Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med IKEA A/S

Brevdato: 15.03.18

Journalnummer: 2016-612-0028

IKEA A/S (herefter IKEA) var blandt de virksomheder, som Datatilsynet udvalgte til tilsyn i 2016. Tilsynet vedrørte behandling af personoplysninger i forbindelse med virksomhedens personaleadministration.

Datatilsynets planlagte tilsyn med private virksomheder fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration, 
  • databehandleraftaler, og
  • virksomhedens egen kontrol med databehandlere.

Efter anmodning fra Datatilsynet har IKEA udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At IKEA har iagttaget Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration.
  2. At IKEA – på tidspunktet hvor Datatilsynet varslede sit tilsyn – i vidt omfang ikke har levet op til persondatalovens1 krav om indgåelse af databehandleraftaler.
  3. At IKEA ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at IKEA ikke har efterlevet persondatalovens krav i forhold til punkt 2 og 3.

På den baggrund skal Datatilsynet anmode IKEA om en redegørelse for, hvilke specifikke skridt der er/vil blive taget for at sikre, at virksomheden fremadrettet vil efterleve persondataloven i forhold til punkt 2 og 3. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

Datatilsynet skal endvidere anmode IKEA om senest 8 uger fra dette brevs dato at bekræfte over for tilsynet, at IKEA har indgået de nødvendige databehandleraftaler.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Iagttagelse af Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration
1.1. Virksomhedens beskrivelse af sikkerheden
Datatilsynets tilladelse til behandling af personoplysninger i forbindelse med personaleadministration er givet under vilkår af, at virksomheden iagttager de minimumskrav til datasikkerhed, som er vedlagt som bilag 1 til tilladelsen.

I forbindelse med Datatilsynets tilsyn af IKEA har tilsynet anmodet IKEA om at oplyse, hvordan virksomheden sikrer at minimumskravene overholdes (bilagets punkt 2-12).

IKEA har i den forbindelse bl.a. oplyst følgende:

”Dette er en rutine som ligger I vores selfassement hver måned. Dette spørgsmål besvares af alle enheder i IKEA.”

Ifølge oplysningsskemaet bliver de enkelte enheder bl.a. spurgt om, hvorvidt medarbejderne er blevet informeret eller trænet i ”information security rules and procedures that are relevant for their job function”.

IKEA har i oplysningsskemaet oplistet en række eksempler på, hvad medarbejderne bliver trænet i, herunder:

User/password handling, lock screen when unattended, clean desk policy, reporting of suspicious information security incidents, how to handle sensitive information-how to handle customers personal information-handling of mobile equipment/laptops-visitor routines -etc." 

1.2. Begrænsning af adgange
Datatilsynet har herudover specifikt – under henvisning til ovenfor omtalte bilag 1, punkt 2 – anmodet IKEA om at oplyse, hvorvidt virksomheden har begrænset adgangen til personaleoplysninger til de personer, der har et sagligt behov for adgang til oplysningerne.

IKEA har svaret bekræftende på dette spørgsmål, og har i sin uddybning heraf bl.a. oplyst, at adgange er personlige og yderligere begrænset via job profiler.

Til spørgsmålet om hvor mange personer der har adgang til oplysninger i virksomhedens personaleadministration, har IKEA oplyst, at 400 brugere har adgang til virksomhedens tidsregistreringssystem, TimePlan.

IKEA har dertil oplyst, at personerne har behov for adgang til oplysningerne således, at de kan verificere arbejdstider, ferie, og andre årsager til fravær på arbejdspladsen.

IKEA har endvidere oplyst, at 60 personer ud af de 400 personer, som har adgang til Timeplan, kan se personlige data vedrørende de ansatte. IKEA har oplyst, at 8 personer ud af de 60 personer har administrator adgang og kan se data for alle medarbejdere i IKEA Danmark til brug for udarbejdelse af kontrakter og løn.

Til spørgsmålet om hvor mange personer der har adgang til virksomhedens lønsystem Global View, har IKEA oplyst, at 26 personer har adgang til virksomhedens lønsystem, hvoraf 8 personer har administrator adgang. IKEA har endvidere oplyst, at personerne har behov for adgang til oplysningerne for at kunne foretage den løbende lønbehandling.

Endelig har IKEA oplyst, at de personer som har adgang til TimePlan og Globalview - uden administrator rettigheder - alene har adgang til oplysninger om ansatte, som de er ansvarlige for i deres eget varehus.

1.3. Efter en gennemgang af IKEAs besvarelse af tilsynets spørgsmål vedrørende virksomhedens iagttagelse af Datatilsynets vilkår om datasikkerhed er det umiddelbart tilsynets vurdering, at IKEA har efterlevet de i bilag 1 beskrevne minimumskrav til datasikkerhed.

2. Databehandleraftaler
2.1. Tilsyn med om der er indgået databehandleraftaler
Datatilsynets tilsyn med IKEA omfattede en undersøgelse af virksomhedens efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

I forbindelse med denne undersøgelse har Datatilsynet anmodet IKEA om at udfylde et oplysningsskema for hver af de databehandlere, som virksomheden benytter til behandling af personoplysninger i forbindelse med sin personaleadministration.

IKEAs besvarelse af Datatilsynets oplysningsskemaer for databehandlere viser, at virksomheden benytter ti databehandlere i forbindelse med virksomhedens personaleadministration.

Virksomhedens besvarelse viser samtidig, at IKEA alene har indgået databehandleraftaler med tre ud af de ti anvendte databehandlere.

Datatilsynet henstiller derfor, at IKEA indgår databehandleraftaler med alle virksomhedens databehandlere, og at IKEA senest 8 uger fra dette brevs dato bekræfter over for tilsynet, at IKEA har indgået de nødvendige databehandleraftaler.

Datatilsynet bemærker desuden, at en af de tre omhandlede databehandleraftaler tilsyneladende først er indgået efter, at Datatilsynet havde varslet sit tilsyn med IKEA.

Datatilsynet skal i den anledning indskærpe, at persondatalovens § 42, stk. 2, indebærer, at der skal være indgået en databehandleraftale på det tidspunkt, hvor den dataansvarlige overlader en behandling af personoplysninger til en databehandler.

2.2. Tilsyn med om indsendte databehandleraftaler indeholder en passus om, at databehandleren handler efter instruks
Datatilsynet har endvidere stikprøvevis anmodet om at få en af de anvendte databehandleraftaler indsendt til gennemsyn. Datatilsynet har ikke foretaget en detaljeret gennemgang af den indsendte aftale, men har kun undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra IKEA. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til minimumskravene i persondatalovens § 42, stk. 2.

Den stikprøvevis indhentede aftale indeholder efter Datatilsynets opfattelse en klar tilkendegivelse af, at databehandleren alene handler efter instruks fra IKEA.

3. Virksomhedens kontrol med databehandlere
3.1. Kontrol af om virksomheden har påset sikkerheden hos sine databehandlere
IKEA skulle for hver af de anvendte databehandlere oplyse, om virksomheden har påset3, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven.

IKEAs besvarelse viser, at sikkerheden ikke er påset hos de anvendte databehandlere.

Hvad angår IKEAs databehandler Concur Technologies Inc., som virksomheden – ifølge e-mail af 21. september 2017 – har benyttet siden 2016, har IKEA over for Datatilsynet bekræftet, at virksomheden ikke har påset sikkerheden. IKEA har endvidere oplyst følgende:

IKEA gennemgår sikkerhedsforanstaltningerne for leverandører, når de påbegynder et samarbejde og har en løbende dialog om ændringer, når det er nødvendigt. Vi fortsætter med at investere ressourcer på en robust og risikobaseret leverandørvurderingsramme, som vil give os mulighed for at få sikkerhed for Concur.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At IKEA har iagttaget Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration.
  2. At IKEA – på tidspunktet hvor Datatilsynet varslede sit tilsyn – i vidt omfang ikke har levet op til persondatalovens krav om indgåelse af databehandleraftaler.
  3. At IKEA ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at IKEA ikke har efterlevet persondatalovens krav i forhold til punkt 2 og 3.

På den baggrund skal Datatilsynet anmode IKEA om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at virksomheden fremadrettet vil efterleve persondataloven i forhold til punkt 2 og 3. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

Datatilsynet skal endvidere anmode IKEA om senest 8 uger fra dette brevs dato at bekræfte over for tilsynet, at IKEA har indgået de nødvendige databehandleraftaler.

5. Særligt vedrørende IKEAs overførsel af personoplysninger til tredjelande
I de i afsnit 1 og 2 omtalte oplysningsskemaer har Datatilsynet anmodet IKEA om at oplyse, om der benyttes databehandlere i tredjelande, og hvad hjemmelsgrundlaget til overførslen i givet fald er, jf. persondatalovens § 274.

IKEA har i den forbindelse oplyst, at virksomhedens underdatabehandlere, Automatic Data Processing Inc. og Predictive Index LLC, er beliggende i USA, og at Tower Watson Global Business Services Inc. er beliggende i Filippinerne.

IKEA har dertil oplyst, at man benytter EU Kommissionens Standardkontraktbestemmelser5 som overførselsgrundlag i forbindelse med overførsel af personoplysninger til ovennævnte underdatabehandlere.

IKEA har imidlertid oplyst, at EU Kommissionens Standardkontraktbestemmelser alene er indgået mellem ovennævnte underdatabehandlere og IKEAs databehandlere (IKEA IT AB og IKEA Services BV). Datatilsynet skal i den forbindelse understrege, at IKEA A/S - efter de nugældende regler i persondataloven - selv skal optræde som dataeksportør i de standardkontraktbestemmelser, der benyttes. Når IKEA A/S’ første databehandler i kæden er etableret i EU kan kædemodellen i Kommissionens standardkontraktbestemmelser fra 2010 om overførsel af personoplysninger til en databehandler i et tredjeland ikke benyttes. Der skal således i stedet indgås standardkontrakter med alle databehandlere i denne situation.

På baggrund af ovennævnte finder Datatilsynet det meget beklageligt, at IKEA har overført personoplysninger til underdatabehandlere i USA og Filippinerne uden at have et særskilt overførselsgrundlag i persondatalovens § 27.

6. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra IKEA.

_________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
4Ved et tredjeland forstås en stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger – det vil sige de såkaldte EØS-lande. Dette betyder, at f.eks. Norge og Island ikke er at betragte som tredjelande, men at Grønland og Færøerne skal betragtes som tredjelande. 

Overførsel af personoplysninger til tredjelande kræver et særskilt hjemmelsgrundlag i persondatalovens § 27. Bestemmelsen gælder både ved videregivelse af personoplysninger til en anden dataansvarlig, ved overladelse af personoplysninger til en databehandler samt ved intern brug, f.eks. inden for en koncern.

5www.datatilsynet.dk/erhverv/tredjelande/kommissionens-standardkontrakter//

Afgørelser efter emneord:


Fritekstsøgning i afgørelser