Datatilsynet har truffet afgørelse i en sag, hvor Finanstilsynet utilsigtet videregav oplysninger om whistleblowere til en journalist i forbindelse med en anmodning om aktindsigt.
Den utilsigtede videregivelse skete, fordi Finanstilsynet ikke på en tilstrækkelig sikker måde havde fjernet personoplysninger fra det materiale, der var givet indsigt i. Finanstilsynet havde således overstreget personoplysninger i de udleverede pdf-dokumenter for at undtage disse fra materialet, men oplysningerne kunne aflæses ved at ”holde musemarkøren” på overstregede passager.
Af sagen fremgår det, at Finanstilsynet ikke var opmærksom på, at det er nødvendigt at slette de skjulte oplysninger, som befinder sig bag det viste dokument (metadata mv.), for at sikre, at de ikke længere vil kunne findes.
Manglende tekniske og organisatoriske foranstaltninger
Ved vurderingen af sagen lagde Datatilsynet bl.a. vægt på, at kravet om passende sikkerhed indebærer, at den dataansvarlige skal etablere foranstaltninger, der sikrer, at materiale, der videregives, ikke indeholder personoplysninger, som skulle have været anonymiseret.
Datatilsynet har herudover særligt lagt vægt på, at risikoen for den registreredes rettigheder generelt må anses for højere, når oplysningerne stammer fra en whistleblower-ordning, ligesom Datatilsynet konstaterede, at det er en alment kendt del af funktionaliteten i programmer, der teknisk bliver brugt til overstregning, at metadataoplysninger eller underliggende lag af oplysninger kan findes efter overstregning.
Datatilsynet udtalte på den baggrund alvorlig kritik af Finanstilsynets behandling af personoplysninger, da disse ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om behandlingssikkerhed her.
Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83.