Nyhed

Første GDPR-bøder på vej til to kommuner

Datatilsynet har anmeldt Gladsaxe kommune og Hørsholm kommune til politiet, da tilsynet finder, at kommunerne ikke har iagttaget et passende sikkerhedsniveau i henhold til databeskyttelsesforordningen (GDPR). Det er første gang, at offentlige myndigheder indstilles til bødestraf som følge af overtrædelse af regelsættet i GDPR. Tilsynet har indstillet kommunerne til bøder på henholdsvis 100.000 kr. og 50.000 kr.


Manglende iagttagelse af sikkerhedsniveauet

I Gladsaxe kommune blev en computer stjålet fra kommunens rådhus. Computeren indeholdt 20.620 borgeres personoplysninger, herunder oplysninger af følsom karakter og oplysninger om personnumre.

I Hørsholm kommune fik en medarbejder stjålet sin arbejdscomputer fra sin bil. Computeren indeholdt personoplysninger på 1.600 medarbejder i kommunen, herunder oplysninger af følsom karakter og oplysninger om personnumre.

Datatilsynet blev opmærksom på den manglende iagttagelse af sikkerhedsniveauet hos de respektive kommuner, da begge kommuner anmeldte brud på personsikkerheden som følge af tyverierne. Efter anmeldelsen fandt Datatilsynet ud af, at hverken Gladsaxe kommunes eller Hørsholm kommunes computere var beskyttet med kryptering, hvorfor tabet af personoplysninger ifølge Datatilsynet udgjorde en unødig høj risiko for kommunernes borgere.
 

Kommunernes ansvar

Datatilsynet udtaler, at de konkrete sikkerhedsbrud i de pågældende kommuner er udtryk for mulige konsekvenser ved manglende iagttagelse af sikkerhedsniveauet. Den utilstrækkelige sikkerhed udgør således en høj risiko for kommunens borgere, medarbejdere og andre personer som kommunerne behandler oplysninger om.

Endvidere udtaler Datatilsynet, at kommunerne har et stort ansvar for at undgå, at de oplysninger, som kommunen behandler, ikke kommer uvedkommende til kendskab. Da borgerne ikke har mulighed for at fravælge kommunens behandling, er dette ansvar således skærpet.
 

Bødeindstillingen

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder. I Danmark forholder det sig dog anderledes, idet Datatilsynet efter belysning og vurdering af den konkrete sag, politianmelder den dataansvarlige. Herefter er det politiets afgørelse, om der er grundlag for at rejse sigtelse, og endelig bødestraf vil i sidste ende blive afgjort af en domstol.

Datatilsynet har således politianmeldt kommunerne og har indstillet til, at Gladsaxe kommune skal idømmes bøde på 100.000 kr., medens Hørsholm kommune skal idømmes bøde på 50.000 kr.

Ved indstillingen har Datatilsynet lagt vægt på overtrædelsens karakter, dvs. manglende behandlingssikkerhed, samt manglende kryptering af kommunernes computere som en generel foranstaltning, der ikke er iagttaget. Endvidere har Datatilsynet lagt vægt på kommunernes størrelse henset til indbyggertal og til den samlede driftsbevilling.
 

Fremtidig udvikling

Det er første gang, at Datatilsynet indstiller offentlige myndigheder til bødestraffe. Det bliver således spændende at se, om der i den nærmeste fremtid vil blive indstillet flere kommuner til bøder grundet et særligt fokus på offentlige myndigheder.

Ligeledes bliver det spændende at se, om offentlige myndigheder vil revidere sikkerhedsniveauet og foretage forebyggende foranstaltninger i kølvandet på Datatilsynets nyligt offentliggjorte bødeindstillinger.

VIL DU VIDE MERE?
Vil du holdes opdateret?
Skal vi løse dit problem?