Udlændingestyrelsen indstilles til bøde

Dato: 17-08-2021

Datatilsynet anmelder Udlændingestyrelsen til politiet, og indstiller til en bøde på 150.000 kr., da tilsynet vurderer, at styrelsen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Datatilsynet indledte den 25. august 2020 en sag af egen drift over for Udlændinge- og Integrationsministeriet, da tilsynet gennem medieomtale blev bekendt med, at en mulig logningsfejl i et it-system tilknyttet Udrejsecenter Kærshovedgård kunne have haft konsekvenser for beboernes rettigheder og frihedsrettigheder.

Efter en undersøgelse af sagen, stod det klart, at Udlændingestyrelsen var dataansvarlig for behandlingen af personoplysninger i forbindelse med kontrol af beboernes opholds- og underretningspligt på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark.

I foråret og sommeren 2020 skete en række sikkerhedshændelser vedrørende manglende registreringer i det system, som registrerer at beboere på Udrejsecenter Kærshovedgård og Udrejsecenter Sjælsmark overholder deres opholds-, underretnings- og meldepligt. De manglende registreringer førte til, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser samt politianmeldelse af en række beboere for manglende overholdelse af regler i udlændingeloven.

Brud på reglerne om passende sikkerhed

Efter en gennemgang af sagen finder Datatilsynet, at Udlændingestyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen af dette lagt vægt på, at Udlændingestyrelsen ikke havde indført procedurer for systematisk at anvende oplysningerne i den hændelseslog, som registrerer beboernes færden inde på Udrejsecenter Kærshovedgård. Det gælder også på Udrejsecenter Sjælsmark i det omfang, hvor det ville kunne bidrage til at kontrollere rigtigheden af registreringer af beboernes færden – i forbindelse med behandlingen af anmeldelsessager som led i kontrollen med opholds- og underretningspligten.

Herudover har Datatilsynet i vurderingen lagt vægt på, at Udlændingestyrelsen ikke havde identificeret og forholdt sig til risici for de registrerede i forbindelse med behandlingsaktiviteterne i SALTO-systemet.

Endelig har Datatilsynet lagt vægt på, at Udlændingestyrelsen – henset til retsvirkningerne for beboerne forbundet med de pågældende registreringer – ikke havde foretaget tilstrækkelig backup af de oplysninger, som behandles i SALTO-systemet. Det var derfor ikke muligt for styrelsen at genskabe en række af de data, som gik tabt under hændelsen den 9.-10. juni 2020.

Det er Datatilsynets opfattelse, at det ved oplysninger og registreringer, der indgår i straffesagskæden eller benyttes til kontrolforanstaltninger, som er underlagt sanktioner, skal sikres at der dels sker logning af alle aktiviteter, dels foretages en sikkerhedskopiering, med sådanne intervaller, at data ikke tabes ved nedbrud. Det er herudover tilsynets opfattelse, at en backupprocedure skal efterprøves med en disaster recovery test med intervaller, der er fastsat i henhold til den risiko, der er for de registreredes rettigheder.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

”Vi ser med stor alvor på denne sag, fordi den handler om den grundlæggende rettighed, at man skulle kunne stole på de oplysninger, som myndigheder behandler og videregiver til politiet, og som i sidste ende kan ende som beviser i retten. Det er meget væsentligt, at sådanne oplysninger er korrekte. Ud over rettighedstab for de mennesker, det omhandler, medfører manglende databeskyttelse i straffesagskæden også svækket tillid til både myndighederne og domstolene”, forklarer kontorchef i Datatilsynet Frederik Siegumfeldt.

 

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.