Datatilsynet indstiller stifterne af mit.dk til millionbøde

Datatilsynets funktion

Siden den nye databeskyttelseslovgivning fra 2018 har Datatilsynet haft til opgave at føre tilsyn med, at virksomheder, offentlige myndigheder samt andre dataansvarlige og databehandlere overholder databeskyttelseslovgivningen. Her er tilsynsopgaverne af forskellig karakter, der kan munde ud i forskellige former for sanktioner – herunder kritik, påbud, forbud og bødeindstilling.

Datatilsynet kan, ved de mest alvorlige overtrædelser af databeskyttelsesreglerne, politianmelde dataansvarlige eller databehandlere og indstille dem til bøde. Bøden skal efter databeskyttelsesreglerne være effektive, stå i rimeligt forhold til overtrædelsen samt have en afskrækkende og præventiv virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Den nye databeskyttelseslov har lagt op til et nyt og væsentligt forhøjet bødeniveau, hvor virksomheder, afhængigt af deres størrelse og overtrædelsens karakter, kan straffes med bøder op til 4 % af virksomhedens samlede globale årlige omsætning.

Indtil nu er der afsagt dom i få sager vedrørende overtrædelse af databeskyttelseslovgivningen. Senest i en afgørelse af den 28. september 2023 fra Østre Landsret, hvor hotelkæden ”Arp-Hansen” blev idømt en bøde på 1 mio. kr., hvilket lå tæt på Datatilsynets oprindelige bødeindstilling på 1,1 mio. kr. Overtrædelsen bestod i, at hotelkæden ikke efterlevede de slettefrister af personoplysninger, som de selv havde fastsat. Dommen vil formentlig fremover være med til at fastlægge praksis for bødeområdet for private virksomheder.

Vi mangler dog fortsat endelig afgørelse i en del af de af Datatilsynet rejste bødesager, herunder for eksempel i sagerne mod IDdesign A/S (1,5 mio. kr.), Taxa 4x35 (1,2 mio. kr.), Kræftens Bekæmpelse (800.000 kr.) og Medicals Nordic I/S (600.000 kr.).

Indstillinger i 2024

I tråd med den nyligt afsagte praksis, har Datatilsynet indledt 2024 med at offentliggøre flere sager, hvor virksomheder samt offentlige myndigheder politianmeldes samt indstilles til bøde for overtrædelse af databeskyttelseslovgivningen:

Det Kongelige Teater

Datatilsynet har, den 09. januar 2024, politianmeldt Det Kongelige Teater for ikke at have fastsat interne regler for sletning af kundeoplysninger til markedsføringsbrug. Teatret indstilles ligeledes til en bøde på 250.000 kr.

Datatilsynet indledte, af egen drift, en undersøgelse i september 2022, der viste, at Det Kongelige Teater ikke havde fastsat interne regler for sletning og opbevaring af personoplysninger på trods af, at teateret allerede her var opmærksom på, at dette ikke var sket.

Datatilsynet har blandt andet lagt vægt på, at der er tale om en overtrædelse af grundlæggende principper for behandling af personoplysninger, at der er tale om et meget stort antal registrerede kunder, og at oplysningerne er blevet anvendt aktivt i markedsføringsøjemed. Tilsynet har endeligt, i skærpende retning, lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

Odsherred Kommune

Datatilsynet har, den 11. januar 2024, anmeldt Odsherred Kommune til politiet samt indstillet kommunen til en bøde på mellem 100.000 og 200.000 kr. for ikke at have etableret tilstrækkelige og passende sikkerhedsforanstaltninger.

Datatilsynet blev opmærksom på problematikken, da Odsherred Kommune i september 2022 anmeldte et brud på persondatasikkerheden i forbindelse med, at en computer, der indeholdt personoplysninger af en følsom karakter, blev stjålet. Datatilsynet konstaterede, at Odsherred kommune i en årrække, der i hvert fald strakte sig fra 2018-2022, ikke havde krypteret kommunens bærbare computere, hvilket Datatilsynet betragtede som en alvorlig overtrædelse af databeskyttelseslovgivningens krav til behandlingssikkerhed.

Netcompany

Datatilsynet har senest, den 12. januar 2024, politianmeldt Netcompany samt indstillet virksomheden til en bøde på mindst 15 mio. kr., da virksomheden ved udviklingen af mit.dk ikke har sikret et passende sikkerhedsniveau. De havde f.eks. ikke udarbejdet en konsekvensanalyse, der har karakter af en væsentlig retssikkerhedsgaranti for borgerne, når deres oplysninger behandles. Som følge af den manglende overholdelse af databeskyttelseslovgivningen fik virksomhedens brugere af mit.dk uberettiget adgang til andre brugeres digitale post og dermed til personoplysninger af både en fortrolig og følsom karakter. Dette medførte en unødig høj risiko for alle brugere af mit.dk.

Datatilsynet fandt, at der var tale om en mangelfuld proces i forhold til konsekvensanalyse, en uhensigtsmæssig kodning, der ikke burde være anvendt til denne type løsning, ligesom en bedre test af løsningen burde have afdækket fejlen.

Som følge af ovennævnte overtrædelse af databeskyttelseslovgivningen sanktioneres Netcompany med en bøde på 15 mio. kr., hvilket er den største bøde, som Datatilsynet hidtil har indstillet til. Ud over sagens alvor afspejler beløbet også, at der er tale om en meget stor virksomhed, der bør sanktioneres effektivt.