Datatilsynet har truffet afgørelse i en sag, hvor en gruppe medarbejdere hos Kriminalforsorgen oprettede en lukket Messenger-gruppe på Facebook, hvor der foregik tjenstlig kommunikation mellem ansatte i Storstrøm Fængsel om både indsatte i fængslet og ansatte hos Kriminalforsorgen.
Kriminalforsorgen modtog ad flere omgange henvendelser fra en medarbejder med en bekymring for, at der var sket et brud på persondatasikkerheden, idet der foregik arbejdsrelateret kommunikation i den lukkede Messenger-gruppe. Trods henvendelserne undersøgte Kriminalforsorgen først sagen 6 måneder efter modtagelsen af første henvendelse.
Datatilsynet har udtalt kritik af Kriminalforsorgen for ikke at have undersøgt det mulige brud hurtigt med henblik på at afklare, om der var tale om et brud på persondatasikkerheden og i forlængelse heraf for ikke at have anmeldt bruddet rettidigt til Datatilsynet – det vil sige uden unødig forsinkelse og om muligt senest 72 timer efter, at Kriminalforsorgen blev bekendt med bruddet.
Hvornår anses den dataansvarlige for at være bekendt med et brud?
Datatilsynets er af den opfattelse, at den dataansvarlige som udgangspunkt anses for være bekendt med et brud, når en medarbejder hos den dataansvarlige bliver bekendt med bruddet. Hvis den dataansvarlige er i tvivl om, hvorvidt der er sket et brud på persondatasikkerheden, bør formodningen for, at der kan være sket et brud føre til, at den dataansvarlige undersøger hændelsen nærmere med henblik på at afklare, om der rent faktisk er sket et brud på persondatasikkerheden. Undersøgelsen skal finde sted hurtigst muligt, og den dataansvarlige skal i den forbindelse med en rimelig grad af sikkerhed fastslå, om et brud har fundet sted, og om hændelsen skal anmeldes til Datatilsynet.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om håndtering af brud på persondatasikkerheden i Datatilsynets vejledning om emnet.