Journalnummer: 2013-313-0254
Datatilsynet vender hermed tilbage til sagen, hvor du som advokat for Fagforening F og klager K har rettet henvendelse til Datatilsynet vedrørende Odsherred Kommunes behandling af oplysninger om K.
Datatilsynet har forstået din henvendelse således, at K ønsker at klage over:
• Odsherred Kommunes videregivelse af følsomme personoplysninger om klager til klagers hjemkommune og til Arbejdsløshedskasse A.
Efter en gennemgang af sagen finder Datatilsynet det samlet set kritisabelt, at Odsherred Kommune har videregivet personoplysninger om klager i strid med persondataloven1, ligesom kommunen har fremsendt ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
1. Odsherred Kommunes videregivelse af klagers personoplysninger
1.1. Sagens omstændigheder
Det fremgår af sagen, at klager tidligere var ansat i Odsherred Kommune, og at han blev bortvist den [udeladt], hvorefter han oppebar dagpenge.
Endvidere fremgår det af sagen, at der den [udeladt] blev indgået forlig i bortvisningssagen med den konsekvens, at bortvisningen blev ændret til en opsigelse med fratrædelse den [udeladt].
Det fremgår desuden af sagen, at klager under forløbet har arbejdet for Firma F.
Endelig fremgår det af sagen, at Odsherred Kommune ved brev af [udeladt] til klagers hjemkommune og til Arbejdsløshedskasse A under overskriften ”Anmeldelse af mulig socialt bedrageri” har videregivet oplysninger om bortvisningssagen samt oplysninger om mulige strafbare forhold, herunder oplysninger om oppebærelse af dagpenge, mens klager har arbejdet for Firma F.
1.2. Klagers argumenter
Du har på klagers vegne anført, at der i den konkrete sag ikke var noget som helst grundlag for Odsherred Kommunes mistanke om, at klager skulle have modtaget midler, som han ikke var berettiget til, og at kommunen således heller ikke havde noget sagligt grundlag for at mene, at oplysningerne skulle være nødvendige for hverken A-kassen eller klagers hjemkommune.
Endvidere har du anført, at klagers hjemkommune under ingen omstændigheder er den relevante myndighed for undersøgelse eller behandling af en sag om eventuelt svig overfor en arbejdsløshedskasse, da hjemkommunen ikke er involveret i dagpengeudbetalinger. Du finder tillige, at videregivelsen til A-kassen giver anledning til betydelig undren, herunder hvorfor Odsherred Kommune fandt det nødvendigt, endsige hensigtsmæssigt, at rette henvendelse til A-kassen.
Herudover har du anført, at en eventuel anmeldelse af socialt bedrageri burde være indgivet til politiet.
Du har desuden anført, at en videregivelse med hjemmel i persondatalovens § 8, stk. 2, nr. 3, ikke kan ske blot ved en generel henvisning til, at dokumenter kan have betydning for en myndigheds opgaver i mere abstrakt form.
Endelig har du anført, at Odsherred Kommune ikke lovligt har kunnet videregive oplysninger om strafbare forhold, og at der således ikke var hjemmel til videregivelsen.
1.3. Odsherred Kommunes argumenter
Odsherred Kommune har anført, at det under forhandlingen om det ansættelsesretlige forlig blev drøftet, om indkomsten fra arbejdet hos Firma F skulle modregnes i lønnen fra Odsherred Kommune, og at kommunen derfor undrede sig over oplysningen om, at klager havde oppebåret dagpenge, når han samtidig havde udført arbejde for Firma F.
Endvidere har Odsherred Kommune anført, at kommunen vurderede, at oplysningerne var af betydning for A-kassens afgørelser om udbetaling af dagpenge og for hjemkommunens mulige afgørelser i relation til lov om aktiv beskæftigelsesindsats, således at hjemkommunen kunne kontrollere lønsedler fra Firma F og sammenholde dem med dagpengeudbetalingerne.
Odsherred Kommune har endelig anført, at oplysningerne blev videregivet med hjemmel i forvaltningslovens2 § 28, stk. 2, nr. 3, samt persondatalovens § 8, stk. 2, nr. 3.
1.4. Datatilsynets udtalelse
1.4.1.
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Ud fra det af sagens parter oplyste, herunder at oplysningerne blev fremsendt via e-mail, lægger Datatilsynet til grund, at sagen falder indenfor tilsynets kompetenceområde.
1.4.2.
Det følger af persondatalovens § 8, stk. 2, nr. 3, at oplysninger om strafbare forhold må videregives, når videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som en myndighed skal træffe.
Persondatalovens § 8, stk. 2, omfatter både videregivelse til private og til offentlige myndigheder, og videregivelsen kan ske både af hensynet til den afgivende og modtagne myndighed.
Datatilsynet finder efter en gennemgang af sagen, at Odsherred Kommune ikke i tilstrækkelig grad har godtgjort, at videregivelsen til henholdsvis klagers hjemkommune og til Arbejdsløshedskasse A var nødvendig for hjemkommunens eller Arbejdsløshedskasse A’s udførelse af deres myndigheds- og/eller afgørelsesvirksomhed.
Datatilsynet finder derfor, at den skete videregivelse var i strid med persondatalovens § 8.
1.4.3.
I forhold til forvaltningslovens § 28, stk. 2, skal Datatilsynet bemærke, at bestemmelsen bl.a. finder anvendelse ved videregivelse af oplysninger, hvor persondataloven ikke finder anvendelse. Da persondataloven som anført ovenfor efter Datatilsynets opfattelse finder anvendelse i den konkrete sag, finder tilsynet, at hjemlen til videregivelsen ikke kan findes i forvaltningslovens § 28, stk. 2. Datatilsynet foretager derfor ikke en nærmere vurdering heraf.
2. Odsherred Kommunes brug af usikker e-mail
Datatilsynet har i sit høringsbrev af 23. september 2013 bedt Odsherred Kommune om at oplyse, hvorvidt sikkerhedsforanstaltningerne ved fremsendelse af e-mail var iagttaget ved videregivelsen.
Dertil har Odsherred Kommune oplyst, at kommunen fremsendte brevet til klagers hjemkommune og til Arbejdsløshedskasse A via usikker e-mail.
Kommunen har beklaget dette og samtidig oplyst, at der er taget skridt til, at der fremover anvendes sikker e-mail eller digital post.
Persondataloven stiller i lovens § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens sikkerhedskrav for offentlige myndigheder er nærmere uddybet i sikkerhedsbekendtgørelsen3 og i Datatilsynets sikkerhedsvejledning4.
Det følger af sikkerhedsbekendtgørelsens § 14, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
Af vejledningen til § 14 følger det, at hvis der sendes følsomme personoplysninger over internettet, skal der anvendes en stærk kryptering.
Datatilsynet finder således på baggrund af Odsherred Kommunes udtalelse, at kommunen har handlet i strid med persondatalovens § 41, stk. 3, ved at fremsende følsomme personoplysninger med ukrypteret e-mail.
3. Datatilsynet udtaler kritik
Efter en gennemgang af sagen finder Datatilsynet det samlet sket kritisabelt, at Odsherred Kommune har videregivet personoplysninger om klager i strid med persondataloven, ligesom kommunen har fremsendt ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger.
4. Afsluttende bemærkninger
Datatilsynet skal for god ordens skyld bemærke, at tilsynet alene har kompetence til at vurdere, hvorvidt der er sket brud på persondataloven. Datatilsynet har således ikke kompetence til at vurdere, hvorvidt klager har modtaget dagpenge i strid med lovgivningen.
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere.
Odsherred Kommune er ved brev af dags dato orienteret om afgørelsen.
For en god ordens skyld skal Datatilsynet oplyse, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Lovbekendtgørelse nr. 433 af 22. april 2014.
3 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.