Journalnummer: 2019-441-1480
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor tilsynet har vurderet, at administrationsselskabet PrivatBo A.M.B.A. af 1993, ikke har levet op til databeskyttelsesforordningens krav om at gennemføre et passende sikkerhedsniveau.
I 2018 bistod PrivatBo – som administrationsselskab – en boligfond med et påtænkt salg af tre ejendomme. PrivatBo tilvejebragte i den forbindelse materiale til beboerne i de pågældende ejendomme på i alt 424 USB-nøgler. PrivatBo var imidlertid ikke opmærksom på, at der for en del af det udleverede materiale var knyttet dokumenter, som indeholdt personoplysninger af fortrolig karakter, og som ikke burde have været videregivet.
Datatilsynet politianmeldte den 4. august 2020 PrivatBo og indstillede til en bøde på 150.000 kr. på baggrund af overtrædelsen. Den 14. december 2020 blev efterforskningen imidlertid ved en fejl indstillet og straffesagen sluttet af politiet på baggrund af en sammenblanding af flere forhold. Politiet har oplyst, at sagen ikke kan genåbnes.
Derfor udtaler Datatilsynet nu i stedet alvorlig kritik af, at PrivatBo ikke levede op til databeskyttelsesforordningens krav om at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, at oplysningerne ikke blev videregivet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor PrivatBo A.m.b.A. af 1993 (herefter PrivatBo) den 23. december 2018 og ved opfølgning af 8. januar 2019 anmeldte brud på persondatasikkerheden til Datatilsynet.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet grundlag for at udtale alvorlig kritik af, at PrivatBos behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en gennemgang af sagens omstændigheder og en nærmere begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
2.1. Sagsforløb
PrivatBo er et ejendoms- og administrationsselskab, der administrerer boligfonde og lejemål i hovedstaden for blandt andre Frederiksberg Boligfond.
PrivatBo bistod i 2018 Frederiksberg Boligfond i forbindelse med et påtænkt salg af ejendommene Peter Bangs Hus, Svalegården og Den Sønderjyske By.
Det følger af lejelovens § 100, stk. 1, at udlejeren, i forbindelse med salg af ejendomme, der helt eller delvist anvendes til beboelse, skal tilbyde lejerne ejendommen til overtagelse på andelsbasis forinden overdragelse til anden side (tilbudspligt). I forlængelse af denne tilbudspligt følger det af lejelovens § 103, stk. 4, at ejeren senest samtidig med tilbuddet skal give sædvanlige oplysninger om ejendommen, herunder blandt andet oplysninger om ejendommens lejeforhold.
PrivatBo bistod Frederiksberg Boligfond med udarbejdelse af materiale i forbindelse med due-diligence, dels i forhold til en uvildig køber, dels i forbindelse med tilbudspligten, herunder med at samle oplysningerne om ejendommenes lejeforhold så disse kunne udleveres.
PrivatBo har i den forbindelse oplyst, at der ved udarbejdelse af materialet til brug for due-diligence og opfyldelse af tilbudspligt, blev oprettet et virtuelt datarum med materiale omhandlende de tre ejendomme, herunder lejekontrakter for samtlige lejemål. Formålet med datarummet var at udveksle dokumenter og data. PrivatBo har oplyst, at 54 personer har haft adgang til datarummet, herunder køber af ejendommene samt juridiske rådgivere, finansielle rådgivere, forsikringsrådgivere, økonomiske rådgivere og arkitekter.
Der blev herefter udarbejdet i alt 424 USB-nøgler med det for den konkrete ejendom relevante materiale, herunder lejeforhold der knyttede sig til ejendommen. På USB-nøglerne fremgik 39 personnumre, ligesom der på de til lejerne i ejendommen ”Peter Bangs Hus” udleverede USB-nøgler var en følsom personoplysning i form af en helbredsoplysning.
PrivatBo har oplyst, at de omtalte USB-nøgler med materiale til lejerne i de tre ejendomme blev uddelt den 21. december 2018 i tidsrummet mellem kl. 10.00 og kl. 12.00, således at lejerne modtog materiale vedrørende lejeforholdene i den ejendom, de boede i.
Den 22. december 2018 kontaktede en beboer PrivatBo og orienterede om, at de omdelte USB-nøgler indeholdt personoplysninger. Den 23. december 2018 anmeldte PrivatBo forholdet som et brud på persondatasikkerheden til Datatilsynet.
Den 8. januar 2019 sendte PrivatBo en opfølgning på anmeldelsen af den 23. december 2018 indeholdende bl.a. oplysninger om underretning og håndtering i forbindelse med sikkerhedsbruddet. Den 9. januar 2019 modtog Datatilsynet telefonisk supplerende oplysninger vedrørende de faktiske omstændigheder omkring uddelingen af USB-nøgler.
Den 10. januar 2019 sendte Datatilsynet et høringsbrev med tilhørende spørgeskema til PrivatBo.
Den 12. og 13. januar 2019 modtog Datatilsynet to klager over, at PrivatBo den 10. januar 2019 på ny havde udleveret USB-nøgler til beboerne i ejendommen ”Svalegården”. Disse USB-nøgler indeholdt en liste vedrørende lejemålene i ejendommen ”Den Sønderjyske By”. Listen indeholdt oplysninger om adresse, beløb på depositum samt beløb på forudbetalt leje. Derudover angav listen 17 tilfælde, hvor der var foretaget udlæg. Ud for disse lejemål var angivet: ”Udlæg foretaget”. I et tilfælde derudover, var der angivet: ”Lån depositum”. Den 28. maj 2019 anmeldte PrivatBo sikkerhedsbruddet, der fandt sted den 10. januar 2019 til Datatilsynet. Ved særskilt afgørelse af 4. august 2020 udtalte Datatilsynet alvorlig kritik af, at PrivatBo utilsigtet videregav disse oplysninger.
Den 31. januar 2019 modtog Datatilsynet en redegørelse for sikkerhedsbruddet, der blev anmeldt den 23. december 2018. Redegørelsen er udarbejdet af Labora Legal på vegne af PrivatBo.
Den 14. maj 2019 anmodede Datatilsynet PrivatBo om yderligere oplysninger, om bl.a. hvem der i forbindelse med den forudgående due diligence-proces havde fået udleveret de oplysninger, som lå på de tre typer USB-nøgler. Den 31. maj 2019 fremsendte Labora Legal på vegne af PrivatBo en supplerende redegørelse til brug for Datatilsynets behandling af sagen.
Den 4. august 2020 anmeldte Datatilsynet PrivatBo til Københavns Politi og indstillede en bøde på 150.000 kr. for overtrædelse af databeskyttelsesforordningens artikel 32 i forbindelse med udarbejdelsen og udleveringen af de USB-nøgler, der blev udleveret den 21. december 2018.
Den 14. december 2020 blev efterforskningen imidlertid ved en fejl indstillet og straffesagen sluttet af politiet på baggrund af en sammenblanding af flere forhold. Politiet har oplyst, at sagen ikke kan genoptages, idet der gælder en omgørelsesfrist på 2 måneder efter retsplejeloven. Det har herefter ikke være muligt at genoptage sagen.
2.2. Uddybende beskrivelse af behandlingen
2.2.1. PrivatBo som dataansvarlig
Det følger af databeskyttelsesforordningens artikel 4, nr. 7, at der ved ”dataansvarlig” forstås en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
PrivatBo har i sin redegørelse udarbejdet af Labora Legal, oplyst, at PrivatBo anser sig som dataansvarlig i forhold til data om lejere, idet PrivatBo indtager en så selvstændig rolle i forhold til lejere og udlejere, at PrivatBo selv beslutter, hvilke personlige oplysninger der indsamles og til hvilket formål, hvilke hjælpemidler samt beslutter langt de fleste, hvis ikke alle sagsbehandlingsskridt.
Det er ligeledes Datatilsynets opfattelse, at PrivatBo, under de ovenfor nævnte omstændigheder, er dataansvarlig.
2.2.2. PrivatBos behandlingshjemmel
Labora Legal har på vegne af PrivatBo oplyst, at videregivelsen af personnumre og helbredsoplysningen var utilsigtet og beroede på en fejl.
Det fremgår endvidere af redegørelsen, at PrivatBo er af den opfattelse, at det ikke var nødvendigt at videregive de i sagen omhandlede personnumre og helbredsoplysningen, og at der derfor ikke var hjemmel til videregivelsen.
2.2.3. Tekniske og organisatoriske sikkerhedsforanstaltninger
PrivatBo har i sin redegørelse udarbejdet af Labora Legal, nærmere redegjort for de tekniske og organisatoriske sikkerhedsforanstaltninger, som blev gennemført i forbindelse med tilvejebringelse af materiale til brug for tilbudspligt og due-diligence for at sikre et passende sikkerhedsniveau under hensyn til de risici, som behandlingen udgjorde.
Herunder har PrivatBo blandt andet og navnlig anført, at man foretog en persondatabeskyttelsesbaseret gennemgang af de dokumenter, hvor der uanset pligten til at udlevere hele dokumentet, kunne være forhøjet risiko for registrerede.
Det blev identificeret, at dokumenter, som der var pligt til at udlevere, men som kunne indeholde personnummer, helbredsoplysninger, oplysninger om straffeforhold og lovovertrædelser samt oplysninger, som åbenbart kunne kræves unddraget videregivelsen (oplysninger af fortrolig karakter), skulle omfattes af det ekstra persondatabeskyttelsesbaserede review med henblik på at udstrege oplysningerne, eller på anden måde anonymisere dokumentet.
PrivatBo har endvidere anført, at gennemgang af materialet tog udgangspunkt i dokumenter, der kunne indeholde den slags oplysninger.
Lejekontrakterne skulle i henhold til instrukserne ikke indeholde oplysninger omfattet af den særlige gennemgang, og de var derfor ikke genstand for den særlige persondatabeskyttelsesbaserede gennemgang.
PrivatBo har i redegørelsen oplyst, at årsagen til, at lejekontrakterne ikke var genstand for den særlige persondatabeskyttelsesbaserede gennemgang var, at der i forbindelse med, at PrivatBo i 2003 gik over til digitalisering og indscanning af lejekontrakterne, blev udarbejdet en mundtlig instruks. Den mundtlige instruks var en besked til medarbejderne om, at alene lejekontrakten – og ikke andre dokumenter, der knytter sig til lejerettigheden – skulle indscannes. På selve lejekontrakterne optræder ikke personnumre. Personnumre og eventuelt personoplysninger af følsom og fortrolig karakter kan derimod optræde på øvrige dokumenter, der knytter sig til lejerettigheden.
Ifølge instruksen skulle det drev, som lejekontrakterne blev lagret på, således kun indeholde selve lejekontrakten og ikke andre dokumenter. Lejekontrakten på det enkelte lejemål skulle indscannes som en selvstændig PDF-fil, hvilket også gav overblik over, at man havde samtlige lejekontrakter.
I flere tilfælde er de underliggende dokumenter i strid med instruksen alligevel blevet indscannet sammen med lejekontrakten. Som følge af, at instruksen i forbindelse med indscanningen af lejekontrakter ikke altid er blevet fulgt, optrådte der i materialet personnumre og en enkelt helbredsoplysning.
PrivatBo har i sin redegørelse oplyst, at for dokumenter omfattet af hændelsen er indscanningsfejlen sket i 2006 (et dokument), 2013 (23 dokumenter), 2015 (et dokument), og 2017 (fem dokumenter).
PrivatBo har endvidere oplyst, at der inden udsendelsen af materialet dog blev gennemført stikprøvekontrol for at sikre, at filerne indeholdt de korrekte dokumenter, herunder specifikt lejekontrakten.
Det fremgår endvidere af redegørelsen, at under hensyn til den omfattende mængde materiale, der skulle gennemgås, sammenholdt med vurderingen af sandsynligheden for, at der – i strid med den faste praksis – var personnummer og/eller følsomme personoplysninger tilknyttet lejekontrakten, blev denne omfattende, detaljerede og omkostningstunge kontrol ikke foretaget på hver side i dokumentet i den enkelte fil med lejekontrakten. Det blev kun tjekket, at filen indeholdt lejekontrakten (de første sider).
Ydermere har PrivatBo anført, at materialet i en lang periode inden udlevering til de øvrige beboere havde været gennemgået af køber og købers rådgivere, uden at det havde givet anledning til bemærkninger.
Det fremgår af redegørelsen, at risikovurderingen og fastlæggelsen af de tekniske foranstaltninger i forbindelse med udleveringen i medfør af tilbudspligten tog udgangspunkt i den vildfarelse, at materialet ikke indeholdt særlige kategorier af oplysninger, jf. databeskyttelsesforordningens artikel 9 og ikke indeholdt personnumre, jf. databeskyttelsesforordningens art. 87, jf. databeskyttelseslovens § 11.
Det er Privatbos opfattelse, at man har fastsat passende organisatoriske foranstaltninger til beskyttelse af personlige oplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1. PrivatBo henviser til, at det kan konstateres, at de organisatoriske foranstaltninger har resulteret i, at materialet ikke indeholdt oplysninger om straffedomme og lovovertrædelser, jf. databeskyttelsesforordningens artikel 10, eller at sådanne oplysninger var pseudonymiseret, samt at materialet ikke indeholdt fortrolige personoplysninger, jf. Datatilsynets beskrivelse af denne kategori på www.datatilsynet.dk.
Endelig er det Privatbos opfattelse, at man har etableret de tekniske foranstaltninger, som var
passende, jf. databeskyttelsesforordningen artikel 32, stk.1, særligt under hensyntagen til krav om udlevering af en lang række personoplysninger, som skal gøres ”tilgængelige” for beboere i medfør af tilbudspligten, jf. lejelovens § 100.
3. Datatilsynets vurdering af sagen
Datatilsynets lægger til grund, at PrivatBo, under de i pkt. 2.1 nævnte omstændigheder, er dataansvarlig.
Datatilsynet lægger endvidere til grund, at PrivatBo, i forbindelse med en due-diligence og opfyldelse af tilbudspligt jf. lejelovens §§ 100-103, utilsigtet har videregivet en række personnumre og en enkelt helbredsoplysning.
Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger, der passer til risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravene i artikel 32 indebærer, at PrivatBo har en pligt til at sikre, at de personoplysninger, som de behandler, ikke kommer til uvedkommendes kendskab.
Forud for sikkerhedsbruddet foretog PrivatBo en persondatabeskyttelsesbaseret gennemgang af de dokumenter, hvor der, uanset pligten til at udlevere hele dokumentet, kunne være forhøjet risiko for registrerede. Der er således sket anonymisering af retsbogsudskrifter, afgørelser fra huslejeankenævnet og restancelister.
PrivatBo har anført, at risikovurderingen og fastlæggelsen af de tekniske foranstaltninger i forbindelse med udleveringen i medfør af tilbudspligten tog udgangspunkt i den vildfarelse, at lejekontrakterne ikke indeholdt særlige kategorier af oplysninger. Datatilsynet lægger på den baggrund til grund, at PrivatBo har forladt sig på en mundtlig instruks tilbage fra 2003.
PrivatBo har henvist til den omfattende mængde materiale, der skulle gennemgås, sammenholdt med vurderingen af sandsynligheden for, at der – i strid med den faste praksis – var personnummer og/eller personoplysninger af følsom karakter tilknyttet lejekontrakten. Datatilsynet lægger på den baggrund til grund, at PrivatBo har foretaget en afvejning af arbejdsbyrden ved at gennemgå materialet vægtet op imod risikoen for de registrerede.
Datatilsynet finder, at PrivatBo ikke har overholdt sin forpligtelse til, som dataansvarlig, at gennemføre passende tekniske og organisatoriske foranstaltninger, for at sikre et tilstrækkeligt sikkerhedsniveau, hvilket førte til at PrivatBo utilsigtet videregav 39 personnumre og en helbredsoplysning i et virtuelt datarum, hvortil 54 personer havde adgang i forbindelse med en due-diligence proces, uagtet at personnumrene og helbredsoplysningen ikke var nødvendige informationer i forbindelse med opfyldelse af tilbudspligten efter lejelovens §§ 100-103 og due-diligence processen.
Det er på den baggrund Datatilsynets vurdering, at PrivatBo i forbindelse med tilvejebringelse af materiale til brug for tilbudspligt og due-diligence ikke har levet op til kravene i databeskyttelsesforordningens artikel 32, stk.1.
Datatilsynet har ved vurderingen lagt vægt på, at hensynet til arbejdsbyrden ved at foretage passende tekniske og organisatoriske foranstaltninger, herunder eksempelvis gennemsyn af hele materialet, ikke - under hensyn til den konkrete risikovurdering - overstiger hensynet til at sikre de registreredes rettigheder.
Der er tale om oplysninger, der videregives i forbindelse med tilbudspligt og derfor videregives til de registreredes naboer. Der knytter sig af den grund en risiko for f.eks. identitetstyveri ved uberettiget videregivelse af oplysningerne. PrivatBo har derfor et ansvar for at beskytte lejerne mod disse risici.
Herudover udgør videregivelsen af oplysningerne en risiko for misbrug af oplysningerne. I den forbindelse har tilsynet bemærket, at det fremgår af PrivatBos underretningsskrivelse til de berørte registrerede, at PrivatBo ikke fuldstændig kan udelukke risiko for misbrug af personlige oplysninger til eksempelvis identitetstyveri og långivning, og at PrivatBo derfor opfordrer til at etablere kreditvarsel i CPR.
Datatilsynet har ved vurderingen af, at sikkerhedsniveauet var utilstrækkeligt, endvidere lagt vægt på, at PrivatBo har forladt sig på en meget gammel mundtlig instruks. Forskellige medarbejdere har stået for indscanningen, og det kan konstateres, at instruksen i flere tilfælde igennem en lang årrække ikke er blevet fulgt. En dataansvarlig må påregne, at ikke alle ansatte til enhver tid følger de interne retningslinjer. PrivatBo har ikke løbende foretaget kontrol af, at instruksen rent faktisk blev fulgt, og at der ikke er sket fejl ved indscanningen.
Efter en samlet vurdering er det således Datatilsynets opfattelse, at PrivatBo ikke har gennemført passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er for de registreredes rettigheder, og at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32, stk.1.
PrivatBos henvisning til, at materialet, som blev tilvejebragt til brug for opfyldelse af tilbudspligten i forbindelse med due-diligence processen med den uvildige køber, havde været gennemgået af køber og købers rådgivere, uden at det havde givet anledning til bemærkninger, kan ikke føre til et andet resultat.
Datatilsynet skal hertil bemærke, at den omstændighed, at modpartens advokat ikke har gjort PrivatBo opmærksom på PrivatBos overtrædelse af de databeskyttelsesretlige regler, ikke kan anses for en sikkerhedsforanstaltning i databeskyttelsesretlig kontekst.
Den omstændighed, at PrivatBo har anført, at der blev foretaget stikprøvekontrol for at sikre, at filerne indeholdt de korrekte lejekontrakter, kan heller ikke føre til et andet resultat.
Hertil skal Datatilsynet bemærke, at formålet med kontrollen alene var at sikre, at det var den korrekte fil, der var lagret, og hverken havde til formål eller var egnet til at sikre, at dokumentet ikke indeholdt andre personlige oplysninger end dem, der berettiget kunne videregives. Stikprøvekontrollen kan derfor ikke anses for en tilstrækkelig sikkerhedsforanstaltning.
4. Sammenfatning
På baggrund af ovenstående finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at PrivatBo A.m.b.A. af 1993’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).