Journalnummer: 2008-211-0057
Vedrørende Deres klage over videregivelse af Deres personnummer
Ved brev af 7. september 2008 har De klaget til Datatilsynet over, at Access Personnel A/S (herefter: Access Personnel) har videregivet Deres person-nummer til 650 virksomheder i en e-post sendt via en ukrypteret forbindelse.
Access Personnel er ved e-post af 3. oktober 2008 fremkommet med en udtalelse i sagen, som De har kommenteret ved e-post af 9. november 2008.
Det fremgår herefter af sagen, at Access Personnel den 4. september 2008 ved en fejl fremsendte Deres personnummer til 650 virksomheder via en ukrypte-ret forbindelse.
De har oplyst, at De den 5. september 2008 blev kontaktet af en medarbejder hos Access Personnel, der gjorde Dem opmærksom på fejlen. Det fremgår videre, at Access Personnel efterfølgende rettede henvendelse til de 650 virksomheder og bad dem slette den pågældende e-post, da fejlen blev opdaget.
De har i Deres henvendelse anført, at De af Access Personnel havde fået oplyst, at Deres personnummer kun skulle bruges internt til afregning af løn.
De har i Deres henvendelser endvidere anført, at Access Personnel ikke har haft tilstrækkelige sikkerhedsforanstaltninger, der sikrer Deres oplysninger mod at blive overført via internettet.
Access Personnel har ved skrivelse af e-post af 3. oktober 2008 oplyst, at virksomheden forud for videregivelsen af Deres personnummer havde truffet foranstaltninger, der skulle forhindre uberettiget videregivelse af fortrolige personoplysninger. Access Personnel har vedlagt en kopi af et tillæg til ansættelseskontrakt, hvoraf bl.a. fremgår følgende:
"I forbindelse med udsendelser af kandidatpræsentation på e-mail eller som Direct mail skal det, gennem egenkontrol, altid sikres, at dokumentet ikke indeholder navne og/eller cpr-numre. Dette gøres inden afsendelse gennem en godkendelse hos afdelingslederen. Såfremt denne ikke er tilstede, sikres der via personalesekretæren i City alternativt den administrerende direktør.
"Du MÅ aldrig oplyse cpr-numre til en arbejdsgivervirksomhed eller anden samarbejdspartner, også selvom vedkommende bliver ansat."
Access Personnel har endvidere oplyst, at såvel den medarbejder, der sendte e-posten, som den medarbejder, der skulle foretage kontrol, har modtaget instruktion i de beskrevne procedurer.
Access Personnel har oplyst, at der i alt er videregivet 18 personnumre, og at de pågældende personer ikke er blevet underrettet om videregivelsen. Access Personnel har som begrundelse herfor anført, at oplysningerne blev sendt til virksomheders personaleafdelinger med bemærkning om, at der var tale om fortrolige oplysninger, at der skete tilbagekaldelse få minutter efter fejlen var sket og konstateret, at modtagerne blev anmodet om at destruere det frem-sendte materiale, og at oplysningerne ikke skønnes at have skadet de omhandlede personer.
Access Personnel har afslutningsvist oplyst, at der er strammet op på de gene-relle forholdsregler, der er iværksat ny træning og retningslinjerne er præciseret.
Over for dette har De anført, at De ikke mener, at det på nogen måde kan væ-re tilstrækkeligt at have informeret medarbejdere om håndtering af personfølsomme oplysninger samt have sikret sig deres underskrifter på ikke at videregive disse selv samme personfølsomme oplysninger, hvis det tekniske system ikke kan leve op til denne målsætning.
De har endvidere anført, at De mener, at Access Personnel skal udbetale Dem erstatning.
Datatilsynet skal herefter udtale følgende:
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personop-lysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Datatilsynet finder ud fra det oplyste, at der er tale om behandling omfattet af persondatalovens § 1, stk. 1.
Datatilsynet lægger i den forbindelse vægt på, at oplysningerne om Deres personnummer er sendt til arbejdsgiverne via e-post.
Det er Datatilsynets opfattelse, at et personnummer er en oplysning af fortrolig karakter.
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
Det er Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for videregivelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af systemerne.
Datatilsynet anbefaler på tilsynets hjemmeside (www.datatilsynet.dk), at personnumre kun sendes via internettet, hvis der anvendes kryptering.
Datatilsynet finder sikkerhedsbristen meget beklagelig
Datatilsynet kan ud fra det, som er oplyst til sagen, konstatere, at Access Personnel har sendt e-post indeholdende oplysninger om Deres samt 17 andre personnumre til 650 virksomheder via en ukrypteret forbindelse.
Datatilsynet må lægge til grund, at videregivelsen er sket ved en fejl hos en medarbejder hos Access Personnel.
I det konkrete tilfælde, hvor oplysning om 18 personers personnumre er sendt til 650 virksomheder via en ukrypteret forbindelse finder Datatilsynet, at Access Personnel ikke har udvist den fornødne omhu, og Access Personnel har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt, hvilket Datatilsynet har meddelt Access Personnel ved brev af dags dato.
Datatilsynet har noteret sig, at Access Personnel har strammet op på de generelle forholdsregler, iværksat ny træning, og at retningslinjerne er præciseret.
Underretning af den berørte person
Behandling af personoplysninger skal ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det - afhængigt af de konkrete omstændigheder - følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer.
Datatilsynet finder, at omstændighederne i denne sag fører til, at Access Personnel skal informere de berørte personer om sikkerhedsbristen, herunder at oplysninger om dem er sendt til uvedkommende.
Datatilsynet har herved lagt vægt på, at de oplysninger, som er sendt til uvedkommende omfatter fortrolige oplysninger.
Datatilsynet har på denne baggrund anmodet Access Personnel om at informere de berørte personer i overensstemmelse med det ovenfor angivne.
Afslutningsvis skal det bemærkes, at Datatilsynet ikke kan tage stilling til krav om erstatning. Spørgsmål om erstatning hører under domstolene.
Det skal endvidere for god ordens skyld oplyses, at Datatilsynet forventer at informere om sagen på sin hjemmeside.
Datatilsynet foretager sig herefter ikke yderligere i forhold til Dem.
Access Personnel har efterfølgende oplyst til Datatilsynet, at virksomheden har informeret de berørte personer. Datatilsynet har noteret sig det oplyste, og foretager sig herefter ikke yderligere i sagen