Kræftens Bekæmpelse idømt bøde i GDPR-sag

Baggrund for sagen

Sagen udsprang af fire sikkerhedsbrud, som Kræftens Bekæmpelse havde konstateret og indberettede til Datatilsynet i perioden fra oktober 2019 til maj 2020. To brud vedrørte tyveri af computere, mens de øvrige to omhandlede phishingangreb. Alle fire brud eksponerede personoplysninger om ansatte, borgere og samarbejdspartnere, hvilket skyldes, at Kræftens Bekæmpelse havde undladt at implementere sikkerhedsforanstaltninger. I alt var mindst 1.347 registrerede personer berørt af disse hændelser, og de eksponerede oplysninger inkluderede blandt andet CPR-numre.

Tyveri af computere og phishingangreb

• Den 2. oktober 2019 blev der stjålet seks bærbare computere fra Kræftens Bekæmpelses hovedkontor i København.
• Den 4. december 2019 blev yderligere fem computere stjålet fra foreningens kontor i Aarhus.
• I januar og maj 2020 blev foreningen udsat for to phishingangreb.

De stjålne computere indeholdt personhenførbare oplysninger, og ligeledes gjorde de computere, der var udsat for phishingangreb. Personhenførbare oplysninger er oplysninger, der kan henføres til en person.

Retten fastslog, at Kræftens Bekæmpelse ikke havde iværksat tilstrækkelige foranstaltninger, herunder kryptering af de stjålne computere og multifaktorgodkendelse ved login på de computere, der blev udsat for phishingangrebene, hvorfor der var sket en overtrædelse af databeskyttelsesforordnings artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6.

Retlig vurdering

På grund af den elektroniske behandling af personoplysningerne er Kræftens Bekæmpelse, som dataansvarlig efter databeskyttelsesforordningens artikel 32, stk. 1, forpligtet til at gennemføre passende tekniske og organisatoriske foranstaltninger til at mindske risikoen for misbrug af personoplysninger. Foranstaltninger som kryptering og multifaktorgodkendelse var kendte og tilgængelige metoder, som foreningen burde have implementeret for at sikre datasikkerheden.

Retten bemærkede desuden, at Datatilsynet i skrivelse af den 20. november 2020 og den 22. januar 2021 flere gange gjorde Kræftens Bekæmpelse bekendt med sikkerhedsbruddene uden at pålægge yderligere sanktioner. Datatilsynet havde ligeledes gjort Kræftens Bekæmpelse opmærksom på, at disse indberetninger kunne indgå i en samlet vurdering af fremtidige brud, hvilket blev relevant i denne sag.

Straffastsættelsen

Datatilsynet havde i forbindelse med politianmeldelsen indstillet, at Kræftens Bekæmpelse skulle idømmes en bøde på 800.000 kr. Denne indstilling fulgte Anklagemyndigheden i sagen.

Det fremgår af pkt. 150 og 151 i præamblen til databeskyttelsesforordningen, at der med forordningen er tilsigtet en harmonisering i EU af sanktionerne for overtrædelse af reglerne. Det fremgår desuden, at de kompetente nationale domstole bør tage hensyn til en anbefaling fra den nationale tilsynsmyndighed, herunder Datatilsynet, der har taget skridt til bøden, samt at de idømte bøder under alle omstændigheder skal være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Retten fandt dog, at en bøde på 75.000 kr. var hensigtsmæssig, under hensyntagen til Kræftens Bekæmpelses formål og nonprofit karakter. Retten bemærkede desuden, i henhold til fastsættelse af bødens størrelse, at sagen ikke var af kompleks karakter, da sagen alene angik manglen på kryptering og multifaktorgodkendelse.

Vil du vide mere om bødeudmålinger ved GDPR-sager, kan du læse denne nyhed.

TVC Advokatfirma bemærker

Dommen markerer vigtigheden af, at selv nonprofitorganisationer som Kræftens Bekæmpelse overholder kravene i databeskyttelsesforordningen, herunder implementering af passende sikkerhedsforanstaltninger.

Er du i tvivl om, hvordan du bedst implementerer sikkerhedsforanstaltninger eller om du overholder kravene i databeskyttelsesforordningen, så anbefaler vi, at du søger kvalificeret og professionel rådgivning.