Journalnummer: 2019-32-0704
Resume
Datatilsynet har i en klagesag udtalt alvorlig kritik af Høje-Taastrup Kommune i en sag om sletning.
En borger havde klaget til tilsynet over, at Høje-Taastrup Kommune ikke slettede vedkommendes patientjournal. Kommunen var enig med borgeren i, at patientjournalen skulle slettes, idet oplysningerne var sendt til kommunen ved en fejl. Høje-Taastrup Kommune oplyste, at kommunen havde forsøgt at få sin databehandler til at slette oplysningerne, og at det var databehandlerens forhold, der gjorde, at det trak ud med at få foretaget sletningen.
Ved sin afgørelse har Datatilsynet lagt vægt på, at der gik næsten et år, fra klager anmodede Høje-Taastrup Kommune om, at oplysningerne blev slettet, til dette blev gennemført, og at kommunen som dataansvarlig skal sikre, at den registreredes rettigheder bliver iagttaget. Dette indebærer blandt andet, at den dataansvarlige skal bruge en databehandler, der kan stille de fornødne garantier for, at der kan gennemføres passende tekniske og organisatoriske foranstaltninger, som sikrer beskyttelsen af de registreredes rettigheder.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor [X] (herefter klager) den 18. marts 2019 har klaget til tilsynet over, at Høje-Taastrup Kommune har afvist at slette personoplysninger om [X] i form af en patientjournal, som Rigshospitalet utilsigtet har videregivet til kommunen.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Høje-Taastrup Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 5, artikel 17, stk. 1, og artikel 12, stk. 3.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at Rigshospitalet ved en fejl videregav klagers patientjournal til Høje-Taastrup Kommune. Klager anmodede herefter Høje-Taastrup Kommune om at slette patientjournalen i begyndelsen af maj 2018 ved henvendelse til kommunens Jobcenter. Høje-Taastrup Kommune anmodede den 30. juli 2018 sin databehandler – EG – om at slette det pågældende dokument i Netforvaltning Sundhed.
Den 18. marts 2019 henvendte klager sig til Datatilsynet om Høje-Taastrup Kommunes behandling af [X]’s personoplysninger. Som led i sin behandling af klagesagen anmodede Datatilsynet den 28. marts 2019 Høje-Taastrup Kommune om en udtalelse, som tilsynet modtog den 6. august 2019.
Den 30. april 2019 slettede EG på vegne af Høje-Taastrup Kommune patientjournalen.
2.1. Klagers bemærkninger
Klager har i forbindelse med klagen til Datatilsynet anført, at Høje-Taastrup Kommune har afvist at slette denne journal, idet sletning af journalen ikke umiddelbart var mulig som følge af kommunens systemindretning.
Klager har ligeledes oplyst, at Styrelsen for Patientsikkerhed har truffet afgørelse om Rigshospitalets videregivelse af journalen.
2.2. Høje-Taastrup Kommunes bemærkninger
Høje-Taastrup Kommune har i forbindelse med Datatilsynets behandling af klagesagen anført, at kommunen ikke har afvist klagers anmodning om sletning af den omhandlede patientjournal.
Høje-Taastrup Kommune har endvidere anført, at kommunen ikke selv har mulighed for at slette akter i sager, hvor større aktører som eksempelvis en region er part. Kommunen har gjort, hvad den kunne for at få slettet oplysningerne. Den langsommelige sletning blev ikke forårsaget af kommunen, men af databehandleren. Det har været vanskeligt at få EG til at slette journalen, og kommunen har løbende været i kontakt med EG angående forholdet. Kommunens borgerrådgivning blev afslutningsvis inddraget i sagen.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet har lagt til grund, at Rigshospitalet ved en fejl videresendte en patientjournal til Høje Taastrup Kommune, og at patientjournalen ikke har indgået i eller været nødvendig for Høje Taastrup Kommunes udførelse af sine myndighedsopgaver i forhold til klager.
Datatilsynet har endvidere lagt til grund, at Høje Taastrup Kommune var enig med klager i, at klager havde ret til at få oplysningerne slettet.
Datatilsynet har ved afgørelsen lagt vægt på, at det følger af forordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Endvidere følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes. Dette betyder, at den dataansvarlige bl.a. skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål – også når den dataansvarlige beder en anden part (en databehandler) om at behandle oplysningerne på sine vegne.
Efter artikel 12, stk. 3, skal en registrerets anmodning om bl.a. sletning foretages uden unødig forsinkelse og senest en måned efter anmodningens modtagelse. Denne periode kan forlænges med to måneder, hvis det er nødvendigt under hensyntagen til anmodningernes kompleksitet eller antal.
Databeskyttelsesforordningens artikel 17 omhandler den registreredes ret til sletning, og den dataansvarliges pligt foretage sletning, hvis betingelserne i bestemmelsen er opfyldt.
På baggrund af sagens oplysninger om, at Høje Taastrup Kommune anmodede databehandleren om at foretage sletning mere end to måneder efter, at kommunen modtog klagers anmodning om sletning, og at sletningen herefter blev foretaget af kommunens databehandler 9 måneder efter, at kommunen havde anmodet herom, og næsten et år efter klagers anmodning om sletning, er det Datatilsynets opfattelse, at Høje-Taastrup Kommune ikke har efterlevet klagers ret til sletning af klagers personoplysninger i medfør af databeskyttelsesforordningens artikel 17, stk. 1, og artikel 12, stk. 3.
Datatilsynet bemærker vedrørende det oplyste om databehandlerens forsinkede foretagelse af sletning, at kommunen som dataansvarlig i medfør af databeskyttelsesforordningens artikel 24, stk. 1, skal sikre iagttagelse af de registreredes rettigheder.
Endvidere er kommunen efter artikel 28, stk. 1, forpligtet til at benytte en databehandler, der kan stille de fornødne garantier for, at databehandleren vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i forordningen og sikrer beskyttelse af den registreredes rettigheder, ligesom den dataansvarlige skal forholde sig til, hvordan databehandlerens forpligtelser opfyldes i praksis.
Datatilsynet har noteret sig kommunens oplysning om, at kommunen flere gange rettede henvendelse til databehandleren med henblik på, at den omhandlede sletning blev gennemført, men at det først var i slutningen af marts 2019, da kommunens borgerrådgivning gik ind i sagen og lagde pres på databehandleren, at oplysningerne herefter blev slettet den 30. april 2019.
På baggrund af sagens omstændigheder vurderer Datatilsynet imidlertid, at Høje-Taastrup Kommune som dataansvarlig ikke i tilstrækkelig grad har sikret overholdelse af forordningens bestemmelser, og at kommunen derfor ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 5, artikel 17, stk. 1, og artikel 12, stk. 3, hvilket giver Datatilsynet anledning til at udtale alvorlig kritik.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).