- Kall det gjerne forskjellsbehandling, men det er ulike vurderinger som ligger til grunn
Regnskap Norge mener Datatilsynet gjør forskjell på statlige og private virksomheter. - Hvis vi foreslo et enda høyere gebyr til NAV, har ikke NAV nok penger til å gjennomføre sine lovpålagte oppgaver, forklarer Janne Stang Dahl i Datatilsynet og foreller at det ligger nøye vurderinger bak hver enkelt sak.
Regnskap Norge-sjefen gikk hardt ut mot Datatilsynet etter at sistnevnte ga NAV 20 millioner kroner i gebyr etter brudd på personvernreglene.
Under Datatilsynets tilsyn hos Nav ble det avdekket i alt tolv lovbrudd i måten personopplysninger blir behandlet på i de interne datasystemene.
I forbindelse med saken uttalte direktør i Datatilsynet, Line Coll, at beløpet hadde vært betydelig større dersom NAV hadde vært en privat virksomhet.
– Lovbrudd er lovbrudd, og forskjellsbehandling må handle om alvorlighet og tilpasses lovbryteren. Likestilte lovbrytere må straffes likt, bedyrer Regnskap Norge-sjefen, og kaller det hele for forskjellsbehandling.
Nøye vurderinger
– Har Aale-Hansen rett? Driver dere med forskjellsbehandling?
– Det kan godt kalles forskjellsbehandling, men jeg vil heller si at det er ulike vurderinger av statlige og private aktører som ligger til grunn. Våre vurderinger gjøres nøye og grundig ut i fra mulighetene regelverket gir, og vi er opptatt av å gjøre dette på en fornuftig måte. Det viktige er at gebyret skal ha best mulig virkning, sier Janne Stang Dahl, kommunikasjon og samfunnskontakt i Datatilsynet til Computerworld.
– Hva tenker dere om det Aale-Hansen sier her?
Vi skjønner at det kan settes spørsmål ved dette, og vi har også vurdert utmålingen nøye. Når vi saksbehandler, vurderer og utmåler gebyrer, forholder vi oss til regelverket.
Janne Stang Dahl, Datatilsynet
– Vi skjønner at det kan settes spørsmål ved dette, og vi har også vurdert utmålingen nøye. Når vi saksbehandler, vurderer og utmåler gebyrer, forholder vi oss til regelverket. I GDPR er det lagt til rette for en ulik utmålingspraksis overfor offentlige og private aktører, forklarer Stang Dahl, og viser til et eksempel fra Sverige.
Der har de innført en beløpsgrense på 10 millioner SEK for offentlige myndigheter.
Det norske Datatilsynet har ingen slik grense, men valgte et forholdsvis høyt gebyr i saken med NAV begrunnet i sakens høye alvorlighetsgrad.
– Får staten lavere straff en private? Eventuelt hvorfor?
– Rene statlige og kommunale etater har ikke samme målestokk på omsetning og utbytte, og store deler av statskassens penger går direkte til lovpålagte oppgaver og innbyggerformål. Så er det Statens Innkrevingssentral som krever inn pengene, som ligger i en egen budsjettpost i statsbudsjettet, sier Stang Dahl, og fortsetter:
– Når det gjelder overtredelsesgebyr (bøter) fra Datatilsynet, har statlige aktører så langt mottatt vel så mange overtredelsesgebyrer (bøter) som private aktører. Overtredelsesgebyr er et sterkt virkemiddel som skal ha en avskrekkende effekt, og føre til handling og forbedring.
Det største gebyret som er gitt av Datatilsynet så langt var til det private foretaket Grindr og var på 65 millioner kroner.
– Hvorfor hadde forelegget til Nav vært betydelig større om Nav var en privat virksomhet?
– Rett og slett fordi alvorlighetsgraden er så stor som den er. Men her har vi altså vurdert forslaget til gebyret ut i fra at det er en statlig aktør, og har lagt det på det nivået som vi mener har best effekt, sier Stang Dahl, og forklarer videre:
– Hvis vi foreslo et enda høyere gebyr til NAV, har ikke NAV nok penger til å gjennomføre sine lovpålagte oppgaver. Hvis vi for eksempel ila et gebyr på 100 mill, så må staten nødvendigvis gi NAV en tilleggsbevilgning for å holde NAV gående. Samtidig har vi understreket i vårt forslag til gebyr at overtredelser av tilsvarende alvorlighetsgrad hos en privat aktør ville ført til et langt høyere gebyr enn det vi har kommet frem til i denne saken.