»Det er meget alvorligt og virkelig langt ude. Ja, faktisk ved jeg slet ikke, hvor jeg skal starte.«
Hanne Marie Motzfeldt har svært ved at finde de rette ord, når hun skal fælde dom over de beskeder, som en række metrokontrollører i 2023 sendte til hinanden.
Metrokontrollørerne delte CPR-numre på hjemløse og andre psykisk sårbare personer for derefter at kunne udstede falske afgifter á 750 kroner til dem.
Det kunne B.T. lørdag fortælle – læs hele historien her.
Det er ikke bare umoralsk – det udgør også et andet stort problem, hvis man spørger Hanne Marie Motzfeldt.
Hun er forfatter til en bog om databeskyttelsesret og har gennem sin karriere som lektor og professor beskæftiget sig meget med GDPR.
Hanne Marie Motzfeldt kalder det både »virkelig langt ude« og »over grænsen«, at metrokontrollører har delt helt tilfældige passagerers personoplysninger på Metas Messenger-app.
»Der er mange ting galt. Først og fremmest skal man selvfølgelig ikke dele CPR-numre uden en saglig grund - det giver sig selv. Men at det så også er hos en privat aktør i form af Metas Messenger-app? Jeg har ikke ord for det,« siger Hanne Marie Motzfeldt, der arbejder som professor på Københavns Universitet.
På skærmbillederne fra metrokontrollørernes beskedtråd, som B.T. er i besiddelse af, deles der en masse CPR-numre, ligesom der tit bliver knyttet beskrivelser til den enkelte passager.
»Ham, der har langt hår og sandaler og mumler,« lyder en af dem.
»Så ved man bare, den er god, når han ingen adresse har og bare skal til Christianshavn,« lyder en anden.
Kender du til sager, hvor der er blevet udstedt falske afgifter? Eller kan du på anden måde bidrage til B.T.s fokus? Så må du meget gerne skrive til sebj@bt.dk – alle henvendelser behandles fortroligt.
Som udgangspunkt vil det være en virksomhed, der er ansvarlig ved en GDPR-overtrædelse, men hvis sagen er grov nok, kan det i særlige tilfælde være den enkelte medarbejder, som står med ansvaret.
Og det kunne godt være tilfældet her, vurderer Hanne Marie Motzfeldt.
»Det er så langt over grænsen, at jeg faktisk er i tvivl om, hvorvidt det er Metro Service, der har ansvaret, eller om der kan pålægges et personligt ansvar. I så fald ville det kunne give en fængselsstraf,« siger hun og fortsætter:
»Hvis jeg var Metro Service, ville jeg da undersøge sagen og se, om man kan finde de skyldige.«
Allan Frank, der er IT-sikkerhedsspecialist hos Datatilsynet, stemmer i:
»Det er selvfølgelig dybt problematisk, hvis der siver personlige oplysninger ud, som metrokontrollørerne har fået i et betroet erhverv. De udgør en myndighedsperson i det her tilfælde og har ret til at få oplysninger om gyldig billet fra passagerne. Hvis de så deler oplysningerne med uvedkommende og på en usikker måde, er de gået alt for langt.«
»Hvis de bruger oplysningerne til andre formål end det faglige, er det et væsentligt problem, og man skal tage det meget seriøst hos Metro Service.«
B.T. har rakt ud til Metro Service, som oplyser, at man tager håndtering af kundedata »meget alvorligt«, men man vil ikke forholde sig til den konkrete sag om beskedtrådene.
Til gengæld har en nuværende metroansat oplyst til B.T., at vedkommende er blevet inviteret til et kursus ved navnet »en introduktion til GDPR« cirka en uge efter, at B.T. første gang henvendte sig til Metro Service i forbindelse med denne historie.