Datatilsynet har indenfor den seneste uge offentliggjort afgørelser i to sager, der vedrører manglende behandlingssikkerhed indenfor den offentlige forvaltning. Afgørelserne viser på den ene side, at Tilsynet er konsistente i udmålingen af sanktioner, men også at niveauet for de udmålte sanktionerne – på trods af de særlige regler der gælder for bødeudmåling i forhold til offentlige myndigheder – er meget lavt.
Når man betragter Datatilsynets aktuelle track-record for sanktioner for overtrædelser af Databeskyttelseslovgivningen, er det mere end tvivlsomt, om det valgte niveau for sanktioner vil have den ønskede effekt på adfærden hos de dataansvarlige – både offentlige myndigheder, organisationer og private virksomheder. Tværtimod kan man frygte, at det sanktionsniveau, der nu tegner sig, vil øge risikoappetitten i ledelseslagene. Det vil i givet fald på længere sigt gøre det vanskeligere at få allokeret de nødvendige ressourcer til arbejdet med GDPR-compliance hos myndigheder, organisationer og virksomheder.
Den første sag er fra Region Syddanmark, og handler om, at regionen i januar 2020 blev opmærksom på, at alle dens mere end 30.000 medarbejdere siden 2013 har haft adgang til et netværksdrev, som bl.a. indeholdt en platform til midlertidig behandling af oplysninger, der skulle lagres i et filarkiv i tilknytning Den Elektroniske Patientjournal (EPJ). De behandlede oplysninger omfattede almindelige og fortrolige personoplysninger, samt personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte og registrerede med beskyttet adresse. De behandlede oplysninger omfattede omkring 800.000 registrerede.
I afgørelsen lagde Datatilsynet, udover det store omfang af berørte personer og karakteren af de behandlede oplysninger, vægt på, at adgangen til oplysningerne var tildelt uden formel ledelseskontrol, at oplysningerne har været tilgængelige for medarbejdere, der ikke havde et arbejdsbetinget behov herfor, og at der ikke var gennemført den nødvendige logning og overvågning af platformen. Region Syddanmark har dermed ikke levet op til bestemmelserne i databeskyttelsesforordningens artikel 32 om at den dataansvarlige skal etablere tekniske og organisatoriske foranstaltninger, der er passende i forhold til den risiko behandlingen medfører for de registrerede.
Datatilsynet vurderer derfor grundlæggende, at der er tale om en alvorlig forseelse – det manglede da også bare kan man sige. Når man alligevel vælger ”kun” at udtale alvorlig kritik af forholdet skyldes det, at en stor del af forseelsen fandt sted før Databeskyttelsesforordningens ikrafttræden. Denne del af forseelsen ville ikke normalt efter persondataloven kunne give anledning til bødestraf.
I den anden sag fra denne uge har Datatilsynet indstillet Lejre Kommune til en bøde på 50.000 kr. for ikke – ligesom Region Syddanmark i den omtalte sag – at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.
Datatilsynet blev opmærksom på sagen, da kommunen anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at Lejre Kommunes afdeling, Center for Børn og Unge, har haft en fast praksis, hvorefter mødereferater indeholdende personoplysninger af særdeles følsom og beskyttelsesværdig karakter, herunder om borgere under 18 år, er blevet uploadet på kommunens medarbejderportal. På medarbejderportalen var der potentiel adgang til oplysningerne for en stor del af kommunens ansatte, uanset om de pågældende medarbejdere arbejdede med den type af sager.
Datatilsynet har besluttet at anmelde Lejre Kommune til politiet og indstiller til, at der nedlægges påstand om, at kommunen idømmes en bøde på 50.000 kr.
Datatilsynet har ved bødens fastsættelse lagt vægt på overtrædelsens karakter (manglende behandlingssikkerhed) samt karakteren og mængden af de personoplysninger, som har været genstand for sikkerhedsbruddet. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og til den samlede driftsbevilling.
Som nævnt i indledningen har Datatilsynet i begge sager for så vidt argumenteret solidt for de overvejelser, der ligger bagved de udmeldte sanktioner. Sammenholder man de to sager, kan man sådan set også godt forstå, hvorfor sagen fra Region Syddanmark ud fra en samlet betragtning, vurderes som mindre alvorlig end sagen fra Lejre. Tilbage står blot om det virkelig er rimeligt, at så alvorlige brud på behandlingssikkerheden kun udløser henholdsvis en bøde på 50.000 kr. og “alvorlig kritik”?
Du kan læse mere mere om, hvordan du kan undgå bøder og “alvorlig kritik” fra Datatilsynet på www.pdhub.dk.
