Lejre Kommune indstilles til bøde

Dato: 30-06-2020

Datatilsynet anmelder Lejre Kommune til politiet, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Lejre Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.

Datatilsynet blev opmærksom på sagen, da kommunen anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at Lejre Kommunes afdeling, Center for Børn og Unge, har haft en fast praksis, hvorefter mødereferater indeholdende personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, er blevet uploadet på kommunens medarbejderportal. På medarbejderportalen var der potentiel adgang til oplysningerne for en stor del af kommunens ansatte, uanset om de pågældende medarbejdere arbejdede med den type af sager.

Datatilsynet har i samme sag udtalt alvorlig kritik af, at Lejre Kommune ikke har levet op til kravet om at foretage underretning af de registrerede om bruddet på persondatasikkerheden.

Krav om passende sikkerhed

”Det er vores generelle opfattelse, at kommuners behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol. Som udgangspunkt er det kun medarbejdere med et arbejdsbetinget behov, som bør have adgang til oplysningerne. Hertil kommer, at logning – dvs.  maskinel registrering af alle anvendelser – normalt vil være en nødvendig og passende sikkerhedsforanstaltning, når man som kommune behandler sådanne oplysninger”, udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet.

Indstilling til bøde

Datatilsynet har besluttet at anmelde Lejre Kommune til politiet og indstiller til, at der nedlægges påstand om, at kommunen idømmes en bøde på 50.000 kr.

Datatilsynet har ved bødens fastsættelse lagt vægt på overtrædelsens karakter (manglende behandlingssikkerhed) samt karakteren og mængden af de personoplysninger, som har været genstand for sikkerhedsbruddet. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og til den samlede driftsbevilling.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark.

I Danmark fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Lejre Kommune blev ved dom af 9. marts 2022 idømt en bøde på 50.000 kr.

Læs mere her - eller læs selve dommen her.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR