Datatilsynet indleder ikke tilsynssag mod Aarhus Kommune efter brug af referenceregister for medarbejderes voldelige forseelser

Det danske Datatilsyn (»Datatilsynet«) tog den 9. april 2024 i en sag med journalnummer 2024-432-0031 stilling til, om der var grundlag for at rejse en tilsynssag mod Aarhus Kommune efter, at kommunen ­havde oprettet et referenceregister indeholdende oplysninger om medarbejderes voldelige forseelser.

Datatilsynet anmodede i marts 2024 Aarhus Kommune om at ­besvare en række spørgsmål om ­referenceregisteret. I Aarhus Kommunes redegørelse fremgik det, at der var tale om et internt register til brug for Magistratsafdelingen for Sundhed og Omsorg. Reference­registeret blev ikke delt på tværs af afdelinger i Aarhus Kommune.

Oplysninger om medarbejderes forseelser blev i forvejen behandlet af Magistratsafdelingen for Sundhed og Omsorg, hvorfor der alene var tale om en systematisering af oplysningerne i referenceregistreret. Aarhus Kommune forklarede desuden, at oplysningerne i referenceregistret bliver slettet efter fem år.

I ansættelsessituationer kan ­ledere i Magistratsafdelingen for Sundhed og Omsorg foretage CPR-nummer søgninger i refe­renceregistret, men de kan kun se, om en person står registreret Specifikke oplysninger om eventuelle forseelser er derimod kun tilgængelige for HR. Herefter skal der foretages en konkret afvejning af hensynet til borgerne, herunder risikoen for gentagelse af den pågældende forseelse i forbindelse med medarbejderens genansættelse.

På baggrund af Aarhus Kommunes redegørelse vurderede Datatilsynet, at der ikke var anledning til at rejse en tilsynssag på det forelig­gende grundlag.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/referenceregister-i-aarhus-kommune

Datatilsynet udtaler kritik af Roskilde Katedralskole brug af eksamensovervågningsprogram

Det danske Datatilsyn (»Datatilsynet«) afsluttede den 19. april 2024 tilsynssagen med journalnummer 2023-421-0019 om Roskilde Katedralskoles overholdelse af data­beskyttelsesreglerne i forbindelse med eksamensovervågning.

Datatilsynet besluttede i februar 2023 at føre tilsyn med Roskilde Katedralskole, der ligesom mange andre danske gymnasier var ­begyndt at anvende eksamensovervågning for at forhindre eksamenssnyd. I forbindelse med eksamens­overvågningen skete en behandling af elevernes personoplysninger i form af blandt navn, alder, CPR-nummer og konkret skærm­aktivitet.

Datatilsynet fandt indledningsvist, at behandlingen af person­oplysningerne var nødvendige af hensyn til udførelsen af Roskilde Katedralskoles myndighedsudøvelse jf. GDPR artikel 6, stk. 1, litra e.

Roskilde Katedralskole havde konkret vurderet, hvilke typer oplysninger der var nødvendige at indsamle, og fastsat en opbevaringsbegrænsning på 30 dage. Datatilsynet konkluderede på denne baggrund, at indsamlingen og opbevaringen af elevernes oplysninger var i overensstemmelse med GDPR artikel 5.

Eleverne fik udleveret skriftligt oplysningsmateriale, der forklarede, hvordan deres oplysninger blev behandlet som led i eksamensovervågningen. Selvom materialet som udgangspunkt var i overensstemmelse med oplysningspligten og GDPR artikel 13 og 14, opfordrede Datatilsynet til at anvende et mere letforståeligt og enklere sprog, da de henvender sig til unge studerende.

Datatilsynet udtalte afslutningsvist kritik af Roskilde Katedral­skole, der ikke havde foretaget den nødvendige risikovurdering ved ­implementeringen af det nye eksamensovervågningsprogram. Efter GDPR artikel 25 skal specifikke ­risici identificeres ved den påtænkte behandlingsaktivet. Datatilsynet vurderede, at Roskilde Katedral­skole ikke havde taget tilstrækkeligt stilling til risici i forbindelse med behandling af elevernes skærmbilleder, der blandt andet kunne indeholde informationer som private bogmærker, browserhistorik og personlige filnavne.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-gymnasiums-brug-af-eksamensovervaagningssoftware

Datatilsynet udtaler kritik af Telmore A/S’ deling af personoplysninger med Facebook

Det danske Datatilsyn (»Datatilsynet«) traf den 29. april 2024 afgørelse i en sag med journalnummer 2023-31-0007, hvor en borger ­havde klaget over Telmore A/S’ (»Telmore«) videregivelse af borgerens personoplysninger til Meta Ireland (»Meta«).

Det var i sagen lagt til grund, at Telmore havde videregivet klagerens e-mailadresse til Meta med henblik på, at klageren ikke skulle modtage målrettet annoncering fra Telmore på Facebook. Da Telmore og Meta i fællesskab bestemte formålene og hjælpemidlerne for ­behandlingen af klagerens e-mail­adresse, konkluderede Datatilsynet, at Telmore og Meta var fælles dataansvarlige.

Videregivelsen og behandlingen af klagerens e-mailadresse var sket på baggrund af interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f, idet Telmore havde en legitim ­interesse i, at kunderne ikke blev udsat for uønsket reklame. Datatilsynet mente dog, at Telmore ikke havde truffet tilstrækkelige foranstaltninger, der sikrede, at den registrerede blev gjort tydeligt opmærksom på, at oplysningerne ville blive brugt i markedsføringsøjemed, at oplysningerne ville blive delt med sociale medier, og at den registre­rede havde muligheden for at modsætte sig denne behandling.

Klageren havde en berettiget forventning om, at oplysningerne, der blev givet som led i mobilaftalen med Telmore, ikke blev benyttet til markedsføring. Datatilsynet fandt således efter en samlet vurdering, at behandlingen ikke var sket i overensstemmelse med interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f.

Da Telmore fejlagtigt havde antaget, at Meta var databehandler, var den grundlæggende forudsætning om den korrekte rollefordeling blevet tilsidesat. En fortsat undersøgelse vurderedes ikke at kunne hjælpe klager eller højne databeskyttelsesniveauet, især da Telmore ikke længere deler klagers e-mailadresse med Meta.

Datatilsynet udtalte afslutningsvist, at fremtidig brug af Metas værktøj til behandling af personoplysninger som sket i nærværende sag, kræver en ordning om fælles dataansvar efter GDPR artikel 26.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-telmore-as%e2%80%99-behandling-af-personoplysninger

Datatilsynet udtaler alvorlig kritik af Nets DanID A/S i sag om nedbrud af NemID

Det danske Datatilsyn (»Datatilsynet«) traf den 2. maj 2024 afgørelse i en sag med journalnummer 2023-432-0017. Sagen angik Nets DanID A/S (»Nets«) som var dataansvarlig i forhold til administrationen af NemID, da der skete et nedbrud den 21. juni 2022. Nedbruddet medførte, at op mod 1.5 mio. brugere ikke kunne anvende NemID og normaldriften blev ikke gen­oprettet før den 25. juni 2022, da backup-løsningen var utilgængelig.

Datatilsynet udtalte, at kravet i GDPR artikel 32, stk. 1 om passende sikkerhed indebærer, at der jævnligt bør foretages test af backup og genetablering. Det skal derfor testes om backup udføres med passende intervaller, om backup-kopien er tilgængelig og ­indeholder alle relevante data, samt om backup-kopien er retvisende. Det skal endvidere testes, hvorvidt genetablering kan udføres med ­eksisterende procedurer, hvorvidt kopierne kan fungere sammen, samt hvorvidt genetablering kan ske hurtigt nok i forhold til, at konsekvensen sædvanligvis stiger med tiden.

Datatilsynet konkluderede, at de procedurer Nets havde implementeret i forhold til afprøvning, vurdering og evaluering af effektiviteten, ikke var tilstrækkelige. Datatilsynet lagde vægt på, at den seneste test af nødproceduren var sket to år inden nedbruddet, og at det ikke var ­muligt at genoprette normaldriften i fire dage efter nedbruddet. Datatilsynet havde ved vurderingen særligt lagt vægt på, at der var tale om kritisk, national infrastruktur.

På baggrund af ovenstående ­udtalte Datatilsynet alvorlig kritik af, at Nets behandling af person­oplysninger ikke var sket i overensstemmelse med GDPR artikel 32, stk. 1.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/maj/datatilsynet-udtaler-alvorlig-kritik-i-sag-om-nedbrud-af-nemid

Datatilsynet udtaler alvorlig kritik af Københavns Kommune i sag om håndtering af oplysninger angående 3.7 millioner personer

Det danske Datatilsyn (»Datatilsynet«) traf den 7. maj 2024 afgørelse i en sag med journalnummer 2024-442-4149. Sagen angik Københavns Kommune som i forbindelse med flytning af en større mængde data gav 37.500 medarbejdere uberettiget adgang til oplysninger om 3.7 millioner personer i knap to måneder.

Den dataansvarlige skal identificere risici og træffe passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici, ­efter GDPR artikel 32, stk. 1.

Datatilsynet lagde i deres afgø­relse vægt på, at Københavns Kommune havde et set-up, hvor en enkelt medarbejders fejl resulterede i et nedbrud, der omfattede 3.7 millioner personer. Desuden forelå der ikke protokoller, der sikrede, at det umiddelbart efter flytningen af ­oplysningerne blev testet, hvem der havde adgang til oplysningerne. ­Datatilsynet udtalte yderligere, at der i systemer med et stort antal fortrolige oplysninger om et stort antal brugere, stilles store krav til sikkerhedsniveauet ved behandlingen af oplysningerne. Datatilsynet forklarede særligt om diskswapping, at den dataansvarlige skal indføre foranstaltninger til at verificere, at rettigheder på mapper og filer på den nye disk er identiske med rettighederne på den tidligere disk.

Blot fordi de fleste af dataene krævede en SAS-installation for at blive læsbare, var der ikke efter ­Datatilsynets opfattelse sikret et passende sikkerhedsniveau, da en SAS-installation nemt ville kunne hentes på nettet.

På baggrund af ovenstående ­udtalte Datatilsynet alvorlig kritik af, at Københavns Kommunes ­behandling af personoplysninger var sket i strid med GDPR artikel 32, stk. 1.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/maj/koebenhavns-kommune-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger

Datatilsynet udtaler kritik af politikredses manglede procedurer for anvendelse af logkontrol

Det danske Datatilsyn (»Datatilsynet«) afsluttede den 17. maj 2024 tilsynssagen med journalnummer 2023-813-0003 om tre politikredses anvendelse af logkontrol.

Politiet behandler i forbindelse med deres arbejde store mængder af personoplysninger i deres sagsstyringssystem POLSAS, herunder fortrolige oplysninger om strafbare forhold. Politiet skal føre løbende logkontrol med brugernes adgang til personoplysninger i POLSAS for at sikre, at oplysninger kun tilgås i forbindelse med arbejdsmæssigt relevante formål.

Datatilsynet indledte i 2021 et tilsyn med Nordjyllands Politi, Fyns Politi og Bornholms Politi, for at sikre, at politikredsene overholdte kravene til logkontrol og bruger­adgang.

Det følger af lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger (»den danske retshåndhævelseslov«) § 27, at den ­dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger, der skal sikre et tilstrækkeligt sikkerhedsniveau. Datatilsynet kom i den forbindelse frem til, at det ikke var tilstrækkeligt udelukkende at føre logkontrol ved konkret mistanke om misbrug. Det ­forventedes derimod, at der som minimum foretages en halvårlig stikprøvekontrol. Datatilsynet uddyber, at implementering af stikprøvekontroller ligeledes har en præventiv effekt.

Datatilsynet fandt på den baggrund, at der var grundlag for at udtale kritik af politikredsenes manglende procedurer for løbende logkontrol.

Det bemærkes, at passende procedurer for stikprøvekontroller ­efterfølgende er blevet implementeret.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/maj/tre-politikredse-faar-kritik-for-manglende-behandlingssikkerhed-nordjyllands-politi

Datatilsynet offentliggør nye skabeloner til gennemførelse af konsekvensanalyser

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 22. maj 2024 to nye skabeloner til gennemførsel af konsekvensanalyser.

Enhver dataansvarlig skal efter GDPR artikel 35 foretage en konsekvensanalyse, inden en given ­behandling igangsættes, hvis ­behandlingen udgør en særlig høj risiko for den registrerede.

Datatilsynet konstaterede, at det for mange virksomheder og myndigheder kan være udfordrende at foretage konsekvensanalyserne, herunder i forbindelse med udviklingen og anvendelsen af kunstig intelligens. De nye skabeloner skal bidrage til, at virksomheder og myndigheder i fremtiden skal have lettere ved at gennemføre konsekvensanalyserne.

Den ene skabelon kan benyttes til konsekvensanalyser af mere ­generisk karakter, hvor den anden fokuserer på udviklingen og anvendelsen af kunstig intelligens.

Skabelonerne indeholder en ­række konkrete eksempler på, hvilke risici og foranstaltninger virksom­heder og myndigheder skal tage stilling til, når en konsekvensanalyse udarbejdes.

Skabelonerne er ikke udtøm­mende, hvorfor det er den enkelte virksomhed- eller myndigheds eget ansvar at vurdere, om konsekvensanalysen er i overensstemmelse med reglerne i GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/maj/nye-skabeloner-til-gennemfoerelse-af-konsekvensanalyser

Læs skabelonen til konsekvensanalyser vedrørende databeskyttelse her: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.datatilsynet.dk%2FMedia%2F638519770150276707%2FSkabelon%2520til%2520konsekvensanalyse%2520ved%2520AI.xlsx&wdOrigin=BROWSELINK

Læs skabelonen til konsekvensanalyser vedrørende databeskyttelse til AI-løsninger her: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.datatilsynet.dk%2FMedia%2F638519770150276707%2FSkabelon%2520til%2520konsekvensanalyse%2520ved%2520AI.xlsx&wdOrigin=BROWSELINK

Datatilsynet afslutter den sidste tilsynssag om behandlingssikkerheden i AULA og udtaler kritik til Københavns Kommune

Det danske Datatilsyn (»Datatilsynet«) traf den 23. maj 2024 afgø­relse i tilsynssagen med journalnummer 2023-423-0005 vedrørende Københavns Kommunes behandling af personoplysninger på kommunikationsplatformen AULA.

Datatilsynet har tidligere truffet fem afgørelser i tilsynssagen med Københavns Kommune.

Det følger af GDPR artikel 35, at enhver dataansvarlige skal fore­tage en konsekvensanalyse, inden en behandling igangsættes, hvis ­behandlingen udgør en særlig høj risiko for den registrerede. Datatilsynet vurderede, at Københavns Kommune ikke havde gennemført en fyldestgørende konsekvensanalyse, da den ikke opfyldte mindstekravene. Datatilsynet udtalte på denne baggrund kritik af Københavns Kommunes behandlingssikkerhed.

Afgørelsen indeholder desuden anbefalinger til kommunens videre arbejde med opdateringen af konsekvensanalysen. Især blev det anbefalet, at kommunen i deres reviderede risikovurdering strukturerer oplysningerne, så risikovurderingerne kan sammenlignes før og efter implementeringen af relevante foranstaltninger, og at sammenhængen mellem foranstaltninger og risici tydeliggøres.

Det bemærkedes endvidere, at Københavns Kommune har arbejdet på at reducere risici med særlig fokus på risikoen ved brug af UNI-login.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/maj/koebenhavns-kommune-faar-kritik-i-tilsynssag-om-aula

Datatilsynet offentliggør vejledende tekst om underretning ved brud på persondatasikkerheden

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 27. maj 2024 en vejledende tekst om kravene til underretning af registrerede i forbindelse med brud på persondatasikkerheden efter GDPR artikel 34. Den vejledende tekst er baseret på konkrete tilsyn, som Datatilsynet har ført med en række danske virksomheder og myndigheder.

Datatilsynet konstaterede i flere tilfælde, at flere af underretningerne var utilstrækkelige, idet de manglede at inkludere samtlige de påkrævede oplysninger. En underretning om brud på persondatasikkerheden skal blandt andet omfatte beskrivelser af bruddets karakter og sandsynlige konsekvenser i et klart og forståeligt sprog, eventuelle relevante anbefalinger for at mindske mulige skadevirkninger samt en beskrivelse af de foranstaltninger, som den dataansvarlige selv har truffet for at håndtere bruddet.

Læs Datatilsynets vejledende tekst her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/haandtering-af-brud-paa-persondatasikkerheden/underretning-af-den-registrerede-ved-brud-paa-persondatasikkerheden

Nordiske datatilsynsmyndig­heder vedtager principper for at styrke børns databeskyttelse i online spil

De nordiske datatilsynsmyndig­heder (»Datatilsynene«) vedtog den 30. maj 2024 på det årlige nordiske møde et sæt fælles principper, der skal sikre en øget beskyttelse af børns personoplysninger i forbindelse med online spil.

Princip-kataloget fokuserer på fire databeskyttelsesretslige principper, navnlig rimelighed, gennemsigtighed, dataminering og ansvarlighed. Kataloget henvender sig primært til spiludviklere, der agerer som dataansvarlige, og har til ­formål at gøre spiludviklerene opmærk­somme på persondataret­lige overvejelser, der kan være med til at fremme beskyttelsen af brugernes personoplysninger.

Kataloget kan være et effektivt værktøj til virksomheder, der udbyder onlinespil til mindreårige.

Læs Datatilsynenes principper her: https://www.datatilsynet.dk/Media/638544622578121029/Principle%20on%20Children%20and%20Online%20Gaming%20june24.pdf

Datatilsynet omgør langvarig praksis, om at retten til indsigt ikke omfatter sikkerhedslogs, på baggrund af EU-dom

Det danske Datatilsyn (»Datatilsynet«) traf den 6. juni 2024 afgørelse i sagen med journalnummer 2024-32-0283, hvor en borger havde klaget over, at Indenrigs- og Sundhedsministeriet (»ISM«) havde afvist at give borgeren indsigt i CPR’s sikkerhedslog. Med denne afgørelse ­ændrer Datatilsynet sin tidligere praksis, som udelukkede retten til indsigt i sikkerhedslogs.

Datatilsynet modtog den 3. oktober 2023 en klage fra Folketingets Ombudsmand, hvoraf det fremgik, at ISM med reference til Datatilsynets hidtidige praksis havde afvist at give indsigt i historiske logs fra CPR. Datatilsynet sendte klagen til revurdering i ISM, som fastholdte afslaget i en afgørelse den 4. januar 2024 med henvisning til den lov­bekendtgørelse nr. 289 af 8. marts 2024 (»den danske databeskyttelseslov«) § 22, stk. 2. Bestemmelsen ­indeholder en undtagelse fra den registreredes ret til indsigt i, hvilke personoplysninger der behandles om vedkommende.

Den 22. juni 2023 afsagde EU-Domstolen dom i sagen C-579/21 og fastslog, at logfiler, herunder information om søgninger i en persons personoplysninger samt datoerne for og formålet med disse søgninger, er omfattet af retten til indsigt i henhold til GDPR artikel 15, stk. 1 (se dommens præmis 83).

På baggrund af denne dom konkluderede Datatilsynet i den aktuelle afgørelse, at GDPR artikel 15 også omfatter information om, hvilke virksomheder og myndigheder der historisk set har abonneret på ­oplysninger om registrerede i CPR. Datatilsynet fandt desuden, at ­hensynet til den dataansvarliges økonomiske interesse i at undgå ressourceforbrug på at opfylde indsigtsanmodninger ikke er omfattet af undtagelserne i den danske databeskyttelseslov § 22, stk. 2.

Dermed ændrer Datatilsynet sin langvarige praksis, som udelukkede retten til indsigt i sikkerhedslogs, ved at fastslå, at ISM ikke kunne afvise klagen.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jun/hvad-gaelder-for-indsigt-i-logfiler

Datatilsynet lancerer GDPR-univers for små foreninger

Det danske Datatilsyn (»Datatilsynet«) lancerede den 19. juni 2024 et vejledningsunivers om GDPR rettet mod små foreninger. Universet ­indeholder råd og konkrete eksempler, særligt tilpasset foreningers udfordringer, med det formål at vejlede og sikre overholdelse af databeskyttelsesreglerne.

Universet indeholder blandt ­andet en 7-trins guide til overholdelse af GDPR og nyttige links til information, såsom en FAQ. Indholdet er struktureret under tre ­hovedkategorier, navnlig boligforeninger, frivillige foreninger og nonprofitorganisationer, og er skræddersyet udfordringer, som ­disse kategorier af foreninger hyppigt møder.

Besøg Datatilsynets GDPR-univers for små foreninger her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/gdpr-univers-for-smaa-foreninger