Første GDPR-bøde til kommune

Lejre Kommune er den første offentlige myndighed, der ved byretten får en bøde for overtrædelse af GDPR, der derved følger Datatilsynets indstilling til bøde. "Kommunen havde ikke implementeret fornøden adgangskontrol og logning til følsomme oplysninger om bl.a. borgere under 18 år”, lød det.

Sagen mod Lejre Kommune handlede om, at en af kommunens afdelinger havde haft en fast praksis, hvor mødereferater, der indeholdt personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, blev uploadet på kommunens medarbejderportal. Hertil var der adgang for en stor del af kommunens ansatte, uanset om de arbejdede med den type sager eller ej. Anvendelsen af oplysningerne blev ikke logget. Dermed levede kommunen ikke op til kravene om passende sikkerhedsforanstaltninger.

Kommunen blev juni 2020 politianmeldt
Datatilsynet politianmeldte Lejre Kommune, da det har været fast praksis - også før databeskyttelsesforordningen - at offentlige myndigheders behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol, ligesom det bør sikres, at det kun er medarbejdere, der har et arbejdsbetinget behov, der bør have adgang til oplysningerne. Derudover skal der være etableret logning af denne type oplysninger. 

Retten lagde ved sin udmåling særlig vægt på omfanget og karakteren af de følsomme personoplysninger, samt på antallet af personer, som havde haft uberettiget adgang til oplysningerne over en længere periode. Det bemærkes i den forbindelse, at kommunen kun har ca. 27.000 borgere.

Flere sager på vej mod både private virksomheder og offentlige myndighederDatatilsynet har offentliggjort en oversigt over, de dataansvarlige som er politianmeldt for overtrædelse af databeskyttelsesreglerne. Bødeindstillinger i sagerne går fra 50.000 kr. til 1.5 mio. Kr.

Oversigten kan ses her: https://www.datatilsynet.dk/om-datatilsynet/gdpr-boeder