Bøde på 2,5 mio. kr. for skødesløs opbevaring af personoplysninger

Det britiske medicinudbringningsfirma, Doorstep Dispensaree Ltd., der bringer medicin ud til plejehjem og private personer, havde i virksomhedens udendørs gård opbevaret dokumenter med personoplysninger i 47 ulåste tremmekasser, to engangssække og en papkasse.

Dokumenterne indeholdt blandt andet navne, CPR-nummer, helbredsoplysninger og recepter på fysiske personer og udgjorde dermed både almindelige og følsomme personoplysninger.

ICO noterede sig ved fundet af dokumenterne i gården, at flere af dokumenterne havde vandskader samt var dateret til mellem juni 2016 og juni 2018, hvilket gav en indikation om, at dokumenterne havde stået opbevaret i gården i en længere periode.  

Manglende sikkerhedsforanstaltninger

Ved at have opbevaret personoplysningerne i ulåste papkasser i virksomhedens gårdhave, hvortil flere lejlighedskomplekser også havde adgang, havde Doorstep Dispensaree Ltd. så eklatant overtrådt databeskyttelsesforordningens artikel 5, stk. 1, litra f om sikring af personoplysningers integritet og fortrolighed.

Derudover havde Doorstep Dispensaree Ltd. så selvsagt også overtrådt forordningens artikel 32 om indførsel af passende sikkerhedsforanstaltninger til beskyttelse af personoplysningerne, idet personoplysningerne hverken var sikret mod uautoriseret adgang og personoplysningernes hændelig undergang.

Mere end blot uforsvarlig opbevaring

Udover den uforsvarlige fysiske opbevaring af personoplysninger var virksomhedens dokumentationsmateriale endvidere utilstrækkelig, generisk og i visse tilfælde endda helt manglende.

Virksomheden havde således ikke udarbejdet en fortegnelse, jf. forordningens artikel 30, eller i øvrigt udarbejdet politikker eller interne retningslinjer for, hvordan virksomheden behandlede personoplysninger, hvilket er i direkte strid med forordningens artikel 24.

Udover den manglende dokumentation havde virksomheden endvidere ikke overholdt forordningens artikel 13 og 14 vedrørende orientering til de registrerede.

Virksomheden kunne nemlig på ingen måde godtgøre at have orienteret kunder, medarbejdere, samarbejdspartnere mv. om, hvordan disses personoplysninger blev behandlet og opbevaret hos Doorstep Dispensaree Ltd.

Samtidigt påbud

Samtidig med udstedelsen af bøden på de omkring 2.5 mio. kr., udstedte ICO også påbud. Virksomheden fik blandt andet påbud om at gennemføre træning med virksomhedens ansatte inden for de næste 6 måneder, herunder med en genopfriskning minimum hvert andet år.

Derudover fik virksomheden også påbud om at udarbejde manglende politikker og retningslinjer samt opdatere eksisterende politikker og retningslinjer, således de var i overensstemmelse med forordningens regler herom.

Manglende samarbejde

Ved udmålingen af bødens størrelse havde ICO blandt andet lagt vægt på omfanget og kategorien af personoplysninger, ligesom de havde lagt vægt på den ”skødesløse” opbevaring.

ICO havde tillige tillagt det betydning, at virksomheden havde udvist manglende samarbejdsvilje over for ICO, idet virksomheden havde svaret mangelfuldt og i visse tilfælde helt havde undladt at svare på nogle af ICOs spørgsmål.

Det forhold, at ICO tillægger det betydning ved udmåling af bødens størrelse, at virksomheden ikke udviste samarbejdsvilje, er yderst interessant. Det forholder sig således, at virksomheden indbragte ICOs påbud om besvarelse af dennes spørgsmål for de civile domstole med henvisning til selvinkrimineringsforbuddet, der faktisk afviste at behandle den konkrete påstand.

Er du i tvivl om, hvorvidt din virksomhed opbevarer personoplysninger på en forsvarlig måde, eller om jeres politikker og interne retningslinjer er tilstrækkelige, så er du altid velkommen til at kontakte HjulmandKaptains persondatateam. De står klar til at hjælpe.