DATATILSYNET - Communiqué du 10 mars 2020 concernant les municipalités de Gladsaxe et de Hørsholm

To kommuner indstillet til bøde

Datatilsynet anmelder Gladsaxe Kommune og Hørsholm Kommune til politiet, da tilsynet vurderer, at kommunerne ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen (GDPR).

Gladsaxe Kommune og Hørsholm Kommune er blevet indstillet til bøder på hhv. 100.000 kr. og 50.000 kr.

Datatilsynet blev opmærksom på sagerne, da begge kommuner anmeldte brud på persondatasikkerheden i forbindelse med tyveri af en af kommunernes computere, som indeholdt personoplysninger.

Hverken Gladsaxe Kommunes eller Hørsholm Kommunes computere var beskyttet med kryptering, og kommunernes tab af personoplysninger udgjorde derfor en unødig høj risiko for borgerne.

Den utilstrækkelige sikkerhed medførte blandt andet i den ene af sagerne et alvorligt brud på persondatasikkerheden, da en computer indeholdende personoplysninger om 20.620 borgere, herunder oplysninger af følsom karakter og oplysninger om personnumre, blev stjålet fra Gladsaxe Rådhus.

Det andet sikkerhedsbrud skete, da en medarbejder fra Hørsholm Kommune fik stjålet sin arbejdercomputer fra sin bil. På computeren lå der personoplysninger om cirka 1.600 medarbejdere ved Hørsholm Kommune, herunder oplysninger af følsom karakter og oplysning om personnumre.

De konkrete sikkerhedsbrud er udtryk for nogle af de mulige konsekvenser, den utilstrækkelige sikkerhed medfører. Den utilstrækkelige sikkerhed udgør en høj risiko for alle de borgere, som kommunen behandler oplysninger om.

Kommuner har et stort ansvar

”En kommune behandler meget store mængder af personoplysninger om kommunens borgere, herunder oplysninger af følsom karakter. Som borger har man ikke mulighed for at fravælge kommunens behandling af oplysninger om en, og kommunen har derfor et stort ansvar for at undgå, at oplysningerne kommer til uvedkommendes kendskab," siger Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, og uddyber:

"Det er simpelt at tilgå de filer, der er gemt på computeren, når en computers harddisk ikke er krypteret, f.eks. ved at flytte harddisken til en anden computer. Når der er personoplysninger gemt lokalt på computeren, er det derfor særdeles uforsigtigt, at kommunerne ikke havde beskyttet computerne med kryptering.”

Indstilling til bøde

Datatilsynet har besluttet at anmelde Gladsaxe Kommune og Hørsholm Kommune til politiet og indstiller til, at der nedlægges påstand om, at de to kommuner idømmes en bøde på hhv. 100.000 kr. og 50.000 kr.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på, overtrædelsens karakter (manglende behandlingssikkerhed), og at manglende kryptering af kommunens computere er en generel foranstaltning. Der er endvidere lagt vægt på kommunernes størrelse henset til indbyggertal og til den samlede driftsbevilling.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark.

Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.