Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Familieretshusets behandling av personuppgifter inte har skett inom ramen för reglerna i dataskyddsförordningen (GDPR). Datatilsynet finner samtidigt att det finns grund för att meddela Familieretshusets ett föreläggande att göra en förnyad riskbedömning utifrån de överträdelser som avses i Datatilsynets beslut.
Av beslutet framgår att Datatilsynet hösten 2021 startade ett ärende på eget initiativ angående Familieretshusets oavsiktliga utlämnande av skyddade namn- och adressuppgifter till obehöriga. I målet ingick även utlämnande av andra uppgifter om en parts bostadsort, till exempel namnet på barnets institution.
Familieretshuset har anmält 37 personuppgiftsincidenter till Datatilsynet under perioden 27 maj 2021 till 16 augusti 2022, vilka hänför sig till att Familieretshuset omotiverat vidarebefordrat uppgifter om bland annat den ena partens skyddade adress till den andra parten i ett ärende hos myndigheten, där den ena parten haft skyddad adress just för att undvika att den andra parten får veta adressen.
Datatilsynet har tidigare behandlat ett mål om Familieretshusets oavsiktliga utlämnande av personuppgifter som Datatilsynet beslutade den 4 mars 2021.
Datatilsynet konstaterar att Familieretshuset, efter myndighetens beslut den 4 mars 2021, vidtagit betydande åtgärder för att undvika oavsiktligt röjande av skyddade namn- och adressuppgifter. Datatilsynet anser dock att Familieretshuset, genom att ha konstaterat och anmält flera liknande personuppgiftsincidenter, utan att ha omprövat befintliga åtgärder i syfte att förhindra framtida intrång av samma typ, inte vidtagit lämpliga organisatoriska och tekniska åtgärder att säkerställa en säkerhetsnivå, som matchar de risker som är förknippade med Familieretshuset behandling av personuppgifter. Datatilsynet har lagt särskild vikt vid att Familieretshuset inte har haft tillräckliga rutiner för regelbunden kontroll, bedömning och utvärdering av effektiviteten av de åtgärder som redan fastställts.
Efter en genomgång av ärendet finner Datatilsynet därför att det finns skäl att framföra allvarlig kritik mot att Familieretshusets behandling av personuppgifter inte har skett enligt reglerna i artikel 32.1 GDPR. Vid val av svar framhöll Datatilsynet i skärpande riktning att det kan vara förenat med stora konsekvenser för de registrerade om deras skyddade adress eller annan hemvist, som till exempel namnet på ett härbärge, oavsiktligt förs vidare till personen de försöker gömma sig för.
Datatilsynet fann samtidigt att det finns grund för att meddela Familieretshuset ett föreläggande att göra en förnyad riskbedömning, utifrån de överträdelser som avses i myndighetens beslut, därutöver med utgångspunkt i risken. Om Familieretshuset bedömer att risken för de registrerades rättigheter och friheter är stor, innehåller föreläggandet även att Familieretshuset ska göra en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR.