GDPR-bøde på 2,5 mio. kr.

Skødesløs behandling af personoplysninger skal koste £ 275.000, vurderer det britiske datatilsyn, ICO.

Den første britiske bøde givet kun på baggrund af reglerne i databeskyttelsesforordningen (GDPR) er tildelt et britisk medicinudbringningsfirma, der udbringer medicin til plejehjem og privatpersoner. Virksomheden blev sanktioneret for ikke at overholde et af de grundlæggende principper i databeskyttelsesforordningen om at sikre integritet og fortrolighed for de personoplysninger, de behandlede.

Det britiske Datatilsyn har i forbindelse med sagen og tildeling af bøden udtalt, at virksomheden ”had taken a “cavalier” attitude to Data Protection” som på dansk kan oversættes til, at virksomheden havde en skødesløs tilgang til databeskyttelse.

Sagen kort

Den 24 juli 2018 foretog den britiske lægemiddelstyrelse en ransagning af virksomheden i forbindelse med styrelsens egne undersøgelser, hvorefter de orienterede det britiske datatilsyn (ICO) om deres observationer.

Det blev konstateret, at der i en gård i tilknytning til virksomheden, hvortil der også var adgang for de omkringliggende bygninger, var henstillet 47 ulåste kasser, 2 engangssække og en papkasse med i alt ca. 500.000 dokumenter, der indeholdt personoplysninger. Ved en nærmere gennemgang fandt man frem til, at dokumenterne indeholdt kontaktoplysninger, fødselsdato, NHS-nummer samt oplysninger om helbred og medicinforbrug.

Dokumenterne var ikke forsvarligt aflåst og var heller ikke markeret med ”fortroligt affald”. Med henvisning til dokumenternes tilstand, blev det lagt til grund, at dokumenterne måtte have stået udenfor i en længere periode.

ICO mente herefter, at der var grundlag for at undersøge, om der blev behandlet følsomme personoplysninger i strid med databeskyttelsesforordningen (GDPR). ICO kontaktede herefter virksomheden og udbad sig en række oplysninger i relation til virksomhedens behandling af personoplysninger. Virksomheden besvarede ikke ICOs henvendelser tilstrækkeligt, og der blev herefter indledt en sag, som har ført til en bøde på £ 275.000 samt et påbud om at tilpasse procedurer og træne medarbejdere i databeskyttelse.

Baggrund for bødens størrelse

Det britiske datatilsyn (ICO) har ved udmåling af bødens størrelse forholdt sig til GDPR artikel 83, stk. 2 med udgangspunkt i en række faktorer:

  • Fysisk opbevaring:  Den fysiske opbevaring var i strid med det grundlæggende princip i databeskyttelsesforordningens artikel 5, stk. 1 litra f om, at personoplysninger skal behandles, så der sikres integritet og fortrolighed, herunder beskyttelse mod hændeligt tab, tilintetgørelse eller beskadigelse. Dette sikres ved at anvende passende tekniske og organisatoriske foranstaltninger. De våde dokumenter udgjorde en sandsynlighed for, at dette ikke kunne sikres.
    Overtrædelse af de grundlæggende databeskyttelsesprincipper giver mulighed for at sanktionere efter forordningens artikel 83, stk. 5, som har et bødeniveau på op til 20.000.000 EUR eller 4% af den årlige globale omsætning, afhængig af hvilket beløb, der er størst.
  • Omfanget og kategorier af personoplysninger: Det store omfang af personoplysninger og det faktum, at der indgik oplysninger om bl.a. helbred, der udgør en følsom personoplysning, og at man ikke havde truffet de fornødne foranstaltninger førte ligeledes til, at virksomheden havde overtrådt artikel 24 om den dataansvarliges ansvar for at implementere passende foranstaltninger.
  • Manglende sikkerhed: Udover ovenstående var det ligeledes et brud på artikel 32, at der ikke var implementeret passende sikkerhedsforanstaltninger i forbindelse med behandlingen. Virksomheden kunne for relativt lave omkostninger have implementeret sikkerhed i form af makulering eller sikret, at området for opbevaringen var sikret.
  • Oplysningspligt: Virksomheden kunne ikke dokumentere, at de registrerede var blevet oplyst om behandlingen af personoplysninger, og det udgjorde derfor et brud på forordningens artikel 13 og 14, som også kan sanktioneres efter artikel 83, stk. 5.
  • Manglende dokumentation: Virksomheden kunne ikke dokumentere, at der var udarbejdet fortegnelser over behandlingsaktiviteter, som det er pålagt efter artikel 30.
  • Manglende implementering af procedurer:  ICO fik tilsendt procedurer, som havde karakter af at være standardskabeloner fra en brancheorganisation, og de var ikke tilstrækkeligt implementeret. Derfor kunne de ikke anvendes som dokumentation for, at virksomheden havde implementeret passende foranstaltninger.
  • Manglende samarbejde: Til trods for ICOs gentagne henvendelser og opfordringer til at fremkomme med det efterspurgte materiale, var virksomheden ikke samarbejdsvillig. Virksomheden påberåbte sig selvinkrimineringsforbuddet under henvisning til den efterforskning, som den britiske lægemiddelstyrelse var i gang med.

Bøde og påbud

I forlængelse af bøden udstedte ICO samtidig et påbud til virksomheden om inden for en periode på 6 måneder at gennemføre undervisning eller træning af medarbejderne med det formål at sikre, at alle medarbejdere var orienterede om virksomhedens retningslinjer for databeskyttelse. Påbuddet indeholdt derudover en forpligtelse til mindst hvert 2. år at genopfriske sådan træning.

Endeligt skulle virksomheden inden for 3 måneder opdatere samtlige databeskyttelsespolitikker og procedurer, herunder opdatere sine persondatapolitikker både internt og eksternt i forhold til deres kunder til efterlevelse af reglerne om oplysningspligt til de registrerede.

Vælger virksomheden ikke at overholde påbuddet, kan der sanktioneres yderligere i form af endnu en bøde.

Konsekvenser og perspektiver

Afgørelsen er med danske briller yderst relevant, særligt fordi det grundlag bøden er givet på baggrund af også finder anvendelse i Danmark og på danske forhold. De konklusioner, det britiske datatilsyn kommer frem til på baggrund af GDPR, må man derfor have en formodning for, at det danske Datatilsyn tilsvarende vil kunne lægge til grund i lignende sager herhjemme.

Sagen her omhandler alene fysiske personoplysninger i form af dokumenter opbevaret i en gård. Dermed er det et eksempel på, hvordan fysisk opbevaring kan udgøre et brud på persondatasikkerheden – her som følge af, at sikkerheden omkring den fysiske opbevaring ganske enkelt ikke var tilstede og derfor udgjorde en risiko for, at uvedkommende kunne få adgang til oplysningerne.

Sagen er samtidig et bevis på, at selvom vi lever i en digitale tidsalder, og vores databehandling bliver mere og mere digitaliseret, så må man ikke glemme, at den fysiske håndtering af personoplysninger er mindst lige så vigtig at have styr på og kunne dokumentere sin ansvarlighed omkring.

Afgørelsen sætter altså en tyk streg under, at hvis den dataansvarlige virksomhed ikke kan dokumentere, hvordan de behandler og opbevarer personoplysninger eller dokumenterer, samt hvilke fornødne foranstaltninger man med en risikobaseret tilgang har implementeret for at sikre korrekt behandling af personoplysninger – så bliver der sanktioneret efter reglerne i GDPR i dette tilfælde en ikke ubetydelig bøde på £ 275.000 omregnet til ca. 2,5 mio. kr.

Afgørelsen fra ICO kan læses her.

Brug for rådgivning?

Kielberg Advokater har stor erfaring med rådgivning inden for databeskyttelse. Det kommer vores klienter til gode, når vores team for IT- og databeskyttelse tilbyder højtspecialiseret rådgivning om databeskyttelse, både i den private og offentlige sektor.

Vi kan være på sidelinjen, hvis du som dataansvarlig har brug for sparring i forhold til implementering af foranstaltninger til efterlevelse af databeskyttelsesreglerne, eller hvis du har brug for rådgivning om din retstilling i forhold til tilsynsbesøg eller anden henvendelse om behandling af personoplysninger