Datatilsynet politianmelder to kommuner efter sikkerhedsbrud

Datatilsynet har for første gang den 10. marts 2020 besluttet at politianmelde to kommuner for overtrædelse af reglerne i GDPR. De konkrete sager omhandler Gladsaxe Kommune og Hørsholms Kommune, som efter Datatilsynets vurdering ikke har opfyldt kravene om et passende sikkerhedsniveau ved kommunernes behandling af personoplysninger.
Nyhed
GDPR

Sagerne kort

Begge sager udspringer oprindeligt fra tyveri af computere, som blev stjålet fra henholdsvis Gladsaxe Rådhus og fra en medarbejders bil i Hørsholm Kommune. Datatilsynet har i forbindelse med kommunernes anmeldelse af hændelserne som datasikkerhedsbrud konstateret, at ingen af computerne – som i begge tilfælde indeholdt personoplysninger af følsom karakter – var beskyttet med kryptering. Datatilsynet har derfor vurderet, at kommunernes sikkerhedsniveau ikke har været tilstrækkeligt og dermed været forbundet med en unødig høj risiko for de implicerede borgere.

Datatilsynet har besluttet at anmelde Gladsaxe Kommune og Hørsholm Kommune til politiet og indstiller til, at der nedlægges påstand om, at de to kommuner idømmes en bøde på hhv. 100.000 kr. og 50.000 kr.

Du kan læses mere om Datatilsynets bødeindstilling af de to kommuner her.   

Lund Elmer Sandagers kommentar

Det har længe været genstand for debat, om offentlige myndigheder kan indstilles til bøder ved overtrædelser af GDPR. Denne debat må nu i første omgang siges at være afklaret med Datatilsynets bødeindstillinger, idet det dog skal understreges, at sagerne nu skal gå sin gang ved politiet og i sidste ende ved domstolene, inden der foreligger en endelig afklaring.

I den forbindelse har Folketingets Retsudvalg for nyligt stillet spørgsmål til Justitsministeriet om sagsbehandlingstiden i de tidligere bødesager om brud på databeskyttelseslovgivningen, hvor der stadig ikke er rejst formelle tiltaler. Den ene sag mod taxaselskabet 4x35 blev anmeldt den 18. marts 2019 og den anden sag mod virksomheden IDdesign, der blev anmeldt den 3. juni 2019. Ifølge Justitsministeriets svar til Folketingets Retsudvalg forventes det, at overvejelserne om tiltalerejsning vil være afsluttet inden sommerferien i begge sager.

Sagerne mod Gladsaxe Kommune og Hørsholms Kommune er også en vigtig reminder til alle, herunder både offentlige myndigheder og private virksomheder, om vigtigheden af et passende sikkerhedsniveau ved behandling af personoplysninger. Det gælder især ved behandling af personoplysninger af følsom karakter, hvor kryptering bør anvendes for at hindre uvedkommendes adgang – også i den situation, at IT-udstyr bortkommer, bliver stjålet eller i øvrigt bliver udsat fra udefrakommende angreb.  

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne, herunder i forhold til kravene om et passende sikkerhedsniveau i din virksomhed, er du altid velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og databeskyttelse, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR