U

Viden

Nyheder

Specialerhidden

Mennesker

Arrangementer

Om os

Karriere

27.10.2022 | Databeskyttelse

Skrevet af

Sara Baldus
Senioradvokat

Personoplysninger på en ukrypteret harddisk er no-go

En kommune er idømt en bøde på 50.000 kr. for overtrædelse af GDPR, fordi kommunens bærbare computere ikke var krypterede, og sikkerhedsniveauet derfor var utilstrækkeligt.

 

Det følger af databeskyttelsesforordningen (GDPR), at dataansvarlige og databehandlere skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau for opbevaringen af personoplysninger. Undladelse af at iagttage denne pligt kan resultere i en bøde for overtrædelse af GDPR. I denne sag skulle byretten tage stilling til, om en kommunes manglende kryptering af arbejdscomputere udgjorde en overtrædelse, der skulle medføre bødestraf.

Sagen startede, da en HR-medarbejders bærbare arbejdscomputer blev stjålet. På computeren lå der personoplysninger om mere end 1.500 andre medarbejdere, herunder følsomme oplysninger og cpr-numre. Kommunen havde accepteret, at HR-medarbejdere behandlede personoplysninger uden for fjernskrivebordsapplikation, dvs. lokalt på computerens harddisk, fordi der ofte var problemer med at bruge fjernskrivebordet.

Kommunen havde i den sammenhæng indskærpet over for HR-medarbejderne, at der ikke måtte gemmes følsomme personoplysninger på computerens harddisk. Kommunen havde dog ikke krypteret computernes harddisk, så eventuelle personoplysninger, som medarbejderne alligevel måtte gemme på harddisken, kunne tilgås blot ved at sætte harddisken over i en anden computer. Men inden tyveriet havde kommunen truffet beslutning om at anskaffe nye arbejdscomputere, hvor harddisken ville være krypteret.

Det var Datatilsynets opfattelse, at det var almindeligt kendt (og havde været det meget længe), at arbejdscomputere, hvorpå der blev gemt (eller var risiko for, at der blev gemt) personoplysninger lokalt på harddisken, skulle være krypteret eller på anden vis sikret i tilfælde af tyveri eller bortkomst. Tilsynet indstillede på den baggrund kommunen til en bøde på 50.000 kr.

Ingen vej uden om kryptering
Byretten fulgte Datatilsynets indstilling og idømte kommunen en bøde på 50.000 kr. for ikke at have opfyldt kravene om at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. Det var ikke nok, at kommunen havde instrueret medarbejderne i ikke at gemme personoplysninger af følsom karakter på arbejdscomputernes harddisk og havde etableret andre organisatoriske sikkerhedsforanstaltninger.

Byretten lagde vægt på, at kommunen måtte være klar over, at ikke alle medarbejdere ville følge de interne retningslinjer, og at kommunen måtte være klar over den generelle risiko for tyveri og bortkomst, når medarbejderne havde computerne med udenfor fra arbejdspladsen. Derudover lagde retten vægt på, at kommunen inden datasikkerhedsbruddet selv havde vurderet, at det var en nødvendig foranstaltning, at harddiskene i arbejdscomputerne blev krypteret.

Norrbom Vinding bemærker

  • at byrettens dom illustrerer, at det som udgangspunkt vil udgøre en overtrædelse af reglerne om passende sikkerhedsniveauer, hvis der opbevares personoplysninger lokalt på flytbare devices, som ikke er krypteret eller på anden vis sikret med passende tekniske foranstaltninger i tilfælde af tyveri eller anden bortkomst,
  • at byrettens dom er en af de første domme vedrørende straf for overtrædelse af databeskyttelsesforordningens regler, og
  • at bødeniveauet for private virksomheder og offentlige myndigheder fastlægges med udgangspunkt i forskellige rammer, og at bødens størrelse dermed ikke nødvendigvis ville have været den samme, hvis der havde været tale om en privat virksomhed.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.