Journalnummer: 2020-442-8866
Resume
Datatilsynet har nu afsluttet behandlingen af tilsynets brud på persondatasikkerheden. Bruddet bestod i, at papirmateriale, som indeholdt fortrolige og følsomme oplysninger, og som derfor skulle have været makuleret, ved en fejl blev bortskaffet som almindeligt papiraffald. Datatilsynet har formelt anmeldt bruddet til tilsynet, men det skete ikke inden for fristen på højst 72 timer, efter bruddet blev konstateret.
Datatilsynet udtaler – efter sagen har været behandlet på et møde i Datarådet - alvorlig kritik af bruddet og den manglende overholdelse af tidsfristen.
Datatilsynet har tidligere i en række tilsvarende sager, hvor papirmateriale ikke er blevet bortskaffet korrekt, ikke fundet anledning til at udtale egentlig kritik, men blot konstateret, at bruddene har fundet sted.
Når Datatilsynet i denne sag udtaler alvorlig kritik, har tilsynet lagt vægt på, at tilsynet har en særlig forpligtelse til at overholde de krav, der følger afmyndighedens eget område.
Afgørelse
Datatilsynets sekretariat[1] har den 10. august 2020 anmeldt et brud på persondatasikkerheden. Anmeldelsen har følgende referencenr.: 085c9904700e6a8aebe6edae2d8be011bb8ed652.
1. Afgørelse
Efter en gennemgang af sagen, og efter at sagen har været behandlet på et møde i Datarådet, finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at sekretariatets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1, og artikel 33, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for afgørelsen.
2. Datatilsynets kompetence
Datatilsynet har i forbindelse med behandlingen af nærværende brud på persondatasikkerheden fundet anledning til at overveje, hvorvidt tilsynet har den fornødne habilitet til at behandle sagen, der udspringer af Datatilsynets egne forhold, eller om sagen i stedet ville kunne overlades til en anden myndighed under henvisning til de samme sagligheds- og tillidshensyn, som f.eks. gør sig gældende i forhold til personlig inhabilitet.
Efter Datatilsynets vurdering har tilsynet imidlertid ikke mulighed for at overlade sagens behandling til en anden (uafhængig) myndighed med tilsvarende faglige kompetencer. Datatilsynet har i den forbindelse også lagt særlig vægt på, at det ved lov udtrykkeligt er bestemt, at tilsynet har kompetencen til at behandle sager om brud på persondatasikkerheden, jf. databeskyttelseslovens § 27, jf. databeskyttelsesforordningens artikel 57, stk. 1, litra a, jf. artikel 32 og 33.
Datatilsynet har – for at imødekomme bl.a. tillidshensyn – truffet beslutning om, at denne afgørelse skal offentliggøres, ligesom sagen har været behandlet på et møde i Datarådet.
3. Sagsfremstilling
Sekretariatet har i sin anmeldelse oplyst, at en medarbejder i sekretariatet den 5. august 2020 konstaterede, at fysiske dokumenter – som skulle have været makuleret, fordi de kunne indeholde fortrolige og følsomme personoplysninger – var blevet bortskaffet som almindeligt papiraffald. Der er tale om materiale, som ellers opbevares elektronisk i Datatilsynets systemer, men som i forbindelse med sekretariatets sagsbehandling er blevet printet af medarbejderne, når de f.eks. har skullet drøfte en sag internt eller læse korrektur på et udkast til et brev eller et notat.
Det fremgår endvidere af sagen, at under forberedelsen af Datatilsynets flytning til nye lokaler i Valby meddelte sekretariatet udlejer af lokalerne, at tilsynet til brug for bortskaffelse af den ovenfor nævnte type af papiraffald havde behov for en plastikbeholder til papiraffald, som skulle makuleres. En sådan plastikbeholder til makulering blev imidlertid ikke stillet op, hvilket der også i første omgang blev fulgt op på. På grund af interne misforståelser blev en plastikbeholder til almindeligt papiraffald i stedet markeret som makuleringsbeholder, uden at det blev kontrolleret, hvorvidt der var tale om en sådan beholder.
Fra Datatilsynets indflytning i nye lokaler den 3. februar og frem til den 5. august 2020 anvendte tilsynets medarbejdere den pågældende beholder til bortskaffelse af papiraffald, der skulle makuleres. I en periode på ca. tre måneder (13. marts - 15. juni 2020), hvor Datatilsynets medarbejdere arbejdede hjemmefra på grund af Covid-19-situationen, bortskaffede medarbejderne dog kun i meget beskedent omfang papiraffald med henblik på makulering.
Sekretariatet har fået oplyst, at plastikbeholderen er blevet tømt 2-3 gange om ugen, hvorefter papiraffaldet er blevet opbevaret i en container i et aflåst skralderum. Indholdet af rummets to papircontainere er blevet afhentet tirsdage og fredage, hvorefter papiret er blevet kørt til genanvendelse – typisk til pap, avispapir o.l.
Herudover fremgår det af sagen, at sekretariatet i umiddelbar forlængelse af, at det var blevet konstateret, at papiraffaldet i den pågældende plastikbeholder ikke – som forudsat – blev makuleret, men derimod blev behandlet som almindeligt papiraffald, iværksatte tiltag med henblik på at sikre, at papirmateriale til makulering fremadrettet ville blive bortskaffet tilstrækkeligt sikkert, herunder bl.a. ved opstilling af en aflåst beholder i kraftig plast påført teksten ”makulering” i printerrummet.
Det fremgår endvidere, at selv om Datatilsynet i praksis allerede var bekendt med det pågældende brud, anmeldte sekretariatet formelt den 10. august 2020 via Virk.dk bruddet på persondatasikkerheden til Datatilsynet.
Sekretariatet har i den forbindelse oplyst, at det var en menneskelig fejl, der var årsagen til, at anmeldelsen ikke blev foretaget inden for fristen på de 72 timer, som følger af databeskyttelsesforordningens artikel 33, stk. 1.
Sekretariatet har internt indskærpet vigtigheden af at overholde anmeldelsesfristen, ligesom Datatilsynets interne procedurer for håndtering af sikkerhedshændelser, herunder brud på persondatasikkerheden, er gennemgået med henblik på at sikre, at anmeldelsespligtige brud på persondatasikkerheden fremover anmeldes rettidigt.
Det fremgår i øvrigt af sagen, at sekretariatet har vurderet, at det ikke er muligt at identificere registrerede, som er berørt af bruddet. Sekretariatet har heller ikke haft mulighed for at identificere, hvor meget materiale der uretmæssigt er blevet bortskaffet som almindeligt papiraffald, ligesom det er uvist, hvor stor en del af materialet, der har indeholdt fortrolige og følsomme personoplysninger.
Sekretariatet har i tilknytning hertil oplyst, at der ikke er indikationer på, at personoplysninger er kommet til uvedkommendes kendskab. Det kan imidlertid ikke udelukkes, at bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og sekretariatet har derfor underrettet eventuelle berørte borgere mv. gennem nyheder på Datatilsynets hjemmeside den 20. og 26. august 2020.
4. Begrundelse for Datatilsynets afgørelse
På baggrund af sagens oplysninger finder Datatilsynet, at der i en periode på ca. 6 måneder har været et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, stk. 1, nr. 12, idet papiraffald, der indeholdt fortrolige og følsomme personoplysninger, ikke blev bortskaffet tilstrækkeligt sikkert, hvorved det ikke kan udelukkes, at uvedkommende har haft adgang til de personoplysninger, der var indeholdt i materialet.
Datatilsynet har dog i den forbindelse noteret sig, at tilsynets medarbejdere i en periode på ca. tre måneder (13. marts - 15. juni 2020) arbejdede hjemmefra på grund af COVID-19-situationen, og at der i denne periode derfor kun i meget beskedent omfang er blevet bortskaffet papiraffald med henblik på makulering.
4.1. Databeskyttelsesforordningens artikel 32
Ifølge databeskyttelsesforordningens artikel 32, stk. 1, skal den dataansvarlige træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er i den forbindelse Datatilsynets opfattelse, at kravet om passende sikkerhed bl.a. indebærer, at den dataansvarlige løbende skal sikre, at oplysninger om registrerede – herunder særligt oplysninger af fortrolig og følsom karakter – ikke kommer til uvedkommendes kendskab.
For så vidt angår bortskaffelse af papirmateriale indeholdende personoplysninger af fortrolig eller følsom karakter er det Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at sådant papiraffald bliver destrueret (typisk ved makulering), og at papiraffaldet i øvrigt skal sikres mod uvedkommendes adgang, indtil selve destruktionen gennemføres. Det er endvidere Datatilsynets opfattelse, at når der f.eks. sker ændringer i de fysiske rammer for behandlingen (herunder bortskaffelse) af personoplysninger, bør den dataansvarlige foretage en fornyet vurdering af eventuelle risici og om nødvendigt kontrollere implementerede sikkerhedsforanstaltninger.
Datatilsynet finder, at sekretariatet ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved tilsynets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har i den forbindelse lagt vægt på, at sekretariatet i forbindelse med flytningen til nye lokaler – og dermed i forbindelse med ibrugtagning af nye rutiner for bortskaffelse af papiraffald – burde have kontrolleret, at papiraffald, der indeholder fortrolige og følsomme oplysninger, blev opbevaret og bortskaffet forsvarligt.
Datatilsynet har noteret sig, at sekretariatet efterfølgende har iværksat tiltag med henblik på at sikre, at papirmateriale til makulering fremadrettet bliver bortskaffet tilstrækkeligt sikkert, herunder bl.a. ved opstilling i printerrummet af en aflåst beholder i kraftig plast påført teksten ”makulering”.
4.2. Databeskyttelsesforordningens artikel 33
Det følger af databeskyttelsesforordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Det er Datatilsynets opfattelse, at det omhandlede brud på persondatasikkerheden har en sådan karakter, at det skulle anmeldes til tilsynet i medfør af databeskyttelsesforordningens artikel 33, stk. 1.
Eftersom sekretariatet blev bekendt med bruddet den 5. august 2020, kan Datatilsynet konstatere, at sekretariatet – ved først at anmelde bruddet på persondatasikkerheden den 10. august 2020 – ikke har iagttaget fristen på 72 timer, og at anmeldelsen derfor ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.
Datatilsynet har i den forbindelse noteret sig, at sekretariatet internt har indskærpet vigtigheden af at overholde anmeldelsesfristen over for den medarbejder, der havde ansvaret for at foretage den konkrete anmeldelse, ligesom Datatilsynets interne procedurer for håndtering af sikkerhedshændelser, herunder brud på persondatasikkerheden, er gennemgået med henblik på at sikre, at anmeldelsespligtige brud på persondatasikkerheden fremover anmeldes rettidigt.
4.3. Databeskyttelsesforordningens artikel 34
Af databeskyttelsesforordningens artikel 34, stk. 1, fremgår det, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
Det følger endvidere af databeskyttelsesforordningens artikel 34, stk. 3, litra c, at det ikke er nødvendigt at underrette de registrerede, hvis det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Efter en gennemgang af sagen finder Datatilsynet, at sekretariatet i fornødent omfang har iagttaget kravet om at underrette de registrerede, jf. databeskyttelsesforordningens artikel 34.
Datatilsynet har i den forbindelse lagt vægt på, at sekretariatet den 20. og 26. august 2020 på Datatilsynets hjemmeside har offentliggjort nyheder om bruddet, som bl.a. var målrettet de registrerede, ligesom der bl.a. i de landsdækkende medier har været presseomtale af sagen. Endvidere har Datatilsynet noteret sig, at det ikke har været muligt for sekretariatet at identificere de registrerede, som er berørt af bruddet.
4.4. Sammenfatning
Datatilsynet har behandlet en række sager af lignende karakter, hvor dataansvarlige ikke har sikret sig, at papirmateriale, der skulle have været makuleret, er blevet bortskaffet på denne måde, eller hvor dataansvarlige i øvrigt ikke har håndteret papirmateriale under iagttagelse af passende sikkerhedsforanstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har eksempelvis behandlet en sag, hvor en dataansvarlig havde bortskaffet papirmateriale, der skulle have været makuleret, som almindeligt papiraffald i en container, der tilhørte en anden dataansvarlig, og en sag, hvor en dataansvarlig havde bortskaffet fortroligt papirmateriale som almindeligt papiraffald, der efterfølgende var blæst ud af en container og landet i tilstødende gader. Datatilsynet har endvidere behandlet flere sager, hvor flere dataansvarlige – utilsigtet – har haft adgang til de samme makuleringscontainere.
Datatilsynet har i forbindelse med behandling af disse og andre lignende sager – bortset fra én enkelt sag – ikke udtalt egentlig kritik af utilstrækkelig sikkerhed, men er derimod endt med alene at konstatere, at der er sket et brud, og at Datatilsynet på grund af bruddets karakter ikke vil foretage sig yderligere. Den ene sag, hvor der blev udtalt (alvorlig) kritik, omhandlede papirmateriale, der skulle have været makuleret, men som blev bortskaffet som almindeligt papiraffald og fundet af en uvedkommende.
Når det gælder for sen anmeldelse af brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 33, stk. 1, har Datatilsynet endvidere i flere tilfælde – i kombination med andre typer af (alvorlige) brud på persondatasikkerheden – udtalt ’kritik’ eller ’alvorlig kritik’.
Efter en gennemgang af sagen, og efter at sagen har været behandlet på et møde i Datarådet, finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at sekretariatets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, og artikel 33, stk. 1.
Datatilsynet har i den forbindelse lagt vægt på, at tilsynet – som tilsynsmyndighed på databeskyttelsesområdet – har en særlig forpligtelse til at iagttage og overholde krav, der følger af myndighedens eget ansvarsområde.
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.
[1] Det følger af lov nr. 502 af 23. maj 2018 om databeskyttelse § 27, at Datatilsynet består af et råd og et sekretariat.
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).