Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Mariagerfjords kommun behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
I juni 2022 genomförde Datatilsynet en planerad tillsyn av Mariagerfjord kommuns behandling av personuppgifter. Syftet med tillsynen var bland annat att göra en samlad bedömning av kommunens mognad i förhållande till gällande dataskyddsregler, särskilt inom säkerhetsområdet.
På grundval av det som framkommit under tillsynen anser Datatilsynet att Mariagerfjords kommun lagrat personuppgifter utöver vad som var nödvändigt i förhållande till ändamålet, och genom att inte ha infört riktlinjer eller motsvarande organisatoriska åtgärder för att radera personuppgifterna i de fall tekniska åtgärder inte varit möjliga. Datatilsynet anser vidare att Mariagerfjords kommun inte vidtagit lämpliga säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som kommunens behandling av personuppgifter innebär.
Efter en genomgång av ärendet finner Datatilsynet därför att det finns skäl att framföra allvarlig kritik mot att Mariagerfjord kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 GDPR. Datatilsynet finner också skäl att underrätta Mariagerfjord kommun om ett föreläggande att:
- Upprätta en lista över kommunens system där personuppgifter behandlas. Listan ska innehålla information om huruvida det enskilda systemet kan radera, och i så fall hur, samt vilka raderingstider som gäller för det aktuella systemet.
- Radera personuppgifter som har överskridit de raderingsfrister som Mariagerfjord kommun har satt och där det inte längre är nödvändigt för kommunen att lagra uppgifterna, i den mån personuppgifterna kan raderas manuellt eller automatiskt.
- Utarbeta en plan för hur Mariagerfjords kommun i samarbete med kommunens systemleverantörer kan få personuppgifter raderade från kommunens system, som kommunen inte längre har ett syfte att lagra.
Datatilsynet finner också skäl att meddela Mariagerfjord kommun ett föreläggande om att ta bort anställdas rättigheter att installera program och exekvera skadlig kod m.m. på de datorer och enheter som kan anslutas till kommunens nätverk.