DAEN

MENU

Første principielle landsretsdom om GDPR-bøder til offentlige myndigheder

Den 19. februar 2025 afsagde Østre Landsret den første dom vedrørende bødeberegning for en offentlig myndigheds overtrædelse af databeskyttelsesreglerne. Sagen handlede om en kommunes overtrædelse af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed efter et brud på persondatasikkerheden i den kommunale tandpleje. Sagens omdrejningspunkt var beregningen af bødens størrelse, herunder om det i bødeberegningen retligt set kan udgøre formildende omstændigheder, at der f.eks. var få personer, der konkret blev berørt af bruddet, at kommunen hurtigt rettede for sig, da sikkerhedsbruddet blev konstateret, eller kommunen ikke tidligere var straffet af relevans for sagen. Landsrettens dom er principiel og har betydning for bødeberegning i alle sager om overtrædelse af databeskyttelsreglerne, uanset om sagerne angår offentlige myndigheder eller private virksomheder.

Den 19. februar 2025 afsagde Østre Landsret den første dom vedrørende bødeberegning for en offentlig myndigheds overtrædelse af databeskyttelsesreglerne. Sagen handlede om en kommunes overtrædelse af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed efter et brud på persondatasikkerheden i den kommunale tandpleje. Sagens omdrejningspunkt var beregningen af bødens størrelse, herunder om det i bødeberegningen retligt set kan udgøre formildende omstændigheder, at der f.eks. var få personer, der konkret blev berørt af bruddet, at kommunen hurtigt rettede for sig, da sikkerhedsbruddet blev konstateret, eller kommunen ikke tidligere var straffet af relevans for sagen. Landsrettens dom er principiel og har betydning for bødeberegning i alle sager om overtrædelse af databeskyttelsreglerne, uanset om sagerne angår offentlige myndigheder eller private virksomheder.

SAGEN KORT FORTALT

En kommune anmeldte den 1. marts 2021 et brud på persondatasikkerheden til Datatilsynet. Bruddet var opstået i den kommunale tandplejes borgerrettede selvbetjeningsløsning, der havde til formål at give personer med forældremyndighed mulighed for at booke og se tider på deres børn.

Oprindeligt havde alene bopælsforældre oprindeligt adgang til bl.a. tandplejens breve. Kommunen udvidede efterfølgende adgangen til systemet til også at omfatte samværsforældre med fælles forældremyndighed.

Bruddet på persondatasikkerheden bestod i, at forældre i flere tilfælde kunne få adgang til oplysninger om bopælsforælderen og barnets adresse, selv om bopælsforælderen og barnet var registreret med navne- og adressebeskyttelse.

Der var dog ikke oplysninger om, at nogen faktisk havde udnyttet denne adgang. 

Kommunen blev politianmeldt af Datatilsynet med påstand om bøde på kr. 100.000,- for overtrædelse af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed.

For byretten blev sagen ført som en tilståelsessag. Omdrejningspunktet for sagen var derfor, hvordan bøden skulle beregnes, herunder hvilke formildende omstændigheder der skulle indgå i bødeudmålingen.

BØDER TIL OFFENTLIGE MYNDIGHEDER FOR OVERTRÆDELSE AF DATABESKYTTELSESREGLERNE

Offentlige myndigheder kan straffes med bøde for overtrædelser af databeskyttelsesreglerne. Det følger af databeskyttelseslovens § 41, stk. 6, 2. pkt.

Det fremgår af databeskyttelseslovens forarbejder, at det er hensigten, at bødeniveauet for overtrædelse af databeskyttelsesreglerne forhøjes væsentligt i forhold til niveauet under den dagældende persondatalov. 

For overtrædelser af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed er der dog i forarbejderne forudsat et bødeloft for offentlige myndigheder på 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kroner.

Samtidig med de lavere bødelofter, der forudsættes for offentlige myndigheder, forudsættes det dog også i forarbejderne, at forhøjelsen af bødeniveauet bliver lavere for offentlige myndigheder.

Databeskyttelsesforordningens artikel 83, stk. 2, 2. pkt., fastsætter, at der skal tages behørigt hensyn til en række nærmere opregnede formildende omstændigheder, når der træffes afgørelse om, hvorvidt der skal pålægges en bøde, og om bødes størrelse i hver enkelt sag. 

Det gælder f.eks. overtrædelsens karakter, alvor og varighed, antal berørte registrerede og den skade, som de har lidt. Det skal f.eks. også indgå, hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt, foranstaltninger der er truffet af den dataansvarlige for at begrænse skade, samt den dataansvarliges eventuelle tidligere relevante overtrædelser. Det fremgår af databeskyttelseslovens § 41, stk. 3, at databeskyttelsesforordningens artikel 83, stk. 2, skal følges ved pålæggelse af straf. 

BYRETTENS DOM

I byretten blev bøden ved dom af 16. august 2023 halveret, således at kommunen blev tilpligtet at betale kr. 50.000,- i sagen. 

Byretten anførte bl.a. følgende i sine præmisser: 

”Retten har ved fastsættelsen af bødens størrelse lagt vægt på de i databeskyttelsesforordningens art. 83, stk. 2, oplistede momenter, herunder at bruddet på persondatasikkerheden findes at have medført risiko for sikkerhedsbrud for maksimalt 56 registrerede personer, som alle af kommunen er blevet underrettet herom, og hvoraf alene tre registrerede personer har givet kommunen en tilbagemelding om, at de ikke fandt, at der herved var sket nogen skade, samt at de alle havde navne- og adressebeskyttelse af andre årsager end den pågældende anden forælders forhold. Der er herved også lagt vægt på, at sagens parter er enige om, at det ved afgørelsen lægges til grund, at ingen uberettigede personer faktisk har tilgået de beskyttede personoplysninger om navne- og adressebeskyttelse.

Retten har endvidere lagt vægt på, at overtrædelsen har fundet sted over en uafbrudt periode på knap 3 år, at [kommunen] meget hurtigt rettede for sig, da sikkerhedsbruddet blev konstateret, og at [kommunen] ikke er tidligere straffet af relevans for sagen.”

ØSTRE LANDSRETS DOM

Anklagemyndigheden ankede byrettens dom til Østre Landsret efter indstilling fra Datatilsynet med påstand om, at bøden skulle 

skærpes til de kr. 100.000,-. Kommunen valgte herefter at kontraanke med påstand om formildelse, subsidiært stadfæstelse. 

Det centrale omdrejningspunkt i sagen for landsretten var, hvorvidt det skulle betragtes som formildende omstændigheder, at der var få personer, der konkret blev berørt af bruddet, at kommunen hurtigt rettede for sig, da sikkerhedsbruddet blev konstateret, eller kommunen ikke tidligere var straffet af relevans for sagen. 

For landsretten fremlagde Anklagemyndigheden en ny supplerende indstilling fra Datatilsynet om bødeberegning i sagen. Det fremgik af indstillingen, at Datatilsynet ikke fandt, at disse forhold i særlig grad skulle betragtes som formildende omstændigheder. 

Datatilsynet mente derimod, at disse forhold alene måtte betragtes som neutrale forhold og som fravær af skærpende omstændigheder, da artikel 32 er et risikodelikt, og da overholdelse af reglerne er normen.

Anklagemyndigheden mente på den baggrund ikke, at de ovennævnte momenter kunne tælle med som formildende omstændigheder efter databeskyttelsesforordningens artikel 83, stk. 2, men at det alene kunne tælle med som neutrale omstændigheder og dermed ikke påvirke bødeberegningen i sagen. 

Kommunen gjorde heroverfor gældende, at disse forhold netop skulle tælle med som formildende omstændigheder og dermed reducere bødens størrelse.

I landsrettens dom af 19. februar 2025 anførte landsretten bl.a. følgende i sine præmisser: 

”Ved vedtagelsen af databeskyttelsesloven er tilsigtet en væsentlig skærpelse af det hidtidige bødeniveau efter den tidligere gældende persondatalov, og det fremgår bl.a. af lovens forarbejder, at bødeloftet for offentlige myndigheder er lavere end for private, hvorfor det også er forudsat, at forhøjelsen af bødeniveauet for offentlige myndigheder skal være lavere henset til offentlige myndigheders særlige situation, hvorefter de efter lovgivningen er pålagt at varetage lovbestemte opgaver, der ikke uden videre i alle tilfælde blot kan standses for derved at bringe en eventuel ulovlig tilstand til ophør. Det fremgår også, at der i hver enkelt sag skal tages behørigt hensyn til de oplistede hensyn i  databeskyttelsesforordningens artikel 83, stk. 2.

Landsretten har – som byretten – ved fastsættelse af bødens størrelse lagt vægt på bl.a. de hensyn, der fremgår af databeskyttelsesforordningens artikel 83, stk. 2, og tiltræder det af byretten anførte herom. Landsretten har endvidere efter artikel 83, stk. 2, lagt vægt på, at overtrædelsen er begået ved simpel uagtsomhed, at [kommunen] selv indberettede overtrædelsen og omfanget heraf til Datatilsynet, ligesom kommunen samarbejdede med tilsynet i den efterfølgende proces, at kommunen havde foretaget en forudgående risikovurdering, der imidlertid ikke identificerede overtrædelsen, og at kommunen som offentlig myndighed ikke har opnået økonomiske fordele eller undgået tab som følge af overtrædelsen. 

[…]

Landsretten tiltræder på denne baggrund og efter en samlet vurdering af sagens omstændigheder, at bøden passende kan fastsættes til 50.000 kr. Det anførte om sagsbehandlingstiden kan ikke føre til et andet resultat henset til sagens karakter og kompleksitet.”

Som det fremgår, stadfæstede landsretten byrettens dom, hvorefter kommunen skulle betale en bøde på kr. 50.000,- frem for de kr. 100.000,-, som Anklagemyndigheden havde påstået for landsretten.

VORES BEMÆRKNINGER

Dommen er principiel, fordi det er den første landsretsdom, der vedrører spørgsmålet om bødeberegningen for offentlige myndigheders overtrædelser af databeskyttelsreglerne. 

Landsrettens dom bekræfter, at der gælder et lavere bødeniveau for offentlige myndigheder. 

Det er også den første landsretsdom, der vedrører spørgsmålet om bødeberegning i en sag om et brud på persondatasikkerheden, dvs. ved overtrædelse af databeskyttelsesforordningens artikel 32 om behandlingssikkerhed, som er særdeles relevant i praksis.

Dommen bekræfter – i overensstemmelse med kommunens anbringender i sagen – at de formildende omstændigheder, der er opregnet i databeskyttelsesforordningens artikel 83, stk. 2, også skal indgå i beregningen af bødens størrelse i sager vedrørende overtrædelse af reglerne om behandlingssikkerhed i databeskyttelsesforordningens artikel 32.

Dommen er på dette principielle punkt også relevant i forhold til beregningen af bøder for private virksomheders overtrædelse af databeskyttelsesreglerne i lignende sager vedrørende utilstrækkelig behandlingssikkerhed.

Det bemærkes i øvrigt, at der for Vestre Landsret verserer en lignende sag vedrørende et brud på persondatasikkerheden i en anden kommune, som anvendte det samme selvbetjeningssystem. Sagen skal hovedforhandles i Vestre Landsret den 6. marts 2025, hvorefter der kort derefter må forventes dom i sagen.

Sagen blev ført af advokat, partner Martin Sønnersgaard i både byretten og landsretten.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.