Kritik af Styrelsen for International Rekrutterings manglende tilsyn med databehandlere

Datatilsynet har gennemført et skriftligt tilsyn med Styrelsen for International Rekruttering og Integrations (SIRI) tilsyn med deres databehandlere. Tilsynet fokuserede specifikt på SIRIs tilsyn med Keesing Reference Systems, der leverer Keesing-scannere til ID-kontrol, og Thales Denmark A/S, der producerer opholdskort til udlændinge. Datatilsynet anmodede om dokumentation for SIRIs tilsynsplaner og gennemførte tilsyn med disse databehandlere.

Keesing Reference Systems

• SIRI havde udarbejdet en tilsynsplan, der primært baserede sig på årlige erklæringer fra en uafhængig tredjepart.
• SIRI havde gennemført tilsyn i sommeren 2020 og et ad-hoc tilsyn i januar 2022 vedrørende sletning af personoplysninger.
• SIRI anførte, at det planlagte årlige tilsyn i 2021 ikke blev gennemført på grund af en større organisationsændring.

Thales Denmark A/S

• SIRI havde siden efteråret 2020 forsøgt at indgå en databehandleraftale med Thales, hvilket lykkedes i januar 2022.
• Indtil 2021 benyttede SIRI Udlændingestyrelsens hovedkontrakt med Thales, da SIRI tidligere var en del af Udlændingestyrelsen.
• SIRI betragtede indtil 2020 Udlændingestyrelsen som tilsynsførende med Thales og havde ikke foretaget egne tiltag for at sikre, at Udlændingestyrelsens tilsyn dækkede SIRIs interesser.
• SIRI udarbejdede primo 2021 en sårbarhedsvurdering, der viste, at Thales' kontroller og håndtering af fejl var tilstrækkelige.
• SIRI har udarbejdet en plan for tilsyn med Thales, hvor en stor del af tilsynsbehovet dækkes ved at gennemgå Udlændingestyrelsens tilsyn, suppleret med egne spørgsmål baseret på årlige risikovurderinger.

Datatilsynet udtalte kritik af, at SIRIs tilsyn med databehandlerne Keesing Reference Systems og Thales ikke er sket i overensstemmelse med Databeskyttelsesforordningen § 5, stk. 2, jf. stk. 1.

Begrundelse for kritikken:

• SIRI førte ikke tilsyn med Keesing Reference Systems i 2021.
• SIRI havde i en periode benyttet Thales som databehandler uden at sikre, at Udlændingestyrelsens tilsyn dækkede SIRIs interesser.

Følgende forhold gav ikke anledning til kritik:

• Datatilsynet tilsidesatte ikke SIRIs vurdering af, at styrelsens tilsyn med Keesing Reference Systems udgør et passende tilsyn.
• Datatilsynet tilsidesatte ikke SIRIs vurdering af, at en stor del af tilsynsbehovet med Thales kan dækkes ved at gennemgå Udlændingestyrelsens tilsyn.

Datatilsynet vurderede, at Thales’ behandling af personoplysninger på vegne af SIRI har været reguleret af en kontrakt i overensstemmelse med Databeskyttelsesforordningen § 28, stk. 3.