Kommuner får særbehandling, når de bryder databeskyttelsesloven
Datatilsynet tager særlige hensyn til myndigheder og ikke virksomheder, når de giver bøder for databrud. Millionbøder kan nemlig ramme borgerne, mener forskere.
Den 10. marts markerede et nyt kapitel i den kommunale GDPR-fortælling. Gladsaxe og Hørsholm blev som de første myndigheder i Danmark indstillet til at få bøder for brud på databeskyttelsesloven. De to kommuner står til henholdsvis 100.000 kr. og 50.000 kr. i bøde.
Myndigheder kan på lige fod med private virksomheder blive indstillet til bøder. Men lovgivningen lægger op til, at kommuner og andre offentlige myndigheder får særbehandling, når det gælder brud på persondatasikkerheden.
Bødeloftet er nemlig lavere for myndigheder end private virksomheder, og samtidig skal der ifølge loven tages hensyn til, at myndighederne modsat private aktører har en lovbunden opgave, de skal udføre. Datatilsynet har i sagerne med de to kommunale GDPR-bøder desuden taget kommunernes størrelse i betragtning, da de skulle bestemme bødestørrelsen.
På trods af at de særlige hensyn til myndigheder kan betyde, at kommuner kan slippe billigere end private virksomheder for de samme databrud, giver det mening at forskelsbehandle, mener Ayo Næsborg Andersen, der er lektor i persondataret fra Syddansk Universitet.
- Jeg tror, forskelsbehandlingen er nødvendig, hvis vi vil undgå, at bøder går ud over borgerne. Bøder skal ikke være så høje, at kommunerne ikke kan udføre deres lovbundne opgaver, siger hun og fortsætter:
- Hvis et møbelfirma får en bøde, går det ud over omsætningen, og der er måske nogle kunder, der ikke får de tilbud, de er vant til. Hvis en kommune derimod får en bøde og mister nogle penge, så går det ikke ud over kommunen, men borgerne, siger hun.
Det ville være uheldigt, hvis offentlige myndigheder bliver så bange for at varetage deres opgaver, at de går i skyttegraven.
Skal ikke være bange for deres egen skygge
Fra start lå det dog ikke i kortene, at myndighederne skulle kunne få tildelt bøder. Det blev efter stort pres tilføjet den danske implementering af GDPR-forordningen af den daværende justitsminister Søren Pape Poulsen (K) i 2018. Argumentet var, at blandt andet kommuner skulle have incitament til at beskytte borgernes data ordentligt.
Men det er helt særligt, at myndigheder kan få tildelt bøder. Straffelovens udgangspunkt er faktisk det modsatte. Men i 2018 introducerede man altså muligheden i databeskyttelsesloven, pointerer Søren Sandfeld Jakobsen, der er professor i it- og persondataret ved CBS.
Ifølge ham kommer bøderne dog ikke helt uden problemer.
- Hvis en kommune skal betale en bøde til statskassen for et databrud, kommer den til at mangle noget i sin egen kasse. Så vil kommunen bare bede om penge fra statskassen igen for at kunne følge sine opgaver. Det er at give med den ene hånd og tage fra den anden, siger han.
Søren Sandfeld Jakobsen er samtidig enig i, at man skal undgå bøder, der vælter budgetterne, så servicen til borgerne ikke forværres. Desuden kan frygten for de store bøder også sætte sig i den daglige drift i kommunerne, mener han.
- Det ville være uheldigt, hvis offentlige myndigheder bliver så bange for at varetage deres opgaver, at de går i skyttegraven. Vi har brug for offentlige myndigheder, der tager initiativer og ikke er bange for deres egen skygge.
Datatilsynets indstillinger til bøder
- Gladsaxe Kommune blev indstillet til en bøde på 100.000 kr. af Datatilsynet for et brud på persondatasikkerheden, da en ukrypteret computer, indeholdende personoplysninger om 20.620 borgere, herunder oplysninger af følsom karakter og oplysninger om personnumre, blev stjålet fra Gladsaxe Rådhus.
- Hørsholm Kommune blev indstillet til en bøde på 50.000 kr. af Datatilsynet for et brud på persondatasikkerheden, da en ukrypteret computer indeholdende personoplysninger om cirka 1.600 af kommunens medarbejdere herunder oplysninger af følsom karakter og oplysninger om personnumre, blev stjålet fra en ansat i kommunens bil.
- Møbelfirmaet IDdesign A/S blev indstillet til en bøde på 1,5 mio. kr. af Datatilsynet, da virksomheden ikke havde slettet oplysninger om 385.000 kunder eller fastsat frister for sletning af samme oplysninger.
- Taxaselskabet Taxa 4x35 blev indstillet til en bøde på 1,2 mio. kr. for en overtrædelse af reglerne i databeskyttelsesforordningen for manglende sletning af oplysninger. Tilsynet vurderede, at firmaet havde gemt oplysninger om næsten ni millioner taxature uden et sagligt formål.
‘Hetz mod GDPR’
Bøderne kan på trods af, at de ikke har samme størrelse som de million-bøder, som to private virksomheder er indstillet til, godt have en positiv effekt på it-sikkerheden. Det mener formand for It Politisk Forening, Jesper Lund.
- Det er absolut rimeligt, at bødesatsen er lavere for kommunerne. Man skal nok ikke være blind for, at det har nogle helt anderledes politiske konsekvenser i en kommune, hvis de får en bøde, end hvis de bare får væsentlig kritik med stor fed skrift i et brev fra Datatilsynet, siger han.
Jesper Lund er dog ikke tilfreds med den indsats, som kommunerne yder i forhold til databeskyttelse og it-sikkerheden. Ifølge ham er problemet dog ikke bøder og bødestørrelser.
- Hetzen fra KL over for GDPR, og at de vil have slækket på databeskyttelseskravene, bekymrer mig mere end bøderne.Hvis kommunerne får held til at gennemføre det, kan vi være på vej mod en udvikling, der er ret uheldig for danskernes privatliv og beskyttelse af personlige oplysninger, siger han.
I 2019 var der i alt 7.307 anmeldelser om brud på persondatasikkerheden fordelt på de fire kvartaler. Her stod kommunerne for 2.379 af anmeldelserne, hvilket svarer til 32 pct.
