Journalnummer: 2012-632-0003
1. På baggrund af en henvendelse fra en borger blev Datatilsynet den 17. januar 2012 opmærksom på, at Odense Kommune har offentliggjort fortrolige oplysninger om 14 af kommunens medarbejdere på kommunens hjemmeside. Ved e-mail 27. januar 2012 er Odense Kommune efter anmodning fra Datatilsynet fremkommet med en udtalelse.
Det fremgår herefter af sagen, at Odense Kommune har offentliggjort en oversigt over udgifter til arrangementer og udvalgsture mv., herunder rejseafregninger indeholdende fortrolige oplysninger på internettet, at der var tale om oplysninger om bl.a. oplysninger om 12 personers personnumre, én persons kontonummer og én persons kortoplysninger, at Odense Kommune den 13. januar 2012 blev gjort opmærksom på, at der var offentliggjort ét personnummer på kommunens hjemmeside, at Odense Kommune i den forbindelse fjernede fem sider fra hjemmesiden, at Odense Kommune herefter modtog oplysninger om, at der fortsat lå personoplysninger på hjemmesiden, hvorefter kommunen fjernede alle oplysninger om rejseafregning fra hjemmesiden med henblik på at foretage en ekstra kontrol, at nogle af de pågældende oplysninger har været offentliggjort siden juni 2010, at rejseafregningsbilagene ikke i de konkrete tilfælde er kontrolleret for personoplysninger inden offentliggørelse, at der er indbygget en cpr-alarm på odense.dk, der imidlertid ikke kan alarmere ved indscannede dokumenter eller håndskrift, og at de 4 bilag ifølge statistikken over trafikken på odense.dk fra 1. august 2010 til 27. januar 2012 er læst 387 gange.
2. Det fremgår af persondatalovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at organisationens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynets opfattelse, at sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme oplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af organisationens systemer.
3. Datatilsynet må konstatere, at Odense Kommune på kommunens hjemmeside har offentliggjort oplysninger om 12 personers personnumre, én persons kontonummer og én persons kortoplysninger.
I det konkrete tilfælde, hvor oplysninger om 10 personers personnumre, én persons kontonummer og én persons kortoplysninger er blevet offentliggjort, finder Datatilsynet, at Odense Kommune ikke har udvist den fornødne omhu, og at Odense Kommune dermed ikke har overholdt kravene i persondatalovens § 41, stk. 3.
Datatilsynet finder den skete offentliggørelse meget beklageligt.
Datatilsynet har noteret sig det oplyste om, at Odense Kommune har gennemgået kommunens hjemmeside, at Odense Kommune har oplyst, at kommunen har forskellige organisatoriske og tekniske foranstaltninger til imødegåelse af offentliggørelse af personlige oplysninger, at de medarbejdere, der har ret til at skrive på hjemmesiden er orienteret om, at personlige og fortrolige oplysninger ikke må offentliggøres på hjemmesiden, at Odense Kommune, efter kommunen blev opmærksom på, at der var sket offentliggørelse af fortrolige oplysninger, har instrueret medarbejdere, der har adgang til inddatering af oplysninger på hjemmesiden, at Odense Kommune har oplyst, at de medarbejdere, som håndterer rejseafregninger har fået en gennemgang af reglerne, at Odense Kommune har underrettet samtlige berørte personer om fejlen og givet retningslinjer til håndtering af situationen ved mistanke om identitetstyveri, skrift af kontonr. og kontokortnr, at Odense Kommune har beklaget hændelsen, at Odense Kommune har oplyst, at søgemaskiner på internettet er blevet opdateret, og at Odense Kommune har planlagt at gennemføre en awarenesskampagne i 2012 vedrørende indlæring af reglerne om informationssikkerhed.
4. Datatilsynet foretager sig herefter ikke yderligere i sagen.
For god ordens skyld skal det oplyses, at sagen eventuelt vil blive omtalt på Datatilsynets hjemmeside.