Lejre Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.
Datatilsynet blev opmærksom på sagen, da kommunen anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at Lejre Kommunes afdeling, Center for Børn og Unge, har haft en fast praksis, hvorefter mødereferater indeholdende personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, er blevet uploadet på kommunens medarbejderportal. På medarbejderportalen var der potentiel adgang til oplysningerne for en stor del af kommunens ansatte, uanset om de pågældende medarbejdere arbejdede med den type af sager.
Datatilsynet har i samme sag udtalt alvorlig kritik af, at Lejre Kommune ikke har levet op til kravet om at foretage underretning af de registrerede om bruddet på persondatasikkerheden.
Krav om passende sikkerhed
”Det er vores generelle opfattelse, at kommuners behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol. Som udgangspunkt er det kun medarbejdere med et arbejdsbetinget behov, som bør have adgang til oplysningerne. Hertil kommer, at logning – dvs. maskinel registrering af alle anvendelser – normalt vil være en nødvendig og passende sikkerhedsforanstaltning, når man som kommune behandler sådanne oplysninger”, udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet.
Indstilling til bøde
Datatilsynet har besluttet at anmelde Lejre Kommune til politiet og indstiller til, at der nedlægges påstand om, at kommunen idømmes en bøde på 50.000 kr.
Datatilsynet har ved bødens fastsættelse lagt vægt på overtrædelsens karakter (manglende behandlingssikkerhed) samt karakteren og mængden af de personoplysninger, som har været genstand for sikkerhedsbruddet. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og til den samlede driftsbevilling.
I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark.
I Danmark fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.
Vil du vide mere?
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.