Medarbejdere skal vide, hvor de må gemme oplysninger

Dato: 09-02-2024

Det sker af og til, at Datatilsynet modtager anmeldelser af brud på persondatasikkerheden, der skyldes, at medarbejdere ikke er blevet tilstrækkeligt instrueret af deres arbejdsgiver i, hvor personoplysninger skal opbevares.

Når medarbejdere ikke ved, hvor de skal gemme oplysninger i forbindelse med deres arbejde, medfører det en risiko for, at oplysningerne kommer til uvedkommendes kendskab, hvis medarbejderne f.eks. gemmer oplysningerne på et fællesdrev, hvor de kan blive set af andre medarbejdere, der ikke har et arbejdsbetinget behov for at tilgå oplysningerne. Herudover kan manglende instruktion af medarbejderne medføre, at medarbejderne er utrygge ved arbejdsgangene, når de udfører deres arbejde, samtidig med, at man som dataansvarlig får svært ved at kontrollere, at oplysninger ikke bliver opbevaret i mapper og på netværksdrev, hvor de ikke må være.

Derfor er det vigtigt – og i øvrigt efter Datatilsynets opfattelse et databeskyttelsesretligt krav – at man som dataansvarlig har fastsat klare retningslinjer og procedurer for, hvor medarbejdere skal opbevare personoplysninger hver gang, de behandler oplysningerne – f.eks. i forbindelse med deres arbejde. Retningslinjerne og procedurerne skal vedligeholdes og opdateres jævnligt, herunder især, når nye tekniske muligheder anvendes eller systemer ændres.

Retningslinjerne og procedurerne skal desuden understøttes af periodiske kontroller af, om de bliver efterlevet, gerne ved brug af tekniske værktøjer, der kan scanne f.eks. mailsystemer eller netværksdrev for oplysninger, der er blevet gemt af medarbejdere i strid med den dataansvarliges regler.

Du kan i øvrigt læse mere om awareness i Datatilsynets foranstaltningskatalog.