Stort set siden den 25. maj sidste år, hvor alle virksomheder, organisationer og myndigheder skulle begynde at agere efter de nye databeskyttelsesregler, GDPR, har politianmeldelser og bøder været omdrejningspunkt i debatten om reglerne – og i virkeligheden allerede lang tid før dette tidspunkt. Frygten for en bøde på 4 % af den globale årsomsætning fik virksomhederne op i gear, og min egen branche har haft og har stadig et kraftigt fokus på rådgivning om GDPR, hjulpet godt på vej af bødehysteriet. Nogle har valgt at gøde bødehysteriet med slet skjulte advarsler om, hvor galt det kan gå, mens andre – inkl. mig selv – har taget et mere pragmatisk udgangspunkt og mindet om, at principperne i den danske straffelov altså stadig gælder, når danske domstole skal give bøder.
De 4 % af den globale årsomsætning/20 millioner EURO er de maksimale bødestørrelser, og bøder skal i det hele taget udmåles under hensyntagen til en lovovertrædelses grovhed kombineret med oplysninger om gerningsmanden. Ved grovheden tænkes særligt på den skete skade, fare og krænkelse, og om gerningsmanden var klar over disse forhold, eller burde have været det. For så vidt angår gerningsmanden, ser man både på objektive forhold (fx om økonomi) og på de mere subjektive, herunder motivet for lovovertrædelsen. Den globale årsomsætning er hermed blot et kriterium ud af mange, der skal lægges vægt på.
Det var en lang omvej for at nå frem til, at den første GDPR-bøde nu ser ud til at være undervejs i systemet. Datatilsynet offentliggjorde den 18. marts 2019 en afgørelse vedrørende Taxa 4x35’s behandling af personoplysninger. Afgørelsen er et resultat af et tilsynsbesøg hos Taxa 4x35, hvor Datatilsynet bl.a. havde fokus på sletning.
Datatilsynet har udtalt alvorlig kritik (som ligger forholdsvis højt oppe på tilsynets kritik-stige) af 4 forhold, og der er sket politianmeldelse for så vidt angår 2 af forholdene. Og hold nu vejret! Datatilsynet har indstillet til en bøde på 1,2 millioner kr. Det lyder sindsoprivende, men når man læser afgørelsen igennem, falder blodtrykket til et normalt niveau igen.
Her er lidt om sagen: Taxa 4x35 registrerer oplysninger om de ture, som vi som kunder bestiller hos dem. Oplysningerne inkluderer både navn, telefonnumre og lokationer, dato og tidspunkt for taxature, samt varighed.
Taxa 4x35 oplyste i forbindelse med tilsynsbesøget, at oplysningerne blev anonymiseret efter 2 år, hvorefter Taxa 4x35 ikke længere fandt oplysningerne nødvendige at opbevare. Men Taxa 4x35 slettede kun kundernes navne, og ikke telefonnumre, og derfor var det stadig muligt at tilbageføre oplysninger til kunderne udover en periode på 2 år. Telefonnumrene blev først slettet fra de øvrige oplysninger efter 5 år, og Datatilsynet har konstateret, at knap 9 millioner taxature var opbevaret i strid med reglerne. Om indstillingen til bødestørrelsen siges kun lidt, nemlig at den har baggrund i Taxa 4x35’s omsætning og sagens karakter i sin helhed.
Kritikken af Taxa 4x35 angår følgende punkter:
- Utilstrækkelig procedure for anonymisering
- Unødvendig opbevaring af personoplysninger
- Mangelfuld fastlæggelse og dokumentation af behandlingsgrundlag
- Manglende dokumentation/logning af sletning samt procedure herfor
Politianmeldelsen er indgivet i medfør af de to første punkter og relaterer sig til lige under 9 millioner behandlinger. Det er under 15 øre per ulovlig behandling. Jeg har ikke kunnet finde Taxa 4x35’s årsomsætning, men bruttoresultatet var lige over 42 millioner i 2017, så vi er under alle omstændigheder langt fra 4 % af årsomsætningen, og milevidt fra den maksimale bøde på 20 millioner EURO. 1,2 millioner er en høj bøde, men langt fra det bødehysteri, som nogen har forsøgt at tale os ind i. Det bliver interessant at se, hvad domstolene når frem til, men en foreløbig konklusion må under alle omstændigheder være, at Datatilsynet – selvfølgelig – har taget hensyn til principperne i den danske straffelov, og ikke har meldt sig ind i den bødehysteriske lejr.
Hvad nu?
Saglighed – proportionalitet – nødvendighed – formålsbegrænsning - ajourføring – sletning - dokumentation. Vi har hørt det tusinde gange – det er nærmest blevet messet de seneste år. Termerne er egentlig nemme nok at tage til sig – de emmer lidt af sund fornuft. Men det er en enorm opgave at få dem implementeret og dokumenteret. Vi skal ikke bare implementere termerne og tænke dem ind i den daglige behandling af personoplysninger. Vi skal også skrive ned, hvordan vi bruger termerne – der skal være regler for alting, og vi skal også selv kontrollere, at vi overholder de regler.
Saglighed – proportionalitet – nødvendighed – formålsbegrænsning - ajourføring – sletning - dokumentation. Vi har hørt det tusinde gange – det er nærmest blevet messet de seneste år. Termerne er egentlig nemme nok at tage til sig – de emmer lidt af sund fornuft
Både sagen vedrørende Taxa 4x35 og en anden sag fra februar vedrørende TDC understreger meget tydeligt, at den dataansvarliges betydelige og bekostelige besvær med at overholde databeskyttelsesreglerne på ingen måde friholder virksomhederne for bøder, når noget er uden for skiven. Tilsynet udtalte meget klart i sagen vedrørende TDC, at opbygningen af et it-system ikke kan begrunde manglende overholdelse af databeskyttelsesreglerne, ligesom eventuelle omkostninger forbundet med at etablere nye systemer, der gør det muligt alene at registrere de nødvendige oplysninger, heller ikke kan begrunde en manglende overholdelse af databeskyttelsesreglerne. I sagen vedrørende Taxa 4x35 udtalte tilsynet, at man ikke kan fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.
Uden at have gennemgået det fulde tilsynsmateriale, er der med de seneste afgørelser noget der tyder på, at Datatilsynet arbejder for, at vi fortsætter med at messe: Saglighed – proportionalitet – nødvendighed – formålsbegrænsning - ajourføring – sletning - dokumentation.
Ovenstående indlæg, indholdet og de fremsatte pointer er udelukkende udtryk for skribentens egen holdning.