Datatilsynet anser att det finns skäl att framföra kritik mot att Finanstilsynets behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Finanstilsynet oavsiktligt vidarebefordrat information om whistleblowers till en journalist i samband med en begäran om tillgång till handlingar. Det oavsiktliga avslöjandet skedde på grund av att Finanstilsynet inte på ett tillräckligt säkert sätt tagit bort personuppgifter från ett pdf-dokument, då myndigheten inte varit medveten om att det varit nödvändigt att radera dold information som exempelvis metadata bakom det visade dokumentet för att säkerställa att den inte längre går att hitta.
Enligt Datatilsynet följer det av artikel 32.1 GPDR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet i artikel 32.1 GDPR på lämplig säkerhet innebär att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att vidarebefordrat material inte innehåller personuppgifter som borde ha anonymiserats. I detta avseende är det väsentligt att den valda utvinningsmetoden inte enkelt kan kringgås eller tas bort med standardiserade verktyg. Det är därför Datatilsynets uppfattning att en teknisk lösning inte får lämna spår av de borttagna personuppgifterna, inte ens i metadata. En personuppgiftsansvarig måste därför vara fullt medveten om funktionaliteten hos det program som används, och ge nödvändiga instruktioner till de anställda, vilket säkerställer att de lager i dokumentet som innehåller personuppgifter, som måste uteslutas, effektivt tas bort. Ytterligare åtgärder som enligt Datatilsynet kan utgöra en lämplig åtgärd kan exempelvis vara ett krav på en manuell fysisk radering baserat på förhandsgranskning av materialet utifrån tydliga instruktioner från den personuppgiftsansvarige, i förekommande fall, kombinerat med ett skanningsverktyg.
Datatilsynet anser att Finanstilsynet i det aktuella ärendet inte vidtagit lämpliga tekniska och organisatoriska åtgärder före överträdelsen, eftersom Finanstilsynet inte haft tillräckliga rutiner för att anonymisera information i samband med begäran om tillgång till handlingar. Datatilsynet framförde mot denna bakgrund allvarlig kritik mot Finanstilsynets behandling av personuppgifter, eftersom dessa inte har skett i enlighet med reglerna i artikel 32.1 GDPR.