Journalnummer: 2018-423-0020
Resume
Datatilsynet har i august 2020 afsluttet et planlagt tilsyn hos Ringkøbing-Skjern Kommune. Tilsynet fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter, herunder særligt om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om at føre fortegnelser.
Efter tilsynet med Ringkøbing-Skjern Kommune fandt Datatilsynet anledning til at konkludere, at hovedparten af kommunens fortegnelser var udarbejdet på en god og hensigtsmæssig måde, idet fortegnelserne – efter tilsynets vurdering – generelt gav et godt overblik over kommunens behandlingsaktiviteter.
På baggrund af de samlede erfaringer fra de tre gennemførte tilsyn vedrørende udarbejdelse af fortegnelser har Datatilsynet fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018.
Du kan læse Datatilsynets vejledning om fortegnelse her.
Afgørelse
Ringkøbing-Skjern Kommune var blandt de myndigheder, som Datatilsynet i efteråret 2018 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets planlagte tilsyn med Ringkøbing-Skjern Kommune fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 30.
Efter anmodning fra Datatilsynet havde Ringkøbing-Skjern Kommune – inden tilsynsbesøget – indsendt kommunens fortegnelser til tilsynet. Selve tilsynsbesøget fandt sted den 25. oktober 2018.
Databeskyttelsesforordningens krav om at føre fortegnelser over behandlingsaktiviteter hænger i vidt omfang sammen med forordningens princip om på ansvarlighed (”accountability”). Dette princip kræver både, at den dataansvarlige sikrer, at behandlingen af personoplysninger er i overensstemmelse med forordningen, og at den dataansvarlige er i stand til at påvise, at forordningen overholdes, jf. forordningens artikel 5, stk. 2, og artikel 24, stk. 1. Fortegnelsen skal udarbejdes for at kunne påvise overholdelsen af forordningen[3] og skal stilles til rådighed for Datatilsynet efter anmodning, så den kan bruges til at føre tilsyn, jf. artikel 30, stk. 4.
Et af Datatilsynets fokuspunkter for tilsynet med Ringkøbing-Skjern Kommune var således, om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om, at der skal føres fortegnelser over behandlingsaktiviteter.
Efter tilsynet med Ringkøbing-Skjern Kommune finder Datatilsynet sammenfattende anledning til at konkludere, at hovedparten af Ringkøbing-Skjern Kommunes fortegnelser var udarbejdet på en god og hensigtsmæssig måde, idet fortegnelserne – efter tilsynets vurdering – generelt gav et godt overblik over kommunens behandlingsaktiviteter. Datatilsynet har dog noteret sig, at det i enkelte afsnit af Ringkøbing-Skjern Kommunes fortegnelser ville være gavnligt med en præcisering.
På baggrund af erfaringerne fra tilsynene vedrørende udarbejdelse af fortegnelser har Datatilsynet imidlertid fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018[4].
Nedenfor følger en nærmere gennemgang af nogle af de punkter, som blev drøftet under tilsynsbesøget hos Ringkøbing-Skjern Kommune.
1. Kategorier af registrerede og kategorier af personoplysninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra c, skal en fortegnelse indeholde en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger.
1.1. Kategorier af registrerede
Datatilsynet havde forud for tilsynsbesøget noteret sig, at Ringkøbing-Skjern Kommunes fortegnelser generelt indeholdt en oplistning af de kategorier af registrerede, som kommunen behandler oplysninger om.
I enkelte fortegnelser var eksempelvis angivet ”familiemedlemmer”, ”aftenskoler” og ”foreninger” som kategorier af registrerede. Under tilsynsbesøget spurgte Datatilsynet nærmere ind til, hvad enkelte af de angivne kategorier dækkede over.
Det var herefter Datatilsynets opfattelse, at de tilstedeværende ikke med sikkerhed kunne oplyse dette, men at de alene kunne komme med et kvalificeret gæt på, hvad de oplistede kategorier dækkede over. Ringkøbing-Skjern Kommune henviste imidlertid til, at kommunens medarbejdere på de enkelte områder ville kunne forklare præcist, hvad de angivne kategorier af registrerede dækkede over.
Datatilsynet tilkendegav på den baggrund under tilsynsbesøget, at Ringkøbing-Skjern Kommune med fordel kan præcisere flere af de angivne kategorier af registrerede med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.
1.2. Kategorier af personoplysninger
Datatilsynet havde forud for tilsynsbesøget noteret sig, at hovedparten af Ringkøbing-Skjern Kommunes fortegnelser indeholdt en beskrivelse af de kategorier af personoplysninger, som kommunen behandler. I flere fortegnelser havde Ringkøbing-Skjern Kommune angivet, hvilke specifikke artikel 6-oplysninger, artikel 9-oplysninger og artikel 10-oplysninger, kommunen behandler i forbindelse med en konkret behandlingsaktivet.
Efter Datatilsynets vurdering gav de af Ringkøbing-Skjern Kommunes fortegnelser, der indeholdt en specifik angivelse af kategorier af personoplysninger, et godt og brugbart overblik til gavn for både kommunen og tilsynet. Ved at beskrive de enkelte kategorier kunne Datatilsynet udlede direkte af fortegnelserne, hvilke specifikke personoplysninger kommunen behandler i forbindelse med de pågældende behandlingsaktiviteter.
Enkelte af kommunens fortegnelser indeholdt imidlertid felter, hvori kommunen kunne afkrydse, om der behandles henholdsvis artikel 6-oplysninger, artikel 9-oplysninger og artikel 10- oplysninger i forbindelse med den konkrete behandlingsaktivitet.
Af de få fortegnelser, hvor der alene blev benyttet afkrydsningsfelter, kunne Datatilsynet konstatere, at hverken de tilstedeværende eller tilsynet ud fra fortegnelserne kunne se, hvilke specifikke artikel 6-oplysninger, artikel 9-oplysninger eller artikel 10-oplysninger, kommunen behandler i forbindelse med de pågældende behandlingsaktiviteter. Adspurgt herom oplyste Ringkøbing-Skjern Kommune dog, at kommunens medarbejdere på de enkelte områder, som fortegnelserne vedrører, ville kunne specificere kategorierne af oplysninger.
Datatilsynet henviste i den forbindelse til tilsynets (nu tidligere) vejleding om fortegnelse fra januar 2018, hvoraf det fremgår, at den dataansvarlige skal kunne specificere, hvilke nærmere typer af artikel 9-oplysninger der behandles.
Under tilsynsbesøget blev det derfor drøftet, at Ringkøbing-Skjern Kommune – efter Datatilsynets opfattelse – med fordel kan udarbejde alle sine fortegnelser således, at kategorierne af personoplysninger specificeres, herunder med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.
Ringkøbing-Skjern Kommune oplyste i den forbindelse, at kommunen var i proces med at få opdateret fortegnelserne med afkrydsningsfelterne, så det også fremgår af disse, hvilke specifikke oplysninger der behandles.
2. Kobling mellem kategorier af registrerede og kategorier af oplysninger
Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger Ringkøbing-Skjern Kommune behandler om de enkelte kategorier af registrerede. Datatilsynet kunne eksempelvis ikke udlede af fortegnelserne, om kommunen behandler artikel 9 oplysninger om samtlige af de kategorier af registrerede, som var anført i de enkelte fortegnelser, eller om det kun var tilfældet for nogle af de angivne kategorier af registrerede.
Adspurgt herom oplyste Ringkøbing-Skjern Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse, hvilke kategorier af personoplysninger kommunen behandler om de enkelte kategorier af registrerede, og at dette i bedste fald ville være kvalificerede gæt.
Datatilsynet tilkendegav på den baggrund under tilsynsbesøget, at det henset til formålene med fortegnelseskravet er tilsynets vurdering, at en fortegnelse over behandlingsaktiviteter skal indeholde en tydelig kobling mellem, hvilke kategorier af personoplysninger, der behandles om de enkelte kategorier af registrerede. Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 er i overensstemmelse hermed.
3. Kategorier af modtagere, som oplysningerne er eller vil blive videregivet til
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra d, skal en fortegnelse omfatte oplysninger om de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.
Datatilsynet havde inden tilsynsbesøget noteret sig, at Ringkøbing-Skjern Kommunes fortegnelser generelt indeholdt en oplistning af de virksomheder, myndigheder mv., som personoplysninger er eller vil kunne blive videregivet til.
Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger, herunder om hvilke kategorier af registrerede, der vil kunne videregives til de modtagere, som kommunen havde anført i fortegnelserne. Adspurgt herom oplyste Ringkøbing-Skjern Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse dette.
Det er i den forbindelse Datatilsynets vurdering, at en fortegnelse – hvis der bliver eller vil blive videregivet personoplysninger – skal indeholde information om, hvilke kategorier af personoplysninger, der bliver eller vil blive videregivet til den pågældende modtager. I tilknytning hertil skal det også fremgå, hvilke kategorier af registrerede, de pågældende oplysninger vedrører. Datatilsynet har derfor opdateret vejledningen om fortegnelse, så udgaven fra august 2020 er i overensstemmelse hermed.
4. Tidsfrister for sletning af de forskellige kategorier af oplysninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra f, skal en fortegnelse, hvis det er muligt, omfatte de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger.
Forud for tilsynsbesøget havde Datatilsynet noteret sig, at der i Ringkøbing-Skjern Kommunes fortegnelser generelt var angivet konkrete slettefrister for de enkelte behandlingsområder. I enkelte fortegnelser blev der dog henvist til de anbefalede slettefrister i kommunernes emnesystematik, KLE.
Adspurgt om fortegnelsernes henvisninger til de anbefalede slettefrister i KLE, oplyste Ringkøbing-Skjern Kommune under tilsynsbesøget, at man hurtigt kan slå op i KLE under bestemte behandlingsaktiviteter og herefter se den anbefalede slettefrist.
Datatilsynet har ingen bemærkninger til, at Ringkøbing-Skjern Kommune i sine fortegnelser både har angivet konkrete slettefrister og henvist til de anbefalede slettefrister i KLE.
5. Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Efter databeskyttelsesforordningens artikel 30, stk. 1, litra g, skal en fortegnelse, hvis det er muligt, omfatte en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.
Datatilsynet havde forud for tilsynsbesøget noteret sig, at Ringkøbing-Skjern Kommune generelt har beskrevet de tekniske og organisatoriske sikkerhedsforanstaltninger, som kommunen har truffet i forbindelse med de pågældende behandlingsaktiviteter, direkte i fortegnelserne. I enkelte fortegnelser blev der imidlertid henvist til kommunens informationssikkerhedsregler eller interne retningslinjer i IT-sikkerhedshåndbogen.
Datatilsynet havde under tilsynsbesøget generelt ingen bemærkninger til, at Ringkøbing-Skjern Kommune i enkelte fortegnelser henviste til kommunens informationssikkerhedspolitik for så vidt angår en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.
Forud for tilsynsbesøget havde Datatilsynet endvidere noteret sig, at Ringkøbing-Skjern kommune i enkelte fortegnelser henviste til, at en given behandling sker i overensstemmelse med bestemte retsregler.
Datatilsynet oplyste i den forbindelse, at en henvisning til retsregler kun skal angives i under afsnittet om sikkerhedsforanstaltninger, hvis retsreglerne indeholder bestemmelser om tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til behandling af personoplysninger.
6. Konklusion
Efter tilsynet med Ringkøbing-Skjern Kommune finder Datatilsynet sammenfattende anledning til at konkludere, at hovedparten af Ringkøbing-Skjern Kommunes fortegnelser var udarbejdet på en god og hensigtsmæssig måde, idet fortegnelserne – efter tilsynets vurdering – generelt gav et godt overblik over kommunens behandlingsaktiviteter. Datatilsynet har dog noteret sig, at det i enkelte afsnit af Ringkøbing-Skjern Kommunes fortegnelser ville være gavnligt med en præcisering.
Kravet om at føre fortegnelser over behandlingsaktiviteter hænger – som nævnt ovenfor – i vidt omfang sammen med forordningens princip om ansvarlighed (”accountability”).
Ansvarligheden kommer til udtryk ved, at den dataansvarlige både skal efterleve forordningens regler og samtidig være i stand til at påvise, at dette rent faktisk er tilfældet. Det er dermed op til den dataansvarlige at have et overblik over de behandlingsaktiviteter, som denne foretager og for at kunne påvise over for f.eks. tilsynsmyndigheden, at de pågældende behandlingsaktiviteter er i overensstemmelse med forordningens regler.
Hver dataansvarlig (og databehandler) skal således samarbejde med tilsynsmyndigheden og efter anmodning herom stille fortegnelserne til rådighed for tilsynsmyndigheden, så disse kan bruges til at føre tilsyn med, om den dataansvarlige efterlever behandlingsbetingelserne i forordningen. Den røde tråd i forordningen om ansvarlighed udmøntes således bl.a. i kravet om fortegnelse over behandlingsaktiviteter i forordningens artikel 30.
På baggrund af erfaringerne med tilsynene med fortegnelser hos en række kommuner – herunder Ringkøbing-Skjern Kommune – har Datatilsynet derfor fundet anledning til at opdatere vejledningen om fortegnelser fra januar 2018[5].
Det skyldes bl.a., at de fortegnelser, som Datatilsynet har haft til gennemsyn, efter tilsynets vurdering ikke i tilstrækkelig grad kunne anvendes til de formål, som ligger bag fortegnelseskravet. I flere tilfælde kunne hverken kommunerne eller Datatilsynet danne sig et overblik over omfanget af behandlingsaktiviteterne ud fra fortegnelsernes indhold. Det var således også svært for tilsynet at påse, om de pågældende behandlingsaktiviteter var i overensstemmelse med forordningens regler.
Det er Datatilsynets vurdering, at en opdatering af vejledningen bidrager til, at fortegnelser udarbejdes på en måde, som sikrer, at fortegnelserne bliver konkret og praktisk anvendelige for både den dataansvarlige/databehandleren og for Datatilsynet.
Datatilsynet lægger således vægt på, at kravet om at udarbejde fortegnelser ikke blot må blive et formelt krav, og at fortegnelserne først får en reel indholdsmæssig værdig, når de udarbejdes på en måde, som skaber et reelt overblik over de pågældende behandlinger og danner et grundlæggende fundament for den dataansvarliges/databehandlerens generelle overholdelse af databeskyttelsesreglerne.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Jf. præambelbetragtning nr. 80
[4] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside
[5] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside.