Journalnummer: 2021-441-9224
Resume
Datatilsynet har truffet afgørelse i en sag, hvor 3F Østfyn har anmeldt et brud på persondatasikkerheden.
Sagen handler om, at et medlem af 3F ændrede navn og adresse og fik adressebeskyttelse i CPR-registeret, da vedkommende flyttede fra sin voldelige samlever.
3F Østfyn ajourfører medlemmernes navne og adresser på baggrund af adresseoplysninger fra CPR-registeret. I tilfælde hvor et medlem vælger adressebeskyttelse i CPR-registret, modtager 3F ikke længere oplysninger om bl.a. medlemmets adresse, og adressefeltet låses op i 3F’s CRM-system, sådan at medlemmets oplysninger kan vedligeholdes manuelt
I denne sag kontaktede medlemmet 3F Østfyn for at få opdateret sine navne- og adresseoplysninger, men ved en menneskelig fejl blev kun navnet opdateret. I forbindelse med udsendelse af Fagbladet fra 3F blev medlemmets navneændring anført på bladet, men sendt til medlemmets oprindelige adresse, hvor den tidligere samlever fortsat var bosiddende. Derved fik den tidligere samlever kendskab til medlemmets nye navn.
Behandling af forkerte oplysninger og manglende tekniske og organisatoriske foranstaltninger
Datatilsynet fandt grundlag for at udtale alvorlig kritik, da tilsynet konkluderede, at 3F Østfyns system generelt var sat op på en måde, så det – i givne brugsscenarier – ville behandlede potentielt forkerte oplysninger, og at 3F Østfyn ikke havde taget ethvert rimeligt skridt til at sikre at oplysningerne blev slettet eller berigtiget. 3F Østfyn behandlede derfor personoplysninger i strid med princippet om rigtighed.
Datatilsynet konstaterede yderligere, at 3F Østfyn ikke havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til den konkrete risiko for de registreredes rettigheder, særligt da der ikke var opsat procedurer eller systemunderstøttelse for at sikre, at oplysningerne ajourførtes.
Datatilsynet lagde bl.a. vægt på, at princippet om rigtighed forpligter til, at systemer ikke må sættes op på en måde, der medvirker til at skabe og behandle forkerte eller ufuldstændige data. Herudover er det væsentligt, at den dataansvarlige identificerer de risici, den konkrete behandling udgør for de registrerede. Det er ikke tilstrækkeligt blot at fokusere på generiske risikoscenarier, og indføre sikkerhedsforanstaltninger der beskytter de registrerede mod disse risici.
Mulige løsninger til tekniske og organisatoriske foranstaltninger
Datatilsynet har i afgørelsen anført mulige forslag til tekniske og organisatoriske foranstaltninger som kunne anses for relevante i den konkrete sag.
CRM-systemet kunne f.eks. opsættes med en automatisk reaktion (advarsel), som gør medarbejderen opmærksom på, at der nu er navne-/adressebeskyttelse, efter adressefeltet er låst op i CRM-systemet, og at den konkrete medarbejder, skal kontrollere om oplysningerne er korrekte, inden oplysningerne kan bruges – f.eks. til at sende materiale ud (spærring af alle automatiske behandlinger af den data, der er registreret en ændring i). Denne tekniske foranstaltning bør understøttes af særlige processer og retningslinjer for vedligeholdelse og administrering af feltværdierne, når der er tale om et manuelt vedligeholdt felt.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at 3F Østfyns behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 5, stk. 1, litra d.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
3F Østfyn har den 28. maj 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at et medlem af 3F, ved fraflytning fra sin voldelige samlever, ændrer navn og adresse samt får adressebeskyttelse i CPR-registeret. I forbindelse med udsendelse af Fagbladet fra 3F bliver medlemmets nye navn anført på bladet, men sendt til den adresse, hvor den tidligere samlever fortsat er bosiddende, med den konsekvens, at denne dermed får kendskab til medlemmets nye navn.
Det fremgår af sagen, at 3F registrerer navne- og adresseoplysninger i et CRM-system. Formålet med behandlingen af disse oplysninger er at varetage medlemskabet af 3F, herunder i den konkrete sag til udsendelse af Fagbladet, der udsendes til medlemmer af 3F.
I forhold til 3F Østfyns procedurer for ajourføring af medlemmernes navne og adresser i CRM-systemet oplyser 3F Østfyn, at medlemmernes navn og adresse opdateres dagligt på baggrund af adresseoplysninger fra CPR-registeret. Opdateringerne foretages i 3F ́s CRM -system, der fungerer som centralt kildesystem til brug for 3F ́s afdelinger lokalt. 3F Østfyn oplyser videre, at såfremt et medlem vælger at få adressebeskyttelse i CPR-registeret, modtager 3F ikke længere navne- og adresseoplysninger om dette medlem fra CPR-registeret. I de tilfælde, hvor 3F ikke længere modtager adresseoplysninger på et medlem fra CPR-registeret bliver adressefeltet i 3F´s CRM låst op, så medlemmets gældende CPR-adresse kan vedligeholdes og manuelt opdateres lokalt af 3F´s afdelinger.
3F Østfyn har oplyst, at når adressefeltet låses op med henblik på lokal opdatering heraf, vil det, indtil en opdatering af adressefeltet gennemføres manuelt og lokalt, være den sidst kendte adresse der står i adressefeltet, dvs. adressen inden adressebeskyttelsen trådte i kraft.
3F Østfyn har oplyst, at medlemmet - uden om CPR-registeret – per e-mail har rettet henvendelse til 3F Østfyn og oplyst om vedkommendes nye navn og adresse. Ved en menneskelig fejl i forbindelse med opdateringen af medlemmets oplysninger, bliver alene medlemmets nye navn opdateret, men ikke medlemmets nye adresse og dermed bliver medlemmets nye navn koblet til den tidligere adresse, hvor medlemmet havde bopæl. Fagbladet er således fremsendt med brug af tidligere adresse, der ikke er blevet rettet, trods at medlemmet har rettet henvendelse og gjort opmærksom på ændringerne i hendes kontakt oplysninger.
Datatilsynet har noteret sig, at 3F Østfyn oplyser at der vil blive gennemført oplysningskampagne samt oplysnings- og undervisningsaktiviteter i 3F Østfyn med henblik på at skærpe opmærksomheden i forhold til at sikre, at lignende brud ikke sker igen. Yderligere oplyser 3F Østfyn i deres udtalelse, at der vil blive gennemført en opdatering af 3F Østfyns interne procedurer i forhold til håndtering af opdateringer af navne- og adresser samt beskyttelse heraf.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af 3F Østfyn oplyste til grund, at CRMsystemet ved medlemmets tilvalg af adressebeskyttelse i CPR-registeret, som standardværdi benytter den sidst kendte adresse. Herudover lægges det – i overensstemmelse med 3F Østfyns forklaring herom – til grund, at afdelingen ved en fejl ikke rettede adressen til medlemmets nye bopæl, men alene navnet på medlemmet.
Ved fremsendelse af fagbladet til den oprindelige adresse, med medlemmets nye navn, skete der en uautoriseret videregivelse af personoplysninger til den tidligere samlever.
På den baggrund finder tilsynet, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
3.1. Databeskyttelsesforordningens artikel 5, stk. 1, litra d
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra d, at personoplysninger skal være korrekte og om nødvendigt ajourførte, og at der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges
Det er Datatilsynets opfattelse, at dette princip medfører, en forpligtelse til, at den tekniske understøttelse af forretningsprocesserne, ikke generelt skal implementres på en måde, der skaber forkerte data. Princippet om databeskyttelse i designet af løsninger jf. databeskyttelsesforordningens artikel 25, tilsiger også, at systemet effektivt implementerer databeskyttelsesprincipperne.
Det er Datatilsynets opfattelse, at en bibeholdelse af den oprindelinge adresse, i situationer hvor medlemmet vælger at få beskyttet adresse i CPR-registeret, ikke uden en sikker verifikation af rigtigheden hos medlemmet, bør fremgår af af CRM-systemet. En situation som den foreliggende, hvor værdien for adressen, som standard bibeholdes, skaber flere mulige risikoscenarier for de registreredes rettigheder.
Et muligt løsningsscenarie ville være såfremt feltet enten efterladtes uden værdi, eller værdien var spærret for brug, f.eks. udsendelse af fagbladet og det krævede en positiv handling, at aktivere adressen. Dette bør understøttes af særlige processer og retningslinier for vedligeholdelse af feltværdien, da det i dette brugsscenarie er et manuelt vedligeholdt felt.
Ved ikke at have at have sådanne procedurer og ved som systemstandard at benytte den oprindelige adresse som værdi og idet det er Datailsynets opfattelse, at dette systemisk vil medføre behandlinger af urigtige oplysninger, har 3F Østfyn ikke overholdt artikel 5, stk.1, litra d.
3.2. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe og gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger, herunder bl.a. at sikre vedvarende integritet (f.eks. at oplysninger er korrekte og pålidelige), jf. artikel 32, stk. 1, litra b.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret videregivelse af personoplysninger, samt at man som dataansvarlig sikrer, at oplysninger om registrerede, ikke kommer til uvedkommendes kendskab. Endvidere finder Datatilsynet, at der bør udføres passende kontrol og håndtering af oplysninger om navne- og adressebeskyttelse samt, at dette stiller større krav til medarbejdernes omhyggelighed i forbindelse med fremsendelse af personoplysninger, herunder sikring af at disse sendes til rette modtager.
Det er yderligere Datatilsynets opfattelse, at kravet i artikel 32, stik 1, litra b, om behandling af korrekte oplysninger normalt vil indebære, at den dataansvarlige skal have fastsat procedurer for at sikre, at oplysninger ajourføres de nødvendige steder og korrekt, når den dataansvarlige bliver opmærksom på oplysningernes urigtighed. Det er endvidere Datatilsynets opfattelse, at dataansvarlige har en forpligtelse til at instruere relevante medarbejdere om disse procedurer samt i fornødent omfang, at kontrollere om medarbejderne ajourfører oplysningerne korrekt
Det er Datatilsynets opfattelse at organisatoriske foranstaltninger, skal sikres mod de normalt forekommende fejlscenarier. Særligt skal et brud på persondatasikkerheden give anledning til refleksion over de foranstaltninger der er implementeret.
Der kan derfor være et behov for at gennemføre yderligere foranstaltninger til at kompenserefor de menneskelige fejl.
CRM-systemet kunne f.eks. opsættes med en automatisk reaktion (advarsel), som gør medarbejderen opmærksom på, at der er navne/adressebeskyttelse, efter adressefeltet er låst op i CRM system og at den konkrete medarbejder inden denne foretager sig yderligere, skal foretage menneskelig kontrol af medlemmernes forhold (eksempelvis om der er tale om navn- og adressebeskyttelse samt om de angivende oplysninger er korrekte.
For at forebygge menneskelige fejl, bør en sådan advarsel være til stede i et it-system og ikke alene beskrevet i en procedure, særligt i en situation som den foreliggende, hvor situationen opstår fra en teknisk integration. Det er generelt Datatilsynets opfattelse, at en dataansvarlig – ud over at etablere organisatoriske sikkerhedsforanstaltninger som retningslinjer, procedurer, awarenes mv. – skal etablere passende tekniske sikkerhedsforanstaltninger, såfremt dette er nødvendigt for at opnå et passende sikkerhedsniveau.
En mulig teknisk og organisatorisk foranstaltning kunne være, at der sker automatisk stop af, udsendelse af materiale til medlemmet efter ophør af modtagelse af adresseoplysninger fra CPR-registeret, indtil en medarbejder har mulighed for verificere den korrekte adresse hos medlemmet, når adressen ikke længere kan opdateres via CPR.
Derudover bør 3F Østfyn foretage en vurdering af, hvorvidt en konkret procedure for håndtering af situationen, hvor medlemmer både får navne- og adressebeskyttelse samt ændring af navn og adresse, giver anledning til en ændring i risikovurderingen af brugsscenariet, som kræver en mitigerende foranstaltning som skal udarbejdes og implementeres fremadrettet.
Ved ikke samlet set, at have haft foranstaltninger, der var passende til den konkrete risiko behandlingen af medlemmets oplysninger, i forbindelse med både adresse og navneskift, samtidig med registrering af hemmelig adresse i CPR-registeret, har 3F Østfyn ikke levet op til databeskyttelsesforordningens artikel 32, stk. 1.
3.3. Foranstaltning
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at 3F ØStfyns systemunderstøttelse var sat op til at behandle potentielt urigtige oplysninger og ikke i tilstrækkeligt omfang har sikret sig, at de behandlede oplysninger var korrekte, og at 3F Østfyn ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre opdatering og rigtigheden af de behandlede oplysninger, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra d, og artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at 3F Østfyns procedurer og arbejdsgange ikke var opsat til at håndtere situationer om navne- og adresse beskyttelse samt hvor medlemmer flytter i forbindelse med adressebeskyttelsen. I den konkrete situation er der tale om et medlem, som har foretaget et navneskift, flyttede til ny adresse og fik navne og adressebeskyttelse. Ud fra det oplyste i 3F Østfyns udtalelse, er håndtering af sådan en opdatering af medlemmernes oplysninger ikke beskrevet i procedurer eller ved en teknisk opsætning af systemer i stand til at give medarbejder en varsel herom.
Datatilsynet lagt vægt på, at når den registrerede får adressebeskyttelse i CPR-registeret, modtager 3F ikke længere oplysninger om adresse og adressefelt i 3F Østfyns CRM system bliver låst op med den senest kendte adresse, indtil den manuel bliver opdateret af en medarbejdere i de lokale afdelinger. I denne sammenhæng anser Datatilsynet det i strid med de databeskyttelsesretlige principper, at adressen inden adressebeskyttelsen trådte i kraft uden videre og uden kontrol og verificering bliver lagt til grund.
Herudover har Datatilsynet lagt vægt på, at der i CRM-systemet ikke er nogen form for teknisk eller organisatorisk kontrol, som stopper alt udsendelse af breve/blade/etc. indtil adressen kan verificeres, som supplement til den beskrevne arbejdsgang.
Datatilsynet har videre lagt vægt på, at de manglende tekniske og organisatoriske foranstaltninger omhandler de situationer hvor der er tale om oplysninger om navne- og adresse beskyttelse. I forhold til CRM-systemets tekniske opsætning, anses 3F Østfyn ikke for at have taget højde for de risici og konsekvenser som utilsigtet videregivelse vil og kan medfører, når der behandles oplysninger om personer med navne- og adresse beskyttelse.
Herudover har Datatilsynet lagt vægt på, at konsekvenserne for den registrerede i den konkrete sag anses for værende alvorlig, idet der med dette brud på persondatasikkerheden er videregivet personoplysninger til den person, som er årsagen til, at medlemmet har været nødsaget til at skifte navn og adresse samt få navne- og adressebeskyttelse i CPR-registeret. Datatilsynet har således i vurderingen lagt vægt på oplysningernes karakter og konsekvenserne som tab af fortrolighed kan have for de registrerede i disse situationer, henset til hensynet bag at personer får beskyttet navn og adresse.
Datatilsynet har i skærpende omstændighed lagt vægt på, at medlemmet har gjort et ekstra indsats ved at informere 3F Østfyn samt gjort særlig og specifik opmærksom på adressebeskyttelse og risici for den registrerede forbundet med tab af fortrolighed af personoplysninger. Afslutningsvist er det tillagt vægt, at den manglende og utilstrækkelige procedure og arbejdsgange for opdatering af beskyttet navn- og adresse anses for, at være direkte årsag til at bruddet skete.
3.4. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at 3F Østfyns behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1 og artikel 5, stk. 1, litra d.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).