Domstolen i Helsingør följde nyligen Datatilsynets rekommendation och dömde Hørsholm kommun att betala 50 000 danska kronor i böter i ett fall där en stulen arbetsdator med personuppgifter inte var krypterad.
Den 12 september 2022 dömdes Hørsholm kommun till 50 000 danska kronor i böter för otillräcklig säkerhet vid behandling av personuppgifter. Det konstaterades att kommunen inte vidtagit lämpliga tekniska åtgärder i samband med anställdas bärbara arbetsdatorer, som användes för behandling av personuppgifter och som inte var krypterade. Kommunen misslyckades således med att följa dataskyddsförordningens regler om lämpliga säkerhetsåtgärder och bötfälldes i enlighet med Europeiska Datatillsynsmannens (EDPS) rekommendation i ärendet.
Fallet kom till Datatilsynets kännedom när Hørsholm kommun hösten 2019 anmälde en personuppgiftsincident i samband med stölden av en HR-anställds arbetsdator, som innehöll information av känslig och konfidentiell natur, bland annat om cirka 1 600 anställda i kommunen. Kommunen hade tillåtit att personuppgifter behandlades lokalt på de enskilda arbetsdatorerna, vilket innebar att man kringgick Citrix-lösningen som annars användes för ärendehantering, eftersom Citrix-lösningen ofta kraschade, vilket försvårade arbetet på de mobila arbetsstationerna. Utan kryptering för att skydda datorn innebar förlusten av personuppgifter en stor risk för de 1 600 anställdas rättigheter.
Som personuppgiftsansvarig är man skyldig att tillhandahålla en säkerhetsnivå som är lämplig i förhållande till bland annat riskerna för fysiska personers rättigheter och friheter, med varierande grad av sannolikhet och allvar, till följd av den behandling av personuppgifter som man utför. Domstolen instämde i Datatilsynets bedömning att kommunen borde ha säkrat sina anställdas bärbara datamedier med kryptering i den aktuella situationen och att organisatoriska åtgärder i form av instruktioner till de anställda om att radera uppgifter efter behandling inte var tillräckliga för att minska risken för de registrerades rättigheter till följd av den utförda behandlingen.
Enligt Datatilsynet är domen viktig och fastställer att man, särskilt som myndighet, har ett ansvar för att se till att mycket grundläggande tekniska åtgärder vidtas när man behandlar känsliga och konfidentiella personuppgifter.
När det uppstår problem med lösningarna för att skydda personuppgifter har personuppgiftsansvariga enligt Datatilsynet en skyldighet att omvärdera risken och överväga om andra åtgärder behövs för att behandlingen av personuppgifter ska ske på ett säkert sätt under de nya omständigheterna. Enligt Datatilsynet har Hørsholm kommun inte gjort detta tillräckligt bra.
Domen är det första av flera liknande fall som anmälts till polisen av Datatilsynet. Gladsaxe kommun och Favrskov kommun har båda anmälts för liknande överträdelser och kommer att få böter på 100 000 danska kronor respektive 75 000 danska kronor. Läs mer om fallet med Gladsaxe kommun här och fallet med Favrskov kommun här.