Dom
D O M
afsagt den 27. marts 2025 af Vestre Landsrets 5. afdeling (dommerne Annette Nørby, Henrik Estrup og Thomas Trapp-Nielsen (kst.)) i ankesag
V.L. S – 0715 – 24
Anklagemyndigheden
mod
Vejle Kommune
(advokat Dan Bjerg Geary, Aarhus)
Retten i Kolding har den 26. marts 2024 afsagt dom i 1. instans (rettens nr. 1-5406/2023).
Påstande
Anklagemyndigheden har påstået skærpelse.
Vejle Kommune har påstået frifindelse, subsidiært formildelse.
Supplerende oplysninger
Den afgørelse fra Datatilsynet af 21. maj 2021, der er omtalt i byrettens dom, og hvor til-synet udtalte alvorlig kritik af Vejle Kommune, vedrørte bl.a. videregivelse af beskyttede adresseoplysninger. Vejle Kommune havde den 24. august 2018 indberettet til Datatilsy-net, at der var sket et brud på persondatasikkerheden samme dag. Dette brud på personda-tasikkerheden skete ikke i tandplejen.
Datatilsynet har til brug for ankesagen afgivet udtalelser af 17. januar og 27. februar 2025.
- 2 -
Vejle Kommune har fremlagt en række nye bilag, herunder TK2 Administratormanual og Brugervejledning, begge fra 2017, og tre mails fra maj 2018 med link til Awareness- lektioner, hvor medarbejdere i Vejle Kommune kunne få undervisning i de gældende regler efter databeskyttelsesforordningen.
Landsrettens begrundelse og resultat
Skyldsspørgsmålet:
Vejle Kommune har erkendt, at der den 13. september 2018 skete et sikkerhedsbrud. Den rejste tiltale angår imidlertid ikke sikkerhedsbrud, men overtrædelse af databeskyttelses-forordningens artikel 32. Databeskyttelsesforordningens artikel 32 angår behandlingssik-kerhed og stiller krav om, at den dataansvarlige skal gennemføre passende tekniske og or-ganisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau. Vejle Kom-mune kan ikke erkende at have overtrådt forordningens artikel 32 og har på den baggrund påstået frifindelse.
Ifølge pkt. 3.1. i Datatilsynets, Justitsministeriets og Digitaliseringsstyrelsens vejledning fra juni 2018 med titlen ”Behandlingssikkerhed Databeskyttelse gennem design og stan-dardindstillinger ” medfører et sikkerhedsbrud ikke nødvendigvis, at databeskyttelsesfor-ordningens regler, her artikel 32, er tilsidesat, hvis det i øvrigt vurderes, at den pågældende virksomhed eller myndighed har opretholdt et passende sikkerhedsniveau.
Landsretten tiltræder af de grunde, som byretten bl.a. med henvisning til databeskyttelses-forordningens artikel 32, stk. 1, litra d, har anført, at Vejle Kommune ikke har sikret et passende sikkerhedsniveau med henblik på at forhindre, at beskyttede adresseoplysninger blev videregivet.
Gerningsperioden som angivet i anklageskriftet er i byrettens dom begrænset til at angå perioden fra juli 2018 til 9. januar 2019. Denne begrænsning af gerningsperioden har an-klagemyndigheden ved for landsretten alene at påstå skærpelse tilsluttet sig.
Der er rejst tiltale for ”i flere tilfælde ” at have videregivet beskyttede adresseoplysninger.
- 3 -
Det kan efter bevisførelsen, herunder Vejle Kommunes notat af 26. september 2019, læg-ges til grund, at kommunens tandpleje – ud over det sikkerhedsbrud, der skete den 13. sep-tember 2018 – fire gange tidligere har sendt breve til borgere med oplysning om en anden borgers beskyttede adresse. De fire tilfælde ligger imidlertid forud for den nævnte ger-ningsperiode, og det kan derfor, som tiltalen er rejst, alene lægges til grund, at overtrædel-sen af databeskyttelsesforordningens artikel 32 har medført, at der er sket videregivelse af beskyttede adresseoplysninger af relevans for den rejste tiltale i ét tilfælde. Det bemærkes i den forbindelse, at det brud på persondatasikkerheden, der skete den 24. august 2018, og som er omtalt ovenfor, ikke skete i tandplejen.
Med den begrænsning, der ligger heri, tiltrædes det, at Vejle Kommune er fundet skyldig som sket.
Strafudmålingen:
Straffen for Vejle Kommunes overtrædelse af databeskyttelsesforordningens artikel 32 fastsættes i medfør af databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 6, og skal ifølge lovens § 41, stk. 3, jf. forordningens artikel 83, stk. 2, ske under behørigt hensyn til de om-stændigheder, der er anført i forordningens artikel 83, stk. 2, litra a – k. Bøden skal efter forordningens art. 83, stk. 9, under alle omstændigheder være effektiv, stå i rimeligt for-hold til overtrædelsen og have afskrækkende virkning. Herudover følger det af straffelo-vens §§ 80 ff., at der ved straffens fastsættelse skal eller kan lægges vægt på de omstæn-digheder, der er anført i bestemmelserne.
Der er ved vedtagelsen af databeskyttelsesloven tilsigtet en væsentlig skærpelse af det hid-tidige bødeniveau efter den tidligere gældende persondatalov, og det fremgår af lovens forarbejder bl.a., at bødeloftet for offentlige myndigheder er lavere end for private, hvorfor det også er forudsat, at forhøjelsen af bødeniveauet for offentlige myndigheder skal være lavere henset til offentlige myndigheders særlige situation, hvorefter de efter lovgivningen er pålagt at varetage lovbestemte opgaver, der ikke uden videre i alle tilfælde blot kan standses for derved at bringe en eventuel ulovlig tilstand til ophør.
Landsretten lægger ved fastsættelsen af bøden på den ene side vægt på, at overtrædelsen – henset til oplysningernes karakter og de mulige konsekvenser af et eventuelt sikkerheds-
- 4 -
brud – må betegnes som alvorlig, men at der på den anden side alene er sket videregivelse af beskyttede adresseoplysninger i ét tilfælde.
Landsretten lægger endvidere vægt på, at Vejle Kommune selv indberettede det skete til Datatilsynet, og at kommunen efterfølgende har udført relevante bestræbelser på at rette op på forholdene.
Ved vurderingen af den udviste uagtsomhed lægger landsretten vægt på, at risikoen for videregivelse af beskyttede adresseoplysninger uden større tiltag kunne have været reduce-ret, og at både henvendelsen fra en borger til Vejle Kommunes Tandpleje i juli 2018 og sikkerhedsbruddet den 24. august 2018, som Vejle Kommune samme dag indberettede til Datatilsynet, burde have skærpet kommunens agtpågivenhed i forhold til behandlingen af beskyttede adresseoplysninger.
Efter en samlet vurdering af sagens omstændigheder, og under hensyn til den tid, der er forløbet, siden forholdet blev begået, kan den bøde, som Vejle Kommune skal betale, pas-sende fastsættes til 100.000 kr.
Med de anførte ændringer stadfæster landsretten dommen.
T h i k e n d e s f o r r e t:
Byrettens dom stadfæstes med den ændring, at bøden forhøjes til 100.000 kr.
Vejle Kommune skal betale sagens omkostninger for landsretten.
Annette NørbyHenrik Estrup Thomas Trapp-Nielsen
(kst.)
- 5 -