Datatilsynet afslutter behandling af SAS-sag

Dato: 28-06-2022

For to uger siden indledte Datatilsynet en undersøgelse af et muligt sikkerhedsbrud i SAS' bookingsystem. Da SAS nu har oplyst, at der ikke var tale om en fejl, falder sagen uden for de regler, Datatilsynet administrerer.

Datatilsynet startede 14. juni 2022 en sag af egen drift rettet mod SAS. Sagen skulle afklare de faktuelle omstændigheder omkring annulleringen af et antal bookinger, selv om det stadig var muligt at købe billetter til de samme afgange til en højere pris.

Datatilsynets interesse i sagen skyldtes primært pressens gengivelse af SAS’ egen forklaring, der indikerede at billetterne var slettet på grund af en fejl, hvilket efter omstændighederne kunne betragtes som et brud på persondatasikkerheden, hvor integriteten af persondata blev kompromitteret.

SAS har 27. juni 2022 oplyst Datatilsynet, at alle afbookinger er sket som intenderede handlinger og i tråd med SAS’ ordinære arbejdsprocesser, og at der ikke er udtryk for en fejl i selskabets systemer eller brugen af dem.

Datatilsynet har på den baggrund oplyst SAS, at tilsynet ikke for nuværende vil gå yderligere ind i sagen. Datatilsynet forbeholder sig dog at gå ind i sagen, hvis der fremkommer yderligere oplysninger. Datatilsynet har underrettet det svenske datatilsyn Integritetsskyddsmyndigheten (IMY) om sagen, da IMY er ledende tilsynsmyndighed for SAS ved grænseoverskridende behandlinger.

Vil du vide mere?

Læs Datatilsynets afsluttende brev til SAS.