Nu begynder den største GDPR-retssag mod dansk myndighed nogensinde: Står over for million-bøde (paywall, opsummering i kommentarsporet)
by MySocksSuck
Nu begynder den største GDPR-retssag mod dansk myndighed nogensinde: Står over for million-bøde (paywall, opsummering i kommentarsporet)
by MySocksSuck
1 comment
Opsummering:
Region Syddanmark står over for danmarkshistoriens største GDPR-retssag, anklaget for grove overtrædelser af databeskyttelsesreglerne. Regionens retssag, der starter i Retten i Kolding, kan resultere i en millionbøde. Anklagen, fremsat af Anklagemyndigheden ved Sydøstjyllands Politi, omhandler to specifikke overtrædelser af GDPR.
Den første overtrædelse fandt sted fra 4. januar 2019 til 23. august 2020. Region Syddanmark fejlede i at sikre deres database mod uautoriseret adgang, hvilket betød, at borgere med adgang til databasen kunne tilgå personlige oplysninger om mere end 23.000 andre registrerede, herunder helbredsoplysninger om mindreårige.
Den anden overtrædelse strakte sig fra 25. maj 2018 til 5. marts 2020, hvor regionen undlod at beskytte personoplysninger, der utilsigtet lå offentligt tilgængelige på deres hjemmeside. Dette resulterede i, at en PowerPoint-præsentation med oplysninger om 3.915 patienter, inklusive CPR-numre og helbredsoplysninger, var frit tilgængelig.
Region Syddanmark har tidligere anmeldt flere GDPR-brud til Datatilsynet, men disse to sager er de mest alvorlige, og de eneste som Datatilsynet har vurderet skal straffes med store bøder. Ifølge anklageskriftet har regionen ikke overholdt sin pligt til at implementere tilstrækkelige sikkerhedsforanstaltninger for at beskytte persondata, hvilket har medført betydelige risici for de berørte borgere.
Under hele forløbet har Region Syddanmark afvist at kommentere på anklagerne og har undgået at give indsigt i deres håndtering af sagen. Regionen har heller ikke oplyst, hvilke tiltag der eventuelt er taget for at forhindre lignende brud i fremtiden. Regionens presserådgiver har meddelt, at de fortsat ikke vil udtale sig om retssagen eller de alvorlige GDPR-overtrædelser. Danmark og Estland er de eneste EU-lande, hvor datatilsyn ikke kan udskrive bøder direkte, men skal anmelde overtrædelser til politiet, som derefter kan rejse sag ved domstolene.