Hemmelig direktør skal forvandle GDPR fra papirtiger til dataetisk rettesnor

Artiklen blev bragt første gang den 13. juni på Altinget: digital.

En flosset papkasse proppet med merchandise af typen, som foræres til afkommet eller naboen i det åbne kontorlandskab, fortæller historien om Datatilsynets transformation.

Hvad enten man frygter en våd cykelsadel, at løbe for mønter i køen til indkøbsvognen, tørsten eller blot nyder at adsprede tankerne med en yoyo, har Datatilsynet svaret.

Eller skal man skrive havde? For den slags virkemidler er ikke længere nok.

Datatilsynet har i mange år levet ud fra devisen om, at den, der lever stille, lever godt. Og der er tingene under voldsom forandring nu. En proces, jeg selv har stået i spidsen for. Det er på høje tid, at myndigheden får et andet image.

Cristina Angela Gulisano
Direktør, Datatilsynet

Teknokratisk koldsved
At vi overhovedet støder på kassen med merkantile memorabilia skyldes den nyansatte presseansvarliges sans for humor. I tre måneder har han været travlt beskæftiget med at forberede Datatilsynet – og resten af Danmark – på databeskyttelsens big bang.

Fredag 25. maj trådte EU's persondataforordning i kraft. I teknokratmunde omtalt som GDPR. En forordning, som har fremprovokeret koldsved på direktionsgangene og hos offentlige myndigheder. Nu forslår det ikke længere at minde borgere og bestyrelser om, at de skal "beskytte data", når de finder nøglerne frem i supermarkedet. Der skal skrappere midler til.

Realistisk set får vi de første bøder gennem systemet sent efterår eller ved juletid. Måske lidt før.

Cristina Angela Gulisano
Direktør, Datatilsynet

Præcis hvor skrappe, vil tiden vise. Og i den mellemliggende tid vil alles øjne rettes mod Cristina Angela Gulisano. Hun er direktør i Datatilsynet og sidder dermed med ansvaret for at reagere på de cirka 5.000 klager, som tilsynet modtager i løbet af et gennemsnitligt år.

"Man kan snakke meget teoretisk om det her. Men vi skal have konkrete sager, så tror jeg, at det begynder at krystallisere sig. Vi skal have sager og fakta, før vi kan sætte rammerne. Og vurdere, hvornår et påbud er nok, og hvornår man skal gå direkte til bøder," forklarer hun.

Den ældre dames stille liv er slut
Altinget møder den 46-årige direktør i Datatilsynets anonyme lokaler på femte sal i Borgergade i København. Man skulle tro, at nogen bevidst har forsøgt at skjule Datatilsynets opholdssted. Facaden på gadeplan reklamerer tydeligt for Superbrugsen og Berlitz, mens tilsynet må nøjes med et ydmygt messingskilt klemt op i hjørnet.

"Datatilsynet har i mange år levet ud fra devisen om, at den, der lever stille, lever godt. Og der er tingene under voldsom forandring nu. En proces, jeg selv har stået i spidsen for. Det er på høje tid, at myndigheden får et andet image," siger Cristina Angela Gulisano.

"En ældre dame," kalder direktøren sit tilsyn, som blev etableret som Registertilsynet i 1979 og i 2000 omdøbt til Datatilsynet. Gulisano arbejdede en årrække for tilsynet i slutningen af 90'erne. Og kom i sommeren 2015 tilbage som direktør.

"Da jeg kom tilbage efter 15 år, kunne jeg konstatere, at der på mange måder ikke var sket så meget. Og det er i en tid, hvor der samtidig er sket en voldsom digitalisering af den offentlig sektor. Mit indtryk er, at de, der kender os, respekterer vores afgørelser. Men den almindelige befolkning har ikke hørt om os. Og det vil vi gerne lave om på."

Name and shame er ikke længere nok
Direktøren har på under et år fordoblet antallet af medarbejdere fra 25 til 50. Den historisk lave bemanding har betydet, at tilsynets metode har været begrænset til stikprøvekontroller. Man har haft mulighed for at udskrive bøder til private virksomheder, som lavede alvorlige overskridelser af persondataloven. Mens sanktionsmulighederne over for offentlige myndigheder har været svagere.

"Der har vi brugt name and shame. Det vil sige, at vi har lagt vores afgørelser på hjemmesiden. Og så har myndigheden måttet tåle at få deres navn flashet på internettet."

Nu får I besøg af Altinget og en række andre medier ud fra præmissen om, at GDPR ændrer alting. Er det også sådan, at du ser det?

"Der har været utrolig meget fokus på bøderne. Da EU-Kommissionen tog initiativ til GDPR, var det, fordi den kunne se, at håndhævelsen i de enkelte lande svingede meget. Forventningen er, at reglerne respekteres i langt højere grad end hidtil. Bøderne har skabt helt utrolig awareness. Når en virksomhed risikerer en bøde på fire procent af sin globale omsætning, er det voldsomt. Og så har det skabt en masse omtale, at myndigheder nu også kan straffes på pengepungen."

Første bøde til jul
Men samtidig virker det som en umulig opgave at holde styr på al den data. Og hvorvidt de mange nye regler bliver overtrådt. Hvordan skal det ske?

"Arbejdet er en blanding af pro- og reaktive tiltag. Når vi udpeger virksomheder til stikprøver, slår vi jo ikke op i telefonbogen eller på Google Maps og tager de 10 første virksomheder, som vi støder på. Nogle brancher er mere i søgelyset end andre. Firmaer, som slår sig op på ny teknologi og nye måder at bearbejde data på, er oplagte valg. Og så er det klart, at dataansvarlige, som behandler følsomme oplysninger i stort omfang, notorisk altid er i søgelyset."

"Og så er der også nogen, som kan gøre sig uheldigt bemærket. Vi får cirka 5.000 klager årligt fra borgere og virksomheder. Den seneste tid har vi kunnet mærke en stigende interesse. Og hvis 10 af disse klager vedrører den samme dataansvarlige, er det et tydeligt vink om, at her er der behov for at sætte ind."

Hvornår skal vi forvente de første bøder efter de nye regler?

"Det er ikke sådan, at bare fordi vi konstaterer noget, som ser mystisk ud, så udskriver vi en bøde dagen efter. Realistisk set får vi de første bøder gennem systemet sent efterår eller ved juletid, hvis jeg skal forsøge mig som spåkone. Måske lidt før."

Dansk grundlov spænder ben for lynjustits
I nyskabelse i GDPR er muligheden for udskrivelse af administrative bøder. Det betyder, at tilsynsmyndighederne på tværs af de europæiske lande uden juridiske trakasserier kan udskrive bøder til virksomheder og offentlige institutioner, som ikke adlyder de nye rammer.

To lande er imidlertid afskåret fra denne lynjustits: Danmark og Estland.

"I Danmark tillader grundloven ikke, at vi kan udstede administrative bøder og øjeblikkeligt få dem kradset ind i fogedretten. I stedet har vi mulighed for bødeforlæg. Det betyder, at når først der er etableret fast praksis på et område, så kan virksomhederne få tilsendt en bøde på samme måde, som når man kører for stærkt i trafikken. Og mener man så, at straffen er uretfærdig, kan man få sagen i byretten."

"Men det kræver, at praksis er blevet fastlagt af domstolene. Og det gælder kun i relativt ukomplicerede sager, hvor den dataansvarlige erklærer sig skyldig og blot vil have sagen ud af verden. Alle sager, som er mere komplicerede end det, vil skulle en tur omkring retssystemet."

Og så er der hele diskussionen omkring bødestraf til myndigheder. Cristina Angela Gulisano har været en smule overrasket over, at det spørgsmål ikke fyldte mere under behandlingen af databeskyttelseslov L 68, som oversætter GDPR til dansk praksis.

En offentlig institution eller myndighed kan således sanktioneres økonomisk med op til 16 millioner kroner. Hvor disse penge i så fald skal findes, og hvad konsekvenserne for den enkelte institution bliver, er indtil videre uvist.

Gamle straffe er ikke relevante
Gulisano ønsker ikke at give et eksempel på en tidligere lovovertrædelse, som i dag ville kunne indbringe myndigheden en bødestraf.

"Det er så kompleks en vurdering. Man kan godt forestille sig, at man kunne tage en tidligere afgørelse og sige, hvad ville det have kostet i dag. Men det kan man ikke. Hver eneste gang vi ser en lovovertrædelse, skal vi vurdere reaktionen. Og dengang vi sagde, at noget var overordenligt kritisabelt, havde vi ikke bødebrillerne på."

Nogle har beskyldt GDPR for at skyde gråspurve med kanoner. At EU lancerer et sæt regler, som skal ramme store techvirksomheder og sløsede myndigheder. Men som ender med at have uoverskuelige konsekvenser for SMV'er og foreningslivet?

"Det er ærgerligt, at folk ser sådan på det. GDPR er et sæt regler, som langt hen ad vejen er udtryk for sund fornuft. Der er så mange andre gode grunde til at skulle overholde reglerne end bare bøderne."

"Danmark er et gennemdigitaliseret land. Når det er lykkedes, skyldes det, at danskerne er meget tillidsfulde og gerne afgiver oplysninger til den offentlige og private sektor. Vi har desværre lidt for ofte set sager om, at oplysningerne flyder steder, hvor de ikke skulle ligge. Og så mister folk tilliden og er mindre villige til at dele oplysninger. Det er en dyr pris at betale."

Loven er lige for alle
Direktøren vurderer, at mange foreninger opbevarer så få personlige oplysninger, at de langt fra behøver tage samme forholdsregler som større virksomheder. Men understreger, at det altså ikke betyder, at de på forhånd er fredet fra stikprøvekontroller og eventuelt efterfølgende sanktioner.

"Loven er lige for alle. Men det understreges i forordningen, at man ved bøder skal tage hensyn til, hvorvidt man fjerner en virksomhed eller forenings eksistens. Vi kalder os foreningernes land. Og der er mange aktiviteter, hvor det måske kan virke uoverskueligt at skulle overholde reglerne. Men det er det ikke. Vi skal blot have fortalt, hvordan man gør."

Og netop derfor vil Datatilsynet være varsom med bødeblokken i den første periode.

"Hvis vi på baggrund af de første sager eksempelvis konstaterer, at sletning af personlige oplysninger er en udfordring, så skal vi følge op med yderligere vejledning. Det må i så fald være udtryk for, at reglerne er så vanskelige, at der er brug for mere guidance. Målet er at sikre danskernes personoplysninger. Og ikke at udskrive store bøder."

De overflødige samtykkeerklæringer
Og nu, snakken kredser om vejledning og misforståelser, så har det overrasket direktøren at se det væld af samtykkeerklæringer, som har oversvømmet internettet i tiden omkring 25. maj.

"Det er korrekt, at GDPR har skærpet kravet til samtykke, så man nu også skal oplyse om, at folk har retten til at tilbagekalde et skriftligt samtykke. Men som det også understreges i betænkningen, så betyder det ikke, at man skal bede om et nyt samtykke. Man kan sagtens fortsætte med at behandle data på baggrund af det eksisterende samtykke. Og så skrive den nye oplysning ind, når man alligevel skal have ændret i sit samtykke."

"Her har jeg i bare min egen indbakke kunnet konstatere, at det budskab ikke er trængt igennem. Og at jeg i stedet er blevet bombarderet med mails fra virksomheder og foreninger, som alle frygter, at de ikke tager samtykkereglerne alvorligt nok."

Netop spørgsmålet om fornyelse af samtykke har været det tydeligste eksempel på GDPR set ud fra et borgerperspektiv. Hvor meget kommer danskerne til at se til GDPR fremover?

"De dataansvarlige kommer til at reflektere mere over, hvad de indsamler. De bør ikke indsamle for meget, fordi man er ansvarlig for oplysningerne. Og så skal man huske at slette dem bagefter. Man kan tale om en større bevidsthedsgørelse hos dem, man afgiver oplysninger til. Men også at borgerne får skærpet rettighederne: Når man beder om indsigt i sine egne data, bliver det taget seriøst. Fordi virksomheder og myndigheder godt ved, at de ikke længere kan forveksle indsigt med aktindsigt eller noget andet."