Datatilsynet har truffet afgørelse i en sag, hvor Skatteforvaltningen havde anmeldt et brud på persondatasikkerheden til tilsynet. Af anmeldelsen fremgik, at Skatteforvaltningen havde underrettet den borger, der var berørt af bruddet, to dage før, at styrelsen havde anmeldt bruddet til Datatilsynet.
Datatilsynet modtog imidlertid en opfølgning på anmeldelsen fra Skatteforvaltningen over en måned senere, hvori Skatteforvaltningen informerede tilsynet om, at der ikke var sket underretning af den registrerede, som beskrevet i den første anmeldelse - men først ca. 40 dage senere. Skatteforvaltningen begrundede den for sene underretning med ”ekstraordinære forhold i ferieperioden”.
Det er i den forbindelse Datatilsynets opfattelse, at et helt grundlæggende formål med pligten til at underrette registrerede er, at de registrerede skal være i stand til at varetage sine interesser, hvis de er berørt af et sikkerhedsbrud. Dette for at undgå, at deres rettigheder eller frihedsrettigheder krænkes.
Det er i forlængelse heraf Datatilsynets opfattelse, at tilsynet skal være i stand til at varetage de registreredes rettigheder, hvis der ikke er sket (korrekt) underretning af de registrerede - f.eks. ved at påbyde den dataansvarlige at underrette de(n) registrerede.
Datatilsynet lagde derfor - ved behandlingen af den konkrete sag - særlig vægt på, at hverken den registrerede eller tilsynet var i stand til at varetage den registreredes rettigheder, hvis den registrerede ikke var blevet underrettet om bruddet på persondatasikkerheden. Grundet de forkerte informationer, der fremgik af anmeldelsen, var Datatilsynet i den tro, at den registrerede var blevet underrettet om hændelsen.
Datatilsynet lagde herudover bl.a. vægt på, at det generelt må forventes, at offentlige myndigheder har etableret passende procedurer, retningslinjer og beredskabsplaner, der muliggør, at myndigheden kan underrette registrerede i overensstemmelse med reglerne - uanset om medarbejdere holder ferie.
Datatilsynet udtalte på den baggrund alvorlig kritik af, at Skatteforvaltningens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.
Vil du vide mere?
Læs selve afgørelsen her.