Politianmeldelse

Privathospitalet Capio A/S indstilles til bøde

Dato: 01-02-2024

Datatilsynet anmelder Capio A/S til politiet for ikke at have ført tilsyn med databehandlere. Privathospitalet indstilles til en bøde på ikke under 1.500.000 kr.

Datatilsynet har foretaget en undersøgelse af GHP Gildhøj Privathospital ApS’ (nu Capio A/S) tilsyn med databehandlere. I den forbindelse udvalgte Datatilsynet tilfældigt tre af privathospitalets databehandlere som genstand for undersøgelsen.

Undersøgelsen af Capio A/S’ tilsyn med de tre databehandlere viste, at privathospitalet ikke havde ført tilsyn med databehandlerne. Det første tilsyn med hver enkelt databehandler blev først ført, da Datatilsynet indledte sin undersøgelse af privathospitalet.

På den baggrund har Datatilsynet besluttet at politianmelde Capio A/S for ikke at have handlet i overensstemmelse med det databeskyttelsesretlige princip om ansvarlighed. Det er således Datatilsynets vurdering, at privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger. Det gælder også selvom, at privathospitalet bad en anden part (en databehandler) om at behandle oplysningerne på sine vegne.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved sin vurdering bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover behandlede databehandlerne oplysninger om et stort antal registrerede. Tilsynet fremhævede også, at databehandlerne behandlede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.

Vil du vide mere? 

Du kan læse Datatilsynets vejledning om tilsyn med databehandlere her. 

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR