Afslutning af harddisksagen
08.08.01
Sagen om harddiske fra danske virksomheder, som dukkede op i udlandet, er nu afsluttet. Datatilsynet har fundet det yderst kritisabelt, at der alene er udført en formatering af de pågældende harddiske, inden disse er blevet videresolgt, idet dette ikke kan betragtes som en effektiv sletning af de personoplysninger, der var lagret på diskene.
Datatilsynet blev i slutningen af december 2000 gennem pressen opmærksom på, at harddiske, som tidligere havde tilhørt en række danske virksomheder og foreninger, tilsyneladende var dukket op i handelen i udlandet, uden at oplysningerne på harddiskene var blevet effektivt slettet.
De pågældende virksomheder m.v. havde overladt det til et firma (en databehandler) at foretage sletning af de afleverede harddiske og indgået kontrakter, der forpligtede det databehandlende firma til at foretage en effektiv sletning af harddiskene, inden disse blev videresolgt.
Efter en nærmere undersøgelse af sagen kunne Datatilsynet konstatere, at oplysninger var kommet til uvedkommendes kendskab i strid med persondataloven, idet de harddiske, hvorpå oplysningerne var lagret, ikke var blevet effektivt slettet inden de blev videresolgt.
Dette skyldtes i det væsentligste det databehandlende firmas forhold, idet firmaet ikke havde sørget for at foretage den nødvendige sletning og derved handlet i strid med de instrukser, som de afleverende virksomheder m.v. havde givet. Det databehandlende firma havde heller ikke truffet de sikkerhedsforanstaltninger, som de i henhold til persondataloven var forpligtet til at træffe. Datatilsynet fandt dette yderst kritisabelt.
Sagen rejste endvidere spørgsmål om det ansvar, man som dataansvarlig har for at føre kontrol med de behandlinger, som man overlader til en databehandler. Den praktiske udførelse og omfanget af en sådan kontrol beror i sidste ende på en konkret vurdering af den behandling, som er overladt til databehandleren. Sagens hændelsesforløb viste, at det havde været rigtigst, om der fra den dataansvarliges side var blevet udført en vis kontrol med sletningen, f.eks. i form af stikprøver.
Endelig rejste sagen spørgsmål om overførsel af oplysninger til tredjelande, idet det databehandlende firma overførte harddiskene til Litauen, inden sletning blev foretaget. Datatilsynet fandt, at det var en forudsætning for den konkrete overførsel, at Litauen i denne sammenhæng kunne betragtes som et sikkert tredjeland i persondatalovens forstand. Det databehandlende firma skulle derfor være opmærksom på, at overførslen ikke måtte medføre en væsentlig forringelse af den beskyttelse af de registrerede, som persondataloven tilsigter at give.