Journalnummer: 2003-631-0110
Ved e-post af 26. juni 2003 har V videregivet oplysninger om e-postadresser og om afslag på jobansøgning til en række jobansøgere. I den anledning anmodede Datatilsynet ved brev af 1. juli 2003 V om en udtalelse i sagen.
Ved brev af 8. juli 2003 er V kommet med en udtalelse i sagen.
Det fremgår af sagen, at V i forbindelse med et stillingsopslag modtog en større mængde ansøgninger, hvoraf næsten alle blev modtaget pr. e-post. I den forbindelse blev ansøgerens e-postadresser samlet i en elektronisk e-postgruppe.
Ved e-post af 26. juni 2003 sendte V afslag på jobansøgningen til en række ansøgere. Samtlige ansøgeres e-postadresser fremgik af e-postens modtagerfelt. Der er således sket videregivelse af oplysninger om jobafslag og e-postadresse til alle modtagere af e-posten.
V har anført, at den normale fremgangsmåde ved en sådan fremsendelse er, at den elektroniske postgruppe anføres som modtager i feltet bcc (blind carbon copy). Herved modtager samtlige adresser i gruppen den samme e-post, uden at den enkelte modtager kan gøre sig bekendt med identiteten af de øvrige epostadresser.
V har i forlængelse heraf oplyst, at e-posten ved en beklagelig menneskelig fejl blev fremsendt med hele postgruppen som almindelig adressat. Endvidere har V oplyst, at forbundet i fremtiden har ændret fremgangsmåden ved fremsendelse af afslag på ansøgninger om ledige stillinger. Der vil således ikke længere blive anvendt en fælles elektronisk postgruppe. Der vil derimod blive sendt en e-post til hver enkelt ansøger, således at fejlen ikke kan ske igen. Overholdelse af denne procedure vil løbende blive kontrolleret af en overordnet medarbejder i personaleafdelingen.
V har beklaget det passerede og har i øvrigt oplyst, at forbundet bestræber sig på at overholde de retningslinier, der er givet i sikkerhedsbekendtgørelsen.
Ved brev af 9. juli 2003 har V fremsendt enslydende, almindelige breve til samtlige ansøgere, som har modtaget e-posten af 26. juni 2003, og givet dem en uforbeholden undskyldning.
Datatilsynet skal herefter udtale følgende:
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et register.
Ved “personoplysninger” forstås ifølge lovens § 3, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Ved “behandling” forstås ifølge lovens § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysningerne gøres til genstand for. Omfattet af begrebet er f.eks. indsamling, registrering, videregivelse og opbevaring.
Det er Datatilsynets opfattelse, at videregivelse i en e-post af oplysninger om epostadresser tilhørende fysiske personer eller personligt ejede virksomheder er en behandling af personoplysninger. Den omhandlede e-post indeholdt endvidere efter Datatilsynets opfattelse oplysninger, som må karakteriseres som fortrolige, nemlig at de personer, som e-posten var stilet til, havde fået afslag på en jobansøgning.
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Bestemmelsen i § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at virksomhedens systemer, herunder organisations og arbejdsgange, indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynet opfattelse, at sikring af, at e-postadresser og e-postens indhold, som dermed også kan henføres til personer, ikke kommer til uvedkommendes kendskab, er omfattet af den dataansvarliges forpligtigelse efter § 41, stk. 3.
Datatilsynet finder derfor, at V ved udsendelsen af e-posten af 26. juni 2003 med oplysning om, at alle adressaterne havde fået afslag på deres jobansøgning, har overtrådt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.
Datatilsynet har samtidig noteret sig, at der har været tale om en enkeltstående fejl, idet V’s normale procedure er at påføre den elektroniske postgruppe i feltet bcc (blind carbon coby).
Datatilsynet har endvidere noteret sig, at V har beklaget det passerede, herunder i forhold til hver enkel e-postmodtager, og at forbundet i øvrigt bestræber sig på at overholde de retningslinier, der er givet i sikkerhedsbekendtgørelsen.
I øvrigt har V ændret fremgangsmåden ved fremsendelse af afslag på ansøgninger om ledige stillinger. Der vil således ikke længere blive anvendt en fælles elektronisk postgruppe, men blive sendt en e-post til hver enkel ansøger, således at fejlen ikke sker igen. Overholdelse af proceduren vil løbende blive kontrolleret af en overordnet medarbejder i personaleafdelingen.
Datatilsynet skal i tilknytning hertil henlede opmærksomheden på, at det følger bl.a. af sikkerhedsbekendtgørelsen, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Af sikkerhedsvejledningen følger bl.a., at der ved transmission af fortrolige oplysninger som minimum skal foretages en kryptering.
Datatilsynet finder ikke grundlag for at foretage yderligere i sagen.
Kopi af dette brev vil blive sendt til orientering til modtagere af V’s e-post af 26. juni 2003.