Læk af oplysninger - må man finde kilden?

Publiceret i: Ret & Indsigt
Udgave: 02/2017

Læk af oplysninger - må man finde kilden?

Datatilsynets nyeste praksis viser, at en række betingelser skal være opfyldt, før kommuner lovligt kan gennemse ansattes og byrådsmedlemmers brug af e-mail og internet som led i kontrol. Dette gælder både, hvor kontrollen sker på baggrund af en konkret mistanke, og hvor den sker som led i en stikprøvekontrol.

Den 14. februar 2017 afgav Datatilsynet en vejledende udtalelse til Fredensborg Kommune, som viser, at der gælder strenge betingelser for kommunens kontrol af ansattes og byrådsmedlemmers brug af internet og e-mails. 

Samme regler for ansatte og byrådsmedlemmer

Datatilsynets tidligere praksis vedrører alene kontrol af ansattes brug af hjemmesider og e-mails. Denne sag omfattede tillige byrådsmedlemmers brug af e-mails og hjemmesider. Datatilsynet udtaler, at de samme regler i persondataloven gælder for byrådsmedlemmer som for ansatte.

Baggrunden for kontrollen

Ifølge Fredensborg Kommune havde kommunen i en række tilfælde oplevet, at oplysninger fra dagsordener til lukkede møder var blevet viderebragt til udenforstående. Alene byråds­medlemmer og medarbejdere i administrationen havde adgang til disse dagsordener. Kommunen ønskede på denne baggrund at iværksætte en undersøgelse, som indebar en kontrol af brug af internet og e-mails. 

Fredensborg Kommune havde i sin it-politik informeret om, at al aktivitet på internettet og i e-postsystemer ville blive logget. It-politikken blev forelagt byrådsmedlemmer og ansatte ved deres tiltræden. Fredensborg Kommune henviste til denne forudgående informering i forbindelse med undersøgelsen af en lækage fra en lukket dagsorden. 

Betingelser for kontrol

Datatilsynet udtalte, at der som udgangs­punkt gælder følgende betingelser for kontrol af brug af inter­net og e-mail:

  • Behandlingen skal have hjemmel, for eksempel hvis det er nødvendig for at forfølge berettigede interesser, og disse interesser skal overstige hen­synet til de registrerede.
  • Kommunen skal forudgående klart og utvetydigt informere om registreringen, og om at der kan ske kontrol af den loggede data.

Kravet om forudgående information kan i visse tilfælde fraviges, hvis der er tale om afgørende hensyn til private eller offentlige interesser. Det er kommunen selv, der skal foretage denne vurdering, og Datatilsynet vil efter­følgende kunne tage konkret stilling til kommunens vurdering. 

Datatilsynets praksis viser dog, at undtagelsen er ganske snæver. Praksis viser tillige, at der også i tilfælde, hvor behandling af oplysninger i kontroløjemed sker på baggrund af en konkret mistanke (i modsætning til som led i en stik­prøve­­kontrol), vil skulle gives for­udgående information om brug af oplysningerne. 

Datatilsynet tilføjede dog i udtalelsen, at mistanke om misbrug af adgang til personoplysninger skal undersøges af den dataansvarlige, og at et sådant eventuelt misbrug kan undersøges, uanset om kravet om forudgående information er opfyldt.

Den konkrete sag

Datatilsynet udtalte i den konkrete sag, at kravet om forudgående information ikke var opfyldt. Begrundelsen lød, at Fredensborg Kommune ikke havde givet en klar og utvetydig forudgående information, om at brug af internet og e-mails kunne blive gennemset som led i en kontrol ved mistanke om brug af internet eller e-mails i strid med arbejds­pladsens retningslinjer.

Udtalelsen viser dermed, at det som udgangspunkt ikke er nok forudgående at informere om, at e-mails og internet­aktivitet bliver logget. Der skal også informeres om, at der kan foretages kontrol af de loggede data.


Tilmeld dig vores nyhedsbrev

x

NYHEDSBREV!

Tilmeld dig Hortens nyhedsbrev og få nyheder, tilbud om gratis arrangementer og gode råd om jura. Vi sender ud, når der er aktuelle nyheder, arrangementer og kurser.