Datatilsynet har fattat beslut i ett fall där en elev på Falkonergårdens Gymnasium og HF-kursus klagat på att skolan av misstag skickat en skriftlig varning i samband med för mycket frånvaro till en annan elev. Felet uppstod i samband med att en anställd uppgett felaktigt personnummer när han skickade varningen via e-Boks. Därefter konstaterades att information om klagandens frånvaro varit känd av andra på skolan.
Med anledning av det inträffade har Datatilsynet uttryckt kritik mot att skolan inte har anmält händelsen till myndigheten enligt artikel 33 i dataskyddsförordningen (“GDPR”). I bedömningen framhöll Datatilsynet att skolan inte visat att det varit osannolikt att händelsen kunde innebära en risk för klagandens rättigheter och friheter. Enligt Datatilsynet skulle händelsen exempelvis kunna skada den klagandes rykte.
Av beslutet framgår vidare att Datatilsynet inte funnit skäl att åsidosätta skolans bedömning av vilka åtgärder som varit lämpliga säkerhetsåtgärder enligt artikel 32 GDPR. I detta sammanhang betonade Datatilsynet att det inträffade varit en engångshändelse, att endast ett fåtal betrodda anställda skickade ifrågavarande brev, att ledningen ofta betonade för dessa anställda vikten av att ange rätt personnummer och att den enskilde medarbetaren alltid dubbelkollar personnummer innan en varning skickas. Datatilsynet uppmanade dock skolan att ompröva sina säkerhetsåtgärder om händelsen inträffar igen.