Lejre Kommune har som den første offentlige myndighed i Danmark fået en GDPR-bøde på 50.000 kroner af Retten i Roskilde, skriver Datatilsynet på sin hjemmeside.
Tilsynsmyndigheden indstillede Lejre til samme beløb i sommeren 2020, efter kommunen havde brudt med GDPR ved at give en bred vifte af medarbejdere adgang til ‘personoplysninger af særdeles følsom og beskyttelsesværdig karakter’ på blandt andet børn.
Det var fast praksis, at man lagde mødereferater med persondataen op på kommunens medarbejderportal, hvor ansatte uden tilknytning til sagerne kunne tilgå oplysningerne. Det blev ikke logget, hvem der så oplysningerne, og derfor levede kommunens sikkerhed omkring den følsomme data ikke op til kravene i GDPR, mener Datatilsynet.
Tilsynet uddyber, at kravet om, at offentlige myndigheder skal beskytte borgeres følsomme data, rækker længere tilbage end forordningen, som trådte i kraft den 25. maj 2018.
»Lejre Kommune havde erkendt forholdet. Retten lagde ved sin udmåling særlig vægt på omfanget og karakteren af de følsomme personoplysninger, samt på antallet af personer, som havde haft uberettiget adgang til oplysningerne over en længere periode,« skriver Datatilsynet.
Dommen faldt den 9. marts 2022.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
