Politianmeldelse

Lolland Kommune indstilles til bøde

Dato: 11-08-2022

Borgeres oplysninger blev udsat for en unødig risiko, da Lolland Kommunes ansatte kunne slå adgangskoder på telefoner og tablets fra. Datatilsynet har politianmeldt kommunen og indstillet til en bøde på 50.000 kr.

Lolland Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have gennemført helt basale sikkerhedsforanstaltninger i form af uomgåelige krav til adgangskoder på kommunens mobile enheder.

”Kommuner behandler store mængder følsomme oplysninger om borgerne, og derfor har de også et ansvar for at passe ordentligt på disse oplysninger. Mobile enheder bliver af og til stjålet, glemt eller tabt, og hvis uvedkommende uden videre kan få adgang til de oplysninger, der er på dem, så lever man ikke op til det ansvar,” siger Betty Husted, fuldmægtig i Datatilsynet.

Datatilsynet blev opmærksom på forholdet gennem en anmeldelse fra Lolland Kommune i december 2020, da en medarbejder i kommunen fik stjålet en arbejdstelefon. Via telefonen var der adgang til medarbejderens arbejdsmailkonto, hvor der lå oplysninger om flere borgeres navne, cpr-numre, helbredsoplysninger og misbrugsforhold.

Telefonen var ikke beskyttet af en kode, da denne var slået fra. Derfor var der adgang til de oplysninger, der lå på telefonen. Kommunen oplyste, at det gennem en årrække havde været muligt for medarbejdere at fjerne de ellers obligatoriske adgangskoder, så telefoner kunne bruges uden anvendelse af kode. Kommunen havde straks iværksat genoprettende tiltag i form af nye forholdsregler og ændringer i den tekniske opsætning af udleverede telefoner. 

Manglede tekniske foranstaltninger

Datatilsynet finder, at Lolland Kommunes behandling af personoplysninger ikke var i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen bl.a. lagt vægt på, at en dataansvarlig må påregne, at ikke alle ansatte til enhver tid følger interne retningslinjer om, at mobile enheder altid skal være beskyttet af en adgangskode. Reelt effektiv beskyttelse er således betinget af, at en sådan adgangskode ikke kan omgås, f.eks. ved at den enkelte bruger kan slå koden fra.

Det er endvidere Datatilsynets vurdering, at stjålne mobile enheder i almindelighed i højere grad end tidligere bliver gennemgået for personoplysninger, som f.eks. kreditkortoplysninger og cpr-numre, inden disse bortskaffes, f.eks. ved videresalg.

Henset til de risici for borgerne, der knytter sig til Lolland Kommunes behandling af personoplysninger, er det Datatilsynets opfattelse, at det er uforsvarligt, at kommunen ikke havde beskyttet sine mobile enheder med en adgangskode, som de ansatte ikke selv kunne slå fra.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagen i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken reaktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at der er tale om en offentlig myndighed, som generelt har et særligt ansvar for at beskytte borgernes oplysninger, og at Lolland Kommune i den egenskab behandler store mængder fortrolige og følsomme oplysninger, samt at der efter tilsynets opfattelse er tale om manglende implementering af en generel og basal teknisk foranstaltning.

 

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Sagen er afgjort den 17. november 2023 med et bødeforelæg på 50.000 kr. til kommunen.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR