Lejre Kommune indstilles til bøde

Publiceret 30-06-2020
Nyhed

Datatilsynet anmelder Lejre Kommune til politiet, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Lejre Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.

Datatilsynet blev opmærksom på sagen, da kommunen anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at Lejre Kommunes afdeling, Center for Børn og Unge, har haft en fast praksis, hvorefter mødereferater indeholdende personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, er blevet uploadet på kommunens medarbejderportal. På medarbejderportalen var der potentiel adgang til oplysningerne for en stor del af kommunens ansatte, uanset om de pågældende medarbejdere arbejdede med den type af sager.

Datatilsynet har i samme sag udtalt alvorlig kritik af, at Lejre Kommune ikke har levet op til kravet om at foretage underretning af de registrerede om bruddet på persondatasikkerheden.

Krav om passende sikkerhed

”Det er vores generelle opfattelse, at kommuners behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol. Som udgangspunkt er det kun medarbejdere med et arbejdsbetinget behov, som bør have adgang til oplysningerne. Hertil kommer, at logning – dvs.  maskinel registrering af alle anvendelser – normalt vil være en nødvendig og passende sikkerhedsforanstaltning, når man som kommune behandler sådanne oplysninger”, udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet.

Indstilling til bøde

Datatilsynet har besluttet at anmelde Lejre Kommune til politiet og indstiller til, at der nedlægges påstand om, at kommunen idømmes en bøde på 50.000 kr.

Datatilsynet har ved bødens fastsættelse lagt vægt på overtrædelsens karakter (manglende behandlingssikkerhed) samt karakteren og mængden af de personoplysninger, som har været genstand for sikkerhedsbruddet. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og til den samlede driftsbevilling.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark.

I Danmark fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

GDPR-bøder til det offentlige

Lovgiver har med bestemmelsen i databeskyttelseslovens § 41, stk. 6, besluttet, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der fremgår af forordningens artikel 83, stk. 4-6.

Ved pålæggelse af bøder til offentlige myndigheder skal der endvidere tages hensyn til myndigheders særlige situation, der består i, at myndigheder – i modsætning til private aktører – efter lovgivningen er pålagt at varetage lovbestemte opgaver, og myndigheder derfor heller ikke uden videre i alle tilfælde blot kan standse en behandling for derved at bringe en eventuel ulovlig tilstand til ophør. Der skal i den forbindelse endvidere lægges vægt på de offentlige myndigheders forskellige karakter, herunder de rammevilkår, de er underlagt. Nogle offentlige myndigheder har således en bevilling, der er bundet tæt op på deres lovbundne opgave, hvilket der skal tages hensyn til ved fastsættelse af bøder til offentlige myndigheder.