Østre Landsret har stadfæstet en byretsbøde på 50.000 kr. til en kommune for overtrædelse af GDPR artikel 32 om behandlingssikkerhed. Afgørelsen er principiel, fordi den som den første fra en landsret fastlægger rammerne for bødeudmåling over for offentlige myndigheder ved sikkerhedsbrud. Landsretten bekræfter, at de formildende momenter i GDPR artikel 83, stk. 2, skal indgå konkret i udmålingen, også når overtrædelsen angår et risikobaseret krav som artikel 32.
Sagens baggrund
Sagen udsprang af et kommunalt IT‑brud i en borgerrettet selvbetjeningsløsning i tandplejen. Systemet gav i visse tilfælde samværsforældre med fælles forældremyndighed adgang til oplysninger om bopælsforælderens og barnets adresse, selv om de var registreret med navne- og adressebeskyttelse. Kommunen anmeldte bruddet til Datatilsynet. Der var ikke oplysninger om, at uberettigede faktisk havde gjort brug af adgangen.
Datatilsynet politianmeldte kommunen med påstand om en bøde på 100.000 kr. for overtrædelse af artikel 32. Byretten halverede bøden til 50.000 kr. med henvisning til bl.a. det begrænsede antal potentielt berørte registrerede, hurtig afhjælpning, underretning af de berørte og fravær af dokumenteret skade. Samtidig lagde retten vægt på, at overtrædelsen havde strakt sig over en længere periode.
Byrettens og landsrettens vurdering
Anklagemyndigheden ankede med påstand om skærpelse til 100.000 kr. og gjorde – understøttet af en indstilling fra Datatilsynet – gældende, at forhold som få berørte personer, hurtig udbedring og manglende tidligere overtrædelser højst er neutrale og ikke formildende, fordi overholdelse er normen i et risikodelikt. Kommunen nedlagde påstand om formildelse eller stadfæstelse.
Landsretten tiltrådte byrettens tilgang og anvendte udtrykkeligt artikel 83, stk. 2, som norm for udmålingen. Retten lagde vægt på, at overtrædelsen beror på simpel uagtsomhed, at kommunen selv anmeldte og samarbejdede med tilsynet, at der forelå en forudgående – om end utilstrækkelig – risikovurdering, samt at myndigheden ikke opnåede økonomisk gevinst. Den længere varighed talte imod, men samlet fandtes 50.000 kr. passende. Sagsbehandlingstiden ændrede ikke resultatet.
Retlige rammer og betydning
Efter databeskyttelsesloven § 41, stk. 6, kan offentlige myndigheder straffes med bøde for overtrædelser af databeskyttelsesreglerne. Lovforarbejderne forudsætter et lavere bødeniveau for det offentlige og – for artikel 32-overtrædelser – et bødeloft knyttet til driftsbevillingen med et maksimumbeløb. Samtidig kræver artikel 83, stk. 2, en helhedsbedømmelse af bl.a. karakter, alvor, varighed, antal berørte, skade, skyldgrad, afværgeforanstaltninger og tidligere overtrædelser.
Dommen markerer, at formildende momenter ikke blot er “neutrale”, men kan nedsætte bøden i sager om behandlingssikkerhed. Den giver dermed pejlemærker for myndigheder og private dataansvarlige: dokumenteret risikovurdering, rettidig anmeldelse, samarbejde og effektiv afhjælpning kan få vægt i udmålingen, mens lang varighed og utilstrækkelige kontroller trækker op. En lignende sag verserer ved Vestre Landsret, hvor der snarligt forventes dom, hvilket kan yderligere konsolidere praksis.
