I dommen, afsagt den 27. marts 2025, fastslog Vestre Landsret, at en kommune havde overtrådt sine forpligtelser i medfør af databeskyttelsesforordningens art. 32, vedrørende behandlingssikkerhed. I nærværende tilfælde var art. 32 overtrådt som følge af et brud på persondatasikkerheden i et it-system.
Landsretten fastsatte bøden for overtrædelse af art. 32 til 100.000 kr.
Afgørelsen udtrykker en retsanvendelse i overensstemmelse med lovens formål, da Justitsministeriet, gennem indførelsen af databeskyttelsesloven, har ønsket at skærpe bødeniveauet for overtrædelser, hvor strafsanktionen beror på databeskyttelsesforordningens art. 83, stk. 9.
Kommunens ansvar
Den pågældende kommune erkendte, at der den 13. september 2018 var sket et sikkerhedsbrud.
Som udgangspunkt er dette dog ikke ensbetydende med, at databeskyttelsesforordningens art. 32 om behandlingssikkerhed er overtrådt.
Landsretten måtte derfor vurdere, om der var gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau.
Ud fra en samlet vurdering af sagens omstændigheder og set i lyset af databeskyttelsesforordningens art. 32, stk. 1, litra d, anførte landsretten – på samme grundlag som byretten – at kommunen ikke havde sikret et passende sikkerhedsniveau med henblik på at forhindre, at beskyttede adresseoplysninger blev videregivet.
Strafudmålingen
Landsretten udmålte straffen i medfør af databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 6. Hertil skal udmålingen, jf. databeskyttelseslovens § 41, stk. 3, jf. forordningens art. 83, stk. 2, ske under behørig varetagelse af de omstændigheder, der fremgår af forordningens art. 83, stk. 2, litra a-k.
Desuden skal der ske behørig iagttagelse af proportionalitetsprincippet ved strafudmåling, jf. forordningens art. 83, stk. 9.
Landsretten lagde på den ene side vægt på, at overtrædelsen – henset til oplysningernes karakter, samt de mulige konsekvenser af bruddet på datasikkerheden – måtte anses for alvorligt, hvorfor dette talte for at skærpe kommunens ansvar og hæve bødeniveauet.
På anden side blev det anført, at der alene var sket videregivelse af beskyttede adresseoplysninger i ét enkelt tilfælde. Dette talte således imod at hæve bødeloftet.
Hertil blev der tillige lagt vægt på det faktum – som også måtte anses som en formildende omstændighed – at kommunen selv indberettede bruddet på datasikkerheden til Datatilsynet.
Ved vurderingen af kommunens uagtsomhed blev der, fra landsrettens side, lagt vægt på, at kommunen – uden større tiltag – kunne have reduceret den foreliggende risiko for videregivelse af de beskyttede adresseoplysninger. Tilmed burde en tidligere henvendelse fra en borger og et tidligere brud på datasikkerheden have øget kommunens agtpågivenhed i forhold til den fremtidige behandling af beskyttede adresseoplysninger.
Det endelige resultat blev, at landsretten – ud fra en samlet afvejning af ovenstående momenter – fastsatte bøden til 100.000 kr.
Elmanns rådgivning
I medfør af databeskyttelsesforordningens art. 32, stk. 1, skal både dataansvarlige og databehandlere gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau ift. de databeskyttelsesmæssige risici, som den pågældende bliver præsenteret med.
Det følger af forarbejderne til databeskyttelsesloven, at bødeloftet for private virksomheder og organisationer generelt er højere. Det vil derfor være i disses interesse at sikre sig, at behandlingssikkerheden er i overensstemmelse med databeskyttelsesreglerne.
Hos Elmann rådgiver vi om, hvordan din organisation/virksomhed bedst muligt sikrer sig, at behandlingen af personoplysninger ikke er i strid med databeskyttelsesreglerne. Derudover rådgiver vi om, hvilke passende tekniske og organisatoriske foranstaltninger, man skal træffe som dataansvarlig/databehandler for at sikre compliance.
Ønsker du at vide mere om, hvorvidt din organisation handler i overensstemmelse med databeskyttelsesreglerne, kan du kontakte Frederikke Hagen Berg på tlf. (+45) 33 34 79 03 eller pr. mail: fhb@elmann.dk.
