Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Første bøde til offentlig myndighed for brud på databeskyttelsesreglerne

Første bøde til offentlig myndighed for brud på databeskyttelsesreglerne
IUNO logo
Siden de nye databeskyttelsesregler trådte i kraft tilbage i 2018, har Datatilsynet både indstillet private virksomheder og offentlige myndigheder til bøde – med et bødeniveau på op til 1.5 millioner kroner. Som den første i en række af sager ved domstolene, har Retten i Roskilde nu afgjort, at en kommune skulle betale 50.000 kroner i bøde, for at have overtrådt databeskyttelsesreglerne.

I en kommune var arbejdsgangen i en afdeling for børn og unge sådan, at mødereferater blev uploadet til den interne medarbejderportal. Medarbejderportalen fungerede på én gang som både intranet for flere fagsystemer og som et sagsbehandlingssystem, som et alternativ til et fællesdrev. Mødereferaterne indeholdt følsomme oplysninger, herunder oplysninger om etnicitet, seksuelle forhold og helbredsoplysninger vedrørende fysiske og psykiske lidelser. Alligevel havde en stor del af kommunens op til 2000 ansatte fri adgang til mødereferaterne, hvis de ønskede det, uanset at de slet ikke arbejdede med den type af sager.


Datatilsynet politianmeldte herefter kommunen, der samtidig blev indstillet til en bøde på 50.000 kroner. Ifølge Datatilsynet, havde kommunen nemlig groft tilsidesat forpligtelsen til at beskytte fortrolige oplysninger med adgangskontrol. I den forbindelse understregede Datatilsynet blandt andet, at det som et helt klart udgangspunkt kun er medarbejdere med et ”arbejdsbetinget behov” der burde have adgang. Roskilde Byret var enig og understregede, at det ikke spillede en rolle at man ikke kunne påvise, at uvedkommende havde tilgået oplysningerne når det alene skyldtes, at kommunen ikke loggede adgangen til medarbejderportalen.


Flere bøder på vej

I de fleste andre EU lande, kan de nationale datatilsyn selv udstede administrative bøder. Det er ikke tilfældet i Danmark. Når Datatilsynet har undersøgt en sag, som fører til en politianmeldelse, vil det være politiet, der undersøger om der er grundlag for at rejse en sigtelse mv. Herefter vil det være domstolene, som beslutter, om der skal pålægges en bødestraf eller ej. Sagen for Retten i Roskilde er dermed den første i en række af flere, hvor en domstol endeligt har taget endelig stilling til spørgsmålet om bødestraf over for en offentlig myndighed.


Når Datatilsynet indstiller til en bøde, sker det i overensstemmelse med en vejledning, der fastsætter retningslinjer for udmålingen. Datatilsynet vil starte med at fastsætte et grundbeløb for bøden, som vil blive justeret alt efter den konkrete sags karakter, alvor og varighed. Eksempelvis vil det her spille en rolle, om bruddet har stået på i en årrække eller nogle timer, om bruddet vedrører flere hundrede datasubjekter, eller nogle få, samt hvilken type oplysninger, der er tale om. Når det er gjort, vil Datatilsynet set på, om der er omstændigheder, der gør sagen værre eller bedre. Her vil det eksempelvis spille en rolle, om den dataansvarlige selv har indberettet sagen, repareret bruddet fremadrettet eller samarbejdet. Til sidst vil bødeniveauet justeres efter reglernes maksimum og eventuel betalingsevne.


IUNO mener

Virksomheder bør løbende revurdere, om der er nødvendige og passende sikkerhedsforanstaltninger på plads over for alle typer personoplysninger, som bliver behandlet. Samtidig er det en klar fordel, hvis virksomheder på forhånd har klare retningslinjer på plads for, hvordan et eventuelt brud på reglerne skal hånd.


IUNO anbefaler, at virksomheder er opmærksomme på, at det fortsat er muligt at påvirke bødeniveauet når skaden er sket. Virksomheder, der bliver opmærksomme på et brud, kan sørge for selv at indberette det før andre og hurtigst muligt reparere bruddet, så det ikke fortsætter eller sker igen.


[Roskilde Byrets dom i sag 9A-8331/2020 af 9. marts 2022]

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2022 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted