Persondataretlige nyheder – juni 2021
Udvalgte afgørelser inden for persondata fra juni:
Justitsministeriet får alvorlig kritik og påbud om at underrette de registrerede for at have sendt en ukrypteret mail med personoplysninger
Justitsministeriet sendte en mail til Advokatsamfundet med oplysninger om 35 personers navn, personnummer og bl.a. rykkerskrivelser vedr. oversendelse til inddrivelse af bøder i SKAT.
Mailen var afsendt uden om de normalt krypterede kanaler, og det kunne ikke dokumenteres, om mailen var blevet afsendt krypteret. Ministeriet havde besluttet ikke at underrette de registrerede.
Datatilsynet udtalte alvorlig kritik af Justitsministeriet for at have handlet i strid med databeskyttelsesforordningens regler, både ved afsendelse af mailen og ved håndteringen af bruddet.
Særligt problematisk var det, at der gik ca. tre måneder, fra ministeriet blev informeret om det potentielle brud, til det var undersøgt, hvilket medførte en forsinket anmeldelse til Datatilsynet.
Datatilsynet tilsidesatte også Justitsministeriets vurdering af, at underretning ikke skulle ske. Datatilsynet fandt, at risikovurderingen ikke havde taget fat i de konkrete registreredes potentielle rettighedstab, men alene havde haft generel fokus på, at ministeriet ikke havde viden om realiserede konsekvenser. Primært var fokus på, at ministeriet ikke havde fået kendskab til, at uvedkommende havde tilgået de omtalte mails, mens muligheden for f.eks. tab af omdømme eller fremtidig virksomhed ikke var en del af vurderingen.
Justitsministeriet blev, da Datatilsynet vurderede risikoen som høj, påbudt at underrette de registrerede om bruddet.
Datatilsynet i Norge pålægger BRAbank ASA en bøde på EUR 39.700
BRAbank ASA (BRAbank) rapporterede den 6. september 2019 et persondatabrud til det norske Datatilsyn, fordi nogle af bankens kunder via en ny kundeportal kunne se andre kunders personoplysninger i afsnittet ”Min side” på bankens hjemmeside. Personoplysningerne omfattede kreditvilkår og adresseoplysninger. ”Min side” var blandt andet beregnet til at give et overblik over lån optaget hos BRAbank.
På anmodning fra Datatilsynet angav BRAbank, at risikoen for de registrerede rettigheder og friheder blev betragtet som lave, da kunderne ikke kunne foretage ændringer i IT-løsningen til den nye kundeportal, og de præsenterede oplysninger ikke var af følsom karakter.
Banken oplyste, at IT-løsningen blev testet i perioden maj 2019 til august 2019 i deres testmiljø. Det blev derefter verificeret / testet i et internt miljø. Ved lanceringen af kundeportalen sendte banken loginoplysninger til et mindre udvalg af kunder (ca. 500), hvoraf 91 kunder loggede sig ind. BRAbank konstaterede, at en kunde indhentede en anden kundes adresseoplysninger, og mindst to kunder modtog forkerte lånoplysninger.
BRAbank opdagede persondatabruddet ved, at en kunde kontaktede banken kort efter lanceringen og oplyste, at balance- og betalingsplanerne ikke matchede hendes lån. BRAbank lukkede straks “Min side”, hvilket var ti minutter efter lanceringen. 91 kunder havde været logget ind i perioden, og alle blev informeret om bruddet og omfanget af logins via SMS og e-mail.
Baseret på undersøgelser af sagen fandt Datatilsynet, at BRAbank ikke havde overholdt databeskyttelsesforordningens krav til risikovurdering og passende tekniske foranstaltninger i forbindelse med lanceringen af kundeportalen.
Ifølge Datatilsynets vurdering kunne persondatabruddet have været forhindret, hvis BRA-bank havde foretaget en risikovurdering og gennemgang som krævet i loven, hvorfor BRA-bank blev pålagt en bøde på EUR 39.700.
Læs afgørelsen (på norsk) her.
Vejle Kommune politianmeldt og indstillet til en bøde på 200.000 kr.
Datatilsynet har politianmeldt og indstillet Vejle Kommune til en bøde på 200.000 kr., da tilsynet vurderer, at kommunen ikke har levet op sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger i henhold databeskyttelsesforordningen.
Datatilsynet blev opmærksom på sagen, da kommunen anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at den kommunale børnetandpleje havde haft en fast praksis, hvor velkomstbreve indeholdende begge forældres adresser automatisk var blevet fremsendt til begge forældremyndighedsindehavere. Kommunen havde i de enkelte tilfælde ikke vurderet, hvorvidt oplysningerne måtte videregives til den anden forælder.
Dette medførte, at forældre i flere tilfælde modtog oplysninger om den anden forælders (og barnets) adresse, uanset om denne havde navne- og adressebeskyttelse.
Det følger af databeskyttelsesforordningen, at offentlige myndigheder skal kunne straffes på samme måde som private aktører, men at bødelofterne for alle offentlige myndigheder er lavere end dem, der gælder for private aktører. Der skal tages hensyn til myndigheders særlige situation, der består i, at myndigheder – i modsætning til private aktører – efter lovgivningen er pålagt at varetage lovbestemte opgaver, og myndigheder derfor heller ikke uden videre i alle tilfælde blot kan standse en behandling for derved at bringe en eventuel ulovlig tilstand til ophør.
Datatilsynet har besluttet at indstille Vejle Kommune til en bøde på 200.000 kr. Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor samt forordningens krav, om at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og den samlede driftsbevilling.
