AM2022.09.12B

[AM2022.09.12B] Retten i Helsingørs

DOM

- 12. september 2022 - 1-2152/2021 - 0900-84266-00006-20

Anklagemyndigheden mod Tiltalte (kommune), cvr-nummer …

Anklageskrift er modtaget den 10. juni 2021.

Tiltalte (kommune) er tiltalt for overtrædelse af databeskyttelsesforordningens artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2 og stk. 4, litra a, jf. stk. 9, ved i perioden fra forud for den 10. september 2019 og indtil i hvert fald den 21. oktober 2019, ikke at have overholdt sin forpligtigelse som dataansvarlig til at gennemføre tekniske og organisatoriske foranstaltnin- ger, der passede til risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder, idet Til- talte (kommune) ikke havde sørget for at kryptere kommunens computere, hvilket medførte et utilstrække- ligt sikkerhedsniveau og tillige havde den konsekvens, at et sikkerhedsbrud der bestod i at en medarbejder fra Tiltalte (kommune) den 21. oktober 2019 fik stjålet en arbejdscomputer fra sin bil medførte en unødig høj risiko for de registrerede, i det der på computeren lå oplysninger om ca. 1600 medarbejdere i Tiltalte (kommune), herunder oplysninger af følsom karakter og oplysning om personnumre.

Påstande

Anklagemyndigheden har nedlagt påstand om bødestraf.

Tiltalte (kommune) har nægtet sig skyldig.

Sagens oplysninger

Der er under sagen afgivet forklaring af Vidne1, Vidne2, Vidne3, Vidne4, og Vidne5

[FORKLARINGER UDELADT]

Der er blevet dokumenteret fra Datatilsynets politianmeldelse af 10. marts 2020 (bilag 2), eksempel på ori- enteringsbrev til medarbejderne ved Tiltalte (kommune) (bilag 2-3), Tiltalte (kommune)s svar af 12. novem- ber 2019 til Datatilsynet (bilag 2-5), afhøringsrapport af 15. december 2020 (bilag 2-6), udateret indstilling

til Tiltalte (kommune)s direktion med direktionens beslutning af 10. september 2019 vedrørende kommu- nens fremtidige IT-løsning (bilag 3-2), PwCs revisionsrapport af 20. marts 2020 (bilag 3-5) samt Tiltalte (kommune)s udaterede medarbejderguide om IT-sikkerhed (bilag 3-9).

Rettens begrundelse

og afgørelse Tyveriet den 21. oktober 2019 af en arbejdscomputer tilhørende en medarbejder fra Tiltalte (kommune)s HR-afdeling indebar et brud på persondatasikkerheden, idet der på computeren lå personoplysninger om ca. 1.600 medarbejdere ved kommunen, herunder oplysninger af følsom karakter og oplysning om person- numre.

Den stjålne computers harddisk var ikke krypteret, og selvom kommunen havde retningslinjer for, at personoplysninger af følsom karakter ikke måtte ligge på kommunens computere, og en række øvrige organisatoriske sikkerhedsforanstaltninger, finder retten, at kommunen ikke havde gennemført passende tekniske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der var for de registreredes rettigheder.

Retten lægger i den forbindelse vægt på, at kommunen måtte påregne, at ikke alle ansatte fulgte interne retningslinjer, og på den generelle risiko for tyveri og anden bortkomst, der er forbundet med, at medarbejderne kan borttage arbejdscomputere fra arbejdspladsen.

Efter en samlet vurdering af sagen, herunder at kommunen forud for sikkerhedsbruddet selv havde vurde- ret, at kryptering af kommunens harddiske var en nødvendig foranstaltning, finder retten, at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32, og at overtrædelsen som indstillet af Datatilsynet skal sanktioneres med en bøde, der beregnes på baggrund af Tiltalte (kommune)s seneste of- fentliggjorte foregående driftsbevilling forud for endelig dom.

Bøden fastsættes derfor til 50.000 kr., jf. da- tabeskyttelsesforordningens artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2 og stk. 4, litra a, jf. stk. 9.

Thi kendes for ret

: Tiltalte, Tiltalte (kommune), skal betale en bøde på 50.000 kr.

Tiltalte (kommune) skal betale sagens omkostninger.