Datatilsynet giver alvorlig kritik til Skatteforvaltningen for manglende overholdelse af underretningspligten ved brud på persondatasikkerheden

Sagen omhandler Skatteforvaltningens anmeldelse af et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen indikerede, at en borger var blevet underrettet om bruddet to dage før anmeldelsen. Imidlertid modtog Datatilsynet senere en opfølgning, der afslørede, at underretningen først fandt sted ca. 40 dage senere, hvilket Skatteforvaltningen begrundede med "ekstraordinære forhold i ferieperioden".

Datatilsynet fremhæver, at formålet med underretningspligten er at give registrerede mulighed for at varetage deres interesser og undgå krænkelse af deres rettigheder. Tilsynet skal også kunne varetage de registreredes rettigheder, hvis underretning ikke sker korrekt, eksempelvis ved at påbyde den dataansvarlige at underrette de registrerede.

Datatilsynet understreger, at de forkerte oplysninger i den oprindelige anmeldelse forhindrede tilsynet i at varetage den registreredes rettigheder, da de var i den tro, at underretning allerede havde fundet sted. Datatilsynet bemærker, at offentlige myndigheder bør have passende procedurer og beredskabsplaner for at sikre overholdelse af reglerne om underretning, uanset ferieperioder.

Datatilsynet udtaler alvorlig kritik af Skatteforvaltningen for manglende overholdelse af databeskyttelsesforordningens artikel 34, stk. 1 vedrørende underretning af registrerede ved brud på persondatasikkerheden.

Datatilsynet begrunder kritikken med:

• Skatteforvaltningen underrettede den registrerede ca. 40 dage efter, at de blev bekendt med bruddet.
• En offentlig myndighed kan ikke undskylde manglende underretning med "ekstraordinære forhold i ferieperioden".
• Der fremgik urigtige oplysninger i anmeldelsen om underretning, hvilket medførte en unødvendig høj risiko for den registrerede.