Offentliggørelse af personoplysninger i Frederiksberg Kommunes byggesagsarkiv

Publiceret 13-07-2015
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2014-632-0076

Datatilsynet vender hermed tilbage til sagen vedrørende Frederiksberg Kommunes offentliggørelse af personoplysninger i et byggesagsarkiv1 på internettet.

Ved brev af 20. februar 2014 er Frederiksberg Kommune efter anmodning fra Datatilsynet fremkommet med en udtalelse til sagen. Sagen er yderligere blevet oplyst i en telefonsamtale af 11. marts 2014.

Offentliggørelse af personoplysninger fra Frederiksberg Kommunes byggesagsarkiv

Datatilsynet finder det beklageligt, at et personnummer har været offentliggjort. Frederiksberg Kommunes behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet omfornødne sikkerhedsforanstaltninger i persondatalovens2 § 41, stk. 33

Datatilsynet har noteret sig det af Frederiksberg Kommune oplyste om, at kommunen straks lukkede sagen for offentligheden, da kommunen blev opmærksom på problemet, at borgeren ved brev af 11. februar 2014 blev oplyst om fejlen, at Frederiksberg Kommune i årene 2006-2009 fik indscannet det fysiske byggesagsarkiv, at den omhandlede byggesag ikke tidligere har været tilgængelig for offentligheden, da den indeholder fortrolige personoplysninger, at en tidligere medarbejder den 13. juni 2013 ved en fejl har gjort sagen offentlig, at der er tale om en menneskelig fejl fra en af kommunens tidligere ansatte, at Frederiksberg Kommune har anvendt den interne procedure, som kommunen tilbage i 2006 udarbejdede i tilfælde af, at en byggesag med fortrolige personoplysninger skulle ligge åben for offentligheden, herunder straks lukke sagen.

Frederiksberg Kommune har endvidere oplyst, at det er undersøgt om dokumenterne / de fortrolige personoplysninger i den konkrete sag ligger på internettet, men at det ikke er tilfældet, at nærmeste leder samt kommunens sikkerhedsansvarlige er underrettet, at det er noteret på sagen, at den indeholder et personnummer, så fejlen ikke gentages, at i forbindelse med indscanning af byggesagsarkivet blev OCR behandlet 2 gange, og sager indeholdende fortrolige personoplysninger blev lukket, at der blev lukket 17.956 sager på den baggrund, at efterfølgende har 2 tidligere medarbejdere gennemgået arkivet for fortrolige personoplysninger, at de personer, som har adgang til at redigere i arkivet, er bekendt med håndtering af fortrolige personoplysninger.

Frederiksberg Kommune har herudover oplyst, at Byggeri og Arkitektur, som administrerer det digitale byggesagsarkiv, vil gennemgå betydningen af, at en sag er lukket i arkivet, og herunder præcisere for de medarbejdere, der har intern adgang til arkivet, at en sag ikke må åbnes for offentligheden før den er gennemgået for fortrolige personoplysninger, og at afdelingen endvidere vil stramme op omkring håndtering af de fortrolige personoplysninger, som måtte findes i byggesager, herunder bl.a. gennemgå sagerne for personnumre, før de kommer på det digitale byggesagsarkiv.

Frederiksberg Kommune har endeligt oplyst, at kommunen ikke har haft andre tilfælde, hvor kommunen ved menneskelig fejl har offentliggjort personoplysninger i byggesagsarkivet på internettet, og at Frederiksberg Kommune ikke har nedskrevet retningslinjer, som skal følges forud for offentliggørelse af oplysninger på internettet, men at akterne gennemgås manuelt før de sendes til den databehandler, som offentliggør oplysningerne i byggesagsarkivet efter en teknisk scanning for oplysninger, som ikke må offentliggøres.

Datatilsynet har desuden modtaget Frederiksberg Kommunes retningslinjer i tilfælde af fund af personoplysninger i det digitale byggesagsarkiv.

2. Afsluttende bemærkninger

Datatilsynet foretager sig herefter ikke yderligere i anledning af sagen.

 

1 På internetadressen frederiksberg-borger.filarkiv.dk.

2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
3 Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.