Journalnummer: 2021-32-2067.

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en elev på Falkonergården klagede over, at skolen ved en fejl sendte en skriftlig advarsel i forbindelse med for meget fravær til en anden elev. Fejlen skete, da en medarbejder indtastede et forkert personnummer ved fremsendelse via e-Boks. Efterfølgende blev det konstateret, at oplysninger om klagers fraværsprocent var kendt af andre på skolen.

Datatilsynet udtalte kritik af, at Falkonergården ikke havde levet op til kravet om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til tilsynet.

Ved vurderingen lagde Datatilsynet vægt på, at Falkonergården ikke havde bevist, at det var usandsynligt, at hændelsen indebar en risiko for klagers rettigheder. Dette kunne f.eks. være skade på klagers omdømme.

Datatilsynet fandt desuden ikke grundlag for at tilsidesætte Falkonergårdens vurdering af, hvad der var passende sikkerhedsforanstaltninger.

I den forbindelse lagde Datatilsynet vægt på, at der var tale om et engangstilfælde, at kun få betroede medarbejdere sendte de pågældende breve, at ledelsen ofte over for disse medarbejdere understregede vigtigheden af, at der indtastes korrekt personnummer, og at den enkelte medarbejder altid dobbelttjekker personnummeret.

Datatilsynet opfordrede dog Falkonergården til at genoverveje deres foranstaltninger ved eventuelle gentagelsestilfælde.

Afgørelse: Datatilsynet vender hermed tilbage til sagen, hvor [klager] (herefter klager) den [dato] 2021 har klaget over, at Falkonergårdens Gymnasium og HF (herefter Falkonergården) har videregivet klagers personoplysninger til uvedkommende.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Falkonergårdens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens^[1] artikel 33, stk. 1.

Datatilsynet finder endvidere, at der ikke er grundlag for, at udtale, at Falkonergårdens behandling af personoplysninger er sket i strid med databeskyttelsesforordningens artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager er elev på Falkonergården, og at skolen den [dato] 2021 ved en fejl sendte en skriftlig advarsel med klagers fraværsoplysninger og klagers fulde navn til en anden elev på skolen.

Falkonergården gjorde samme dag klager opmærksom på forholdet og beklagede fejlen.

2.1. Falkonergårdens bemærkninger

Falkonergården har oplyst, at den uberettigede videregivelse skete, da en sekretær skulle udfærdige breve med forsømmelsesvarsel til adskillige elever. Brevene indeholdt oplysninger om elevens forsømmelsesprocent og et varsel om, at eleven udskrives af skolen, hvis ikke fremmødet forbedres. I processen med fremsendelse glemte sekretæren ved en fejl at ændre personnummeret, da brevet blev sendt til e-Boks gennem skolens elektroniske elevarkiv.

Falkonergården har endvidere oplyst, at det alene er få betroede medarbejdere, der sender oplysninger til e-Boks, og ledelsen har jævnligt over for disse medarbejdere understreget vigtigheden af, at der indtastes korrekt personnummer. Medarbejderne, der arbejder med elevoplysninger, herunder sender til e-Boks, er meget opmærksomme på den type oplysninger, de arbejder med. Medarbejderne er fuldt ud opmærksomme på vigtigheden af, at de korrekte oplysninger sendes til den korrekte modtager. I den forbindelse har Falkonergården oplyst, at den enkelte medarbejder altid dobbelttjekker, at forsendelser via e-Boks sker til det korrekte personnummer.

Falkonergården har gjort gældende, at afsendelse til e-Boks altid sker ved manuel indtastning af personnummer. Falkonergårde havde derfor ikke mulighed for at gennemføre tekniske foranstaltninger, der sikrede mod denne type hændelser.

Falkonergården har oplyst, at skolen har anmodet modtageren om at slette brevet og forholde sig tavs om indholdet. Falkonergården har desuden bedt om en bekræftelse på, at modtageren har slettet oplysningerne.

Videre har Falkonergården oplyst, at ledelsen har indskærpet over for medarbejdere, der sender til e-Boks, at der ved udarbejdelse og fremsendelse af flere breve i samme arbejdsproces, fremadrettet skal startes på ny ved hver skrivelse, og ikke tages udgangspunkt i et tidligere brev. Medarbejdere, der sender til e-Boks vil fremadrettet sørge for at være ekstra påpasselige, hver gang der fremsendes oplysninger via e-Boks, og sikre sig, at det er korrekte modtager, der sendes til.

Falkonergården har overvejet, om skolen kan træffe tekniske foranstaltninger, der kan sikre at lignende hændelser ikke sker fremover. Skolen har ikke kendskab til sådanne foranstaltninger, der kan afhjælpe menneskelige fejl som indtastning af forkert personnummer.

Falkonergården har anført, at skolen ikke har anmeldt hændelsen som et brud på persondatasikkerheden til Datatilsynet, da skolen på baggrund af en risikovurdering fandt, at det var usandsynligt, at hændelsen ville eller kunne indebære en risiko for klagers rettigheder eller frihedsrettigheder, også selvom klager er ung. Falkonergården har dog for en god ordens skyld orienteret klager om hændelsen.

Falkonergården har endvidere lagt til grund, at de omhandlende oplysninger i det fejlagtigt fremsendte dokument ikke er omfattet af databeskyttelsesforordningens artikel 9, og at der heller ikke er oplysninger af fortrolig karakter i dokumentet.

I beslutningen om ikke at anmelde hændelsen til Datatilsynet har Falkonergården yderligere lagt vægt på, at indholdet i disse advarsler til elever med for meget fravær er standardskrivelser, hvor der ikke fremgår andet end en henstilling til eleven om at få nedbragt fraværet og konsekvenserne ved ikke at efterkomme advarslen. Sammenholdt med risikovurderingen blev det vurderet, at klagers rettigheder på ingen måde ville lide skade eller være i fare.

Falkonergården har gjort gældende, at det fremgår af tidligere afgørelser fra Datatilsynet, at det er oplysningernes følsomhed, der har betydning for håndteringen af typen af oplysninger samt i hvilke tilfælde, der bør ske underretning til tilsynet.

Endeligt har Falkonergården anført, at vurderingen om ikke at foretage anmeldelse til Datatilsynet var foretaget ud fra hvilken kategori af oplysninger, der var i den fremsendte skrivelse, og at den forkerte modtager var en anden elev på Falkonergården.

2.2. Klagers bemærkninger

Klager har anført, at der er sket et sikkerhedsbrud som Falkonergården bør anmelde til Datatilsynet. Klager har endvidere oplyst, at [klager] er meget påvirket af situationen, da rygter om [klagers] fraværsprocent florerer på skolen.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger til grund, at der er sket et brud på persondatasikkerheden (uautoriseret videregivelse af personoplysninger), idet Falkonergården ved en fejl har fremsendt oplysninger om en skriftligt advarsel til klager på grund af for meget fravær og klagers fraværsprocent til en anden elev.

3.1.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandling af personoplysninger. Dette indebærer bl.a. at man som dataansvarlig skal sikre, at oplysninger om den registrerede ikke kommer til uvedkommendes kendskab.

Det er Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning, at det alene er få betroede medarbejdere, der – efter en behørigt givet instruks – kan benytte den manuelle fremsendelse af dokumenter i e-Boks. Dette kræver, at der er en passende kontrol af det indtastede personnummer, inden forsendelsen sker.

Datatilsynet lægger til grund, at det alene er få betroede medarbejdere, der sender oplysninger via e-Boks, at ledelsen jævnligt over for disse medarbejdere understreger vigtigheden af, at der indtastes korrekt personnummer, og at den enkelte medarbejder altid dobbelttjekker, at forsendelse via e-Boks sker til det korrekte personnummer.

På denne baggrund, og da det ikke foreligger yderligere dokumentation om fortilfælde, finder Datatilsynet ikke grundlag for at tilsidesætte Falkonergårdens vurdering af, at foranstaltningerne er passende i forhold til de beskrevne risici.

Datatilsynet har derfor ikke er grundlag for, at udtale, at Falkonergårdens behandling af personoplysninger er sket i strid med databeskyttelsesforordningens artikel 32, stk. 1.

Tilsynet skal dog indskærpe, at gentagelsestilfælde, skal foranledige den dataansvarlige til at genoverveje sine foranstaltninger, dette kunne eventuelt være, at kontrollen af personnummer skal foretages af en anden person end indtasteren, eller at der overvejes arbejdsgange, der kopierer de pågældende oplysninger fra en autoritativ kilde f.eks. elevens stamblad eller lignende. 

3.2.

Ved brud på persondatasikkerheden skal den dataansvarlige anmelde bruddet til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1. Anmeldelse skal imidlertid ikke ske, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den registreredes rettigheder eller frihedsrettigheder.

Datatilsynet finder, at Falkonergården – ved ikke at anmelde bruddet til Datatilsynet – ikke har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 1, hvilket giver tilsynet anledning til at udtale kritik.

Datatilsynet har i den forbindelse lagt vægt på, at alle brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet, og at det kun er såfremt, det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, at der ikke skal ske anmeldelse.

Det er i den forbindelse Datatilsynets opfattelse, at Falkonergården ikke har godtgjort, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for klagers rettigheder eller frihedsrettigheder. En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

Det er øvrigt Datatilsynets opfattelse, at oplysninger om fraværsprocent og oplysninger om, at en person har fået en advarsel på grund af for meget fravær, er fortrolige oplysninger.

Datatilsynet finder endvidere, at den omstændighed at den forkerte modtager af oplysningerne var en anden elev på Falkonergården, ikke kan føre til en anden vurdering af, om der skulle ske anmeldelse til Datatilsynet. Datatilsynet har i den forbindelse lagt vægt på, at netop fordi der var tale om en anden elev forekom der efterfølgende oplysninger om klagers fraværsprocent på skolen.

Datatilsynet skal indskærpe, at Falkonergården fremover anmelder lignende sikkerhedsbrud til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

4. Afsluttende bemærkninger

Datatilsynet skal afslutningsvis oplyse, at Falkonergården i denne sag ikke skal foretage særskilt anmeldelse af det skete brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 33, stk. 1. Datatilsynet har i den forbindelse lagt vægt på, at bruddet er tilstrækkeligt belyst i forbindelse med sagens behandling i tilsynet.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).