JURA Det vel nok væsentligste arbejde - udadtil - er at få udarbejdet en privatlivspolitik eller en persondatapolitik - på tysk, og mere sigende, en datenschutzerklärung - altså en databeskyttelseserklæring. Dennes primære formål er at orientere den, man registrerer data om, om hvem man er, hvilke data man behandler, til hvilket formål og hvilke rettigheder den registrerede har.
Men én ting er den enkelte virksomheds arbejde med persondata - en anden ting er: Hvad skal det koste, hvis man træder ved siden af. I Danmark afventer vi endnu at se de første bøder, men efter Datatilsynets oplysninger er de "lige på trapperne". Spørgsmålet er bare, hvor lang, trappen er. I udlandet er de første bøder faldet - I Frankrig har Google netop modtaget en bøde på 50 mio. euro, i Portugal er der udstedt en bøde på 400.000 euro til en lægeklinik, og England har straffet Facebook med en bøde på 500.000 pund.
Disse beløb er astronomiske, men klart inden for rammerne af forordningen.
Vi forventer naturligvis også bøder i Danmark, men måske ikke helt i samme størrelsesorden. Det såkaldte pønale (dvs. det straffe-relaterede) element går fløjten, hvis bødens størrelse sender den enkelte virksomhed ud i konkurs. Det er en balancegang.
Uddelte næse til teleselskab
Datatilsynet har netop (februar 2019) offentliggjort en afgørelse, hvor sanktionen er en alvorlig kritik - dvs. en offentlig næse. Sagen er opstartet i 2016, men behandlet efter den nugældende persondataforordning.
Den handler om en krænkelse af et af de grundlæggende principper for håndtering af data, nemlig princippet om dataminimering: Man må ikke behandle flere data, end nødvendigt.
I sagen havde TDC i en årrække opsamlet og registreret trafik- og lokaliseringsdata fra mobiltelefoner på deres sendemaster, når mobiltelefonerne havde tilgået internettet. TDC var (og er) omfattet af en lovbestemt lognings-pligt iht. logningsbekendtgørelsen, der indeholder en række krav til de oplysninger, som teleudbydere skal indsamle og gemme i op til 1 år, med henblik på efterforskning og retsforfølgning af strafbare forhold.
De oplysninger, som skulle logges i medfør heraf, udgjorde kun ca. 1.6 % af de faktisk registrerede oplysninger.
En mobilbruger anmodede i 2015 om indsigt i de data, som TDC havde opsamlet om ham, og fandt i den forbindelse ud af, at TDC havde opsamlet endog særdeles meget materiale omkring ham, herunder især om hans "whereabouts", altså hvor han befandt sig. I alt havde TDC logget 11.366 lokaliseringsdata over en periode på 10 måneder - et ret voldsomt tal. Til sammenligning var der i perioden kun sendt 185 MMS’er og parterne var enige om, at der kun var krav om lokalitetslogning ved afsendelse af disse.
Mobilbrugeren klagede til såvel Erhvervsstyrelsen som Datatilsynet. Erhvervsstyrelsen udtalte, at logningen ikke var ulovlig iht. logningsbekendtgørelsen og foretog sig ikke yderligere i den henseende. Datatilsynet derimod gik til angreb på sagen.
Ophørte registreringerne
TDC udtalte til klagen, at de opsamlede data først kunne sammenstilles til én person, hvis de foretog sig noget aktivt - eksempelvis på baggrund af en anmodning fra politiet eller ved en indsigtsbegæring, som sket i det pågældende tilfælde.
Derudover henviste TDC til, at det ikke var systemteknisk muligt alene at opsamle de lovpligtige logningsoplysninger, hvilket branchen havde gjort opmærksom på allerede ved vedtagelsen af logningsbekendtgørelsen - men altså uden at vinde gehør.
En opdatering af systemerne ville være ekstremt dyrt. Endelig oplyste TDC, at de ikke havde en selvstændig interesse i at behandle de pågældende data, der således kun blev indsamlet og behandlet ud fra et ønske fra Justitsministeriets side til brug for politiets efterforskning m.v. og at den nødvendige validering af lokaliseringsdata kun kunne ske, hvis samtlige data var til rådighed.
I forbindelse med sagsbehandlingen hos Datatilsynet oplyste TDC dog i november 2018, at de var ophørt med registreringerne og at al tidligere indsamlet data var blevet slettet.
Datatilsynets afgørelse
Datatilsynet vurderede, at TDC’s indsamling af data, som ikke var lovpligtig, var i strid med kravet i GDPR om dataminimering.
I den forbindelse lagde Datatilsynet særlig vægt at kun en ganske lille del af de indsamlede oplysninger, var omfattet af logningspligten, at oplysningerne efter TDC’s egne oplysninger var unødvendige og endelig - og nok så væsentligt - at de økonomiske udfordringer, der var ved at opdele data, så det kun var de lovpligtige logninger, der blev foretaget - absolut ikke var nogen undskyldning.
Det eneste undskyldelige moment for TDC var, at de i efteråret 2018 havde taget konsekvensen og standset indsamlingen.
Trods den klokkeklare udtalelse om, at TDC i væsentligt omfang havde tilsidesat lovgivningen, så endte Datatilsynet med kun at give en alvorlig kritik - og altså ingen bøde.
Afgørelsen viser, at vi måske ikke skal være så angste for astronomiske bøder lige p.t. selvfølgelig vil de komme, men hvis man kan vise, at man har gjort et - mere eller mindre hæderligt - forsøg på at overholde lovgivningen, så falder den helt store hammer nok ikke i første omgang.
Til gengæld - og måske nok den væsentligste lektie, der kan udledes af afgørelsen - så skeler Datatilsynet IKKE til smålige hensyn, såsom økonomi eller lignende, når de ser på, om databeskyttelsen er på plads.
Det er og bliver den dataansvarliges ansvar at sikre, at de systemer, man benytter sig af, kan sikre data i overensstemmelse med lovgivningen.
Datatilsynet varsler bøder
GDPR er ikke længere synonym med en ukendt computervirus – selvom der har været forbavsende stille omkring persondata i pressen det sidste halve års tid, så virker det til, at langt de fleste virksomheder på den ene eller anden måde har igangsat arbejde omkring lovlig håndtering af persondata.
BREAKING