Sagen blev politianmeldt af Datatilsynet i juni 2020 og vedrører overtrædelse af databeskyttelsesforordningens artikel 32. Bøden svarer til det beløb, Datatilsynet havde indstillet i forbindelse med politianmeldelsen.
Dommen er særligt interessant, fordi det er første gang en offentlig myndighed i Danmark straffes for overtrædelse af de databeskyttelsesretlige regler. Der er flere andre afgørelser på vej i sager mod offentlige myndigheder. Se oversigten over Datatilsynets politianmeldelser efter GDPR.
Sagen kort
Sagen mod Lejre Kommune handlede om, at en af kommunens afdelinger havde haft en fast praksis, hvor mødereferater, der indeholdt personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, blev uploadet på kommunens medarbejderportal. Hertil var der adgang for en stor del af kommunens ansatte, uanset om de arbejdede med den type sager eller ej. Anvendelsen af oplysningerne blev ikke logget. Dermed levede kommunen ikke op til kravene om passende sikkerhedsforanstaltninger.
Datatilsynet politianmeldte Lejre Kommune, da det har været fast praksis - også før databeskyttelsesforordningen - at offentlige myndigheders behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol, ligesom det bør sikres, at det kun er medarbejdere, der har et arbejdsbetinget behov, der bør have adgang til oplysningerne. Derudover skal der være etableret logning af denne type oplysninger.
Lejre Kommune havde erkendt forholdet. Retten lagde ved sin udmåling særlig vægt på omfanget og karakteren af de følsomme personoplysninger, samt på antallet af personer, som havde haft uberettiget adgang til oplysningerne over en længere periode.
Vil du vide mere?
Læs mere om den konkrete sag her.
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.