Afgørelse om god databehandlingsskik ved udlevering af personoplysninger til uvedkommende

Publiceret 29-06-2012
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2011-632-0103

Datatilsynet vender hermed tilbage til sagen om Ankestyrelsens videregivelse af oplysninger om to personer til en uvedkommende person i forbindelse med aktindsigt. Ved brev af 18. januar 2011 er Ankestyrelsen fremkommet med en udtalelse, hvoraf det bl.a. fremgår, at der var tale om akter fra et elektronisk dokumenthåndteringsprogram.

Datatilsynet finder det meget beklageligt, at oplysninger om to borgere er blevet udleveret til en uvedkommende person. Ankestyrelsens behandling af personoplysningerne har efter tilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.

Datatilsynet har noteret sig det oplyste om, at Ankestyrelsen har bedt Arbejdsskadestyrelsen fjerne de akter, der vedrørte andre personer fra den pågældende arbejdsskadesag, at Ankestyrelsen har kontaktet Arbejdsskadestyrelsen med henblik på at finde en løsning, så det sikres, at der ikke bliver lagt dokumenter med personoplysninger ind på andre borgeres sager, samt at Ankestyrelsen har orienteret sagsbehandlerne i Ankestyrelsen om den konkrete sag for hermed at få skærpet fokus på styrelsens procedurer i forbindelse med indscanning og aktindsigt.

Ankestyrelsen har bl.a. oplyst, at styrelsen blev kontaktet af den person, som havde modtaget dokumenterne. Ankestyrelsen har ikke efterfølgende kontaktet den pågældende med henblik på at få slettet eller destrueret oplysningerne.

Datatilsynet finder, at Ankestyrelsen også burde have taget initiativ til at få de udleverede oplysninger retur fra modtageren eller destrueret hos denne. Efter Datatilsynets opfattelse er det således et led i det krav om god databehandlingsskik, som følger af persondatalovens § 51 , at den dataansvarlige skal søge at begrænse skaden, når der er sket videregivelse i strid med loven.

Underretning af de berørte personer 

Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer. Ved vurderingen af spørgsmålet om underretning må den dataansvarlige bl.a. tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i betragtning.

Efter det i sagen oplyste har Ankestyrelsen foretaget en vurdering af, om styrelsen skulle underrette de berørte borgere. Efter det oplyste har Ankestyrelsen i sin konkrete vurdering lagt særligt vægt på, at de pågældende borgeres interesse i at modtage underretning må anses for at være begrænset, og på at oplysningerne ikke var indgået i sagens behandling i Ankestyrelsen, og at afgørelsen heller ikke ville få konsekvenser for borgerne. Endelig har Ankestyrelsen lagt vægt på oplysningernes karakter.

Datatilsynet finder, at der i det ene tilfælde med videregivelse af blandt andet oplysninger om navn, adresse, personnummer, jobtype, arbejdsgiver og en beskrivelse af et hændelsesforløb vedrørende en arbejdsulykke, var tale om ganske omfattende oplysninger, og det kan efter tilsynets opfattelse ikke udelukkes, at den skete videregivelse kan have konkrete konsekvenser for den berørte person. Datatilsynet tager herved også i betragtning, at Ankestyrelsen efter det oplyste ikke har taget initiativ til at få oplysningerne retur fra eller slettet hos den person, der uberettiget har modtaget dem, hvorfor modtageren stadig kan ligge inde med oplysningerne. Samlet set finder Datatilsynet derfor, at den berørte person burde have været underrettet, og tilsynet skal opfordre Ankestyrelsen til nu at underrette personen.

Hvad angår den anden person, var der tale om navn, personnummer, e-mail-adresse samt indholdet af en e-mail korrespondance med bl.a. oplysninger om en dialog med en speciallæge om personens ar og behov for kosmetisk korrektion, om en rapport med referencer til en nærmere beskrevet vansiring i ansigtet samt arbejdsgiverens navn. Også i dette tilfælde finder Datatilsynet, at der er tale om ganske omfattende oplysninger, og det kan efter tilsynets opfattelse ikke udelukkes, at den skete videregivelse kan have konkrete konsekvenser for den berørte person. Tilsynet må også her tage i betragtning, at Ankestyrelsen efter det oplyste ikke har taget initiativ til at få oplysningerne retur fra eller slettet hos den person, der uberettiget har modtaget dem. Samlet set finder Datatilsynet derfor, at den berørte person burde have været underrettet, og tilsynet skal opfordre Ankestyrelsen til nu at underrette personen.

Datatilsynet foretager sig herefter ikke yderligere i sagen. 

Kopi af denne afgørelse er sendt til Folketingets Ombudsmand til orientering.

 

1 Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.