Danmark: Datatilsynet polisanmäler Udlændingestyrelsen och rekommenderar 150 000 danska kronor i böter

Datatilsynet har beslutat att polisanmäla Udlændingestyrelsen för att inte ha uppfyllt kraven på en lämplig säkerhetsnivå enligt dataskyddsförordningen (“GDPR”). Datatilsynet rekommenderar böter på 150 000 danska kronor.

Den 25 augusti 2020 inledde Datatilsynet ett ärende på eget initiativ mot Immigrations- och integrationsdepartementet, efter att myndigheten genom mediebevakning fått kännedom om ett eventuellt loggfel i ett IT-system hos Udrejsecenter Kærshovedgård (läs mer om detta här).

Efter en utredning av fallet blev det klart att Udlændingestyrelsen var personuppgiftsansvarig för behandlingen av personuppgifter i samband med kontroll av de boende på Udrejsecenter Kærshovedgård och Udrejsecenter Sjælsmark.

Under våren och sommaren 2020 inträffade ett antal personuppgiftsincidenter i systemet som registrerar att boende vid Udrejsecenter Kærshovedgård och Udrejsecenter Sjælsmark uppfyller sina bostads-, anmälnings- och rapporteringsskyldigheter. Avsaknaden av registreringar ledde till att förfaranden inleddes mot de boende som exempelvis minskning av kontantförmåner. I vissa fall gjordes även polisanmälningar för bristande efterlevnad av reglerna i danska utlänningslagen.

Efter en granskning av ärendet anser Datatilsynet att Udlændingestyrelsens behandling av personuppgifter inte har varit i överensstämmelse med reglerna om lämplig säkerhet i GDPR.

Vid bedömningen av detta har Datatilsynet betonat att Udlændingestyrelsens inte implementerat rutiner för att systematiskt använda information i incidentloggen, som registrerar boendes rörelser inne i Udrejsecenter Kærshovedgård. Detta gäller även Udrejsecenter Sjælsmark i den utsträckning loggarna skulle kunna hjälpa till att kontrollera att registreringar av de boendes rörelser är korrekta i samband med handläggning av anmälningsärenden. Dessutom har Datatilsynet i bedömningen betonat att Udlændingestyrelsens inte har identifierat och förhållit sig till risker för de boende i samband med behandlingsverksamheten i SALTO-systemet.

Enligt Datatilsynet har Udlændingestyrelsens, med beaktande av de juridiska effekterna för de boende i samband med registreringarna i fråga, inte gjort tillräckliga säkerhetskopior av informationen som behandlats i SALTO-systemet. Det var därför inte möjligt för Udlændingestyrelsens att återskapa ett antal av de uppgifter som gick förlorade under händelsen den 9-10 juni 2020.

Datatilsynet anser att information och registreringar som ingår i brottmålskedjan eller används för kontrollåtgärder som är föremål för sanktioner måste se till att all verksamhet loggas och säkerhetskopieras, med sådana intervall att uppgifter inte går förlorade i händelse av ett haveri. Dessutom anser Datatilsynet att ett säkerhetskopieringsförfarande måste verifieras med ett återställningstest med intervall som bestäms i enlighet med risken för de registrerades rättigheter.

Datatilsynet poängterar att myndigheten alltid gör en konkret bedömning av ärendets allvar enligt artikel 83.1 GDPR för att bedöma vilken sanktion som enligt myndighetens mening är den rätta.

Datatilsynet tar det här fallet på största allvar eftersom det handlar om den grundläggande rättigheten att kunna förlita sig på den information som myndigheter behandlar och vidarebefordrar till polisen, och som i slutändan kan sluta som bevis i domstol. Det är mycket viktigt att sådan information är korrekt. Förutom förlusten av rättigheter för personerna i fråga leder avsaknaden av dataskydd i brottmålskedjan också till ett försvagat förtroende för både myndigheter och domstolar.

Mot bakgrund av detta rekommenderar Datatilsynet böter på 150 000 danska kronor.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 83 GDPR

Sanktionsavgift: 150 000 danska kronor

Mottagare: Udlændingestyrelsen

Beslutsnummer: N/A

Beslutsdatum: 2021-08-17

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.