Frederiksberg Kommune indstilles til bøde

Dato: 16-12-2021

Datatilsynet har anmeldt Frederiksberg Kommune til politiet, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Frederiksberg Kommune er blevet indstillet til en bøde på 100.000 kr. for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger i en af kommunens selvbetjeningsløsninger.

Frederiksberg Kommune anmeldte den 1. marts 2021 et brud på persondatasikkerheden til Datatilsynet. Af sagen fremgik det, at den kommunale tandpleje havde en selvbetjeningsløsning, hvor bopælsforældre oprindeligt havde adgang til bl.a. tandplejens breve. Kommunen udvidede efterfølgende adgangen til systemet til også at omfatte samværsforældre med fælles forældremyndighed.

Dette medførte, at forældre i flere tilfælde fik adgang til oplysninger om bopælsforælderen og barnets adresse, selv om bopælsforælderen og barnet var registreret med navne- og adressebeskyttelse.

Krav om passende sikkerhed

”Når man udvider adgangen til et system for samværsforældre, hvor personoplysninger kan være særligt beskyttede, fx på grund af navne- og adressebeskyttelse, skal man gøre sig klart, hvilke oplysninger samværsforældrene får adgang til. Man skal også tage højde for, at adgangen kan udsætte bopælsforælderen og barnet for en potentiel høj risiko. Frederiksberg Kommune skulle således have sikret sig imod, at der blev givet adgang til oplysninger, der ikke burde gives adgang til,” forklarer specialkonsulent i Datatilsynet Liv Palmelund Osborg.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

På baggrund af sagens omstændigheder har Datatilsynet besluttet at anmelde Frederiksberg Kommune til politiet og indstiller, at der nedlægges påstand om, at kommunen idømmes en bøde på 100.000 kr.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor, og forordningens krav om at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet har lagt vægt på, at adgangen til adresserne kunne medføre alvorlige konsekvenser for de registrerede, som netop havde adressebeskyttelse for at undgå, at den anden forælder fik kendskab til adressen. Ved beregningen af bøden er der endvidere lagt vægt på kommunens størrelse i forhold til til indbyggertal og den samlede driftsbevilling.

Vil du vide mere?

Læs mere om, hvordan du beskytter personoplysninger her.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Myndigheden blev idømt en bøde på 50.000 kr. i byretten, men dommen er anket til skærpelse af anklagemyndigheden.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR