[ GDPR: I strid med databeskyttelsesreglerne at dele mødereferater, som indeholdt følsomme oplysninger ]

Skrevet 01. juli, 2020

Datatilsynet har anmeldt en kommune til politiet for ikke at have levet op til kravene om et passende sikkerhedsniveau.

 

I kommunens afdeling, Center for Børn og Unge, var det fast praksis, at mødereferater blev lagt ud på kommunens medarbejderportal, hvorfra en stor del af kommunens medarbejdere frit kunne tilgå referaterne. Flere af referaterne indeholdt følsomme personoplysninger af beskyttelsesværdig karakter om bl.a. børn og unge.

 

Datatilsynet mener ikke, at kommunen har overholdt sin forpligtelse til at gennemføre passende sikkerhedsforanstaltninger for at beskytte borgernes personoplysninger, idet oplysningerne også er blevet gjort tilgængelige for medarbejdere, der ikke har haft nogen grund til at kunne tilgå oplysningerne.

 

Tilsynet udtaler helt konkret, at det kun er medarbejdere med ”et arbejdsbetinget behov”, som bør have adgang til sådanne oplysninger.

 

Det er derfor vigtigt, når man behandler personoplysninger – og særligt hvis der er tale om følsomme eller fortrolige oplysninger – at man overvejer, hvem der skal have adgang til oplysningerne, og at man sørger for at gennemføre passende sikkerhedsforanstaltninger for at sikre en begrænset adgang.

 

 

Du kan læse mere om sagen på Datatilsynets hjemmeside her: