Vejle Kommune dømt for brud på databeskyttelsesforordningen ved videregivelse af beskyttede adresser

Vejle Kommune blev tiltalt for overtrædelse af databeskyttelseslovgivningen ved ikke at have implementeret tilstrækkelige tekniske og organisatoriske foranstaltninger til at sikre et passende sikkerhedsniveau for personoplysninger. Sagen omhandlede en periode fra den 25. maj 2018 til den 9. januar 2019, hvor kommunen via en automatiseret proces i tandplejen udsendte velkomstbreve til begge forældremyndighedsindehavere, der indeholdt begge forældres adresser. Dette skete uden individuel vurdering af, hvorvidt oplysningerne måtte videregives til den anden forælder, hvilket resulterede i, at oplysninger om en forælders beskyttede adresse blev videregivet til den anden forælder, selvom denne havde navne- og adressebeskyttelse.

Sagens Forløb

• Anmeldelse af databrud: Vejle Kommune anmeldte den 10. januar 2019 et brud på persondatasikkerheden til Datatilsynet. Dette skete efter, at et krisecenter den 7. januar 2019 kontaktede tandplejen med oplysning om, at en beskyttet adresse var blevet kompromitteret.
• Specifik hændelse: Den 13. september 2018 sendte den kommunale tandpleje et velkomstbrev via e-boks til begge forældre, der indeholdt oplysning om en mors og hendes 10-årige datters beskyttede adresse på et krisecenter. Dette skete, selvom moderen og barnet havde adressebeskyttelse på grund af farens adfærd.
• Intern undersøgelse: Vejle Kommunes egen udredning viste, at faderen i mellemtiden var blevet frakendt forældremyndigheden i sit hjemland, en oplysning der ikke var tilgået kommunen. En efterfølgende undersøgelse, igangsat efter en høring fra Datatilsynet den 6. august 2019, afslørede, at IT-systemet TK2 siden 1. september 2017 automatisk havde udsendt breve til begge forældre. Fire tilfælde blev fundet, hvor breve var sendt til forældre med fælles forældremyndighed, men forskellige adresser, og hvor den ene eller begge forældre havde beskyttet adresse. I et af disse tilfælde var tandplejen allerede i juli 2018 blevet telefonisk informeret om problemet, men ledelsen blev ikke underrettet.

Kommunens Reaktion og Tidligere Kritik

• Tiltag efter hændelsen: Efter databruddet har Vejle Kommune indskærpet over for medarbejderne vigtigheden af at opretholde opmærksomhed på behandlingen af personoplysninger, især ved skriftlig kommunikation med borgere med beskyttet adresse. Adresseoplysninger fremgår ikke længere af generelle breve fra tandplejen, der sendes til forældre med fælles forældremyndighed og forskellige adresser.
• Tidligere afgørelser: Datatilsynet havde tidligere, den 21. maj 2021 og 3. februar 2022, udtalt alvorlig kritik af Vejle Kommunes behandling af personoplysninger for forseelser begået fra august 2018 til juni 2021. Datatilsynet vurderede i begge tilfælde, at behandlingen af oplysningerne ikke var i overensstemmelse med databeskyttelsesforordningen artikel 32, stk. 1.

Retten fandt Vejle Kommune skyldig i tiltalen. Straffen blev fastsat til en bøde på 50.000 kr.

Rettens Begrundelse for Afgørelse

Retten lagde til grund, at Vejle Kommune som dataansvarlig ikke havde overholdt sin forpligtelse til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt højt sikkerhedsniveau, som krævet af databeskyttelsesforordningen artikel 32, stk. 1.

Retten bemærkede, at det teknisk var muligt i patientjournalsystemet TK2 at markere adresser som beskyttede, men at tandplejen alligevel havde videregivet den beskyttede adresse til faderen. Kommunen havde ikke udført passende kontrol med indholdet af velkomstbreve for at undgå utilsigtet videregivelse af beskyttede adresseoplysninger. Derudover havde kommunen ikke iværksat opmærksomhedsskabende tiltag for de ansatte vedrørende regler for behandling af personoplysninger om adressebeskyttelse.

Retten lagde særlig vægt på, at en sekretær i tandplejen allerede i juli 2018 var blevet informeret om, at den anden forælder var blevet gjort bekendt med den beskyttede adresse, uden at denne henvendelse førte til, at ledelsen blev informeret eller at procedurerne blev ændret. Et sådant tiltag kunne have forhindret sikkerhedsbruddet den 13. september 2018.

Bødefastsættelse

Bøden på 50.000 kr. blev fastsat i henhold til Databeskyttelsesloven § 41, stk. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningen artikel 83, stk. 2, jf. stk. 4, litra a, jf. stk. 9, jf. databeskyttelsesforordningen artikel 32, stk. 1.

Skærpende Omstændigheder

• Potentielt store konsekvenser for de registrerede, når beskyttede adresser eller opholdssteder (f.eks. krisecenter) utilsigtet videregives til den person, de forsøger at skjule sig for.
• Personoplysningerne angik et barn under 18 år, som tilhører en sårbar gruppe.
• Tidligere sikkerhedsbrud i Vejle Kommune i august 2018.

Formildende Omstændigheder

• Lang sagsbehandlingstid.
• Vejle Kommune har allerede gennemført betydelige organisatoriske og tekniske foranstaltninger for at undgå utilsigtet videregivelse af beskyttede adresser.

Afgørelse

Tiltalte, Vejle Kommune, skal betale en bøde på 50.000 kr. og sagens omkostninger.