Tilsyn med udarbejdelse af fortegnelser i Varde Kommune

Dato: 10-08-2020

Journalnummer: 2018-423-0018

Resume

Datatilsynet har i august 2020 afsluttet et planlagt tilsyn hos Varde Kommune. Tilsynet fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter, herunder særligt om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om at føre fortegnelser.

Efter tilsynet med Varde Kommune fandt Datatilsynet anledning til at konkludere, at visse afsnit af kommunens fortegnelser rejste nogle udfordringer i forhold til de bagvedliggende formål med at føre fortegnelser.

På baggrund af de samlede erfaringer fra de tre gennemførte tilsyn vedrørende udarbejdelse af fortegnelser har Datatilsynet fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018.

Du kan læse Datatilsynets vejledning om fortegnelse her.

Afgørelse

Varde Kommune var blandt de myndigheder, som Datatilsynet i efteråret 2018 havde valgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets planlagte tilsyn med Varde Kommune fokuserede på kommunens efterlevelse af kravet om at føre fortegnelser over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 30.

Efter anmodning fra Datatilsynet havde Varde Kommune – inden tilsynsbesøget – indsendt kommunens fortegnelser til tilsynet. Selve tilsynsbesøget fandt sted den 24. oktober 2018.

Databeskyttelsesforordningens krav om at føre fortegnelser over behandlingsaktiviteter hænger i vidt omfang sammen med forordningens princip om på ansvarlighed (”accountability”). Dette princip kræver både, at den dataansvarlige sikrer, at behandlingen af personoplysninger er i overensstemmelse med forordningen, og at den dataansvarlige er i stand til at påvise, at forordningen overholdes, jf. forordningens artikel 5, stk. 2, og artikel 24, stk. 1. Fortegnelsen skal udarbejdes for at kunne påvise overholdelsen af forordningen[3] og skal stilles til rådighed for Datatilsynet efter anmodning, så den kan bruges til at føre tilsyn, jf. artikel 30, stk. 4.

Et af Datatilsynets fokuspunkter for tilsynet med Varde Kommune var således, om kommunens fortegnelser kunne anvendes til de formål, som ligger til grund for kravet om, at der skal føres fortegnelser over behandlingsaktiviteter.

Efter tilsynet med Varde Kommune finder Datatilsynet sammenfattende anledning til at konkludere, at udarbejdelsen af visse afsnit af kommunens fortegnelser rejste nogle udfordringer i forhold til de bagvedliggende formål med at føre fortegnelser.

På baggrund af erfaringerne fra tilsynene vedrørende udarbejdelse af fortegnelser har Datatilsynet derfor fundet anledning til at opdatere vejledningen om fortegnelse fra januar 2018[4].

1. Fælles dataansvar

Datatilsynet havde forud for tilsynsbesøget noteret sig, at Varde Kommune generelt i kommunens fortegnelser havde anført navngivne medarbejdere, som værende fælles dataansvarlige med kommunen for behandlingen af personoplysninger. Adspurgt herom oplyste Varde Kommune, at kommunen havde anført navnene på lederne af de afdelinger/enheder, hvori oplysningerne bliver behandlet.

Datatilsynet orienterede på den baggrund Varde Kommune om, at en medarbejder, som har fået pålagt et internt ansvar for en behandling af personoplysninger, ikke anses for en fælles dataansvarlig efter reglerne i databeskyttelsesforordningen. Begrebet fælles dataansvarlig retter sig mod en anden/ekstern juridisk enhed, f.eks. en anden kommune, som Varde Kommune deler et dataansvar med. I de tilfælde, hvor der foreligger et fælles dataansvar, er det endvidere et krav efter databeskyttelsesforordningens artikel 26, at parterne på en gennemsigtig måde fastlægger deres respektive ansvar for overholdelse af forpligtelserne i forordningen.

Varde Kommune oplyste herefter, at kommunen ville ændre fortegnelserne, så det kommer til at fremgå mere klart, at der er tale om en intern ansvarsdeling og ikke et fælles dataansvar efter databeskyttelsesforordningens artikel 26.

2. Kategorier af registrerede og kategorier af personoplysninger

Efter databeskyttelsesforordningens artikel 30, stk. 1, litra c, skal en fortegnelse indeholde en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger.

2.1. Kategorier af registrerede

Datatilsynet havde forud for tilsynsbesøget noteret sig, at Varde Kommunes fortegnelser generelt indeholdt en oplistning af de kategorier af registrerede, som kommunen behandler oplysninger om.

I enkelte fortegnelser var eksempelvis angivet ”familiemedlemmer” som kategorier af registrerede. Under tilsynsbesøget spurgte Datatilsynet nærmere ind til, hvad enkelte af de angivne kategorier dækkede over.

Det var herefter Datatilsynets opfattelse, at de tilstedeværende ikke med sikkerhed kunne oplyse dette, men at de alene kunne komme med et kvalificeret gæt på, hvad de oplistede kategorier dækkede over. Varde Kommune henviste imidlertid til, at kommunens medarbejdere på de enkelte områder ville kunne forklare præcist, hvad de angivne kategorier af registrerede dækkede over.

Datatilsynet tilkendegav derfor under tilsynsbesøget, at Varde Kommune med fordel kan præcisere flere af de angivne kategorier af registrerede med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.

2.2. Kategorier af personoplysninger

Datatilsynet havde forud for tilsynsbesøget noteret sig, at Varde Kommunes fortegnelser generelt indeholder felter, hvori kommunen kunne afkrydse, om der behandles henholdsvis artikel 6 oplysninger, artikel 9 oplysninger og artikel 10 oplysninger i forbindelse med den konkrete behandlingsaktivitet.

På tilsynsbesøget kunne Datatilsynet imidlertid konstatere, at hverken de tilstedeværende eller tilsynet ud fra fortegnelserne kunne se, hvilke specifikke artikel 6-oplysninger, artikel 9-oplysninger eller artikel 10-oplysninger, som kommunen behandler i forbindelse med de pågældende behandlingsaktiviteter. Adspurgt herom oplyste Varde Kommune dog, at kommunens medarbejdere på de enkelte områder, som fortegnelserne vedrører, ville kunne specificere kategorierne af oplysninger.

Datatilsynet henviste i den forbindelse til tilsynets (nu tidligere) vejledning om fortegnelse fra januar 2018, hvoraf det fremgår, at den dataansvarlige skal kunne specificere, hvilke nærmere typer af artikel 9-oplysninger der behandles.

Under tilsynsbesøget blev det derfor drøftet, at Varde Kommune – efter Datatilsynets opfattelse – med fordel kan udarbejde sine fortegnelser på en sådan måde, at alle kategorierne af personoplysninger specificeres nærmere, herunder med henblik på at sikre, at det ikke kun er kommunens medarbejdere på de enkelte områder, der kan oplyse nærmere om kategorierne.

3. Kobling mellem kategorier af registrerede og kategorier af oplysninger

Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger Varde Kommune behandler om de enkelte kategorier af registrerede. Datatilsynet kunne eksempelvis ikke udlede af fortegnelserne, om kommunen behandler artikel 9 oplysninger om samtlige af de kategorier af registrerede, som var anført i de enkelte fortegnelser, eller om det kun var tilfældet for nogle af de angivne kategorier af registrerede.

Adspurgt herom oplyste Varde Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse, hvilke kategorier af personoplysninger kommunen behandler om de enkelte kategorier af registrerede, og at dette i bedste fald ville være kvalificerede gæt.

Datatilsynet tilkendegav på den baggrund under tilsynsbesøget, at det henset til formålene med fortegnelseskravet er tilsynets vurdering, at en fortegnelse over behandlingsaktiviteter skal indeholde en tydelig kobling mellem, hvilke kategorier af personoplysninger, der behandles om de enkelte kategorier af registrerede. Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 er i overensstemmelse hermed.

4. Kategorier af modtagere, som oplysningerne er eller vil blive videregivet til

Efter databeskyttelsesforordningens artikel 30, stk. 1, litra d, skal en fortegnelse omfatte oplysninger om de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.

Datatilsynet havde inden tilsynsbesøget noteret sig, at Varde Kommunes fortegnelser generelt indeholdt en oplistning af de virksomheder, myndigheder mv., som personoplysninger er eller vil kunne blive videregivet til. Kommunen havde herudover angivet databehandlere, som en kategori af modtagere, som personoplysninger er eller vil kunne blive videregivet til

Datatilsynet oplyste under tilsynsbesøget, at det – efter Datatilsynets opfattelse ‒ vigtigt at skelne mellem, hvornår oplysninger overlades til databehandlere, og hvornår oplysninger videregivelse til andre selvstændigt dataansvarlige, idet der er tale om forskellige former for udveksling af personoplysninger, som er forbundet med forskellige krav.   

Efter en gennemgang af de indsendte fortegnelser stod det ikke Datatilsynet klart, hvilke kategorier af personoplysninger, herunder om hvilke kategorier af registrerede, der vil kunne videregives til de modtagere, som kommunen havde anført i fortegnelsen. Adspurgt herom oplyste Varde Kommune, at de tilstedeværende personer ikke ud fra fortegnelserne ville kunne oplyse dette.

Det er i den forbindelse Datatilsynets vurdering, at en fortegnelse – hvis der bliver eller vil blive videregivet personoplysninger –  skal indeholde information om, hvilke kategorier af personoplysninger, der bliver eller vil blive videregivet til den pågældende modtager. I tilknytning hertil skal det også fremgå, hvilke kategorier af registrerede, de pågældende oplysninger vedrører. Datatilsynet har derfor opdateret vejledningen om fortegnelse, så udgaven fra august 2020 er i overensstemmelse hermed.

5. Tidsfrister for sletning af de forskellige kategorier af oplysninger

Efter databeskyttelsesforordningens artikel 30, stk. 1, litra f, skal en fortegnelse, hvis det er muligt, omfatte de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger.

Forud for tilsynsbesøget havde Datatilsynet noteret sig, at der i Varde Kommunes fortegnelser var angivet en henvisning til de anbefalede slettefrister i kommunernes emnesystematik, KLE.

Adspurgt om fortegnelsernes henvisninger til de anbefalede slettefrister i KLE, demonstrerede Varde Kommune under tilsynsbesøget, hvordan man hurtigt kan slå op i KLE under bestemte behandlingsaktiviteter og herefter se den anbefalede slettefrist.

Datatilsynet tilkendegav under tilsynsbesøget, at det efters tilsynets vurdering var tilstrækkeligt, at kommunen havde angivet en henvisning til de anbefalede slettefrister i KLE.

6. Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

Efter databeskyttelsesforordningens artikel 30, stk. 1, litra g, skal en fortegnelse, hvis det er muligt, omfatte en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.

Datatilsynet havde forud for tilsynsbesøget noteret sig, at Varde Kommune i fortegnelserne generelt henviste til kommunens informationssikkerhedspolitik.

Datatilsynet havde under tilsynsbesøget generelt ingen bemærkninger til, at Varde Kommune i fortegnelserne henviste til kommunens informationssikkerhedspolitik for så vidt angår en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger. Datatilsynet oplyste dog, at kommunen med fordel kan angive det i fortegnelsen, hvis der gennemføres særlige foranstaltninger – ud over de generelle sikkerhedsforanstaltninger – f.eks. i forhold til sikkerheden i Borgerservicecentre, på kommunale biblioteker eller i forbindelse med behandling af personoplysninger via tv-overvågning m.v.

Forud for tilsynsbesøget havde Datatilsynet endvidere noteret sig, at Varde kommune i flere fortegnelser havde anført ”indhentelse af børneattest” som en teknisk eller organisatorisk sikkerhedsforanstaltning. Datatilsynet oplyste under tilsynsbesøget, at ”indhentelse af børneattester – efter tilsynets opfattelse – ikke udgør en sikkerhedsforanstaltning efter databeskyttelsesforordningens artikel 32, stk. 1 idet indhentelsen af en sådan attest har et andet formål end beskyttelse af personoplysninger.

7. Tv-overvågning som behandlingsaktivitet

Datatilsynet havde forud for tilsynsbesøget noteret sig, at det ikke fremgik af Varde Kommunes fortegnelser, om kommunen behandler personoplysninger i forbindelse med tv-overvågning.

Adspurgt herom oplyste Varde Kommune, at der foretages tv-overvågning i kommunens borgerservicecenter.

Datatilsynet påpegede, at denne behandling bør fremgå af fortegnelsen for borgerserviceområdet. Herudover påpegede tilsynet, at hvis tv-overvågningen er opsat med henblik på kriminalitetsforebyggelse, bør kommunen også være opmærksom på, at der potentielt behandles oplysninger om strafbare forhold, og at dette bør angives i fortegnelsen.

8. Konklusion

Datatilsynet har generelt noteret sig, at der var flere afsnit i Varde Kommunes fortegnelser, hvor hverken de tilstedeværende fra kommunen eller Datatilsynet var i stand til at gennemskue behandlingsaktiviteterne alene ud fra fortegnelserne. Selvom Varde Kommune oplyste, at kommunens medarbejdere på de områder, som fortegnelserne vedrører, ville kunne uddybe fortegnelsernes indhold, er det Datatilsynets opfattelse, at fortegnelserne bør udarbejdes på en sådan måde, at den efterspurgte information klart kan udledes direkte af fortegnelserne.

Datatilsynet kan dog også konkludere, at udarbejdelsen af visse afsnit af Varde Kommunes fortegnelser – herunder fortegnelsernes afsnit vedrørende slettefrister og tekniske- og organisatoriske sikkerhedsforanstaltninger – giver et fint overblik for både kommunen og Datatilsynet. 

Kravet om at føre fortegnelser over behandlingsaktiviteter hænger – som nævnt ovenfor – i vidt omfang sammen med forordningens princip om ansvarlighed (”accountability”).

Ansvarligheden kommer til udtryk ved, at den dataansvarlige både skal efterleve forordningens regler og samtidig være i stand til at påvise, at dette rent faktisk er tilfældet. Det er dermed op til den dataansvarlige at have et overblik over de behandlingsaktiviteter, som denne foretager og for at kunne påvise over for f.eks. tilsynsmyndigheden, at de pågældende behandlingsaktiviteter er i overensstemmelse med forordningens regler.

Hver dataansvarlig (og databehandler) skal således samarbejde med tilsynsmyndigheden og efter anmodning herom stille fortegnelserne til rådighed for tilsynsmyndigheden, så disse kan bruges til at føre tilsyn med, om den dataansvarlige efterlever behandlingsbetingelserne i forordningen. Den røde tråd i forordningen om ansvarlighed udmøntes således bl.a. i kravet om fortegnelse over behandlingsaktiviteter i forordningens artikel 30.

På baggrund af erfaringerne med tilsynene med fortegnelser hos en række kommuner – herunder Varde Kommune – har Datatilsynet derfor fundet anledning til at opdatere vejledningen om fortegnelser fra januar 2018[5].

Det skyldes bl.a., at de fortegnelser, som Datatilsynet har haft til gennemsyn i forbindelse med tilsynene, efter tilsynets vurdering ikke i tilstrækkelig grad kunne anvendes til de formål, som ligger bag fortegnelseskravet. I flere tilfælde kunne hverken kommunerne eller Datatilsynet danne sig et overblik over omfanget af behandlingsaktiviteterne ud fra fortegnelsernes indhold. Det var således også svært for tilsynet at påse, om de pågældende behandlingsaktiviteter var i overensstemmelse med forordningens regler.

Det er Datatilsynets vurdering, at en opdatering af vejledningen bidrager til, at fortegnelser udarbejdes på en måde, som sikrer, at fortegnelserne bliver konkret og praktisk anvendelige for både den dataansvarlige/databehandleren og for Datatilsynet.  

Datatilsynet lægger således vægt på, at kravet om at udarbejde fortegnelser ikke blot må blive et formelt krav, og at fortegnelserne først får en reel indholdsmæssig værdig, når de udarbejdes på en måde, som skaber et reelt overblik over de pågældende behandlinger og danner et grundlæggende fundament for den dataansvarliges/databehandlerens generelle overholdelse af databeskyttelsesreglerne.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse

med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Jf. præambelbetragtning nr. 80

[4] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside.

[5] Datatilsynets opdaterede vejledning om fortegnelse fra august 2020 kan findes på tilsynets hjemmeside.