Første bøde til offentlig myndighed for brud på databeskyttelsesreglerne
Siden de nye databeskyttelsesregler trådte i kraft tilbage i 2018, har Datatilsynet både indstillet private virksomheder og offentlige myndigheder til bøde – med et bødeniveau på op til 1.5 millioner kroner. Som den første i en række af sager ved domstolene, har Retten i Roskilde nu afgjort, at en kommune skulle betale 50.000 kroner i bøde, for at have overtrådt databeskyttelsesreglerne.
I en kommune var arbejdsgangen i en afdeling for børn og unge sådan, at mødereferater blev uploadet til den interne medarbejderportal. Medarbejderportalen fungerede på én gang som både intranet for flere fagsystemer og som et sagsbehandlingssystem, som et alternativ til et fællesdrev. Mødereferaterne indeholdt følsomme oplysninger, herunder oplysninger om etnicitet, seksuelle forhold og helbredsoplysninger vedrørende fysiske og psykiske lidelser. Alligevel havde en stor del af kommunens op til 2000 ansatte fri adgang til mødereferaterne, hvis de ønskede det, uanset at de slet ikke arbejdede med den type af sager.
Datatilsynet politianmeldte herefter kommunen, der samtidig blev indstillet til en bøde på 50.000 kroner. Ifølge Datatilsynet, havde kommunen nemlig groft tilsidesat forpligtelsen til at beskytte fortrolige oplysninger med adgangskontrol. I den forbindelse understregede Datatilsynet blandt andet, at det som et helt klart udgangspunkt kun er medarbejdere med et ”arbejdsbetinget behov” der burde have adgang. Roskilde Byret var enig og understregede, at det ikke spillede en rolle at man ikke kunne påvise, at uvedkommende havde tilgået oplysningerne når det alene skyldtes, at kommunen ikke loggede adgangen til medarbejderportalen.
Flere bøder på vej
I de fleste andre EU lande, kan de nationale datatilsyn selv udstede administrative bøder. Det er ikke tilfældet i Danmark. Når Datatilsynet har undersøgt en sag, som fører til en politianmeldelse, vil det være politiet, der undersøger om der er grundlag for at rejse en sigtelse mv. Herefter vil det være domstolene, som beslutter, om der skal pålægges en bødestraf eller ej. Sagen for Retten i Roskilde er dermed den første i en række af flere, hvor en domstol endeligt har taget endelig stilling til spørgsmålet om bødestraf over for en offentlig myndighed.
Når Datatilsynet indstiller til en bøde, sker det i overensstemmelse med en vejledning, der fastsætter retningslinjer for udmålingen. Datatilsynet vil starte med at fastsætte et grundbeløb for bøden, som vil blive justeret alt efter den konkrete sags karakter, alvor og varighed. Eksempelvis vil det her spille en rolle, om bruddet har stået på i en årrække eller nogle timer, om bruddet vedrører flere hundrede datasubjekter, eller nogle få, samt hvilken type oplysninger, der er tale om. Når det er gjort, vil Datatilsynet set på, om der er omstændigheder, der gør sagen værre eller bedre. Her vil det eksempelvis spille en rolle, om den dataansvarlige selv har indberettet sagen, repareret bruddet fremadrettet eller samarbejdet. Til sidst vil bødeniveauet justeres efter reglernes maksimum og eventuel betalingsevne.
IUNO mener
Virksomheder bør løbende revurdere, om der er nødvendige og passende sikkerhedsforanstaltninger på plads over for alle typer personoplysninger, som bliver behandlet. Samtidig er det en klar fordel, hvis virksomheder på forhånd har klare retningslinjer på plads for, hvordan et eventuelt brud på reglerne skal hånd.
IUNO anbefaler, at virksomheder er opmærksomme på, at det fortsat er muligt at påvirke bødeniveauet når skaden er sket. Virksomheder, der bliver opmærksomme på et brud, kan sørge for selv at indberette det før andre og hurtigst muligt reparere bruddet, så det ikke fortsætter eller sker igen.
[Roskilde Byrets dom i sag 9A-8331/2020 af 9. marts 2022]
I en kommune var arbejdsgangen i en afdeling for børn og unge sådan, at mødereferater blev uploadet til den interne medarbejderportal. Medarbejderportalen fungerede på én gang som både intranet for flere fagsystemer og som et sagsbehandlingssystem, som et alternativ til et fællesdrev. Mødereferaterne indeholdt følsomme oplysninger, herunder oplysninger om etnicitet, seksuelle forhold og helbredsoplysninger vedrørende fysiske og psykiske lidelser. Alligevel havde en stor del af kommunens op til 2000 ansatte fri adgang til mødereferaterne, hvis de ønskede det, uanset at de slet ikke arbejdede med den type af sager.
Datatilsynet politianmeldte herefter kommunen, der samtidig blev indstillet til en bøde på 50.000 kroner. Ifølge Datatilsynet, havde kommunen nemlig groft tilsidesat forpligtelsen til at beskytte fortrolige oplysninger med adgangskontrol. I den forbindelse understregede Datatilsynet blandt andet, at det som et helt klart udgangspunkt kun er medarbejdere med et ”arbejdsbetinget behov” der burde have adgang. Roskilde Byret var enig og understregede, at det ikke spillede en rolle at man ikke kunne påvise, at uvedkommende havde tilgået oplysningerne når det alene skyldtes, at kommunen ikke loggede adgangen til medarbejderportalen.
Flere bøder på vej
I de fleste andre EU lande, kan de nationale datatilsyn selv udstede administrative bøder. Det er ikke tilfældet i Danmark. Når Datatilsynet har undersøgt en sag, som fører til en politianmeldelse, vil det være politiet, der undersøger om der er grundlag for at rejse en sigtelse mv. Herefter vil det være domstolene, som beslutter, om der skal pålægges en bødestraf eller ej. Sagen for Retten i Roskilde er dermed den første i en række af flere, hvor en domstol endeligt har taget endelig stilling til spørgsmålet om bødestraf over for en offentlig myndighed.
Når Datatilsynet indstiller til en bøde, sker det i overensstemmelse med en vejledning, der fastsætter retningslinjer for udmålingen. Datatilsynet vil starte med at fastsætte et grundbeløb for bøden, som vil blive justeret alt efter den konkrete sags karakter, alvor og varighed. Eksempelvis vil det her spille en rolle, om bruddet har stået på i en årrække eller nogle timer, om bruddet vedrører flere hundrede datasubjekter, eller nogle få, samt hvilken type oplysninger, der er tale om. Når det er gjort, vil Datatilsynet set på, om der er omstændigheder, der gør sagen værre eller bedre. Her vil det eksempelvis spille en rolle, om den dataansvarlige selv har indberettet sagen, repareret bruddet fremadrettet eller samarbejdet. Til sidst vil bødeniveauet justeres efter reglernes maksimum og eventuel betalingsevne.
IUNO mener
Virksomheder bør løbende revurdere, om der er nødvendige og passende sikkerhedsforanstaltninger på plads over for alle typer personoplysninger, som bliver behandlet. Samtidig er det en klar fordel, hvis virksomheder på forhånd har klare retningslinjer på plads for, hvordan et eventuelt brud på reglerne skal hånd.
IUNO anbefaler, at virksomheder er opmærksomme på, at det fortsat er muligt at påvirke bødeniveauet når skaden er sket. Virksomheder, der bliver opmærksomme på et brud, kan sørge for selv at indberette det før andre og hurtigst muligt reparere bruddet, så det ikke fortsætter eller sker igen.
[Roskilde Byrets dom i sag 9A-8331/2020 af 9. marts 2022]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet