2 kommuner indstilles til en bøde for overtrædelse af databeskyttelsesreglerne

Nyhed
12.03.2020

To kommuner indstilles til en bøde, fordi Datatilsynet i forlængelse af, at tilsynet var på kontrolbesøg hos kommunerne i 2019, har vurderet, at kommunerne ikke har levet op til kravene i databeskyttelsesforordningen om, at en kommune skal have et passende sikkerhedsniveau.

Begge kommuner anmeldte brud på persondatasikkerheden

Det følger af Datatilsynets nyhed, at tilsynet blev opmærksom på sagerne, da begge kommuner anmeldte brud på persondatasikkerheden i forbindelse med tyveri af en af kommunernes computere, som indeholdt personoplysninger.

 

Hverken Gladsaxe Kommunes eller Hørsholm Kommunes computere var beskyttet med kryptering, og kommunernes tab af personoplysninger udgjorde derfor efter tilsynets opfattelse en unødig høj risiko for borgerne.

 

Den ene af kommunerne have anmeldt et brud, hvor en computer indeholdende personoplysninger om 20.620 borgere, herunder følsomme personoplysninger, blev stjålet fra en af kommunens lokationer.

 

Den anden kommune havde anmeldt et sikkerhedsbrud, da en medarbejder fra kommunen fik stjålet sin arbejdscomputer fra vedkommendes bil. På computeren fandtes personoplysninger om cirka 1.600 medarbejdere ved kommunen, herunder følsomme personoplysninger og personnumre.

 

Kommuner har et stort ansvar

Datatilsynet påpeger, at kommuner har et stort ansvar i forhold til databeskyttelse. Du kan læse mere om Datatilsynets udtalelse i de to konkrete sager på deres hjemmeside her

 

Det følger endvidere, at Datatilsynet har besluttet at anmelde kommunerne til politiet og indstillet til, at de to kommuner idømmes en bøde på hhv. 100.000 kr. og 50.000 kr.

 

Datatilsynet oplyser, at de ved deres indstilling til bødestørrelse blandt andet har lagt vægt på overtrædelsens karakter (manglende behandlingssikkerhed) samt den manglende kryptering af kommunens computere. Der er endvidere lagt vægt på kommunernes størrelse henset til indbyggertal og til den samlede driftsbevilling.

 

Politiet skal nu vurdere, om de vil følge Datatilsynets indstillinger. Herefter kan det meget vel være, at sagerne skal prøves ved domstolene.

Hvad skal du som offentlig myndighed være opmærksom på?

Sagerne viser, at man som offentlig myndighed skal være meget påpasselig med at træffe de nødvendige sikkerhedsforanstaltninger, som databeskyttelsesforordningen kræver.

 

Sagerne viser også, at enkeltstående tilfælde af manglende sikkerhedsforanstaltninger, f.eks. manglende kryptering af en PC eller lignende kan resultere i, at Datatilsynet indstiller myndigheden til en bøde.

 

Har du spørgsmål eller brug for rådgivning i forbindelse med sikkerhedsniveau ifølge databeskyttelsesforordningen, er du altid velkommen til at kontakte os.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev