computer-skærm

Sag nr. 1: Salling – uautoriseret adgang til videoovervågning 

En medarbejder hos Salling havde lukket en tidligere ansat ind ad personaleindgangen og ind i et aflukket portnerlokale og viste den tidligere ansatte videoovervågningsmateriale fra forretningens område, hvor der fremgik billeder af den tidligere ansattes ekskæreste, som var ude at shoppe med en veninde. 

Trods episoden fandt Datatilsynet, at Salling havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til de risici, der foreligger ved den pågældende behandling af personoplysninger, og at virksomheden ikke kunne anses for ansvarlig for den pågældende hændelse. 

Ud over mange af de foranstaltninger, Salling havde truffet, lagde Datatilsynet vægt på, at en medarbejder bevidst og mod bedre vidende på flere måder, for eksempel ved at give en tidligere ansat adgang til bygningen, brød virksomhedens retningslinjer. Datatilsynet fandt videre, at medarbejderen foretog indtil flere handlinger, som lå udover, hvad der med rimelighed kunne forventes, at Salling skulle have været forberedt på eller truffet foranstaltninger med henblik på at undgå. 

Datatilsynet udtalte derfor kun kritik af, at Salling først anmeldte bruddet 10 dage efter, at virksomheden blev bekendt med episoden. 

Datatilsynets afgørelse  

  • Datatilsynet udtalte kritik af, at Salling ikke havde levet op til databeskyttelsesforordningen artikel 33, stk. 1, da Salling først anmeldte sikkerhedsbruddet til tilsynet 10 dage efter, at virksomheden blev bekendt med episoden. 
  • Datatilsynet fandt, at Sallings behandling af personoplysninger var sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, om sikkerhed og 34, stk. 1, om underretning om brud til de registrerede.

Vores bemærkninger 

  • En dataansvarlig holdes ikke ansvarlig for medarbejderes abnorme handlinger, der fører til brud på persondatasikkerheden, hvis den dataansvarlige selv har truffet passende organisatoriske og tekniske foranstaltninger. Ansvarsfordelingen mellem arbejdsgiver og arbejdstager ligner altså principalansvaret i erstatningsretten.

Læs mere hos Datatilsynet her.

Sag nr. 2: PrivatBo – brud på persondatasikkerheden 

PrivatBo havde den 23. december 2018 anmeldt et brud på persondatasikkerheden, da de i forbindelse med sin tilbudspligt efter lejeloven utilsigtet havde udleveret en oversigt over indestående deposita og forudbetalt leje – og i nogle tilfælde oplysninger om udlæg i deposita – fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt. Den utilsigtede videregivelse af disse oplysninger skete til trods for, at PrivatBo havde antaget et eksternt revisionsselskab med henblik på at kvalitetssikre materialet.  

Hændelsen gentog sig den 10. januar 2019. Dette blev først anmeldt den 28. maj 2019. 

Datatilsynets afgørelse  

  • Datatilsynet udtalte alvorlig kritik af, at PrivatBo den 10. januar 2019, som led i opfyldelse af tilbudspligten, jf. lejelovens §§ 100-103, utilsigtet havde udleveret en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt (artikel 32). 
  • Datatilsynet udtalte alvorlig kritik af, at PrivatBo ikke i forbindelse med sikkerhedsbruddet, der fandt sted den 10. januar 2019, uden unødig forsinkelse og senest 72 timer efter at PrivatBo blev bekendt hermed, havde anmeldt bruddet til Datatilsynet (artikel 33). 

Vores bemærkninger 

Datatilsynet lagde i skærpende retning vægt på: 

  • Bruddets karakter, herunder at der var tale om videregivelse af oplysninger på en liste, som knytter sig til en forkert ejendom. Der var tale om en fejl, der uden særlig fagkundskab var let at opdage, og som bundede i manglende grundighed.
  • At sikkerhedsbruddet den 10. januar 2019 var det andet sikkerhedsbrud i forbindelse med opfyldelse af tilbudspligten.
  • At risikoen ved videregivelsen af oplysningerne var de registreredes omdømme, herunder antagelsen om en dårlig økonomi.

Datatilsynet lagde i formildende retning vægt på: 

  • At PrivatBohavde antaget PwC som ekstern kvalitetskontrol.

Sag nr. 3: Datatilsynet – brud på persondatasikkerheden i Datatilsynet 

Sagen omhandler et brud på persondatasikkerheden hos tilsynet selv. Bruddet bestod i, at papirmateriale, som indeholdt fortrolige og følsomme oplysninger, og som derfor skulle have været makuleret, ved en fejl blev bortskaffet som almindeligt papiraffald. Datatilsynet har formelt anmeldt bruddet til tilsynet, men det skete ikke inden for fristen på højst 72 timer, efter bruddet blev konstateret. 

Sagen har været behandlet på et møde i Datarådet. 

Datatilsynets afgørelse  

  • Datatilsynet udtalte alvorlig kritik af, at sekretariatets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 (sikkerhedsbrud), og artikel 33, stk. 1 (for sen anmeldelse af brud). 

Vores bemærkninger 

  • Kravet om passende sikkerhedsforanstaltninger vil normalt indebære, at sådant papiraffald bliver destrueret (typisk ved makulering), og at papiraffaldet i øvrigt skal sikres mod uvedkommendes adgang, indtil selve destruktionen gennemføres.
  • Datatilsynet fremhævede, at det har behandlet en række lignende sager, hvor det ikke har udtalt egentlig kritik af utilstrækkelig sikkerhed, men derimod var endt med alene at konstatere, at der var sket et brud, og at Datatilsynet på grund af bruddets karakter ikke ville foretage sig yderligere. Tilsynet forklarer, at grunden til, at det i denne sag har udtalt alvorlig kritik, er, at det har lagt vægt på, at det – som tilsynsmyndighed på databeskyttelsesområdet – har en særlig forpligtelse til at iagttage og overholde krav, der følger af myndighedens eget ansvarsområde. I én sag har det ledt til (alvorlig) kritik, hvor papirmateriale, der skulle have været makuleret, blev bortskaffet som almindeligt papiraffald og fundet af en uvedkommende. Det kræver altså særlige omstændigheder, før Datatilsynet udtaler kritik, når en dataansvarlig anmelder det som et sikkerhedsbrud, når papirmateriale ikke er bortskaffet tilstrækkeligt sikkert.

Læs mere hos Datatilsynet her