Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.

Bech Bruun
10/02/2020
GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.
Bech Bruun logo
Den første britiske GDPR-bøde er på knap 2,5 mio. kr. og går til et medicinudbringningsfirma, som opbevarede fysisk patientdata på højst uforsvarlig vis.

Det britiske medicinudbringningsfirma, Doorstep Dispensaree Ltd., udbringer medicin til plejehjem og privatpersoner.

Virksomheden havde 47 ulåste tremmekasser, 2 engangssække og en papkasse med i alt ca. 500.000 dokmenter stående i en udendørs gård i tilknytning til virksomhedens lokaler. Dokumenterne indeholdt bl.a. navn, CPR nr., helbredsoplysninger og recepter på fysiske personer. Nogle af dokumenterne var blevet våde, hvilket ifølge det britiske datatilsyn, ICO kunne tyde på, at dokumenterne havde stået i gården længe. Der var adgang til gården fra trappeskakter fra de omkringliggende lejligheder i gårdkomplekset.

ICO lagde til grund, at beholderne med dokumenterne havde stået der i hvert fald siden den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse. ICO anvendte derfor databeskyttelsesforordningens bestemmelser i sin afgørelse.


Manglende sikkerhed


ICO vurderede, at opbevaringsforholdene udgjorde et eklatant brud på art. 5, stk. 1, litra f, om at sikre personoplysningers integritet og fortrolighed samt brud på art. 32 om at indføre passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Der var ifølge ICO tale om, at personoplysninger, som tydeligvis havde behov for særlig beskyttelse, var blevet efterladt på skødesløs (”careless”) vis, hvor de var i risiko for blandt andet hændelig undergang og uautoriseret adgang.


Manglende dokumentation


Endvidere havde virksomheden ikke tilstrækkelige retningslinjer vedr. databeskyttelse på plads, da disse var mangelfulde og generiske. Endvidere havde virksomheden ikke udarbejdet fortegnelser efter GDPR art. 30.

Da virksomheden således – i mangel af både politikker, retningslinjer og fortegnelser – ikke kunne påvise, at dens behandling af personoplysninger overholdt databeskyttelsesforordningen, havde virksomheden handlet i strid med databeskyttelsesforordningens art. 24.


Manglende information


ICO konstaterede endelig brud på art. 13 og 14 (information til registrerede), da virksomheden ikke kunne godtgøre, at de fysiske personer var blevet orienteret om, hvordan deres personoplysninger blev behandlet.


Bødens størrelse


Ved udmålingen af bødens størrelse havde ICO lagt vægt på bruddets omfang og skødesløse (”careless”) karakter.

ICO tillagde det også vægt, at virksomheden havde vist sig meget usamarbejdsvilligt over for ICO, idet man havde undladt at svare på ICO’s spørgsmål, svaret mangelfuldt og på et tidspunkt i forløbet havde indbragt ICO’s påbud om besvarelse for domstolene under påberåbelse af selvinkrimineringsforbuddet, da virksomheden også blev undersøgt i anden sammenhæng. Domstolene afviste virksomhedens anbringender herom.


Samtidigt påbud


Samtidig med bøden udstedte ICO et påbud om at gennemføre træning til virksomhedens  personale inden for seks måneder, genopfriske den mindst hvert andet år og sikre sig, at personalet blev bekendt med virksomhedens databeskyttelsesretningslinjer.

Desuden blev virksomheden påbudt at opdatere sine interne og sine kundevendte privatlivspolitikker.


Bech-Bruuns kommentarer


Denne sag er den første, hvis materialitet ICO udelukkende afgør på baggrund af databeskyttelsesforordningens regler.

Det er værd at bemærke, at sagen udelukkende omhandlede fysiske personoplysninger (lister med navne, CPR nr., diagnoser og recepter). Sagen er dermed et eksempel på, hvordan fysiske opbevaringsforhold kan udgøre et brud på persondatasikkerheden – i dette tilfælde da de fysiske forhold var af en sådan beskaffenhed, at uvedkommende kunne få adgang til oplysninger, og da oplysningerne kunne gå hændeligt til grund eller blive hændeligt beskadigede.


Sparsomt samarbejde 


At ICO ved fastlæggelsen af bødens størrelse lægger vægt på, at virksomheden ikke samarbejdede – eller samarbejdede sparsomt – mens undersøgelserne pågik er interessant. Selvinkrimineringsforbuddet bliver ofte drøftet i denne type sager også i Danmark. Under sagen havde virksomheden blandt andet påberåbt sig selvinkrimineringsforbuddet, fordi virksomheden blev undersøgt af de britiske sundhedsmyndigheder, mens ICO foretog deres undersøgelser, og virksomheden mente, at nogle af de spørgsmål ICO stillede, kunne inkriminere virksomheden i sammenhæng med den anden myndighedsundersøgelse.

De britiske domstoles afvisning af at behandle denne påstand viser, at det i hvert fald under disse omstændigheder efter britisk ret ikke var muligt at påberåbe sig selvinkrimineringsforbuddet og undlade at svare på ICO’s spørgsmål.

I dansk ret gælder retssikkerhedslovens § 10 i denne situation, hvorefter pligten til at give oplysninger til myndighederne ophører på det tidspunkt, hvor der er en konkret mistanke om, at en fysisk eller juridisk person har begået en lovovertrædelse, der kan medføre straf. Det er således ikke givet, at spørgsmålet om oplysningspligt og selvinkriminering vil blive afgjort på samme måde i Danmark.


Tilsynets undersøgelses- og korrigerende beføjelser


I denne afgørelse er det også illustreret, hvordan en bred palette af tilsynsmyndighedens beføjelser kan bliver bragt i spil. Således benytter ICO undersøgelsesbeføjelserne i form af påbud om at fremkomme med information til brug for undersøgelserne, men også korrigerende beføjelser, nemlig påbud om at bringe visse forhold i orden, dokumentere dette over for tilsynet – og så naturligvis den mest omtalte af dem alle, nemlig bødebeføjelsen.

Læs bødeafgørelsen her.
Læs påbudsafgørelsen her.
Læs ICO’s egen pressemeddelelse om afgørelsen her.

 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2023 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted