Endnu en principiel landsretsdom om GDPR-bøder til offentlige myndigheder

Sagen kort

Kommunen havde i august 2018 anmeldt et brud på persondatasikkerheden til Datatilsynet, som var sket selvsamme dag. Bruddet skete i et borgerrettet it-system, som blev anvendt af kommunen i den kommunale tandpleje. Gennem systemet fik begge forældremyndighedsindehavere fremsendt et velkomstbrev til tandplejen, uden at kommunen i det enkelte tilfælde vurderede, hvorvidt de pågældende oplysninger måtte videregives til den anden forælder. Dette medførte, at der i flere tilfælde blev videregivet oplysninger om den ene forælders adresse, uagtet at vedkommende havde navne- og adressebeskyttelse, til den anden forælder.

Kommunen anerkendte, at der var sket et brud på persondatasikkerheden, men nægtede at dette udgjorde en overtrædelse af databeskyttelsesforordningens artikel 32. Bestemmelsen angår behandlingssikkerhed og stiller krav om, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau. Kommunen påstod således frifindelse.

Byrettens dom

I byretten havde Anklagemyndigheden nedlagt påstand om bøde på 200.000 kr.

Retten fandt det bevist, at der var sket en overtrædelse af databeskyttelsesforordningens artikel 32, men nedsatte bøden til 50.000 kr.

For så vidt angår skyldsspørgsmålet bemærkede byretten bl.a., at det følger af databeskyttelsesforordningens artikel 32, stk. 1 litra d, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal gennemføre en procedure for regelmæssig afprøvning vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Herefter udtalte retten følgende:

”Retten lægger efter bevisførelsen til grund, at det på gerningstidspunktet teknisk var muligt i det elektroniske patientjournalsystem TK2 i [kommunens] tandpleje i et særskilt felt i patientens stamkort at markere, at adressen var beskyttet. Det er uoplyst under sagen, hvad der var årsagen til, at tandplejen trods denne tekniske mulighed, alligevel har videregivet den beskyttede adresse til faderen.

Retten finder på den baggrund, at [kommunen], i hvert fald i perioden fra juli 2018 til 9. januar 2019, ikke har udført passende kontrol af indholdet i de fremsendte velkomstbreve med henblik på at undgå utilsigtede videregivelse af beskyttede adresseoplysninger, ligesom kommunen ikke har foretaget opmærksomhedsskabende tiltag for de ansatte vedrørende reglerne for behandling af personoplysninger om adressebeskyttelse. Retten har herved lagt vægt på, at en sekretær i tandplejen allerede i juli 2018 blev informeret om, at den anden forældre var blevet gjort bekendt med den beskyttede adresse, uden at denne henvendelse tilgik ledelsen og medførte ændrede procedurer. Ved et sådant tiltag kunne sikkerhedsbruddet den 13. september 2018 have været undgået.”

På den baggrund fandt retten det bevist, at kommunen var skyldig i tiltalen.

Ved udmåling af bøden lagde retten vægt på følgende skærpende og formildende omstændigheder:

”Retten har ved fastsættelse af bødens størrelse i skærpende retning lagt vægt på, at det kan være forbundet med store konsekvenser for de registrerede, når deres beskyttede adresser eller andet opholdssted som f.eks. navnet på et krisecenter utilsigtet bliver videregivet til den person, de prøver at skjule sig for, og at personoplysningerne angår et barn under 18 år, som i sig selv tilhører en sårbar gruppe. Retten har endelig lagt vægt på, at der tidligere i august 2018 skete sikkerhedsbrud i [kommunen]. 

I formildende retning har retten lagt vægt på den lange sagsbehandlingstid og at [kommunen] allerede har gennemført betydelige organisatoriske og tekniske foranstaltninger for at undgå utilsigtet videregivelse af beskyttede adresser.”

Landsrettens dom

For landsretten påstod kommunen frifindelse, subsidiært formildelse af bødens størrelse. 

I landsretten fremlagde kommunen en række nye bilag om systemet og e-mails til medarbejdere med link til awareness om databeskyttelsesforordningen. 

Landsretten tiltrådte byrettens konklusion om, at kommunen ikke havde sikret sig et passende sikkerhedsniveau og derved forhindret, at beskyttede adresseoplysninger ikke blev videregivet.

Landsretten stadfæstede således byrettens dom, dog med den ændring, at landsretten forhøjede bøden fra 50.000 kr. til 100.000 kr. 

For så vidt angår strafudmålingen bemærkede landsretten bl.a., at straffen for kommunens overtrædelse af databeskyttelsesforordningens artikel 32 ifølge lovens § 41, stk. 3, jf. forordningens artikel 83, stk. 2, skal ske under behørigt hensyn til de skærpende og formildende omstændigheder, der er anført i forordningens artikel 83, stk. 2, litra a – k.

Bøden skal efter forordningens art. 83, stk. 9, under alle omstændigheder være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Herudover følger det af straffelovens §§ 80 ff., at der ved straffens fastsættelse skal eller kan lægges vægt på de omstændigheder, der er anført i bestemmelserne.

Landsretten bemærkede også, at der ved vedtagelsen af databeskyttelsesloven er tilsigtet en væsentlig skærpelse af det hidtidige bødeniveau efter den tidligere gældende persondatalov, og at det fremgår af lovens forarbejder bl.a., at bødeloftet for offentlige myndigheder er lavere end for private, hvorfor det også er forudsat, at forhøjelsen af bødeniveauet for offentlige myndigheder skal være lavere henset til offentlige myndigheders særlige situation, hvorefter de efter lovgivningen er pålagt at varetage lovbestemte opgaver, der ikke uden videre i alle tilfælde blot kan standses for derved at bringe en eventuel ulovlig tilstand til ophør.

Herefter anførte landsretten følgende vedrørende den konkrete bødeudmåling: 

”Landsretten lægger ved fastsættelsen af bøden på den ene side vægt på, at overtrædelsen – henset til oplysningernes karakter og de mulige konsekvenser af et eventuelt sikkerhedsbrud – må betegnes som alvorlig, men at der på den anden side alene er sket videregivelse af beskyttede adresseoplysninger i ét tilfælde.

Landsretten lægger endvidere vægt på, at [kommunen] selv indberettede det skete til Datatilsynet, og at kommunen efterfølgende har udført relevante bestræbelser på at rette op på forholdene.

Ved vurderingen af den udviste uagtsomhed lægger landsretten vægt på, at risikoen for videregivelse af beskyttede adresseoplysninger uden større tiltag kunne have været reduceret, og at både henvendelsen fra en borger til [kommunens] Tandpleje i juli 2018 og sikkerhedsbruddet den 24. august 2018, som [kommunen] samme dag indberettede til Datatilsynet, burde have skærpet kommunens agtpågivenhed i forhold til behandlingen af beskyttede adresseoplysninger.”

Efter en samlet vurdering af sagens omstændigheder, og under hensyn til den tid, der var forløbet, siden forholdet blev begået, fastsætte landsretten bøden til kr. 100.000,-.

Rådgivende afsnit

Dommen er principiel, da den angår bødeudmålingen for offentlige myndigheders overtrædelser af databeskyttelsesreglerne. Dommen er den anden landsretsdom herom.

Østre Landsret har således en gang tidligere taget stilling til bødeberegningen i Østre Landsrets dom fra februar 2025, hvor en anden kommune ifaldt en bøde for ved brug af det samme system i den kommunale tandpleje at have overtrådt databeskyttelsesforordningens artikel 32 om behandlingssikkerhed ved et brud på persondatasikkerheden.

Landsretssagerne minder meget om hinanden, da de begge udspringer af et brud på persondatasikkerheden, hvor der utilsigtet videregives eller gives adgang til beskyttede adresseoplysninger ved brug af systemet i den kommunale tandpleje. Du kan læse mere om Østre Landsrets dom i den anden sag i vores artikel herom her. 

Begge landsretsdomme bekræfter, at de formildende omstændigheder, der er opregnet i databeskyttelsesforordningens artikel 83, stk. 2, også skal indgå i beregningen af bødens størrelse i sager vedrørende overtrædelse af reglerne om behandlingssikkerhed i databeskyttelsesforordningens artikel 32.

Dommene giver et indblik i, hvilke momenter der taler i formildende og skærpende retning ved fastsættelse af bøder for overtrædelser af reglerne om behandlingssikkerhed efter databeskyttelsesforordningens artikel 32.

Vi har stor erfaring med at repræsentere dataansvarlige i sager om overtrædelse af databeskyttelsesreglerne samt bistand til at udarbejde risikovurderinger vedrørende behandlingsikkerhed for at undgå brud på persondatasikkerheden. 

Hvis du har spørgsmål til sagerne eller ønsker at høre mere om, hvad vi kan hjælpe med, er du velkommen til at kontakte vores eksperter.