Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.

Bech-Bruun
10/02/2020
GDPR-bøde på knap 2,5 mio. kr. for skødesløs fysisk opbevaring.
Bech-Bruun logo
Den første britiske GDPR-bøde er på knap 2,5 mio. kr. og går til et medicinudbringningsfirma, som opbevarede fysisk patientdata på højst uforsvarlig vis.

Det britiske medicinudbringningsfirma, Doorstep Dispensaree Ltd., udbringer medicin til plejehjem og privatpersoner.

Virksomheden havde 47 ulåste tremmekasser, 2 engangssække og en papkasse med i alt ca. 500.000 dokmenter stående i en udendørs gård i tilknytning til virksomhedens lokaler. Dokumenterne indeholdt bl.a. navn, CPR nr., helbredsoplysninger og recepter på fysiske personer. Nogle af dokumenterne var blevet våde, hvilket ifølge det britiske datatilsyn, ICO kunne tyde på, at dokumenterne havde stået i gården længe. Der var adgang til gården fra trappeskakter fra de omkringliggende lejligheder i gårdkomplekset.

ICO lagde til grund, at beholderne med dokumenterne havde stået der i hvert fald siden den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse. ICO anvendte derfor databeskyttelsesforordningens bestemmelser i sin afgørelse.

Manglende sikkerhed

ICO vurderede, at opbevaringsforholdene udgjorde et eklatant brud på art. 5, stk. 1, litra f, om at sikre personoplysningers integritet og fortrolighed samt brud på art. 32 om at indføre passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Der var ifølge ICO tale om, at personoplysninger, som tydeligvis havde behov for særlig beskyttelse, var blevet efterladt på skødesløs (”careless”) vis, hvor de var i risiko for blandt andet hændelig undergang og uautoriseret adgang.

Manglende dokumentation

Endvidere havde virksomheden ikke tilstrækkelige retningslinjer vedr. databeskyttelse på plads, da disse var mangelfulde og generiske. Endvidere havde virksomheden ikke udarbejdet fortegnelser efter GDPR art. 30.

Da virksomheden således – i mangel af både politikker, retningslinjer og fortegnelser – ikke kunne påvise, at dens behandling af personoplysninger overholdt databeskyttelsesforordningen, havde virksomheden handlet i strid med databeskyttelsesforordningens art. 24.

Manglende information

ICO konstaterede endelig brud på art. 13 og 14 (information til registrerede), da virksomheden ikke kunne godtgøre, at de fysiske personer var blevet orienteret om, hvordan deres personoplysninger blev behandlet.

Bødens størrelse

Ved udmålingen af bødens størrelse havde ICO lagt vægt på bruddets omfang og skødesløse (”careless”) karakter.

ICO tillagde det også vægt, at virksomheden havde vist sig meget usamarbejdsvilligt over for ICO, idet man havde undladt at svare på ICO’s spørgsmål, svaret mangelfuldt og på et tidspunkt i forløbet havde indbragt ICO’s påbud om besvarelse for domstolene under påberåbelse af selvinkrimineringsforbuddet, da virksomheden også blev undersøgt i anden sammenhæng. Domstolene afviste virksomhedens anbringender herom.

Samtidigt påbud

Samtidig med bøden udstedte ICO et påbud om at gennemføre træning til virksomhedens  personale inden for seks måneder, genopfriske den mindst hvert andet år og sikre sig, at personalet blev bekendt med virksomhedens databeskyttelsesretningslinjer.

Desuden blev virksomheden påbudt at opdatere sine interne og sine kundevendte privatlivspolitikker.

Bech-Bruuns kommentarer

Denne sag er den første, hvis materialitet ICO udelukkende afgør på baggrund af databeskyttelsesforordningens regler.

Det er værd at bemærke, at sagen udelukkende omhandlede fysiske personoplysninger (lister med navne, CPR nr., diagnoser og recepter). Sagen er dermed et eksempel på, hvordan fysiske opbevaringsforhold kan udgøre et brud på persondatasikkerheden – i dette tilfælde da de fysiske forhold var af en sådan beskaffenhed, at uvedkommende kunne få adgang til oplysninger, og da oplysningerne kunne gå hændeligt til grund eller blive hændeligt beskadigede.

Sparsomt samarbejde

At ICO ved fastlæggelsen af bødens størrelse lægger vægt på, at virksomheden ikke samarbejdede – eller samarbejdede sparsomt – mens undersøgelserne pågik er interessant. Selvinkrimineringsforbuddet bliver ofte drøftet i denne type sager også i Danmark. Under sagen havde virksomheden blandt andet påberåbt sig selvinkrimineringsforbuddet, fordi virksomheden blev undersøgt af de britiske sundhedsmyndigheder, mens ICO foretog deres undersøgelser, og virksomheden mente, at nogle af de spørgsmål ICO stillede, kunne inkriminere virksomheden i sammenhæng med den anden myndighedsundersøgelse.

De britiske domstoles afvisning af at behandle denne påstand viser, at det i hvert fald under disse omstændigheder efter britisk ret ikke var muligt at påberåbe sig selvinkrimineringsforbuddet og undlade at svare på ICO’s spørgsmål.

I dansk ret gælder retssikkerhedslovens § 10 i denne situation, hvorefter pligten til at give oplysninger til myndighederne ophører på det tidspunkt, hvor der er en konkret mistanke om, at en fysisk eller juridisk person har begået en lovovertrædelse, der kan medføre straf. Det er således ikke givet, at spørgsmålet om oplysningspligt og selvinkriminering vil blive afgjort på samme måde i Danmark.

Tilsynets undersøgelses- og korrigerende beføjelser

I denne afgørelse er det også illustreret, hvordan en bred palette af tilsynsmyndighedens beføjelser kan bliver bragt i spil. Således benytter ICO undersøgelsesbeføjelserne i form af påbud om at fremkomme med information til brug for undersøgelserne, men også korrigerende beføjelser, nemlig påbud om at bringe visse forhold i orden, dokumentere dette over for tilsynet – og så naturligvis den mest omtalte af dem alle, nemlig bødebeføjelsen. 

Læs bødeafgørelsen her.
Læs påbudsafgørelsen her.

Læs ICO’s egen pressemeddelelse om afgørelsen her.     

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech-Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted