Journalnummer: 2019-441-1480
Resume
Datatilsynet har fundet grundlag for at udtale alvorlig kritik af, at PrivatBo – i forbindelse med tilbudspligt – utilsigtet udleverede en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt. Den utilsigtede videregivelse af disse oplysninger skete til trods for, at PrivatBo havde antaget et eksternt revisionsselskab med henblik på at kvalitetssikre materialet.
Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at PrivatBos behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, og at der for så vidt angår sikkerhedsbruddet, der fandt sted den 10. januar 2019, tillige er en overtrædelse af databeskyttelsesforordningens artikel 33.
Datatilsynet har derfor dags dato indgivet politianmeldelse til Københavns Politi vedrørende sikkerhedsbruddet anmeldt den 23. december 2018.
Datatilsynet finder herudover grundlag for at udtale alvorlig kritik af, at PrivatBo den 10. januar 2019, som led i opfyldelse af tilbudspligten, jf. lejelovens §§ 100-103, utilsigtet udleverede en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt.
Datatilsynet finder i den forbindelse, at PrivatBo som dataansvarlig ikke har gennemført passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et passende sikkerhedsniveau under hensyn til de risici, som behandlingen udgjorde, og som kræves efter databeskyttelsesforordningens artikel 32.
Datatilsynet finder endvidere grundlag for at udtale alvorlig kritik af, at PrivatBo ikke i forbindelse med sikkerhedsbruddet der fandt sted den 10. januar 2019, uden unødig forsinkelse og senest 72 timer efter at PrivatBo blev bekendt hermed, anmeldte bruddet til Datatilsynet, hvilket udgør en overtrædelse af databeskyttelsesforordningens artikel 33.
Nedenfor følger en gennemgang af sagens omstændigheder og en nærmere begrundelse for Datatilsynets afgørelse.
1. Sagsfremstilling
PrivatBo bistod i 2018 som led i administrationen Frederiksberg Boligfond i forbindelse med et påtænkt salg af ejendommene ”Peter Bangs Hus”, ”Svalegården” og ”Den Sønderjyske By”. I den forbindelse udarbejdede PrivatBo materiale til de omhandlede ejendomme i forbindelse med tilbudspligten, jf. lejelovens §§ 100-103. Materialet blev uddelt til lejerne af de pågældende ejendomme på USB-nøgler.
Den 23. december 2018 anmeldte PrivatBo et brud på persondatasikkerheden til Datatilsynet, idet PrivatBo i forbindelse med en due-diligence og opfyldelse af tilbudspligt jf. lejelovens §§ 100-103, utilsigtet havde videregivet en række personnumre og en enkelt helbredsoplysning i et virtuelt datarum og på USB-nøgler uddelt til beboere omfattet af tilbudspligten.
Den 8. januar 2019 fremsendte PrivatBo en opfølgning på anmeldelsen af den 23. december 2018 indeholdende bl.a. oplysninger om underretning og håndtering i forbindelse med sikkerhedsbruddet.
Den 10. januar 2019 fremsendte Datatilsynet et høringsbrev med tilhørende spørgeskema til PrivatBo, som blev bedt om at redegøre nærmere for sikkerhedsbruddet, herunder hvilke tekniske og organisatoriske foranstaltninger der var gennemført forud for sikkerhedsbruddet.
Den 12. og 13. januar 2019 modtog Datatilsynet to klager over, at PrivatBo den 10. januar 2019 på ny havde udleveret USB-nøgler til beboerne i ejendommen ”Svalegården”. På USB-nøglerne uddelt til lejerne i ejendommen ”Svalegården” var der en liste vedrørende lejemålene i ejendommen ”Den Sønderjyske By”. Listen indeholdt oplysninger om adresse, beløb på depositum samt beløb på forudbetalt leje. Derudover angav listen 17 tilfælde, hvor der var foretaget udlæg. Ud for disse lejemål var angivet: ”Udlæg foretaget”. I et tilfælde derudover, var der angivet: ”Lån depositum”.
Den 31. januar 2019 modtog Datatilsynet en redegørelse med tilhørende bilag af sikkerhedsbruddet, der blev anmeldt den 23. december 2018. Redegørelsen er udarbejdet af Labora Legal på vegne af PrivatBo.
Den 19. februar 2019 fremsendte Datatilsynet et høringsbrev til PrivatBo, som blev bedt om nærmere at redegøre for sikkerhedsbruddet den 10. januar 2019. Labora Legal henviste på vegne af PrivatBo i den forbindelse til redegørelsen af 31. januar 2019.
Den 14. maj 2019 anmodede Datatilsynet PrivatBo om yderligere oplysninger, om bl.a. begrundelsen for at listen var udleveret til beboere i ”Svalegården”.
Den 28. maj 2019 anmeldte PrivatBo sikkerhedsbruddet, der fandt sted den 10. januar 2019 til Datatilsynet.
Den 31. maj 2019 fremsendte Labora Legal på vegne af PrivatBo en supplerende redegørelse til brug for Datatilsynets behandling af sagen.
Den 11. juni 2019 anmodede Datatilsynet PrivatBo om yderligere oplysninger om bl.a. aftalegrundlaget med PwC, der var antaget som ekstern kvalitetskontrol forud for sikkerhedsbruddet, der fandt sted den 10. januar 2019.
Den 27. juni 2019 fremsendte Labora Legal på vegne af PrivatBo en supplerende redegørelse til brug for Datatilsynets vurdering af sikkerhedsbruddet, der fandt sted den 10. januar 2019.
2. PrivatBos bemærkninger
2.1. Den dataansvarlige behandler
PrivatBo har i sin redegørelse udarbejdet af Labora Legal, bilag 6, pkt. 3., oplyst, at PrivatBo anser sig som dataansvarlig i forhold til data om lejere, idet PrivatBo indtager en så selvstændig rolle i forhold til lejere og udlejere, at PrivatBo selv beslutter hvilke personlige oplysninger, der indsamles og til hvilket formål, hvilke hjælpemidler samt beslutter langt de fleste, hvis ikke alle sagsbehandlingsskridt.
2.2. Tekniske og organisatoriske foranstaltninger
PrivatBo har i sin redegørelse af 31. januar 2019 udarbejdet af Labora Legal, bilag 6, nærmere redegjort for de tekniske og organisatoriske sikkerhedsforanstaltninger, som blev gennemført i forbindelse med tilvejebringelse af materiale til brug for tilbudspligt og due-diligence for at sikre et passende sikkerhedsniveau under hensyn til de risici, som behandlingen udgjorde.
Herunder har PrivatBo blandt andet og navnlig anført, at man foretog en persondatabeskyttelsesbaseret gennemgang af de dokumenter, hvor der uanset pligten til at udlevere hele dokumentet, kunne være forhøjet risiko for registrerede.
Det blev identificeret, at dokumenter, som der var pligt til at udlevere, men som kunne indeholde personnummer, helbredsoplysninger, oplysninger om straffeforhold og lovovertrædelser samt oplysninger som åbenbart kunne kræves unddraget videregivelsen (fortrolige oplysninger), skulle omfattes af det ekstra persondatabeskyttelsesbaserede review med henblik på at udstrege oplysningerne, eller på anden måde anonymisere dokumentet.
PrivatBo har endvidere, dels i sin redegørelse af 31. januar 2019 som bilag 6 (PwCs egen redegørelse), dels i redegørelsen af 31. maj 2019 anført, at PrivatBo, på baggrund af det sikkerhedsbrud, der blev anmeldt den 23. december 2018, antog PwC som ekstern kvalitetskontrol til at validere, om der indgik følsomme og fortrolige oplysninger i materialet, der blev omdelt på USB-nøgler den 10. januar 2019.
Endelig har PrivatBo henvist til, at listen alene indeholdt reference til lejemålsnummer og adresse, og at det derfor er PrivatBos opfattelse, at der er tale om pseudonymiserede oplysninger.
2.3. Anmeldelse af sikkerhedsbruddet
Den 19. februar 2019 fremsendte Datatilsynet et høringsbrev til PrivatBo, som blev bedt om nærmere at redegøre for sikkerhedsbruddet den 10. januar 2019.
Labora Legal har i sin redegørelse af 31. maj 2019 anført, at PrivatBo den 10. januar 2019 modtog besked om, at den pågældende liste var udleveret til lejerne i ”Svalegården”. PrivatBo iværksatte straks undersøgelser og rådførte sig med PwC, der oplyste, at listen ikke indeholdt personoplysninger.
Labora Legal har i sin redegørelse af 31. maj 2019 anført, at PrivatBo på baggrund af Datatilsynets seneste henvendelse (14. maj 2019) har ændret sin opfattelse og anerkendt, at listen indeholdt personoplysninger, og at der har været et sikkerhedsbrud. På den baggrund har PrivatBo den 28. maj 2019 indberettet bruddet til Datatilsynet.
3. Begrundelse for Datatilsynets afgørelse
3.1. Tekniske og organisatoriske foranstaltninger
Datatilsynet lægger til grund, at PrivatBo, under de ovenfor i pkt. 2.1. nævnte omstændigheder, er dataansvarlig.
Datatilsynet lægger endvidere til grund, at PrivatBo som dataansvarlig den 10. januar 2019 til lejerne i ejendommen ”Svalegården”, som led i tilbudspligten, jf. lejelovens §§ 100-103, udleverede en USB-nøgle med tilbudsmateriale, og at der ved en fejl lå en liste på USB-nøglen med personoplysninger, som vedrørte lejerne i ejendommen ”Den Sønderjyske By”, og at videregivelsen af personoplysningerne derfor var utilsigtet.
Forud for sikkerhedsbruddet har PrivatBo som teknisk og organisatorisk foranstaltning foretaget en persondatabeskyttelsesbaseret gennemgang af de dokumenter, hvor der, uanset pligten til at udlevere hele dokumentet, kunne være forhøjet risiko for registrerede. Der er således sket anonymisering af retsbogsudskrifter, afgørelser fra huslejeankenævnet samt restancelister.
PrivatBo har endvidere antaget PwC som ekstern kvalitetskontrol til at validere om der indgik følsomme og fortrolige oplysninger i materialet, der blev omdelt på USB-nøgler den 10. januar 2019.
Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger, der passer til risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder.
Der påhviler således den dataansvarlige en pligt til at identificere de risici den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravene i artikel 32 indebærer, at PrivatBo har en pligt til at sikre, at de personoplysninger som de behandler ikke kommer til uvedkommendes kendskab.
Datatilsynet finder, at PrivatBo som dataansvarlig ikke har gennemført de passende tekniske og organisatoriske sikkerhedsforanstaltninger, i forbindelse med uddeling af materiale til brug for tilbudspligt, for at sikre et passende sikkerhedsniveau under hensyn til de risici, som behandlingen udgjorde og som kræves efter databeskyttelsesforordningens artikel 32.
Datatilsynet har ved vurderingen lagt vægt på bruddets karakter, herunder, at der er tale om videregivelse af oplysninger på en liste, som knytter sig til en forkert ejendom. Der er tale om en fejl, der uden særlig fagkundskab er let at opdage, og som bunder i manglende grundighed. Der er endvidere lagt vægt på, at sikkerhedsbruddet den 10. januar 2019 er det andet sikkerhedsbrud i forbindelse med opfyldelse af tilbudspligten.
Datatilsynet har endvidere lagt vægt på, at risikoen ved videregivelsen af oplysningerne er de registreredes omdømme, herunder antagelsen om en dårlig økonomi.
Den omstændighed, at PrivatBo har antaget PwC som ekstern kvalitetskontrol, og at PwC overfor PrivatBo havde tilkendegivet, at der ikke var personoplysninger, som ikke var nødvendige i forbindelse med opfyldelse af tilbudspligten, kan ikke føre til andet resultat. I den forbindelse har Datatilsynet lagt vægt på, at fejlen var let at opdage ved gennemsyn – også for personer uden særlig fagkundskab.
Datatilsynet har dog tillagt det vægt i formildende retning, at PrivatBo antog PwC som ekstern kvalitetskontrol.
Datatilsynet skal endvidere bemærke, at tilsynet ikke er enig i PrivatBos vurdering af, at de videregivne personoplysninger er pseudonymiserede, idet de supplerende oplysninger ikke opfylder kravet i artikel 4, nr. 5, om at de skal opbevares separat og være underlagt tekniske og organisatoriske foranstaltninger.
Datatilsynet har dog ved vurderingen af overtrædelsen af artikel 32 i formildende retning lagt vægt på, at PrivatBo generelt har været opmærksom på dataminimering.
Efter en samlet vurdering har Datatilsynet fundet anledning til at udtale alvorlig kritik af forholdet.
3.2. Anmeldelse af sikkerhedsbruddet
For så vidt angår anmeldelsen af sikkerhedsbruddet lægger Datatilsynet til grund, at PrivatBo allerede den 10. januar 2019 blev bekendt med, at listen ved en fejl var udleveret til lejerne i ”Svalegården”. Datatilsynet lægger endvidere til grund, at PrivatBo var i en vildfarelse, i hvert fald frem til den 14. maj 2019, om at der ikke var sket videregivelse af personoplysninger.
Af databeskyttelsesforordningens artikel 33 fremgår, at brud på persondatasikkerheden, uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet skal anmelde det til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Datatilsynet finder, at der foreligger en overtrædelse af artikel 33, stk. 1, idet PrivatBo ikke i forbindelse med sikkerhedsbruddet, der fandt sted den 10. januar 2019 uden unødig forsinkelse, og senest 72 timer efter at PrivatBo blev bekendt hermed, anmeldte bruddet til Datatilsynet.
Datatilsynet har ved vurderingen lagt vægt på den tid der er gået fra PrivatBo blev bekendt med, at der var sket et sikkerhedsbrud, til at bruddet blev anmeldt, og på, at PrivatBo ikke har godtgjort, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Den omstændighed at LaboraLegal har anført, at PrivatBo i en periode befandt sig i en vildfarelse om hvorvidt, der var tale om personoplysninger kan ikke efter almindelige retsprincipper og navnlig under hensyn til, at vildfarelsen ikke er undskyldelig, føre til et andet resultat.
Datatilsynet finder anledning til at udtale alvorlig kritik af forholdet.
Datatilsynet har ved denne vurdering lagt vægt på, at det var det andet sikkerhedsbrud i forbindelse med tilbudspligten.