikke lever op til lovens krav, samt fyrer de ansvarlige hos politiet.

Chainalysis har forhåbentligt skrevet under på at ville overholde dansk lov, så de er pr. definition heller ikke uvidende om deres manglende godkendelse.