Rigspolitiet sender danske persondata til USA i strid med persondataloven

Datatilsynet kritiserer Rigspolitiet for at overføre persondata til en amerikansk databehandler uden tilladelse.

Rigspolitiet har overført persondata til en databehandler i USA uden at have overholdt de formelle krav. Det viser en afgørelse på et tilsyn, som Datatilsynet har ført af Rigspolitiet.

Rigspolitiet må gerne sende persondata til virksomheder uden for EU, men kun hvis overførslen baserer sig på EU-Kommissionens standardkontraktbestemmelser - eller alternativt har fået Datatilsynets tilladelse på forhånd.

Datatilsynet skriver, at Rigspolitiet har overført persondata til den amerikanske databehandler Chainalysis, der arbejder med at spore, pågribe og få pengevaskere og cyberkriminelle dømt.

Persondataene er sendt under en ‘ad hoc-kontrakt’. Der er altså foretaget ændringer i forhold til kommissionens standardkontrakt. Dermed er overførslen ulovlig, medmindre man i stedet har indhentet tilladelse fra Datatilsynet. Det var dog ikke sket.

Datatilsynet omtaler det i afgørelsen som »kritisabelt«.

Må ikke længere sende data

Datatilsynet skal give særskilt tilladelse til at overføre persondata til tredjelande, der ikke »sikrer et tilstrækkeligt beskyttelsesniveau«, som det står i persondatalovens § 27. Men eftersom Rigspolitiet ikke har søgt tilladelse, får det nu Datatilsynet til at sætte en stopper for dataoverførslen.

»Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.,« skriver Datatilsynet i afgørelsen.

For lidt kontrol

Datatilsynet kontrollerede ligeledes, om Rigspolitiet har ført kontrol med alle de databehandlere, som de sender persondata til. Rigspolitiet skal sikre, at databehandlerne har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen. Men i under halvdelen af tilfældene har Rigspolitiet undersøgt, om databehandlerne har de påkrævede sikkerhedsforanstaltninger.

Samtidig har Rigspolitiet ikke konsekvent gennemgået egne sikkerhedsregler, som ellers er krævet efter sikkerhedsbekendtgørelsen.

Rigspolitiets databeskyttelseschef, Christian Svanberg, understreger, at Datatilsynets kritik – som han dog fastslår, at politiet tager alvorligt – ikke går på, at oplysninger er blevet lækket, eller at uvedkommende har haft adgang til oplysninger, de ikke skulle have adgang til.

»Kritikken knytter sig til nogle af de formelle krav, som vi skal efterleve, bl.a. når vi indgår aftaler med eksterne parter. Vi er enige med Datatilsynet i, at der skal rettes op på de angivne forhold. Det er allerede sket, og vi vil også fremover have skærpet opmærksomhed på de punkter, som Datatilsynet har påpeget,« lyder kommentaren i en e-mail til Version2.

På baggrund af kritikpunkterne anmoder Datatilsynet Rigspolitiet om en redegørelse for, hvordan myndigheden i fremtiden vil efterleve persondataloven og sikkerhedsbekendtgørelsen. Redegørelsen skal ligge hos Datatilsynet senest den 23. oktober.