Guldborgsund Kommune: Ingen kritik efter tilsyn med anmeldelse af brud på persondatasikkerheden

Datatilsynet gennemførte i 2021 et skriftligt tilsyn med Guldborgsund Kommune for at undersøge, om kommunen havde truffet passende sikkerhedsforanstaltninger for at mindske antallet af brud på persondatasikkerheden, særligt vedrørende uautoriseret videregivelse af personoplysninger. Tilsynet blev iværksat, da Datatilsynet konstaterede, at Guldborgsund Kommune havde anmeldt flere brud på persondatasikkerheden pr. indbygger end andre kommuner.

Datatilsynet anmodede Guldborgsund Kommune om at besvare en række spørgsmål og fremsende et eksempel på en instruks til medarbejderne om håndtering af personoplysninger. Kommunens svar inkluderede eksempler på relevante procedurer og retningslinjer.

Tilsynet var en del af en større undersøgelse, hvor både kommuner og banker blev inddelt i grupper baseret på antallet af anmeldte brud på persondatasikkerheden. Formålet var at vurdere, om de dataansvarlige havde tilstrækkelige procedurer for at opdage, behandle og anmelde brud, samt om de havde implementeret passende sikkerhedsforanstaltninger for at undgå uautoriseret videregivelse af personoplysninger.

Datatilsynet har i forbindelse med tilsynet vurderet, om Guldborgsund Kommune overholder kravene i databeskyttelsesforordningens artikel 32, stk. 1, om passende sikkerhed, hvilket indebærer, at kommunen skal sikre, at personoplysninger ikke kommer til uvedkommendes kendskab, at medarbejderne er bekendt med interne procedurer, og at procedurer og retningslinjer løbende opdateres.

Afgørelse

Datatilsynet fandt, at Guldborgsund Kommune havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1 for at mindske antallet af brud på persondatasikkerheden, herunder uautoriseret videregivelse af personoplysninger.

• Datatilsynet lagde vægt på, at kommunen havde udarbejdet procedurer og gennemført aktiviteter for at uddanne medarbejderne i databeskyttelse.
• Kommunen havde gjort sig overvejelser og indført foranstaltninger efter tidligere brud på persondatasikkerheden for at undgå lignende hændelser.
• Der var stort fokus på at undgå utilsigtet videregivelse af navne- og adressebeskyttede oplysninger.

Datatilsynet henstillede dog, at kommunen fortsat fokuserer på uddannelse og opdatering af procedurer, da der stadig anmeldes en del brud på persondatasikkerheden. Tilsynet bemærkede, at de vil kunne genoptage sagen ved nye anmeldelser.