Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Syddansk Universitets behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår Syddansk Universitet använder ett HR-system där anställda kan tilldelas en roll så att de kan komma åt ansökningar. I samband med en mjukvaruuppdatering återställdes dock systemets behörighetsstyrning, vilket innebar att alla anställda vid Syddansk Universitet fick tillgång till applikationerna. Enligt Syddansk Universitet innebar det att totalt 7011 anställda haft potentiell tillgång till tillträdesansökningar från totalt 417 sökande. Av dessa har cirka 400 anställda ett villkorat behov för att kunna komma åt personuppgifter i HR-systemet. Vidare förde Syddansk Universitet inte någon logg över tillgången till ansökningsmaterialet och kunde därför inte identifiera vad som hade tagits fram.
Enligt Datatilsynet följer det av artikel 32.1 GPDR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Datatilsynet anser att det som personuppgiftsansvarig måste säkerställas att information om registrerade, inklusive information värd särskilt skydd, inte kommer till obehörigas kännedom.
Datatilsynet anser att kravet enligt artikel 32 GDPR på lämplig säkerhet normalt kommer att innebära att personuppgiftsansvariga, som ett led i utveckling och anpassning av it-lösningar för behandling av personuppgifter, ska se till att lösningen testas för att identifiera förhållanden som kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det är också Datatilsynet uppfattning att det är den personuppgiftsansvariges ansvar att ha gjort en bedömning av den behandling som sker i samband med de potentiella förändringarna, inklusive till exempel återställa eller ändra behörigheter, baserat på en kommande programuppdatering. Datatilsynet anser att det som Syddansk Universitet anfört om universitetets bristande kunskap om innehållet och omfattningen av uppdateringen inte kan leda till ett annat resultat.
På grundval av ovanstående finner Datatilsynet att Syddansk Universitet, genom att inte testa den kvartalsvisa uppdateringen före slutlig implementering i produktionssystemet, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en lämplig säkerhetsnivå för att universitetets behandling av personuppgifter enligt artikel 32.2 GDPR. Efter en genomgång av ärendet finner Datatilsynet därför att det finns skäl att framföra allvarlig kritik mot att Syddansk Universitets behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.