Datatilsynet vender hermed tilbage til sagen, hvor Klager [navn og adresse udeladt], har rettet henvendelse til Datatilsynet vedrørende Odsherred Kommunes behandling af personoplysninger.
Datatilsynet har umiddelbart forstået klagers henvendelse således, at han ønsker at klage over:
• At Odsherred Kommune har videregivet oplysninger om klager
til tredjemand.
• At Odsherred Kommune ikke har tilbagekaldt de videregivne
oplysninger fra tredjemand.
Det bemærkes indledningsvist, at Datatilsynet alene har kompetence til at behandle klager over persondataretlige spørgsmål, og at tilsynet derfor ikke med denne udtalelse har taget stilling til klagepunkter af ikke persondataretlig karakter.
Efter en gennemgang af sagen finder Datatilsynet, at Odsherred Kommune ikke har iagttaget persondatalovens1 § 41, stk. 3, og persondatalovens § 5, stk. 1, idet kommunen utilsigtet har videregivet fortrolige oplysninger om klager til tredjemand, idet Odsherred Kommune har sendt ukrypterede e-mails indeholdende fortrolige oplysninger om klager, og idet kommunen tilsyneladende ikke har tilbagekaldt de utilsigtede videregivne oplysninger om klager fra tredjemand eller har anmodet om, at den pågældende tredjemand sletter/destruerer oplysningerne. Samlet set finder Datatilsynet ovennævnte kritisabelt.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets udtalelse.
1. Odsherred Kommunes videregivelse af oplysninger om klager
1.1. Sagens omstændigheder
Det fremgår af sagen, at Odsherred Kommune ved e-mail af 1. november 2014 – i uanonymiseret form – har sendt to afgørelser fra henholdsvis Statsforvaltningen og Økonomi- og Indenrigsministeriet vedrørende klager til en tredjemand.
Af de videregivne afgørelser fremgår der bl.a. oplysninger om, at klager tilsyneladende har en fjernvarmegæld hos Odsherred Kommune, som er blevet sendt til inddrivelse hos SKAT.
1.2. Klagers argumenter
Klager har anført, at hans korrespondance med andre myndigheder omkring dokumentation for påstået fjernvarmegæld ikke bør udleveres til tredjemand, og at han finder den skete videregivelse kritisabel.
Endvidere har klager anført, at han ikke har givet Odsherred Kommune tilladelse (samtykke) til at videregive oplysninger om ham til tredjemand.
Endelig har klager anført, at Odsherred Kommunes svar på, hvorfor afgørelserne er udleveret til tredjemand, er tvetydigt og fejlagtigt.
1.3. Odsherred Kommunes argumenter
Odsherred Kommune har anført, at kommunen var berettiget til at videregive
afgørelserne fra Statsforvaltningen og Økonomi- og Indenrigsministeriet, idet videregivelsen skete som led i en berettiget myndighedsbehandling. Dog finder kommunen, at oplysningerne om klagers navn og adresse burde have været anonymiseret, hvilket kommunen har beklaget.
Endelig har Odsherred Kommune anført, at behandlingen konkret var nødvendig for, at den tredjemand, til hvem oplysningerne blev videregivet, kunne forfølge en berettiget interesse samt, at hensynet til den registrerede ikke oversteg denne interesse, hvorfor betingelserne i persondatalovens § 6, stk. 1, nr. 7, var opfyldt.
1.4. Datatilsynets udtalelse
1.4.1.
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Idet det fremgår af sagen, at Odsherred Kommune elektronisk har videregivet oplysninger om klager til tredjemand, lægger Datatilsynet til grund, at kommunens behandling af personoplysninger er omfattet af persondataloven.
1.4.2.
Af persondatalovens § 41, stk. 3, følger, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, gælder både i forhold til behandling af almindelige ikke-følsomme personoplysninger samt i forhold til behandling af fortrolige og følsomme personoplysninger, jf. persondatalovens § 6-8.
I nærværende sag indeholder de videregivne afgørelser – efter Datatilsynets opfattelse – både oplysninger af almindelig ikke følsom karakter samt fortrolige oplysninger, herunder oplysninger om en påstået fjernvarmegæld, der er sendt til inddrivelse hos SKAT.
Når Odsherred Kommune – som nævnt i afsnit 1.3. ovenfor – har erkendt, at afgørelserne fra Statsforvaltningen og Økonomi- og Indenrigsministeriet burde have været anonymiseret, finder Datatilsynet, at der er tale om en utilsigtet videregivelse af oplysninger om klager til en tredjemand, omfattet af persondatalovens § 41, stk. 3.
Odsherred Kommune har således ikke iagttaget sikkerhedsreglerne i persondatalovens § 41, stk. 3, når kommunen har videregivet oplysninger om klager, herunder fortrolige oplysninger, til en uvedkommende tredjemand.
2. Manglende tilbagekaldelse af de videregivne oplysninger fra tredjemand
2.1. Sagens omstændigheder
Som nævnt i afsnit 1.1. fremgår det af sagen, at Odsherred Kommune ved e-mail af 1. november 2014 – i uanonymiseret form – har sendt to afgørelser fra henholdsvis Statsforvaltningen og Økonomi- og Indenrigsministeriet vedrørende klager til en tredjemand.
2.2. Klagers argumenter
Klager har anført, at Odsherred Kommune bør tilbagekalde de uanonymiserede afgørelser fra den tredjemand, hvortil afgørelserne er sendt.
2.3. Odsherred Kommunes argumenter
Odsherred Kommune ses ikke af sagens dokumenter at have forholdt sig til klagers anbringende om, at kommunen bør tilbagekalde de videregivne afgørelser fra tredjemand.
2.4. Datatilsynets udtalelse
2.4.1.
Af persondatalovens § 5, stk. 1, følger det, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.
Efter Datatilsynets opfattelse vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab (her i form af en utilsigtet videregivelse) – efter omstændighederne – følge af persondatalovens grundregel om god databehandlingsskik, at den dataansvarlige skal sørge for, at oplysningerne hos tredjemand slettes eller tilbagekaldes, ligesom den dataansvarlige skal underrette den berørte person om den utilsigtede videregivelse.
2.4.2.
I den konkrete sag, hvor Odsherred Kommune har erkendt utilsigtet at have videregivet oplysninger om klager til en tredjemand (herunder fortrolige oplysninger), finder Datatilsynet, at kommunen burde have 1) anmodet tredjemanden om at slette de modtagne afgørelser eller 2) have tilbagekaldt disse afgørelser fra tredjemand.
Når dette tilsyneladende ikke er sket, finder Datatilsynet, at Odsherred Kommune ikke har iagttaget persondatalovens § 5, stk. 1, om god databehandlingsskik.
Hvis Odsherred Kommune fortsat ikke har anmodet tredjemand om at slette/destruere de modtagne afgørelser eller har tilbagekaldt afgørelserne, skal Datatilsynet henstille til, at kommunen gør dette snarest muligt.
3. Odsherred Kommunes brug af ukrypterede e-mails
3.1.
Som nævnt overfor fremgår det af sagen, at Odsherred Kommune ved e-mail af 1. november 2014 – i uanonymiseret form – har sendt to afgørelser fra henholdsvis Statsforvaltningen og Økonomi- og Indenrigsministeriet vedrørende klager til en tredjemand.
Det fremgår endvidere af sagen (som ligeledes nævnt ovenfor), at de videregivne afgørelser bl.a. indeholder oplysninger om en påstået fjernvarmegæld, hvilket efter Datatilsynets opfattelse har karakter af en fortrolig oplysning omfattet af persondatalovens § 6.
Af sagen fremgår det i øvrigt, at Odsherred Kommunes e-mail af 1. november 2014, samt en efterfølgende besvarelse til klager ved e-mail af 16. april 2015, er sendt ukrypteret.
3.2.
Persondataloven stiller – som nævnt i afsnit 1.4.2. – i lovens § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens sikkerhedskrav for offentlige myndigheder er nærmere uddybet i sikkerhedsbekendtgørelsen2 og i Datatilsynets sikkerhedsvejledning3.
Det følger af sikkerhedsbekendtgørelsens § 14, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
Af vejledningen til § 14 følger det, at hvis der sendes fortrolige oplysninger over internettet, skal der som minimum foretages kryptering.
3.3.
Idet det fremgår af sagen, at Odsherred Kommune har sendt fortrolige oplysninger om klager via ukrypterede e-mails, finder Datatilsynet, at kommunen ikke har iagttaget reglerne i persondatalovens § 41, stk. 3, samt sikkerhedsbekendtgørelsens § 14.
4. Datatilsynet udtaler kritik
Efter en gennemgang af sagen finder Datatilsynet, at Odsherred Kommune ikke har iagttaget persondatalovens § 41, stk. 3, og persondatalovens § 5, stk. 1, idet kommunen utilsigtet har videregivet fortrolige oplysninger om klager til tredjemand, idet Odsherred Kommune har sendt ukrypterede e-mails indeholdende fortrolige oplysninger om klager, og idet kommunen tilsyneladende ikke har tilbagekaldt de utilsigtede videregivende oplysninger om klager fra tredjemand, eller har anmodet om, at den pågældende tredjemand sletter/destruerer oplysningerne. Samlet set finder Datatilsynet ovennævnte kritisabelt.
5. Datatilsynet skal anmode om en redegørelse
Datatilsynet har i en tidligere sag – med j.nr. 2013-313-0254 – udtalt kritik af, at Odsherred Kommune havde videregivet oplysninger om en borger i strid med persondataloven, ligesom kommunen havde sendt ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger. Kopi af Datatilsynets udtalelse af 29. oktober 2014 vedlægges til orientering.
Det giver umiddelbart Datatilsynet anledning til bekymring, at tilsynet nu i to sager, inden for et relativt kort tidsrum, har konstateret, at Odsherred Kommune har sendt ukrypterede e-mails indeholdende fortrolige og følsomme personoplysninger.
Datatilsynet skal på denne baggrund anmode Odsherred Kommune om en nærmere redegørelse for, hvilke tiltag kommunen vil iværksætte med henblik på at sikre, at kommunen fremadrettet overholder persondatalovens § 41, stk. 3, og således ikke på ny sender ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger.
Tilsynet skal anmode om at modtage denne redegørelse senest 4 uger fra dette brevs dato.
6. Afsluttende bemærkninger
Datatilsynet har grundet sagens karakter valgt at stile en kopi af denne udtalelse til kommunalbestyrelsen i Odsherred Kommune.
Kopi af udtalelsen er samtidigt sendt til klager.
Datatilsynet betragter i øvrigt sagen som afsluttet i forhold til klager og afventer herefter Odsherred Kommunes redegørelse.
Det skal for god ordens skyld bemærkes, at Datatilsynet agter at offentliggøre denne udtalelse på tilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.