Journalnummer: 2007-632-0014
Datatilsynet blev i november 2007 opmærksom på, at Københavns Universitet havde offentliggjort oplysninger om studerendes personnumre på universitetets hjemmeside.
Der var tale om 39 studerende, og oplysningerne omfattede de studerendes personnumre, holdinddeling (arbejdsgrupper), navne, private adresser, telefonnumre og e-postadresser. Datatilsynet konstaterede ved søgning på ordet "cpr" i søgefunktionen på Københavns Universitets hjemmeside, at der også på andre af universitetets sider kunne forekomme personnumre. Datatilsynet fandt herved en liste med 50 personnumre og oplysninger om deltagelse i eksamen.
Efter anmodning fra Datatilsynet har Københavns Universitet den 4. december 2007 afgivet en udtalelse i sagen.
Københavns Universitet har oplyst, at siden med de 39 studerende blev lagt på internettet i september 2007 uden angivelse af personnumre. Personnumre blev ved en beklagelig fejl tilføjet i forbindelse med en opdatering af siden.
Københavns Universitet blev efter henvendelse fra Datatilsynet opmærksom på problemet, hvorefter personnumrene straks blev fjernet. Efterfølgende er også oplysningerne om privat adresse, telefonnummer og e-postadresse fjernet, så listen herefter kun indeholder oplysninger om deltagernes navne.
Københavns Universitet har oplyst, at eleverne selv har givet oplysningerne til underviseren, der har lavet listen som en service til sine hold. Underviseren var ikke klar over, at oplysninger om privat adresse, telefonnummer og e-postadresse ikke måtte offentliggøres uden de studerendes udtrykkelige accept.
Københavns Universitet har orienteret alle berørte om, at oplysningerne har været offentligt tilgængelige på internettet, og at de nu er fjernet.
Hvad angår siden med den 50 personer har Københavns Universitet oplyst, at den fejlagtigt er lagt på internettet den 3. juni 2005. Siden er nu krypteret, og alle berørte er informeret om det skete. Københavns Universitet har ikke modtaget henvendelser desangående ud over Datatilsynets. Datatilsynet kan konstatere, at siden ikke er frit tilgængelig.
Københavns Universitet har endelig oplyst, at problematikken om personoplysninger på internettet jævnligt behandles på universitetet. Den 19. juni 2007 blev der eksempelvis udsendt en e-mail til alle enheder på universitetet, hvori der gjordes opmærksom på gældende regler. E-mailen var tillige vedhæftet Datatilsynets svar på en konkret forespørgsel. Alle steder, hvor der undervises og instrueres i brug af internettet, bliver der også orienteret grundigt om behandling af personoplysninger, ligesom siderne løbende kontrolleres for overholdelse af reglerne.
Efter henvendelse fra Datatilsynet har Københavns Universitet telefonisk oplyst, at universitetet vil sikre sig, at oplysningerne ikke er tilgængelige via Google.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet finder offentliggørelsen meget beklagelig
I de konkrete tilfælde, hvor i alt 89 studerendes personnumre, heraf 39 tillige med navn, privat adresse, telefonnummer, e-postadresse samt holdinddeling, er blevet offentliggjort, finder Datatilsynet ikke, at Københavns Universitets har udvist den fornødne omhu. Universitetet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre vil kunne få alvorlige konsekvenser for de berørte personer.
Datatilsynet har noteret sig det af Københavns Universitet oplyste om grundig orientering om behandling af personoplysninger og løbende kontrol af siderne.
Underretning af de berørte personer og sletning fra Google
Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet" .
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved fejl, bør de efter Datatilsynets opfattelse underrettes.
Datatilsynet har noteret sig, at det oplyste om, at Københavns Universitet har fjernet de omhandlede sider, og at alle berørte er orienteret om det passerede.
Datatilsynet har endvidere noteret sig det oplyste om, at universitet vil sikre sig, at oplysningerne ikke længere kan findes på Google.
Afsluttende bemærkninger
Datatilsynet foretager på det foreliggende grundlag ikke yderligere i sagen
Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.