Datatilsynet anser att det finns skäl att framföra kritik mot att Hovedstadens Beredskab I/S behandlat personuppgifter i strid med dataskyddsförordningen (GDPR).
Av beslutet framgår att Hovedstadens Beredskab i november 2022 anmälde en personuppgiftsincident till Datatilsynet, eftersom de själva upptäckt att alla användare av deras EDRMS-system sedan systemet togs i bruk i maj 2022 haft tillgång till nuvarande och tidigare anställdas fullständiga namn, personnummer och adresser, inklusive skyddade adresser.
Enligt Hovedstadens Beredskab användes kontaktinformationen i samband med arkivering av personalärenden. Tillgången till den aktuella informationen borde enligt Hovedstadens Beredskab ha varit differentierad så att de kunde identifiera vilka anställda som har ett arbetsrelaterat behov av att arbeta med informationen och så att endast dessa anställda fick tillgång till den. Hovedstadens Beredskab och deras leverantör var dock inte medvetna om att det saknades möjlighet att differentiera åtkomsträttigheterna till den aktuella informationen.
Av artikel 32.1 GDPR följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som den personuppgiftsansvariges behandling av personuppgifter medför. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som dennes behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet enligt artikel 32 GDPR på lämplig säkerhet normalt innebär att användarnas tillgång till system begränsas till de personuppgifter som är nödvändiga för de berörda användarnas arbetsrelaterade behov.
Efter en genomgång av ärendet anser Datatilsynet att det finns skäl att kritisera Hovedstadens Beredskab för att inte ha vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som är förknippade med Hovedstadens Beredskabs behandling av personuppgifter, enligt artikel 32.1 GDPR, genom att inte säkerställa differentierad användaråtkomst till tidigare och nuvarande anställdas kontaktinformation i EDRMS-systemet så att det är möjligt att identifiera de användare som har ett arbetsrelaterat behov av tillgång till informationen i fråga.
Datatilsynet har i sitt beslut lagt särskild vikt vid att alla användare av EDRMS-systemet, sedan systemet togs i bruk, haft tillgång till kontaktuppgifter, som även innehöll konfidentiella uppgifter om skyddade adresser och personnummer, om 2 029 nuvarande och tidigare anställda, trots att endast anställda vid Hovedstadens Beredskabs HR-avdelning behövde sådan tillgång.