Search
Close this search box.

Danmark: Datatilsynet beordrar danska justitiedepartementet att informera registrerade om incident

Datatilsynet har undersökt en personuppgiftsincident på danska justitiedepartementet. Enligt Datatilsynet har justitiedepartementet inte bevisat att personuppgifter behandlats med tillräcklig säkerhet. Datatilsynet uttrycker därför allvarlig kritik mot justitiedepartementet och beordrar departementet att informera de registrerade om den inträffade personuppgiftsincidenten.

Av Datatilsynets beslut framgår att justitiedepartementet skickat ett e-postmeddelande till danska advokatsamfundet med information om 35 personer. E-postmeddelandet skickades utanför de normalt krypterade kanalerna och det har inte dokumenteras om e-postmeddelandet skickats krypterat eller inte.

Med anledning av detta uttrycker Datatilsynet allvarlig kritik mot justitiedepartementet för att ha handlat i strid med reglerna i dataskyddsförordningen (“GDPR”), både för att departementet skickat e-postmeddelandet och för hur justitiedepartementet hanterat personuppgiftsincidenten.

Enligt Datatilsynet var det särskilt problematiskt att det tagit cirka tre månader från det att justitiedepartementet informerats om det potentiella intrånget tills dess att händelsen utreddes av departementet. Detta ledde enligt Datatilsynet till en försenad anmälan till myndigheten. Den försenade anmälan bidrog antagligen också till att det inte kunde klargöras med säkerhet hur e-postmeddelandet överförts via Internet.

Vidare kritiserar Datatilsynet justitiedepartementet för att, efter tre månaders utredning av händelsen, ännu inte beslutat om de berörda registrerade skulle informeras om personuppgiftsincidenten eller inte. I kompletterade information till Datatilsynet förklarade justitiedepartementet att departementet beslutat att inte informera de registrerade. Datatilsynet ansåg dock att detta beslut borde ha fattats tidigare eftersom beslutet inte baserades på ny information i ärendet.

Datatilsynets delade emellertid inte justitiedepartementets bedömning att de registrerade inte borde informeras. Enligt Datatilsynets behandlade justitiedepartementets riskbedömning inte de specifika registrerades potentiella förlust av rättigheter, utan departementet hade endast ett allmänt fokus i riskbedömningen, och exempelvis förlust av anseende eller framtida affärer ingick inte i bedömningen. När Datatilsynet bedömde risken klassades denna som hög varför justitiedepartementet var skyldiga att informera de registrerade om händelsen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: N/A

Sanktionsavgift: N/A

Mottagare: Danska justitiedepartementet

Beslutsnummer: 2020-442-6885

Beslutsdatum: 2021-05-19

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.