Smil, du er på – du ved det bare ikke

Datatilsynet har fundet, at en virksomhed ikke kunne holdes ansvarlig for en medarbejders uautoriserede ”videregivelse” af videoovervågningsmateriale, da virksomheden havde truffet passende foranstaltninger efter databeskyttelsesforordningen. Til gengæld var bruddet på datasikkerheden blevet anmeldt for sent.

NVI_Portrætter_done_040_web.jpg

Det følger af databeskyttelsesforordningen, at en dataansvarlig skal gennemføre ”passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau”, der passer til de risici, der er forbundet med den specifikke databehandling. I denne sag skulle Datatilsynet tage stilling til, om en virksomhed havde truffet sådanne foranstaltninger.

Sagen handlede om en virksomhed – et stormagasin – der konstaterede, at en ansat vagt via personaleindgangen havde lukket en tidligere medarbejder ind i et aflukket portnerlokale. Her havde den ansatte vagt givet den tidligere medarbejder adgang til at se og optage video af stormagasinets overvågningsvideomateriale, der indeholdt sekvenser af den tidligere medarbejders ekskæreste, som var ude at shoppe med en veninde.

Den tidligere medarbejder sendte videosekvensen til ekskæresten, som gjorde virksomheden opmærksom på hændelsen. Herefter anmeldte virksomheden bruddet på datasikkerheden til Datatilsynet.

Datatilsynet: Passende foranstaltninger, men for sen anmeldelse
I sin afgørelse lagde Datatilsynet til grund, at den uautoriserede videregivelse udgjorde et brud på datasikkerheden. Datatilsynet fandt dog, at virksomheden havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau passende til risiciene forbundet med den pågældende behandling af personoplysninger.

Datatilsynet lagde herved vægt på, at virksomhedens medarbejdere skulle gennemgå kurser om it-sikkerhed og databeskyttelse, ligesom det over for medarbejderne for nylig via e-mail og på et personalemøde var blevet indskærpet, at videoovervågningsmateriale ikke måtte videregives til andre end politiet. Derudover lagde Datatilsynet vægt på indholdet af virksomhedens medarbejderhåndbøger og retningslinjer for it-anvendelse.

Videre vurderede Datatilsynet, at virksomheden ikke kunne anses for at være ansvarlig for medarbejderens adfærd, hvorved han bevidst havde handlet i strid med virksomhedens retningslinjer. Datatilsynet bemærkede i den forbindelse, at medarbejderens handlinger lå uden for det, som virksomheden med rimelighed kunne forventes at have taget højde for.

Hertil kom, at der var tale om en afgrænset og enkeltstående hændelse forårsaget af, hvad der fremstod som en abnorm handling, ligesom både afsender og modtager endvidere havde bekræftet, at de havde slettet oplysningerne.

På den baggrund fandt Datatilsynet, at virksomheden havde truffet passende tekniske og organisatoriske foranstaltninger i henhold til databeskyttelsesforordningen.

Datatilsynet udtalte imidlertid kritik af, at virksomheden først havde anmeldt bruddet på datasikkerheden 10 dage efter, at virksomheden blev bekendt med hændelsen – og således ikke inden for 72 timer, som databeskyttelsesforordningen som udgangspunkt kræver. På den anden side erklærede Datatilsynet sig enig med virksomheden i, at det ikke havde været nødvendigt at informere veninden til ekskæresten, der også fremgik af optagelsen, om det skete brud.

Norrbom Vinding bemærker

  • at Datatilsynets afgørelse illustrerer, at en arbejdsgiver som dataansvarlig ikke vil blive holdt ansvarlig (i databeskyttelsesretlig henseende) for en medarbejders abnorme adfærd, hvis arbejdsgiveren har truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med den specifikke databehandling, og
  • at arbejdsgivere derfor løbende bør evaluere, om de iværksatte foranstaltninger må anses for at være hensigtsmæssige og tilstrækkelige i forhold til den databehandling, der konkret foretages, og endelig
  • at det er interessant, at Datatilsynet lagde vægt på, at medarbejderne havde fået træning i databeskyttelse, hvilket understreger, at sådanne tiltag er værd at overveje for virksomheder og myndigheder i forbindelse med GDPR compliance.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet