Politianmeldelse

Civilstyrelsen indstilles til bøde

Dato: 12-05-2022

Datatilsynet anmelder Civilstyrelsen til politiet og indstiller til en bøde på 100.000 kr. Tilsynet vurderer, at Civilstyrelsen ikke har levet op til kravene om passende sikkerhedsniveau samt kravet om at anmelde et brud på persondatasikkerheden efter databeskyttelsesforordningen.

Datatilsynet blev opmærksom på sagen, da en klagers partsrepræsentant klagede over Civilstyrelsens håndtering af klagers oplysninger.

Af sagen fremgår det, at Civilstyrelsen v/Erstatningsnævnet returnerede et USB-stik til klager, der indeholdt mere end 800 siders oplysninger om klager af følsom og fortrolig karakter, der ved klagers modtagelse var bortkommet.

USB-stikket var ikke krypteret, og styrelsen havde i øvrigt ikke retningslinjer målrettet styrelsens sagsbehandlere med hensyn til enhver håndtering af udtagelige lagringsmidler og bærbare medier.

Civilstyrelsen blev bekendt med bruddet den 26. august 2020, men anmeldte herefter ikke bruddet til Datatilsynet i strid med reglerne i databeskyttelsesforordningens artikel 33.

Manglende tekniske og/eller organisatoriske foranstaltninger

Datatilsynet finder, at Civilstyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen lagt vægt på, at kryptering af udtagelige lagringsmidler, der indeholder personoplysninger (herunder USB-stik) må anses for at være en nødvendig og påkrævet sikkerhedsforanstaltning.

I forlængelse heraf har tilsynet tillagt det betydning, at udtagelige lagringsmidler med personoplysninger har en skærpet risikoprofil i forhold til håndteringen af personoplysninger, og at kryptering er en foranstaltning, der er relativt let for den dataansvarlige at gennemføre.

Herudover har Datatilsynet lagt vægt på, at styrelsen ikke havde retningslinjer målrettet og kendt af styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik, herunder afsendelse.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige.

Derudover er der tale om et nævn i en statslig myndighed, der generelt må antages at behandle store mængder følsomme og fortrolige oplysninger, og hvor det må anses for værende væsentlig, at der er udarbejdet en vejledning målrettet styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83

 

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.