Datatilsynet anser att det finns skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Odsherreds kommun var bland de utvalda kommuner som Datatilsynet granskade sommaren 2021 i enlighet med reglerna om dataskydd. Revisionen fokuserade på Odsherreds kommuns sätt att förvalta umgängesrätten för barn och unga, inklusive i synnerhet skolområdet. Datatilsynet har i detta sammanhang granskat Odsherreds kommuns behörighetsförvaltning i det studieadministrativa systemet Tabulex TEA.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att den personuppgiftsansvarige fortlöpande kontrollerar om användarens tillgång till system är begränsad till de personuppgifter som är nödvändiga och relevanta för användarens arbetsrelaterade behov. Datatilsynet har, i enlighet med Odsherreds kommuns egna förklaring härom, utgått från att Odsherreds kommun inte har genomfört en kontroll inför myndighetens förfrågan av om alla användares rättigheter är nödvändiga och relevanta.
Enligt Datatilsynet har Odsherred Kommune, genom att inte säkerställa att användarnas rättigheter i Tabulex TEA är nödvändiga och relevanta, inte vidtagit lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Datatilsynet finner därför skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Datatilsynet har noterat att Odsherreds kommun numera, i samband med en granskning 1-2 gånger per år av radering av uppsagda användare, även kontrollerar att alla användares rättigheter är nödvändiga och relevanta.