Alvorlig kritik af Skatteforvaltningen i sag om underretning

Dato: 22-09-2021
Afgørelse Offentlige myndigheder Alvorlig kritik Anmeldt brud på persondatasikkerheden Underretning af registrerede ved brud på persondatasikkerheden

Datatilsynet vender hermed tilbage til sagen, hvor Skatteforvaltningen den 12. juli 2021 har anmeldt et brud på persondatasikkerheden til Datatilsynet.

Journalnummer: 2021-442-13805.

Anmeldelsen har følgende referencenummer: 4ebaba6f9e5136afa27cdd3e3c48ad51366eb6ac.

Skatteforvaltningen sendte efterfølgende en opfølgning på anmeldelsen til Datatilsynet. Opfølgningen har følgende referencenummer: 3fbf36f3d582e3555039c234bd278526fb517f10.

Resume

Datatilsynet har truffet afgørelse i en sag, hvor Skattestyrelsen havde anmeldt et brud på persondatasikkerheden til tilsynet. Af anmeldelsen fremgik, at Skattestyrelsen havde underrettet den borger, der var berørt af bruddet, to dage før, at styrelsen havde anmeldt bruddet til Datatilsynet.

Datatilsynet modtog imidlertid en opfølgning på anmeldelsen fra Skattestyrelsen over en måned senere, hvori styrelsen informerede tilsynet om, at der ikke var sket underretning af den registrerede, som beskrevet i den første anmeldelse - men først ca. 40 dage senere. Skattestyrelsen begrundede den for sene underretning med ”ekstraordinære forhold i ferieperioden”.

Det er i den forbindelse Datatilsynets opfattelse, at et helt grundlæggende formål med pligten til at underrette registrerede er, at de registrerede skal være i stand til at varetage sine interesser, hvis de er berørt af et sikkerhedsbrud. Dette for at undgå, at deres rettigheder eller frihedsrettigheder krænkes.

Det er i forlængelse heraf Datatilsynets opfattelse, at tilsynet skal være i stand til at varetage de registreredes rettigheder, hvis der ikke er sket (korrekt) underretning af de registrerede - f.eks. ved at påbyde den dataansvarlige at underrette de(n) registrerede.

Datatilsynet lagde derfor - ved behandlingen af den konkrete sag - særlig vægt på, at hverken den registrerede eller tilsynet var i stand til at varetage den registreredes rettigheder, hvis den registrerede ikke var blevet underrettet om bruddet på persondatasikkerheden. Grundet de forkerte informationer, der fremgik af anmeldelsen, var Datatilsynet i den tro, at den registrerede var blevet underrettet om hændelsen.

Datatilsynet lagde herudover bl.a. vægt på, at det generelt må forventes, at offentlige myndigheder har etableret passende procedurer, retningslinjer og beredskabsplaner, der muliggør, at myndigheden kan underrette registrerede i overensstemmelse med reglerne - uanset om medarbejdere holder ferie.

Datatilsynet udtalte på den baggrund alvorlig kritik af, at Skattestyrelsens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Skatteforvaltningens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 34, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Skatteforvaltningen anmeldte den 12. juli 2021 et brud på persondatasikkerheden til Datatilsynet. Af anmeldelsen fremgår, at et brev om skattegodkendelse, som Skatteforvaltningen havde afsendt den 12. april 2021, der indeholdt identifikationsoplysninger, oplysninger af økonomisk karakter og oplysninger om personnummer, ved en menneskelig fejl var blevet sendt til en forkert modtager.

Skatteforvaltningen blev den 8. juli 2021 bekendt med, at der muligvis var sket et brud, da den forkerte modtager henvendte sig til Skatteforvaltningen for at gøre opmærksom på den utilsigtede videregivelse. Efter, at Skatteforvaltningen havde undersøgt forholdet på baggrund af henvendelsen, konstaterede Skatteforvaltningen den 9. juli 2021, at der var sket et brud på persondatasikkerheden.

Det fremgår videre af anmeldelsen, at Skatteforvaltningen havde underrettet den berørte registrerede – hvis oplysninger utilsigtet var blevet videregivet – den 10. juli 2021

På baggrund af anmeldelsen sendte Datatilsynet et afsluttende brev til Skatteforvaltningen den 23. juli 2021, hvoraf det fremgik, at tilsynet på det foreliggende grundlag ikke ville foretage sig yderligere i sagen. Datatilsynet gjorde i den forbindelse Skatteforvaltningen opmærksom på, at vurderingen af sagen ville kunne genoptages, hvis der f.eks. fremkom nye oplysninger i sagen.

Datatilsynet modtog herefter den 20. august 2021 en opfølgning på anmeldelsen fra Skatteforvaltningen. Af opfølgningen fremgik, at Skatteforvaltningen – til trods for, at Skatteforvaltningen i anmeldelsen havde oplyst, at underretning af den registrerede havde fundet sted, før Skatteforvaltningen anmeldte hændelsen som et brud på persondatasikkerheden til Datatilsynet – alligevel ikke havde underrettet den registrerede den 10. juli 2021, men at underretning først havde fundet sted den 18. august 2021.

Skatteforvaltningen begrundede den for sene underretning med ekstraordinære forhold i ferieperioden.

På baggrund af Skatteforvaltningens opfølgning på anmeldelsen, har Datatilsynet valgt at tage sagen op til fornyet vurdering.

3. Begrundelse for Datatilsynets afgørelse

3.1. Databeskyttelsesforordningens artikel 34

Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Det er Datatilsynets opfattelse, at brud på persondatasikkerheden vedrørende følsomme/særligt beskyttelsesværdige oplysninger, herunder nogle oplysninger af økonomisk karakter, oplysninger om personnummer og kombinationen af oplysningerne, som udgangspunkt indebærer en høj risiko for de berørte borgeres rettigheder, da eksponering af sådanne oplysninger kan indebære alvorlige krænkelser for borgerne, eksempelvis ved krænkelse af borgerens integritet.

Det er Datatilsynets vurdering, at der i sager som den foreliggende, hvor der er et særligt beskyttelseshensyn ved behandlingen af oplysninger om personnummer og oplysninger af økonomisk karakter – og kombinationen af oplysningerne – skal ske underretning efter databeskyttelsesforordningens artikel 34, idet bruddet sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder, eksempelvis i form af integritetskrænkelse og identitetstyveri.

Det er i den forbindelse Datatilsynets opfattelse, at et grundlæggende formål med pligten til at underrette registrerede om brud på persondatasikkerheden er, at de registrerede skal være i stand til at varetage sine interesser, for at undgå, at deres rettigheder ellers frihedsrettigheder krænkes.

Det er i forlængelse heraf Datatilsynets opfattelse, at tilsynet, i tilfælde af, der ikke er sket (korrekt) underretning af de registrerede, skal være i stand til at varetage de registreredes rettigheder, f.eks. ved at påbyde dataansvarlige at underrette de registrerede. Hvis det fremgår af en anmeldelse, at der er sket underretning af de registrerede, selvom det ikke er tilfældet, vil Datatilsynet derfor ikke i tilstrækkelig grad være i stand til at varetage de registreredes rettigheder. Datatilsynet vil således f.eks. ikke kunne vurdere, om der er foretaget – korrekt – underretning af berørte registrerede, hvis det f.eks. fremgår af anmeldelsen, at der er sket underretning, selvom det ikke er tilfældet.

Hvis den registrerede ikke selv er i stand til at varetage sine rettigheder, fordi den registrerede f.eks. ikke er blevet underrettet om en utilsigtet videregivelse af oplysninger om den registrerede, og Datatilsynet på baggrund af en anmeldelse ikke kan vurdere, om der er sket eller skal ske underretning, er der en risiko for, at den manglende underretning kan medføre en utilstrækkelig iagttagelse af den registreredes interesser, som i sidste ende kan føre til en krænkelse af den registreredes rettigheder eller frihedsrettigheder.

Det er derfor efter Datatilsynets vurdering af afgørende betydning for beskyttelsen af de registrerede, deres rettigheder og deres frihedsrettigheder, at informationer i en anmeldelse af brud på persondatasikkerheden om, at der er sket underretning af berørte registrerede, er korrekte.

Datatilsynet finder, at Skatteforvaltningens behandling af personoplysninger – ved ikke at underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.

Datatilsynet har lagt vægt på, at Skatteforvaltningen først underrettede den registrerede om bruddet på persondatasikkerheden den 18. august 2021, ca. 40 dage efter, at Skatteforvaltningen blev bekendt med bruddet den 9. juli 2021.

Datatilsynet har herudover lagt vægt på, at en offentlig myndigheds manglende underretning uden unødig forsinkelse af registrerede, der er berørt af et sikkerhedsbrud, generelt ikke kan begrundes med ”ekstraordinære forhold i ferieperioden”. Det er i den forbindelse Datatilsynets vurdering, at det især må forventes, at offentlige myndigheder har etableret passende procedurer, beredskabsplaner og lignende, der muliggør tilstrækkelig iagttagelse af de registreredes rettigheder, selvom personale, der almindeligvis er medansvarlig for, at myndigheden lever op til sine databeskyttelsesretlige forpligtelser, holder ferie. 

Datatilsynet har endvidere lagt vægt på, at bruddet havde stået på i ca. 3 måneder, da Skatteforvaltningen blev bekendt med det, hvilket indskærpede vigtigheden af, at underretning af de(n) registrerede skete hurtigst muligt.

Datatilsynet har endelig ved valget af graden af kritik lagt betydelig vægt på, at der fremgik urigtige oplysninger af anmeldelsen om underretning af den registrerede, og at de urigtige oplysninger medførte en unødvendig høj risiko for den registrerede.

Datatilsynet har i formildende retning lagt vægt på, at der er tale om én registreret, og at Skatteforvaltningen selv oplyste tilsynet om, at der ikke var sket korrekt underretning af den registrerede.

3.2. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Skatteforvaltningens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 34, stk. 1.

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 2, stk. 1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 33. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

Stk. 2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

Stk. 3. Den i stk. 1 omhandlede anmeldelse skal mindst:

  1. beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
  2. angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  3. beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Stk. 4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

Stk. 5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Artikel 34. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Stk. 2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).

Stk. 3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

  1. den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
  2. den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
  3. det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

Stk. 4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).