Klage over manglende behandlingssikkerhed

Publiceret 10-04-2019
Afgørelse Offentlige myndigheder

Personoplysninger noteret på papir med henblik på umiddelbart efter at blive elektronisk registreret i et journalsystem vil efter tilsynets opfattelse være omfattet af databeskyttelsesreglerne allerede i selve indsamlingsfasen.

Journalnummer: 2018-32-0288

Resume

Datatilsynet har behandlet en klage, hvor en person klagede over, at en sagsbehandler i Køge Kommune behandler personoplysninger på fysisk papir på en sådan måde, at udefrakommende kan tilgå oplysningerne, og at sagsbehandleren smider fysiske papirer med personoplysninger ud i en almindelig skraldespand.

Datatilsynet har i afgørelsen bemærket, at det er tilsynets opfattelse, at oplysninger der indsamles (her noteres på post its mv.) med henblik på umiddelbart efter at blive elektronisk registreret i et journalsystem vil være omfattet af databeskyttelsesreglerne allerede i selve ”indsamlingsfasen”.

Datatilsynet har i den forbindelse noteret sig, at Køge Kommune har oplyst, at kommunen behandler oplysningerne på fysisk papir, hvorefter oplysningerne umiddelbart efter indskrives i kommunens elektroniske sagssystem.

Datatilsynet har på den baggrund lagt til grund, at databeskyttelsesforordningen finder anvendelse i forhold til klagen.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor du har rettet henvendelse til tilsynet vedrørende Køge Kommunes behandling af oplysninger om dig.

Datatilsynet har forstået din henvendelse som en klage over, at en sagsbehandler i Køge Jobcenter behandler personoplysninger om dig uden den tilstrækkelige sikkerhed, idet sagsbehandleren bl.a. behandler oplysninger om dig på fysisk papir på en sådan måde, at udefrakommende kan tilgå oplysningerne, og at sagsbehandleren smider fysiske papirer med oplysninger om dig ud i en almindelig skraldespand.

Efter en gennemgang af sagen finder Datatilsynet ikke anledning til at udtale kritik af Køge Kommunes behandling af personoplysninger.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

1. Dine bemærkninger

Du har anført, at en sagsbehandler i Køge Jobcenter bruger en notesblok og Post-Its til at skrive oplysninger om dig og andre borgere, herunder oplysninger om personnummer, navn, mellemnavn, bydel og oplysninger om ledighedsperiode, således at oplysningerne er synlige for udefrakommende.

Du har endvidere anført, at den pågældende sagsbehandler smider fysiske papirer med oplysninger om dig ud en i almindelig skraldespand.

Endelig har du anført, at du i januar 2018 har frabedt dig, at sagsbehandleren behandler oplysninger om dig på den nævnte måde, ligesom du har rettet henvendelse til Køge Kommunes DPO.

2. Køge Kommunes bemærkninger

Køge Kommune har anført, at det er almindeligt for jobkonsulenter/sagsbehandlere, at de undervejs i en rådgivningssamtale gør egne notater på papir, frem for direkte i sagssystemet på skærmen.

Begrundelsen er ifølge Køge Kommune, at mødet skal foregå i en nærværende og tillidsbaseret atmosfære, og at det ikke vil kunne opfyldes, hvis samtalens kontakt løbende afbrydes af indskrivning i sagssystemet.

Køge Kommune har endvidere anført, at udefrakommende ikke kan tilgå de nævnte oplysninger, og at oplysningerne – hvis disse ikke indskrives umiddelbart efter en samtale – opbevares i aflåselige skabe på kontoret, hvor nøglerne ikke er synlige, indtil de indskrives i sagssystemet.

Endelig har Køge Kommune anført, at papirnotater fra samtaler ved arbejdsdagens afslutning efter forskrifterne lægges i en fælles aflåst papircontainer med papir til destruktion/makulation og at papirerne ikke bortskaffes i en almindelig papirkurv.

3. Datatilsynets afgørelse

3.1. Databeskyttelsesforordningen gælder ifølge forordningens artikel 2, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Det er Datatilsynets opfattelse, at oplysninger der indsamles (her noteres på post its mv.) med henblik på umiddelbart efter at blive elektronisk registreret i et journalsystem vil være omfattet af databeskyttelsesreglerne allerede i selve ”indsamlingsfasen”.

Datatilsynet har i den forbindelse noteret sig, at Køge Kommune har oplyst, at kommunen behandler oplysninger om dig på fysisk papir, hvorefter oplysningerne umiddelbart efter indskrives i kommunens elektroniske sagssystem.

Datatilsynet lægger derfor til grund, at databeskyttelsesforordningen finder anvendelse i forhold til din klage. 

3.2. Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

I forordningens artikel 32, stk. 1, litra a-d er herefter oplistet foranstaltninger, som kan være relevante at gøre brug af i sikkerhedsmæssige sammenhænge, herunder bl.a. pseudonymisering og kryptering af personoplysninger samt evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester.

Bestemmelsen i databeskyttelsesforordningens artikel 32, stk. 1, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at den dataansvarliges systemer, organisation og arbejdsgange indrettes således, at kravene i artikel 32, stk. 1, efterleves.

3.3. Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at konkludere, at Køge Kommune har handlet i strid med reglerne om behandlingssikkerhed i databeskyttelsesforordningens artikel 32. 

Datatilsynet har i den forbindelse lagt vægt på det af Køge Kommune oplyse om, at noterne opbevares utilgængeligt for uvedkommende, og at noterne efter indskrivning i sagssystemet bliver lagt i en aflåst papircontainer med henblik på destruktion.

Endelig har Datatilsynet noteret sig, at Køge Kommune har oplyst, at din klage har givet Køge Jobcenter anledning til en række generelle overvejelser, herunder at gøre bortskaffelsen af notater fra samtalen mere synlig for den enkelte borger, så mistanke om dårlig databeskyttelse ikke opstår, og at imødekomme hvis en borger aktivt tilkendegiver, at han/hun ikke ønsker notater på papir ved blot at indskrive oplysningerne i sagssystemet undervejs.