AM2023.09.01B

AM2023.09.01B Retten i Randers’

DOM

Dato: 1. september 2023 Rettens sagsnr.: 2-2233/2022 Politiets sagsnr.: 4200-84266-00057-21 Anklagemyndigheden mod Tiltalte, cvr-nummer … Anklageskrift er modtaget den 27. maj 2022.

Tiltalte er tiltalt for overtrædelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/79 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 4, jf. litra a, jf. stk. 9, jf. artikel 32, stk. 1 samt lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af behandling af personoplysninger om fri udveksling af sådanne oplysninger§ 41, stk. 1, nr. 1, jf. stk. 3 jf. stk. 6, ved i en perioden fra den 22. august 2019 til den 13. august 2020 kl. 07.30 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre tekniske og organisatoriske foranstaltninger, der passede til risici af varierende sandsynlighed og alvor for de registreredes rettigheder, idet Tiltalte ikke havde sørget for at kryptere kommunens bærbare computere, hvilket medførte et utilstrækkeligt sikkerhedsniveau og tillige havde den konsekvens, at et sikkerhedsbrud medførte en unødig høj risiko for de registrerede, idet en bærbar computer indeholdende personoplysninger af følsom karakter om ca. 100 personer i kommunens botilbud for borgere med fysisk eller psykisk nedsat funktionsevne på et tidspunkt i perioden fra den 12. august 2020 kl. 18.00 til den 13. august 2020 kl. 07.30 blev stjålet fra en skuffe i forbindelse med et indbrud i sundhedscenteret, Adresse i By.

Påstande

Anklagemyndigheden har nedlagt påstand om bøde. Tiltalte har nægtet sig skyldig.

Sagens oplysninger

[FORKLARINGER UDELADT] Tiltalte er tidligere straffet ved bødeforlæg af 9. maj 2022 for overtrædelse af lov om godkendelse og syn af køretøjer § 13. stk. 1, jf. stk. 3, jf. § 3, stk. 1 med en bøde på 2.000 kr.

Rettens begrundelse

og afgørelse Efter forklaringerne af Vidne1 og Vidne2 lægger retten til grund, at Tiltalte har foretaget en række organisatoriske sikkerhedsforanstaltninger i forhold til kommunens bærbare computere ved at give medarbejderne instruktion om, at de ikke måtte gemme oplysninger på de lokale computere og anvise, at de skulle arbejde i fagsystemerne på Tiltalte og i Bosted.

Retten lægger efter forklaringerne videre til grund, at kommunens bærbare computere var beskyttet med password, og at kryptering af de bærbare computere var en del af kommunene IT-masterplan siden 2018. Retten lægger efter Vidne3’s forklaring til grund, at hans bærbare arbejdscomputer blev stjålet ved et indbrud mellem den 12. og 13. august 2020. Computeren lå under indbruddet i en aflåst skuffe.

På computeren havde han haft installeret et freeware-program "FreeMind", som han brugte til at skabe overblik over kommunens botilbud. I programmet havde han lavet dokumenter med oplysninger om 102 beboere i botibuddene, som først indeholdt navne og personnumre på beboerne, og senere kun beboernes navne. Beboerne kunne via dokumenterne knyttes til botilbuddene, der var til personer med fysiske og psykiske handicap.

Retten lægger efter hans forkalring til grund, at han på tidspunktet for tyveriet havde slettet FreeMind på computeren, men at dokumenterne fortsat var gemt på computerens harddisk.

Kommunen havde endnu ikke krypteret computerene på tidspunktet for tyveriet, og tyveriet indebar derfor et brud på persondatasikkerheden, idet der på computeren lå personoplysninger om ca. 102 beboere, herunder oplysninger af følsom karakter og oplysninger om personnumre.

Selvom kommunen havde retningslinjer for, at der ikke måtte lagres lokalt på de bærbare computere og foretaget en række øvrige organisatoriske sikkerhedsforanstaltninger, finder retten efter en samlet vurdering, at kommunen ved ikke at kryptere computerne eller iværksætte andre passende tekniske foranstaltninger, ikke har gennemført de fornødne tekniske sikkerhedsforanstaltninger på kommunens mellem 2.200 -2.300 bærbære computere for at sikre et sikkerhedsniveau, der passer til de risici, der var for de registreredes rettigheder.

Retten har herved lagt vægt på, at kommunen måtte påregne, at ikke alle ansatte fulgte interne retningslinjer, og på den generelle risiko for tyveri og anden bortkomst, der er forbundet med, at medarbejderne har en bærbar computer til rådighed.

Retten har ved bødefastsættelsen særligt lagt vægt på, at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32, idet kommunen forud for tyveriet på sin IT-masterplan siden 2018 havde vurderet, at yderligere tekniske foranstaltninger i form af kryptering af de bærbare computere var en nødvendig foranstaltning.

Bøden er i overensstemmelse med Datatilsynets indstilling beregnet på grundlag af Tiltaltes seneste offentliggjorte foregående driftsbevilling og indbyggertal forud for endelig dom. Bøde fastsættes derfor til 75.000 kr., jf.

Europa-Parlamentets og Rådets Forordning (EU) 2016/79 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 4, jf. litra a, jf. stk. 9,jf. artikel 32, stk. 1 samt lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af behandling af personoplysninger om fri udveksling af sådanne oplysninger § 41, stk. 1, nr. 1, jf. stk. 3 jf. stk. 6.

Thi kendes for ret

: Tiltalte skal betale en bøde på 75.000 kr. Tiltalte skal betale sagens omkostninger.