Siden GDPR-lovgivningen trådte i kraft i maj 2018 har Datatilsynet indstillet bøder til ni virksomheder - herunder fire kommuner - for overtrædelse af loven. Lovbruddene er imidlertid endnu ikke blevet udmøntet i nogle former for straf. Det skriver Kommunen.dk.
Manglen på konsekvens for brud på GDPR-lovgivningen skyldes, at Danmark – som det eneste EU-land sammen med Estland - har valgt, at Datatilsynet ikke kan udstede bøder. De kan kun indstille dem. Bøderne skal først igennem både politiet og dernæst en domstol. Domstolen kan desuden omstøde bødestørrelsen eller i princippet frikende en kommune.
På flugt efter databrud
Og domstolene har endnu ikke afgjort en eneste af de principielle GDPR-sager, der udover fem private virksomheder omhandler Lejre, Gladsaxe, Hørsholm og Guldborgsund Kommuner.
Datatilsynet har indstillet sidstnævnte til en bøde på 50.000 kroner, fordi kommunen har sendt et brev forkert, så en far med et politihold for voldelige episoder fik fat i fortrolige oplysninger. Brevet satte ifølge Kommunen.dk en familie i fare, og ekskonen valgte midlertidigt at flygte fra sit hjem med parrets to børn.
Konsekvenser efterlyses
Ifølge Søren Sandfeld Jakobsen, der er juraprofessor på CBS Law, er det et problem, at straffen for kommunernes data-lovbrud stadig er uklare.
- Vi har brug for en præcedens. Uanset om bøderne er småpenge eller ej, så er det ubehageligt for en kommune at blive indstillet til en bøde. Der er brug for at få afgjort sager, så man ved, hvad konsekvensen af et databrud er, siger han til Kommunen.dk.
GDPR står for General Data Protection Regulation også kaldet Databeskyttelsesforordningen eller Persondataforordningen. Fra den 25. maj 2018 har alle virksomheder – offentlige som private – skulle efterleve GDPR-reglerne.