Udlændingestyrelsen indstilles til bøde

Dato: 17-08-2021

Datatilsynet anmelder Udlændingestyrelsen til politiet, og indstiller til en bøde på 150.000 kr., da tilsynet vurderer, at styrelsen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Datatilsynet indledte den 25. august 2020 en sag af egen drift over for Udlændinge- og Integrationsministeriet, da tilsynet gennem medieomtale blev bekendt med, at en mulig logningsfejl i et it-system tilknyttet Udrejsecenter Kærshovedgård kunne have haft konsekvenser for beboernes rettigheder og frihedsrettigheder.

Efter en undersøgelse af sagen, stod det klart, at Udlændingestyrelsen var dataansvarlig for behandlingen af personoplysninger i forbindelse med kontrol af beboernes opholds- og underretningspligt på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark.

I foråret og sommeren 2020 skete en række sikkerhedshændelser vedrørende manglende registreringer i det system, som registrerer at beboere på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark overholder deres opholds-, underretnings- og meldepligt. De manglende registreringer førte til, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser samt politianmeldelse af en række beboere for manglende overholdelse af regler i udlændingeloven.

Brud på reglerne om passende sikkerhed

Efter en gennemgang af sagen finder Datatilsynet, at Udlændingestyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen af dette lagt vægt på, at Udlændingestyrelsen ikke havde indført procedurer for systematisk at anvende oplysningerne i den hændelseslog, som registrerer beboernes færden inde på Udrejsecenter Kærshovedgård. Det gælder også på Udrejsecenter Sjælsmark i det omfang, hvor det ville kunne bidrage til at kontrollere rigtigheden af registreringer af beboernes færden – i forbindelse med behandlingen af anmeldelsessager som led i kontrollen med opholds- og underretningspligten.

Herudover har Datatilsynet i vurderingen lagt vægt på, at Udlændingestyrelsen ikke havde identificeret og forholdt sig til risici for de registrerede i forbindelse med behandlingsaktiviteterne i SALTO-systemet.

Endelig har Datatilsynet lagt vægt på, at Udlændingestyrelsen – henset til retsvirkningerne for beboerne forbundet med de pågældende registreringer – ikke havde foretaget tilstrækkelig backup af de oplysninger, som behandles i SALTO-systemet. Det var derfor ikke muligt for styrelsen at genskabe en række af de data, som gik tabt under hændelsen den 9.-10. juni 2020.

Det er Datatilsynets opfattelse, at det ved oplysninger og registreringer, der indgår i straffesagskæden eller benyttes til kontrolforanstaltninger, som er underlagt sanktioner, skal sikres at der dels sker logning af alle aktiviteter, dels foretages en sikkerhedskopiering, med sådanne intervaller, at data ikke tabes ved nedbrud. Det er herudover tilsynets opfattelse, at en backupprocedure skal efterprøves med en disaster recovery test med intervaller, der er fastsat i henhold til den risiko, der er for de registreredes rettigheder.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

”Vi ser med stor alvor på denne sag, fordi den handler om den grundlæggende rettighed, at man skulle kunne stole på de oplysninger, som myndigheder behandler og videregiver til politiet, og som i sidste ende kan ende som beviser i retten. Det er meget væsentligt, at sådanne oplysninger er korrekte. Ud over rettighedstab for de mennesker, det omhandler, medfører manglende databeskyttelse i straffesagskæden også svækket tillid til både myndighederne og domstolene”, forklarer kontorchef i Datatilsynet Frederik Siegumfeldt.

 

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bøder efter GDPR