En gruppe medarbejdere hos Kriminalforsorgen oprettede en lukket Messenger-gruppe på Facebook, hvor der foregik tjenstlig kommunikation med personoplysninger.  Ifølge Datatilsynet gik der seks måneder fra modtagelsen af den første henvendelse til Kriminalforsorgen undersøgte sagen.

Datatilsynet har udtalt kritik til Kriminalforsorgen for ikke at afklare et muligt brud i tide. Ifølge Datatilsynet blev Kriminalforsorgen bekendt med oplysninger om et muligt brud men undlod at undersøge hændelsen hurtigt for at afklare, om der var tale om et brud på persondatasikkerheden.

Sagen handler om, at en gruppe medarbejdere hos Kriminalforsorgen oprettede en lukket Messenger-gruppe på Facebook, hvor der foregik tjenstlig kommunikation mellem ansatte i et fængsel angående både indsatte og ansatte hos Kriminalforsorgen.

Ifølge Datatilsynets afgørelse modtog Kriminalforsorgen gentagne henvendelser fra en medarbejder, der udtrykte bekymring for, at der var sket et brud på persondatasikkerheden, da der foregik arbejdsrelateret kommunikation i den lukkede Messenger-gruppe. Trods disse henvendelser undersøgte Kriminalforsorgen først sagen seks måneder efter modtagelsen af den første henvendelse.

Datatilsynet udtaler bl.a. følgende:

”Det er i den forbindelse Datatilsynets opfattelse, at den dataansvarlige som udgangspunkt anses for være bekendt med et brud, når en medarbejder hos den dataansvarlige bliver bekendt med bruddet.

Hvis den dataansvarlige er i tvivl om, at der er sket et brud på persondatasikkerheden, bør formodningen for, at der kan være sket et brud føre til, at den dataansvarlige undersøger hændelsen nærmere med henblik på at afklare, om der rent faktisk er sket et brud på persondatasikkerheden. Undersøgelsen skal finde sted hurtigst muligt, og den dataansvarlige skal i den forbindelse med en rimelig grad af sikkerhed fastslå, om et brud har fundet sted, og om hændelsen skal anmeldes til Datatilsynet.

På baggrund af ovenstående finder Datatilsynet, at Kriminalforsorgen – ved ikke at have undersøgt hændelsen hurtigt og i forlængelse heraf foretage rettidig anmeldelse af bruddet til Datatilsynet – ikke har handlet i overensstemmelse med reglerne i retshåndhævelseslovens § 28, stk. 1.”

Kommentarer

Den konkrete sag er afgjort efter Retshåndhævelsesloven (lov om retshåndhævende myndigheders behandling af personoplysninger), som er den generelle databeskyttelseslov for de retshåndhævende myndigheder, herunder Kriminalforsorgen. Mange elementer i den lov svarer imidlertid til GDPR, så vi kan godt lade os inspirere af sagen uden at være en retshåndhævende myndighed.

Datatilsynets budskab om, at vi skal undersøge og afklare sagen, når et muligt brud kommer til vores kendskab, er klart – og det kan selvfølgelig ikke være anderledes.

Overvej om det et "brud på persondatasikkerheden"

I forhold til selve hændelsen vil du jævnligt skulle tage stilling til, om der overhovedet er tale om et brud. Det er faktisk en overvejelse, du altid bør gøre dig, når du skal vurdere en hændelse i forhold til GDPR (eller Retshåndhævelsesloven). Og du har travlt, for hvis det er et brud, skal du leve op til fristerne i loven. 

I andre sager har vi set Datatilsynet tilkendegive, at man bør se på, om der der er tale om en bevidst handling, når det skal vurderes, om en hændelse er et brud på persondatasikkerheden eller ”bare” en ulovlig behandling, altså et brud på GDPR.

Et eksempel på denne tilgang kan ses i Datatilsynets udtalelse af 22-11-2022 til Kirkeministeriet vedrørende præsters deling af personoplysninger i Facebook-gruppe.

Her skriver tilsynet bl.a.:

”Datatilsynet bemærker for god ordens skyld, at tilsynet med dette brev ikke har taget stilling til spørgsmålet om dataansvaret. Datatilsynet bemærker dog, at de enkelte præster – såfremt de som oplyst af Kirkeministeriet er at anse for selvstændigt dataansvarlige – ikke vil skulle anmelde et brud på persondatasikkerheden til tilsynet. Dette skyldes, at der ikke er tale om et brud på persondatasikkerheden, som dette er defineret i databeskyttelsesforordningens artikel 4, nr. 12, da opslagene er sket bevidst.” 

Link til Datatilsynets udtalelse til Kirkeministeriet.

I den konkrete sag valgte Kriminalforsorgen i august 2021 at anmelde det skete som et brud på persondatasikkerheden. I Datatilsynets afgørelse er det bl.a. omtalt, at

en leder havde oplyst, at det ikke er tilladt at benytte eksterne systemer til sagsbehandling. Det giver derfor umiddelbart god mening, at den konkrete hændelse er set som et brud på persondatasikkerheden og ikke en tilsigtet brug af den pågældnede løsning.

Vurderingen af, om det er en tilsigtet behandling
Der vil givetvis opstå tilfælde, hvor du synes, det er svært at vurdere, om der er tale om et brud eller en tilsigtet (evt. ulovlig) behandling. Når du er i tvivl om, hvad resultatet skal være, kan du f.eks. tage din DPO med på råd. Det kan også være relevant at kontakte Datatilsynet og høre, hvad deres umiddelbare vurdering er.

Er du stadig i tvivl, så er det bedste nok at anmelde det til Datatilsynet: Hellere en gang for meget end en gang for lidt. 

Husk at dokumentere din konklusion

Hvis du lander på en vurdering, hvor en given hændelse ikke kategoriseres som et brud på persondatasikkerheden, men som en bevidst handling, er det vigtigt, at du dokumenterer vurderingen. Og jeres afklaring bør selvfølgelig ske så hurtigt, så I kan leve op til 72-timers reglen, hvis det vurderes at være et brud.

Følg op på det skete

Jeres opfølgning på den ulovlige behandling bør ikke være mindre, end hvis det havde været et brud på persondatasikkerheden. I skal stoppe den ulovlige behandling (f.eks. skal personoplysningerne fjernes fra Facebook-gruppen), og I bør også tage initiativer til at forhindre lignende hændelser i fremtiden (f.eks. via instruks eller retningslinjer til medarbejderne).

DPO'en skal evt. i aktion
Hvis I har en databeskyttelsesrådgiver (DPO), kan en konstatering af en ulovlig behandling give anledning til en tættere monitorering, hvor DPO’en følger op for at sikre, at den dataansvarlige retter op på det, der er galt i det konkrete tilfælde.

Det kan f.eks. være relevant, at DPO’en undersøger sagen ved et såkaldt ad hoc DPO-tilsyn (eller hvad proceduren nu kaldes hos jer), hvor den dataansvarlige bliver bedt om at redegøre for de skridt, der bliver taget for at bringe den ulovlige behandling til ophør.

.........................................

Dette er en nyhedstekst, som fremhæver nogle vigtige elementer fra en afgørelse eller vejledning. For den fulde forståelse henvises til indholdet af afgørelsen eller vejledningen og evt. professionel rådgivning.