AM2025.02.19Ø

AM2025.02.19Ø Retten på Frederiksbergs

DOM

Dato: 16. august 2023 Rettens sagsnr.: 3169/2023 Politiets sagsnr.: 0100-84266-00049-21 Anklagemyndigheden mod Tiltalte Kommune, cvr-nummer … Anklageskrift er modtaget den 23. marts 2023.

Tiltalte Kommune er tiltalt for overtrædelse af databeskyttelsesforordningen artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, ved i perioden fra den 25. maj 2018 til den 1. marts 2021 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre tekniske og organisatoriske foranstaltninger, der passede til risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder, hvilket medførte et utilstrækkeligt sikkerhedsniveau og tillige havde den konsekvens, at et sikkerhedsbrud opstod, idet Tiltalte Kommune i selvbetjeningsløsningen ”Min Tandpleje” gav begge forældremyndighedsindehavere adgang til tandplejens breve indeholdende adresser uden i det enkelte tilfælde at vurdere, hvorvidt de pågældende oplysninger måtte videregives til den anden forælder, hvilket medførte risiko for, at der blev givet uberettiget adgang til oplysninger om den ene forælders og/eller barnets adresse, uagtet at denne havde navne og adressebeskyttelse.

Påstande

Anklagemyndigheden har nedlagt påstand om bødestraf på 100.000 kr. Tiltalte har erkendt sig skyldig og har nedlagt påstand om bødebortfald, således at tiltalte tildeles en advarsel, subsidiært om rettens mildeste dom.

Sagens oplysninger

Der er afgivet forklaring af vidnerne, chefkonsulent Vidne1 og IT-sikkerhedskonsulent Vidne2. Forklaringerne gengives ikke, jf. retsplejelovens § 218 a, stk. 5, jf. § 712, stk. 1. Der har været fremlagt Datatilsynets vurdering af sagen og indstilling til sanktion samt supplerende udtalelse fra Datatilsynet af 6. juli 2023. Tiltalte er tidligere straffet ved udenretligt for overtrædelse af arbejdsmiljølovgivningen den 1. september 2020 at have vedtaget en bøde på 100.000 kr., og ved udenretligt for overtrædelse af arbejdsmiljølovgivningen den 28. juni 2022 at have vedtaget en bøde på 200.000 kr.

Rettens begrundelse

og afgørelse Tiltalte har uden forbehold erkendt sig skyldig i det af anklagemyndigheden under hovedforhandlingen berigtigede anklageskrift. Tilståelsen støttes af de oplysninger, der i øvrigt foreligger.

Det er derfor bevist, at tiltalte er skyldig Straffen fastsættes til en bøde på 50.000 kr., jf. databeskyttelsesforordningen artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, jf. straffelovens § 89.

Retten har ved fastsættelsen af bødens størrelse lagt vægt på de i databeskyttelsesforordningens art. 83, stk. 2, oplistede momenter, herunder at bruddet på persondatasikkerheden findes at have medført risiko for sikkerhedsbrud for maksimalt 56 registrerede personer, som alle af kommunen er blevet underrettet herom, og hvoraf alene tre registrerede personer har givet kommunen en tilbagemelding om, at de ikke fandt, at der herved var sket nogen skade, samt at de alle havde navne- og adressebeskyttelse af andre årsager end den pågældende anden forælders forhold.

Der er herved også lagt vægt på, at sagens parter er enige om, at det ved afgørelsen lægges til grund, at ingen uberettigede personer faktisk har tilgået de beskyttede personoplysninger om navne- og adressebeskyttelse.

Retten har endvidere lagt vægt på, at overtrædelsen har fundet sted over en uafbrudt periode på knap 3 år, at Tiltalte Kommune meget hurtigt rettede for sig, da sikkerhedsbruddet blev konstateret, og at Tiltalte Kommune ikke er tidligere straffet af relevans for sagen.

Retten finder på den baggrund og efter en samlet vurdering, herunder af Tiltalte Kommunes bevillingsmæssige forhold, at Tiltalte Kommune skal betale en bøde på 50.000 kr. Retten finder ikke grundlag for at lade sagen afgøre med en advarsel.

Thi kendes for ret

: Tiltalte Kommune skal som tillægsstraf betale en bøde på 50.000 kr. Tiltalte skal betale sagens omkostninger. ::::::::::::::::::::::::: Østre Landsrets 18. afdelings

DOM

(landsdommerne Malou Kragh Halling, Lone Dahl Frandsen og Marta Warburg Schmidt (kst.). Dato: 19. februar 2025 Rettens sagsnr.: S-2302-23 Anklagemyndigheden mod Tiltalte Kommune, (advokat Jakob Kamby ved advokat Martin Sønnersgaard i henhold til proceduretilladelse) Dom afsagt af Retten på Frederiksberg den 16. august 2023 (3169/2023) er anket af anklagemyndigheden med påstand om skærpelse.

Tiltalte Kommune har kontraanket med påstand om formildelse, subsidiært stadfæstelse. Forklaringer Der er for landsretten afgivet forklaring af vidnet Vidne3. Vidnet Vidne3 har forklaret bl.a., at hun er ansat som GDPR-koordinator i Tiltalte Kommune. Hendes arbejde består i at koordinere og implementere den indsatsplan, som kommunen har lagt på GDPR-området.

Hun skal sikre, at juridiske dokumenter om persondatabeskyttelse i praksis implementeres i de enkelte afdelinger. Hun foretog indberetningen til Datatilsynet. Tandplejens it-system er en selvbetjeningsløsning, der har til formål at give forældre adgang til at booke tid til tandlægen til deres børn og give dem adgang til journaloplysninger.

Efter en afgørelse fra Ligebehandlingsnævnet ændrede man i systemet, således at forældre, der ikke havde samme bopæl, også fik adgang dertil. De drøftede i den forbindelse forskellige risikoscenarier. De sikrede via en validering med NemID, at kun forældre, der havde del i forældremyndigheden over barnet, kunne få adgang til systemet.

I forbindelse med databruddet bad hun tandplejen om at redegøre for, hvad der var sket op til bruddet. Systemet havde eksisteret i nogle år på dette tidspunkt, og fokus havde været på systemets formål. De tænkte ikke navne- og adressebeskyttelse ind på dette tidspunkt. Da Databeskyttelsesforordningen trådte i kraft, modtog de skabeloner fra KL (Kommunernes Landsforening) til brug for de påkrævede risikovurderinger.

Risikovurderingerne skulle udfyldes, således at de kunne identificere tværgående problemer. Skabelonerne fra KL var generiske, så de kunne anvendes af 98 kommuner. Navne- og adressebeskyttelse indgik ikke som en selvstændig del af skabelonerne, men der var en kategori vedrørende fortrolige oplysninger såsom sociale forhold. I 2019/2020 skruede de op for indsatsen, og der blev lavet nye risikovurderinger.

Hun har siden 2018 undervist i de enkelte afdelinger, herunder også i tandplejen, og det er hendes opfattelse, at reglerne var svære at forstå for de enkelte medarbejdere i praksis. I 2018 begyndte kommunerne systematisk at indberette hændelser til Datatilsynet, og deres DPO (Data Protection Officer) anbefalede dem at se på det kommunale risikokatalog for at identificere mulige risici.

Risikokataloget indeholdt praktiske problemstillinger, som de udførende medarbejdere kunne relatere til. De har erfaring fra andre hændelser med navne- og adressebeskyttelse. De tog deres tidligere erfaringer med ind i risikovurderingerne, og det gjorde, at de opdagede fejlen. Fejlen blev således ikke opdaget ved et tilfælde.

Kommunens DPO har siden 2018 lavet årlige tilsyn og udarbejder årligt en rapport, hvor risikovurderinger indgår. I 2018 vurderede DPO’en, at arbejdet var tilrettelagt tilfredsstillende. Året efter blev der samlet op, og der var også løbende drøftelser. De efterspurgte mere ambitiøst materiale til brug for udarbejdelse af risikovurderinger.

De lavede workshops i de enkelte afdelinger, og det var i forbindelse med en workshop i 2021 i tandplejen, at de opdagede fejlen. Opfølgning på risikovurderingerne bestod af fysiske møder med afdelingerne, hvor man italesatte risici, der byggede på egne men også andre kommuners fejl. De testede kun for kendte risici.

De opdagede ikke fejlen i systemet i min tandpleje, da brevene vedrørende adressebeskyttelse ikke var en del af systemets hovedformål. Der var fokus på booking og lige adgang for forældremyndighedsindehaverne til journaloplysninger. Systemet blev endvidere ikke normalt anvendt til at sende breve til forældrene og indeholdt derfor kun enkelte breve

Sagens oplysninger

Der er for landsretten dokumenteret en supplerende udtalelse fra Datatilsynet af 17. januar 2025.

Landsrettens begrundelse og resultat

Tiltalte, Tiltalte Kommune, har erkendt overtrædelse af databeskyttelsesforordningens artikel 32 ved i perioden fra den 25. maj 2018 til 1. marts 2021 at have givet adgang for begge forældremyndighedsindehavere til tandplejens breve indeholdende adresser i selvbetjeningsløsningen ”Min Tandpleje” uden i det enkelte tilfælde at vurdere, hvorvidt de pågældende oplysninger måtte videregives til den anden forælder, hvilket medførte en risiko for, at der blev givet uberettiget adgang til oplysninger om den ene forælders og/eller barnets adresse, uagtet at denne havde navne- og adressebeskyttelse.

Sagen for landsretten angår alene strafudmålingen. Efter databeskyttelsesforordningens artikel 83, stk. 9, skal bøder pålagt efter forordningen være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning. Ved pålæggelse af straf for overtrædelse af bl.a. databeskyttelsesforordningens artikel 32, skal forordningens artikel 83, stk. 2, følges, jf. databeskyttelseslovens § 41, stk. 3.

Ved vedtagelsen af databeskyttelsesloven er tilsigtet en væsentlig skærpelse af det hidtidige bødeniveau efter den tidligere gældende persondatalov, og det fremgår bl.a. af lovens forarbejder, at bødeloftet for offentlige myndigheder er lavere end for private, hvorfor det også er forudsat, at forhøjelsen af bødeniveauet for offentlige myndigheder skal være lavere henset til offentlige myndigheders særlige situation, hvorefter de efter lovgivningen er pålagt at varetage lovbestemte opgaver, der ikke uden videre i alle tilfælde blot kan standses for derved at bringe en eventuel ulovlig tilstand til ophør.

Det fremgår også, at der i hver enkelt sag skal tages behørigt hensyn til de oplistede hensyn i databeskyttelsesforordningens artikel 83, stk. 2. Landsretten har – som byretten – ved fastsættelse af bødens størrelse lagt vægt på bl.a. de hensyn, der fremgår af databeskyttelsesforordningens artikel 83, stk. 2, og tiltræder det af byretten anførte herom.

Landsretten har endvidere efter artikel 83, stk. 2, lagt vægt på, at overtrædelsen er begået ved simpel uagtsomhed, at Tiltalte Kommune selv indberettede overtrædelsen og omfanget heraf til Datatilsynet, ligesom kommunen samarbejdede med tilsynet i den efterfølgende proces, at kommunen havde foretaget en forudgående risikovurdering, der imidlertid ikke identificerede overtrædelsen, og at kommunen som offentlig myndighed ikke har opnået økonomiske fordele eller undgået tab som følge af overtrædelsen.

Det er endvidere indgået, at bødestraffen skal fastsættes som en tillægsstraf til bødeforelæg af 2. maj 2022 pålydende 200.000 kr., jf. straffelovens § 89. Landsretten tiltræder på denne baggrund og efter en samlet vurdering af sagens omstændigheder, at bøden passende kan fastsættes til 50.000 kr. Det anførte om sagsbehandlingstiden kan ikke føre til et andet resultat henset til sagens karakter og kompleksitet.

Landsretten stadfæster herefter byrettens dom i det omfang, den er anket.

Thi kendes for ret

: Byrettens dom i sagen mod Tiltalte Kommune stadfæstes.