Danmark: Civilstyrelsen polisanmäls och rekommenderas böter på 100 000 danska kronor

Den danska dataskyddsmyndigheten Datatilsynet anmäler Civilstyrelsen till polisen och rekommenderar böter på 100 000 danska kronor. Myndigheten bedömer att Civilstyrelsen inte har följt kraven på en lämplig säkerhetsnivå i dataskyddsförordningen (GDPR).

Datatilsynet fick kännedom om fallet när en registrerads partsrepresentant klagat över Civilstyrelsens hantering av den registrerades uppgifter. Av ärendet framgår att Civilstyrelsen v/Erstatningsnævnet lämnat tillbaka ett USB-minne som innehöll mer än 800 sidor med information om klagomål av känslig och konfidentiell karaktär som gått förlorad. USB-minnet var inte krypterat, och Civilstyrelsen hade inga riktlinjer riktade till myndighetens handläggare angående eventuell hantering av flyttbara lagringsenheter och bärbara media. Civilstyrelsen fick kännedom om överträdelsen den 26 augusti 2020, men anmälde inte intrånget till Datatilsynet i strid med reglerna i artikel 33 GDPR.

Enligt Datatilsynet har Civilstyrelsens behandling av personuppgifter inte skett i enlighet med reglerna om lämplig säkerhet. Datatilsynet har i sin bedömning framhållit att kryptering av flyttbara lagringsenheter som innehåller personuppgifter, inklusive USB-minnen, måste ses som en nödvändig och erforderlig säkerhetsåtgärd. Datatilsynet har också fäst vikt vid att flyttbara lagringsmedel med personuppgifter har en skärpt riskprofil i förhållande till hanteringen av personuppgifter och att kryptering är en åtgärd som är relativt lätt för den personuppgiftsansvarige att genomföra. Datatilsynet har även framhållit att Civilstyrelsen inte haft riktlinjer riktade till och kända av myndighetens handläggare i samband med eventuell hantering av USB-minnen, inklusive utskick.

Datatilsynet har i sin rekommendation till polisen bland annat betonat att det är en väsentlig säkerhetsåtgärd att ha rutiner som täcker alla behandlingar och att säkerställa kryptering av USB-minnen. Dessutom är kryptering sedan många år en utbredd och erkänd teknisk åtgärd som enkelt bör användas av den personuppgiftsansvarige. Därutöver måste en styrelse för en statlig myndighet generellt sett antas behandla stora mängder känsliga och konfidentiella uppgifter, och det måste enligt Datatilsynet anses väsentligt att det har utarbetats en vägledning riktad till myndighetens handläggare i förhållande till eventuell hantering av USB-minnen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 33 GDPR

Sanktionsavgift: 100 000 danska kronor

Mottagare: Civilstyrelsen

Beslutsnummer: N/A

Beslutsdatum: 2022-05-22

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.