Medlemmerne af Socialpædagogerne fik sig en træls overraskelse, da de modtog fagbladet i april.

På bagsiden af magasinet Socialpædagogen havde fagforeningen ved en fejl trykt hvert medlems CPR-nummer sammen med adressemærket.

”Det er en meget beklagelig fejl, der er sket. Vi er helt klar over, at det er utrygt. Det må aldrig ske igen,” lovede sekretariatschef hos Socialpædagogerne Rasmus Conradsen, da Journalisten talte med ham i slut april.

I alt 42.730 personer er berørt af fejlen. Og lige nu sidder Datatilsynet og overvejer, hvad konsekvensen skal være.

”Nu skal vi finde den sanktion, som gør, at det ikke sker igen”

Det er ulovligt at lække persondata, og straframmen blev i 2018 markant forhøjet, da EU’s nye regler for persondata GDPR trådte i kraft. I værste fald kan en virksomhed eller organisation idømmes en bøde på op til 150 millioner kroner eller fire procent af omsætningen.

Det kommer dog næppe på tale i denne sag, lyder det fra Datatilsynet, som håndterer sager om læk eller misbrug af persondata.

”Det er ikke den værste sag, jeg nogensinde har set – men det er bestemt heller ikke den bedste. I forhold til de sager, vi får ind, så ligger den midt imellem,” fortæller Allan Frank, it-sikkerhedsspecialist og cand.jur. ved Datatilsynet.

”Det skal selvfølgelig ikke ske, og nu skal vi finde den sanktion, som gør, at det ikke sker igen,” fortsætter han.

Tre slags straf i spil

I den slags sager kan Datatilsynet gribe til tre sanktionsmuligheder: Den mildeste er at udtale kritik, en slags ”næse”. I lidt grovere tilfælde kan kritikken følges af et påbud, som for eksempel stiller krav om, hvordan virksomheden passer bedre på persondata fremover. Og i de værste tilfælde kan Datatilsynet indgive en politianmeldelse, hvilket kan ende med en bøde.

Allan Frank fortæller, at præcedens i den slags sager ikke tyder på, at der er en bøde på vej.

”Vi har set en del af den type sager, og præcedens ligger et sted mellem et påbud og en alvorlig kritik. I denne sag er der dog flere berørte, så jeg kan endnu ikke udtale mig om, hvor vi ender på skalaen,” siger Allan Frank.

Han henviser til en anden sag, hvor Merkur Andelskasse ved en fejl trykte kundernes CPR-numre på sit magasin Pengevirke i 2018.

I første omgang afventer Datatilsynet dog en redegørelse fra Socialpædagogerne. Det var organisationen selv, der kontaktede tilsynet, da man blev opmærksom på datalækket. Nu skal Socialpædagogerne beskrive, hvad de har gjort, og hvilke overvejelser der ligger bag – og så afgør Datatilsynet, hvilken sanktion der skal udmåles.