Datatilsynet finder, at Sydbank har tilstrækkelige sikkerhedsforanstaltninger trods mange anmeldte brud

Datatilsynet gennemførte i efteråret 2021 et skriftligt tilsyn med Sydbank A/S for at vurdere, om banken havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, for at mindske antallet af brud på persondatasikkerheden, særligt vedrørende uautoriseret videregivelse af fortrolige økonomiske oplysninger.

Tilsynet blev iværksat efter en konstatering af, at Sydbank havde anmeldt væsentligt flere brud på persondatasikkerheden pr. ansat end andre pengeinstitutter. Datatilsynet understregede, at dette ikke nødvendigvis indikerede manglende overholdelse af databeskyttelsesreglerne.

Datatilsynet anmodede Sydbank om at besvare en række spørgsmål og fremsende et eksempel på en instruks for medarbejdernes håndtering af personoplysninger. Sydbank svarede skriftligt og fremlagde relevante instrukser og retningslinjer.

Datatilsynet fremhævede generelt, at passende behandlingssikkerhed indebærer:

• At dataansvarlige sikrer, at fortrolige og følsomme personoplysninger ikke kommer til uvedkommendes kendskab.
• At alle medarbejdere er bekendt med interne procedurer for håndtering af personoplysninger, herunder ved fremsendelse af oplysninger til borgere og myndigheder.
• At procedurer, retningslinjer og tekniske sikkerhedsforanstaltninger løbende opdateres.

Datatilsynet bemærkede, at de dataansvarlige generelt havde truffet passende sikkerhedsforanstaltninger, idet:

• Der var udarbejdet procedurer og gennemført uddannelse af medarbejderne i databeskyttelse.
• Der løbende blev indført tekniske og organisatoriske foranstaltninger som følge af konstaterede brud.
• Der var stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger.

Datatilsynet understregede vigtigheden af, at dataansvarlige dokumenterer alle brud på persondatasikkerheden, inklusive de faktiske omstændigheder, virkninger og afhjælpende foranstaltninger. Denne dokumentation skal sikre, at Datatilsynet kan kontrollere overholdelsen af anmeldelsespligten. Begrundelser for beslutninger truffet som følge af bruddet bør også dokumenteres, især hvis bruddet ikke anmeldes til Datatilsynet.

Datatilsynet har i forbindelse med tilsynet vurderet, om Sydbank har overholdt Databeskyttelsesforordningen og Databeskyttelsesloven.

Afgørelse

Datatilsynet fandt, at Sydbank på det foreliggende grundlag havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med , for at reducere antallet af brud på persondatasikkerheden, herunder uautoriseret videregivelse af personoplysninger, især vedrørende økonomiske oplysninger. Datatilsynet udtalte derfor .