Gå til indhold
Tilbage til søgning

Tiltale for overtrædelse af databeskyttelsesforordningens artikel 32, stk. 1

Retten i SvendborgStraffesag1. instans12. november 2024
Sagsnr.: 1576/24Retssagsnr.: SS-640/2024-SVE

Sagens oplysninger

Afgørelsesstatus
Afgørelse truffet
Faggruppe
Straffesag
Ret
Retten i Svendborg
Rettens sagsnummer
SS-640/2024-SVE
Sagstype
Bødesag
Instans
1. instans
Domsdatabasens sagsnummer
1576/24
Sagsemner
SærlovDatabeskyttelseEfterforskning og straffeproces
Sagsdeltagere
PartAnklagemyndigheden

Dom

RETTEN I SVENDBORG

Udskrift af dombogen

D O M

afsagt den 12. november 2024

Rettens nr. R7-640/2024

Politiets nr. 2300-84266-00023-21

Anklagemyndigheden

mod

Tiltalte ApS

CVR nr.

Anklageskrift er modtaget den 26. marts 2024.

Tiltalte ApS er tiltalt for overtrædelse af

databeskyttelsesforordningens artikel 32 stk. 1, jfr. databeskyttelseslo-vens § 41 stk. 1 nr. 1, jfr. stk. 3, jfr. stk. 6, jfr. databeskyttelsesforord-ningens* artikel 83 stk. 2 og stk. 4 litra a, jfr. stk. 9

ved i en periode fra d. 25. maj 2018 til d. 12. august 2020 – som databehand-ler for Virksomhed ApS – ikke at have efterlevet sin forpligtel-se til at gennemføre passende sikkerhedsforanstaltninger, der kunne sikre en tilstrækkelig høj grad af sikkerhed for de registrerede, ¹idet tiltalte ikke havde sikret, at den sikkerhedskopi, der blev taget af de personoplysninger, herun-der helbredsoplysninger, der blev behandlet for Virksomhed ApS, var i en stand, der kunne anvendes til at genoprette adgangen til perso-noplysningerne, idet sikkerhedskopien var låst med en nøgle som tiltalte ikke havde sikret, hvilket medførte at da udefrakommende den 12. august 2020 blandt andet krypterede Virksomhed ApS' journalsystem, kun-ne personoplysningerne ikke gendannes ud fra sikkerhedskopien og var der-med ikke længere tilgængelige, og ²idet tiltalte ikke havde etableret en proce-dure for regelmæssig afprøvning, vurdering og evaluering af muligheden for at anvende den udfærdigede sikkerhedskopi til at genoprette adgangen til de behandlede personoplysninger, hvilket havde den følge, at det ikke blev af-dækket, at der manglende en nøgle til sikkerhedskopien.

* Europaparlamentets og Rådets forordning (EU) nr. 679/2016 om beskyt-telse af fysiske personer i forbindelse med behandling af personoplysninger m.v.

Påstande

Std 75271

side 2

Anklagemyndigheden har nedlagt påstand om bødestraf.

Tiltalte har nægtet sig skyldig.

Sagens oplysninger

Der er afgivet forklaring af tiltalte ved direktør Vidne 1 og af Vidne 2.

Forklaringerne er lydoptaget og gengives ikke i dommen.

Tiltalte er ikke tidligere straffet

Rettens begrundelse og afgørelse

Det lægges efter Vidne 2's forklaring, og som ubestridt af det tiltalte selskab, til grund, at Virksomhed ApS den 12. au-gust 2020 var udsat for et ransomwareangreb, hvorved selskabets system var låst, og at det tiltalte selskab ikke kunne skaffe adgang til den tagne sikker-hedskopi og dermed genoprette adgangen til de behandlede personoplysnin-ger.

Det fremgår af den mellem Virksomhed ApS og det tiltalte selskab indgåede udaterede databehandleraftale, pkt. 2.4, at det tiltalte selskab, som databehandler, blandt andet har påtaget sig forpligtelsen til at sikre Virksomhed ApS' evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse og til at etablere en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Vidnet har videre forklaret, at han som direktør for Virksomhed ApS ikke er bekendt med, at Virksomhed ApS skulle være i besiddelse af en nøgle til sikkerhedskopien.

Direktør Vidne 1 har forklaret, at det tiltalte selskab ikke har etableret en procedure for afprøvning, vurdering og evaluering af muligheden for at anvende sikkerhedskopien til at genoprette adgangen til de behandlede oplysninger.

Uanset om det i overensstemmelse med Vidne 1's forklaring måtte lægges til grund, at det er kunden selv, der opretter koden ved installation af systemet og i forbindelse med installationen vejledes om, at kunden har ansvaret for at være i besiddelse af koden, som det tiltalte selskab ikke er i besiddelse af, har det tiltalte selskab således ikke sikret sig, at Virksomhed ApS var i besiddelse af nøglen og dermed havde evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysningerne på backuppen. At det af forhandleraftalens appendix 4 fremgår, at kunden selv er ansvarlig for opsætning af systemer og den

side 3

software og kode, som anvendes, kan derfor ikke føre til andet resultat. Som følge af det anførte findes det tiltalte selskab skyldig i overensstemmelse med den rejste tiltale.

Straffen fastsættes til en bøde på 40.000 kr., jf.

databeskyttelsesforordningens artikel 32 stk. 1, jfr. databeskyttelseslovens § 41 stk. 1 nr. 1, jfr. stk. 3, jfr. stk. 6, jfr. databeskyttelsesforordningens artikel 83 stk. 2 og stk. 4 litra a, jfr. stk. 9.

Retten har ved fastsættelsen af bøden blandt andet lagt vægt på karakteren af lovovertrædelsen, antallet af berørte, risikoen for skadevirkning og kategorien af de oplysninger overtrædelsen omhandler, samt det oplyste om den tiltalte virksomheds størrelse, jf. de i databeskyttelsesforordningens art. 83, stk. 2 og 4, litra a) nævnte hensyn. Retten har videre lagt vægt på den tid, der er forløbet siden forholdet blev begået og den af anklagemyndigheden nedlagte bødepåstand.

Thi kendes for ret:

Tiltalte ApS skal betale en bøde på 40.000 kr.

Tiltalte skal betale sagens omkostninger.

Dommer

Øvrige sagsoplysninger

Dørlukning
Nej
Løftet ud af den forenklede proces
Nej
Anerkendelsespåstand
Nej
Politiets journalnummer
2300-84266-00023-21
Påstandsbeløb
Se på domsdatabasen.dk