Udlændingestyrelsen
indstilles
til
bøde
Dato:17-08-2021
Datatilsynet anmelder Udlændingestyrelsen
til
politiet, og indstiller til
en bøde
på
15O.OOO
kr.,
da
tilsynet
vurderel
at
styrelsen
ikke
har
levet op
til
kravene om
et
passende
si
kkerh edsn
ivea
u
i
data
bes
kyttel sesforo
rd
n
n
gen.
i
Nvhed
Datatilsynet
indledte
den
25. august
2O2O
en
sag af
egen
drift
over
for Udlændinge- og lntegrationsministeriet,
da
tilsynet
gennem medieomtale blev bekendt
med, at en
mulig logningsfejl
iet
it-system
tilknyttet
Udrejsecenter
Kærshovedgård
kunne
have
haft
konsekvenser
for beboernes
rettigheder
og
frihedsrettigheder.
Efter
en
undersøgelse
af
sagen,
stod
det
klart,
at Udlændingestyrelsen
var dataansvarlig
for behandlingen
af
personoplysninger
iforbindelse
med
kontrol
af
beboernes opholds-
og
underretningspligt
på
Udrejsecenter
Kærshovedgård
og
Udrejsecenter
Sjælsmark.
foråret
og
sommeren2O2O
skete en række
sikkerhedshændelser vedrørende manglende registreringer
i
det
system, som
registrerer
at
beboere
på
Udrejsecenter Kærshovedgård og Udrejsecenter
Sjælsmark
overholder
deres
opholds-,
underretnings- og meldepligt.
De
manglende
registreringerlørlelil,
at
der
blev
påbegyndt
sagsbehandling
vedrørende
nedsættelse
af
en række
beboeres
kontante ydelser samt politianmeldelse
af
en række
beboere for manglende overholdelse
af regler
i
udlændingeloven.
I
Brud
på
reglerne
om
passende
sikkerhed
Efter
en
gennemgang
af
sagen
finder
Datatilsynet, at Udlændingestyrelsens behandling
af
personoplysninger
ikke
har
været
i
overensstemmelse med reglerne om
passende
sikkerhed.
Datatilsynet
har ved
vurderingen
af
dette
lagt
vægt
på,
at Udlændingestyrelsen
ikke
havde
indført
procedurer
for
systematisk at
anvende oplysningerne
i
den hændelseslog,
som
registrerer
beboernes
færden inde
på
Udrejsecenter
Kærshovedgård. Det gælder
også på
Udrejsecenter
Sjælsmark
i
det omfang,
hvor
det ville kunne
bidrage
til
at
kontrollere
rigtigheden
af
registreringer
af
beboernes færden
-
i
forbindelse med behandlingen
af
anmeldelsessager som led
i
kontrollen
med
opholds- og underretningspligten.
Herudover
har
Datatilsynet
i
vurderingen lagt vægt
på,
at Udlændingestyrelsen
ikke
havde identificeret
og
forholdt
sig
til
risici for de
registrerede
iforbindelse
med behandlingsaktiviteterne
i
SALTO-systemet.
Endelig
har
Datatilsynet lagt vægt
på,
at Udlændingestyrelsen
-
henset
til
retsvirkningerne for beboerne
forbundet
med de
pågældende registreringer
-
ikke havde
foretaget tilstrækkelig backup
af
de
oplysninger, som behandles
i
SALTO-systemet.
Det
var
derfor ikke muligt for
styrelsen at
genskabe
en række
af
de data, som gik
tabt
under hændelsen
den
9.-10.
juni
2O2O
Det
er
Datatilsynets opfattelse,
at
det ved oplysninger og registreringer, der indgår
i
straffesagskæden
eller
benyttes til
kontrolforanstaltninger,
som er
underlagt sanktioner,
skal sikres
at der dels sker
logning
af alle
aktiviteter.
dels
foretages
en
sikkerhedskopiering, med
sådanne
intervalleç
at
data
ikke tabes
ved nedbrud.
Det er
herudover tilsynets opfattelse,
at en
backupprocedure
skal
efterprøves
med en
disaster recovery test med
intervallet
der
er
fastsat
i
henhold til
den
risiko,
der
er
for
de
registreredes rettigheder.
Hvodor politianmeldelse?
Datatilsynet foretager altid
en
konkret vurdering
af sagens
grovhed
i
medfør
af
databeskyttelsesforordningens artikel
83. stk.
2,
ved
vurderingen
af.
hvilken
sanktion der efter tilsynets opfattelse
er
den korrekte.
"Vi
ser
med stor
alvor
på
denne
sag,
fordi
den handler om den grundlæggende rettighed,
at man skulle kunne stole
på
de
oplysninger, som
myndigheder behandler
og
videregiver
til
politiet,
og som
i
sidste
ende
kan
ende
som beviser
i
retten. Det