Ny afgørelse: Uautoriseret adgang til videoovervågning

Publiceret 25-06-2020
Nyhed

Datatilsynet har i forbindelse med et alvorligt sikkerhedsbrud fundet, at Salling havde truffet passende tekniske og organisatoriske foranstaltninger, men udtaler kritik af, at Salling først anmeldte hændelsen til tilsynet 10 dage efter, at virksomheden blev bekendt med episoden.

Datatilsynet har truffet afgørelse i en sag, hvor en medarbejder hos Salling lukkede en tidligere ansat ind ad personaleindgangen og ind i et aflukket portnerlokale og viste den tidligere ansatte videoovervågningsmateriale fra forretningens område, hvor der fremgik billeder af den tidligere ansattes ekskæreste, som var ude at shoppe med en veninde.

Trods episoden fandt Datatilsynet, at Salling havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til de risici, der foreligger ved den pågældende behandling af personoplysninger, og at virksomheden ikke kunne anses for ansvarlig for den pågældende hændelse.

Ud over mange af de foranstaltninger, Salling har truffet, lagde Datatilsynet vægt på, at en medarbejder bevidst og mod bedre vidende på flere måder, f.eks ved at give en tidligere ansat adgang til bygningen, brød virksomhedens retningslinjer. Datatilsynet fandt videre, at medarbejderen foretog indtil flere handlinger, som lå udover, hvad der med rimelighed kunne forventes, at Salling skulle have været forberedt på eller truffet foranstaltninger med henblik på at undgå.

Datatilsynet har derfor alene udtalt kritik af den for sene anmeldelse af hændelsen til tilsynet.

Læs mere

Læs selve afgørelsen her.

Læs mere om persondatasikkerhed.

Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.