Landsretten stadfæster bøde på 50.000 kr. til kommune for GDPR-brud i selvbetjeningsløsning
Sagstype
Dom
Dato
19. februar 2025
Eksterne links
Læs hele sagenDokument
Instans
Østre Landsret
Reference
UfR: U.2025.1610 og TfK: TfK2025.89
Beskrivelse
Databeskyttelse, T (dataansvarlig kommune) ej overholdt forpligtelse til at gennemføre tekniske og organisatoriske foranstaltninger for at sikre tilstrækkeligt højt sikkerhedsniveau for at forhindre videregivelse af adresseoplysninger, kommunal skoletandpleje sendt brev til begge forældremyndighedshavere med begge forældres adresser uden at tage hensyn til evt. navne- eller adressebeskyttelse, bøde 50.000 kr.
Bemærkning
Landsretten lagde ved strafudmålingen bl.a. vægt på, at overtrædelsen er begået ved simpel uagtsomhed, at kommunen selv indberettede overtrædelsen og omfanget heraf til Datatilsynet, ligesom kommunen samarbejdede med tilsynet i den efterfølgende proces, at kommunen havde foretaget en forudgående risikovurdering, der imidlertid ikke identificerede overtrædelsen, og at kommunen som offentlig myndighed ikke har opnået økonomiske fordele eller undgået tab som følge af overtrædelsen.
En kommune blev tiltalt for overtrædelse af Databeskyttelsesforordningen for i perioden 25. maj 2018 til 1. marts 2021 ikke at have sikret personoplysninger tilstrækkeligt i selvbetjeningsløsningen ”Min Tandpleje”.
Sagens kerne
Sikkerhedsbruddet bestod i, at systemet gav begge forældremyndighedsindehavere adgang til breve fra tandplejen, som kunne indeholde beskyttede adresser. Dette skabte en risiko for, at en forælder med navne- og adressebeskyttelse fik sin adresse uberettiget videregivet til den anden forælder. Fejlen blev opdaget af kommunen selv under en intern workshop i 2021, hvorefter den blev rettet, og forholdet blev anmeldt til Datatilsynet.
Parternes påstande
- Anklagemyndigheden påstod en bøde på 100.000 kr.
- Tiltalte Kommune erkendte sig skyldig, men påstod bødebortfald eller en mildere straf. Kommunen argumenterede for, at fejlen skyldtes simpel uagtsomhed, at den blev opdaget og rettet hurtigt, og at der ikke var sket konkret skade for de berørte borgere.
Byrettens dom
Retten på Frederiksberg fandt kommunen skyldig og fastsatte en bøde på 50.000 kr. Anklagemyndigheden ankede dommen til landsretten med krav om skærpelse, mens kommunen kontraankede med påstand om formildelse.
Østre Landsret stadfæstede byrettens dom og fastholdt bøden på 50.000 kr. til kommunen.
Landsretten lagde vægt på, at bøder for overtrædelse af databeskyttelsesreglerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning, jf. Databeskyttelsesforordningen artikel 83, stk. 9.
Landsrettens begrundelse
Ved strafudmålingen tog landsretten, i lighed med byretten, udgangspunkt i de momenter, der er oplistet i Databeskyttelsesforordningen artikel 83, stk. 2. Landsretten lagde vægt på en række formildende omstændigheder:
- Overtrædelsen var begået ved simpel uagtsomhed.
- Kommunen havde selv indberettet bruddet til Datatilsynet og samarbejdet fuldt ud.
- Der var foretaget en forudgående risikovurdering, selvom den var utilstrækkelig.
- Kommunen opnåede ingen økonomisk fordel ved overtrædelsen.
- Bruddet medførte en risiko for et begrænset antal personer (maksimalt 56), og der var ikke dokumenteret nogen konkret skade.
Bøden blev udmålt som en tillægsstraf til en tidligere bøde, jf. Straffeloven § 89.
På baggrund af en samlet vurdering fandt landsretten, at en bøde på 50.000 kr. var passende. Sagens behandlingstid blev ikke anset for at kunne føre til et andet resultat.
Lignende afgørelser
