Arbejdsgivere skal sørge for kryptering på medarbejdernes arbejdscomputere, hvis medarbejderne behandler personoplysninger. En arbejdsgiver, som er en myndighed, har fået en bøde på 50.000 kr. for ikke i tilstrækkelig grad at have sikret personfølsomme oplysninger.
Sagen kort
Arbejdsgiverens HR-medarbejdere havde fået tilladelse til at behandle personoplysninger lokalt på deres bærbare computere, idet arbejdsgiverens Citrix-system af og til skabte problemer for medarbejderne. Arbejdsgiveren havde dog indskærpet over for HR-medarbejderne, at de ikke måtte gemme personfølsomme oplysninger på harddisken.
Desværre skete der det uheldige, at en af HR-medarbejdernes bærbare computere blev stjålet.
Datatilsynet gik herefter ind i sagen, og arbejdsgiveren er ved retten blevet idømt en bøde på 50.000 kr.
Dataansvarlig og databehandler skal sikre tilstrækkeligt sikkerhedsniveau
Det var ikke tilstrækkeligt, at der var givet instrukser til medarbejderne om at slette oplysninger efter endt behandling. Arbejdsgiveren burde have sikret de bærbare computere med kryptering.
Som dataansvarlig og som databehandler har man pligt til at sørge for et tilstrækkeligt sikkerhedsniveau, så fysiske personers GDPR rettigheder ikke tilsidesættes. Har du som arbejdsgiver medarbejdere, der behandler personoplysninger på lokale enheder, skal du derfor sikre, at behandlingen foregår på en sikker måde ved f.eks. at kryptere den bærbare computer.