Datatilsynet indstiller til store GDPR-bøder
Sommerens GDPR-bøder
Vejle Kommune, Region Syddanmark, Udlændingestyrelsen, Nordbornholms Byggeforretning ApS og Charlottenlund Lægehus Medicals Nordic I/S er blandt andet blevet indstillet til bøder som følge af brud på reglerne om GDPR.
Bødeniveauet har som udgangspunkt været lavere for offentlige myndigheder end for private virksomheder. Sagen vedrørende Region Syddanmark, som omhandlede behandling af helbredsoplysninger om mere 30.000 børn i psykiatrien, viser dog, at Datatilsynet også udsteder væsentligt større bøder til offentlige myndigheder, når der er tale om sikkerhedsbrud af mere alvorlig karakter.
Sagen i Region Syddanmark kort fortalt
I sagen i Region Syddanmark var der behandlet oplysninger om børn til forskningsmæssige og kliniske formål. Andre borgere, som også var registreret i databasen, havde gennem mere end 1½ år haft mulighed for at tilgå andres oplysninger ved blot at ændre en URL-adresse. Henset til karakteren af sikkerhedsbruddet, herunder også at der var tale om et stort antal (30.000) registrerede, som udgjorde en gruppe af udsatte børn, indstillede Datatilsynet til en bøde på 500.000 kr. Sagen understreger, at når der sker behandling af følsomme oplysninger, så skal sikkerhedsniveauet også afspejle dette.
Tre af de andre sager omhandlede på tilsvarende vis utilstrækkelige sikkerhedsforanstaltninger mens en af sagerne omhandlede videregivelse af oplysninger om strafbare forhold uden hjemmel.
Større bøder til private virksomheder?
Det må forventes, at bødeniveauet fortsat vil være lavere for offentlige myndigheder end for private virksomheder, hvilket blandt andet er begrundet i et højere bødeloft for private virksomheder i GDPR og Databeskyttelsesloven. Det vil derfor være forventeligt, at en sag, som den ovenfor omtalte vedrørende Region Syddanmarks behandling af følsomme oplysninger, ville have udmundet i en højere bødeindstilling, såfremt der var tale om en privat virksomhed.
Har du spørgsmål til behandling af personoplysninger eller til GDPR-lovgivningen, så kontakt vores GDPR-specialist Torsten Hylleberg på thy@les.dk eller 33 300 252.