Datatilsynet uttrycker allvarlig kritik mot Randers kommun, som skickat ett meddelande om en planerad uppsägning till fel anställd, för att inte ha uppfyllt kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 i dataskyddsförordningen (“GDPR”) i samband med ett oavsiktligt utlämnande av personuppgifter.
Meddelandet om den planerade uppsägningen innehöll bland annat information om den registrerades hälsa och medlemskap i fackförening. Datatilsynet kritiserar också att Randers kommun inte anmält personuppgiftsincidenten till myndigheten och att kommunen inte utan onödigt dröjsmål informerat den registrerade om incidenten, vilket är ett krav enligt artiklarna 33.1 och 34 i GDPR.
Som skäl för att personuppgiftsincidenten inte meddelats till Datatilsynet har Randers kommun uppgett att händelsen, enligt kommunens bedömning, ska betraktas som en intern transport som skickats till fel anställd och att samtliga kommunens anställda omfattas av tystnadsplikt.
Enligt Datatilsynets vägledning om hantering av personuppgiftsincidenter nämns ett exempel på en incident där en HR-anställd av misstag skickat lönebesked och anställningsavtal till fel anställd i företaget, och där man tillsammans med den anställde i fråga kommit överens om att omedelbart ta bort de dokument som mottagits efter att den anställde fått kännedom om felet. Enligt exemplet i vägledningen måste personuppgiftsincidenten inte nödvändigtvis rapporteras till Datatilsynet. Vidare kan företaget, enligt exemplet i vägledningen, anse att incidenten inte medför någon risk för den registrerade vid en “intern” överträdelse varför denne inte behöver informeras. I det aktuella fallet ansåg emellertid Datatilsynet att den inträffade händelsen hos Randers kommun utgjort en anmälningspliktig personuppgiftsincident, eftersom incidenten medfört en risk för klagomål.
Datatilsynet betonade också att det med tanke på dokumentets konfidentiella karaktär och att dokumentet innehållit information om den registrerades hälsa och medlemskap i fackförening, funnits en särskild risk för skadat anseende och förlust av konfidentialitet eftersom meddelandet skickats till en annan anställd på arbetsplatsen. Enligt Datatilsynet skilde sig den specifika personuppgiftsincidenten från exemplet i vägledningen, eftersom ett meddelande om en planerad uppsägning är mer konfidentiell än anställningsavtal och lönebesked, som exemplet i vägledningen bygger på.
Vid bedömningen av huruvida “interna” personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten eller inte betonar Datatilsynet att det är nödvändigt att lägga vikt vid vilken information det rör sig om och vilken anställd som har fått informationen. När det gäller Randers kommun, där överträdelsen omfattade information om en planerad uppsägning samt information om hälsa och medlemskap i fackförening, är Datatilsynets bedömning att överträdelsen som regel bör rapporteras till tillsynsmyndigheten, såvida inte särskilda omständigheter gäller. Särskilda omständigheter kan enligt Datatilsynet vara att mottagaren av informationen är en särskilt betrodd anställd som är van vid att hantera sådan information om anställda i kommunen.