Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.

Bech Bruun
10/02/2020
3.296
GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.
Bech Bruun logo
Den første britiske GDPR-bøde er på knap 2,5 mio. kr. og går til et medicinudbringningsfirma, som opbevarede fysisk patientdata på højst uforsvarlig vis.

Det britiske medicinudbringningsfirma, Doorstep Dispensaree Ltd., udbringer medicin til plejehjem og privatpersoner.

Virksomheden havde 47 ulåste tremmekasser, 2 engangssække og en papkasse med i alt ca. 500.000 dokmenter stående i en udendørs gård i tilknytning til virksomhedens lokaler. Dokumenterne indeholdt bl.a. navn, CPR nr., helbredsoplysninger og recepter på fysiske personer. Nogle af dokumenterne var blevet våde, hvilket ifølge det britiske datatilsyn, ICO kunne tyde på, at dokumenterne havde stået i gården længe. Der var adgang til gården fra trappeskakter fra de omkringliggende lejligheder i gårdkomplekset.

ICO lagde til grund, at beholderne med dokumenterne havde stået der i hvert fald siden den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse. ICO anvendte derfor databeskyttelsesforordningens bestemmelser i sin afgørelse.


Manglende sikkerhed


ICO vurderede, at opbevaringsforholdene udgjorde et eklatant brud på art. 5, stk. 1, litra f, om at sikre personoplysningers integritet og fortrolighed samt brud på art. 32 om at indføre passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Der var ifølge ICO tale om, at personoplysninger, som tydeligvis havde behov for særlig beskyttelse, var blevet efterladt på skødesløs (”careless”) vis, hvor de var i risiko for blandt andet hændelig undergang og uautoriseret adgang.


Manglende dokumentation


Endvidere havde virksomheden ikke tilstrækkelige retningslinjer vedr. databeskyttelse på plads, da disse var mangelfulde og generiske. Endvidere havde virksomheden ikke udarbejdet fortegnelser efter GDPR art. 30.

Da virksomheden således – i mangel af både politikker, retningslinjer og fortegnelser – ikke kunne påvise, at dens behandling af personoplysninger overholdt databeskyttelsesforordningen, havde virksomheden handlet i strid med databeskyttelsesforordningens art. 24.


Manglende information


ICO konstaterede endelig brud på art. 13 og 14 (information til registrerede), da virksomheden ikke kunne godtgøre, at de fysiske personer var blevet orienteret om, hvordan deres personoplysninger blev behandlet.


Bødens størrelse


Ved udmålingen af bødens størrelse havde ICO lagt vægt på bruddets omfang og skødesløse (”careless”) karakter.

ICO tillagde det også vægt, at virksomheden havde vist sig meget usamarbejdsvilligt over for ICO, idet man havde undladt at svare på ICO’s spørgsmål, svaret mangelfuldt og på et tidspunkt i forløbet havde indbragt ICO’s påbud om besvarelse for domstolene under påberåbelse af selvinkrimineringsforbuddet, da virksomheden også blev undersøgt i anden sammenhæng. Domstolene afviste virksomhedens anbringender herom.


Samtidigt påbud


Samtidig med bøden udstedte ICO et påbud om at gennemføre træning til virksomhedens  personale inden for seks måneder, genopfriske den mindst hvert andet år og sikre sig, at personalet blev bekendt med virksomhedens databeskyttelsesretningslinjer.

Desuden blev virksomheden påbudt at opdatere sine interne og sine kundevendte privatlivspolitikker.


Bech-Bruuns kommentarer


Denne sag er den første, hvis materialitet ICO udelukkende afgør på baggrund af databeskyttelsesforordningens regler.

Det er værd at bemærke, at sagen udelukkende omhandlede fysiske personoplysninger (lister med navne, CPR nr., diagnoser og recepter). Sagen er dermed et eksempel på, hvordan fysiske opbevaringsforhold kan udgøre et brud på persondatasikkerheden – i dette tilfælde da de fysiske forhold var af en sådan beskaffenhed, at uvedkommende kunne få adgang til oplysninger, og da oplysningerne kunne gå hændeligt til grund eller blive hændeligt beskadigede.


Sparsomt samarbejde 


At ICO ved fastlæggelsen af bødens størrelse lægger vægt på, at virksomheden ikke samarbejdede – eller samarbejdede sparsomt – mens undersøgelserne pågik er interessant. Selvinkrimineringsforbuddet bliver ofte drøftet i denne type sager også i Danmark. Under sagen havde virksomheden blandt andet påberåbt sig selvinkrimineringsforbuddet, fordi virksomheden blev undersøgt af de britiske sundhedsmyndigheder, mens ICO foretog deres undersøgelser, og virksomheden mente, at nogle af de spørgsmål ICO stillede, kunne inkriminere virksomheden i sammenhæng med den anden myndighedsundersøgelse.

De britiske domstoles afvisning af at behandle denne påstand viser, at det i hvert fald under disse omstændigheder efter britisk ret ikke var muligt at påberåbe sig selvinkrimineringsforbuddet og undlade at svare på ICO’s spørgsmål.

I dansk ret gælder retssikkerhedslovens § 10 i denne situation, hvorefter pligten til at give oplysninger til myndighederne ophører på det tidspunkt, hvor der er en konkret mistanke om, at en fysisk eller juridisk person har begået en lovovertrædelse, der kan medføre straf. Det er således ikke givet, at spørgsmålet om oplysningspligt og selvinkriminering vil blive afgjort på samme måde i Danmark.


Tilsynets undersøgelses- og korrigerende beføjelser


I denne afgørelse er det også illustreret, hvordan en bred palette af tilsynsmyndighedens beføjelser kan bliver bragt i spil. Således benytter ICO undersøgelsesbeføjelserne i form af påbud om at fremkomme med information til brug for undersøgelserne, men også korrigerende beføjelser, nemlig påbud om at bringe visse forhold i orden, dokumentere dette over for tilsynet – og så naturligvis den mest omtalte af dem alle, nemlig bødebeføjelsen.

Læs bødeafgørelsen her.
Læs påbudsafgørelsen her.
Læs ICO’s egen pressemeddelelse om afgørelsen her.

 

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
29/09/2020
Persondata
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
22/09/2020
Persondata
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted