Tilsyn med behandling af personoplysninger i Direktoratet for Kriminalforsorgen

Dato: 12-12-2018

Afgørelse Retshåndhævende myndigheder Alvorlig kritik Tilsyn / egendriftssag Retten til indsigelse Oplysningspligt Afklaring af dataansvar

På baggrund af et tilsyn hos Direktoratet for Kriminalforsorgen konkluderer Datatilsynet blandt andet, at der ikke var taget endelig stilling til fordelingen af dataansvar.

J.nr. 2018-421-0001

Resume

I april 2018 gennemførte Datatilsynet et planlagt tilsyn hos Direktoratet for Kriminalforsorgen med fokus på de registreredes rettigheder, som findes i afsnit 3 i retshåndhævelsesloven.

På baggrund af tilsynsbesøget har Datatilsynet konkluderet, at der på tidspunktet for tilsynsbesøget i Kriminalforsorgen, herunder i Direktoratet for Kriminalforsorgen, ikke var taget endelig stilling til fordelingen af dataansvar.

Endvidere har Datatilsynet konkluderet, at Direktoratet for Kriminalforsorgen ikke fuldt ud har levet op til kravene til oplysningspligten og meddelelse af indsigt.

Afgørelse

Efter anmodning fra Datatilsynet har Direktoratet for Kriminalforsorgen i foråret 2018, i forbindelse med tilsynsbesøget, udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Tilsynsbesøget fandt sted den 4. april 2018.

Efter tilsynet med Direktoratet for Kriminalforsorgen finder Datatilsynet anledning til sammenfattende at konkludere:

At der ikke i Kriminalforsorgen, herunder i Direktoratet for Kriminalforsorgen, på tidspunktet for tilsynet var taget endelig stilling til fordelingen af dataansvar.
At Direktoratet for Kriminalforsorgen ikke har overholdt kravene i retshåndhævelseslovens § 13, stk. 1 og 2 (oplysningspligt).
At Direktoratet for Kriminalforsorgen ikke har overholdt kravene i retshåndhævelseslovens § 15, stk. 2 (meddelelse af indsigt).

Datatilsynet finder samlet set anledning til at udtale alvorlig kritik af, at Direktoratet for Kriminalforsorgen ikke har efterlevet retshåndhævelseslovens krav i forhold til de ovenstående punkter.

På forespørgsel fra Datatilsynet har Direktoratet for Kriminalforsorgen den 19. oktober 2018 oplyst, at der fortsat ikke er taget endelig stilling til fordelingen af dataansvar i Kriminalforsorgen.

Direktoratet for Kriminalforsorgen skal derfor hurtigst muligthave taget endelig stilling til hvilke behandlinger af personoplysninger efter retshåndhævelsesloven, som Direktoratet for Kriminalforsorgen er dataansvarlig for.

Direktoratet for Kriminalforsorgen bedes i den forbindelse sende Datatilsynet en redegørelse for den endelige fordeling af dataansvar, herunder også fordelingen af dataansvar i hele Kriminalforsorgen. Oplysningerne bedes være Datatilsynet i hænde senest den 16. januar 2019.

Direktoratet for Kriminalforsorgen bedes endvidere sende en redegørelse for, hvilke skridt der er taget – eller vil blive taget – for at sikre, at direktoratet fremadrettet efterlever retshåndhævelsesloven i forhold til punkt 2 og 3 om oplysningspligt og indsigtsret. Redegørelsen bedes ligeledes være Datatilsynet i hænde senest den 16. januar 2019.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Dataansvar i Kriminalforsorgen

Datatilsynet varslede sit tilsyn med varslingsbrev af 19. februar 2018.

I brevet havde Datatilsynet anført, at tilsynet antog, at Direktoratet for Kriminalforsorgen var dataansvarlig for behandlingen af personoplysninger i de forskellige institutioner tilhørende Kriminalforsorgen, herunder fængsler, arresthuse m.v., og at direktoratet i modsat fald skulle kontakte tilsynet snarest muligt og senest 28. februar 2018.

Direktoratet for Kriminalforsorgen kontaktede ikke Datatilsynet herom og fremsendte udfyldt spørgeskema med tilhørende materiale til tilsynet.

De indkomne svar og det tilhørende materiale indikerede imidlertid, at der i Kriminalforsorgen var flere dataansvarlige i forhold til behandlingen af personoplysninger om klienter.

Under et senere gennemført egentligt tilsynsbesøg den 4. april 2018 oplyste Direktoratet for Kriminalforsorgen, at konstruktionen for fordeling af dataansvar i Kriminalforsorgen endnu ikke var på plads. I den forbindelse oplyste direktoratet, at særligt spørgsmålet om, hvem der er dataansvarlig for den behandling af personoplysninger om klienter, som sker i de enkelte institutioner, udestår. Under tilsynsbesøget oplyste Direktoratet for Kriminalforsorgen, at direktoratet forventede, at konstruktionen for fordelingen af dataansvaret ville være på plads før sommeren 2018.

Det fremsendte materiale blev herefter gennemgået, og Direktoratet for Kriminalforsorgen bekræftede, at direktoratet er dataansvarlig for de behandlinger, som var beskrevet i de fremsendte eksempler og skabeloner på nær ét eksempel, hvor spørgsmålet fortsat udestod. Datatilsynet oplyste i den forbindelse, at det sidstnævnte eksempel ikke ville indgå i Datatilsynets tilsyn.

Efter anmodning fra Datatilsynet har Direktoratet for Kriminalforsorgen den 19. oktober 2018 – som nævnt – oplyst, at der fortsat ikke er taget endelig stilling til fordelingen af dataansvar i Kriminalforsorgen.

Datatilsynet skal dertil bemærke, at tilsynet finder det yderst bekymrende og langt fra tilfredsstillende, at der ikke i Kriminalforsorgen på tidspunktet for tilsynsbesøget var taget endelig stilling til fordelingen af dataansvar, og at der heller ikke 6 måneder efter tilsynsbesøget er taget endelig stilling hertil på trods af, at Direktoratet for Kriminalforsorgen under tilsynsbesøget oplyste, at direktoratet forventede, at fordelingen ville være på plads før sommeren 2018.

Datatilsynet har i forbindelse med tilsynet kunnet konstatere, at den manglende stillingtagen til dataansvaret bl.a. har medført, at Kriminalforsorgen, herunder Direktoratet for Kriminalforsorgen, ikke har været i stand til at angive den/de korrekte dataansvarlige(s) identitet(er) i forskellige meddelelser til de registrerede.

2. Oplysningspligt

2.1. Oplysningspligten efter retshåndhævelseslovens § 13, stk. 1

Retshåndhævelseslovens § 13, stk. 1, stiller krav om, at den dataansvarlige skal stille en række oplysninger til rådighed for den registrerede.

Det drejer sig om følgende oplysninger:

Identitet på og kontaktoplysninger for den dataansvarlige.
Kontaktoplysninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i forhold til de registrerede.
Formålene med den behandling, som personoplysningerne skal bruges til.
Retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysninger for tilsynsmyndigheden.
Den registreredes rettigheder efter lovens kapitel 5 og 6.
Retten til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til de kompetente myndigheders afgørelser om undladelse, udsættelse, begrænsning eller nægtelse efter kapitel 4-6, jf. lovens § 40, stk. 1, nr. 10.

Direktoratet for Kriminalforsorgen har som et eksempel herpå fremsendt en tekst, som var offentlig tilgængelig på www.kriminalforsorgen.dk på tidspunktet for tilsynsbesøget.

2.1.1. Identitet på og kontaktoplysninger for den dataansvarlige

Det fremgår af det fremsendte eksempel, at ”Kriminalforsorgen” behandler oplysninger om klienter, pårørende, besøgende, vidner og ofre.

Direktoratet henviste under tilsynsbesøget til udeståendet omkring dataansvarskonstruktionen i Kriminalforsorgen.

Henset til uklarhederne herom kan Datatilsynet ikke vurdere, hvordan dataansvarskonstruktionen skulle have været beskrevet i eksemplet.

Det er dog Datatilsynets opfattelse, at det – hvis der er flere dataansvarlige for de beskrevne behandlinger – skal fremgå af eksemplet, hvilken myndighed der er dataansvarlig for hvilke behandlinger.

2.1.2. Oplysninger om den registreredes rettigheder

Der er ikke i eksemplet vejledt om den registreredes ret til begrænsning.

Herudover fremgår det af eksemplet, at den registrerede kan få slettet sine oplysninger, hvis oplysningerne ikke er relevante for fuldbyrdelsen af en straf.

Det er Datatilsynets opfattelse, at beskrivelsen af retten til sletning er misvisende, da den kan give den registrerede den opfattelse, at vedkommende kan anmode om sletning i et mere begrænset omfang, end hvad tilfældet er.

2.1.3. Retten til at lade Datatilsynet udøve den registreredes rettigheder

Det fremsendte eksempel indeholder ikke en beskrivelse af retten til at lade Datatilsynet udøve den registreredes rettigheder.

2.1.4. Oplysninger som ikke kræves efter lovens § 13, stk. 1

Eksemplet indeholder bl.a. information om, at behandlingen af den registreredes oplysninger sker efter reglerne i retshåndhævelsesloven.

Retshåndhævelseslovens § 13, stk. 1, (modsat § 13, stk. 2) stiller ikke krav om, at den dataansvarlige i forbindelse med sin oplysningspligt skal oplyse om retsgrundlaget for behandlingen.

Vælger den dataansvarlige alligevel at give oplysningen, bør den dataansvarlige oplyse om det korrekte retsgrundlag.

Det er Datatilsynets vurdering, at de retshåndhævende myndigheders hjemmel til at behandle personoplysninger som udgangspunkt må findes andre steder end i retshåndhævelsesloven.

Direktoratet for Kriminalforsorgen har hertil oplyst, at det korrekte retsgrundlag er straffuldbyrdelsesloven, retsplejeloven og også en række andre love m.v.

2.1.5. Sammenfatning

Det er Datatilsynets vurdering, at eksemplet ikke lever op til kravene i retshåndhævelseslovens § 13, stk. 1, nr. 1, 5 og 6.

2.2. Oplysningspligten efter retshåndhævelseslovens § 13, stk. 2

Retshåndhævelseslovens § 13, stk. 2, stiller krav om, at den dataansvarlige, når det er nødvendigt for, at den registrerede kan varetage sine interesser, som minimum skal give den registrerede meddelelse om følgende:

Retsgrundlaget for behandlingen.
Det tidsrum, hvori personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Kategorierne af eventuelle modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer.
Yderligere oplysninger, hvis det er nødvendigt, navnlig hvis personoplysningerne indsamles uden den registreredes vidende.

Direktoratet for Kriminalforsorgen har fremsendt en skabelon og tre konkrete eksempler på en meddelelse efter retshåndhævelseslovens § 13, stk. 2.

2.2.1. Retsgrundlaget for behandlingen

Skabelonen indeholder ikke en beskrivelse af retsgrundlaget, og de tre eksempler indeholder information om, at behandlingen af den registreredes oplysninger sker efter reglerne i retshåndhævelsesloven.

Det er således Datatilsynets opfattelse, at den fremsendte skabelon og de tre eksempler ikke indeholder oplysninger om retsgrundlaget for behandlingen.

2.2.2. Tidsrum for opbevaring

De tre eksempler indeholder ingen beskrivelse af tidsrummet for opbevaring eller kriterierne til fastlæggelsen af tidsrummet for opbevaring.

Af skabelonen fremgår det derimod, at den registreredes adfærd m.v. løbende bliver vurderet, og at registreringen ophæves, hvis det efter en periode vurderes, at der ikke er grund til bekymring.

Det er Datatilsynets vurdering, at formuleringen i skabelonen ikke opfylder kravet i lovens § 13, stk. 2, nr. 2, idet beskrivelsen af kriterierne ikke er tilstrækkelig præcis.

2.2.3. Kategorierne af modtagere af personoplysningerne

Det fremgår af skabelonen, at oplysningerne deles med det infohus, der er beliggende i den politikreds, hvor den registrerede bor. Det fremgår endvidere af skabelonen, at infohuset er et tværfagligt myndighedssamarbejde imellem kommuner, politiet og Kriminalforsorgen.

Adspurgt herom har Direktoratet for Kriminalforsorgen oplyst, at infohuset ikke er en selvstændig modtager, men at der er tale om et samarbejde i hvilken forbindelse kommunerne, politiet og eventuelt andre institutioner i Kriminalforsorgen modtager oplysningerne.

Det er Datatilsynets opfattelse, at beskrivelsen i skabelonen herom ikke er tilstrækkelig præcis, da det ikke ud af beskrivelsen i tilstrækkelig grad kan udledes, at modtagerne bl.a. er kommunerne og politiet og således ikke infohuset.

2.2.4. Oplysninger efter § 13, stk. 1

Retshåndhævelseslovens § 13, stk. 2, vedrører (modsat § 13, stk. 1) de situationer, hvor den dataansvarlige konkret skal underrette den registrerede med henblik på at sikre den registrerede en rimelig behandling af oplysningerne.

Det er Datatilsynets opfattelse, at i de tilfælde, hvor den dataansvarlige konkret skal underrette den registrerede efter lovens § 13, stk. 2, vil den dataansvarlige samtidig skulle stille oplysningerne nævnt i lovens § 13, stk. 1, til rådighed for den registrerede. Det kan f.eks. ske ved at vedlægge en pjece med oplysningerne, ved at skrive dem ind i selve meddelelsen eller ved f.eks. at indsætte et direkte link til den hjemmesideadresse, hvor oplysningerne fremgår.

”Kriminalforsorgen” er angivet som dataansvarlig i skabelonen og de tre eksempler. Hvis Direktoratet for Kriminalforsorgen er dataansvarlig for de beskrevne behandlinger, vil dette skulle fremgå af de fremsendte tekster.

Herudover indeholder skabelonen ikke kontaktoplysninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i forhold til de registrerede, ligesom skabelonens beskrivelse af den registreredes rettigheder er skrevet i overensstemmelse med persondataloven og ikke retshåndhævelsesloven.

2.2.5. Sammenfatning

Det er Datatilsynets opfattelse, at skabelonen ikke overholder kravene i retshåndhævelseslovens § 13, stk. 2, nr. 1-3 og § 13, stk. 1, nr. 1, 2 og 5.

Det er herudover Datatilsynets opfattelse, at de tre eksempler ikke overholder kravene i retshåndhævelseslovens § 13, stk. 2, nr. 1-2 og § 13, stk. 1, nr. 1.

3. Indsigtsretten

3.1. Meddelelse af indsigt

Reglerne om den registreredes indsigtsret fremgår af retshåndhævelseslovens kapitel 5.

Efter lovens § 15, stk. 1, har den registrerede ret til at få den dataansvarliges bekræftelse på, om personoplysninger om den pågældende behandles.

Behandler den dataansvarlige personoplysninger om den registrerede, skal den dataansvarlige give den registrerede adgang til personoplysningerne og en meddelelse med en række oplysninger, jf. lovens § 15, stk. 2.

Det drejer sig om følgende oplysninger:

Formålene med og retsgrundlaget for behandlingen.
De berørte kategorier af personoplysninger.
De modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, herunder navnlig modtagere i tredjelande eller internationale organisationer.
Om muligt, det påtænkte tidsrum for opbevaring eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede.
Retten til at indgive en klage til tilsynsmyndigheden og tilsynsmyndighedens kontaktoplysninger.
Hvilke personoplysninger der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.

Forud for tilsynsbesøget havde Datatilsynet anmodet Direktoratet for Kriminalforsorgen om at fremsende to eksempler på meddelelse af indsigt.

Direktoratet for Kriminalforsorgen fremsendte alene et eksempel og har begrundet dette med, at direktoratet alene havde meddelt indsigt i et tilfælde. Hertil har direktoratet oplyst, at anmodninger fra registrerede oftest vedrører aktindsigt efter forvaltningsloven.

Efter en gennemgang af det fremsendte eksempel kan Datatilsynet konstatere, at eksemplet ikke indeholder oplysninger om retsgrundlaget for behandlingen (nr. 1), de berørte kategorier af personoplysninger (nr. 2), og det påtænkte tidsrum for opbevaring eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum (nr. 4). Herudover indeholder eksemplet - ligesom i meddelelsen efter lovens § 13, stk. 2 - en upræcis beskrivelse af, hvad det betyder, at infohuset modtager den registreredes oplysninger (nr. 3).

I det fremsendte eksempel har Direktoratet for Kriminalforsorgen endvidere vejledt den registrerede om, at Datatilsynet kan udøve den registreredes rettigheder.

Hertil skal Datatilsynet bemærke, at den registreredes ret til at lade Datatilsynet udøve den registreredes rettigheder efter lovens § 40, stk. 1, nr. 10, ikke gælder, når den registrerede meddeles fuld indsigt, hvilket (efter det oplyste) var tilfældet her.

Det er herefter Datatilsynets vurdering, at det fremsendte eksempel ikke overholder kravene i retshåndhævelseslovens § 15, stk. 2, nr. 1-4.

3.2. Udsættelse, begrænsning eller nægtelse af indsigt

Det følger af retshåndhævelseslovens § 16, stk. 1, at den dataansvarlige kan udsætte, begrænse eller nægte at meddele indsigt, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for de hensyn til offentlige interesser, der er nævnt i lovens § 14, stk. 1.

En afgørelse om, at den registreredes indsigt udsættes, begrænses eller nægtes, skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning, ligesom afgørelsen skal indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder efter lovens § 40, stk. 1, nr. 10. Dette følger af retshåndhævelseslovens § 16, stk. 2.

Direktoratet for Kriminalforsorgen har oplyst, at retshåndhævelseslovens § 16, stk. 1, er blevet anvendt til at nægte indsigt efter lovens § 15, og direktoratet har fremsendt et eksempel på en sådan afgørelse.

I det fremsendte eksempel har Direktoratet for Kriminalforsorgen henvist til, at den registreredes interesse i at få oplysningerne må vige for hensynet til offentlige interesser, jf. retshåndhævelseslovens § 16, stk. 1, jf. § 14, stk. 1 nr. 2.

Det følger af retshåndhævelseslovens § 14, stk. 1 nr. 2, at de hensyn, som kan begrunde en nægtelse af indsigt, f.eks. er hensynet til at undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner.

Det er Datatilsynets vurdering, at det fremsendte eksempel overholder kravene i retshåndhævelseslovens § 16, stk. 2. Det er imidlertid Datatilsynets opfattelse, at Direktoratet for Kriminalforsorgen burde have henvist til, hvilket af hensynene i lovens § 14, stk. 1, nr. 2, som i det konkrete eksempel begrundede afslaget på indsigt, ligesom beskrivelsen af retten til at lade Datatilsynet udøve den registreredes rettigheder med fordel kunne præciseres.

4. Ret til berigtigelse, sletning og begrænsning af behandling

Den registreredes ret til berigtigelse, sletning og begrænsning af behandling fremgår af retshåndhævelseslovens kapitel 6.

Det følger af retshåndhævelseslovens § 17, stk. 1, at den dataansvarlige skal berigtige oplysninger, som viser sig urigtige. Herudover fremgår det af samme bestemmelse, at den dataansvarlige på tilsvarende måde skal foretage fuldstændiggørelse af ufuldstændige oplysninger, hvis dette kan ske uden at bringe formålet med behandlingen i fare. Herudover skal den dataansvarlige meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra oplysningerne stammer.

Efter lovens § 17, stk. 2, skal den dataansvarlige efter anmodning fra den registrerede slette oplysninger, der er behandlet i strid med behandlingsreglerne i lovens kapitel 3, eller hvis det er påkrævet for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

Det følger af lovens § 17, stk. 3, at den dataansvarlige i stedet for sletning skal begrænse behandlingen af personoplysninger, hvis 1) rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke kan konstateres eller 2) personoplysningerne skal bevares som bevismiddel. I det omfang en behandling er begrænset, underretter den dataansvarlige den registrerede herom, inden begrænsningen ophæves, jf. lovens § 17, stk. 4.

Meddeler den dataansvarlige afslag på en anmodning om berigtigelse, sletning eller begrænsning af behandling skal dette meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning, ligesom afgørelsen skal indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i overensstemmelse med lovens § 40, stk. 1, nr. 10. Dette følger af lovens § 17, stk. 5.

Direktoratet for Kriminalforsorgen har oplyst, at direktoratet har meddelt afslag på berigtigelse og sletning og har indsendt et eksempel på et afslag på berigtigelse og et eksempel på et afslag på sletning.

Det er Datatilsynets vurdering, at de to fremsendte eksempler overholder kravene i retshåndhævelseslovens § 17, stk. 5. Det er imidlertid Datatilsynets opfattelse, at beskrivelsen i afgørelsen om retten til at lade Datatilsynet udøve den registreredes rettigheder med fordel kunne præciseres.

5. Konklusion og fremadrettede initiativer