Lønsedlerne, der forsvandt i posten

Datatilsynet har for nylig meddelt, at de ikke vil foretage sig yderligere i anledning af et anmeldt sikkerhedsbrud, hvor lønsedler for medarbejdere forsvandt i posten.

nvi_portraetter_done_046_web.jpg

Det følger af databeskyttelsesforordningen, at en dataansvarlig skal gennemføre ”passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau”, der passer til de risici, der er forbundet med den specifikke databehandling. Hvis der sker et brud på datasikkerheden, herunder hvis der sker tab af personoplysninger, skal der ske anmeldelse heraf til Datatilsynet.

Sagen handlede om en stor global virksomhed, der som dataansvarlig anmodede sin databehandler, virksomhedens lønudbyder, om at modtage kopier af lønsedlerne for medarbejderne i Danmark. Lønudbyderen fremsendte herefter et USB-stik indeholdende lønsedlerne til virksomheden som et almindeligt brev. Da brevet kom frem til virksomheden, var kuverten imidlertid brudt op, og USB-stikket var forsvundet. Virksomheden fandt efterfølgende ud af, at USB-stikket ikke havde været krypteret, hvorfor virksomheden anmeldte episoden som et sikkerhedsbrud til Datatilsynet.

Virksomheden underrettede desuden de medarbejdere, hvis lønsedler var forsvundet, om sikkerhedsbruddet for at imødegå risikoen for, at uvedkommende misbrugte de oplysninger, der fremgik af lønsedlerne.

Datatilsynet: Ikke grundlag for at foretage sig yderligere

Virksomheden bemærkede over for Datatilsynet, at der var tale om en fejl hos databehandleren (lønudbyderen), og at virksomheden i databehandleraftalen havde pålagt databehandleren at sikre et passende sikkerhedsniveau, herunder ved at anvende kryptering.

I første omgang gjorde Datatilsynet virksomheden opmærksom på, at på grund af en mistanke om, at der var tale om et strafbart forhold, behøvede virksomheden ikke medvirke yderligere til sagens oplysning. Virksomheden valgte dog at medvirke til at oplyse sagen.

I sin afgørelse bemærkede Datatilsynet indledningsvist, at sikkerhedsbrud, der udsætter fysiske personers rettigheder for risiko, oftest vil have en sådan karakter, at det vil give anledning til kritik. I denne situation fandt Datatilsynet dog, at der ikke var grundlag for at foretage sig yderligere i sagen.

Datatilsynet lagde i den forbindelse blandt andet vægt på, at der var tale om en enkelstående hændelse, og at virksomhedens egne foranstaltninger i forbindelse med sikkerhedsbruddet var ”umiddelbart tilstrækkelige i forhold til beskyttelsen af de registreredes rettigheder”.

Norrbom Vinding bemærker

  • at afgørelsen indikerer, at Datatilsynet ikke vil holde en dataansvarlig objektivt ansvarlig for databehandlerens fejl,
  • at afgørelsen endvidere viser, at Datatilsynet – når man som dataansvarlig sikrer, at der straks bliver taget behørigt hånd om et sikkerhedsbrud, herunder ved at foretage de fornødne foranstaltninger – ikke nødvendigvis finder anledning til at udtale kritik, selvom der i forbindelse med sikkerhedsbruddet har været risiko for fysiske personers rettigheder, og
  • at virksomheder i forbindelse med konstateringen af et sikkerhedsbrud bør overveje at søge bistand til vurderingen af, hvad der udgør passende foranstaltninger, samt for at få hjælp til at udarbejde en anmeldelse til Datatilsynet.

Norrbom Vinding bistod virksomheden i forbindelse med håndteringen af sikkerhedsbruddet.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet