Journalnummer: 2008-213-0100
Ved e-post af 29. august 2008 har X, klaget til Datatilsynet over FIH Erhvervsbank A/S' (herefter FIH) behandling af personoplysninger om X. X har præciseret sin klage, hvorefter X klager over, at oplysninger om X's personnummer fremgik på ydersiden af et magasin fremsendt af FIH.
FIH er ved brev af 9. oktober 2008 fremkommet med en udtalelse i sagen. Ved telefonsamtale af 16. januar 2009 har X oplyst, at X ikke har bemærkninger til FIH' udtalelse.
FIH har til sagen oplyst, at fejlen skete i forbindelse med udsendelse af bankens kundemagasin - FIHIsofi - i september 2008. FIH har i forlængelse heraf oplyst, at magasinet er udsendt til samtlige bankens netbankskunder.
FIH har endvidere oplyst, at udsendelsen skete på baggrund af et maskinelt udtræk fra netbankens kundesystem. FIH har hertil oplyst, at FIH har fremsendt oplysningerne til en ekstern samarbejdspartner, som herefter har forestået kuverteringen og forsendelsen på FIH's vegne. I forbindelse med fremsendelse af udtrækket oplyser FIH, at oplysninger om kundernes personnummer ved en fejl ikke blev fjernet.
Endelig har FIH oplyst, at der er tale om en beklagelig fejl fra FIH's side, og at FIH har på baggrund af hændelsen har skærpet bankens interne procedure for udtræk og udsendelse af post for at sikre, at kundernes personnumre ikke fremgår af bankens forsendelser.
Datatilsynet skal herefter udtale følgende:
Ifølge persondatalovens § 41, stk. 3, skal der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at virksomhedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Ifølge persondatalovens § 42, stk. 1, skal den dataansvarlige, når virksomheden overlader en behandling af oplysninger til en databehandler, sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte sikkerhedsforanstaltninger, og påse at dette sker.
Datatilsynet lægger på baggrund af det oplyste til grund, at der på ydersiden af et magasin fremsendt til FIH's netbankskunder, fremgik oplysninger om bl.a. kundernes personnumre.
Datatilsynet er af den opfattelse, at den benyttede fremgangsmåde indebærer en væsentlig risiko for, at personnummer uretmæssigt videregives eller kommer til uvedkommendes kendskab.
Datatilsynet finder således, at den anvendte fremgangsmåde er i strid med kravet i persondatalovens § 41, stk. 3, om, at oplysninger skal beskyttes med passende sikkerhedsforanstaltninger.
Datatilsynet finder det skete, som omfattede samtlige bankens netbankskunder, meget beklageligt.
Afsluttende bemærkninger
Datatilsynet har noteret sig det oplyste om, at FIH har skærpet bankens interne procedure for udtræk og udsendelse af post for at sikre, at kundernes personnumre ikke fremover vil fremgå af bankens forsendelser.
Datatilsynet skal gøre opmærksom på, at dette brev vil blive offentliggjort på Datatilsynets hjemmeside i en i forhold til klager anonymiseret form.
Datatilsynet foretager sig herefter ikke yderligere i sagen.