Første større bøde for brud på data­beskyt­telses­for­ordningen

Det portugisiske datatilsyn har udstedt en bøde på EUR 400.000 for brud på databeskyttelsesforordningen til et offentligt portugisisk hospital, hvor både læger og personer uden medicinsk baggrund havde adgang til patienters kliniske data.

Det portugisiske datatilsyn fandt, at der havde været følgende brud på databeskyttelsesforordningen:

 

  • Overtrædelse af principperne om fortrolighed og integritet.
  • Overtrædelse af princippet om dataminimering.
  • Manglende evne til at sikre fortrolighed og integritet af den behandlede data.

 

De to første overtrædelser medførte hver en bøde på EUR 150.000 pr. overtrædelse svarende til ca. DKK 1.119.000 pr. overtrædelse. Den sidste overtrædelse medførte en bøde på EUR 100.000, svarende til ca. DKK 746.000. 

Det portugisiske datatilsyn foretog en undersøgelse af hospitalet, der viste, at hospitalets IT-system var utilstrækkeligt. Hospitalet havde bl.a. registreret 985 brugere som læger, selvom der kun var 296 læger ansat på hospitalet. Yderligere havde lægerne fuld adgang til alle patienters kliniske data, uanset lægernes medicinske speciale. Patienternes data var ligeledes ikke tilstrækkeligt adskilt fra et andet hospitals arkiverede persondata, og hospitalets implementerede sikkerhedsforanstaltninger var utilstrækkelige.

Hospitalet har offentligt udtalt, at det ønsker at anfægte bøden. Hospitalet nævner som argument, at det har benyttet det IT-system, som er foreskrevet for offentlige hospitaler af det portugisiske sundhedsministerium. Det portugisiske datatilsyn er dog i deres afgørelse kommet frem til, at det er hospitalets eget ansvar at sikre, at hospitalets IT-systemer opfylder kravene i databeskyttelsesforordningen. 

Portugal har endnu ikke vedtaget en lov, der implementerer databeskyttelsesforordningen. Databeskyttelsesforordningen finder alligevel anvendelse på forholdet, og bøden er derfor baseret på principperne i databeskyttelsesforordningen, herunder også ved fastlæggelsen af bødens størrelse.

 

Første bøde efter databeskyttelsesforordningen udstedt i Tyskland

En tysk virksomhed, som driver en større datingsite blev i sommeren 2018 udsat for et hackerangreb, hvor der blev stjålet adgangskoder og e-mailadresser fra 330.000 brugere. Dette brud på persondatasikkerheden førte til, at virksomheden modtog en bøde på EUR 20.000, som er den første bøde udstedt i Tyskland efter databeskyttelsesforordningens regler. 

Efterforskningen viste efterfølgende, at virksomheden ikke havde opbevaret adgangskoderne i krypteret format, hvilket er et brud på databeskyttelsesforordningens artikel 32, stk. 1, om tilstrækkelig behandlingssikkerhed. I forbindelse med den relativt lave sanktionering af virksomheden lagde datatilsynet i den tyske delstat Baden Würtembergs vægt på, at virksomheden havde været meget samarbejdsvillig efter bruddet var blevet opdaget, og det lokale datatilsyn udtalte bl.a.:

"Virksomheden har gennemført omfattende foranstaltninger til forbedring af it-sikkerhedsarkitekturen inden for et par uger. Derudover vil selskabet iværksætte yderligere foranstaltninger til yderligere at forbedre datasikkerheden i de kommende uger i koordination med LfDI (det tyske datatilsyn)"

 

Bødens størrelse skal derfor blandt andet ses i lyset af virksomhedens store samarbejdsvillighed. Hertil kommer i øvrigt, at det lokale datatilsyn har udtalt, at det ikke agter at "deltage i en konkurrence om at udstede de højest mulige bøder".

 

Det østrigske datatilsyn har udstedt sin første bøde 

Det østrigske datatilsyn har udstedt sin første bøde efter databeskyttelsesforordningen til en iværksættervirksomhed, der havde installeret et overvågningskamera foran sin bygning. Der blev lavet optagelser af både området, der tilhørte virksomheden, og en stor del af fortovet (et offentligt område), hvilket ikke er tilladt efter TV-overvågningsloven. Desuden var det ikke tilstrækkeligt angivet, at kameraet foretog videoovervågning, hvorfor kravet om gennemsigtighed ikke var opfyldt. 

På baggrund af disse forhold pålagde det østrigske datatilsyn virksomheden en bøde på EUR 4.800. Bødens størrelse blev udmålt under hensyntagen til proportionalitetsprincippet, hvor det blev inddraget i vurderingen, at iværksættervirksomheden kun havde en indtjening på ca. EUR 40.000 om året.