AM2025.03.27V

AM2025.03.27V Retten i Koldings

DOM

Dato: 26. marts 2024 Rettens sagsnr.: 1-5406/2023 Politiets sagsnr.: 3700-84266-00009-21 Anklagemyndigheden mod Tiltalte Kommune, cvr-nummer … Anklageskrift er modtaget den 26. juni 2023.

Tiltalte Kommune er tiltalt for overtrædelse af databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningen artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, jf. artikel 32, stk. 1, ved i en periode fra den 25. maj 2018 til den 9. januar 2019 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre tekniske og organisatoriske foranstaltninger, for at sikre et tilstrækkeligt højt sikkerhedsniveau, idet Tiltalte Kommune, Adresse i Kommune via en automatiseret proces for fremsendelse af velkomstbreve i tandplejen, udsendte breve til begge forældremyndighedsindehavere indeholdende begge forældres adresser, uden i det enkelte tilfælde at vurdere, hvorvidt de pågældende oplysninger måtte videregives til den anden forælder, hvilket medførte, at der i flere tilfælde blev videregivet oplysninger om den ene forælders adresse, uagtet at denne havde navne- og adressebeskyttelse, til den anden forælder.

Påstande

Anklagemyndigheden har nedlagt påstand om bøde på 200.000 kr. Tiltalte Kommune har erkendt et brud på persondatasikkerheden, men har nægtet sig skyldig i overtrædelse af databeskyttelesforordningens artikel 83. Kommunen har subsidiært nedlagt påstand om bødebortfald, således at kommunen tildeles en advarsel.

Sagens oplysninger

Tiltalte Kommune anmeldte den 10. januar 2019 et brud på persondatasikkerheden til Datatilsynet. Det fremgår af sagen, at en mor og hendes datter på 10 år havde taget ophold på et krisecenter under adressebeskyttelse; efter det oplyste fordi barnets far havde udvist en adfærd over for dem, der muligt udgjorde en risiko for dem.

Den 13. september 2018 sendte den kommunale tandpleje i Tiltalte Kommune via e-boks et velkomstbrev stilet til begge forældre. Det skete efter det oplyste, fordi forældrene på det tidspunkt havde fælles forældremyndighed over barnet. Brevet indeholdt oplysning om den beskyttede adresse på krisecenteret, hvor moderen og barnet opholdt sig.

Den 26. september 2018 sendte tandplejen en indkaldelse til tandeftersyn for barnet med mødetid den 10. oktober 2018 Der fremgik efter det oplyste ingen adresse af dette brev. Mor og barn mødte den 10. oktober til eftersynet i tandplejen. Den 7. januar 2019 kontaktede krisecenteret tandplejen med oplysning om, at den beskyttede adresse var kompromitteret.

I forbindelse med Tiltalte Kommunes udredning af sagen, konstaterede kommunen, at faderen i den mellemliggende periode var blevet frakendt forældremyndigheden i sit hjemland, men at denne oplysning ikke var tilgået Tiltalte Kommune. Denne oplysning blev straks noteret i TK2.

Datatilsynet sendte en høring den 6. august 2019, hvori tilsynet anmodede Tiltalte Kommune om oplysninger om, hvorvidt denne fejl var sket flere gange op til den 9. januar 2019.

Tiltalte Kommune igangsatte en undersøgelse, der viste, at der via IT-systemet TK2 siden 1. september 2017 automatisk var udsendt breve til begge forældre, og at der i perioden var fundet fire breve sendt til forældre med fælles forældremyndighed, som havde forskellige adresser, og hvor den ene eller begge forældre havde beskyttet adresse.

Brevene var udsendt den 16. januar 2018 (to breve), den 12. marts 2018 og den 28. juni 2018. I et af disse fire tilfælde var der i juli 2018 registreret en telefonisk henvendelse til tandplejen med oplysning om, at det var problematisk, at den anden forældre var blevet gjort bekendt med den beskyttede adresse.

En sekretær ved Tiltalte Kommunes tandpleje havde i dette tilfælde telefonisk beklaget det skete, men ledelsen i tandplejen blev ikke informeret om henvendelsen.

Det er oplyst, at ledelsen i tandplejen over for medarbejderne har indskærpet, at det er afgørende vigtigt løbende at opretholde en passende opmærksomhed på behandlingen af borgernes personoplysninger, ligesom der er sat særlig fokus på den skriftlige kommunikation med borgere med beskyttet adresse.

Adresseoplysningerne fremgår således ikke længere af generelle breve fra tandplejen, som sendes til begge forældre med fælles forældremyndighed, men med forskellige adresser.

Det er desuden oplyst, at det på gerningstidspunktet teknisk var muligt under adresseoplysningerne at afkrydse, om adressen var beskyttet, ligesom det under punktet "familieforhold" var muligt ud for hver af forældrene at markere, om de havde forældremyndighed over barnet. Forklaringer Vidne har forklaret, at han er juridisk chef i Tiltalte Kommune, hvor han har været ansat siden april 2020.

Tiltalte Kommune indberettede et databrud den 10. januar 2019. Han har kun kendskab til sagen via sagens akter. På baggrund af en ældre afgørelse; han ved ikke hvilken, begyndte kommunen at sende meddelelser til begge forældre om deres fælles børn. Meddelelserne blev sendt via et fælles kommunalt system; TK2. Han kender ikke noget til systemet. Han tør ikke sige, hvordan kommunen udsendte meddelelser i 2019.

Kommunen blev opmærksom på databruddet via en tilkendegivelse fra en person. Da man blev opmærksom på problemet, fjernede man adresserne på de breve, der blev sendt ud, ligesom man øgede opmærksomheden for borgere med beskyttede navne og adresser. Han ved ikke, hvordan det skete i tandplejen. Han ved ikke, om brevene blev automatisk genereret.

Han ved ikke, om der havde været lignende fortilfælde, da kommunen blev gjort opmærksom på databruddet. Han er ikke bekendt med efterfølgende overtrædelser af artikel 32 i Tiltalte Kommune. De anmeldte databruddet umiddelbart efter. Han er sikker på at de overholdt 72 timers reglen. Der er 120.000 borgere i Tiltalte Kommune.

Ikke alle har e-boks og nogle borgere er fritaget for digital post, så der er behov for adresseoplysninger. Tiltalte Kommune er en decentral kommune, og mange beslutninger bliver truffet decentralt, men med central styring. Tiltalte Kommune bruger mange forskellige IT-systemer; hans gæt er mere end 200. Tiltalte Kommune arbejder meget målrettet med GPDR. De har GPDR ambassadører i hver enkelt afdeling.

De har desuden et IT-sikkerhedsudvalg, som behandler problemstillinger på tværs og af kommunen skyder det op i direktionen. Dog ved han ikke, om disse tiltag var iværksat i gerningsperioden. De prioriterer området højt. Der har været for nylig været tilsyn fra Datatilsynet, og kommunen gik glat igennem.

Tidligere afgørelser Datatilsynet har ved tidligere afgørelser af 21. maj 2021 og 3. februar 2022 udtalt alvorlig kritik af Tiltalte Kommunes behandling af personoplysninger. Forseelserne er begået fra august 2018 til juni 2021. Datatilsynet har i begge tilfælde vurderet, at behandlingen af oplysningerne ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Rettens begrundelse

og afgørelse Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personeres rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Det følger endvidere af forordningens artikel 32, stk. 1 litra d, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal gennemføre en procedure for regelmæssig afprøvning vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Retten lægger efter bevisførelsen til grund, at det på gerningstidspunktet teknisk var muligt i det elektroniske patientjournalsystem TK2 i Tiltalte Kommunes tandpleje i et særskilt felt i patientens stamkort at markere, at adressen var beskyttet. Det er uoplyst under sagen, hvad der var årsagen til, at tandplejen trods denne tekniske mulighed, alligevel har videregivet den beskyttede adresse til faderen.

Retten finder på den baggrund, at Tiltalte Kommune, i hvert fald i perioden fra juli 2018 til 9. januar 2019, ikke har udført passende kontrol af indholdet i de fremsendte velkomstbreve med henblik på at undgå utilsigtede videregivelse af beskyttede adresseoplysninger, ligesom kommunen ikke har foretaget opmærksomhedsskabende tiltag for de ansatte vedrørende reglerne for behandling af personoplysninger om adressebeskyttelse.

Retten har herved lagt vægt på, at en sekretær i tandplejen allerede i juli 2018 blev informeret om, at den anden forældre var blevet gjort bekendt med den beskyttede adresse, uden at denne henvendelse tilgik ledelsen og medførte ændrede procedurer. Ved et sådant tiltag kunne sikkerhedsbruddet den 13. september 2018 have været undgået. På den baggrund finder retten det bevist, at tiltalte er skyldig i tiltalen.

Straffen fastsættes til en bøde på 50.000 kr., jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningen artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, jf. artikel 32, stk. 1.

Retten har ved fastsættelse af bødens størrelse i skærpende retning lagt vægt på, at det kan være forbundet med store konsekvenser for de registrerede, når deres beskyttede adresser eller andet opholdssted som f.eks. navnet på et krisecenter utilsigtet bliver videregivet til den person, de prøver at skjule sig for, og at personoplysningerne angår et barn under 18 år, som i sig selv tilhører en sårbar gruppe.

Retten har endelig lagt vægt på, at der tidligere i august 2018 skete sikkerhedsbrud i Tiltalte Kommune. I formildende retning har retten lagt vægt på den lange sagsbehandlingstid og at Tiltalte Kommune allerede har gennemført betydelige organisatoriske og tekniske foranstaltninger for at undgå utilsigtet videregivelse af beskyttede adresser.

Thi kendes for ret

: Tiltalte, Tiltalte Kommune, skal betale en bøde på 50.000 kr. Tiltalte skal betale sagens omkostninger. ::::::::::::::::::::::::: Vestre Landsrets 5. afdelings

DOM

(dommerne Annette Nørby, Henrik Estrup og Thomas Trapp-Nielsen (kst.)) Dato: 27. marts 2025 Rettens sagsnr.: S–0715–24 Anklagemyndigheden mod Tiltalte Kommune, (advokat Dan Bjerg Geary, Aarhus) Retten i Kolding har den 26. marts 2024 afsagt dom i 1. instans (rettens nr. 1-5406/2023).

Påstande

Anklagemyndigheden har påstået skærpelse. Tiltalte Kommune har påstået frifindelse, subsidiært formildelse. Supplerende oplysninger Den afgørelse fra Datatilsynet af 21. maj 2021, der er omtalt i byrettens dom, og hvor tilsynet udtalte alvorlig kritik af Tiltalte Kommune, vedrørte bl.a. videregivelse af beskyttede adresseoplysninger.

Tiltalte Kommune havde den 24. august 2018 indberettet til Datatilsynet, at der var sket et brud på persondatasikkerheden samme dag. Dette brud på persondatasikkerheden skete ikke i tandplejen. Datatilsynet har til brug for ankesagen afgivet udtalelser af 17. januar og 27. februar 2025.

Tiltalte Kommune har fremlagt en række nye bilag, herunder TK2 Administratormanual og Brugervejledning, begge fra 2017, og tre mails fra maj 2018 med link til Awarenesslektioner, hvor medarbejdere i Tiltalte Kommune kunne få undervisning i de gældende regler efter databeskyttelsesforordningen.

Landsrettens begrundelse og resultat

Skyldsspørgsmålet: Tiltalte Kommune har erkendt, at der den 13. september 2018 skete et sikkerhedsbrud. Den rejste tiltale angår imidlertid ikke sikkerhedsbrud, men overtrædelse af databeskyttelsesforordningens artikel 32.

Databeskyttelsesforordningens artikel 32 angår behandlingssikkerhed og stiller krav om, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau. Tiltalte Kommune kan ikke erkende at have overtrådt forordningens artikel 32 og har på den baggrund påstået frifindelse.

Ifølge pkt. 3.1. i Datatilsynets, Justitsministeriets og Digitaliseringsstyrelsens vejledning fra juni 2018 med titlen ”Behandlingssikkerhed Databeskyttelse gennem design og standardindstillinger” medfører et sikkerhedsbrud ikke nødvendigvis, at databeskyttelsesforordningens regler, her artikel 32, er tilsidesat, hvis det i øvrigt vurderes, at den pågældende virksomhed eller myndighed har opretholdt et passende sikkerhedsniveau.

Landsretten tiltræder af de grunde, som byretten bl.a. med henvisning til databeskyttelsesforordningens artikel 32, stk. 1, litra d, har anført, at Tiltalte Kommune ikke har sikret et passende sikkerhedsniveau med henblik på at forhindre, at beskyttede adresseoplysninger blev videregivet. Gerningsperioden som angivet i anklageskriftet er i byrettens dom begrænset til at angå perioden fra juli 2018 til 9. januar 2019.

Denne begrænsning af gerningsperioden har anklagemyndigheden ved for landsretten alene at påstå skærpelse tilsluttet sig. Der er rejst tiltale for ”i flere tilfælde” at have videregivet beskyttede adresseoplysninger.

Det kan efter bevisførelsen, herunder Tiltalte Kommunes notat af 26. september 2019, lægges til grund, at kommunens tandpleje – ud over det sikkerhedsbrud, der skete den 13. september 2018 – fire gange tidligere har sendt breve til borgere med oplysning om en anden borgers beskyttede adresse.

De fire tilfælde ligger imidlertid forud for den nævnte gerningsperiode, og det kan derfor, som tiltalen er rejst, alene lægges til grund, at overtrædelsen af databeskyttelsesforordningens artikel 32 har medført, at der er sket videregivelse af beskyttede adresseoplysninger af relevans for den rejste tiltale i ét tilfælde.

Det bemærkes i den forbindelse, at det brud på persondatasikkerheden, der skete den 24. august 2018, og som er omtalt ovenfor, ikke skete i tandplejen. Med den begrænsning, der ligger heri, tiltrædes det, at Tiltalte Kommune er fundet skyldig som sket.

Strafudmålingen: Straffen for Tiltalte Kommunes overtrædelse af databeskyttelsesforordningens artikel 32 fastsættes i medfør af databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 6, og skal ifølge lovens § 41, stk. 3, jf. forordningens artikel 83, stk. 2, ske under behørigt hensyn til de omstændigheder, der er anført i forordningens artikel 83, stk. 2, litra a – k.

Bøden skal efter forordningens art. 83, stk. 9, under alle omstændigheder være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Herudover følger det af straffelovens §§ 80 ff., at der ved straffens fastsættelse skal eller kan lægges vægt på de omstændigheder, der er anført i bestemmelserne.

Der er ved vedtagelsen af databeskyttelsesloven tilsigtet en væsentlig skærpelse af det hidtidige bødeniveau efter den tidligere gældende persondatalov, og det fremgår af lovens forarbejder bl.a., at bødeloftet for offentlige myndigheder er lavere end for private, hvorfor det også er forudsat, at forhøjelsen af bødeniveauet for offentlige myndigheder skal være lavere henset til offentlige myndigheders særlige situation, hvorefter de efter lovgivningen er pålagt at varetage lovbestemte opgaver, der ikke uden videre i alle tilfælde blot kan standses for derved at bringe en eventuel ulovlig tilstand til ophør.

Landsretten lægger ved fastsættelsen af bøden på den ene side vægt på, at overtrædelsen – henset til oplysningernes karakter og de mulige konsekvenser af et eventuelt sikkerhedsbrud – må betegnes som alvorlig, men at der på den anden side alene er sket videregivelse af beskyttede adresseoplysninger i ét tilfælde.

Landsretten lægger endvidere vægt på, at Tiltalte Kommune selv indberettede det skete til Datatilsynet, og at kommunen efterfølgende har udført relevante bestræbelser på at rette op på forholdene.

Ved vurderingen af den udviste uagtsomhed lægger landsretten vægt på, at risikoen for videregivelse af beskyttede adresseoplysninger uden større tiltag kunne have været reduceret, og at både henvendelsen fra en borger til Tiltalte Kommunes Tandpleje i juli 2018 og sikkerhedsbruddet den 24. august 2018, som Tiltalte Kommune samme dag indberettede til Datatilsynet, burde have skærpet kommunens agtpågivenhed i forhold til behandlingen af beskyttede adresseoplysninger.

Efter en samlet vurdering af sagens omstændigheder, og under hensyn til den tid, der er forløbet, siden forholdet blev begået, kan den bøde, som Tiltalte Kommune skal betale, passende fastsættes til 100.000 kr. Med de anførte ændringer stadfæster landsretten dommen.

Thi kendes for ret

: Byrettens dom stadfæstes med den ændring, at bøden forhøjes til 100.000 kr. Tiltalte Kommune skal betale sagens omkostninger for landsretten.