Datatilsynet har beslutat att polisanmäla Vejle kommun eftersom myndigheten bedömer att kommunen inte har uppfyllt kraven på lämplig säkerhetsnivå i dataskyddsförordningen (“GDPR”).
Datatilsynet blev medveten om ärendet när kommunen skickat in en anmälan om en inträffad personuppgiftsincident till myndigheten. Vid utredning av ärendet framkom att den kommunala tandvården i Vejle kommun haft ett förfarande där kommunen automatiskt skickat ut ett välkomstbrev med båda föräldrarnas adresser till båda vårdnadshavarna, utan att göra en bedömning i de enskilda fallen om informationen behövde delas med den andra föräldern eller inte. Detta innebar att föräldrar i flera fall fick information om den andra förälderns (och barnets) adress, oavsett om han eller hon hade skyddade personuppgifter.
Enligt Datatilsynet måste man som personuppgiftsansvarig göra en bedömning i varje enskilt fall om ett utlämnande av personuppgifter, som exempelvis adresser, innebär en risk för de registrerade eller inte. Detta har inte skett i det aktuella fallet varför Datatilsynet beslutat att polisanmäla Vejle kommun med ett yrkande om att kommunen bötfälls med 200 000 danska kronor för brott mot GDPR.
I sin rekommendation om sanktionsavgifter har Datatilsynet bland annat betonat överträdelsens art och allvar och GDPR:s krav på att sanktionsavgifter i varje enskilt fall måste vara effektiva, proportionella och avskräckande. Datatilsynet har också lagt vikt vid kommunens storlek med avseende på bland annat befolkningsmängd.