Politianmeldelse

Civilstyrelsen indstilles til bøde

Dato: 12-05-2022

Datatilsynet anmelder Civilstyrelsen til politiet og indstiller til en bøde på 100.000 kr. Tilsynet vurderer, at Civilstyrelsen ikke har levet op til kravene om passende sikkerhedsniveau samt kravet om at anmelde et brud på persondatasikkerheden efter databeskyttelsesforordningen.

Datatilsynet blev opmærksom på sagen, da en klagers partsrepræsentant klagede over Civilstyrelsens håndtering af klagers oplysninger.

Af sagen fremgår det, at Civilstyrelsen v/Erstatningsnævnet returnerede et USB-stik til klager, der indeholdt mere end 800 siders oplysninger om klager af følsom og fortrolig karakter, der ved klagers modtagelse var bortkommet.

USB-stikket var ikke krypteret, og styrelsen havde i øvrigt ikke retningslinjer målrettet styrelsens sagsbehandlere med hensyn til enhver håndtering af udtagelige lagringsmidler og bærbare medier.

Civilstyrelsen blev bekendt med bruddet den 26. august 2020, men anmeldte herefter ikke bruddet til Datatilsynet i strid med reglerne i databeskyttelsesforordningens artikel 33.

Manglende tekniske og/eller organisatoriske foranstaltninger

Datatilsynet finder, at Civilstyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen lagt vægt på, at kryptering af udtagelige lagringsmidler, der indeholder personoplysninger (herunder USB-stik) må anses for at være en nødvendig og påkrævet sikkerhedsforanstaltning.

I forlængelse heraf har tilsynet tillagt det betydning, at udtagelige lagringsmidler med personoplysninger har en skærpet risikoprofil i forhold til håndteringen af personoplysninger, og at kryptering er en foranstaltning, der er relativt let for den dataansvarlige at gennemføre.

Herudover har Datatilsynet lagt vægt på, at styrelsen ikke havde retningslinjer målrettet og kendt af styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik, herunder afsendelse.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige.

Derudover er der tale om et nævn i en statslig myndighed, der generelt må antages at behandle store mængder følsomme og fortrolige oplysninger, og hvor det må anses for værende væsentlig, at der er udarbejdet en vejledning målrettet styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Sagen er afgjort den 20. september 2022 med et bødeforelæg på 100.000 kr. til Civilstyrelsen.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR