Læk af persondata kan koste millionbøder

EU vil indføre sanktioner på op imod 7,5 millioner kroner til myndigheder, der ikke håndterer omgang med personlige oplysninger korrekt. Helt ude af proportioner, mener KL.

straf

Af Sine Riis Lund | [email protected]

Hidtil er de danske kommuner kun blevet mødt med løftede pegefingre, hvis de ved en fejl har offentliggjort borgeres personlige oplysninger på nettet.

Men nu skærper EU markant indsatsen over for virksomheder og myndigheder. Tidligere i januar fremlagde Europa-Parlamentet sine ændringsforslag til en ny forordning om databeskyttelse, og her bakker Parlamentet op om Kommissionens forslag til bøder på op imod 7,5 millioner kroner, hvis offentlige myndigheder ikke lever op til de nye regler.

- Vi mener ikke, der er proportioner i de her bødeforlæg, og så er vi helt generelt imod, at det offentlige kan få bøder for det her, fordi kommunernes behandling af persondata jo ikke sker med profit for øje, fortæller konsulent Birgit Øbakke fra KL’s EU-kontor.

EU vil indføre tre gradueringer af bøder på henholdsvis 1,9 millioner kroner, 3,7 millioner kroner og 7,5 millioner kroner alt efter forseelsens karakter.

For eksempel sanktioneres det efter den mindste beløbsgrænse, hvis en borger får for sen indsigt i personoplysninger, mens en dyrere straf kan komme i spil, hvis en kommune ikke rettidigt anmelder brud på datapersonsikkerheden.

- Det her strider simpelthen imod dansk rets­tradition, og vi frygter, at det kan føre til en glidebane, så hver gang der kommer en ny forordning, så kan du også lige sætte et bødeniveau fra EU’s side, siger Birgit Øbakke.

I dag kan Datatilsynet højst udtale kritik, når kommuner bryder persondataloven. Flere andre europæiske lande kan derimod allerede

tildele økonomiske sanktioner. Denne mulighed fik den engelske tilsynsmyndighed i 2010, og siden har 19 lokale myndigheder fået bøder på i alt 17 millioner kroner. Det fik i december måned tilsynet til at udtale en harsk kritik.

- Der er tydeligvis et grundlæggende problem med databeskyttelse på det lokale niveau, lød det blandt andet fra information commissioner Christopher Graham, der mente, at alt for mange kommuner ikke syntes at have erkendt, at persondata handler om rigtige mennesker.

Databrud fra lokale myndigheder er heller ikke et ukendt fænomen i Danmark, oplyser Datatilsynet.

- Vi har da haft mange sager de senere år, hvor kommuner har offentliggjort personnumre eller følsomme personoplysninger på hjemmesider, siger kontorchef Lena Andersen, der gerne ser, at Danmark var bedre til at beskytte oplysninger, men som ikke kan sige, om bøder er vejen frem.

Efter forespørgsel fra Kommunen har Datatilsynet set på antallet af behandlede klager over kommunerne de sidste to år. Umiddelbart viser tallene, at Datatilsynet i 2011 har færdigbehandlet 35 sager, mens tallet i 2012 lå på 50. Tallene er dog behæftet med en del usikkerhed, blandt andet fordi tallene ikke indeholder sager, som Datatilsynet har taget op af egen drift, og karakteren af sagerne desuden kan spænde vidt.

Menneskelige fejl

KL indrømmer gerne, at brud på datasikkerheden sker i kommunerne, men vurderingen er, at årsagen oftest har været menneskelige fejl.

- Og om du så giver bøder i millionklassen, så vil menneskelige fejl jo stadig eksistere. Det høje bødeniveau afspejler, at Europa-Kommissionen har tænkt på de store virksomheder - ikke de offentlige myndigheder, siger Birgit Øbakke.

KL står langt fra alene med kritikken. Den største organisation for lokale og regionale myndigheder i Europa, The Council of European Municipalities, har i et positionspapir kraftigt taget afstand fra forordningen om databeskyttelse og dets konsekvenser for de offentlige myndigheder med mange af de samme argumenter som KL. Organisationen har samtidig henvist til, at bøderne er ude af proportioner med de lokale og regionale budgetter.

Frygten er overdrevet

Kritikken preller dog mere eller mindre af på europa-parlamentariker Jan Philipp Albrecht, der er ordfører for forordningen om databeskyttelse for Europa-Parlamentets udvalg om borgernes rettigheder og retlige og indre anliggender.

Han henviser til, at der er udtrykt stor opbakning til forordningen fra politikere og partier bredt set, og at frygten for de store bøder er klart overdrevet.

- Det er meget vigtigt at understrege, at man jo også bare kan pålægge én euro som sanktion. Det her er maksimumbeløb. Jeg har indtryk af, at der er en del misforståelser omkring de her sanktioner som skyldes lobbyister og særligt virksomheder, der slet ikke ønsker sanktioner, siger Jan Philipp Albrecht, der i EU hører til gruppen De Grønne/Den Europæiske Fri Alliance.

Han henviser til, at Kommissionen i sit allerførste udkast lagde op til endnu strengere bøder, men at de blev nedsat i andet udkast, og det er disse beløb, som Europa-Parlamentet ønsker bevaret.

- Det er klart, at sanktionerne mod myndigheder ikke vil blive lige så høje som mod et kæmpe firma, men det er også klart, at en myndighed skal respektere reglerne og kan blive sanktioneret. Men vi i parlamentet har styrket ordlyden omkring, at de her sanktioner selvfølgelig skal være proportionelle, siger han.

Imod alle odds

KL og de øvrige kritiske myndigheder i Europa får formenligt en svær sag at kæmpe for. Indtil nu tegner det nemlig til, at flertallet i Europa-Parlamentet i store træk er på linje med Kommissionens ønske om sanktioner og tæt regulering på området. Samtidigt har Irland formandskabet i EU det næste halve år, og irerne ser gerne en tæt regulering på området, og har gjort forordningen om databeskyttelse til en af sine hovedprioriteter. Sagen er desuden kommunikativ svær at løfte, fordi næsten al opmærksomhed er rettet mod de store sociale virksomheder som Facebook og Google og de virksomheder, der lever af nethandel. De færreste er nemlig uenige i, at lovgivningen her trænger til en væsentlig opstramning.

Bøderne er sådan set langt fra det største problem for de danske myndigheder. Flere af forordningens forslag kan betyde væsentlige administrative byrder for den offentlige sektor. Blandt andet kan Danmark blive nødt til at justere eller helt skrotte en række af de blanketter, forordninger og løsninger, der er lavet i forbindelse med den fællesoffentlige digitaliseringsstrategi, fordi de ikke kommer til at lave op til EU’s nye krav.

Fælles for alle

Også The Council of European Municipalities er bekymret for de administrative konsekvenser.

- Den foreslåede forordning vil kraftigt forøge de administrative byrder og skabe omkostninger for de lokale og regionale myndigheder uden faktisk at gavne borgerne, skrev organisationen til Kommissionens forslag.

Nu skal KL og de øvrige myndigheder i Europa have læst de flere hundrede sider igennem fra Europa-Parlamentet for præcist at finde ud af, om der på nogle områder er lempet på kravene. Det europæiske ønske om kun at lade forordningen gælde private virksomheder og i stedet revidere det nuværende direktiv for den offentlige sektors vedkommende, får dog en kold skulder af Jan Philipp Albrecht.

- Databeskyttelse er en grundlæggende rettighed, der går på tværs af private og offentlige grænser, og det er blevet fremhævet af mange jurisdiktioner og konstitutioner igen og igen, fordi der konstant er datastrøm mellem private og offentlige områder. Tværtimod ser jeg mange farer ved en opdeling, siger han.

Justitsministeriet har ’ikke på nuværende tidspunkt’ beregnet de økonomiske konsekvenser af forslaget, men ministeriet oplyser, at Danmark sammen med en lang række andre lande i Ministerrådet har det som meget høj prioritet at nedbringe de administrative omkostninger ved forslaget.

EU

Social & sundhed

Tilmeld dig nyhedsbrevet