Uautoriseret adgang til videoovervågning

Dato: 18-06-2020
Afgørelse Private virksomheder Kritik Anmeldt brud på persondatasikkerheden Anmeldelse af brud på persondatasikkerheden Behandlingssikkerhed Underretning af registrerede ved brud på persondatasikkerheden

Datatilsynet har i forbindelse med et alvorligt sikkerhedsbrud fundet, at Salling havde truffet passende tekniske og organisatoriske foranstaltninger, men udtaler kritik af, at Salling først anmeldte hændelsen til tilsynet 10 dage efter, at virksomheden blev bekendt med episoden.

Journalnummer: 2020-441-4652

Resumé

Datatilsynet har truffet afgørelse i en sag, hvor en medarbejder hos Salling lukkede en tidligere ansat ind ad personaleindgangen og ind i et aflukket portnerlokale og viste den tidligere ansatte videoovervågningsmateriale fra forretningens område, hvor der fremgik billeder af den tidligere ansattes ekskæreste, som var ude at shoppe med en veninde.

Trods episoden fandt Datatilsynet, at Salling havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til de risici, der foreligger ved den pågældende behandling af personoplysninger, og at virksomheden ikke kunne anses for ansvarlig for den pågældende hændelse.

Ud over mange af de foranstaltninger, Salling har truffet, lagde Datatilsynet vægt på, at en medarbejder bevidst og mod bedre vidende på flere måder, f.eks ved at give en tidligere ansat adgang til bygningen, brød virksomhedens retningslinjer. Datatilsynet fandt videre, at medarbejderen foretog indtil flere handlinger, som lå udover, hvad der med rimelighed kunne forventes, at Salling skulle have været forberedt på eller truffet foranstaltninger med henblik på at undgå.

Datatilsynet har derfor alene udtalt kritik af den for sene anmeldelse af hændelsen til tilsynet.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Salling Group A/S (herefter Salling) den 18. januar 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet over. Anmeldelsen har følgende referencenummer:

a61a346882d03d0c952d254b5d078161ce6409e6

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at det er grundlag for at udtale kritik af, at Sallings behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen[1] artikel 33, stk. 1.

Herudover finder Datatilsynet, at Sallings behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1 og 34, stk. 1. 

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Salling har den 18. januar 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Det fremgår af sagen, at Salling den 8. januar 2020 konstaterede, at en ansat vagt den 20. december 2019 lukkede en tidligere ansat vagt ind ad personaleindgangen og ind i et aflukket portnerlokale, og herefter gav den tidligere ansatte adgang til at se og optage video af videoovervågningsmateriale fra forretningens område på TV skærme, som kun kan ses i portnerlokalet. Af videoen fremgik billeder af den tidligere ansattes ekskæreste, som var ude at shoppe med en veninde.

Den tidligere ansatte sendte herefter videosekvensen til ekskæresten, som fremgik af optagelserne. Ekskæresten gjorde den 8. januar 2020 Salling opmærksom på hændelsen.

Salling har oplyst, at både afsender og modtageren af optagelserne har bekræftet at have slettet oplysningerne.

Salling har endvidere oplyst, at der er etableret adgangskontrol ved personaleindgangen. Derudover sidder der en fysisk vagt i lokalet med henblik på at sikre, at ingen uvedkommende får adgang til lokalet og videoovervågningen. Døren ind til det særskilte portnerlokale er aflåst, når der ikke er en vagt tilstede. Det er kun betroede medarbejdere, der har adgang til portnerlokalet. Videomaterialet kan derudover kun tilgås i Salling Groups hovedkvarter, hvor det på tilsvarende vis alene er betroede medarbejdere, der har adgang.

Salling har udarbejdet en informationssikkerhedspolitik, som er tilgængelig på Salling Groups intranet. Informationssikkerhedspolitikken revideres hvert andet år. Den nugældende version er fra 2018 og revideres i 2020. Derudover er der udarbejdet en version til brug for medarbejdere, som tillige er tilgængelig på intranettet.

Salling har videre oplyst, at det af virksomhedens ansættelseskontrakter og medarbejderhåndbog bl.a. fremgår, at informationer og oplysninger som medarbejderen får kendskab til under ansættelsesforholdet skal behandles fortroligt og dermed ikke må viderebringes til personer uden for virksomheden.

Salling har endvidere oplyst, at alle nye medarbejdere skal i forbindelse med ansættelsens begyndelse gennemgå to e-learningskurser vedrørende IT sikkerhed og databeskyttelse. Derudover er der opsat tydelig, synlig, skiltning på skærme, der viser videoovervågningsmateriale. Endvidere er der i september 2019 udsendt en mail til alle portnere og p-vagter med tilknytning til forretningen, der henviser til, at der alene må videregives materiale fra tv-overvågning til politiet og således ikke til øvrige parter. Denne mail er gennemgået på kontormøde med portnere i forretningen ligeledes i september 2019. Herudover kan Salling Group oplyse, at det omtalte datasikkerhedsbrud ydermere har afstedkommet, at forretningen har bedt alle portnere og p-vagter om skriftligt at bekræfte, at de har læst de gældende regler.

Herudover har Salling oplyst, at en af de to berørte personer gjorde Salling opmærksom på hændelsen den 8. januar 2020. Salling tog herefter sagen under behandling med henblik på en nærmere afklaring af de faktiske omstændigheder, og foretog den 18. januar 2020 anmeldelse af hændelsen som et brud på persondatasikkerheden til Datatilsynet.  

Afslutningsvis har Salling oplyst, at virksomheden ikke har underrettet de to personer, der fremgår af optagelserne, efter databeskyttelsesforordningens artikel 34, stk. 1. Salling har for så vidt de to personer lagt vægt på, at det var den ene person, der gjorde virksomheden opmærksom hændelsen, og at der ikke foreligger en høj risiko for den anden persons tab af rettigheder eller frihedsrettigheder. Salling anser det i øvrigt for meget sandsynligt, at vedkommende allerede er orienteret om hændelsen af førstnævnte person.

3. Begrundelse for Datatilsynets afgørelse

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Datatilsynet lægger på baggrund af det af Salling oplyste til grund, at oplysninger fra Sallings overvågningskamera er blevet videregivet til en tidligere ansat og dennes ekskæreste.

Datatilsynet lægger på den baggrund til grund, at der er sket en uautoriseret videregivelse af personoplysninger til uvedkommende, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Datatilsynet finder imidlertid, at Salling har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den pågældende behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har i den forbindelse lagt vægt på, at alle Sallings medarbejdere skal gennemgå to kurser vedrørende IT sikkerhed og databeskyttelse, at virksomheden har opsat tydelig, synlig, skiltning på skærme, der viser videoovervågningsmateriale, at Salling i september 2019 udsendte en e-mail til alle portnere og p-vagter med tilknytning til virksomheden, der henviser til, at der alene må videregives materiale fra tv-overvågning til politiet og således ikke til øvrige parter, og at denne e-mail er gennemgået på kontormøde med portnere i forretningen i september 2019.

Herudover har Datatilsynet lagt vægt på, at Salling til Datatilsynet har citeret virksomhedens fortrolighedsaftaler og medarbejderhåndbøger, hvoraf det direkte fremgår, at informationer ikke må viderebringes til personer uden for virksomheden, at virksomheden har retningslinjer for, hvilke personer der må tilgå videoovervågningen, og at det af virksomhedens retningslinjer for it-anvendelse fremgår, at medarbejdernes manglende overholdelse af retningslinjerne kan få konsekvenser for ansættelsesforholdet, herunder ved eventuel afskedigelse.

Datatilsynet vurderer, at Saling ikke kan anses for være ansvarlig for, at en medarbejder bevidst og mod bedre vidende på flere måder, herunder ved at give en tidligere ansat adgang til bygningen, har brudt virksomhedens retningslinjer. Datatilsynet finder, at medarbejderen har foretaget indtil flere handlinger, som ligger udover, hvad der med rimelighed kunne forventes, at Salling skulle have været forberedt på eller truffet foranstaltninger med henblik på at undgå.

Datatilsynet har videre lagt vægt på, at hændelsen fremstår som en afgrænset og enkeltstående hændelse, der er sket som følge af en abnorm handling, og at både afsender og modtageren af optagelserne har bekræftet at have slettet oplysningerne.

På den baggrund finder Datatilsynet, at Sallings behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har noteret sig, at det omtalte brud på persondatasikkerheden ydermere har afstedkommet, at virksomheden har bedt alle portnere og p-vagter om skriftligt at bekræfte, at de har læst de gældende retningslinjer.

3.2. Databeskyttelsesforordningens artikel 33

Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Datatilsynet finder, at Salling – ved at anmelde bruddet på persondatasikkerheden 10 dage efter virksomheden blev bekendt med hændelsen – ikke har handlet overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

Datatilsynet har i den forbindelse lagt vægt på, at modtageren af oplysningerne gjorde Datatilsynet opmærksom på hændelsen den 8. januar 2020, og at Salling anmeldte bruddet på persondatasikkerheden til Datatilsynet 18. januar 2020. Datatilsynet finder ikke, at det af Salling anførte om, at tidsfristen ikke er overholdt, da sagen har været under behandling med henblik på nærmere afklaring af de faktiske omstændigheder, kan føre til et andet resultat.

3.3. Databeskyttelsesforordningens artikel 34

Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Datatilsynet finder, at Salling har handlet i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.

Datatilsynet tilslutter sig i den forbindelse det af Salling anførte om, at den ene af de to berørte personer var den, der gjorde virksomheden opmærksom hændelsen, og at der ikke foreligger en høj risiko for den anden berørte persons rettigheder eller frihedsrettigheder.

3.4. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at det er grundlag for at udtale kritik af, at Sallings behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

Herudover finder Datatilsynet, at Sallings behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1 og 34, stk. 1. 

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).