da
da
sv

Konsekvensfrit? Kun fire i EU har fået GDPR-bøder

10 min

Siden den nye GDPR-lovgivning trådte i kraft sidste år, har Datatilsynet modtaget 2.780 anmeldelser om databrud. Alligevel er ingen sager blevet rejst, og de manglende konsekvenser undrer en persondataekspert. ’Bøderne skal nok komme’, siger Datatilsynet.

I august sidste år modtog Datatilsynet en anmeldelse om en alvorlig sikkerhedsbrist hos Nordens største portal for samtaleterapi, GoMentor. Her var flere yderst følsomme persondata om eksempelvis klienters stofmisbrug, sexliv eller stress-sygdomme ved en fejl blevet lækket til andre brugere – altså et alvorligt brud på databeskyttelsesforordningen. Anmeldelsen var kommet fra en portalbruger, da GoMentor angiveligt ikke selv var bekendt med bruddet.

Datatilsynet påbegyndte herefter en sagsbehandling for at skaffe dokumentation til at rejse en straffesag, men ventede hele tre måneder med at kontakte GoMentor om sikkerhedsbristen i deres system. Noget som tilsynet efterfølgende høstede stor kritik for, og som siden fik Folketingets Retsudvalg til at kaldt justitsminister Søren Pape Poulsen (K) i samråd om Datatilsynets ageren i sagen.

Ovenstående er desværre et godt eksempel på, hvordan Datatilsynets arbejdsprocesser har haltet, siden databeskyttelsesforordningen (også kendt som dataforordningen, persondataforordningen eller blot GDPR (General Data Protection Regulation)) trådte i kraft 25. maj 2018.

Den 6. februar kunne Datatilsynet oplyse, at man havde modtaget 2.780 anmeldelser om persondatasikkerhedsbrud i perioden fra 25. maj til 31. december 2018, men på trods af anmeldelserne har dataovertrædelserne endnu ikke resulteret i nogen sager eller sanktioner. Det skyldes, at Datatilsynet ikke har politianmeldt nogen sikkerhedsbrud, og det undrer professor i informationsret og persondataekspert, Søren Sandfeld Jakobsen fra Aalborg Universitet.

”Det er forundrende, at der ikke er sket noget endnu. Allerede i sensommeren fik vi at vide, at de første bødesager ville komme til efteråret, men så blev det udsat til sidst på efteråret og så igen til januar. Nu har de rykket det til marts, men hvor mange gange skal det rykkes? Jeg synes godt, man kan undre sig over, at der skal gå så mange måneder, for vi har ventet længe – alt for længe”, lyder det fra Søren Sandfeld Jakobsen.

Også hos Dansk Erhverv har man kigget langt efter de varslede GDPR-bøder. Især fordi mange af erhvervs- og arbejdsgiverorganisationens medlemmer har haft en del udfordringer ved at få implementeret de omfattende regler, som ifølge en analyse fra Dansk Erhverv har kostet danske virksomheder 8 milliarder kroner i udgifter.

”Vi har fået tudet ørene fulde af, at nu kom det her nye, store bødeniveau, så der er da ingen tvivl om, at vi gerne snart ser nogle afgørelser, så vi kan få en idé om bødernes størrelse”, lyder det fra Sven Petersen, der er erhvervsjuridisk fagchef og advokat hos Dansk Erhverv. Han møder enighed hos Søren Sandfeld Jakobsen.

”Lige nu aner vi ikke, hvor mange sager der kommer over de næste år eller hvilket leje, bøderne kommer til at ligge på. Vi går alle og venter – også for virksomhedernes retssikkerheds skyld. Om bøden er høj eller lav, så er der ikke noget, der er værre end uvished”, mener han og understreger, at det ikke er Datatilsynet selv, men en officiel anklagemyndighed, der fastlægger en bødes omfang – dog med vejledning fra Datatilsynet.

I sidste ende er det dog op til en domstol at afgøre, om et databrud skal straffes med bøde.

”Her i Danmark er det ikke Datatilsynet, der udsteder bøderne, da man overgiver sagerne til politiet, der overgiver dem til anklagemyndighederne. Herefter vil de blive ført som enhver anden straffesag”, forklarer han.

En omfattende proces

På EU-plan har GDPR heller ikke fået bødeblokken på overarbejde. Ifølge en undersøgelse fra advokatfirmaet DLA Piper har der været 59.000 databrud i Europa siden 25. maj 2018, men kun fire europæiske virksomheder har modtaget bøder – deriblandt Google, der den 21. januar 2019 fik tildelt en bøde på 50 millioner euro af den franske tilsynsmyndighed (CNIL). De tre resterende bøder har været væsentligt lavere og har ligget på henholdsvis  400.000 euro, 20.000 euro og 4.800 euro.

Ifølge samme undersøgelse er Danmark det land i EU med tredje flest anmeldelser i forhold til indbyggertal, men hvor mange bøder de hjemlige anmeldelser vil kaste af sig er fortsat uvist. Ifølge en opgørelse fra Datatilsynet forventes 1.400 af de 2.780 anmeldelser i Danmark enten at resultere i ingenting eller i kritik fra tilsynet, mens cirka 700 anmeldelser fortsat er under behandling. Samtidig genovervejer man cirka 600 anmeldelser. Begge disse grupper af sager kan ende med politianmeldelse og i sidste ende bøder.

Ifølge Datatilsynet fordeler anmeldelserne sig med 53% fra private dataansvarlige, 44% fra offentlige dataansvarlige, mens 3% kategoriseres som fra ’forskellige’. Samtidig kan Datatilsynet konstatere, at to ud af tre anmeldelser går på oplysninger, der er sendt til den forkerte modtager – oftest ved en menneskelig fejl i afsendelsesøjeblikket.

Det oplyses, at det kun er ganske få af anmeldelserne, der ikke har indeholdt et brud på persondatasikkerheden, så de udeblevne konsekvenser skyldes ikke over-rapportering eller fejlanmeldelser. Dermed kan det undre, hvorfor den længevarslede databeskyttelsesforordning endnu ikke har ført til nogen sager, men ifølge Datatilsynet er der tale om en omfattende proces.

”Gennemløbstiden for et fuld sagsbehandlingsflow, indenfor dette område, er længere end den tid, der er gået, siden forordningen trådte i kraft. Vi har ikke kunne nå at få sager i gennem hele politi- og domstolsapparatet og efterfølgende nå til en afgørelse. Men de kommer på et tidspunkt, og når det sker, så begynder sagerne at komme løbende og i et relativt højere antal”, fortæller Allan Frank, der er it-sikkerhedsspecialist & cand.jur. hos Datatilsynet.

Han forklarer, at de første sager er meget tæt på at blive politianmeldt, men at forløbet har trukket ud, da der har været mange spørgsmål at tage stilling til.

”Det har i høj grad handlet om at finde ud af, hvad der faktuelt har været op og ned i disse sager. Det tager et stykke tid at komme igennem, og så handler det også om at finde det rigtige sanktionsniveau. Vi er nødt til at fastsætte bødeniveauet ud fra, hvad vi tror, det kommer til at ligge på. Herefter kommer vi med en indstilling til anklagemyndigheden på baggrund af, hvad vi tror, der holder i retten”, siger Allan Frank og tilføjer, at han ligesom mange andre er spændt på udfaldet af de første sager, der vil blive rejst.

Første sager sender vigtigt signal

Også Søren Sandfeld Jakobsen venter i spænding på de første straffesager, da de ifølge ham kan indikere, hvorvidt den nye databeskyttelsesforordning rent faktisk slår hårdere ned på databrud, eller om konsekvenserne i virkeligheden er meget begrænsede.

”Vi ved, at Datatilsynet forbereder sagerne til politiet, som jo ikke er eksperter i persondata. Det er det, de er i gang med nu, og hvis man i de første sager, der bliver rejst, går efter nogle høje bøder, så er det en indikation på, at hammeren formentlig nok skal falde. Hvis bøderne til gengæld viser sig at være lave, så er det berettiget at tale om ringe konsekvenser”, siger han og tilføjer:

”Til syvende og sidst kommer det an på, hvad man kan overbevise en domstol om, for selvom Datatilsynet lægger op til millioner af kroner, så er det ikke sikkert, at domstolen vil følge tilsynet”.

Han tilkendegiver samtidig, at processen uden tvivl har været besværlig, og at man i Danmark formentlig slås med de samme udfordringer som i resten af EU.

”Vi mangler at blive klogere, og det er garanteret det samme, der foregår i de andre lande. Der ligger en kæmpe bunke sager, som alle skal gennemgås og vurderes i forhold til hinanden, ligesom man skal beslutte, hvilket bødeniveau man lægger op til. Jeg tror, at man har svært ved at finde rundt i det, fordi mange lige skal lære de nye regler at kende”, lyder det fra Søren Sandfeld Jakobsen.

Grundet antallet af anmeldelser har Datatilsynet allerede meldt ud, at man i 2019 vil føre et øget GDPR-tilsyn med en række private virksomheder og offentlige myndigheder for at forebygge fremtidige databrud.