Kommuner idømmes jævnligt bøder for overtrædelse af databeskyttelseslovgivningen. Og det sker hyppigere efter indførelsen af GDPR-forordningen for syv år siden. ”Vi rejser ikke sager, hvor der ikke i forvejen er gjort en betydelig oplysningsindsats”, siger Datatilsynet.
Til stor ærgrelse for kommunerne sker det jævnligt, at kommunerne får bøder for overtrædelse af databeskyttelsesloven og GDPR-reglerne, som trådte i kraft efter en EU-forordning i maj 2018. Den første dom blev afsagt den 9. marts 2022, hvor Retten i Roskilde idømte Lejre Kommune en bøde på 50.000 kr. for manglende behandlingssikkerhed. Siden er der faldet domme slag i slag – adskillige om året.
Men ifølge Allan Frank, IT – og sikkerhedsspecialist i Datatilsynet, er bøderne relativt lave. De ligger som oftest på mellem 50.000 og 100.000 kr. Og de er væsentligt mindre end tilsvarende overtrædelser af databeskyttelsesloven takseres til i private virksomheder. Sådan som det også var tilsigtet, da GDPR-forordningen blev indført.
Her havde man en debat i Folketinget om, hvorvidt ikke blot private virksomheder, men også kommuner og andre offentlige myndigheder skulle kunne idømmes bøder. Resultatet blev, at også offentlige myndigheder skulle kunne idømmes bøder, men bødernes størrelse skulle tage højde for, at offentlige myndigheder havde særlige opgaver at løse, som ikke kunne overtages af private.
Bøderne udmåles af domstolene på grundlag af indstillinger fra Datatilsynet, der giver dem videre til anklagemyndigheden. Bødernes størrelse måles ud fra størrelsen af kommunerne driftsbudgetter.
Generelt vurderer Allan Frank, at landsretterne i det omfang de får sager til behandling, udmåler bøder, der i højere grand ligger på linje med Datatilsynets indstillinger. Byretternes bødeafgørelser takserer gennemgående kommunernes overtrædelser lidt lavere.
GDPR-reglerne fra EU har skærpet opmærksomheden på beskyttelse af persondata. Men reelt har GDPR-reglerne ikke ændret på den materielle jura, der fandtes i Danmark før reglerne, trådte i kraft og som strækker helt tilbage til år 2000. Derfor mener Allan Frank heller ikke, at kommunerne skal ærgre sig for meget, når de får bøder. Det, der har ændret sig med forordningen, er, at kommunerne nu har pligt til selv at indberette mistanke om overtrædelser. En såkaldt selvangivelses-pligt. Og det gør de faktisk i betydeligt omfang, præcis som de skal.
Med GDPR-forordningens ikrafttrædelse er der i højere grad kommet
fokus på forhold, som kommunerne skulle have bragt i orden for år
tilbage,” siger Allan Frank.
Oplysning går forud for sager
Han peger på, at det ikke er sådan, at Datatilsynet i bred forstand går ud og koncentrerer tilsynsindsatsen på områder, hvor der udsigt til store bøder.
”Vi rejser ikke sager på områder, hvor vi ikke i forvejen har gjort en betydelig oplysningsindsats”, siger Allan Frank til Magasinet KITA.
De sager, som Datatilsynet har rejst, drejer sig typisk om manglende kryptering af bærbare computere. Når de bortkommer eller stjæles, gøres det muligt for tredjemand at få adgang til følsomme personlige data, der ligger på computerne. Man har haft mulighed for at kryptere computere i rigtigt mange år, så i de tilfælde, hvor det ikke er sket, er der tale om en forsømmelse, der let kunne være undgået, mener Allan Frank.
De fleste andre sager centrerer sig om overtrædelse af databeskyttelsesforordningens artikel 32 om sikkerhedsbrister.
Et typisk eksempel kan være, at en kommune eller en region offentliggør en graf over antallet af f. eks kræftsyge i en given periode. Hvis man ikke her gør de underliggende data og regneark med personoplysninger utilgængelige ved offentliggørelsen, risikerer man, at disse data kommer uvedkommende personer i hænde.
Allan Frank opfordrer kommunerne til at følge grundigt med i den vejledning og de afgørelser Datatilsynet kommer med, og også de domstols-afgørelser, der træffes om brud på GDPR-reglerne. Hvis man gør det, vil man i høj grad blive opmærksom på, hvor der kræves en indsats lokalt.
Eksempler på sager om kommunale overtrædelser af databeskyttelsesforordningen.
• Lejre Kommune: I marts 2022 blev Lejre Kommune idømt en bøde på 50.000 kr. for manglende behandlingssikkerhed. Kommunen havde en praksis, hvor mødereferater med følsomme personoplysninger blev uploadet til en medarbejderportal med bred adgang, hvilket ikke levede op til kravene om passende sikkerhedsforanstaltninger.
• Gladsaxe Kommune: I marts 2020 blev Gladsaxe Kommune politianmeldt og indstillet til en bøde på 100.000 kr. efter tyveri af en ukrypteret computer indeholdende personoplysninger om 20.620 borgere, herunder følsomme data og CPR-numre.
• Hørsholm Kommune: Samtidig med Gladsaxe-sagen blev Hørsholm Kommune indstillet til en bøde på 50.000 kr. efter tyveri af en ukrypteret computer med oplysninger om cirka 1.600 medarbejdere. I september 2022 blev kommunen idømt denne bøde.
Landsretten gav byret medhold i mild GDPR-bøde til Frederiksberg
Landsretten har behandlet en sag om størrelsen på en kommunes bøde for overtrædelse af databeskyttelsesloven. Dommen, der ifølge kammeradvokaten har principiel betydning, er godt nyt for kommunerne.
En sag om en kommunes overtrædelse af databeskyttelsesreglerne har været til afgørelse i landsretten. Ifølge Kammeradvokaten Poul Smith, der har ført sagen for Frederiksberg kommune har denne dom, der faldt i februar 2025, principiel betydning for bødeberegningen i sådanne sager, og det er godt nyt for kommunerne.
Landsretten gav nemlig Frederiksberg kommune og byretten medhold i, at der i en sag om overtrædelse af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed efter et brud på persondatasikkerheden i den kommunale tandpleje, var formildende omstændigheder, som gjorde at byrettens bøde blev fastholdt på kun 50.000 kr., selvom anklagemyndigheden på vegne af Datatilsynet havde krævet bødeforlægget hævet til 100.000 kr.
Sagens omdrejningspunkt var beregningen af bødens størrelse, herunder om det i bødeberegningen retligt set kan udgøre formildende omstændigheder, at der f.eks. var få personer, der konkret blev berørt af bruddet, at kommunen hurtigt rettede op på situationen, da sikkerhedsbruddet blev konstateret, og at kommunen ikke tidligere var straffet i forhold af relevans for sagen..
Frederiksberg kommunen anmeldte den 1. marts 2021 et brud på persondatasikkerheden til Datatilsynet. Bruddet var opstået i den kommunale tandplejes borgerrettede selvbetjeningsløsning, der havde til formål at give personer med forældremyndighed mulighed for at booke og se tider på deres børn.
Oprindeligt havde alene bopælsforældre adgang til bl.a. tandplejens breve. Kommunen udvidede efterfølgende adgangen til systemet til også at omfatte samværsforældre med fælles forældremyndighed.
Bruddet på persondatasikkerheden bestod i, at forældre i flere tilfælde kunne få adgang til oplysninger om bopælsforælderen og barnets adresse, selv om bopælsforælderen og barnet var registreret med navne- og adressebeskyttelse.
Der var dog ikke oplysninger om, at nogen faktisk havde udnyttet denne adgang.
Landsretten lagde i sin dom vægt på, at overtrædelsen er begået ved simpel uagtsomhed, at Frederiksberg kommune selv indberettede overtrædelsen til Datatilsynet, ligesom kommunen samarbejdede med tilsynet i den efterfølgende proces, at kommunen havde foretaget en forudgående risikovurdering, der imidlertid ikke identificerede overtrædelsen, og at kommunen som offentlig myndighed ikke har opnået økonomiske fordele eller undgået tab som følge af overtrædelsen