Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik og påbud til Familieretshuset for utilsigtede videregivelser af personoplysninger

Dato

6. september 2022

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikPåbudTilsyn / egendriftssagAnmeldt brud på persondatasikkerhedenAnmeldelse af brud på persondatasikkerhedenUtilsigtet videregivelseBehandlingssikkerhedRisikovurdering og konsekvensanalyse

Lovreferencer

Databeskyttelsesloven § 41, stk. 2

I efteråret 2021 startede Datatilsynet en sag af egen drift vedrørende Familieretshusets utilsigtede videregivelse af beskyttede navne- og adresseoplysninger til uvedkommende. Sagen omhandlede 37 brud på persondatasikkerheden i perioden fra 27. maj 2021 til 16. august 2022, hvor Familieretshuset uberettiget havde videregivet oplysninger om en parts beskyttede adresse til den anden part, selvom adressen var beskyttet for at undgå netop dette.

Datatilsynet havde tidligere behandlet en lignende sag i 2021, og selvom Familieretshuset efterfølgende havde implementeret foranstaltninger for at undgå utilsigtet videregivelse, fortsatte problemet.

Familieretshuset har anført, at de behandler mange sager årligt, hvilket øger risikoen for menneskelige fejl. De har iværksat flere tiltag, herunder udpegning af GDPR-ambassadører, ændringer i brevhoveder, ressourcer til anonymisering og notifikationer i sagsbehandlingssystemet. Familieretshuset har også indført et koncept for systematisk opfølgning på databrud og overvejer systemunderstøttet anonymisering i visse sagstyper.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Familieretshuset for ikke at have overholdt kravet om passende sikkerhed i forbindelse med behandlingen af personoplysninger, jf. Databeskyttelsesforordningens artikel 32, stk. 1.

  • Datatilsynet pålagde Familieretshuset at foretage en fornyet risikovurdering på baggrund af de 37 brud på persondatasikkerheden.
  • Familieretshuset skal etablere de nødvendige organisatoriske eller tekniske foranstaltninger baseret på risikovurderingen.
  • Hvis risikoen for de registreredes rettigheder og frihedsrettigheder vurderes at være høj, skal Familieretshuset udarbejde en konsekvensanalyse, jf. Databeskyttelsesforordningens artikel 35.
  • Fristen for efterlevelse af påbuddet er 6. januar 2023.

Datatilsynet lagde vægt på, at utilsigtet videregivelse af beskyttede oplysninger kan have store konsekvenser for de registrerede. Manglende efterlevelse af påbuddet kan medføre bøde eller fængsel, jf. Databeskyttelsesloven § 41, stk. 2, nr. 5.

Lignende afgørelser