15 bødesager og et utal af andre sanktioner.

Det er, hvad Datatilsynets håndhævelse af GDPR-reglerne indtil videre har kostet kommuner og regioner.

Da den daværende VLAK-regering stik imod dansk retstradition for godt et halvt årti siden valgte at indføre bøder til myndighederne for brud på databeskyttelsesreglerne, lagde man fra EU’s side vægt på, at bøderne skulle være effektive, proportionale og afskrækkende.

Alene beslutningen sendte rystelser gennem kommunedanmark, og KL har siden kritiseret tiltaget.

Risikoen for store bøder udløste decideret “frygt og en overdreven forsigtighedskultur”, lød det fx i 2020 i en længere skriftlig advarsel i form af et benspændskatalog, der udpenslede, hvor stor en byrde GDPR var for kommunerne. 

Siden har Datatilsynet samlet indstillet kommuner og regioner til bøder for knap tre mio. kr. Spørgsmålet er, om de har den afskrækkende effekt, som de var tiltænkt. 

50.000 kr. fattigere

Størstedelen af de 15 kommuner og regioner, som er blevet politianmeldt og dermed indstillet til bøder, oplyser til Kommunen.dk, at ethvert databrud - bøde eller ej - giver anledning til øget opmærksomhed på at sikre, at reglerne bliver overholdt.

“Så i praksis har bøden blot betydet, at vi har 50.000 kr. mindre til at drive kommune for,” lyder det i et skriftligt svar fra Lolland Kommune, hvis sag blev afgjort med et bødeforlæg i 2023.

Her havde man ifølge Datatilsynet forsømt helt basale sikkerhedsforanstaltninger ved ikke at sikre sig, at medarbejdere ikke kunne omgå kravet om adgangskoder på kommunens mobile enheder.

Ifølge Henrik Udsen, professor i databeskyttelsesret på Københavns Universitet, tyder det på, at kommuner og regioner ikke selv oplever bøder som adfærdsregulerende. Men på trods af det, og at man dårligt kan betegne situationen som en bøderegn, mener flere eksperter alligevel, at de kan have en vis effekt.

- Det er først nu, vi begynder at få et vist antal, og hvis man ser på kommunestørrelser og bødestørrelser, er det ikke noget, der sprænger rammerne i forhold til de budgetter, de har, siger han.

- Men der ligger en psykologi i, at bøderne i hvert fald kan få en vis størrelse.

Artiklen fortsætter under kortet.

Afskrækkende eller ej?

Lillejuleaften blev den hidtil største bøde til en offentlig myndighed uddelt, da byretten i Kolding afsagde dom i en sag mod Region Syddanmark, som i over tre år havde haft en bøde på en mio. kr. hængende over hovedet. 

Flere tusind patienters følsomme data havde i to tilfælde været kompromitteret. I det ene lå oplysninger om 3.915 patienter via en PowerPoint præsentation gennem næsten tre år tilgængelig på regionens hjemmeside, og i det andet kunne uvedkommende i over et år tilgå personoplysninger og helbredsoplysninger om mere end 23.000 borgere, herunder mindreårige tilknyttet psykiatrien. 

Regionen, der nægtede sig skyldig, forklarede sikkerhedsbruddene med menneskelige fejl og ankede kort efter nytår dommen. 

Størstedelen af bøderne til kommunerne ligger på mellem 50.000-200.000 kr., men i efteråret blev Lyngby-Taarbæk kommunal højdespringer, da kommunen blev indstillet til en bøde på 350.000-400.000 kr. i en sag, som endnu afventer at komme for retten.

I alt har Datatilsynet indstillet to regioner til bøder, foruden Region Syddanmark gælder det Midtjylland med en indstilling på 400.000 kr.

Hvorvidt bøderne i sig selv har en afskrækkende effekt er ifølge Henrik Udsen svært at sige.

Grundlæggende er kommunerne forpligtet til at overholde loven, så at de risikerer at blive sanktioneret med en bøde, er næppe i sig selv udslagsgivende for, om de overholder GDPR-reglerne, mener han.  

Et rap over fingrene

Ifølge Søren Sandfeld Jakobsen, juraprofessor på CBS med fokus på bl.a. databeskyttelsesret, har bøderne haft en signalværdi:

- Det skal være et rap over fingrene og give overskrifter. Der er politisk og driftsmæssig bøvl og ballade med bøderne, og det håber jeg virker afskrækkende, siger han.

Til gengæld mener han, det er hensigtsmæssigt, at de ligger i den lave ende, for bøderne til det offentlige handler overvejende om retsfølelse og ikke økonomi. Selvom man besluttede, at de ikke skulle være så store, at de kunne vælte de offentlige budgetter, rammer de alligevel servicen, påpeger han.

Derfor skulle bøderne tilskynde til bedre datasikkerhed uden at “skyde gråspurve med kanoner”, forklarer Søren Sandfeld Jakobsen. 

Og det viser de nuværende sager, at man i den grad lever op til, forklarer han. 

- Desuden er myndigheder også en politisk organisation, og når en kommune har gjort noget galt og får en bøde, så er det en ubehagelig sag uanset bødens størrelse, siger han. 

Det er selvfølgelig heller ikke rart for den afdeling, der skal ind og forklare, at der nu ryger en million ud af kassen, som kunne have været brugt på noget bedre, bemærker Henrik Udsen. Men også mindre kontante sanktioner kan have effekt, så i det samlede billede er bøderne bare én af flere ting, som tilsammen gør, at man prøver at overholde reglerne.

Som eksempel nævner han Helsingør Kommune, der blev omdrejningspunkt for det, der siden er blevet kendt som Chromebook-sagen.

Her førte kommunens manglende overholdelse af databeskyttelsesreglerne ad flere omgange både til alvorlig kritik, påbud, forbud og suspension. Et markant eksempel, mener Henrik Udsen, som illustrerer, at der er redskaber, der kan opleves mere byrdefuldt end bøder, og som kan få myndighederne til at rette ind. 

Siden GDPR-reglerne trådte i kraft har Datatilsynet da også i 56 tilfælde truffet afgørelser, der har ført til kritik, alvorlig kritik, påbud, forbud, advarsel, suspension og/eller politianmeldelse af en kommune. 

For regionernes vedkommende har 13 afgørelser ført til en eller flere af førnævnte sanktioner. 

Ser man bort fra Chromebooksagen, hvor i alt 53 kommuner fik påbud, er det kun godt en tredjedel (34) af kommunerne, der har fået en sanktion, mens ingen region er gået fri.  

Artiklen fortsætter under diagrammet.

Professor: Personligt ansvar har større effekt

Stod det til professor i forvaltningsret på Aalborg Universitet Sten Bønsing, var GDPR-bøder til den offentlige sektor aldrig blevet indført.

- Hele pointen er, at man skal ramme der, hvor det gør ondt. Private virksomheder, der er sat i verden for at tjene penge, skal man ramme på pengepungen, siger han.

Myndigheder, derimod, er ikke sat i verden for at tjene penge, men for at levere service. Et hospital, der bliver idømt en bøde, vil i yderste konsekvens aflyse behandlinger, operere færre nye hofter, eller gå bodsgang til staten og bede om flere penge, påpeger han - en konsekvens, han også inden indførelsen advarede om. 

Han anerkender, at bøder kan have en vis præventiv effekt, men de er ikke det mest effektive middel. Det ville det personlige ansvar derimod være. 

- Det ville have en meget større effekt. Jeg tror virkelig, der er nogen offentlige ansatte, der ville komme på dupperne, hvis de frygtede en personlig bøde eller fængsel, siger han.

I virkeligheden har man i det offentlige en lang tradition for disciplinære sanktioner og at pålægge ansatte et personligt strafansvar, når de tilsidesætter deres pligter, forklarer Sten Bønsing.

- Sådan er det jo at være offentligt ansat. Heldigvis hører det med til billedet af det personlige ansvar, at man skal have handlet forsætligt eller groft uagtsomt, understreger han.

“voldsom skærpelse” af ansvar

I Region Syddanmark oplever it-direktør Morten Lundgaard byrettens dom som “en voldsom skærpelse” af regionens ansvar. 

Selvom det, som han siger, er “træls” at flytte en million kr. fra én offentlig kasse til en anden og bruge en masse ressourcer på det, er det ikke selve bøden han opponerer imod. Det er mere den forskelsbehandling, han mener, den er udtryk for. 

Når han ser på, hvordan andre er sluppet med kritik eller påbud, i hvad han opfatter som sammenlignelige sager, mener han slet ikke, at regionen burde have været indstillet til nogen bøde. 

Som han ser det, er der ikke nogen rød tråd i Datatilsynets tilgang til at politianmelde sager. I bund og grund mener han, at regionen er blevet offer for forskelsbehandling.

- Vi synes, det er hårdt, at vi i modsætning til andre dataansvarlige i tilsvarende situationer er blevet meldt til politiet og har fået en bøde. Vi kunne godt tænke os at være lige for loven, siger han.

Kommunen.dk har forelagt kritikken for Datatilsynet, som ikke ønsker at udtale sig om den verserende sag, men oplyser, at man altid vurderer de faktiske forhold sag for sag.

I tråd med hensigten

Ifølge KL er det “unødvendigt at sætte det store system i gang for at udstede bøder”. For det er jo tid og ressourcer, som i stedet kunne bruges på borgerne.

- GDPR har medført mange ændringer i kommunernes arbejde, og når en kommune modtager et påbud eller en påtale fra Datatilsynet, bliver der rettet op – og det sker, uanset om der følger en bøde med, lyder det i et skriftligt svar fra kontorchef Pia Færch.

Men med de foreløbigt 15 bødesager mener Søren Sandfeld Jakobsen, at man har lagt snittet helt i tråd med lovens hensigt. 

- Man er meget loyal overfor det formål, man havde i lovforarbejderne, fordi bøderne ikke er vanvittigt høje. Der er nogle enkelte, der bonger ud, men ellers er niveauet i den lave ende, siger han.

- Det var helt tilsigtet, at det skulle gøre ondt på private. Men når det offentlige også er så stor en databehandler, skal de så gå fri?