To kommuner indstillet til bøde

Dato: 10-03-2020
Afgørelse Offentlige myndigheder Politianmeldelse Anmeldt brud på persondatasikkerheden Behandlingssikkerhed CPR-nummer Følsomme oplysninger

Datatilsynet anmelder Gladsaxe Kommune og Hørsholm Kommune til politiet, da tilsynet vurderer, at kommunerne ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen (GDPR).

Gladsaxe Kommune og Hørsholm Kommune er blevet indstillet til bøder på hhv. 100.000 kr. og 50.000 kr.

Datatilsynet blev opmærksom på sagerne, da begge kommuner anmeldte brud på persondatasikkerheden i forbindelse med tyveri af en af kommunernes computere, som indeholdt personoplysninger.

Hverken Gladsaxe Kommunes eller Hørsholm Kommunes computere var beskyttet med kryptering, og kommunernes tab af personoplysninger udgjorde derfor en unødig høj risiko for borgerne.

Den utilstrækkelige sikkerhed medførte blandt andet i den ene af sagerne et alvorligt brud på persondatasikkerheden, da en computer indeholdende personoplysninger om 20.620 borgere, herunder oplysninger af følsom karakter og oplysninger om personnumre, blev stjålet fra Gladsaxe Rådhus.

Det andet sikkerhedsbrud skete, da en medarbejder fra Hørsholm Kommune fik stjålet sin arbejdercomputer fra sin bil. På computeren lå der personoplysninger om cirka 1.600 medarbejdere ved Hørsholm Kommune, herunder oplysninger af følsom karakter og oplysning om personnumre.

De konkrete sikkerhedsbrud er udtryk for nogle af de mulige konsekvenser, den utilstrækkelige sikkerhed medfører. Den utilstrækkelige sikkerhed udgør en høj risiko for alle de borgere, som kommunen behandler oplysninger om.

Kommuner har et stort ansvar

”En kommune behandler meget store mængder af personoplysninger om kommunens borgere, herunder oplysninger af følsom karakter. Som borger har man ikke mulighed for at fravælge kommunens behandling af oplysninger om en, og kommunen har derfor et stort ansvar for at undgå, at oplysningerne kommer til uvedkommendes kendskab," siger Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, og uddyber:

"Det er simpelt at tilgå de filer, der er gemt på computeren, når en computers harddisk ikke er krypteret, f.eks. ved at flytte harddisken til en anden computer. Når der er personoplysninger gemt lokalt på computeren, er det derfor særdeles uforsigtigt, at kommunerne ikke havde beskyttet computerne med kryptering.”

Indstilling til bøde

Datatilsynet har besluttet at anmelde Gladsaxe Kommune og Hørsholm Kommune til politiet og indstiller til, at der nedlægges påstand om, at de to kommuner idømmes en bøde på hhv. 100.000 kr. og 50.000 kr.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på, overtrædelsens karakter (manglende behandlingssikkerhed), og at manglende kryptering af kommunens computere er en generel foranstaltning. Der er endvidere lagt vægt på kommunernes størrelse henset til indbyggertal og til den samlede driftsbevilling.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark.

Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Hørsholm Kommune blev ved dom af 12. september 2022 idømt en bøde på 50.000 kr.

Læs mere her - eller læs selve dommen her.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR