Slipper offentlige myndigheder med lavere GDPR-bøder?

Statslige myndigheder og kommuner kan normalt ikke straffes for handlinger, der har karakter af myndighedsudøvelse, jf. straffelovens § 27, stk. 2. Det udgangspunkt er fraveget med databeskyttelseslovens § 41, stk. 6, 2. pkt., så offentlige myndigheder omfattet af forvaltningslovens § 1, stk. 1 og 2, kan straffes for overtrædelser af databeskyttelsesreglerne. Praktisk fungerer det i Danmark sådan, at Datatilsynet indstiller den dataansvarlige til en bøde, hvorefter politiet vurderer, om der skal rejses sigtelse.

Bøder på DKK 50.000 og DKK 100.000 til kommuner efter sikkerhedsbrud uden kryptering

Det første eksempel kom den 10. marts 2020, hvor Datatilsynet indstillede Hørsholm Kommune og Gladsaxe Kommune til bøder på henholdsvis DKK 50.000 og DKK 100.000. Begge sager handlede om tyveri af computere, som ikke var krypterede, men som indeholdt et stort antal personoplysninger, herunder både følsomme personoplysninger og CPR-numre. Datatilsynet fremhævede, at kryptering er en generel foranstaltning, og at manglende kryptering udgør en høj risiko for de registrerede, som tilmed ikke har haft mulighed for at fravælge kommunens behandling.

Tilsynet lagde desuden vægt på kommunernes størrelse henset til indbyggertal og driftsbevilling.

Særdeles følsomme personoplysninger – bøde på DKK 50.000

Det næste eksempel er fra den 30. juni 2020, hvor Datatilsynet indstillede Lejre Kommune til en bøde på DKK 50.000. Sagen drejede sig om, at en afdeling i kommunen efter sin faste praksis uploadede mødereferater, som indeholdt ”personoplysninger af særdeles følsom og beskyttelsesværdig karakter”, på kommunens medarbejderportal. På portalen kunne referaterne tilgås af en stor del af kommunens ansatte, selvom de ikke arbejdede med den type sager. Ved bødens udmåling lagde Datatilsynet vægt på overtrædelsens karakter, karakteren og mængden af de personoplysninger, der var omfattet af sikkerhedsbruddet, og kommunens størrelse henset til indbyggertal og driftsbevilling.

Barns opholdssted udleveret til far med frakendt forældremyndighed – bøde på DKK 50.000

Endelig indstillede Datatilsynet den 9. december 2020 Guldborgsund Kommune til en bøde på DKK 50.000. Ved en fejl havde kommunen i en afgørelse afgivet oplysninger om et barns opholdssted til barnets far, selvom han var frakendt forældremyndigheden. Desuden havde kommunen ikke anmeldt sikkerhedsbruddet til Datatilsynet eller behørigt underrettet forældremyndighedsindehaveren. Datatilsynet karakteriserede sikkerhedsbruddet som alvorligt og anførte, at det konkret havde store konsekvenser.

Særbehandling til offentlige myndigheder?

Efter indstillingen om bøderne til Hørsholm Kommune og Gladsaxe Kommune bragte en avis den 30. april 2020 artiklen ”Kommuner får særbehandling, når de bryder databeskyttelsesloven”. I kontrast til de relativt små bøder fremgik det af artiklen, at private virksomheder tidligere var blevet indstillet til bøder i millionklassen. Folketingets Retsudvalg bad ugen efter justitsministeren om at kommentere artiklen.

I sit svar til Folketingets Retsudvalg pegede Justitsministeriet blandt andet på, at den danske databeskyttelseslov indeholder klare forudsætninger om, at der er særlige forhold at tage hensyn til, når offentlige myndigheder idømmes bøder efter databeskyttelsesreglerne. Således kan man f.eks. tænke sig, at en privat daginstitution får en højere bøde end en kommunal, selvom overtrædelsen er den samme.

Hvad viser sagerne?

Datatilsynets praksis efterlever databeskyttelseslovens klare forudsætninger om, at der er særlige forhold, som der skal tages hensyn til, når offentlige myndigheder idømmes bøder for overtrædelse af databeskyttelsesreglerne.

Det fremgår således af forarbejderne, at der skal tages hensyn til offentlige myndigheders særlige situation. Den består blandt andet i, at de er pålagt lovbestemte opgaver, og at de ikke nødvendigvis eller uden videre kan standse en behandling for at bringe et ulovligt forhold til ophør. Desuden skal der efter forarbejderne lægges vægt på offentlige myndigheders forskellige karakter og rammevilkår, herunder at nogle myndigheders bevilling er bundet tæt op på myndighedernes lovbundne opgaver.

Desuden fremgår det af forarbejderne, at bødeloftet for offentlige myndigheder er markant lavere end den generelle bøderamme – nemlig op til 2 % af driftsbevillingen eller maksimalt DKK 8.000.000 for nogle overtrædelser eller op til 4 % af driftsbevillingen eller maksimalt DKK 16.000.000 for andre.

Fremtiden for GDPR-bøder til det offentlige

Den foreliggende praksis er forholdsvis sparsom, og det er endnu for tidligt at sige noget håndfast om, hvad bødeniveauet for offentlige myndigheder må forventes at blive. Det vil naturligvis også afhænge af de konkrete sager.

Et bud på en mulig nedre grænse, hvorunder forseelser kun vil blive mødt med kritik eller alvorlig kritik, kunne være DKK 50.000. Det skal ses i lyset af, at da Datatilsynet indstillede den private virksomhed JobTeam A/S til en bøde på DKK 50.000, tilkendegav tilsynet, at bøden ikke kunne være lavere, hvis forordningens grundlæggende krav om effektive og afskrækkende bøder skulle kunne overholdes.

Et argument imod højere bøder end de hidtidige kunne være, at bøderne da vil gå ud over myndighedernes drift og dermed komme borgerne til skade. I forlængelse af sagerne om Hørsholm Kommune og Gladsaxe Kommune tilkendegav Datatilsynets tilsynschef imidlertid, at bøderne efter hans opfattelse ikke var i nærheden af at forhindre kommunerne i at udføre deres lovbundne opgaver.

Det må således forventes, at offentlige myndigheder vil blive idømt bøder, der overstiger DKK 100.000. Det skyldes også, at de samme overtrædelser begået hos større kommuner eller andre typer myndigheder med højere driftsbevilling vil kunne resultere i højere bøder. Tilsvarende vil gælde overtrædelser af endnu alvorligere karakter og/eller af mere omfattende omfang.