Et dårligt system er ikke en undskyldning – og andre observationer om Datatilsynets afgørelser

Databeskyttelsesforordningen trådte i kraft 25. maj 2018, under stor offentlig bevågenhed. Det var et nyt område for mange, der aldrig før havde overvejet, om de overholdt persondataloven. Selv om forordningen bygger på de samme principper som persondataloven var der dog adskillige, som ventede i spænding på, hvordan Datatilsynet ville agere. Med forordningen fik Datatilsynet nemlig mulighed for at give bødeforlæg på op til 20 millioner euro – et nærmest svimlende beløb i forhold til den tidligere praksis, som typisk lå på højst 5.000 kr. for overtrædelse af databeskyttelsesloven. Men udover bøderne kan Datatilsynet også give både forbud og påbud. De muligheder havde Datatilsynet også før, men nu fører manglende overholdelse af forbud og påbud til bøde eller endda fængsel. Med andre ord burde Datatilsynets afgørelser nu have betydelig større vægt end tidligere på grund af de skærpede sanktioner.

Derfor har fagpersoner, der interesserer sig for persondataretten da også ventet i spænding på, at de første bøder ville blive givet så vi kunne se, hvilket niveau, Datatilsynet ville vælge. Det har ladet vente noget på sig, men den første afgørelse med et forslag til en bøde til taxa-selskabet 4×35 er nu blevet offentliggjort, og venter på at politiet og anklagemyndigheden afgør, om der skal rejses sag. Derudover har Datatilsynet offentliggjort otte afgørelser om databeskyttelsesforordningen, som altså ikke har resulteret i bøder. Det er derfor væsentligt at tage et nærmere kig på sagerne, for at undersøge, om der kan udledes nogle fællestræk.

Dårlige systemløsninger er ikke en undskyldning

En række af de offentliggjorte afgørelser handler om situationer, hvor databeskyttelsesforordningen er blevet brudt, fordi de systemer, som virksomhederne brugte, ikke var designet til at kunne overholde reglerne. For at tage sagen om taxaselskabet 4×35 først, så handler den kort fortalt om, at selskabet opbevarede kundernes telefonnumre i fem år, sammen med oplysninger om, hvilke adresser, kunderne var blevet kørt til og fra.[1] Grunden til dette var, at selskabets databaser benyttede telefonnumrene som stamdata. Selskabet opbevarede altså ikke numrene for at kunne komme i kontakt med kunderne, eller for at kunne fremsøge oplysninger om kunderne, men udelukkende fordi, det var sådan, dets systemer var indrettet. Det resulterede i, at selskabet opbevarede knap ni mio. telefonnumre, uden gyldig grund, hvilket Datatilsynet vurderede var en overtrædelse af både dataminimeringsprincippet om, at man ikke må opbevare flere oplysninger end nødvendigt samt opbevaringsbegrænsningsprincippet om, at man ikke må opbevare oplysninger i længere tid end nødvendigt.[2] Den potentielle bøderamme for en sådan overtrædelse var 20 mio. euro, men Datatilsynet har foreslået en bøde på 1,2 mio. kr. Selv om bøden er høj, er der altså stadig langt op til bødeloftet. Datatilsynet har dermed signaleret, at selvom overtrædelsen handler om store mængder af oplysninger, så er vi langt fra de værste overtrædelser man kan forestille sig. I betragtning af, at det ikke tyder på, at oplysningerne er blevet brugt til noget ulovligt, og at der trods alt ”kun” var tale om telefonnumre og andre kundeoplysninger, virker det som en rimelig vurdering. Samtidig er bøden væsentlig større end, hvad vi tidligere har set i Danmark, så det er tydeligt, at Datatilsynet ikke har tænkt sig at fastholde tidligere praksis.

Sagen om taxaselskabet er imidlertid ikke den eneste nye afgørelse, der handler om dårlige systemløsninger. I februar i år kom der en afgørelse om TDC’s registrering af trafik- og lokaliseringsdata.[3] Den er noget mere kompliceret end 3X34 taxa-sagen, men handler grundlæggende om, at TDC (og øvrige teleselskaber) blev pålagt af regeringen, i den såkaldte logningsbekendtgørelse, at registrere lokationsdata for MMS-beskeder. En MMS-besked bliver imidlertid ikke sendt via et separat signal ligesom SMS-beskeder gør, men i stedet som data over internettet, hvilket vil sige, at der kun er tale om et udsving i dataforbruget. Derfor krævede en registrering af lokationsdata for MMS-beskeder, at TDC registrerede al trafik- og lokationsdata på deres brugere, for så senere at kunne finde den præcise lokation ved at sammenholde oplysningerne – hvis det altså blev nødvendigt. Igen var der tale om, at systemet ikke var bygget op, så det kunne håndtere de krav, der blev stillet. Datatilsynet mente i princippet det samme som i sagen om taxaselskabet nemlig, at dårlige systemer ikke er en undskyldning for at bryde databeskyttelsesreglerne. TDC kunne imidlertid nøjes med kritik, og fik i modsætning til taxaselskabet ikke nogen bøde. Dette skyldtes tilsyneladende, at teleselskaberne var blevet pålagt indsamlingen af lovgiverne, som havde vidst – men overhørt – at den ønskede indsamling ville kræve, at samtlige oplysninger blev logget. Derudover havde TDC ikke selv noget formål med indsamlingen, og havde kun iværksat den for at overholde logningsbekendtgørelsen. Endelig havde TDC stoppet indsamlingen på det tidspunkt, hvor afgørelsen blev afsagt.

I en tredje sag havde en registreret person anmodet om indsigt i tv-overvågningsoptagelser fra Wash World ApS, men da der optrådte andre registrerede personer på det samme bånd, og selskabet ikke teknisk kunne sløre de andre personer, var anmodningen blevet afslået.[4] Dette kritiserede Datatilsynet kraftigt, og det var altså endnu en gang ikke en god undskyldning, at systemet ikke var indrettet, så man kunne overholde lovgivningen. Der blev dog heller ikke givet nogen bøde i denne sag, sandsynligvis fordi selskabet på tidspunktet for afgørelsen faktisk havde efterkommet den registreredes anmodning.

En fjerde sag handlede om, at TDC optog kundesamtaler, men ikke bad om samtykke forud for optagelserne.[5] For det første kritiserede Datatilsynet, at TDC havde valgt at bruge behandlingsbetingelsen interesseafvejning (artikel 6, stk. 1, litra f), når samtykke var mere oplagt. For det andet kritiserede Datatilsynet, at grunden til, at TDC ikke ville indføre samtykke som behandlingsbetingelse var, at systemet ikke kunne håndtere det. I denne sag nedlagde Datatilsynet forbud mod, at TDC fremover optog samtalerne uden samtykke. Der blev altså ikke givet en bøde, men i stedet udstedt et forbud, hvilket alt andet lige også må betragtes som en mere effektiv foranstaltning her og nu.

Det kan altså foreløbigt konkluderes, at selv om det ikke er nogen undskyldning, at systemerne ikke kan håndtere oplysningerne lovligt, så er det en formildende omstændighed, hvis lovgiver har besluttet, at nogen instanser skal foretage en indsamling af oplysninger, som lovgiver vidste ville være ulovlig. Derudover kan det konkluderes, at Datatilsynet i høj grad vurderer hele situationen, før der træffes en afgørelse, og inddrager mange forskellige hensyn. Endelig ser det ud til, at tilsynet vælger den type af afgørelse, som er bedst egnet til at sikre, at reglerne overholdes fremadrettet.

De fleste sager bliver rejst på baggrund af en klage

Ud af de ni offentliggjorte sager er det kun en sag, der er opstået på baggrund af et planlagt tilsyn. De øvrige sager er startet af borgere, der har klaget til Datatilsynet. Dette stemmer overens med, at et af formålene med forordningen var at give borgerne mere kontrol over deres egne oplysninger. Der er i hvert fald en del borgere, som faktisk har formået at tage kontrollen tilbage ved at klage. Det kan dog undre, at der p.t. kun er offentliggjort ni afgørelser, når tilsynet i 2018 tog 317 sager op på baggrund af henvendelser fra borgerne.[6] Det vil sandsynligvis ikke give mening at offentliggøre samtlige afgørelser, da mange af dem forventeligt vil ligne hinanden. Men der må dog være langt flere end ni sager, der er egnet til offentliggørelse. I betragtning af, at kadencen for offentliggørelse af afgørelser er steget markant i den sidste måned, hvor fire af de ni afgørelser blev offentliggjort, kan man håbe, at der er langt flere afgørelser, der offentliggøres. Det ville i hvert fald være en stor hjælp for de mange borgere og instanser, der gerne vil overholde reglerne, men stadig føler sig usikre på, hvordan reglerne skal omsættes til praksis.

Lektor Ayo Næsborg-Andersen


[1] https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger/

[2] Databeskyttelsesforordningens artikel 5, stk. 1, litra c og e.

[3] https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/feb/klage-over-tdcs-registrering-af-trafik-og-lokaliseringsdata/

[4] https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/klage-over-wash-world-aps-haandtering-af-den-registreredes-anmodning-om-indsigt-i-tv-overvaagningsoptagelser/

[5] https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/apr/forbud-til-tdc-om-optagelse-af-telefonsamtaler-uden-samtykke/

[6] https://www.datatilsynet.dk/media/6962/aarsrapport_2018.pdf, s. 11

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google photo

Du kommenterer med din Google konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

Create your website at WordPress.com
Kom igang