Datatilsynet indledte den 25. august 2020 en sag af egen drift over for Udlændinge- og Integrationsministeriet, da tilsynet gennem medieomtale blev bekendt med, at en mulig logningsfejl i et it-system tilknyttet Udrejsecenter Kærshovedgård kunne have haft konsekvenser for beboernes rettigheder og frihedsrettigheder.
Efter en undersøgelse af sagen, stod det klart, at Udlændingestyrelsen var dataansvarlig for behandlingen af personoplysninger i forbindelse med kontrol af beboernes opholds- og underretningspligt på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark.
I foråret og sommeren 2020 skete en række sikkerhedshændelser vedrørende manglende registreringer i det system, som registrerer at beboere på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark overholder deres opholds-, underretnings- og meldepligt. De manglende registreringer førte til, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser samt politianmeldelse af en række beboere for manglende overholdelse af regler i udlændingeloven.
Brud på reglerne om passende sikkerhed
Efter en gennemgang af sagen finder Datatilsynet, at Udlændingestyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.
Datatilsynet har ved vurderingen af dette lagt vægt på, at Udlændingestyrelsen ikke havde indført procedurer for systematisk at anvende oplysningerne i den hændelseslog, som registrerer beboernes færden inde på Udrejsecenter Kærshovedgård. Det gælder også på Udrejsecenter Sjælsmark i det omfang, hvor det ville kunne bidrage til at kontrollere rigtigheden af registreringer af beboernes færden – i forbindelse med behandlingen af anmeldelsessager som led i kontrollen med opholds- og underretningspligten.
Herudover har Datatilsynet i vurderingen lagt vægt på, at Udlændingestyrelsen ikke havde identificeret og forholdt sig til risici for de registrerede i forbindelse med behandlingsaktiviteterne i SALTO-systemet.
Endelig har Datatilsynet lagt vægt på, at Udlændingestyrelsen – henset til retsvirkningerne for beboerne forbundet med de pågældende registreringer – ikke havde foretaget tilstrækkelig backup af de oplysninger, som behandles i SALTO-systemet. Det var derfor ikke muligt for styrelsen at genskabe en række af de data, som gik tabt under hændelsen den 9.-10. juni 2020.
Det er Datatilsynets opfattelse, at det ved oplysninger og registreringer, der indgår i straffesagskæden eller benyttes til kontrolforanstaltninger, som er underlagt sanktioner, skal sikres at der dels sker logning af alle aktiviteter, dels foretages en sikkerhedskopiering, med sådanne intervaller, at data ikke tabes ved nedbrud. Det er herudover tilsynets opfattelse, at en backupprocedure skal efterprøves med en disaster recovery test med intervaller, der er fastsat i henhold til den risiko, der er for de registreredes rettigheder.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
”Vi ser med stor alvor på denne sag, fordi den handler om den grundlæggende rettighed, at man skulle kunne stole på de oplysninger, som myndigheder behandler og videregiver til politiet, og som i sidste ende kan ende som beviser i retten. Det er meget væsentligt, at sådanne oplysninger er korrekte. Ud over rettighedstab for de mennesker, det omhandler, medfører manglende databeskyttelse i straffesagskæden også svækket tillid til både myndighederne og domstolene”, forklarer kontorchef i Datatilsynet Frederik Siegumfeldt.