Første danske myndighed får GDPR-bøde: Lejre Kommune skal betale 50.000 kroner
Lejre Kommune har som den første offentlige myndighed i Danmark fået en GDPR-bøde på 50.000 kroner af Retten i Roskilde, skriver Datatilsynet på sin hjemmeside.
Tilsynsmyndigheden indstillede Lejre til samme beløb i sommeren 2020, efter kommunen havde brudt med GDPR ved at give en bred vifte af medarbejdere adgang til ‘personoplysninger af særdeles følsom og beskyttelsesværdig karakter’ på blandt andet børn.
Det var fast praksis, at man lagde mødereferater med persondataen op på kommunens medarbejderportal, hvor ansatte uden tilknytning til sagerne kunne tilgå oplysningerne. Det blev ikke logget, hvem der så oplysningerne, og derfor levede kommunens sikkerhed omkring den følsomme data ikke op til kravene i GDPR, mener Datatilsynet.
Tilsynet uddyber, at kravet om, at offentlige myndigheder skal beskytte borgeres følsomme data, rækker længere tilbage end forordningen, som trådte i kraft den 25. maj 2018.
»Lejre Kommune havde erkendt forholdet. Retten lagde ved sin udmåling særlig vægt på omfanget og karakteren af de følsomme personoplysninger, samt på antallet af personer, som havde haft uberettiget adgang til oplysningerne over en længere periode,« skriver Datatilsynet.
Dommen faldt den 9. marts 2022.
