Den danske GDPR-myndighed, Datatilsynet, har meldt sig selv for brud på persondatasikkerheden, fordi tilsynet ikke har makuleret sit papiraffald i forbindelse med, at det er blevet smidt ud.
Sagen omfatter fysiske dokumenter, der er blevet smidt ud i løbet af det seneste halve år, og papirerne »kan have indeholdt fortrolige og følsomme oplysninger om borgere, medarbejdere mm.,« oplyser tilsynet i en meddelelse.
Det forsømte sikkerhedstiltag er »dybt beklageligt« oplyser Mia Staal Klintrup, der er databeskyttelsesrådgiver i Datatilsynet.
»Vi stiller høje krav til både virksomheder og andre myndigheder om at passe godt på danskernes personoplysninger, og derfor er det meget uheldigt, at vi selv ikke har skilt os af med denne del af Datatilsynets papiraffald på en passende måde,« siger hun i en pressemeddelelse.
Hun tilføjer, at tilsynet efterfølgende har gennemgået sine retningslinjer på området, og at der ikke er tegn på, at papiraffaldet er kommet i de forkerte hænder. I øjeblikket overvejer tilsynet, hvordan det skal forholde sig til spørgsmålet om at lave en eventuel underretning at de registrerede personer.
Meldte sagen for sent
I kølvandet på opdagelsen har Datatilsynet meldt sig selv for brud på persondatasikkerheden.
Datatilsynet har selv stillet krav til, at andre virksomheder eller offentlige myndigheder skal indberette brud inden for 72 timer. Det samme krav skal tilsynet selv leve op til, men det er ikke sket i sagen.
Derimod indsendte Datatilsynet anmeldelsen af sig selv til sig selv »knap et døgn for sent« i forhold til sit eget krav om 72 timer.
»Dette er i sig selv meget uheldigt og er blevet påtalt over for den medarbejder, som havde ansvaret for at anmelde det konkrete brud,« oplyset GDPR-myndigheden i meddelelsen.