Randers Kommune får alvorlig kritik for brud på persondatasikkerheden

Baggrund

Datatilsynet har behandlet en sag om et brud på persondatasikkerheden anmeldt af Randers Kommune. Bruddet bestod i, at 15 høringssvar med personoplysninger var offentligt tilgængelige på kommunens hjemmeside. Disse høringssvar indeholdt oplysninger om navne- og adressebeskyttelse samt oplysninger om børns trivsel, diagnose og tilknytning til specialskole. Kommunen blev opmærksom på bruddet den 18. oktober 2019, men anmeldte det først til Datatilsynet den 1. november 2019.

Sagens kerne

Sagen drejer sig om, hvorvidt Randers Kommune har overholdt kravene i Databeskyttelsesforordningen om behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden til Datatilsynet og underretning af de berørte personer.

Randers Kommunes forklaring

Randers Kommune har oplyst, at personer, der indsender høringssvar, gøres opmærksom på, at de ikke må indeholde fortrolige eller følsomme personoplysninger. Kommunen oplyste endvidere, at medarbejdere gennemgår høringssvarene og fjerner sådanne oplysninger, før de offentliggøres. Årsagen til hændelsen var, at medarbejderne ikke var tilstrækkeligt opmærksomme på, hvilke oplysninger der ikke måtte fremgå.

Kommunen valgte oprindeligt ikke at underrette de berørte personer, da de vurderede, at risikoen for deres rettigheder ikke var høj. Efterfølgende, efter Datatilsynets henvendelse, foretog kommunen en ny vurdering og underrettede de berørte personer den 20. januar 2020.

Datatilsynets vurdering

Datatilsynet har vurderet, at der er sket et brud på persondatasikkerheden, og at Randers Kommune ikke har truffet tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. Databeskyttelsesforordningen artikel 32, stk. 1. Datatilsynet har lagt vægt på, at hændelsen vedrører beskyttelsesværdige oplysninger om bl.a. børn.

Datatilsynet har også vurderet, at Randers Kommune ikke har anmeldt bruddet til Datatilsynet inden for den fastsatte frist på 72 timer, jf. Databeskyttelsesforordningen artikel 33, stk. 1, og at kommunen ikke har givet en tilstrækkelig begrundelse for forsinkelsen.

Endelig har Datatilsynet vurderet, at Randers Kommune ikke uden unødig forsinkelse har underrettet de berørte personer om bruddet, jf. Databeskyttelsesforordningen artikel 34, stk. 1, og at underretningen ikke indeholdt en beskrivelse af de sandsynlige konsekvenser af bruddet, jf. Databeskyttelsesforordningen artikel 34, stk. 2.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Randers Kommunes behandling af personoplysninger.

Begrundelse

Datatilsynet begrunder sin afgørelse med, at Randers Kommune:

• Ikke har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, jf. Databeskyttelsesforordningen § 32.
• Ikke har anmeldt bruddet på persondatasikkerheden til Datatilsynet inden for den fastsatte frist, jf. Databeskyttelsesforordningen § 33.
• Ikke uden unødig forsinkelse har underrettet de berørte personer om bruddet, og at underretningen ikke opfyldte kravene til indhold, jf. Databeskyttelsesforordningen § 34.

Datatilsynet bemærker, at håndtering af følsomme personoplysninger stiller større krav til medarbejdernes omhyggelighed.