Journalnummer: 2018-423-0019
Resume
Datatilsynet har i august 2020 afsluttet et planlagt tilsyn hos Holstebro Kommune. Tilsynet fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter, herunder særligt om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om at føre fortegnelser.
Efter tilsynet med Holstebro Kommune fandt Datatilsynet anledning til at konkludere, at visse afsnit af kommunens fortegnelser rejste nogle udfordringer i forhold til de bagvedliggende formål med at føre fortegnelser.
På baggrund af de samlede erfaringer fra de tre gennemførte tilsyn vedrørende udarbejdelse af fortegnelser har Datatilsynet fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018.
Du kan læse Datatilsynets vejledning om fortegnelse her.
Afgørelse
Holstebro Kommune var blandt de myndigheder, som Datatilsynet i efteråret 2018 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets planlagte tilsyn med Holstebro Kommune fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 30.
Efter anmodning fra Datatilsynet havde Holstebro Kommune – inden tilsynsbesøget – indsendt kommunens fortegnelser til tilsynet. Selve tilsynsbesøget fandt sted den 25. oktober 2018.
Databeskyttelsesforordningens krav om at føre fortegnelser over behandlingsaktiviteter hænger i vidt omfang sammen med forordningens princip om ansvarlighed (”accountability”). Dette princip kræver både, at den dataansvarlige sikrer, at behandlingen af personoplysninger er i overensstemmelse med forordningen, og at den dataansvarlige er i stand til at påvise, at forordningen overholdes, jf. forordningens artikel 5, stk. 2, og artikel 24, stk. 1. Fortegnelsen skal udarbejdes for at kunne påvise overholdelsen af forordningen[3] og skal stilles til rådighed for Datatilsynet efter anmodning, så den kan bruges til at føre tilsyn, jf. artikel 30, stk. 4.
Et af Datatilsynets fokuspunkter for tilsynet med Holstebro Kommune var således, om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om, at der skal føres fortegnelser over behandlingsaktiviteter.
Efter tilsynet med Holstebro Kommune finder Datatilsynet sammenfattende anledning til at konkludere, at udarbejdelsen af visse afsnit af kommunens fortegnelser rejste nogle udfordringer i forhold til de bagvedliggende formål med at føre fortegnelser.
På baggrund af erfaringerne fra tilsynene vedrørende udarbejdelse af fortegnelser har Datatilsynet derfor fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018[4].
Nedenfor følger en nærmere gennemgang af nogle af de punkter, som blev drøftet under tilsynsbesøget hos Holstebro Kommune.
1. Kategorier af registrerede og kategorier af personoplysninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra c, skal en fortegnelse indeholde en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger.
1.1. Kategorier af registrerede
Datatilsynet havde forud for tilsynsbesøget noteret sig, at Holstebro Kommunes fortegnelser generelt indeholdt en oplistning af de kategorier af registrerede, som kommunen behandler oplysninger om.
I enkelte fortegnelser var eksempelvis angivet ”familiemedlemmer” som kategorier af registrerede. Under tilsynsbesøget spurgte Datatilsynet nærmere ind til, hvad enkelte af de angivne kategorier dækkede over.
Det var herefter Datatilsynets opfattelse, at de tilstedeværende ikke med sikkerhed kunne oplyse dette, men at de alene kunne komme med et kvalificeret gæt på, hvad de oplistede kategorier dækkede over. Holstebro Kommune henviste imidlertid til, at kommunens medarbejdere på de enkelte områder ville kunne forklare præcist, hvad de angivne kategorier af registrerede dækkede over.
Datatilsynet tilkendegav derfor under tilsynsbesøget, at Holstebro Kommune med fordel kan præcisere flere af de angivne kategorier af registrerede med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.
1.2. Kategorier af personoplysninger
Datatilsynet havde forud for tilsynsbesøget noteret sig, at Holstebro Kommunes fortegnelser generelt indeholdt felter, hvori kommunen kunne afkrydse, om der behandles henholdsvis artikel 6-oplysninger, artikel 9-oplysninger og artikel 10-oplysninger i forbindelse med den konkrete behandlingsaktivitet.
Under tilsynsbesøget kunne Datatilsynet imidlertid konstatere, at hverken de tilstedeværende eller tilsynet ud fra fortegnelserne kunne se, hvilke specifikke artikel 6-oplysninger, artikel 9- oplysninger og artikel 10-oplysninger, som kommunen behandler i forbindelse med de pågældende behandlingsaktiviteter. Adspurgt herom oplyste Holstebro Kommune dog, at kommunens medarbejdere på de enkelte områder, som fortegnelserne vedrører, ville kunne specificere kategorierne af oplysninger i de pågældende fortegnelser.
Datatilsynet henviste i den forbindelse til tilsynets (nu tidligere) vejledning om fortegnelse fra januar 2018, hvoraf det fremgår, at den dataansvarlige skal kunne specificere, hvilke nærmere typer af artikel 9-oplysninger der behandles.
Under tilsynsbesøget blev det derfor drøftet, at Holstebro Kommune – efter Datatilsynets opfattelse – med fordel kan udarbejde sine fortegnelser på en sådan måde, at alle kategorierne af personoplysninger specificeres nærmere, herunder med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.
2. Kobling mellem kategorier af registrerede og kategorier af oplysninger
Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger Holstebro Kommune behandler om de enkelte kategorier af registrerede. Datatilsynet kunne eksempelvis ikke udlede af fortegnelserne, om kommunen behandler artikel 9-oplysninger om samtlige af de kategorier af registrerede, som var anført i de enkelte fortegnelser, eller om det kun var tilfældet for nogle af de angivne kategorier af registrerede.
Adspurgt herom oplyste Holstebro Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse, hvilke kategorier af personoplysninger kommunen behandler om de enkelte kategorier af registrerede, og at dette i bedste fald ville være kvalificerede gæt.
Datatilsynet tilkendegav på den baggrund under tilsynsbesøget, at det henset til formålene med fortegnelseskravet er tilsynets vurdering, at en fortegnelse over behandlingsaktiviteter skal indeholde en tydelig kobling mellem, hvilke kategorier af personoplysninger der behandles om de enkelte kategorier af registrerede. Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 er i overensstemmelse hermed.
3. Kategorier af modtagere, som oplysningerne er eller vil blive videregivet til
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra d, skal en fortegnelse omfatte oplysninger om de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.
Datatilsynet havde inden tilsynsbesøget noteret sig, at Holstebro Kommunes fortegnelser generelt indeholdt en oplistning af de virksomheder, myndigheder mv., som personoplysninger er eller vil kunne blive videregivet til.
Holstebro Kommune oplyste under tilsynsbesøget, at kommunen den 18. oktober 2018 havde indsendt reviderede fortegnelser til Datatilsynet, idet kommunen – på baggrund af en opdatering af KL’s fortegnelser – havde opdateret sine fortegnelser, så databehandlere nu også angives i feltet for kategorier af modtagere, som personoplysninger er eller vil blive videregivet til.
Datatilsynet oplyste under tilsynsbesøget, at det – efter Datatilsynets opfattelse ‒ er vigtigt at skelne mellem, hvornår oplysninger overlades til databehandlere, og hvornår oplysninger videregivelse til andre selvstændigt dataansvarlige, idet der er tale om forskellige former for udveksling af personoplysninger, som er forbundet med forskellige krav.
Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger, herunder om hvilke kategorier af registrerede, der vil kunne videregives til de modtagere, som kommunen havde anført i fortegnelsen. Adspurgt herom oplyste Holstebro Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse dette.
Det er i den forbindelse Datatilsynets vurdering, at en fortegnelse – hvis der bliver eller vil blive videregivet personoplysninger – skal indeholde information om, hvilke kategorier af personoplysninger, der bliver eller vil blive videregivet til den pågældende modtager. I tilknytning hertil skal det også fremgå, hvilke kategorier af registrerede, de pågældende oplysninger vedrører. Datatilsynet har derfor opdateret vejledningen om fortegnelse, så udgaven fra august 2020 er i overensstemmelse hermed.
4. Tidsfrister for sletning af de forskellige kategorier af oplysninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra f, skal en fortegnelse, hvis det er muligt, omfatte de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger.
Forud for tilsynsbesøget havde Datatilsynet noteret sig, at der i Holstebro Kommunes fortegnelser var angivet en henvisning til de anbefalede slettefrister i kommunernes emnesystematik, KLE.
Adspurgt om fortegnelsernes henvisninger til de anbefalede slettefrister i KLE, demonstrerede Holstebro Kommune under tilsynsbesøget, hvordan man hurtigt kan slå op i KLE under bestemte behandlingsaktiviteter og herefter se den anbefalede slettefrist.
Datatilsynet tilkendegav under tilsynsbesøget, at det efter tilsynets vurdering var tilstrækkeligt, at kommunen havde angivet en henvisning til de anbefalede slettefrister i KLE.
5. Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra g, skal en fortegnelse, hvis det er muligt, omfatte en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.
Datatilsynet havde forud for tilsynsbesøget noteret sig, at Holstebro Kommune i fortegnelserne generelt henviste til kommunens informationssikkerhedspolitik.
Datatilsynet havde under tilsynsbesøget generelt ingen bemærkninger til, at Holstebro Kommune i fortegnelserne henviste til kommunens informationssikkerhedspolitik for så vidt angår en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.
Datatilsynet oplyste dog, at kommunen med fordel kan angive det i fortegnelsen, hvis der gennemføres særlige foranstaltninger – ud over de generelle sikkerhedsforanstaltninger – f.eks. i forhold til sikkerheden i Borgerservicecentre, på kommunale biblioteker eller i forbindelse med behandling af personoplysninger via tv-overvågning m.v.
6. Tv-overvågning som behandlingsaktivitet
Datatilsynet havde forud for tilsynsbesøget noteret sig, at det ikke fremgik af Holstebro Kommunes fortegnelser, om kommunen behandler personoplysninger i forbindelse med tv-overvågning.
Adspurgt herom oplyste Holstebro Kommune, at der foretages tv-overvågning i kommunen.
Datatilsynet påpegede, at denne behandling af personoplysninger bør fremgå af de fortegnelser, som vedrører det kommunale område, hvor der foretages tv-overvågning. Herudover påpegede tilsynet, at hvis tv-overvågningen er opsat med henblik på kriminalitetsforebyggelse, bør kommunen også være opmærksom på, at der potentielt behandles oplysninger om strafbare forhold, og at dette bør angives i fortegnelsen.
7. Konklusion
Efter tilsynet med Holstebro Kommune finder Datatilsynet sammenfattende anledning til at konkludere, at udarbejdelsen af visse afsnit af kommunens fortegnelser rejste nogle udfordringer i forhold til de bagvedliggende formål med at føre fortegnelser.
Datatilsynet har generelt noteret sig, at der var flere afsnit i Holstebro Kommunes fortegnelser, hvor hverken de tilstedeværende fra kommunen eller Datatilsynet var i stand til at gennemskue behandlingsaktiviteterne alene ud fra fortegnelserne. Selvom Holstebro Kommune oplyste, at kommunens medarbejdere på de områder, som fortegnelserne vedrører, ville kunne uddybe fortegnelsernes indhold, er det Datatilsynets opfattelse, at fortegnelserne bør udarbejdes på en sådan måde, at den efterspurgte information klart kan udledes direkte af fortegnelserne.
Datatilsynet kan dog også konkludere, at udarbejdelsen af visse afsnit af Holstebro Kommunes fortegnelser – herunder fortegnelsernes afsnit vedrørende slettefrister og tekniske- og organisatoriske sikkerhedsforanstaltninger – giver et fint overblik for både kommunen og Datatilsynet.
Kravet om at føre fortegnelser over behandlingsaktiviteter hænger – som nævnt ovenfor – i vidt omfang sammen med forordningens princip om ansvarlighed (”accountability”).
Ansvarligheden kommer til udtryk ved, at den dataansvarlige både skal efterleve forordningens regler og samtidig være i stand til at påvise, at dette rent faktisk er tilfældet. Det er dermed op til den dataansvarlige at have et overblik over de behandlingsaktiviteter, som denne foretager og for at kunne påvise over for f.eks. tilsynsmyndigheden, at de pågældende behandlingsaktiviteter er i overensstemmelse med forordningens regler.
Hver dataansvarlig (og databehandler) skal således samarbejde med tilsynsmyndigheden og efter anmodning herom stille fortegnelserne til rådighed for tilsynsmyndigheden, så disse kan bruges til at føre tilsyn med, om den dataansvarlige efterlever behandlingsbetingelserne i forordningen. Den røde tråd i forordningen om ansvarlighed udmøntes således bl.a. i kravet om fortegnelse over behandlingsaktiviteter i forordningens artikel 30.
På baggrund af erfaringerne med tilsynene med fortegnelser hos en række kommuner – herunder Holstebro Kommune – har Datatilsynet derfor fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018[5].
Det skyldes bl.a., at de fortegnelser, som Datatilsynet har haft til gennemsyn, efter tilsynets vurdering ikke i tilstrækkelig grad kunne anvendes til de formål, som ligger bag fortegnelseskravet. I flere tilfælde kunne hverken kommunerne eller Datatilsynet danne sig et overblik over omfanget af behandlingsaktiviteterne ud fra fortegnelsernes indhold. Det var således også svært for tilsynet at påse, om de pågældende behandlingsaktiviteter var i overensstemmelse med forordningens regler.
Det er Datatilsynets vurdering, at en opdatering af vejledningen bidrager til, at fortegnelser udarbejdes på en måde, som sikrer, at fortegnelserne bliver konkret og praktisk anvendelige for både den dataansvarlige/databehandleren og for Datatilsynet.
Datatilsynet lægger således vægt på, at kravet om at udarbejde fortegnelser ikke blot må blive et formelt krav, og at fortegnelserne først får en reel indholdsmæssig værdig, når de udarbejdes på en måde, som skaber et reelt overblik over de pågældende behandlinger og danner et grundlæggende fundament for den dataansvarliges/databehandlerens generelle overholdelse af databeskyttelsesreglerne.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Jf. præambelbetragtning nr. 80
[4] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside.
[5] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside.