Danmark: Datatilsynet polisanmäler Vejle kommun och rekommenderar 200 000 danska kronor i böter

Den danska dataskyddsmyndigheten Datatilsynet har beslutat att polisanmäla Vejle kommun eftersom myndigheten bedömer att kommunen inte har uppfyllt kraven på lämplig säkerhetsnivå i dataskyddsförordningen (“GDPR”).

Datatilsynet blev medveten om ärendet när kommunen skickat in en anmälan om en inträffad personuppgiftsincident till myndigheten. Vid utredning av ärendet framkom att den kommunala tandvården i Vejle kommun haft ett förfarande där kommunen automatiskt skickat ut ett välkomstbrev med båda föräldrarnas adresser till båda vårdnadshavarna, utan att göra en bedömning i de enskilda fallen om informationen behövde delas med den andra föräldern eller inte. Detta innebar att föräldrar i flera fall fick information om den andra förälderns (och barnets) adress, oavsett om han eller hon hade skyddade personuppgifter.

Enligt Datatilsynet måste man som personuppgiftsansvarig göra en bedömning i varje enskilt fall om ett utlämnande av personuppgifter, som exempelvis adresser, innebär en risk för de registrerade eller inte. Detta har inte skett i det aktuella fallet varför Datatilsynet beslutat att polisanmäla Vejle kommun med ett yrkande om att kommunen bötfälls med 200 000 danska kronor för brott mot GDPR.

I sin rekommendation om sanktionsavgifter har Datatilsynet bland annat betonat överträdelsens art och allvar och GDPR:s krav på att sanktionsavgifter i varje enskilt fall måste vara effektiva, proportionella och avskräckande. Datatilsynet har också lagt vikt vid kommunens storlek med avseende på bland annat befolkningsmängd.

Du kan läsa pressmeddelandet, endast tillgänglig på danska, här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.