Bøder til det offentlige ved overtrædelse af dataregler – naturligvis

Blog. Et af de spørgsmål, jeg som rådgiver og underviser har fået oftest siden Persondataforordningen blev vedtaget i april 2016 er, om offentlige virksomheder i Danmark kommer til at betale bøde for overtrædelse af reglerne. Det skal de ikke, siger regeringen, men det burde det. Alt andet sender et dårligt signal, og det forværres af, at vi skal levere vores oplysninger til det offentlige. 

For lige at opsummere, så har Danmark en specifik undtagelse i forordningen, som betyder, at offentlige myndigheder i Danmark ikke som udgangspunkt er omfattet af artikel 83, der fastsætter sanktionsreglerne.

Da bøderne alligevel tilfalder staten, har det fremherskende argument været, at man “bare” flytter rundt på pengene fra en kasse til en anden, men begge kasser tilhører alligevel staten.

Langt de fleste afgørelser hos Datatilsynet, som har udløst kritik eller den mere alvorlige skærpede kritik, er givet til offentlige myndigheder. Derfor forekommer det retssikkerhedsmæssigt betænkeligt, at det også fra maj 2018 kan gøre uden økonomiske sanktioner. Selv helt basale regler for lovlig håndtering af personlige oplysninger, har myndighederne ikke kunne leve op til, eksempelvis krav om databehandleraftaler.

Offentlige myndigheder i Danmark er formentlig de institutioner, der ligger inde med flest personlige oplysninger om borgerne – måske trods alt overgået af Facebook og Google – hvilket blandt andet kan tilskrive vores fantastiske digitale udviklingsniveau. Et niveau, som er uden sidestykke i Europa, og som vi som borgere nok tager for givet i dagligdagen. Det er kun når man på ferie i udlandet opdager, hvor svært det eksempelvis er at få blot en fornuftig internetforbindelse, at man bliver mindet om det.

De personlige oplysninger, som offentlige myndigheder behandler om borgerne i Danmark, er for langt de fleste tilfælde oplysninger, som behandles på grundlag af et lovkrav. Vi har altså ingen mulighed for at sige nej til behandlingen, fordi vores Folketing på demokratisk vis har besluttet, at de pågældende oplysninger er vigtige og relevante ud fra et samfundsmæssigt og demokratisk hensyn.

Det giver netop en ekstra forpligtelse for de offentlige myndigheder til at sørge for, at man gør det under overholdelse af persondatareglerne og den grundlæggende beskyttelse af personlige oplysninger.

Netop statens opgave

Må jeg erindre om, at beskyttelsen af personlige oplysninger er en grundrettighed, sikret i EU Chartret for grundlæggende rettigheder, Den europæiske Menneskerettighedskonvention, Grundloven m.fl. Det er altså netop statens opgave, at sikre, at denne grundrettighed beskyttes. På samme måde, som vores ytringsfrihed skal beskyttes. På samme måde som vores børn skal beskyttes mod udnyttelse, ja også indsatte i vores fængsler har rettigheder, som staten naturligvis ikke må krænke. Og der skal naturligvis være sanktioner forbundet med ikke at sikre den beskyttelse.

Når det kommer til beskyttelsen af personlige oplysninger i en relation, hvor man er tvunget til at afgive sine personlige oplysninger, så virker det retskrænkende, at tilsidesættelse af beskyttelsen ikke strafferetligt kan sanktioneres.

Det må alt andet lige være motiverende for eksempelvis en kommune at sikre overholdelsen af reglerne, når risikoen er at skulle betale en bøde på op til 20 mio. EUR. Også selvom bøden skal betales til den samme hånd, som fodrer en.

Det må alt andet lige være motiverende for den ansvarlige kommunalbestyrelse, kommunaldirektør, ja, selv den enkelte kommunale sagsbehandler, hvis manglende respekt og overholdelse af reglerne, kan få en alvorlig økonomisk konsekvens for arbejdsgiveren – især når pengene kommer til at mangle til servicering af borgerne.

Dårligt signal

Det er et meget dårligt signal at sende til de, som betros også vores mest følsomme personlige oplysninger, at der ikke er konsekvenser ved en tilsidesættelse af reglerne. Bevares, den enkelte sagsbehandler eller kommunaldirektøren vil formentlig kunne miste sit arbejde, men kollektivet ”det offentlige” mærker ikke en sanktion.

Læser man Justitsministeriets betænkning om persondataforordningen, bruges lange sætninger på at beskrive denne del, men konklusionen er, at de disciplinære muligheder overfor den enkelte ansatte er det, der skal bære respekten for grundrettigheden igennem.

På en lang række andre områder, kan det offentlige godt idømmes bøder for manglende overholdelse af reglerne. Hvorfor er det så problematisk, når det kommer til de regler, der skal beskytte en grundrettighed?

Det vil være det samme som, at en kommune, der ikke overholder arbejdsmiljøreglerne, kan gøre dette sanktionsfrit? Eller som bruger illegal arbejdskraft, kan gøre dette sanktionsfrit? Bevares, den pågældende kommunaldirektør vil formentlig miste sit arbejde, men kollektivet vil kunne fortsætte og budgetterne vil nå sammen.

Dataetisk er der derfor heller ingen diskussion om, at der skal være en endog alvorlig sanktion for overtrædelse af reglerne inden for netop det område, hvor vi som borgere ingen indflydelse har på håndteringen. Hvor vi ikke bare kan skifte til en anden leverandør.

Jeg støtter derfor til fulde professor Peter Blumes udtalelser i juli 2017 , og senest ved seminar i Forening for Persondataret. Modsat ham, sad jeg imidlertid ikke med i det ekspertudvalg, som også har lagt navn til betænkningen. Derfor kan det undre, at betænkningen ikke i højere grad problematiserer dette element, eller at der eksempelvis er ekspertindstillinger i betænkningen. Peter Blume har om nogen siddet med påvirkningsadgangen; men hans synspunkter er intet sted at finde i betænkningen. Jeg er sikker på, at Peter Blume har gjort, hvad han kunne, og han er bestemt ikke en mand uden gennemslagskraft og stamina.

Men det medfører mange overvejelser om værdien af betænkningen. Har arbejdet med betænkningen egentlig været så objektiv, som er den selv angiver at være? Husk på, at projektarbejdet er tænkt som i stort omfang at træde i stedet for det udvalgsarbejde, som normalt er en del af lovprocessen. I hvor høj grad er betænkningen udtryk for Justitsministeriets dagsorden, og i hvor høj grad har de såkaldte eksperter egentlig haft indflydelse på redegørelsen og haft adgang til indspark til de politiske overvejelser, der er omdrejningspunktet? Har eksperterne blot tjent til en blåstempling, som skal få Justitsministeriets dagsorden til at glide nemmere igennem hos politikerne? Jeg har nu hørt flere af de, der (frustrerede) har siddet med fingrene på tasterne, at der er tale om et bestillingsarbejde, der skulle validere opretholdelsen af den omfattende og på en række områder forskelligartede danske retstilstand. 

Der er ingen tvivl om, at de personer, der har siddet i ekspertudvalget, er dybt kompetente og vidende mennesker. Jeg vælger at tro, at de ikke vil lade sig spænde for en vogn, og derfor er der kun grund til bekymring i forhold til den videre behandling af de danske regler.  

Comments are closed.

Password Reset
Please enter your e-mail address. You will receive a new password via e-mail.