Kommune idømt bøde på 50.000 kr. for brud på GDPR ved manglende adgangskontrol til følsomme personoplysninger

Myndighed

Byretten

Dato

9. marts 2022

Dokumenttype

Dom

Resultat

Endelig

Sted

Retten i Roskilde

Emner

Efterforskning og straffeproces

Dokument

Parter

Tiltalte

Anklagemyndigheden

Relaterede love

Lov	§
Databeskyttelsesloven	§41 stk. 1

Tiltalte Kommune blev tiltalt for overtrædelse af Databeskyttelsesforordningen (GDPR), da kommunen som dataansvarlig ikke havde implementeret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger.

Sagens kerne

I perioden fra 25. maj 2018 til november 2018 havde kommunens Center for Børn og Unge uploadet 21 indstillingsskemaer til kommunens medarbejderportal. Disse skemaer, sammen med ældre skemaer uploadet før GDPR's ikrafttræden, indeholdt følsomme personoplysninger om i alt 452 borgere, heraf 402 mindreårige. Oplysningerne omfattede:

Personnumre
Helbredsoplysninger (fysiske og psykiske lidelser)
Oplysninger om strafbare forhold
Etnicitet og seksuel orientering
Økonomiske forhold

Sikkerhedsbristen

Problemet bestod i, at der ikke var etableret tilstrækkelig adgangskontrol til medarbejderportalen. Dette medførte, at alle kommunens medarbejdere teoretisk set kunne tilgå de følsomme oplysninger, uanset om de havde et arbejdsbetinget behov. Derudover blev der ikke ført log over, hvem der tilgik oplysningerne, hvilket skabte en unødigt høj risiko for de registrerede borgeres rettigheder.

Sikkerhedsbristen blev opdaget i november 2019, hvorefter hændelsen blev indberettet til Datatilsynet, og de pågældende dokumenter blev fjernet fra portalen.

Parternes holdning

Kommunen erkendte sig skyldig, men var uenig i bødens størrelse på 50.000 kr. Kommunen anførte, at adgangen for de fleste medarbejdere kun var teoretisk, og at der ikke var bevis for, at nogen uvedkommende rent faktisk havde tilgået oplysningerne.

Anklagemyndigheden, på vegne af Datatilsynet, fastholdt bødekravet og henviste til overtrædelsens alvorlige karakter, mængden af følsomme data og den manglende logning som en skærpende omstændighed.

Tiltalte Kommune blev fundet skyldig i overtrædelse af databeskyttelsesreglerne og idømt en bøde på 50.000 kr. samt pålagt at betale sagens omkostninger.

Rettens begrundelse

Retten lagde vægt på kommunens ubetingede tilståelse, som blev understøttet af de øvrige oplysninger i sagen. Ved strafudmålingen blev der lagt særlig vægt på flere skærpende omstændigheder:

Omfang og karakter: Sagen involverede en stor mængde meget følsomme personoplysninger.
Et betydeligt antal borgere, herunder mange mindreårige, fik deres oplysninger eksponeret.

Læs også

Relaterede nyheder fra ministerierne

Datatilsynet

26. november 2024

Digitalisering+2

Datatilsynet anmelder Lyngby-Taarbæk Kommune til politietSådan er det gået med sagenBødestraffe efter GDPRDatatilsynetOm osGenvejeFølg os

Datatilsynet har valgt at politianmelde Lyngby-Taarbæk Kommune, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Relaterede afgørelser

EU-Domstolen•4. december 2023

Afgørelse

Administrative bøder mod juridiske personer under GDPR – Krav om skyld og forbud mod nationalt krav om identifikation af fysisk gerningsmand

Denne præjudicielle afgørelse omhandler fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR) vedrørende de materielle betingelser for pålæggelse af administrative bøder mod juridiske personer.

Sagen udspringer af en tvist i Tyskland, hvor ejendomsselskabet Deutsche Wohnen SE (DW) blev pålagt en administrativ bøde på 14,385 millioner EUR af Berlins tilsynsmyndighed. Bøden blev givet for forsætlig overtrædelse af GDPR’s grundlæggende principper (artikel 5 og 25), idet DW lagrede lejeres personoplysninger i et elektronisk arkiveringssystem, der ikke sikrede rettidig sletning af data, som ikke længere var nødvendige.

Andre relevante lovforslag

Forslag til Lov om sikkerhed og beredskab i telesektoren

Ministeriet for Samfundssikkerhed og Beredskab7. februar 2025

Forslag til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)

Ministeriet for Samfundssikkerhed og Beredskab7. februar 2025

Flere lignende afgørelser

Forbudssag vedrørende vildledende markedsføring og videregivelse af kundeoplysninger i el-branchen

Sø- og Handelsretten18. september 2020

Arbejdstidsregistrering og databeskyttelse: Adgang for tilsynsmyndigheder

EU-Domstolen29. maj 2013

Lov

Databeskyttelsesloven

§41 stk. 1

Spørgsmål	Problemstilling i sagen
Direkte ansvar for dataansvarlig (juridisk person)	Skal bøder mod virksomheder kræve en forudgående konstatering af, at overtrædelsen er begået af en identificeret fysisk person?
Krav om skyld (culpa)	Er det nødvendigt at godtgøre, at overtrædelsen er begået forsætligt eller uagtsomt, eller er objektivt ansvar (strict liability) tilstrækkeligt?