Journalnummer: 2021-816-0292
Resume
Datatilsynet har truffet afgørelse i en sag, hvor en gruppe medarbejdere hos Kriminalforsorgen oprettede en lukket Messenger-gruppe på Facebook, hvor der foregik tjenstlig kommunikation mellem ansatte i Storstrøm Fængsel om både indsatte i fængslet og ansatte hos Kriminalforsorgen.
Kriminalforsorgen modtog ad flere omgange henvendelser fra en medarbejder med en bekymring for, at der var sket et brud på persondatasikkerheden, idet der foregik arbejdsrelateret kommunikation i den lukkede Messenger-gruppe. Trods henvendelserne undersøgte Kriminalforsorgen først sagen 6 måneder efter modtagelsen af første henvendelse.
Datatilsynet har udtalt kritik af Kriminalforsorgen for ikke at have undersøgt det mulige brud hurtigt med henblik på at afklare, om der var tale om et brud på persondatasikkerheden og i forlængelse heraf for ikke at have anmeldt bruddet rettidigt til Datatilsynet – det vil sige uden unødig forsinkelse og om muligt senest 72 timer efter, at Kriminalforsorgen blev bekendt med bruddet.
Hvornår anses den dataansvarlige for at være bekendt med et brud?
Datatilsynets er af den opfattelse, at den dataansvarlige som udgangspunkt anses for være bekendt med et brud, når en medarbejder hos den dataansvarlige bliver bekendt med bruddet. Hvis den dataansvarlige er i tvivl om, hvorvidt der er sket et brud på persondatasikkerheden, bør formodningen for, at der kan være sket et brud føre til, at den dataansvarlige undersøger hændelsen nærmere med henblik på at afklare, om der rent faktisk er sket et brud på persondatasikkerheden. Undersøgelsen skal finde sted hurtigst muligt, og den dataansvarlige skal i den forbindelse med en rimelig grad af sikkerhed fastslå, om et brud har fundet sted, og om hændelsen skal anmeldes til Datatilsynet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Kriminalforsorgen den 4. august 2021 med opfølgning den 23. august 2021 har anmeldt et brud på persondatasikkerheden. Anmeldelserne har følgende referencenumre:
4812ec25ed13684f4e82aa5840f8dce19183b364
og
67d0ed7b92be23ab889b0efec25ebea8d1d7c636
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Kriminalforsorgens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i retshåndhævelseslovens § 28, stk. 1.[1]
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Kriminalforsorgen anmeldte et brud på persondatasikkerheden til Datatilsynet den 4. august 2021. Kriminalforsorgen sendte efterfølgende en opfølgning den 23. august 2021 og en udtalelse i sagen den 13. oktober 2021.
Det fremgår herefter af sagen, at en personalegruppe hos Kriminalforsorgen i marts/april 2020 oprettede en lukket Messenger-gruppe (herefter gruppen) på Facebook, hvor der foregik tjenstlig kommunikation mellem ansatte i Storstrøm Fængsel om både indsatte i fængslet og ansatte hos Kriminalforsorgen.
Kriminalforsorgen har til sagen oplyst, at en medarbejder den 11. november 2020 via e-mail orienterede ledelsen på Storstrøm Fængsel om, at medarbejderen var blevet inviteret til en Messenger-gruppe af pågældendes personalegruppe, og at medarbejderen søgte sparring hos ledelsen til, hvorvidt medarbejderen burde deltage i gruppen. Medarbejderen tvivlede på, om det var i strid med de gældende regler at kommunikere via Messenger.
Ledelsen oplyste samme dag medarbejderen om, at ledelsen ikke kan blande sig i oprettelsen af sådanne grupper i privat regi med social dagsorden. Samtidig oplyste ledelsen, at det ikke er tilladt at benytte eksterne systemer til sagsbehandling.
Medarbejderen udtrykte samme dag i en ny e-mail til ledelsen bekymring for, om kommunikationen i gruppen udelukkende skete i privat regi, eller om der også blev delt oplysninger, som medarbejderne var kommet i besiddelse af som led i deres arbejde. Medarbejderens leder oplyste, at lederen ikke selv var med i nogle grupper for at sikre, at arbejdsrelateret kommunikation foregik via de rigtige kanaler. Lederen betragtede herefter sagen for værende afsluttet og foretog sig ikke yderligere.
Kriminalforsorgen har i den forbindelse erkendt, at der den 11. november 2020 var indikationer på, at der forekom tjenstlig kommunikation i gruppen. Endvidere har Kriminalforsorgen oplyst, at de har vurderet, at ledelsens store fokus på samarbejdsproblemerne i enheden kunne være en årsag til, at indikationerne ikke blev tillagt større værdi.
Den 9. april 2021 orienterede den samme medarbejder på ny ledelsen i Storstrøm Fængsel om, at oplysninger om indsatte blev delt i gruppen. Herefter sendte medarbejderen – på ledelsens opfordring – screenshots af dele af indholdet i gruppen.
På baggrund af henvendelsen tog fængslets ledelse den 12. april 2021 kontakt til områdets databeskyttelses- og informationssikkerhedsmedarbejder. Kriminalforsorgen har oplyst, at de på dette tidspunkt ikke var klar over, at dette udgjorde et brud på persondatasikkerheden.
Endvidere har Kriminalforsorgen oplyst, at medarbejderne blev opfordret til at lukke gruppen og slette korrespondancen i april 2021, hvorfor det ikke har været muligt at undersøge omfanget yderligere. Personalegruppen bekræftede på en ikke nærmere fastlagt dato i april måned over for ledelsen, at Messenger-gruppen var lukket.
Det fremgår desuden af sagens oplysninger, at Kriminalforsorgens whistleblowerordning modtog en henvendelse den 22. juni 2021 fra den pågældende medarbejder, der havde gjort ledelsen opmærksom på den mulige deling af arbejdsrelaterede oplysninger i november 2020, vedrørende deling af oplysninger i gruppen.
Kriminalforsorgen har oplyst, at det stadig ikke stod dem klart, at der var tale om et brud på persondatasikkerheden før primo august 2021, hvorefter Kriminalforsorgen anmeldte hændelsen som et brud på persondatasikkerheden til Datatilsynet den 4. august 2021.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Kriminalforsorgen oplyste til grund, at ledelsen på Storstrøm Fængsel allerede den 11. november 2020 blev bekendt med, at en medarbejder var bekymret for, om der i Messenger-gruppen blev delt oplysninger, som medlemmerne af gruppen havde fået kendskab til i arbejdsregi, og at der derfor var indikationer på, at der var sket et brud på persondatasikkerheden.
3.1. Retshåndhævelseslovens § 28, stk. 1
Det følger af retshåndhævelseslovens § 28, stk.1, at den dataansvarlige ved brud på persondatasikkerheden uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, skal anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder.
Det er i den forbindelse Datatilsynets opfattelse, at den dataansvarlige som udgangspunkt anses for være bekendt med et brud, når en medarbejder hos den dataansvarlige bliver bekendt med bruddet. Hvis den dataansvarlige er i tvivl om, at der er sket et brud på persondatasikkerheden, bør formodningen for, at der kan være sket et brud føre til, at den dataansvarlige undersøger hændelsen nærmere med henblik på at afklare, om der rent faktisk er sket et brud på persondatasikkerheden. Undersøgelsen skal finde sted hurtigst muligt, og den dataansvarlige skal i den forbindelse med en rimelig grad af sikkerhed fastslå, om et brud har fundet sted, og om hændelsen skal anmeldes til Datatilsynet.
På baggrund af ovenstående finder Datatilsynet, at Kriminalforsorgen – ved ikke at have undersøgt hændelsen hurtigt og i forlængelse heraf foretage rettidig anmeldelse af bruddet til Datatilsynet – ikke har handlet i overensstemmelse med reglerne i retshåndhævelseslovens § 28, stk. 1.
Datatilsynet har lagt vægt på, at en medarbejder i Storstrøm Fængslet allerede den 11. november 2020 underrettede fængslets ledelse om det potentielle brud på persondatasikkerheden, og at Kriminalforsorgen i den forbindelse ikke foretog en undersøgelse af det potentielle brud, der ville have gjort Kriminalforsorgen i stand til at anmelde bruddet på persondatasikkerheden rettidigt til tilsynet.
Det forhold, at ledelsens fokus på samarbejdsproblemer i enheden kan have været en årsag til, at oplysningerne om et muligt brud ikke blev undersøgt, ændrer ikke på ovenstående vurdering.
Datatilsynet skal bemærke, at Kriminalforsorgen først anmeldte bruddet på persondatasikkerheden den 4. august 2021 efter ledelsen ad flere omgange var blevet underrettet om hændelsen.
[1] Lov om retshåndhævende myndigheders behandling af personoplysninger. Lov nr. 410 af. 27. april 2017 som ændret ved lov nr. 503 af 23.5 2018 og lov nr. 506 af 23.5 2018.