23948sdkhjf

Monty Python'sk rod: Når myndighederne fejler

En Monty Python-agtig sag om en tilsynsmyndighed, der selv forbryder sig mod de regler, den skal holde tilsyn med, giver alligevel stof - eller papir - til eftertanke.

JURA Det er altid sjovest at lære af andres ulykker - det ved de fleste vist; og det er netop, hvad vi kan af i hvert fald én af de nyeste afgørelser fra Datatilsynet. Datatilsynet har nemlig måttet give såkaldt alvorlig kritik af sig selv.

Det kan lyde småskizofrent, men den er god nok. I begyndelsen af august fandt en medarbejder hos Datatilsynet en større bunke papiraffald i en almindelig skraldespand. Det kunne ikke udelukkes, at papirerne indeholdt fortrolige eller følsomme oplysninger, og derfor burde papirerne have været makuleret.



Datatilsynet var i den forudgående periode flyttet til nye lokaler, og i forbindelse med flytningen havde tilsynet aftalt med den nye udlejer, at der skulle opstilles en beholder bestemt til makulering. Da denne beholder ikke blev opsat, anvendte personalet en helt almindelig skraldespand - måske i den tro, at papirerne så alligevel ville blive makuleret.

Da Datatilsynet fandt ud af, at der var et problem med papiraffaldet, blev der i stedet opsat en aflåst beholder i et kopirum med teksten "makulering" på.

Først fem dage efter konstateringen anmeldte Datatilsynet bruddet på virk.dk. De fem dage indeholdt en overskridelse af den lovfæstede tidsfrist på 72 timer - eller tre døgn.

Datatilsynet selv oplyste, at det var en menneskelig fejl, der havde medført, at bruddet først blev anmeldt efter fem døgn. På det interne plan havde Datatilsynet forsøgt at gennemgå sine procedurer for papirer, herunder i forhold til makulering m.v. Tilsvarende var anmeldelsesfristen blevet indskærpet.

Kunsten at kritisere sig selv

Datatilsynet skulle selv håndtere sagsbehandlingen, men på grund af den temmelig prekære situation måtte sagen afslutningsvist behandles hos Datarådet.

Datatilsynet kom frem til, at der var tale om et brud på persondatasikkerheden, fordi det ikke kunne udelukkes, at der havde været persondata, herunder fortroligt eller følsomt, i papirerne, og at det ikke kunne udelukkes, at disse var kommet uvedkommende i hænde.

Læs også: Ugyldige tavshedsklausuler fratager forbrugeren centrale rettigheder


Tilsvarende konstaterede Datatilsynet, at der ikke var truffet passende sikkerhedsforanstaltninger til at håndtere papirerne med den fornødne forsvarlighed - det var altså nok, at der var tænkt over, at der skulle makuleres - det skulle reelt set også gøres; og det skulle kontrolleres.

Datatilsynet oplyste omkring denne del - den manglende makulering - at tilsynet tidligere havde behandlet tilsvarende klager og generelt set havde afholdt sig fra at udtale kritik.

Med de vurderinger til start skulle Datatilsynet også vurdere, hvorvidt det var ok, at tidsfristen for anmeldelse var overskredet - ret markant. Svaret var klart: Det var IKKE i orden. Datatilsynet henviste også i denne forbindelse til tidligere behandlede sager, hvor tilsynet nok havde konstateret den for sene anmeldelse som et brud, men ikke som noget væsentligt.

Alvorlig kritik

Selvom Datatilsynet tidligere havde afholdt sig fra at udtale kritik, så valgte tilsynet - efter behandling af sagen på et møde i Datarådet - at udtale alvorlig kritik.

Alvorlig kritik er den højeste kritik, der kan gives - det næste skridt er bøde. Denne - berettigede - sanktion blev valgt ud fra, at Datatilsynet om nogen burde have styr på persondata og især de formelle regler omkring håndtering. Med andre ord, så kunne Datatilsynet ikke tåle at undlade det overfor sig selv; i hvert fald ikke, hvis de skal kunne påtale de formelle regler overfor enhver anden virksomhed, der forbryder sig imod dem.

Læs også: Kan man klage over en elbils rækkevidde?

På hjemmebane

Afgørelsen er jo langt hen ad vejen sjov, fordi den viser, at selv dem, der er sat til at vogte dydens smalle sti for os andre, kan falde af den - det er politimanden, der selv kører for stærkt - i politibilen...!

Men afgørelsen viser også, at virksomhederne måske nok kan få en rimelig lang snor til fortolkning af de regler, der kræver, at vi indfører "passende sikkerhedsforanstaltning", men at der ikke i samme omfang bliver set igennem fingre med fristregler m.v.

Netop fysiske papirer kan godt være en dræber rundt om i en række forskellige virksomheder. Bare tænk på håndværkerens bil, hvor hele førerhuset/kabinen er fyldt med dagens arbejdssedler, kunder, der skal ringes til m.v. Eller de mange små gule lapper med et navn, et telefonnummer og måske et registreringsnummer, der sidder på computerskærme rundt om på værkstederne eller hos bilforhandleren.

I 2020 har rigtig mange også arbejdet hjemme; noget, der kan være en uudtømmelig kilde til databrud af forskellige slags. Der kunne være tale om de fysiske prints, der skal bruges til at føre et lønbogholderi, eller fakturaer til kunderne, der skal sendes ud.

Husk at få taget stilling til, hvordan I vil håndtere dem - må der printes hjemme, og hvad gør vi med printet efter brug?

Og bortset fra de rent formelle regler, såsom tidsfrister, skal man selvfølgelig også huske de regler, der har et reelt indhold - huske at slette, sørge for at give medarbejdere og kunder de oplysninger, der er pligt til m.v.

Kommenter på artiklen
Tip redaktionen
Udvalgte artikler

Send til en kollega

0.125