Skal et ”internt” sikkerhedsbrud anmeldes til Datatilsynet?

Et brud på persondatasikkerheden skal anmeldes til Datatilsynet inden for 72 timer, medmindre det er usandsynligt, at bruddet indebærer risiko for de berørtes rettigheder. Hvis der er en høj risiko for de berørtes rettigheder, skal de berørte underrettes uden unødig forsinkelse. Datatilsynet skulle i denne sag tage stilling til, om det var i strid med forordningen, at en kommune ikke foretog anmeldelse til Datatilsynet eller underrettede den berørte efter et brud på persondatasikkerheden.

I sagen havde en kommune ved en fejltagelse sendt en påtænkt opsigelse via e-Boks til en kollega til den medarbejder, der var påtænkt opsagt. Skrivelsen indeholdt bl.a. helbredsoplysninger og oplysninger om fagforeningsmæssigt tilhørsforhold. Da kommunen blev opmærksom på fejltagelsen, bad kommunen straks – og samme dag, som den skete fejl var opstået – kollegaen om at slette den påtænkte opsigelse, men kommunen anmeldte ikke bruddet til Datatilsynet og underrettede heller ikke den berørte medarbejder.

Da den berørte medarbejder ca. 3 måneder efter fra kollegaen fik viden om hændelsen, kontaktede medarbejderen kommunen, som først da underrede medarbejderen om sikkerhedsbruddet. Medarbejderen klagede herefter til Datatilsynet.

Kommunen oplyste bl.a. over for Datatilsynet, at grunden til, at kommunen ikke anmeldte bruddet på persondatasikkerheden til Datatilsynet, var, at kommunen anså hændelsen for at være en intern forsendelse til en forkert medarbejder, og at alle kommunens medarbejdere har tavshedspligt.

Et ”internt” sikkerhedsbrud kan efter omstændighederne også udgøre en risiko
Datatilsynet henviste indledningsvis til sin vejledning om håndtering af brud på persondatasikkerheden, hvori der er givet et eksempel på et ”internt” brud, der ikke nødvendigvis kræver anmeldelse til Datatilsynet. I eksemplet sender en HR-medarbejder ved en fejl lønsedler og ansættelseskontrakter til en forkert medarbejder, som virksomheden dog har stor tillid til, og som straks får besked på at slette det modtagne materiale.

Datatilsynet fandt, at denne sag ikke var lig eksemplet i Datatilsynets vejledning, og at bruddet skulle have været anmeldt til Datatilsynet. Datatilsynet lagde vægt på, at den påtænkte opsigelse havde en fortrolig personalemæssig karakter, ligesom der indgik helbredsoplysninger og oplysninger om medarbejderens fagforeningsmæssige tilhørsforhold. En sådan hændelse udgjorde en særlig risiko for tab af omdømme og fortrolighed for medarbejderen.

Datatilsynet udtalte, at et sikkerhedsbrud, der omfatter sådanne oplysninger, som udgangspunkt er anmeldelsespligtigt, medmindre særlige forhold gør sig gældende – eksempelvis hvis den, oplysningerne er tilgået, er en særligt betroet medarbejder.

Datatilsynet fandt af de samme årsager, at kommunen burde have underrettet medarbejderen, og da dette først var sket 3 måneder efter, at kommunen var blevet bekendt med bruddet – og efter at medarbejderen havde henvendt sig til kommunen – var underretningen ikke sket uden unødig forsinkelse.

Datatilsynet fandt endvidere, at kommunen ikke havde levet op til kravet om passende sikkerhedsforanstaltninger ved ikke at have udført passende kontrol af indholdet af dokumentet samt kontrol af, at modtageren var den rette.

Samlet set udtalte Datatilsynet derfor kritik af kommunens håndtering af personoplysninger.