Dom i sag om overtrædelse af GDPR-reglerne

Dom afsagt: 1. oktober 2024

Af dommens præmisser fremgår følgende:

”Rettens begrundelse og afgørelse

Den 4. oktober 2019 indberettede Kræftens Bekæmpelse til Datatilsynet, at der fra foreningens hovedkontor i København den 2. oktober 2019 i tidsrummet mellem kl.19.29 og 21.16 var sket tyveri af 6 bærbare computere, der indeholdt personhenførbare oplysninger, jf. bilag 1-2-3.

Den 6. december 2019 indberettede Kræftens Bekæmpelse til Datatilsynet, at der fra foreningens kontor i Aarhus natten til den 4. december 2019 var sket tyveri af 5 computere, der indeholdt personhenførbare oplysninger, jf. bilag 1-2-4.

Den 4. februar 2020 indberettede Kræftens Bekæmpelse til Datatilsynet, at foreningen i perioden den 29. til 31. januar 2020 havde været udsat for et phishingangreb, der berørte personhenførbare oplysninger vedrørende medarbejdere i Kræftens Bekæmpelse og muligvis eksterne samarbejdspartnere, jf. bilag 1-2-5. Ved en skrivelse af 30. november 2020 til Kræftens Bekæmpelse meddelte Datatilsynet med henvisning til indberetningen af 4. februar 2020, at tilsynet "på det foreliggende grundlag ikke (vil) foretage sig yderligere overfor Kræftens Bekæmpelse i anledning af det skete brud på persondatasikkerheden." Tilsynet meddelte også, at man " vil kunne genoptage nærværende sag eller lade den indgå i vurderingen af eventuelle fremtidige brud - eller klagesager.", jf. bilag 1-2-5-2.

Den 20. maj 2020 indberettede Kræftens Bekæmpelse til Datatilsynet, at foreningen den 12. maj 2020 havde været udsat for et phishingangreb, der berørte personhenførbare oplysninger vedrørende medarbejdere i Kræftens Bekæmpelse og andre. Det fremgik blandt andet af indberetningen, at 1.100 personer kunne være berørt af phishingangrebet, jf. bilag 1-2-6. En skrivelse med et indhold, der svarer til indholdet af skrivelsen af 30. november 2020 til Kræftens Bekæmpelse, blev af Datatilsynet den 22. januar 2021 sendt til Kræftens Bekæmpelse med henvisning til indberetningen af 20. maj 2020, jf. bilag 1-2-6-4.

Den 29. september 2021 indsendte Datatilsynet til Københavns Politi en politianmeldelse af Kræftens Bekæmpelse for overtrædelse af databeskyttelsesforordningens artikel 32, stk. 1, og på baggrund af denne anmeldelse og politiets efterforskning modtog retten den 15. marts 2023 det anklageskrift, som denne dom angår.

Det lægges ved sagens afgørelse til grund, at der på de i alt 11 bærbare computere, der blev stjålet fra Kræftens Bekæmpelses kontorer i København og Aarhus den 2. oktober 2029 og den 4. december 2019 blev foretaget elektronisk behandling af personoplysninger, herunder at der på computerne blev opbevaret personoplysninger, herunder cpr. numre. Tilsvarende gælder for de computere tilhørende Kræftens Bekæmpelse, der var udsat for phishingangreb i januar og maj 2020. Retten henviser i den forbindelse blandt andet til indholdet af de 4 indberetninger som Kræftens Bekæmpelse indsendte til Datatilsynet den 4. oktober 2019, den 6. december 2019, den 4. februar 2020 og den 20. maj 2020 og til forklaringen fra XX. På grund af den elektroniske behandling af personoplysningerne er Kræftens Bekæmpelse, som dataansvarlig efter databeskyttelsesforordningens artikel 32, stk. 1, forpligtet til at gennemføre passende tekniske og organisatoriske foranstaltninger til at imødegå risikoen for misbrug af personoplysningerne. Det lægges efter indholdet af indberetningerne til grund, at der på de omhandlede computere lå oplysningerne om mindst 1.347 registrerede personer.

Efter bevisførelsen, herunder forklaringen fra XX, lægger retten endvidere til grund, at Kræftens Bekæmpelse i 2019 ikke havde sørget for at kryptere computerne, hvilket er en foranstaltning, der direkte er nævnt i databeskyttelsesforordningens artikel 32, stk. 1, litra a. Det lægges endvidere til grund, at de computere, der var udsat for phishingangrebet, ikke var sikret ved multifaktorgodkendelse ved login. Retten bemærker i den forbindelse, at der under de foreliggende omstændigheder er holdepunkter for at antage, at også andre af Kræftens Bekæmpelses computere, udover dem, der er omfattet af indberetningerne, i gerningsperioden fra august 2018 til juli 2020 ikke var krypterede eller forsynet multifaktorgodkendelse ved login. Blandt andet på baggrund af vidneforklaringen fra YY lægger retten til grund, at kryptering og multifaktorgodkendelse ved login også før gerningsperioden i denne sag var kendte og tilgængelige foranstaltninger til sikring af datasikkerheden.

Efter indholdet af de to skrivelser af 30. november 2020 og 22. januar 2021 fra Datatilsynet til Kræftens Bekæmpelse, sendt i anledning af indberetningerne af de to phishingangreb af 4. februar 2020 og 20. maj 2020, finder retten, at det ikke er udelukket, at anklagemyndigheden medtager de to phishingangreb i anklageskriftet.

På den anførte baggrund og de i øvrigt foreliggende oplysninger er det bevist, at Kræftens Bekæmpelse er skyldig i overensstemmelse med den rejste tiltale.

Straffastsættelse

Straffen fastsættes til en bøde på 75.000 kr., jf. databeskyttelsesforordningens artikel 32, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 1, jf. stk. 3, jf. stk. 6, jf. databeskyttelsesforordningens artikel 83, stk. 2, og stk. 4, litra a, jf. stk. 9.

Datatilsynet har i forbindelse med politianmeldelsen indstillet, at Kræftens Bekæmpelse idømmes en bøde på 800.000 kr., hvilken indstilling anklagemyndigheden har fulgt i sagen. Det fremgår af pkt. 150 og 151 i præamblen til databeskyttelsesforordningen, at der med forordningen er tilsigtet en harmonisering i EU af sanktionerne for overtrædelse af reglerne. Det fremgår endvidere, at de kompetente nationale domstole bør tage hensyn til en anbefaling fra den nationale tilsynsmyndighed, der har taget skridt til bøden, samt at de idømte bøder under alle omstændigheder skal være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Ved fastsættelsen af bøden til 75.000 kr. lægger retten afgørende vægt på karakteren af den virksomhed, som Kræftens Bekæmpelse udøver, herunder foreningens formål. Det tillægges i den forbindelse også betydning, at det lægges til grund, at Kræftens Bekæmpelse ikke skal generere indtægter til andet end det, der ligger i foreningens formål. Herudover er der ved fastsættelsen af bødens størrelse taget hensyn til sagsbehandlingstiden, idet retten lægger til grund, at sagen ikke er kompleks, men alene angår en vurdering af betydningen af, at Kræftens Bekæmpelse ikke i 2019 og 2020 anvendte krypterede computere og ikke havde indført multifaktorgodkendelse ved login.

Sagen har journalnummer SS 4-7513/2023.

For yderligere oplysninger kan pressens repræsentanter kontakte pressekontaktdommer Jens Stausbøll på telefon 20 24 21 76.