Danmark: Odsherreds kommun kritiseras för bristande kontroll av anställdas behörigheter

Den danska dataskyddsmyndigheten Datatilsynet anser att det finns skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Odsherreds kommun var bland de utvalda kommuner som Datatilsynet granskade sommaren 2021 i enlighet med reglerna om dataskydd. Revisionen fokuserade på Odsherreds kommuns sätt att förvalta umgängesrätten för barn och unga, inklusive i synnerhet skolområdet. Datatilsynet har i detta sammanhang granskat Odsherreds kommuns behörighetsförvaltning i det studieadministrativa systemet Tabulex TEA.

Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.

Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att den personuppgiftsansvarige fortlöpande kontrollerar om användarens tillgång till system är begränsad till de personuppgifter som är nödvändiga och relevanta för användarens arbetsrelaterade behov. Datatilsynet har, i enlighet med Odsherreds kommuns egna förklaring härom, utgått från att Odsherreds kommun inte har genomfört en kontroll inför myndighetens förfrågan av om alla användares rättigheter är nödvändiga och relevanta.

Enligt Datatilsynet har Odsherred Kommune, genom att inte säkerställa att användarnas rättigheter i Tabulex TEA är nödvändiga och relevanta, inte vidtagit lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Datatilsynet finner därför skäl att framföra kritik mot att Odsherreds kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Datatilsynet har noterat att Odsherreds kommun numera, i samband med en granskning 1-2 gånger per år av radering av uppsagda användare, även kontrollerar att alla användares rättigheter är nödvändiga och relevanta.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Odsherreds kommun

Beslutsnummer: 2021-423-0237

Beslutsdatum: 2022-03-02

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.