Journalnummer: 2007-632-0019
Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra Århus Amt.
Ved brev af 23. november 2007 anmodede Datatilsynet Region Midtjylland om en udtalelse.
I brev af 11. december 2007 er Region Midtjylland fremkommet med en udtalelse. Regionen er desuden kommet med supplerende oplysninger i e-post af 2. marts 2008.
Ved brev af 30. maj 2008 fremkom Datatilsynet med en udtalelse i sagen. Datatilsynet anmodede i den forbindelse Region Midtjylland om at belyse en række forhold nærmere.
Ved e-post af 9. juli 2008 er Region Midtjylland fremkommet med en supplerende udtalelse i sagen til besvarelse af Datatilsynets spørgsmål.
Datatilsynet er bl.a. blevet oplyst, at en af de omhandlede PowerPoint præsentationer forefindes på en medarbejders personlige drev på arbejdspladsen.
Herudover er der fremsendt forskelligt materiale som ønsket af Datatilsynet.
Datatilsynet skal herefter udtale følgende:
Datatilsynet har gennemgået og noteret sig det af Region Midtjylland fremsendte materiale, og materialet giver ikke umiddelbart tilsynet anledning til at fremkomme med yderligere bemærkninger.
De indlejrede filer i præsentationen indeholder bl.a. helbredsoplysninger.
Filerne og præsentationen skal derfor behandles under iagttagelse af sikkerhedsbekendtgørelsens kapitel 1, 2 og 3, herunder § 19 om logning.
Idet Datatilsynet går ud fra, at der ikke sker logning af alle anvendelser af personoplysninger på medarbejderens personlige drev, er det Datatilsynets umiddelbare vurdering, at den indlejrede fil ikke bør lagres der.
Datatilsynet forudsætter derfor, at den omhandlede præsentation indeholdende indlejrede personoplysninger slettes eller lagres i et ESDH system eller lignede, som kan logge.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside.