Persondata: Bøder i det offentlige er en papirtiger

Regeringen vil fremlægge et lovforslag, der skal gøre det muligt at idømme offentlige virksomheder og myndigheder store bøder for brud på reglerne om beskyttelse af persondata.

Det skriver Politiken torsdag i sidste uge.

Den bebudede lovgivning kommer efter pres fra Folketinget og erhvervsorganisationer.

Hele spørgsmålet om at give bøder for ikke at overholde reglerne om beskyttelse af persondata er en udløber af EU’s Persondataforordning, der træder i kraft til maj næste år.

Forordningen, der får umiddelbar retsvirkning i hele EU, fastlægger omfattende og komplicerede regler for, hvordan private virksomheder må håndtere borgernes persondata.

Overholdes reglerne ikke, kan private virksomheder blive idømt store bøder, der kan løbe op i mange millioner kroner.

I store træk er den offentlige sektor ikke omfattet af forordningen, og derfor kan man ikke give bøder til offentligt ejede virksomheder og myndigheder med Persondataforordningen i hånden.

Det skaber ulighed mellem private og offentlige virksomheder, og fortalerne for den planlagte, nationale lovgivning mener, at muligheden for at idømme bøder, vil medvirke til at motivere lederne i den offentlige sektor til at overholde reglerne.

Ethvert tiltag, der kan bidrage til, at den offentlige sektor håndterer persondata bedre, end det sker i dag, må hilses velkommen.

Men det bebudede lovforslag om at give bøder til offentlige virksomheder og myndigheder er ikke vejen frem.

Hvis et hospital får en bøde for at overtræde reglerne om beskyttelse af persondata, vil det gå ud over patienterne, fordi hospitalet vil have færre penge på budgettet.

Det samme gælder, hvis det er en børnehave, et offentligt trafikselskab eller en offentlig myndighed.

Det vil altid være brugerne, der kommer til at betale i form af forringet service.

At give en bøde til offentlige virksomheder og myndigheder for at overtræde reglerne om beskyttelse af persondata, føjer derfor spot til skade. Først sløser de med ens persondata, og fordi de gør det, får man efterfølgende en forringet service.

Forskellige regler

De regler, som offentlige virksomheder og myndigheder i Danmark fremover skal leve op til, kan ikke baseres på EU-reglerne.

Lovgivningen om offentlige virksomheders og myndigheders behandling af persondata er en national lovgivning, der er udformet efter andre principper end EU’s Persondataforordning, hvor der er fokus på, hvordan private virksomheder skal håndtere persondata.

Persondataforordningen giver for eksempel borgerne en ret til at “blive glemt” ved at få fjernet persondata fra registre i private virksomheder.

Men borgernes ret til at “blive glemt” gælder ikke for Kriminalregisteret eller CPR-registret, og forordningen giver heller ikke borgerne ret til at få deres persondata slettet hos Skat.

Et andet væsentligt element i Persondataforordningen er, at private virksomheder kun må indsamle og gøre brug af persondata efter, at borgerne har givet et klart samtykke.

Men offentlige myndigheder kan i de fleste tilfælde indsamle de persondata, de skønner at have behov for, uden at spørge om lov. Hvis man bliver stoppet af politiet for at have kørt for hurtigt, kan man ikke vælge at holde sine persondata for sig selv.

Private virksomheder må ikke samkøre persondata med andre private virksomheder. Offentlige myndigheder må i de fleste tilfælde samkøre persondata.

Så hvad er det for nogle regler for behandling af persondata, der skal kunne give bøde til offentlige virksomheder og myndigheder, hvis de overtrædes?

Det er i hvert fald ikke de samme regler, som dem der gælder for private virksomheder.

Sløseri

I forbindelse med indførelsen af Persondataforordningen har der været en del opmærksomhed om et enkelt af de mange forskellige forhold, der kan medføre bøder til private virksomheder, nemlig sløseri med sikkerheden omkring databaser, der indeholder persondata.

På netop det område, kunne man forestille sig, at offentlige virksomheder og myndigheder kunne underkastets ensartede regler.

For eksempel arbejder Sundhedsdatastyrelsen på at etablere en ny, national database med sundhedsdata.

Denne database kunne tænkes at blive mål for et professionelt angreb.

Hvis et sådant angreb fandt sted, og hvis det resulterede i tab af flere millioner borgeres sundhedsdata, så skulle det i følge fortalerne for loven kunne udløse en stor bøde til Sundhedsdatastyrelsen, der er en afdeling under Sundhedsministeriet.

Men hvad gavn skulle brugerne af den danske sundhedssektor have af en sådan bøde?

Bøde eller ej, så ville sagen med sikkerhed blive en varm kartoffel på sundhedsministerens bord, og sagen ville kunne koste både ministeren og en række topembedspersoner posten.

Men hvad skulle bøden gøre godt for?

Fortalerne for lovgivningen siger, at blot den teoretiske mulighed for at kunne få en bøde, vil få beslutningstagerne til at gøre mere for at beskytte deres databaser.

Ud fra den logik bliver der ingen ende på, hvilke former for ledelsessvigt i den offentlige sektor, der skal kunne medføre bøder til de institutioner, som de pågældende ledere er ansat i.

Men at styre ledelsesarbejdet i den offentlige sektor gennem uddeling af bøder til kommuner, hospitaler og ministerier, giver ingen mening.

Selvom den planlagte lov blev gennemført, vil private virksomheder fortsat kunne blive idømt bøder i multimillion-klassen for en lang række af overtrædelser, der aldrig vil kunne udløse en krone i bøde i den offentlige sektor, fordi der vil gælde vidt forskellige regler for, hvordan persondata må indsamles og anvendes.

Det vil derfor være så som så med lighed for loven mellem det private og det offentlige, og det ændrer den bebudede lovgivning intet ved.

Papirtiger

Private virksomheder vil fremover have den fordel, at de vil kunne appellere et bødeforlæg og få deres sag prøvet på et juridisk grundlag ved en domstol.

Det er vanskeligt at forestille sig noget lignende internt i den offentlige sektor, hvor bøder må forventes at blive uddelt administrativt og uden mulighed for prøvning ved en domstol.

Men de embedspersoner, der skal uddele bøden, vil sidde tilbage med ansvaret for, at ventelisterne til kræftbehandlingen lige får en tand i vejret, at børnehaven “Bakkehuset” må holde flere lukkedage eller, at Sundhedsministeriet skal afgive mange millioner kroner af et budget, der ellers var afsat til sundhedsformål.

Derfor vil loven næppe nogen sinde blive brugt, andet end for et syns skyld.

Det er en papirtiger.


Foto: No Paper Tiger, This ‘Menagerie’ Is Full Of Fierce Feeling

Henvisninger og baggrund: 16.10.2017