Datatilsynet riktar kritik mot den danska kriminalvården, Kriminalforsorgen, som fått kännedom om information om en möjlig personuppgiftsincident, men inte undersökt händelsen tillräckligt snabbt för att klargöra om det rört sig om en incident eller inte.
Av beslutet framgår att en grupp anställda vid Kriminalforsorgen skapat en sluten Messenger-grupp på Facebook, där officiell kommunikation ägde rum mellan anställda vid Storstrøm Fængsel om både intagna i fängelset och anställda vid Kriminalforsorgen.
Kriminalforsorgen fick flera förfrågningar från en anställd som var orolig för att det skett en överträdelse av säkerheten gällande personuppgifter eftersom arbetsrelaterad kommunikation ägde rum i den slutna Messenger-gruppen. Trots förfrågningarna undersökte Kriminalforsorgen inte ärendet förrän sex månader efter mottagandet av den första förfrågningen.
Datatilsynet har kritiserat Kriminalforsorgen för att inte snabbt ha undersökt den möjliga överträdelsen för att klargöra om det var en personuppgiftsincident och, i förlängningen, för att inte ha rapporterat överträdelsen till Datatilsynet i tid, dvs. senast 72 timmar efter att Kriminalforsorgen blivit medveten om överträdelsen.
Datatilsynet anser att den personuppgiftsansvarige i allmänhet anses vara medveten om en överträdelse när en anställd hos den personuppgiftsansvarige blir medveten om överträdelsen. Om den personuppgiftsansvarige är osäker på om en personuppgiftsincident har inträffat, bör presumtionen att en incident kan ha inträffat leda till att den personuppgiftsansvarige undersöker incidenten ytterligare för att klargöra om en personuppgiftsincident faktiskt har inträffat. Undersökningen måste ske så snart som möjligt och den personuppgiftsansvarige måste med rimlig säkerhet fastställa om en överträdelse har inträffat och om incidenten ska anmälas till Datatilsynet.