REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Retsudvalget 2015-16
REU Alm.del Bilag 369
Offentligt

Datatilsynet: Vedrørende misbrug af personoplysninger

Side 1 af 3

Forside

Afgørelser

Vedrørende misbrug af personoplysninger

Brevdato: 28.06.01

Journalnummer: 2000-632-0002

Holstebro Kommune er i brev af 8. maj 2001 fremkommet med en nærmere redegørelse for

kommunens håndtering af sagen om misbrug af personoplysninger.

Datatilsynet har i den forbindelse noteret sig, at kommunen - efter at været blevet bekendt med, at

oplysninger fra kommunens R 75 register var blevet videregivet til Dagbladet Holstebro-Struer -

iværksatte en undersøgelse af loggen for den relevante periode. Det fremgik heraf, at der var søgt i

registeret ved anvendelse af to brugerkoder, som tilhørte ansatte i kommunens

arbejdsmarkedsafdeling.

Kommunen indkaldte herefter de involverede medarbejdere til en samtale. Den ene medarbejder

vedstod at have foretage en søgning i registeret uden at have haft en sagsbehandlingsmæssig eller

faglig relevant interesse heri. Denne medarbejder blev under den politimæssige efterforskning af

sagen fritaget for tjeneste og er efterfølgende blevet bevilget uddannelsesorlov. Økonomiudvalget

har på baggrund af hændelsesforløbet besluttet at tildele denne medarbejder en skriftlig advarsel.

Den anden medarbejder, der under hele forløbet har været sygemeldt, har indrømmet at have

opbevaret sin brugerkode og sit password i en kalender på kontoret i strid med kommunens

retningslinier herfor, således at uvedkommende har haft mulighed for at gøre brug heraf. Denne

medarbejder har imidlertid opsagt sin stilling, hvorfor kommunen ikke har foretaget yderligere

over for den pågældende.

Holstebro Kommune har endvidere foretaget en supplerende undersøgelse af benyttelsesloggen

via CSC Danmark A/S. Denne undersøgelse viste, at yderligere 6 personer ansat i

skatteforvaltningen har forespurgt på ét personnummer i det omhandlede R 75 register. To af disse

medarbejdere har som en del af deres ansvarsområde pligt til ex officio at undersøge, om der er

grundlag for undersøge forhold af skattemæssig interesse nærmere. Disse medarbejdere havde

således efter kommunens opfattelse en legal interesse i den foretagne søgning.

De fire øvrige medarbejdere har under en samtale med skattechefen forklaret, at de har foretaget

enkeltopslag i registeret af blandet skattefaglig interesse og ren nysgerrighed. Ved samtalen blev

vigtigheden af de for anvendelsen af systemet gældende spilleregler understreget.

Økonomiudvalget har ikke i øvrigt fundet anledning til at iværksætte yderligere sanktioner over

for de pågældende.

Holstebro Kommune har endvidere under sagens forløb anmodet Politimesteren i Holstebro om at

efterforske sagen. Politimesteren har imidlertid afvist kommunens anmeldelse.

https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-misbrug-af-p... 28-06-2016

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Vedrørende misbrug af personoplysninger

Side 2 af 3

Endelig har Økonomiudvalget vedtaget, at det generelt skal tilkendegives over for kommunens

ansatte, at uretmæssig brug af personfølsomme oplysninger fremover vil være at betragte som en

så alvorlig tjenesteforseelse, at udvalget forbeholder sig ret til enhver ansættelsesretlig sanktion,

herunder bortvisning af medarbejdere.

Datatilsynet skal på denne baggrund udtale følgende:

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven) indeholder i

kapitel 11 regler om behandlingssikkerhed.

Ifølge lovens § 41, stk. 1, må personer, virksomheder m.v., der udfører arbejde under den

dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun behandle disse efter

instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold

til lov.

Den dataansvarlige skal ifølge lovens § 41, stk. 3, træffe de fornødne tekniske og organisatoriske

sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller

forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt

behandles i strid med loven.

For behandlinger, som foretages for den offentlige forvaltning helt eller delvis ved hjælp af

elektronisk databehandling, har Justitsministeren i bekendtgørelse nr. 528 af 15. juni 2000 fastsat

nærmere regler om de i lovens § 41, stk. 3, anførte sikkerhedsforanstaltninger.

Ifølge sikkerhedsbekendtgørelsens § 12 skal der træffes foranstaltninger for at sikre, at kun

autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og

anvendelser, som de er autoriserede til.

Datatilsynet finder, at det var udtryk for utilstrækkelige sikkerhedsforanstaltninger og ikke i

overensstemmelse med sikkerhedsbekendtgørelsens § 12, at en medarbejder opbevarede sin

brugerkode og sit password i en kalender på kontoret. Datatilsynet har imidlertid noteret sig, at

denne opbevaring også var i strid med kommunens retningslinier, og at det således ikke er en

accepteret fremgangsmåde i kommunen.

Datatilsynet må endvidere lægge til grund, at flere medarbejdere i Holstebro Kommune har

misbrugt deres adgang til kommunens R 75 register ved at have søgt oplysninger om en navngiven

person uden at have en tjenestelig begrundelse herfor. Tilsynet må ligeledes lægge til grund, at der

uberettiget er videregivet oplysninger fra registeret til Dagbladet Holstebro-Struer.

Efter tilsynets opfattelse er der tale om alvorlige overtrædelser af persondatalovens regler om

sikkerhedsforanstaltninger. Det er efter Datatilsynets opfattelse ikke acceptabelt, at medarbejdere -

uden tjenestelig begrundelse - foretager opslag i kommunens R 75 register. Det er heller ikke

acceptabelt, hvis oplysningerne uberettiget videregives til uvedkommende. I det omfang et sådant

misbrug af stillingen kan afdækkes, bør det efter tilsynets opfattelse imødegås med følelige

disciplinære foranstaltninger.

Datatilsynet har taget til efterretning, at Holstebro Kommune har truffet en række foranstaltninger

i anledning af de konstaterede hændelser, idet kommunen har indgivet politianmeldelse og

iværksat ansættelsesretlige sanktioner over for de involverede medarbejdere.

Datatilsynet har i øvrigt noteret sig, at kommunen har indskærpet over for samtlige ansatte, at

uretmæssig brug af personoplysninger betragtes som en alvorlig tjenesteforseelse, som kan føre til

bortvisning.

https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-misbrug-af-p... 28-06-2016

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Vedrørende misbrug af personoplysninger

Side 3 af 3

Datatilsynet finder herefter ikke anledning til at foretage sig yderligere i sagen.

Det kan til orientering oplyses, at Datatilsynet vil offentliggøre denne udtalelse på tilsynets

hjemmeside. Grundet ferie forventes offentliggørelsen først at ske i slutningen af juli måned.

Kopi af dette brev sendes endvidere til Told- og Skattestyrelsen.

Tilbage til alle afgørelser

Datatilsynet

Borgergade 28, 5

1300 København K

Tlf.: 33 19 32 00

Fax.: 33 19 32 18

E-mail:

[email protected]

https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-misbrug-af-p... 28-06-2016