Dátueftirlitið
26-11-2021

Persónupplýsingar av misgáum lagdar á heimasíðu

Dátueftirlitið hevur viðgjørt eitt mál um trygdarbrot í sambandi við, at viðkvæmar persónupplýsingar av misgáum vórðu lagdar á eina heimasíðu.

Í málinum var upplýst, at eitt starvsfólk av misgáum hevði lagt persónupplýsingar, undir hesum viðkvæmar persónupplýsingar, á heimasíðuna hjá arbeiðsplássinum, og at upplýsingarnar høvdu verið tøkar á heimasíðuni frá uml. kl. 22 um kvøldið til uml. kl. 8.30 morgunin eftir.

Í málinum staðfesti Dátueftirlitið, at eitt trygdarbrot var farið fram, tá persónupplýsingar, undir hesum viðkvæmar persónupplýsingar, óheimilað vóru latnar víðari til óviðkomandi í sambandi við, at tær vóru alment atkomuligar á internetinum.

Í avgerðini viðgjørdi Dátueftirlitið ymiskt viðurskifti av almennum áhuga.

Brúkararættindi

Ein dátuábyrgdari hevur sambært kapittul 5 í dátuverndarlógini ábyrgd av at seta hóskandi trygdartiltøk í verk fyri at verja rættindi hjá tí einstaka.

Tað merkir m.a., at ein dátuábyrgdari skal skipa rættindini hjá brúkarum í sínum skipanum. Í hesum sambandi skal ein dátuábyrgdari tryggja sær, at tað ikki eru fleiri fólk enn neyðugt, sum hava rættindi at leggja út á heimasíðuna.

Í málinum var upplýst, at um 20 fólk høvdu rættindi at leggja út á heimasíðuna. Samstundis var upplýst, at tað í praksis bert eru 3-5 fólk, sum leggja út á heimasíðuna.

Dátueftirlitið vísti á, at tess fleiri hava rættindi at leggja út á heimasíðuna, tess øktur er váðin fyri trygdarbroti. Dátueftirlitið vísti eisini á, at tað óneyðugt økir um váðan fyri, at persónupplýsingar óætlað verða lagdar á heimasíðuna, at fleiri óvon starvsfólk hava rættindi at leggja á heimasíðuna.

Dátueftirlitið gav dátuábyrgdaranum kravboð um at endurskoða brúkararættindini viðvíkjandi heimasíðuni og tryggja sær, at tað ikki eru fleiri fólk enn neyðugt, sum hava rætt at leggja á heimasíðuna.

Váðameting

Ein dátuábyrgdari hevur sambært kapittul 5 í dátuverndarlógini ábyrgd av at seta hóskandi trygdartiltøk í verk fyri at verja rættindi hjá tí einstaka.

Ein fortreyt fyri at seta hóskandi trygdartiltøk í verk er váðameting. Uttan váðametingar ber ikki til hjá dátuábyrgdaranum at meta um, hvørji trygdartiltøk skulu setast í verk. Váðametingar skulu verða við til at tryggja, at viðgerðin er í samsvari við dátuverndarlógina. Tess meira viðgerðin fevnir um viðkvæmar persónupplýsingar, tess størri krøv eru til váðametingarnar.

Í málinum lat dátuábyrgdarin Dátueftirlitinum avrit av váðameting, sum var yvirskipað og ikki tók støðu til viðgerð av viðkvomum persónupplýsingum ella rættindum at leggja út á heimasíðuna.

Dátueftirlitið metti, at dátuábyrgdarin ikki í nøktandi mun hevði mett um váðarnar, sum standast av viðgerðini av persónupplýsingum. Dátueftirlitið legði dent á, at dátuábyrgdarin er stórur, og at vavið av persónupplýsingum, sum verða viðgjørdar er umfatandi. Dátueftirlitið gav tí dátuábyrgdaranum kravboð um at lata gera nýggjar hóskandi váðametingar viðvíkjandi viðgerð av viðkvomum persónupplýsingum.

Mannagongdir í sambandi við trygdarbrot og fráboðan til skrásetta

Ein dátuábyrgdari hevur sambært kapittul 5 í dátuverndarlógini ábyrgd av at seta hóskandi trygdartiltøk í verk fyri at verja rættindi hjá tí einstaka.

Mannagongdir viðvíkjandi viðgerð av persónupplýsingum, her undir mannagongdir í sambandi við trygdarbrot, eru við til at tryggja, at viðgerðin er í samsvari við dátuverndarlógina.

Mannagongdirnar í sambandi við trygdarbrot skulu í minsta lagi fevna um upplýsingar, sum skulu latast Dátueftirlitinum í sambandi við eina møguliga fráboðan sambært § 47. Samstundis skulu  mannagongdirnar fevna um upplýsingar, sum eru viðkomandi í sambandi við eina fráboðan til skrásetta sambært § 48.

Í málinum fekk Dátueftirlitið avrit av mannagongd í sambandi við trygdarbrot. Mannagongdin tók ikki støðu til fráboðan til skrásetta.

Endamálið við fráboðanini til skrásetta er, at viðkomandi, sum eru fevnd av einum trygdarbroti, fáa høvi at røkja síni áhugamál og verja seg fyri, at teirra rættindi verða brotin. Fráboðan til skrásetta skal m.a. í greiðum og skilligum máli lýsa brotið, sannlíkar avleiðingar av brotinum og tey tiltøk, sum dátuábyrgdarin hevur sett í verk ella mælir til fyri at handfara brotið.

Dátueftirlitið gav dátuábyrgdaranum kravboð um at gera mannagongdir um trygdarbrot, sum eisini fevna um fráboðan til skrásetta.

Í ítøkiliga málinum hevði dátuábyrgdarin – hóast ongar mannagongdir vóru fyri hesum – givið teimum skrásettu boð um trygdarbrotið.

Trygdarbrotið fevndi m.a. um upplýsingar um heilsu, diagnosur, sosial og privat viðurskifti og familjuviðurskifti, sum vóru almannakunngjørdar á internetinum. Slík almannakunngerð kann hava stórar avleiðingar fyri rættindini hjá teimum skrásettu.

Metingin hjá Dátueftirlitinum var, at boðini, sum dátuábyrgdarin hevði givið teimum skrásettu, ikki í nóg stóran mun vegleiddi um møguligar avleiðingar og gav heldur ikki teimum skrásettu høvi at røkja síni áhugamál og verja síni rættindi í nøktandi mun. Fráboðanin fevndi ikki um avleiðingar av brotinum, og lýsti ikki tiltøk, sum dátuábyrgdarin hevði sett í verk fyri fyri at handfara brotið.

Hóast hesa meting helt Dátueftirlitið, at tað kundi vera ørkymlandi fyri tey skrásettu, um tey av nýggjum fingu eina fráboðan um brotið. Niðurstøðan var tí, at dátuábyrgdarin ikki skuldi fráboða av nýggjum. Dátueftirlitið legði í hesum sambandi serliga dent á, at tey skrásettu ítøkiliga vóru kunnaði um, hvar tey kunnu fáa fleiri upplýsingar um brotið.

Viðkomandi ásetingar í dátuverndarlógini, kapittul 5, serliga § 37, § 46 og §§ 47 og 48.