Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Dansk Selskab for Akutmedicins behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår bland annat att den klagande under hösten 2019 skickat en jobbansökan till Styrelsen for Patientklager. I samband med bedömningen av ansökan skickades denna till Dansk Selskab for Akutmedicin, som har rätt att bli hörd vid handläggningen av anställningsansökningar avseende tjänster som sakkunnig i Styrelsen for Patientklager, med sikte på ett yttrande. Den klagande invände därefter mot det danska Selskabet for Akutmedicins beslut att inte rekommendera den klagande för anställning hos Styrelsen for Patientklager. Den klagande informerades i detta sammanhang om att ordföranden i Dansk Selskab for Akutmedicin skulle titta på den klagandes ärende, men att ansökan fanns på ordförandens privata e-postkonto varför den klagande fick vänta på svar från ordföranden.
Den klagande har uppgett att han fått svar på sin invändning från ordförandes privata e-postadress. Enligt den klagande kan det inte anses vara försvarligt att uppgifter i ansökningsärenden i anslutning till Dansk Selskab for Akutmedicins rätt till yttranden i dessa fall lagrats och behandlats på privata datorer och e-postkonton som tillhör bolagets styrelseledamöter.
Dansk Selskab for Akutmedicin har uppgett att bolagets ordförande svarat från sin privata e-postadress. Enligt Dansk Selskab for Akutmedicin har man inte några andra e-postsystem att svara ifrån och företaget har inte heller någon speciell dator stående någonstans för att svara på sådana förfrågningar.
Datatilsynet anser att det följer av kravet på lämplig säkerhet i artikel 32 GDPR att föreningar eller organisationer som tillåter styrelseledamöter att behandla personuppgifter för vilka föreningen respektive organisationen ansvarar för måste implementera lämpliga säkerhetsåtgärder.
Enligt Datatilsynets uppfattning ska föreningar eller organisationer således instruera styrelseledamöterna och kunna kontrollera att styrelseledamöternas behandling av personuppgifter sker med iakttagande av de säkerhetsåtgärder som föreningen eller organisationen som personuppgiftsansvarig har beslutat att genomföra. Exempel på detta kan vara åtkomstkontroll, kryptering av data och andra tekniska säkerhetsåtgärder på den utrustning och e-postkonton som föreningens eller organisationens styrelseledamöter använder i sitt arbete. Därutöver ska föreningen eller organisationen även, i förekommande fall, fastställa riktlinjer och rutiner för styrelseledamöternas användning av utrustningen. Enligt Datatilsynets uppfattning gäller ovanstående i princip även om föreningen eller organisationen, vilket är fallet i detta fall, låter styrelseledamöterna använda sin egen privata utrustning och e-postkonton för att behandla personuppgifterna.
Datatilsynet anser att det kommer vara svårt för en personuppgiftsansvarig att kontrollera under vilken säkerhet styrelseledamöter behandlar personuppgifter på sina privata datorer, såsom vilken åtkomstkontroll den enskilde styrelseledamoten har på sin privata dator, samt hur styrelseledamoten lagrar eller transporterar sina privat dator och hur säkerheten på den privata datorn kan konfigureras eller hur många potentiellt skadliga program som är installerade.
Mot bakgrund av detta anser Datatilsynet att det i fall som det aktuella fallet, där behandlingen av personuppgifter som ska utföras består av bedömning och kommunikation av konfidentiell eller känslig information, måste fastställas en lösning som säkerställer att denna sekretess inte undergrävs. Känsliga eller konfidentiella personuppgifter får alltså inte skickas okrypterade över nätverk som den personuppgiftsansvarige inte har full kontroll över, till exempel genom okrypterad e-post på internet. I dessa situationer måste en säker lösning användas. Detta skulle exempelvis vara användning av föreningens e-Box, gemensam föreningsportal med differentierad åtkomst eller användning av en intern mailklient med nödvändig säkerhet.
På grundval av uppgifterna i det aktuella fallet antar Datatilsynet att Dansk Selskab for Akutmedicin inte hade utarbetat några formaliserade rutiner eller riktlinjer för hur personuppgifterna behandlas på styrelseledamöternas privata datorer och e-post. Datatilsynet finner på denna grund att Dansk Selskab for Akutmedicin inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som matchade riskerna med föreningens behandling av personuppgifter.