Den første britiske GDPR-bøde er på knap 2,5 mio. kr. og går til et medicinudbringningsfirma, som opbevarede fysisk patientdata på højst uforsvarlig vis.
Det britiske medicinudbringningsfirma, Doorstep Dispensaree Ltd., udbringer medicin til plejehjem og privatpersoner.
Virksomheden havde 47 ulåste tremmekasser, 2 engangssække og en papkasse med i alt ca. 500.000 dokmenter stående i en udendørs gård i tilknytning til virksomhedens lokaler. Dokumenterne indeholdt bl.a. navn, CPR nr., helbredsoplysninger og recepter på fysiske personer. Nogle af dokumenterne var blevet våde, hvilket ifølge det britiske datatilsyn, ICO kunne tyde på, at dokumenterne havde stået i gården længe. Der var adgang til gården fra trappeskakter fra de omkringliggende lejligheder i gårdkomplekset.
ICO lagde til grund, at beholderne med dokumenterne havde stået der i hvert fald siden den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse. ICO anvendte derfor databeskyttelsesforordningens bestemmelser i sin afgørelse.
Manglende sikkerhed
ICO vurderede, at opbevaringsforholdene udgjorde et eklatant brud på art. 5, stk. 1, litra f, om at sikre personoplysningers integritet og fortrolighed samt brud på art. 32 om at indføre passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Der var ifølge ICO tale om, at personoplysninger, som tydeligvis havde behov for særlig beskyttelse, var blevet efterladt på skødesløs (”careless”) vis, hvor de var i risiko for blandt andet hændelig undergang og uautoriseret adgang.
Manglende dokumentation
Endvidere havde virksomheden ikke tilstrækkelige retningslinjer vedr. databeskyttelse på plads, da disse var mangelfulde og generiske. Endvidere havde virksomheden ikke udarbejdet fortegnelser efter GDPR art. 30.
Da virksomheden således – i mangel af både politikker, retningslinjer og fortegnelser – ikke kunne påvise, at dens behandling af personoplysninger overholdt databeskyttelsesforordningen, havde virksomheden handlet i strid med databeskyttelsesforordningens art. 24.
Manglende information
ICO konstaterede endelig brud på art. 13 og 14 (information til registrerede), da virksomheden ikke kunne godtgøre, at de fysiske personer var blevet orienteret om, hvordan deres personoplysninger blev behandlet.
Bødens størrelse
Ved udmålingen af bødens størrelse havde ICO lagt vægt på bruddets omfang og skødesløse (”careless”) karakter.
ICO tillagde det også vægt, at virksomheden havde vist sig meget usamarbejdsvilligt over for ICO, idet man havde undladt at svare på ICO’s spørgsmål, svaret mangelfuldt og på et tidspunkt i forløbet havde indbragt ICO’s påbud om besvarelse for domstolene under påberåbelse af selvinkrimineringsforbuddet, da virksomheden også blev undersøgt i anden sammenhæng. Domstolene afviste virksomhedens anbringender herom.
Samtidigt påbud
Samtidig med bøden udstedte ICO et påbud om at gennemføre træning til virksomhedens personale inden for seks måneder, genopfriske den mindst hvert andet år og sikre sig, at personalet blev bekendt med virksomhedens databeskyttelsesretningslinjer.
Desuden blev virksomheden påbudt at opdatere sine interne og sine kundevendte privatlivspolitikker.
Bech-Bruuns kommentarer
Denne sag er den første, hvis materialitet ICO udelukkende afgør på baggrund af databeskyttelsesforordningens regler.
Det er værd at bemærke, at sagen udelukkende omhandlede fysiske personoplysninger (lister med navne, CPR nr., diagnoser og recepter). Sagen er dermed et eksempel på, hvordan fysiske opbevaringsforhold kan udgøre et brud på persondatasikkerheden – i dette tilfælde da de fysiske forhold var af en sådan beskaffenhed, at uvedkommende kunne få adgang til oplysninger, og da oplysningerne kunne gå hændeligt til grund eller blive hændeligt beskadigede.
Sparsomt samarbejde
At ICO ved fastlæggelsen af bødens størrelse lægger vægt på, at virksomheden ikke samarbejdede – eller samarbejdede sparsomt – mens undersøgelserne pågik er interessant. Selvinkrimineringsforbuddet bliver ofte drøftet i denne type sager også i Danmark. Under sagen havde virksomheden blandt andet påberåbt sig selvinkrimineringsforbuddet, fordi virksomheden blev undersøgt af de britiske sundhedsmyndigheder, mens ICO foretog deres undersøgelser, og virksomheden mente, at nogle af de spørgsmål ICO stillede, kunne inkriminere virksomheden i sammenhæng med den anden myndighedsundersøgelse.
De britiske domstoles afvisning af at behandle denne påstand viser, at det i hvert fald under disse omstændigheder efter britisk ret ikke var muligt at påberåbe sig selvinkrimineringsforbuddet og undlade at svare på ICO’s spørgsmål.
I dansk ret gælder retssikkerhedslovens § 10 i denne situation, hvorefter pligten til at give oplysninger til myndighederne ophører på det tidspunkt, hvor der er en konkret mistanke om, at en fysisk eller juridisk person har begået en lovovertrædelse, der kan medføre straf. Det er således ikke givet, at spørgsmålet om oplysningspligt og selvinkriminering vil blive afgjort på samme måde i Danmark.
Tilsynets undersøgelses- og korrigerende beføjelser
I denne afgørelse er det også illustreret, hvordan en bred palette af tilsynsmyndighedens beføjelser kan bliver bragt i spil. Således benytter ICO undersøgelsesbeføjelserne i form af påbud om at fremkomme med information til brug for undersøgelserne, men også korrigerende beføjelser, nemlig påbud om at bringe visse forhold i orden, dokumentere dette over for tilsynet – og så naturligvis den mest omtalte af dem alle, nemlig bødebeføjelsen.
Læs bødeafgørelsen her.
Læs påbudsafgørelsen her.
Læs ICO’s egen pressemeddelelse om afgørelsen her.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
-medium.jpg)
