Persondataretlige nyheder – november 2021
Udvalgte afgørelser inden for persondata fra november:
Alvorlig kritik af følsomme oplysninger i ukrypteret e-mail
Silkeborg Kommune anmeldte den 3. februar 2021 et brud på persondatasikkerheden, fordi kommunen samme dag havde sendt en e-mail til Danmarks Statistik Consulting, som indeholdt en liste med CPR-numre, skolenavne og skolekoder for 12.915 skoleelever. Af kommunens anmeldelse fremgik, at e-mailen ved en menneskelig fejl var blevet sendt uden kryptering.
Kommunen oplyste, at der på tidspunktet for e-mailens afsendelse var implementeret TLS version 1.1 i kommunen, og det derfor var kommunens formodning, at den pågældende e-mail var krypteret på transportlaget. Kommunen kunne dog ikke dokumentere dette.
Datatilsynet delte i den forbindelse sin generelle opfattelse, om at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkert, når der sendes mange fortrolige og/eller følsomme personoplysninger – eller hyppige gentagne forsendelser af mange personoplysninger. Endvidere oplyste tilsynet, at TLS 1.1 – som på tidspunktet var implementeret i Silkeborg kommune – på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget.
Datatilsynet vurderede, at en kommune, der behandler store mængder fortrolige og/eller følsomme personoplysninger om borgerne, skal sikre sig mod, at store datasæt sendes på en måde, hvor oplysningerne er læsbare. Det gælder også, hvis tredjemand modtager e-mailen ved en fejl, hvorfor kommunen skal have rutiner, der sikrer, at også indholdet af denne type forsendelser krypteres, og ikke alene krypteres på transportlaget med TLS. Denne forpligtelse gælder særligt, når personoplysningerne vedrører børn, der nyder en særlig beskyttelse i databeskyttelsesforordningen. Datatilsynet bemærkede yderligere, at kommunen ikke havde kunnet redegøre for, om e-mailen i det hele taget var krypteret eller ej.
Datatilsynet udtalte derfor alvorlig kritik af, at Silkeborg Kommune ikke havde haft passende sikkerhedsforanstaltninger.
Kirke får kritik og påbud om behandling af indsigtsanmodning
Datatilsynet modtog i februar 2021 en klage fra en person, som var utilfreds med, at Den Katolske Kirke i Danmark ikke ville udlevere oplysninger i form af vidneudsagn og spørgsmål i en sag, hvor klagers tidligere ægtefælle ønskede at blive gift på ny i Den Katolske Kirke.
For at klagers tidligere ægtefælle kunne blive gift på ny i Den Katolske Kirke, var det nødvendigt, at ægteskabet mellem klager og klagers tidligere ægtefælle blev annulleret. I den forbindelse blev der indkaldt vidner, som udtalte sig om forskellige aspekter af parternes ægteskab, herunder årsagen til at klager og klagers tidligere ægtefælle blev skilt. Det var spørgsmålene til vidnerne og disses svar, som klager ønskede indsigt i.
Datatilsynet fandt imidlertid, at Den Katolske Kirke ikke har sandsynliggjort, at hensynet til klagers eksmands religionsfrihed, præsternes tavshedspligt og vidnernes rettigheder kunne føre til, at Den Katolske Kirke helt generelt kunne afvise at udlevere en kopi af oplysninger om, hvad vidnerne er blevet spurgt om angående klagers og hendes eksmands tidligere ægteskab, samt hvad vidnerne har svaret.
Datatilsynet lagde i den forbindelse vægt på, at undtagelse fra indsigtsretten kun kan gøres, hvor der er nærliggende fare for, at private interesser vil lide skade af væsentlig betydning. Datatilsynet vurderede, at Den Katolske Kirke ikke havde sandsynliggjort, at hverken klagers eksmands religionsfrihed, præsternes tavshedspligt eller vidnernes rettigheder var i nærliggende fare for at ville lide skade af væsentlig betydning ved udlevering af de omhandlede oplysninger om klager.
Datatilsynet lagde endvidere vægt på, at Den Katolske Kirke ikke blev anset for at have foretaget en konkret afvejning i forhold til de enkelte oplysninger, men blot generelt afvist at udlevere en kopi af oplysningerne. Datatilsynet fandt, at Den Katolske Kirkes behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 15, hvilket gav Datatilsynet anledning til at udtale kritik.
Datatilsynet fandt endvidere anledning til at meddele Den Katolske Kirke påbud om på ny at tage stilling til klagers indsigtsanmodning.
IKEA ROMÂNIA får bøde efter tegnekonkurrence for børn
Det rumænske datatilsyn (ANSPDCP) indledte en undersøgelse af IKEA ROMÂNIA SA, efter IKEA ROMÂNIA SA havde sendt en anmeldelse til ANSPDCP om et brud på persondatasikkerheden.
IKEA ROMÂNIA SA havde organiseret en tegnekonkurrence, hvor børn af IKEA Family-medlemmer kunne deltage. Deltagerne uploadede egne tegninger til en onlineplatform sammen med tilmeldingsformularer, der indeholdt børnenes og forældrenes persondata samt forældrenes samtykke. I forbindelse med afstemningen af den bedste tegning blev børnetegningerne lagt ud på en onlineplatform og ved et uheld blev de personlige data, der var inkluderet i deltagelsesformularerne, også lagt ud på platformen.
På tidspunktet for ANSPDCP’s undersøgelse blev det fastslået, at sikkerhedshændelsen havde resulteret i uautoriseret videregivelse af personlige data om IKEA Family-medlemmer (efternavn, fornavn og alder på mindreårige, samt efternavn, fornavn, by, land, e-mail, IKEA Family-medlemsnummer og forældrenes underskrift) på onlineplatformen, som kun var tilgængelig for IKEA Family-medlemmer i Rumænien. Hændelsen ramte 114 mennesker, hvoraf halvdelen var mindreårige.
ANSPDCP fandt, at IKEA ROMÂNIA SA dermed havde tilsidesat sin forpligtelse i henhold til databeskyttelsesforordningens artikel 32 til at implementere tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, der passer til risikoen for de registrerede. ANSPDCP pålagde derfor IKEA ROMÂNIA SA en bøde på 1.000 EUR.
