Dom
Retten i Kolding
D O M
afsagt den 26. marts 2024
Rettens nr. 1-5406/2023
Politiets nr. 3700-84266-00009-21
Anklagemyndigheden
mod
Vejle Kommune
cvr-nummer 29189900
Anklageskrift er modtaget den 26. juni 2023.
Vejle Kommune er tiltalt for overtrædelse af
databeskyttelseslovens § 41, stk. 1, nr. l, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningen artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, jf. artikel 32, stk. 1,
ved i en periode fra den 25. maj 2018 til den 9. januar 2019 ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre tekniske og organisatoriske foranstaltninger, for at sikre et tilstrækkeligt højt sikkerhedsniveau, idet Vejle Kommune, Skolegade 1 i Vejle via en automa-tiseret proces for fremsendelse af velkomstbreve i tandplejen, udsendte breve til begge forældremyndighedsindehavere indeholdende begge foræl-dres adresser, uden i det enkelte tilfælde at vurdere, hvorvidt de pågældende oplysninger måtte videregives til den anden forælder, hvilket medførte, at
der iflere tilfælde blev videregivet oplysninger om den ene forælders
adresse, uagtet at denne havde navne-og adressebeskyttelse, til den anden forælder.
Påstande
Anklagemyndigheden har nedlagt påstand om bøde på 200.000 kr.
Vejle kommune har erkendt et brud på persondatasikkerheden, men har nægtet sig skyldig i overtrædelse af databeskyttelesforordningens artikel 83. Kommunen har subsidiært nedlagt påstand om bødebortfald, således at kommunen tildeles en advarsel.
Sagens oplysninger
Vejlekommune anmeldte den 10. januar 2019 et brud på
persondatasikkerheden til Datatilsynet. Det fremgår af sagen, at en mor og
hendesdatter på 10 år havde taget ophold på et krisecenter under
adressebeskyttelse; efter det oplyste fordi barnets far havde udvist en adfærd
Std 75271
side 2
over for dem, der muligt udgjorde en risiko for dem.
Den 13. september 2018 sendte den kommunale tandpleje i Vejle kommune via e-boks et velkomstbrev stilet til begge forældre. Det skete efter det oplyste, fordi forældrene på det tidspunkt havde fælles forældremyndighed over barnet. Brevet indeholdt oplysning om den beskyttede adresse på krisecenteret, hvor moderen og barnet opholdt sig.
Den 26. september 2018 sendte tandplejen en indkaldelse til tandeftersyn for barnet med mødetid den 10. oktober 2018 Der fremgik efter det oplyste ingen adresse af dette brev. Mor og barn mødte den 10. oktober til eftersynet i tandplejen.
Den 7. januar 2019 kontaktede krisecenteret tandplejen med oplysning om, at den beskyttede adresse var kompromitteret.
I forbindelse med Vejle kommunes udredning af sagen, konstaterede kommunen, at faderen i den mellemliggende periode var blevet frakendt forældremyndigheden i sit hjemland, men at denne oplysning ikke var tilgået Vejle kommune. Denne oplysning blev straks noteret i TK2.
Datatilsynet sendte en høring den 6. august 2019, hvori tilsynet anmodede Vejle kommune om oplysninger om, hvorvidt denne fejl var sket flere gange op til den 9. januar 2019.
Vejle kommune igangsatte en undersøgelse, der viste, at der via IT- systemet TK2 siden 1. september 2017 automatisk var udsendt breve til begge forældre, og at der i perioden var fundet fire breve sendt til forældre med fælles forældremyndighed, som havde forskellige adresser, og hvor den ene eller begge forældre havde beskyttet adresse. Brevene var udsendt den 16. januar 2018 (to breve), den 12. marts 2018 og den 28. juni 2018. I et af disse fire tilfælde var der i juli 2018 registreret en telefonisk henvendelse til tandplejen med oplysning om, at det var problematisk, at den anden forældre var blevet gjort bekendt med den beskyttede adresse. En sekretær ved Vejle kommunes tandpleje havde i dette tilfælde telefonisk beklaget det skete, men ledelsen i tandplejen blev ikke informeret om henvendelsen.
Det er oplyst, at ledelsen i tandplejen over for medarbejderne har indskærpet, at det er afgørende vigtigt løbende at opretholde en passende opmærksomhed på behandlingen af borgernes personoplysninger, ligesom der er sat særlig fokus på den skriftlige kommunikation med borgere med beskyttet adresse. Adresseoplysningerne fremgår således ikke længere af generelle breve fra tandplejen, som sendes til begge forældre med fælles forældremyndighed, men med forskellige adresser.
Det er desuden oplyst, at det på gerningstidspunktet teknisk var muligt under adresseoplysningerne at afkrydse, om adressen var beskyttet, ligesom det
side 3
under punktet "familieforhold"var muligt ud for hver af forældrene at markere, om de havde forældremyndighed over barnet.
Forklaringer
Person har forklaret, at han er Stilling i Vejle kommune, hvor han har været ansat siden april 2020. Vejle kommune indberettede et databrud den 10. januar 2019. Han har kun kendskab til sagen via sagens akter. På baggrund af en ældre afgørelse; han ved ikke hvilken, begyndte kommunen at sende meddelelser til begge forældre om deres fælles børn. Meddelelserne blev sendt via et fælles kommunalt system; TK2. Han kender ikke noget til systemet. Han tør ikke sige, hvordan kommunen udsendte meddelelser i 2019. Kommunen blev opmærksom på databruddet via en tilkendegivelse fra en person. Da man blev opmærksom på problemet, fjernede man adresserne på de breve, der blev sendt ud, ligesom man øgede opmærksomheden for borgere med beskyttede navne og adresser. Han ved ikke, hvordan det skete i tandplejen. Han ved ikke, om brevene blev automatisk genereret. Han ved ikke, om der havde været lignende fortilfælde, da kommunen blev gjort opmærksom på databruddet. Han er ikke bekendt med efterfølgende overtrædelser af artikel 32 i Vejle kommune. De anmeldte databruddet umiddelbart efter. Han er sikker på at de overholdt 72 timers reglen.
Der er 120.000 borgere i Vejle kommune. Ikke alle har e-boks og nogle borgere er fritaget for digital post, så der er behov for adresseoplysninger. Vejle kommune er en decentral kommune, og mange beslutninger bliver truffet decentralt, men med central styring. Vejle kommune bruger mange forskellige IT-systemer; hans gæt er mere end 200. Vejle kommune arbejder meget målrettet med GPDR. De har GPDR ambassadører i hver enkelt afdeling. De har desuden et IT-sikkerhedsudvalg, som behandler problemstillinger på tværs og af kommunen skyder det op i direktionen. Dog ved han ikke, om disse tiltag var iværksat i gerningsperioden. De prioriterer området højt. Der har været for nylig været tilsyn fra Datatilsynet, og kommunen gik glat igennem.
Tidligere afgørelser
Datatilsynet har ved tidligere afgørelser af 21. maj 2021 og 3. februar 2022 udtalt alvorlig kritik af Vejle kommunes behandling af personoplysninger. Forseelserne er begået fra august 2018 til juni 2021. Datatilsynet har i begge tilfælde vurderet, at behandlingen af oplysningerne ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Rettens begrundelse og afgørelse
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den
side 4
dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personeres rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Det følger endvidere af forordningens artikel 32, stk. 1 litra d, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal gennemføre en procedure for regelmæssig afprøvning vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Retten lægger efter bevisførelsen til grund, at det på gerningstidspunktet teknisk var muligt i det elektroniske patientjournalsystem TK2 i Vejle kommunes tandpleje i et særskilt felt i patientens stamkort at markere, at adressen var beskyttet. Det er uoplyst under sagen, hvad der var årsagen til, at tandplejen trods denne tekniske mulighed, alligevel har videregivet den beskyttede adresse til faderen.
Retten finder på den baggrund, at Vejle kommune, i hvert fald i perioden fra juli 2018 til 9. januar 2019, ikke har udført passende kontrol af indholdet i de fremsendte velkomstbreve med henblik på at undgå utilsigtede videregivelse af beskyttede adresseoplysninger, ligesom kommunen ikke har foretaget opmærksomhedsskabende tiltag for de ansatte vedrørende reglerne for behandling af personoplysninger om adressebeskyttelse. Retten har herved lagt vægt på, at en sekretær i tandplejen allerede i juli 2018 blev informeret om, at den anden forældre var blevet gjort bekendt med den beskyttede adresse, uden at denne henvendelse tilgik ledelsen og medførte ændrede procedurer. Ved et sådant tiltag kunne sikkerhedsbruddet den 13. september 2018 have været undgået.
På den baggrund finder retten det bevist, at tiltalte er skyldig i tiltalen.
Straffen fastsættes til en bøde på 50.000 kr., jf. databeskyttelseslovens § 41, stk. 1, nr. l, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningen artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9, jf. artikel 32, stk. 1.
Retten har ved fastsættelse af bødens størrelse i skærpende retning lagt vægt på, at at det kan være forbundet med store konsekvenser for de registrerede, når deres beskyttede adresser eller andet opholdssted som f.eks. navnet på et krisecenter utilsigtet bliver videregivet til den person, de prøver at skjule sig
allerede har gennemført betydelige organisatoriske og tekniske
side 5
foranstaltninger for at undgå utilsigtet videregivelse af beskyttede adresser.
Thi kendes for ret:
Tiltalte, Vejle Kommune, skal betale en bøde på 50.000 kr.
Tiltalte skal betale sagens omkostninger.
Dommer