Datatilsynet indstiller kommune til bøde på kr. 200.000 for overtrædelse af databeskyttelsesforordningen (GDPR). Kommunen har ifølge tilsynet ikke opfyldt kravene om passende sikkerhed for behandling af personoplysninger.
Kommunens tandpleje havde en fast praksis, hvor velkomstbreve med begge forældres adresser automatisk blev sendt ud til begge forældremyndighedsindehavere. Kommunen foretog ikke nogen vurdering i det enkelte tilfælde af, om den ene forældres oplysninger måtte videregives til den anden forældre.
Denne praksis medførte, at forældre i flere tilfælde modtog oplysninger om den anden forældre og barns adresse, uanset om disse var underlagt navn- og adressebeskyttelse.
Datatilsynet forklarer, at de anser overtrædelsen for at være alvorlig.
Datatilsynet blev opmærksom på overtrædelsen gennem kommunens egen indberetning af brud på datasikkerheden. GDPR indeholder en lovbunden pligt til at anmelde sikkerhedsbrud til den relevante myndighed (i Danmark er det Datatilsynet), medmindre det er usandsynligt, at sikkerhedsbruddet medfører en risiko for de berørte personer.
Datatilsynet har ikke udtalt sig om spørgsmålet, men det kan muligvis have indgået som et formildende moment, at kommunen selv har anmeldt forholdet. Havde Datatilsynet måtte konstatere overtrædelse ved et tilsynsbesøg, og kommunen således tilsidesat sin anmeldelsesforpligtigelse, ville dette formentligt have være et skærpende forhold ved udmåling af bødebeløbet.
Du kan læse mere om hvordan Datatilsynet fastlægger bødebeløb i vores artikler GDPR: Bødeudmåling til det offentlige og GDPR: Bødeudmåling til private virksomheder.
At Datatilsynet indstiller til en bøde betyder, at Datatilsynet har indgivet en politianmeldelse med forslag om, at der gives en bøde på det angivne beløb. Hvis politiet og anklagemyndigheden vælger at rejse sigtelse og følge den anbefalede bøde, gives der et bødeforlæg, som er et tilbud om at vedkende sig bøde og slutte sagen. Hvis overtræderen ikke vedkender sig et bødeforlæg, skal sagen som udgangspunkt indbringes for de almindelige domstole.
Denne proces skyldes, at det efter dansk lov ikke er muligt at pålægge administrative bøder. Datatilsynet kan derfor ikke selv udstede en bøde, men må henvise denne proces til vores almindeligt indrettede retssystem.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.