Danmark: Datatilsynet uttrycker kritik mot skola för missad incidentanmälan

Datatilsynet har fattat beslut i ett fall där en elev på Falkonergårdens Gymnasium og HF-kursus klagat på att skolan av misstag skickat en skriftlig varning i samband med för mycket frånvaro till en annan elev. Felet uppstod i samband med att en anställd uppgett felaktigt personnummer när han skickade varningen via e-Boks. Därefter konstaterades att information om klagandens frånvaro varit känd av andra på skolan.

Med anledning av det inträffade har Datatilsynet uttryckt kritik mot att skolan inte har anmält händelsen till myndigheten enligt artikel 33 i dataskyddsförordningen (“GDPR”). I bedömningen framhöll Datatilsynet att skolan inte visat att det varit osannolikt att händelsen kunde innebära en risk för klagandens rättigheter och friheter. Enligt Datatilsynet skulle händelsen exempelvis kunna skada den klagandes rykte.

Av beslutet framgår vidare att Datatilsynet inte funnit skäl att åsidosätta skolans bedömning av vilka åtgärder som varit lämpliga säkerhetsåtgärder enligt artikel 32 GDPR. I detta sammanhang betonade Datatilsynet att det inträffade varit en engångshändelse, att endast ett fåtal betrodda anställda skickade ifrågavarande brev, att ledningen ofta betonade för dessa anställda vikten av att ange rätt personnummer och att den enskilde medarbetaren alltid dubbelkollar personnummer innan en varning skickas. Datatilsynet uppmanade dock skolan att ompröva sina säkerhetsåtgärder om händelsen inträffar igen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR, art. 33 GDPR

Sanktionsavgift: N/A

Mottagare: Falkonergårdens Gymnasium og HF-kursus

Beslutsnummer: 2021-32-2067

Beslutsdatum: 2021-10-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.