Search for a command to run...
Myndighed
Dato
Dokumenttype
Resultat
Sted
Emner
Dokument
Parter
Tiltalte
Frederiksberg Kommune
Forsvarer: Martin Sønnersgaard, Jakob Kamby
Anklagemyndigheden
Anklagemyndigheden
Dommere
Malou Kragh Halling
Marta Warburg Schmidt
Lone Dahl Frandsen
Relaterede love
Sagen omhandler Frederiksberg Kommunes overtrædelse af databeskyttelsesreglerne i perioden fra 25. maj 2018 til 1. marts 2021. Kommunen blev dømt for ikke at have sikret personoplysninger tilstrækkeligt i et IT-system for den kommunale tandpleje.
Frederiksberg Kommune havde udviklet en selvbetjeningsløsning, "Min Tandpleje", hvor forældre kunne booke tider og se journaloplysninger for deres børn. Systemet gav begge forældremyndighedsindehavere adgang, men det tog ikke højde for tilfælde, hvor den ene forælder eller barnet havde navne- og adressebeskyttelse. Dette skabte en risiko for, at beskyttede adresser uberettiget kunne videregives til den anden forælder.
Kommunen erkendte at have overtrådt databeskyttelsesforordningens artikel 32 ved ikke at have implementeret passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysningerne.
Kommunen havde siden 2018 arbejdet systematisk med GDPR, blandt andet ved at anvende skabeloner fra KL (Kommunernes Landsforening) til risikovurderinger. Fejlen i tandplejesystemet blev dog ikke opdaget i de indledende risikovurderinger, da fokus primært var på systemets hovedformål (booking og journaladgang) og ikke på den specifikke risiko ved navne- og adressebeskyttelse.
Fejlen blev opdaget i 2021 under en workshop i tandplejen, som var en del af kommunens løbende opfølgning på GDPR-arbejdet. Opdagelsen var således et resultat af en systematisk indsats og ikke en tilfældighed.
Sagen blev først afgjort ved Retten på Frederiksberg. Anklagemyndigheden ankede byrettens dom til Østre Landsret med påstand om en skærpelse af straffen. Frederiksberg Kommune kontraankede med påstand om formildelse. Sagen i landsretten handlede derfor udelukkende om straffens størrelse, jf. Databeskyttelsesloven § 41, stk. 3.
Østre Landsret stadfæstede byrettens dom i det omfang, den var anket. Landsretten fastsatte bøden til 50.000 kr. for Frederiksberg Kommunes overtrædelse af databeskyttelsesreglerne.
Landsretten lagde ved fastsættelsen af bødens størrelse vægt på hensynene i databeskyttelsesforordningens artikel 83, stk. 2. Sagen for landsretten angik udelukkende strafudmålingen, da kommunen havde erkendt overtrædelsen.
Retten fremhævede flere formildende faktorer i sin vurdering:
Bøden på 50.000 kr. blev fastsat som en tillægsstraf til et tidligere bødeforelæg på 200.000 kr. fra maj 2022, i overensstemmelse med principperne i Straffeloven § 89.
På baggrund af en samlet vurdering af sagens omstændigheder fandt landsretten, at en bøde på 50.000 kr. var passende. Sagsbehandlingstiden blev ikke tillagt vægt. Byrettens dom blev herefter stadfæstet.
DatatilsynetDatatilsynet indstiller Hvidovre Kommune til en bøde på mindst 200.000 kr. for uretmæssig videregivelse af beskyttede adresser i den kommunale tandpleje.
DatatilsynetDatatilsynet
Denne præjudicielle afgørelse omhandler fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR) vedrørende de materielle betingelser for pålæggelse af administrative bøder mod juridiske personer.
Sagen udspringer af en tvist i Tyskland, hvor ejendomsselskabet Deutsche Wohnen SE (DW) blev pålagt en administrativ bøde på 14,385 millioner EUR af Berlins tilsynsmyndighed. Bøden blev givet for forsætlig overtrædelse af GDPR’s grundlæggende principper (artikel 5 og 25), idet DW lagrede lejeres personoplysninger i et elektronisk arkiveringssystem, der ikke sikrede rettidig sletning af data, som ikke længere var nødvendige.
Datatilsynet har valgt at politianmelde Lyngby-Taarbæk Kommune, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.
Datatilsynet politianmelder Netcompany og indstiller til en bøde på mindst 15 mio. kr. Ved udviklingen af mit.dk har virksomheden ikke sikret et passende sikkerhedsniveau, og der skulle have været udarbejdet en konsekvensanalyse, vurderer tilsynet.
Den tyske nationale ret, Kammergericht Berlin, forelagde spørgsmål for Domstolen, da tysk lovgivning (OWiG) traditionelt kræver, at en administrativ forseelse skal kunne tilregnes en identificeret, culpøs fysisk person (typisk et medlem af ledelsen), før den juridiske person kan idømmes en bøde. Dette stod i kontrast til den direkte ansvarsordning, der syntes at følge af GDPR.
De centrale tvivlsspørgsmål vedrørte rækkevidden af den juridiske persons ansvar i henhold til GDPR’s artikel 83, navnlig om:
| Spørgsmål | Problemstilling i sagen |
|---|---|
| Direkte ansvar for dataansvarlig (juridisk person) | Skal bøder mod virksomheder kræve en forudgående konstatering af, at overtrædelsen er begået af en identificeret fysisk person? |
| Krav om skyld (culpa) | Er det nødvendigt at godtgøre, at overtrædelsen er begået forsætligt eller uagtsomt, eller er objektivt ansvar (strict liability) tilstrækkeligt? |
### Anklage mod Tiltalte ApS Tiltalte ApS blev tiltalt for overtrædelse af [Databeskyttelsesloven § 8, stk. 4](/loven/da...
Læs mereLovforslaget etablerer en ny, selvstændig hovedlov for fondsmæglerselskaber og deres aktiviteter. Formålet er at impleme...
Læs mereForslag til Lov om ændring af retsplejeloven, lov om skifte af dødsboer, arveloven og databeskyttelsesloven
