Universitet var dataansvarlig for studerendes behandling af personoplysninger i praktikforløb

Datatilsynet fastslog, at Københavns Universitet er dataansvarlig for den behandling af personoplysninger, som den studerende foretog under praktikforløbet.

Sagens nærmere omstændigheder

Tilbage i 2018 modtog Datatilsynet en anmeldelse fra praktikstedet om et brud på persondatasikkerheden. Efterfølgende gjorde praktikstedet gældende, at de ikke var dataansvarlig for den pågældende behandling af personoplysninger og oplyste i stedet Københavns Universitet som en mulig dataansvarlig.

Københavns Universitet anførte over for Datatilsynet, at den studerende er dataansvarlig for den behandling af personoplysninger, der foretages som led i deltagelsen af kurser på Københavns Universitet.

Datatilsynet lagde ved sin afgørelse vægt på, at det var Københavns Universitet, der havde fastsat ordningen og reglerne for praktikforløbet for kurset. Datatilsynet påpegede samtidig, at kurset indgår som en del af den medicinstuderendes fag på Københavns Universitet og det dermed er Københavns Universitet, der afgør, til hvilke formål og hvilke hjælpemidler der må foretages behandling af personoplysninger.

Datatilsynet udtaler alvorlig kritik af Københavns Universitets behandling af personoplysninger

Datatilsynet noterede sig, at Københavns Universitet var af den opfattelse, at den studerende var dataansvarlig for den pågældende behandling af personoplysninger. Det ændrede dog ikke på Datatilsynets baggrund for at udtale alvorlig kritik af, at Københavns Universitets behandling af personoplysninger ikke skete i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet fremhævede blandt andet, at Københavns Universitet ikke har levet op til kravet om at gennemføre passende sikkerhedsforanstaltninger, herunder tiltag for at gøre oplysningerne utilgængelige for uvedkommende.

Som dataansvarlig er man forpligtet til at foretage en række foranstaltninger, hvis der sker brud på persondatasikkerheden. I den omtvistede sag vedrørte sikkerhedsbruddet det stjålne videokamera, som indeholdt oplysninger om et ukendt antal registrerede, herunder følsomme oplysninger om helbred. Datatilsynet lagde i denne sammenhæng vægt på Københavns Universitets manglende indberetning af sikkerhedsbruddet til Datatilsynet samt Universitets manglende underretning til de registrerede personer omfattet af bruddet på persondatasikkerheden.

Det viser afgørelsen

Afgørelsen viser, hvor vigtigt det er at få afklaret, hvor dataansvaret er placeret, således den rette ansvarlige kan iagttage de nødvendige sikkerhedsforanstaltninger.

Afgørelsen viser sig også relevant i situationer, hvor to eller flere virksomheder samarbejder med hinanden. I et samarbejde vil der ofte ske en udlevering af personoplysninger fra den ene part til den anden. Det kan i den sammenhæng være, at der skal udarbejdes en databehandleraftale eller en aftale om fælles dataansvar.

At finde frem til, hvem der er ansvarlig for behandling af personoplysninger, kan lyde simpelt i teorien, men mange møder udfordringer i praksis. Hos HjulmandKaptain kan vi hjælpe dig med at få overblik over, hvornår du er dataansvarlig, og hvordan du skal agere i situationer, hvor der kan opstå tvivl om dataansvaret.

Har du spørgsmål eller brug for rådgivning i forbindelse med databeskyttelsesreglerne, er du altid velkommen til at kontakte vores persondatateam.