Datatilsynet har beslutat att polisanmäla Udlændingestyrelsen för att inte ha uppfyllt kraven på en lämplig säkerhetsnivå enligt dataskyddsförordningen (“GDPR”). Datatilsynet rekommenderar böter på 150 000 danska kronor.
Den 25 augusti 2020 inledde Datatilsynet ett ärende på eget initiativ mot Immigrations- och integrationsdepartementet, efter att myndigheten genom mediebevakning fått kännedom om ett eventuellt loggfel i ett IT-system hos Udrejsecenter Kærshovedgård (läs mer om detta här).
Efter en utredning av fallet blev det klart att Udlændingestyrelsen var personuppgiftsansvarig för behandlingen av personuppgifter i samband med kontroll av de boende på Udrejsecenter Kærshovedgård och Udrejsecenter Sjælsmark.
Under våren och sommaren 2020 inträffade ett antal personuppgiftsincidenter i systemet som registrerar att boende vid Udrejsecenter Kærshovedgård och Udrejsecenter Sjælsmark uppfyller sina bostads-, anmälnings- och rapporteringsskyldigheter. Avsaknaden av registreringar ledde till att förfaranden inleddes mot de boende som exempelvis minskning av kontantförmåner. I vissa fall gjordes även polisanmälningar för bristande efterlevnad av reglerna i danska utlänningslagen.
Efter en granskning av ärendet anser Datatilsynet att Udlændingestyrelsens behandling av personuppgifter inte har varit i överensstämmelse med reglerna om lämplig säkerhet i GDPR.
Vid bedömningen av detta har Datatilsynet betonat att Udlændingestyrelsens inte implementerat rutiner för att systematiskt använda information i incidentloggen, som registrerar boendes rörelser inne i Udrejsecenter Kærshovedgård. Detta gäller även Udrejsecenter Sjælsmark i den utsträckning loggarna skulle kunna hjälpa till att kontrollera att registreringar av de boendes rörelser är korrekta i samband med handläggning av anmälningsärenden. Dessutom har Datatilsynet i bedömningen betonat att Udlændingestyrelsens inte har identifierat och förhållit sig till risker för de boende i samband med behandlingsverksamheten i SALTO-systemet.
Enligt Datatilsynet har Udlændingestyrelsens, med beaktande av de juridiska effekterna för de boende i samband med registreringarna i fråga, inte gjort tillräckliga säkerhetskopior av informationen som behandlats i SALTO-systemet. Det var därför inte möjligt för Udlændingestyrelsens att återskapa ett antal av de uppgifter som gick förlorade under händelsen den 9-10 juni 2020.
Datatilsynet anser att information och registreringar som ingår i brottmålskedjan eller används för kontrollåtgärder som är föremål för sanktioner måste se till att all verksamhet loggas och säkerhetskopieras, med sådana intervall att uppgifter inte går förlorade i händelse av ett haveri. Dessutom anser Datatilsynet att ett säkerhetskopieringsförfarande måste verifieras med ett återställningstest med intervall som bestäms i enlighet med risken för de registrerades rättigheter.
Datatilsynet poängterar att myndigheten alltid gör en konkret bedömning av ärendets allvar enligt artikel 83.1 GDPR för att bedöma vilken sanktion som enligt myndighetens mening är den rätta.
Datatilsynet tar det här fallet på största allvar eftersom det handlar om den grundläggande rättigheten att kunna förlita sig på den information som myndigheter behandlar och vidarebefordrar till polisen, och som i slutändan kan sluta som bevis i domstol. Det är mycket viktigt att sådan information är korrekt. Förutom förlusten av rättigheter för personerna i fråga leder avsaknaden av dataskydd i brottmålskedjan också till ett försvagat förtroende för både myndigheter och domstolar.
Mot bakgrund av detta rekommenderar Datatilsynet böter på 150 000 danska kronor.