Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Familieretshusets behandling av personuppgifter inte har skett inom ramen för reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Familieretshuset anmält 28 personuppgiftsincidenter till Datatilsynet under perioden 6 januari 2023 till 30 juni 2024. Intrången bestod i att Familieretshuset utan tillstånd lämnat ut uppgifter om skyddade namn och adresser eller andra uppgifter som potentiellt kan avslöja en persons vistelseort, inklusive vistelse på ett kriscenter. I de flesta fall har uppgifterna lämnats ut till den andra parten i målet, vilket typiskt sett kan vara skälet till valet av namn- och adressskydd eller vistelse på kriscentrum. De oavsiktliga utlämnandena berodde på mänskliga misstag till följd av ouppmärksamhet från medarbetarnas sida.
Datatilsynet har tidigare handlagt två liknande ärenden om oavsiktligt utlämnande av samma typ av uppgifter från Familieretshuset. Datatilsynet fattade beslut i dessa ärenden den 4 mars 2021 och den 6 september 2022. I båda ärendena framfördes allvarlig kritik och i ärendet från 2022 ålades Familieretshuset även att genomföra en förnyad riskbedömning och utifrån denna vidta nödvändiga organisatoriska eller tekniska säkerhetsåtgärder för att minska risken för nya liknande intrång.
Datatilsynet konstaterar att Familieretshuset sedan ett antal år tillbaka tagit initiativ till att genomföra ett antal säkerhetsåtgärder för att minska risken för denna typ av intrång. Datatilsynet finner dock skäl att återigen allvarligt kritisera att Familieretshuset inte levt upp till kravet på tillräcklig säkerhet.
Mot bakgrund av det fortfarande relativt höga antalet intrång och de mycket allvarliga konsekvenser som denna typ av intrång kan få för de drabbade personerna, anser Datatilsynet att Familieretshuset även fortsättningsvis måste göra stora ansträngningar för att undvika oavsiktligt röjande, särskilt av uppgifter om skyddade namn och adresser och vistelser på härbärgen m.m. Det är vidare Datatilsynets uppfattning att Familieretshuset ännu inte har vidtagit tillräckliga säkerhetsåtgärder, eller säkerställt att de identifierade åtgärderna har haft nödvändig effekt, för att minska risken för att anställda på grund av fel, missförstånd eller ouppmärksamhet oavsiktligt lämnar ut uppgifter om registrerade till obehöriga mottagare, däribland särskilt motparten i målet, vilket ofta är orsaken till skyddsbehovet.
Familjerätterna har således inte i tillräcklig utsträckning säkerställt att de anställda har iakttagit nödvändig försiktighet vid behandlingen av medborgarnas personuppgifter, bland annat i samband med de extra kontroller som i vissa fall utförs av en annan handläggare, och organisatoriska eller tekniska säkerhetsåtgärder har ännu inte i tillräcklig utsträckning vidtagits för att komma till rätta med det oavsiktliga utlämnande av personuppgifter som kontinuerligt har skett till följd av missförstånd, fel eller medvetenhet hos de anställda.
Datatilsynet har dock noterat att Familjeretshuset fortsätter att arbeta med att stärka befintliga åtgärder och implementera nya åtgärder för att minska risken för liknande intrång, samt implementera processer för löpande övervakning och utvärdering av effektiviteten i befintliga säkerhetsåtgärder, inklusive i samband med upptäckt av nya intrång.
Datatilsynet anser dock att det är nödvändigt att fortsätta att noga följa utvecklingen av antalet sådana överträdelser. Datatilsynet har därför bett Familieretshuset att under det kommande året, utöver den information som redan lämnats i samband med anmälan av överträdelsen till Datatilsynet. Detta inkluderar en mer detaljerad beskrivning av vad bedömningen av överträdelsen har lett till när det gäller att minimera risken för liknande överträdelser.
Upprepade personuppgiftsincidenter bör i allmänhet leda till att de personuppgiftsansvariga reflekterar över de riskbedömningar som redan gjorts. Överträdelser som beror på personliga misstag eller enstaka incidenter bör, om de upprepas, leda till att ytterligare effektiva kontroller, nya riktlinjer och/eller tekniskt stöd införs för att minimera de nu kända och uppdaterade riskerna enligt artiklarna 32.1 och 35 GDPR.