På baggrund af, at PFA Pension pr. 8. februar 2019 havde anmeldt 66 brud på persondatasikkerheden til Datatilsynet, opstartede Datatilsynet af egen drift en sag over for PFA Pension. Ved afgørelse af 16. maj udtaler Datatilsynet kritik af, at PFA Pensions behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32.
Efter en nærmere gennemgang af de modtagne anmeldelser har Datatilsynet konstateret, at 62 ud af 66 anmeldelser vedrører utilsigtet videregivelse af personoplysninger i forbindelse med fremsendelse af dokumenter via kommunikationsløsningen ”Mit PFA”, e-Boks, med brevpost eller lignende. PFA Pension har oplyst, at de 66 brud på persondatasikkerheden udgør en relativt lille andel af den samlede kommunikation med virksomhedens kunder, men at antallet desuagtet er for højt. PFA Pension har hertil oplyst, at cirka 270.000 kunder årligt modtager elektroniske eller fysiske svar fra PFA Pension som følge af deres henvendelse, og at de anmeldte brud på persondatasikkerheden alene vedrører 0,3 promille af den samlede kommunikation med selskabets kunder.
På trods af Datatilsynets kritik af PFA Pension noterer tilsynet sig samtidig, at PFA Pension løbende monitorerer det etablerede sikkerhedsniveau, og at selskabet på baggrund af de passerede brud allerede inden tilsynets henvendelse tog skridt til at implementere yderligere sikkerhedsforanstaltninger for at styrke behandlingssikkerheden.
Vil du vide mere?
Læs hele afgørelsen.
Læs mere om persondatasikkerhed.
Læs vejledning om håndtering af brud på persondatasikkerheden.