Opsigelse sendt til forkert medarbejder var et sikkerhedsbrud

Efter databeskyttelsesreglerne skal den dataansvarlige have passende sikkerhedsforanstaltninger og anmelde visse brud på sikkerheden til Datatilsynet. Det haltede med begge dele, da en kommune sendte en opsigelse til en forkert medarbejder.

Sagen kort
En kommune kom ved en fejl til at sende en påtænkt opsigelse af en medarbejder til en anden af kommunens medarbejdere. Det fremsendte indeholdt oplysninger om navn og adresse, fagforeningsmæssigt tilhørsforhold og helbredsoplysninger. Modtageren af oplysningerne sad ikke i en særligt betroet stilling og var heller ikke i øvrigt vant til at håndtere personoplysninger om kommunens ansatte. Den opsagte medarbejder fik fejlen at vide af sin kollega og klagede til Datatilsynet.

Kommunen havde ikke anmeldt sikkerhedsbruddet til Datatilsynet, fordi opsigelsen – efter kommunens opfattelse – måtte anses som en intern forsendelse, der var sendt til en forkert medarbejder, og fordi alle kommunens medarbejdere var underlagt tavshedspligt.

Databeskyttelsesreglerne
Ved behandling af oplysninger om en medarbejder har en arbejdsgiver efter databeskyttelsesreglerne pligt til at have passende sikkerhedsforanstaltninger. I tilfælde af et brud på persondatasikkerheden skal virksomheden uden unødig forsinkelse, og om muligt inden for 72 timer, foretage anmeldelse af bruddet til Datatilsynet.

Der er dog ikke pligt til anmeldelse, hvis det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder, som fx diskrimination, identitetstyveri eller svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

Datatilsynets afgørelse
Datatilsynet udtalte kritik af, at kommunen – ved at sende en påtænkt opsigelse til en forkert medarbejder – ikke levede op til kravet om passende sikkerhedsforanstaltninger. Den påtænkte opsigelse indeholdt oplysninger om klagerens helbredsmæssige forhold og fagforeningsmæssige tilhørsforhold, og håndtering af sådanne særlige kategorier af personoplysninger stiller større krav til medarbejdernes omhyggelighed i forbindelse med fremsendelse af personoplysninger, herunder sikring af, at rette oplysninger sendes til rette modtager.

Datatilsynet kritiserede også, at kommunen ikke havde anmeldt sikkerhedsbruddet til tilsynet, og at kommunen ikke havde underrettet klager om bruddet uden unødig forsinkelse.

Der skulle efter Datatilsynets opfattelse have været sket anmeldelse af bruddet, da det indebar en risiko for klageren. Datatilsynet lagde særligt vægt på dokumentets fortrolige, personalemæssige karakter, og at dokumentet indeholdt oplysninger om klagers helbred og fagforeningsmæssige tilhørsforhold.

I forhold til vurderingen af, hvorvidt ”interne’ sikkerhedsbrud skal anmeldes, udtalte Datatilsynet, at det har betydning, hvilke oplysninger der er tale om, og hvilken medarbejder, der modtager oplysningerne. I den konkrete sag, hvor bruddet indeholdt oplysninger om en påtænkt opsigelse, oplysninger om helbred og fagforeningsmæssige tilhørsforhold, skal et sikkerhedsbrud som udgangspunkt anmeldes, medmindre særlige forhold gør sig gældende, fx hvis modtageren af oplysningerne har en særligt betroet stilling og er vant til at håndtere sådanne oplysninger om medarbejdere hos arbejdsgiveren.

Dansk Erhverv bemærker
Det er vigtigt, at man som arbejdsgiver er påpasselig ved behandling af medarbejdernes personoplysninger, særligt når det gælder følsomme og fortrolige personoplysninger. Sker der fejl i behandlingen, bør virksomheden straks fortage en vurdering af, om der skal ske anmeldelse til Datatilsynet. Virksomheden bør tillige efterfølgende overveje, om procedurer og sikkerhedsforanstaltninger er tilstrækkelige, eller om der skal strammes op.

Se mere om sikkerhed og databeskyttelsesreglerne her: Hvordan beskytter du personoplysninger?  
Vejledninger og skabeloner om persondata i forbindelse med HR og personaleadministration.