Ny afgørelse: Databehandlers behandling af personoplysninger uden for instruks

Publiceret 22-01-2020
Nyhed

Datatilsynet udtaler alvorlig kritik af, at en databehandlers brug af en underleverandør ikke var i overensstemmelse med reglerne.

Datatilsynet har truffet afgørelse i en sag, hvor Herning Kommune anmeldte et brud på persondatasikkerheden, idet en databehandler havde overført personoplysninger til en ikke godkendt leverandør. Leverandøren, som databehandleren overførte personoplysninger til, behandlede oplysningerne i ikke sikre tredjelande.

Datatilsynet udtaler alvorlig kritik af, at databehandlerens overførsel af data til leverandøren var i strid med databeskyttelsesforordningen, hvorefter databehandlere ikke må gøre brug af databehandlere uden forudgående godkendelse fra den dataansvarlige. Ved sin udtalelse af graden af kritik lagde Datatilsynet vægt på, at der var tale om oplysninger vedrørende et højt antal registrerede, at oplysningerne omfattede personnummer, og at der var sket uhjemlet overførsel af personoplysninger til usikre tredjelande.

Vil du vide mere?

Læs hele afgørelsen her.

Læs mere om dataansvarlige og databehandlere.

Læs Datatilsynets vejledning (pdf) om dataansvarlige og databehandlere.