Danmark: Odsherreds kommun kritiseras för bristande kontroll av anställdas behörigheter

Datatilsynet anser att det finns skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Odsherreds kommun var bland de utvalda kommuner som Datatilsynet granskade sommaren 2021 i enlighet med reglerna om dataskydd. Revisionen fokuserade på Odsherreds kommuns sätt att förvalta umgängesrätten för barn och unga, inklusive i synnerhet skolområdet. Datatilsynet har i detta sammanhang granskat Odsherreds kommuns behörighetsförvaltning i det studieadministrativa systemet Tabulex TEA.

Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.

Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att den personuppgiftsansvarige fortlöpande kontrollerar om användarens tillgång till system är begränsad till de personuppgifter som är nödvändiga och relevanta för användarens arbetsrelaterade behov. Datatilsynet har, i enlighet med Odsherreds kommuns egna förklaring härom, utgått från att Odsherreds kommun inte har genomfört en kontroll inför myndighetens förfrågan av om alla användares rättigheter är nödvändiga och relevanta.

Enligt Datatilsynet har Odsherred Kommune, genom att inte säkerställa att användarnas rättigheter i Tabulex TEA är nödvändiga och relevanta, inte vidtagit lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Datatilsynet finner därför skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Datatilsynet har noterat att Odsherreds kommun numera, i samband med en granskning 1-2 gånger per år av radering av uppsagda användare, även kontrollerar att alla användares rättigheter är nödvändiga och relevanta.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Odsherreds kommun

Beslutsnummer: 2021-423-0237

Beslutsdatum: 2022-03-02

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.

04 MAJ

Artificiell intelligens
& personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv och ökar din kunskap om hur du ska kunna använda AI på ett lagenligt sätt.