Rigspolitiet sender danske persondata til USA i strid med persondataloven

Datatilsynet kritiserer Rigspolitiet for at overføre persondata til en amerikansk databehandler uden tilladelse.

Rigspolitiet har overført persondata til en databehandler i USA uden at have overholdt de formelle krav. Det viser en afgørelse på et tilsyn, som Datatilsynet har ført af Rigspolitiet.

Rigspolitiet må gerne sende persondata til virksomheder uden for EU, men kun hvis overførslen baserer sig på EU-Kommissionens standardkontraktbestemmelser - eller alternativt har fået Datatilsynets tilladelse på forhånd.

Datatilsynet skriver, at Rigspolitiet har overført persondata til den amerikanske databehandler Chainalysis, der arbejder med at spore, pågribe og få pengevaskere og cyberkriminelle dømt.

Persondataene er sendt under en ‘ad hoc-kontrakt’. Der er altså foretaget ændringer i forhold til kommissionens standardkontrakt. Dermed er overførslen ulovlig, medmindre man i stedet har indhentet tilladelse fra Datatilsynet. Det var dog ikke sket.

Datatilsynet omtaler det i afgørelsen som »kritisabelt«.

Må ikke længere sende data

Datatilsynet skal give særskilt tilladelse til at overføre persondata til tredjelande, der ikke »sikrer et tilstrækkeligt beskyttelsesniveau«, som det står i persondatalovens § 27. Men eftersom Rigspolitiet ikke har søgt tilladelse, får det nu Datatilsynet til at sætte en stopper for dataoverførslen.

»Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.,« skriver Datatilsynet i afgørelsen.

For lidt kontrol

Datatilsynet kontrollerede ligeledes, om Rigspolitiet har ført kontrol med alle de databehandlere, som de sender persondata til. Rigspolitiet skal sikre, at databehandlerne har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen. Men i under halvdelen af tilfældene har Rigspolitiet undersøgt, om databehandlerne har de påkrævede sikkerhedsforanstaltninger.

Samtidig har Rigspolitiet ikke konsekvent gennemgået egne sikkerhedsregler, som ellers er krævet efter sikkerhedsbekendtgørelsen.

Rigspolitiets databeskyttelseschef, Christian Svanberg, understreger, at Datatilsynets kritik – som han dog fastslår, at politiet tager alvorligt – ikke går på, at oplysninger er blevet lækket, eller at uvedkommende har haft adgang til oplysninger, de ikke skulle have adgang til.

»Kritikken knytter sig til nogle af de formelle krav, som vi skal efterleve, bl.a. når vi indgår aftaler med eksterne parter. Vi er enige med Datatilsynet i, at der skal rettes op på de angivne forhold. Det er allerede sket, og vi vil også fremover have skærpet opmærksomhed på de punkter, som Datatilsynet har påpeget,« lyder kommentaren i en e-mail til Version2.

På baggrund af kritikpunkterne anmoder Datatilsynet Rigspolitiet om en redegørelse for, hvordan myndigheden i fremtiden vil efterleve persondataloven og sikkerhedsbekendtgørelsen. Redegørelsen skal ligge hos Datatilsynet senest den 23. oktober.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Rigspolitiets databeskyttelseschef Christian Svanberg udtalelse er rent spin. Man kan ikke gradbøje loven – enten er det lovligt eller også er det ikke tilfældet.

Hvad skal jeg sige til politiet hvis jeg bliver taget i det samme – henvise til Christian Svanberg udtalelse om at formelle krav ikke betyder noget?

Men Christian Svanberg udtalelse berører noget vigtigere, nemlig at politiet i stadigt stigende omfang ikke overholder loven, men også et politi som med stor nidkærhed slår ned på borgere som uforvarende overtræder formalia.

En ven af mig tog for 2 år siden på ferie og betalte via netbanken sin enmandsvirksomheds moms ugen før afrejse. Da han kom hjem fra 2 ugers ferie var det til en bøde og en politianmeldelse.

Pengene var returneret og i Skats afstumpede logik havde han ikke betalt sin moms til tiden idet Skat havde returnet pengene da han havde betalt 6 dage for tidligt, så det kostede ham en bøde og strafrenter samt politianmeldelse.

Denne rigide form for lovgivning overfor landets borgere er på ingen måde usædvanlig. Og nu påstår Rigspolitiets databeskyttelseschef Christian Svanberg at formelle krav ikke betyder noget.

Jo det betyder noget, for det han kalder formelle krav – er i virkeligheden hans undersøgelse af om hans påtænkte databehandler (af dybt fortrolige oplysninger) lever op til lovkravene.

Eksemplets magt er en del af det danske DNA, så politiet burde øjeblikkelig smide Chainalysis ud som leverandør da udbuddet/kontrakten ikke lever op til lovens krav, samt fyrer de ansvarlige hos politiet.

Chainalysis har forhåbentligt skrevet under på at ville overholde dansk lov, så de er pr. definition heller ikke uvidende om deres manglende godkendelse.

Mogens Rasmussen

Politiet har deres egen agenda,- de agere som en stat i staten. Sager de ikke har lyst til at opklare/afklare, bliver blot henlagt med begrundelsen at det er der ikke ressourcer til. Og politikerne kan da rende og hoppe,- de bestemmer da intet!
Vi anmeldte en sag til politiet om datasnyd for snart 10 år siden og den har da nu fået et nummer. Ellers er der intet sket. Men en sagkyndig EDB-mand klarede at få de nødvendige oplysninger frem på under en time!! Uhyggeligt så effektive politiet er ( humor kan forekomme).

René Nielsen

Skat ser ikke så meget på om det er moms, a-skat eller noget andet.

Det er som hovedregel afgiftsbeløbets størrelse som er afgørende for om Skat politianmelder, selvom andre faktorer spiller ind. Såsom om Skat tror at det er en bevist handling at et afgiftsbeløb ikke er betalt.

Er det tilfældet, er politianmeldelse hovedreglen. Men en politianmeldelse er jo ikke det samme som at politiet optager sagen eller at folk også bliver dømt.

Her kan du se en liste over sager

http://www.skat.dk/SKAT.aspx?oId=80859&type=Østre+Landsret

Min pointe var at myndigheder nidkært forfølger borgerne for overtrædelser af formalia, men selv ser stort på formalia. På listen ovenfor finder i en sag som http://www.skat.dk/SKAT.aspx?oid=2135041&vid=0

Det er ubestridt at manden var i Danmark for at byde på en veteranbil på en auktion.
Som han mødte op til. Handlen blev ikke til noget og formålet med pengene kunnes traces hele vejen fra hans bank til han blev stoppet i lufthavnen.

Han skulle have udfyldt en formular, som han ikke udfyldte. Det kostede ham en bøde på dkk 94.000 og 30 dages fængsel.

Men hvorfor skal den mand som ikke er tidligere straffet i fængsel og samtidig have en bøde når det er helt evident at der er tale om en forglemmelse?

Morten Christensen
Log ind eller Opret konto for at kommentere