Digitaliseringsstyrelsen behandler for mange personoplysninger i sin administration af det digitale kørekort

Dato: 08-11-2023
Afgørelse Offentlige myndigheder Alvorlig kritik Tilsyn / egendriftssag Behandlet af Datarådet Grundlæggende principper

Ca. 1,7 mio. borgere har tilsluttet sig Digitaliseringsstyrelsens digitale kørekort. Men for at tilbyde det elektroniske kørekort opbevarer Digitaliseringsstyrelsen personoplysninger om alle borgere, der har et gyldigt dansk kørekort – næsten 4 mio. Datatilsynet slår nu fast, at Digitaliseringsstyrelsen behandler personoplysninger om alt for mange borgere.

Journalnummer: 2022-432-0099.

Resumé

Digitaliseringsstyrelsen tilbyder en kørekort-app, så man kan få en elektronisk version af sit kørekort på sin telefon – som et frivilligt supplement til det fysiske kørekort.

Oplysningerne om kørekortindehaverne kommer fra kørekortregisteret, og Digitaliseringsstyrelsen modtager og opbevarer kørekortoplysninger om alle, der har et gyldigt dansk kørekort.

I strid med princippet om dataminimering

Datatilsynet har undersøgt, om Digitaliseringsstyrelsen overholder princippet om dataminimering, som er fastsat i databeskyttelsesforordningen (GDPR). Dataminimering handler grundlæggende om, at man som dataansvarlig ikke må behandle personoplysninger, man ikke har brug for. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund.

Efter at sagen har været forelagt Datarådet, konkluderer Datatilsynet nu, at det er i strid med dataminimeringsprincippet, når Digitaliseringsstyrelsen behandler personoplysninger om over 2 mio. borgere, som ikke har tilsluttet sig det digitale kørekort. Datatilsynets afgørelse indebærer alvorlig kritik af Digitaliseringsstyrelsen og et forbud mod at behandle oplysninger om borgere, som ikke har tilmeldt sig ordningen.

Det betyder ikke, at det digitale kørekort skal lukke, men at Digitaliseringsstyrelsen fremover kun må behandle personoplysninger om de borgere, som faktisk har tilmeldt sig.

Digitaliseringsstyrelsen behandler alt for mange personoplysninger

Formålet med, at Digitaliseringsstyrelsen opbevarer en kopi af oplysningerne fra kørekortregisteret, er at kunne tilbyde et digitalt kørekort. Men ud af de ca. 4 mio. borgere, der har gyldigt kørekort, er det kun ca. 1,7 mio., som har tilmeldt sig ordningen og bruger kørekort-appen.

Dataminimeringsprincippet er et helt grundlæggende princip, som bl.a. skal modvirke, at borgernes personoplysninger unødvendigt ophobes. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund. Og det er uanset oplysningernes karakter, og også, selv om der bliver passet på oplysningerne.

”Der er ca. 2,2 mio. borgere, som har kørekort, men som ikke har ønsket kørekort-appen. Alligevel opbevarer Digitaliseringsstyrelsen deres personoplysninger, selvom det ikke er nødvendigt for at drive appen. Det er i strid med reglerne, og derfor har Datatilsynet nu udtalt alvorlig kritik af styrelsen. Vores afgørelse indebærer også, at Digitaliseringsstyrelsen fremover kun må behandle oplysninger om de borgere, som faktisk har valgt at bruge det digitale kørekort,” udtaler chefkonsulent i Datatilsynet, Morten Gjermundbo.

Besvær er ingen undskyldning

Digitaliseringsstyrelsen har oplyst, at fordi kørekortregisteret er et ældre mainframe-system, har der ikke været andre muligheder, end at Digitaliseringsstyrelsen modtager et udtræk af kørekortregisteret for de borgere, der har et gyldigt kørekort. Digitaliseringsstyrelsen har nemlig oplyst, at man f.eks. ikke kan tilbyde hurtig tilmelding for nye brugere af kørekort-appen, hvis ikke kørekortoplysningerne er tilgængelige.

”Vi anerkender, at det nu kan blive tungere for Digitaliseringsstyrelsen at administrere det digitale kørekort. Men vi må holde fast i, at der her er tale om helt grundlæggende principper i en sag, hvor der er tale om unødvendig behandling af personoplysninger om over 2 mio. borgere, som ikke har tilmeldt sig kørekort-appen. Det er en ret alvorlig sag,” udtaler Morten Gjermundbo.

Digitaliseringsstyrelsen må fremover kun behandle personoplysninger om de borgere, som faktisk har tilsluttet sig ordningen med det digitale kørekort. Digitaliseringsstyrelsen kan med andre ord fortsat tilbyde det digitale kørekort og i den forbindelse behandle personoplysninger om de borgere, som har tilsluttet sig ordningen.

Digitaliseringsstyrelsen har fået en frist på 4 uger til at efterkomme Datatilsynets afgørelse.

1. Indledende bemærkninger

1.1.  Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 7. september 2022 indledte en undersøgelse af egen drift af Digitaliseringsstyrelsens behandling af personoplysninger ved administration og drift af Kørekort-appen.

I forbindelse med sagens behandling har Datatilsynet anmodet Digitaliseringsstyrelsen om udtalelser om en række forskellige forhold vedrørende Kørekort-appen, herunder om behandlingsgrundlag, databeskyttelse gennem design og standardindstillinger samt om dataminimering.

Digitaliseringsstyrelsen har i en række udtalelser besvaret Datatilsynets breve, og styrelsen har grundlæggende anført, at der er hjemmel i databeskyttelsesforordningen og databeskyttelsesloven til den behandling af personoplysninger, som ordningen med det digitale kørekort indebærer, og at ordningen efter styrelsens opfattelse er i overensstemmelse med dataminimeringsprincippet.

1.2. Datatilsynet har nu færdigbehandlet sagen. I den forbindelse har sagen været forelagt Datarådet.

Datatilsynet har ved færdigbehandlingen af sagen valgt særligt at koncentrere sig om spørgsmålet om, hvorvidt Digitaliseringsstyrelsens behandling af personoplysninger i forbindelse med administration og drift af Kørekort-appen er i overensstemmelse med dataminimeringsprincippet i databeskyttelsesforordningens[1] artikel 5, stk. 1, litra c.

2. Afgørelse

2.1. Det er samlet set Datatilsynets opfattelse, at Digitaliseringsstyrelsens behandling af personoplysninger i forbindelse med administrationen og driften af Kørekort-appen, hvorved et udtræk af oplysninger om alle indehavere af et gyldigt dansk kørekort i kørekortregisteret opbevares og behandles, ikke er i overensstemmelse med dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet udtaler på den baggrund i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra b, alvorlig kritik af Digitaliseringsstyrelsen.

2.2. Endvidere meddeler Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f, forbud til Digitaliseringsstyrelsen mod at opbevare og på anden vis behandle personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort.

Forbuddet gælder alene for Digitaliseringsstyrelsens behandling af personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort, og forbuddet gælder således ikke for behandling af personoplysninger om de registrerede, som har tilsluttet sig ordningen.

Afgørelsen om forbud mod opbevaring og anden behandling af personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort, indebærer, at Digitaliseringsstyrelsen inden 4 uger fra dags dato skal ophøre med den nævnte behandling. Digitaliseringsstyrelsen bedes – inden for samme frist – underrette Datatilsynet om, hvad styrelsen har foretaget sig i lyset af denne afgørelse.

Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 4, er strafbart at undlade at efterkomme en begrænsning af behandling meddelt af Datatilsynet i medfør af forordningens artikel 58, stk. 2, litra f. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

Datatilsynet skal bemærke, at forbuddet mod at opbevare og på anden vis behandle personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort, ikke indebærer, at ordningen med det digitale kørekort ikke kan opretholdes over for de registrerede, som aktivt har tilsluttet sig den. Ordningens grundlæggende funktioner vil således kunne videreføres.

Den fortsatte drift vil konkret kunne ske ved, at Digitaliseringsstyrelsen f.eks. tilpasser de servicesnit og databaseudtræk, som styrelsen allerede anvender, på en sådan måde, at der ikke behandles oplysninger om personer, som ikke aktivt har tilsluttet sig ordningen. Datatilsynet henviser særligt til muligheden for at skabe en database med de aktuelle brugere af Kørekort-appen og fremover vedligeholde denne ved såkaldte deltakørsler for af- og tilmeldinger i appen.

Sådanne tekniske justeringer i det digitale kørekort vil kunne sikre, at behandlingen af oplysninger om personer, som ikke aktivt har tilsluttet sig ordningen, ophører, uden at det væsentligt vil påvirke funktionaliteten af det digitale kørekort for de personer, som aktivt har tilsluttet sig ordningen.

Der henvises nærmere til pkt. 6 nedenfor.

2.3. Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

3.1. På baggrund af en klage fra en borger vedrørende Digitaliseringsstyrelsens behandling af hans personoplysninger i styrelsens løsning med det digitale kørekort indledte Datatilsynet den 7. september 2022 en nærmere undersøgelse af egen drift af Digitaliseringsstyrelsens administration og drift af det digitale kørekort. Datatilsynet bad i den forbindelse Digitaliseringsstyrelsen om at redegøre for bl.a., hvilke personoplysninger styrelsen behandler som led i sin administration og drift af Kørekort-appen, hvilke nærmere behandlinger der finder sted, til hvilke formål og med hvilken hjemmel i databeskyttelsesforordningen og databeskyttelsesloven den pågældende behandling sker, ligesom Datatilsynet bad Digitaliseringsstyrelsen om at redegøre for rollefordelingen  mellem Digitaliseringsstyrelsen, Rigspolitiet  samt eventuelle andre myndigheder for så vidt angår behandlingen af personoplysninger til brug for Kørekort-appen. Endelig bad Datatilsynet Digitaliseringsstyrelsen om at oplyse, om behandlingen er i overensstemmelse med kravet om ”dataminimering” i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Digitaliseringsstyrelsen svarede ved brev af 26. september 2022 på Datatilsynets spørgsmål. I relation til spørgsmålet om dataminimering oplyste Digitaliseringsstyrelsen overordnet, at styrelsen vurderede, at behandlingen af personoplysninger var i overensstemmelse med kravet om dataminimering.

Ved brev af 7. oktober 2022 til Digitaliseringsstyrelsen bad Datatilsynet om, at styrelsen yderligere redegjorde for bl.a., hvorfor behandlingen af nogle nærmere bestemte typer personoplysninger ansås for nødvendig og dermed for at være i overensstemmelse med princippet om dataminimering.

Digitaliseringsstyrelsen svarede på Datatilsynets anmodning ved breve af 30. november og 19. december 2022.

På Datatilsynets foranledning blev der efterfølgende, den 17. maj 2023, afholdt et møde mellem Digitaliseringsstyrelsen og Datatilsynet, hvor styrelsen fik lejlighed til at besvare en række yderligere spørgsmål fra tilsynet, herunder om dataminimering.

I forlængelse af mødet bad Datatilsynet den 12. juni 2023 Digitaliseringsstyrelsen om skriftligt at redegøre for bl.a. de behov for tilgængelighed, som Digitaliseringsstyrelsen havde henvist til, ligesom tilsynet bad styrelsen om nærmere at uddybe visse yderligere forhold vedrørende dataminimeringsprincippet.

Digitaliseringsstyrelsen besvarede Datatilsynets supplerende spørgsmål ved brev af 30. juni 2023.

Digitaliseringsstyrelsens svar til Datatilsynet er nærmere gennemgået nedenfor, under pkt. 3.2 – 3.6.

3.2. Digitaliseringsstyrelsen har i sine svar til Datatilsynet oplyst følgende om baggrunden for oprettelsen af det digitale kørekort:

”Regeringens økonomiudvalg besluttede i 2018, at man ville gå i gang med at udvikle en digital kørekort-app. I forbindelse med etablering og implementering af det digitale kørekort fremgår det, at myndighedsopgaven forankres i Digitaliseringsstyrelsen med henblik på at sikre sammenhæng i etableringen af digitale id-beviser på tværs af den offentlige sektor. Det fremgår heraf, at:

»Digitaliseringsstyrelsen vil få ansvaret for appen, herunder at appen overholder reglerne på området samt ansvaret for behandlingen af data fra kørekortregisteret«.

Digitaliseringsstyrelsen blev i forbindelse med sammenhængsreformen (se regeringens »digital service i verdensklasse« Digital service i verdensklasse, oktober 2018 (fm.dk) ) pålagt at udføre denne myndighedsopgave med at udvikle det digitale kørekort og derved udføre en opgave i samfundets interesse, som har almen interesse og er af betydning for en bredere kreds af personer i Danmark. På finansloven for 2019 er det nævnt på side 47, at man tildeler 1,5 mio. kr. til initiativ om digitalt kørekort og digitalisering af administrationsprojekt om kørekortområdet – PUBL (fm.dk) […]”

Kørekort-appen blev lanceret den 24. november 2020.

Digitaliseringsstyrelsen har oplyst, at da Kørekort-appen blev lanceret, fik appen hurtigt mange brugere, og at antallet af brugere derfor steg meget markant i den første tid. Tilslutningen til Kørekort-appen er ifølge Digitaliseringsstyrelsen stadig stigende, men stigningen er nu mere moderat og drives primært af det forhold, at unge mennesker, der erhverver kørekort, løbende tilslutter sig.

Digitaliseringsstyrelsen har endvidere oplyst, at styrelsen som led i administrationen af det digitale kørekort behandler oplysninger om ca. 3,96 mio. borgere, at ca. 1,7 mio. heraf bruger Kørekort-appen, og at den resterende gruppe ikke har tilsluttet sig ordningen.

Rigspolitiet og Digitaliseringsstyrelsen har indgået en aftale om fælles dataansvar for behandlingen af de personoplysninger fra kørekortregisteret, som leveres til Digitaliseringsstyrelsen til brug for Kørekort-appen. Det fremgår af aftalen, at Digitaliseringsstyrelsen er ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med det digitale kørekort, herunder ansvarlig for korrekt indsamling og registrering af oplysninger.

3.3. Digitaliseringsstyrelsen har oplyst, at de data, som styrelsen udstiller i Kørekort-appen, stammer fra kørekortregisteret og er stillet til rådighed for styrelsen af Rigspolitiet. Digitaliseringsstyrelsen opbevarer således et udtræk af kørekortoplysninger for alle gyldige danske kørekort fra kørekortregisteret, hvilket ifølge Digitaliseringsstyrelsen udgør ca. 3,96 mio. kørekort. Digitaliseringsstyrelsen har som nævnt oplyst, at der er ca. 1,7 mio. personer, der bruger Kørekort-appen.

Digitaliseringsstyrelsen har oplyst, at styrelsen modtager følgende oplysninger fra kørekortregisteret om alle indehavere af et gyldigt dansk kørekort:

  • Ikke-følsomme personoplysninger:
    • Navn
    • Fødselsdato
    • Fødested
    • Nationalitet
    • Kørekortnummer
    • Pasnummer
    • Pasfoto
  • Fortrolige personoplysninger:
    • CPR-nummer
  • Følsomme personoplysninger:
    • Helbredsoplysninger, f.eks. oplysning om briller og proteser (i det omfang sådanne oplysninger fremgår af det aktuelle kørekort)
  • Oplysninger om strafbare forhold:
    • Oplysning om, at indehaveren af kørekortet skal køre med alko-lås for at måtte føre køretøjet eller ikke må drikke alkohol (i det omfang sådanne oplysninger fremgår af det aktuelle kørekort)

Herudover har Digitaliseringsstyrelsen oplyst, at behandlingen også omfatter sårbare grupper, da der behandles oplysninger om 17-årige, som har opnået kørekort efter ”17-års-ordningen”, og om 15-årige, som har kørekort til lille knallert og/eller traktor.

3.4. Digitaliseringsstyrelsen har oplyst, at styrelsen modtager et månedligt udtræk fra kørekortregisteret. Derudover modtager Digitaliseringsstyrelsen dagligt et udtræk af ændringer (et ”delta-udtræk”) for borgere med førerret. Delta-udtrækket indeholder alle nye og slettede eller ændrede kørekort siden sidste udtræk. Digitaliseringsstyrelsen har forklaret, at det månedlige udtræk modtages for at sikre mod synkroniseringsfejl.

Ifølge Digitaliseringsstyrelsen er den nævnte fremgangsmåde den eneste mulige, når bl.a. visse drifts- og performancekrav skal overholdes, og derfor er nødvendig for at kunne stille det digitale kørekort til rådighed for borgerne opdateret med den nyeste information.

For at kunne tilbyde det digitale kørekort er det således ifølge Digitaliseringsstyrelsen nødvendigt, at Kørekort-appen har adgang til kørekortindehavernes (opdaterede og korrekte) køre-kortoplysninger, hvilket ifølge styrelsen kræver, at Kørekort-appen kan lave opslag i oplysninger fra kørekortregisteret. Det er ifølge Digitaliseringsstyrelsen på nuværende tidspunkt ikke muligt at lave en teknisk løsning, hvor styrelsen kan lave opslag direkte i kørekortregisteret, og hvor Digitaliseringsstyrelsen således ikke selv opbevarer et udtræk af registeret. Digitaliseringsstyrelsen har oplyst, at styrelsen derfor finder sig nødsaget til at opbevare kørekortoplysninger for alle borgere med et gyldigt dansk kørekort.

3.5. Digitaliseringsstyrelsen har oplyst følgende om dataminimeringsprincippet:

”Digitaliseringsstyrelsen vurderer, at behandlingen af oplysningerne er i overensstemmelse med kravet om »dataminimering« i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Der behandles kun de oplysninger, der er nødvendige ift. den pågældende behandling. Digitaliseringsstyrelsen behandler oplysninger på alle borgere, der har et gyldigt kørekort, da det på nuværende tidspunkt ikke er teknisk muligt at lave en direkte tilkobling til kørekortregisteret, hvorfor Digitaliseringsstyrelsen er nødt til at opbevare et komplet udtræk af Kørekortregisteret.

Der er ikke implementeret en opslagsservice op mod Rigspolitiets kørekortregister, idet kørekortregisteret er et mainframe-baseret system, der ikke kan garantere det behov for tilgængelighed, kørekort-appens brugere har brug for. Færdselsstyrelsen er i gang med at opstarte et projekt med udvikling af et nyt Kørekortregister. Digitaliseringsstyrelsen har afleveret kørekort-appens behov til udviklingsprojektet, således at der i et fremtidigt register vil kunne slås op efter behov – uden at lave større udtræk.”

I sin konsekvensanalyse fra november 2020 har Digitaliseringsstyrelsen angivet følgende:

”Andre risici i løsningen er, at DIGST er nødt til at opbevare et udtræk af Rigspolitiets [Færdselsstyrelsens] kørekortregister på alle borgere, der har et gyldigt kørekort. Der behandles således oplysninger om flere borgere end hvad der er nødvendigt i forhold til Digitalt kørekort. Dette skyldes, at det ikke på nuværende tidspunkt er teknisk muligt, at lave et direkte opslag i Rigspolitiets register, hvorfor DIGST er nødsaget til, at opbevare et udtræk af kørekortregisteret på alle borgere, der har et gyldigt kørekort. Da det ikke er teknisk muligt, at tilbyde digitalt kørekort med færre oplysninger, er det DIGSTs vurdering, at styrelsen har hjemmel i databeskyttelsesforordningens art. 6, stk. 1, litra e, til også at behandle personoplysninger på borgere, der ikke har et Digitalt kørekort.”

Digitaliseringsstyrelsen har i sit høringssvar af 3. juli 2023 til Datatilsynet om det netop citerede afsnit oplyst, at ”konsekvensanalysen fra 2020 (…) ikke er korrekt i forhold til den nævnte passage.” Digitaliseringsstyrelsen har i stedet henvist til følgende afsnit i styrelsens nye konsekvensanalyse fra maj 2023:

”Der behandles alene de oplysninger, der er nødvendige i forhold til behandlingens formål. Digitaliseringsstyrelsen behandler alene et udtræk af de nødvendige oplysninger fra kørekortregisteret. Dette udtræk medtager alle borgere med gyldigt kørekort til motorkøretøj, da det på nuværende tidspunkt ikke er teknisk muligt at lave en opslags-service der slår de enkelte brugeres oplysninger i kørekortregisteret op, når brugeren vil indrullere i appen.”

Endvidere har Digitaliseringsstyrelsen i konsekvensanalysen fra 2023 anført følgende om, hvorfor det ikke er teknisk muligt at lave en opslagsservice, der slår de enkelte brugeres oplysninger i kørekortregisteret op, når Kørekort-appen skal tilgå kørekortoplysninger:

”Årsagen (…) er, at kørekortregisteret er et mainframe-baseret system der ikke kan garantere det behov for tilgængelighed, som kørekort-appens brugere har brug for. En enkeltopslagsservice op mod det nuværende kørekortregister ville resultere i at brugere ville opleve ikke at kunne indrullere i appen. Færdselsstyrelsen er i gang med et projekt med udvikling af et nyt kørekortregister, der vil kunne levere den fornødne tilgængelighed. Når det nye kørekortregister er taget i brug, så vil Digitaliseringsstyrelsen kunne undgå at opbevare et udtræk af alle borgere med et kørekort.

Personoplysninger fra udtrækket er krypteret med stærk kryptering på individniveau i databaserne. Digitaliseringsstyrelsen anvender alene data fra udtrækket vedrørende de brugere, som indrullerer i appen. Det vil sige, der ikke dekrypteres og anvendes personoplysninger på brugere der ikke anvender appen.

Digitaliseringsstyrelsen vurderer, at behandlingen af oplysningerne er i overensstemmelse med kravet om »dataminimering« i databeskyttelsesforordningens artikel 5, stk. 1, litra c.”

Grunden til, at Digitaliseringsstyrelsen udarbejdede en ny konsekvensanalyse i 2023 til trods for, at der allerede var udarbejdet en sådan analyse i 2020, er, at styrelsen oprindeligt havde været af den opfattelse, at der alene blev behandlet almindelige personoplysninger i forbindelse med Kørekort-appen. I maj 2022 blev Digitaliseringsstyrelsen bekendt med, at der også bliver behandlet følsomme oplysninger og oplysninger om strafbare forhold, hvilket nødvendiggjorde en ny konsekvensanalyse.

For så vidt angår overvejelser om andre tekniske løsninger har Digitaliseringsstyrelsen oplyst følgende:

”I samarbejde med Rigspolitiet blev der overvejet følgende tekniske løsninger:

  • En direkte integration til det nuværende kørekortregister
  • En webservice-integration til det nuværende kørekortregister
  • Den nuværende tekniske løsning med et udtræk af de nødvendige køre-kortoplysninger fra kørekortregisteret.

Løsning 1 var ikke en teknisk mulighed, da det ville kræve et uforholdsmæssigt stort pres på Kørekortregisteret, som er etableret på et ældre mainframe system.

Løsning 2 blev overvejet, men i dialog med Rigspolitiet og Rigspolitiets leverandør […], blev løsningen vurderet uholdbar. Dette skyldes en række faktorer:

  1. Rigspolitiets systemer er som udgangspunkt ikke direkte borgervendte. Ved lancering af Kørekort-appen ville den indledende belastning på en evt. webservice hos Rigspolitiet langt overstige deres kapacitet og potentielt påvirke Rigspolitiets interne systemer.
  2. Hver gang en borger åbner sin kørekort-app foretages en række kald mod back-end, hvori kørekortets status og gyldighed determineres. Afhængig af hvordan webservicen kunne bygges, ville den som minimum skulle håndtere mellem 50.000 til 150.000 kald i døgnet, svarende til den gennemsnitlige daglige belastning. På daværende tidspunkt var Rigspolitiet ikke interesseret i denne løsning, da den med overvejende sandsynlighed ville belaste deres kørende systemer. I forlængelse heraf ville oppetiden af webservicen ikke kunne garanteres, hvorved der kunne opstå situationer, hvor opdateringer til borgers kørekort (fx ved frakendelse) ikke gik igennem til borgerens kørekort-app.
  3. Risikoen for at et denial-of-service-angreb på webservicen via Kørekort-appen ville potentielt kunne påvirke Rigspolitiets andre systemer.

Da løsning 1 og 2 ikke kunne indfri de fornødne krav til tilgængelighed og ikke imødekom Rigspolitiets bekymringer, blev løsning 3 implementeret.

Overordnet er der truffet en lang række tiltag til dataminimering og databeskyttelse gennem design og standardindstillinger. Disse fremgår af tidligere fremsendt konsekvensanalyse for appen, jf. »Konsekvensanalyse vedrørende databeskyttelse Digitalt Kørekort« af maj 2023 side 42 og svar af 15. maj 2023 side 3 ff.”

I forhold til spørgsmålet om Kørekort-appens tilgængelighedsbehov har Digitaliseringsstyrelsen oplyst, at der ved brug af Kørekort-appen skelnes mellem 3 forskellige tilgængelighedsbehov:

"1) Tilgængelighedsbehov ved oprettelse i appen (indrullering)

Som et større slutbrugervendt produkt for den danske befolkning har tilgængelighed af indrullering til løsningen almen kritisk forretningsværdi. Hvis der sker gentagne eller længevarende nedbrud af løsningen, som bevirker at borgere ikke kan oprette sit digitale kørekort, vil dette være til skade for både tilliden, udbredelsen og anvendelsen af løsningen.

2) Tilgængelighedsbehov ved betroet kontrol (Politiet)

Kørekort-appen er først og fremmes bygget til i videst mulig omfang at være tilgængelig over for politikontrol (betroet kontrol), hvor det kræves, at man kan dokumentere sin førerret, jf. færdselsloven § 56, stk. 1., 2 pkt. Derfor kan Kørekort-appen også – i de fleste tilfælde – fremvises til politiet uden kontakt til backend således, at borger ikke skal bøde for evt. internetnedbrud, manglende mobilsignal m.v.

[…]

3) Tilgængelighedsbehov ved ikke-betroet kontrol af appen (fx Borger-service, Biludlejning etc.)

For at kørekort-appen fungerer på lige fod med det fysiske kørekort, kan appen også bruges som billede-id. Kontrollen gennemføres vha. scanning af QR koden til ikke-betroede kontrollanter. Dette skyldes, at anvendelsen af kørekortet som billede-id er væsentligt mere udbredt end alene politikontrol.

Såfremt Kørekort-appen ikke er tilgængelig, vil den ikke kunne benyttes til ikke-betroet kontrol. Dette vil betyde, at borger ikke kan fremvise legitimation i borgerservice, biludlejning, adgang til nattelivet etc. Denne funktion er online-afhængig, da kontrollen foregår mod Kørekort-appens backend. Modsat politikontrollen, som politiet foretager via deres eget system.”

3.6. I konsekvensanalysen fra 2023 har Digitaliseringsstyrelsen angivet følgende om de potentielle hændelser i risikobilledet, som styrelsen har identificeret:

Ad 4: Brud på tilgængelighed – nedbrud/utilgængelighed af løsningens back-end

Konsekvens (1)

Konsekvensen for den registrerede ved utilgængelighed af løsningens back-end er Ubetydelig (uvæsentlig 1). Appen virker i næsten alle tilfælde uden at back-end er tilgængelig. Ved utilgængelighed af back-end kan man ikke gennemføre ikke-betroet kontrollants kontrol med QR-kode. Betroet kontrollants (Politiets) kontrol virker dog fortsat off line.

[…]

Implementerede mitigerende handlinger og nuværende sandsynlighed (4):

[…] Det er en kendt og accepteret risiko, da tilgængeligheden af løsningen alene er kategoriseret som forretningskritisk og ikke samfundskritisk.

[…]

Ad 5: Brud på tilgængelighed – introduktion af blokerende fejl i appens kode

Konsekvens (2):

Konsekvensen for den registrerede ved brud på tilgængeligheden af appen er mindre alvorlig (generende 2), idet den registrerede i så fald fx ikke kan fremvise sin førerret (nægtelse af adgang til forretningstjenester). Det vil kunne medføre, at brugeren får en bøde eller fx ikke kan leje en bil. Det svarer også til en konsekvens på 2.

[…]

Implementerede mitigerende handlinger og nuværende sandsynlighed (2):

[…] Risikoen for at brugeren får en bøde er mitigeret ved, at Digitaliseringsstyrelsen kontakter politiets afdeling for søge-appen: De hjælper med at give besked ud til betjentene om, at der er en fejl i appen. Betjentene vil i så fald slå brugerne op i kørekortregisteret på deres egen søge-app indtil fejlen er rettet. Der er derfor mindre sandsynligt, at brugeren vil få en bøde for ikke at have medbragt sit kørekort.

[…]

Ad 10: Borgere der ikke anvender appen oplever gene ved behandling af deres kørekortoplysninger

Løsningen er opbygget sådan, at Digitaliseringsstyrelsen er nødsaget til at opbevare kørekortoplysninger for alle borgere med et gyldigt kørekort. Dette skyldes tekniske begrænsninger, der er yderligere uddybet i afsnittet om dataminimering ovenfor.

Konsekvens (2):

Borgere der ikke ønsker at bruge appen vil kunne opleve fx manglende forståelse og frygt for beskyttelsen af deres personoplysninger. Dette svarer til en konsekvens på 2 – Mindre alvorlig

Initiel Sandsynlighed (4):

Det vil ikke være ofte men forventeligt, at der vil være henvendelser fra borgere der ikke kan forstå hvorfor vi behandler oplysninger om dem, uden at de indrulleret i appen. Sandsynligheden er derfor 4 – forventet.

Implementerede mitigerende handlinger og nuværende sandsynlighed (3):

Såfremt en borger henvender sig, idet de oplever manglende forståelse samt frygt for behandlingssikkerheden ved opbevaringen af deres kørekortoplysninger, forklarer Digitaliseringsstyrelsen den tekniske årsag til nødvendigheden af opbevaringen af deres personoplysninger fra kørekortregisteret. Dertil forklares det tekniske beskyttelsesniveau af deres kørekortoplysninger og det forhold, at de krypterede oplysninger ikke dekrypteres og anvendes, medmindre borgeren selv indrullerer sig i appen. Dertil fremgår der en oplysningstekst på Digitaliseringsstyrelsens hjemmeside, der oplyser om ovenstående forhold. Selvom enkelte borgere stadig herefter vil være uforstående, så vil de fleste borgere være forstående og dermed betryggede ved opbevaringen af deres personoplysninger. Dermed sikrer vi i videst mulige omfang en tryghed for borgere, der ikke anvender appen. tilsammen nedsætter dette sandsynligheden til 3 – moderat sandsynligt.

Residualrisiko (6):

Efter implementering af de mitigerende foranstaltninger er residualrisikoen dermed 6 (Konsekvens 2 x Sandsynlighed 3) og »Gul«.”

I sin spørgeramme for risikovurdering har Digitaliseringsstyrelsen angivet følgende:

”Acceptabel nedetid i Backend delen er under en uge, idet appen kan fungere i offline tilstand uden adgang til backend. Endvidere er fysisk kørekort stadig et krav, det digitale kørekort er kun et supplement, hvorfor det ikke er kritisk at nye brugere ikke kan oprette sig i nogle dage. For App delen af løsningen forventes det, at den skal/bør være tilgængelig for borgeren inden for 4-8 timer.”

Adspurgt om det netop citerede fra spørgerammen har Digitaliseringsstyrelsen oplyst, at hvis borgernes digitale kørekort ikke er tilgængeligt ved en eventuel politikontrol, vil det have betydelige konsekvenser for borgeren, da borgeren vil kunne modtage en bøde. Digitaliseringsstyrelsen har desuden anført, at konsekvenserne for Digitaliseringsstyrelsen ligeledes vil være betydelige, da det mærkbart vil underminere tilliden til Kørekort-appen, hvis borgerne oplever at få bøder, fordi løsningen ikke er tilgængelig.

4. Retsgrundlag mv.

4.1. Databeskyttelsesforordningens artikel 5, stk. 1, litra c, har følgende ordlyd:

”Personoplysninger skal:

[…]

  1. c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)”

I databeskyttelsesforordningens præambelbetragtning nr. 39 fremgår følgende om princippet:

”(39) […] Personoplysninger bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. […]”

I Justitsministeriets betænkning nr. 1565/2017, s. 87-88, angives følgende om den tidligere gældende og næsten tilsvarende bestemmelse i persondatalovens § 5, stk. 3:

”Det fremgår af persondatalovens § 5, stk. 3, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Det fremgår af bemærkningerne til persondataloven, at der med udtrykkene relevante og tilstrækkelige oplysninger sigtes til, at oplysningernes art skal svare til det formål, der tilsigtes med behandlingen. Bestemmelsen fastsætter endvidere, at den dataansvarliges behandling af oplysninger er undergivet et proportionalitetsprincip.”

Af betænkningens s. 97 fremgår, at der ud fra en ordlydsfortolkning af persondatalovens § 5, stk. 3, og databeskyttelsesforordningens artikel 5, stk. 1, litra c, ikke ses at være tiltænkt en anden indholdsmæssig betydning af artikel 5, stk. 1, litra c, end hvad der gjaldt efter persondataloven.

Af Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer[2], s. 328-329, fremgår bl.a. følgende om databeskyttelsesforordningens artikel 5, stk. 1, litra c:

”Behandling af oplysninger må ikke gå videre end, hvad der kræves til opfyldelse af de formål, som den dataansvarlige er berettiget til at forfølge, dvs. at den dataansvarliges behandling af personoplysninger er undergivet et proportionalitetsprincip.”

4.2. Datatilsynet og det tidligere Registertilsyn har i en række sager forholdt sig nærmere til dataminimeringsprincippet:

4.2.1. I en sag, som blev afgjort af det tidligere Registertilsyn (Registertilsynets j.nr. 1993-4210-092) forholdt tilsynet sig til oprettelsen af et elektronisk prøvebesvarelsesregister i Statens Serum Institut, som skulle indeholde et udtræk fra Det Centrale Personregister med navn og personnummer på hele den danske befolkning. Formålet med registeret var, at Statens Serum Institut i kraft af sin rolle som centrallaboratorium skulle kunne udføre specialdiagnostik for hele Danmark, og med et udtræk fra CPR-registeret, som ønskedes ajourført én gang hvert halve eller hele år, ville man opnå en hurtig, korrekt og sikker registrering af patienter på baggrund af håndskrevne prøverekvisitioner. Derudover skulle registeret kunne muliggøre en mere automatiseret behandling og administration af indsendte analyseprøver på grundlag af en elektronisk registrering af prøvedata.

Registertilsynet udtalte sig ikke imod registerets oprettelse til de anførte formål. Registertilsynet udtalte dog, at tilsynet ikke fandt, at prøvebesvarelsesregisteret kunne oprettes på basis af et udtræk fra CPR-registeret over hele Danmarks befolkning, idet der ville blive registreret oplysninger om et stort antal personer, for hvilke der ikke ville blive foretaget analyser ved instituttets afdelinger.

4.2.2. I en anden sag, som blev afgjort efter persondatalovens bestemmelse om dataminimering (Datatilsynets j.nr. 2004-54-1396), ønskede Undervisningsministeriet at oprette en database indeholdende eksamens- og karakteroplysninger fra de gymnasiale uddannelser med henblik på behandling af ansøgninger om optagelse på videregående uddannelser mv. Undervisningsministeriet havde endvidere oplyst, at eksamens- og karakteroplysninger ville blive slettet efter 60 år.

Datatilsynet udtalte, at der ved etableringen af eksamensdatabasen ville blive oprettet et register, der på sigt ville indeholde hovedparten af den danske befolknings eksamensbeviser, og at der således på sigt ville være tale om en meget stor mængde data, herunder data, som man – i hvert fald med de på tidspunktet tilsigtede anvendelser – aldrig ville få brug for, eller som der ikke var et aktuelt behov for, at Undervisningsministeriet lå inde med.

På den baggrund fandt Datatilsynet det tvivlsomt, om der var den fornødne proportionalitet mellem registrering af alle eksamensbeviser i Danmark i 60 år og opfyldelsen af formålet med databasen.

4.2.3. I en sag om Region Hovedstadens anvendelse af fingeraftryksidentifikation til sikker identifikation af bloddonorer (Datatilsynets j.nr. 2014-632-0081), tog Datatilsynet stilling til regionens praksis med at registrere billeder af donorernes fingeraftryk og ikke kun registrere matematiske værdier udregnet på baggrund heraf. Region Hovedstaden henviste til manglende finansiering som begrundelse for ikke at anvende matematiske værdier (templates) i stedet for billeder.

Datatilsynet konkluderede – efter forelæggelse af sagen for Datarådet – bl.a., at den valgte løsning ikke levede op til persondatalovens § 5, stk. 3, hvorefter oplysninger, som behandledes, skulle ”være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.”

Datatilsynet fandt således, at den valgte løsning var betydeligt mere indgribende over for de registrerede, end hvad der krævedes til opfyldelse af formålet, og at behandlingen derfor ikke levede op til de krav til proportionalitet, der bl.a. fulgte af persondatalovens § 5, stk. 3.

4.2.4. I en sag, hvor TDC over en periode på 10 måneder havde foretaget 11.366 logninger af lokaliseringsdata ved mobildatatrafik og registreret 185 såkaldte MMS CDR-oplysninger om en borger, var spørgsmålet, om TDC havde registreret flere oplysninger end det, der var nødvendigt for at overholde TDC’s forpligtelse efter logningsbekendtgørelsens § 4, nr. 5 (Datatilsynets j.nr. 2018-31-0070).

Overordnet anførte TDC, at det var nødvendigt at registrere lokaliseringsdata for al mobildatatrafik med henblik på at overholde logningsbekendtgørelsens krav om registrering af lokaliseringsdata for MMS-kommunikation, idet den tekniske opbygning af TDC’s mobilnet ikke gav mulighed for alene at registrere lokaliseringsdata for MMS-kommunikation uden samtidig at registrere lokaliseringsdata for al mobildatatrafik.

Datatilsynet fandt – efter at sagen havde været forelagt Datarådet – at opbygningen af TDC’s IT-system ikke kunne begrunde manglende overholdelse af databeskyttelsesreglerne, ligesom eventuelle omkostninger forbundet med at etablere nye systemer, der gjorde det muligt alene at registrere de nødvendige oplysninger, heller ikke kunne begrunde en manglende overholdelse af databeskyttelsesreglerne.

På den baggrund fandt Datatilsynet, at TDC’s behandling af personoplysninger, som selskabet ikke havde været forpligtet til at registrere efter logningsbekendtgørelsen, var i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra c, om dataminimering.

Datatilsynet lagde i den forbindelse særligt vægt på, at langt størstedelen af de oplysninger, som TDC havde registreret om borgeren, ikke var nødvendige for at overholde TDC’s forpligtelser efter logningsbekendtgørelsen.

4.2.5. I en sag om Rigspolitiets videregivelse af oplysninger om hastighedsovertrædelser til Aalborg Universitet (Datatilsynets j.nr. 2022-32-2939) udtalte Datatilsynet – efter forelæggelse for Datarådet – at Rigspolitiets videregivelse af personoplysninger ikke var i overensstemmelse med bl.a. databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Rigspolitiet oplyste, at det var nødvendigt at videregive de pågældende oplysninger til Aalborg Universitet for, at universitetet kunne identificere og invitere relevante personer til at deltage i et forskningsprojekt om forebyggelse af hastighedsovertrædelser.

Rigspolitiet videregav personoplysninger til universitetet, uanset om borgeren havde vedtaget bøden eller ej, og uanset om forholdet evt. senere skulle afgøres i retten. Rigspolitiet videregav blot oplysninger om alle personer, der var sigtet i en automatisk trafikkontrol, og som havde modtaget et bødeforlæg.

Videregivelsen var således ikke begrænset til oplysninger om personer, der havde vedtaget en bøde, eller hvor retten havde truffet afgørelse om bøde, og Datatilsynet fandt således, at videregivelsen af personoplysninger ikke var i overensstemmelse med dataminimeringsprincippet. Datatilsynet lagde i forhold til den konkrete sag navnlig vægt på, at borgeren havde gjort indsigelse mod bødeforlægget og afventede domstolenes behandling af sagen, da Rigspolitiet videregav hans oplysninger. Tilsynet lagde også vægt på, at formålet med Aalborg Universitets behandling af personoplysninger var at kunne invitere bilister til at deltage i et forskningsprojekt, som havde til formål bl.a. at undersøge, om bilister fik færre fartbøder, hvis de – efter at have fået en fartbøde – gennemgik et onlinekursus om trafiksikkerhed.

Datatilsynet meddelte Rigspolitiet et påbud om at ophøre med at videregive oplysninger til Aalborg Universitet om personer, der havde modtaget et bødeforlæg for overtrædelse af færdselsloven, såfremt disse personer havde gjort indsigelse mod bødeforlægget, og sagen endnu ikke var afgjort ved domstolene.

5. Begrundelse for Datatilsynets afgørelse

5.1. Behandling af personoplysninger i Kørekort-appen skal – i tillæg til at være baseret på et retligt grundlag i databeskyttelsesforordningen – leve op til de øvrige krav i databeskyttelsesforordningen. Det omfatter bl.a. princippet om dataminimering i artikel 5, stk. 1, litra c.

Det gælder også, selv om Digitaliseringsstyrelsen måtte have været under den opfattelse, at styrelsen var underlagt en deadline for, hvornår det digitale kørekort skulle være tilgængeligt for borgerne, og uanset om Digitaliseringsstyrelsen måtte have set sig forpligtet til at indrette en mulig løsning efter kørekortregisterets aktuelle tekniske opbygning, herunder at der er tale om et mainframe-baseret system, som ifølge styrelsen ikke er velegnet til foretagelse af direkte opslag.

Digitaliseringsstyrelsen har som nævnt oplyst, at de alternative løsninger, som blev overvejet – en direkte integration og en webservice-integration til det nuværende kørekortregister – blev fravalgt med henvisning til bl.a., at sådanne løsninger ville belaste Rigspolitiets interne systemer, og at kørekortregisteret ville blive lagt under pres, da det er etableret på et ældre mainframe-baseret system. Endvidere har Digitaliseringsstyrelsen henvist til, at Rigspolitiets systemer ikke er direkte borgervendte, og at ”oppetiden” ikke ville kunne garanteres, hvis en webservice-integration blev valgt. Disse alternative løsninger blev således fravalgt, da løsningerne ”ikke kunne indfri de fornødne krav til tilgængelighed og ikke imødekom Rigspolitiets bekymringer”.

Imidlertid indebærer den valgte løsning, at Digitaliseringsstyrelsen opbevarer en kopi af personoplysninger fra alle gyldige danske kørekort i kørekortregisteret (ca. 3,96 mio. borgere) og dermed behandler personoplysninger om en meget stor del af den danske befolkning, som ikke har et digitalt kørekort. Digitaliseringsstyrelsen har som nævnt oplyst, at ca. 1,7 mio. borgere bruger Kørekort-appen. Datatilsynet har forstået det sådan, at der således er en restgruppe på ca. 2,26 mio. borgere, som ikke er brugere af Kørekort-appen, men som styrelsen også behandler oplysninger om, uagtet at de ikke har tilmeldt sig ordningen.

Det fremgår af databeskyttelsesforordningens præambelbetragtning nr. 39 bl.a., at personoplysninger kun bør behandles, hvis formålet ikke med rimelighed kan opfyldes på anden måde. I overensstemmelse med denne betragtning er der i databeskyttelsesforordningens artikel 5, stk. 1, litra c, fastsat et princip om dataminimering, jf. pkt. 4.1 ovenfor.

Om den løsning, som aktuelt er valgt til driften af Kørekort-appen, lever op til kravet om dataminimering i forhold til de ca. 2,26 mio. borgere, som ikke har tilsluttet sig Kørekort-appen, beror på en vurdering af de behov for tilgængelighed, som Digitaliseringsstyrelsen mener, at Kørekort-appen skal kunne leve op til set i forhold til formålet med behandlingen af de pågældende personoplysninger.

5.2. Digitaliseringsstyrelsen har anført, at gentagne eller længerevarende nedbrud eller utilgængelighed af det digitale kørekort kan skade tilliden til, udbredelsen og anvendelsen af Kørekort-appen. Hertil er det Datatilsynets opfattelse, at ventetid eller forsinkelse ved oprettelse af et digitalt kørekort ikke i sig selv kan anses for være en så betydelig negativ konsekvens for borgerne, at det kan begrunde den meget omfattende behandling af personoplysninger, som der er tale om, idet borgerne til enhver tid vil kunne benytte deres fysiske kørekort. Endvidere skal Datatilsynet bemærke, at Digitaliseringsstyrelsen i sin spørgeramme til risikovurdering også selv har anført, at et ”fysisk kørekort [er] stadig et krav, det digitale kørekort er kun et supplement, hvorfor det ikke er kritisk at nye brugere ikke kan oprette sig i nogle dage.”

De tilgængelighedsbehov ved betroet kontrol, som Digitaliseringsstyrelsen har beskrevet, kan efter Datatilsynets opfattelse ikke begrunde en så omfattende behandling af personoplysninger, som styrelsen på nuværende tidspunkt foretager i forhold til den gruppe af kørekortindehavere, som ikke har tilsluttet sig ordningen. Det skyldes, at borgere kan fremvise Kørekort-appen til politiet uden kontakt til backend, og at politiet har mulighed for, via sit eget system, at tjekke gyldigheden af kørekortet. Med andre ord kan valideringen af et digitalt kørekort ske i en tilstand, hvor borgerens device er offline, men politiets device er online. Med Digitaliseringsstyrelsens egne ord vil utilgængelighed af løsningens backend være ”ubetydelig” for brugerne, mens brud på tilgængeligheden af appen vil være ”mindre alvorlig”.

Heller ikke de tilgængelighedsbehov ved ikke-betroet kontrol (andet end politiet), som Digitaliseringsstyrelsen har beskrevet, kan efter Datatilsynets opfattelse begrunde den behandling af personoplysninger til administration og drift af Kørekort-appen, som for nuværende foretages. Borgerne vil, når de ønsker at hente pakker, leje køretøjer eller opnå adgang i nattelivet mv., have mulighed for at identificere sig med deres fysiske kørekort, hvis Kørekort-appen er (midlertidigt) utilgængelig, og manglende tilgængelighed vil derfor ikke være betydelig for borgerne.

Alene det forhold, at det er belejligt for borgerne at have Kørekort-appen, da man i et vist omfang kan lade det fysiske kørekort blive hjemme, kan heller ikke begrunde den pågældende behandling. Digitaliseringsstyrelsen har som nævnt også selv anført, at risikoen for brud på tilgængeligheden er ”en kendt og accepteret risiko, da tilgængeligheden af løsningen alene er kategoriseret som forretningskritisk og ikke samfundskritisk.”

5.3. Det er herefter Datatilsynet opfattelse, at Digitaliseringsstyrelsens behandling af personoplysninger i forbindelse med administration og drift af Kørekort-appen indebærer behandling af personoplysninger, som der ikke er et aktuelt behov for, og som styrelsen i visse tilfælde formentlig aldrig vil få brug for. Der er derfor ikke nødvendigt at behandle oplysninger om alle ca. 3,96 mio. borgere med et gyldigt dansk kørekort for at opfylde formålet med at stille det digitale supplement til det fysiske kørekort til rådighed for borgerne.

Selvom formålet med et digitalt kørekort er anerkendelsesværdigt, kan det ikke begrunde behandling af oplysninger om alle indehavere af et gyldigt dansk kørekort, idet der behandles oplysninger om et meget stort antal personer – ca. 2,26 mio. personer – som ikke aktivt har tilsluttet sig det digitale kørekort.

På baggrund af ovenstående er det Datatilsynets opfattelse, at Digitaliseringsstyrelsens behandling af personoplysninger i forbindelse med administrationen og driften af Kørekort-appen, hvorved et udtræk af oplysninger om alle indehavere af et gyldigt dansk kørekort i kørekortregisteret opbevares og behandles, ikke er i overensstemmelse med dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

5.4. Datatilsynet udtaler på den baggrund i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra b, alvorlig kritik af Digitaliseringsstyrelsen.

Endvidere meddeler Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra f, forbud til Digitaliseringsstyrelsen mod at opbevare og på anden vis behandle personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort.

Forbuddet gælder alene for personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort og således ikke for Digitaliseringsstyrelsens behandling af personoplysninger om de registrerede, som har tilsluttet sig ordningen.

Afgørelsen om forbud mod opbevaring og anden behandling af personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort, indebærer, at Digitaliseringsstyrelsen inden 4 uger fra dags dato skal ophøre med den nævnte behandling. Digitaliseringsstyrelsen bedes – inden for samme frist – underrette Datatilsynet om, hvad styrelsen har foretaget sig i lyset af denne afgørelse.

Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 4, er strafbart at undlade at efterkomme en begrænsning af behandling meddelt af Datatilsynet i medfør af forordningens artikel 58, stk. 2, litra f. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

6. Fortsat drift af det digitale kørekort

Datatilsynet skal bemærke, at forbuddet mod at opbevare og på anden vis behandle personoplysninger fra kørekortregisteret om registrerede personer, som ikke aktivt har tilsluttet sig det digitale kørekort ikke indebærer, at ordningen med det digitale kørekort ikke kan opretholdes over for de registrerede, som aktivt har tilsluttet sig den. Datatilsynet anerkender, at efterlevelse af forbuddet vil kunne påvirke driften af ordningen i forhold til f.eks. tilgængeligheden for personer, som ikke aktivt har tilsluttet sig ordningen, men som ønsker at gøre det.

Der vil dog ikke være tale om en væsentlig påvirkning af det digitale kørekorts grundlæggende funktion og formål, nemlig at være et digitalt supplement til det fysiske kørekort, for de personer, som aktivt har tilsluttet sig ordningen, og ordningens grundlæggende funktioner vil kunne videreføres. Forbuddet indebærer således ikke, at det digitale kørekort ikke kan fortsætte i drift.

Den fortsatte drift vil konkret kunne ske ved, at Digitaliseringsstyrelsen f.eks. tilpasser de servicesnit og databaseudtræk, som styrelsen allerede anvender, på en sådan måde, at der ikke behandles oplysninger om personer, som ikke aktivt har tilsluttet sig ordningen. Datatilsynet henviser særligt til muligheden for at skabe en database med de aktuelle brugere af Kørekort-appen og fremover vedligeholde denne ved såkaldte deltakørsler for af- og tilmeldinger i appen.

Sådanne tekniske justeringer i det digitale kørekort vil kunne sikre, at behandlingen af oplysninger om personer, som ikke aktivt har tilsluttet sig ordningen, ophører, uden at det væsentligt vil påvirke funktionaliteten af det digitale kørekort for de personer, som aktivt har tilsluttet sig ordningen.

Nye brugeres tilslutning til det digitale kørekort vil endvidere fortsat kunne ske også efter gennemførelse af de ovennævnte tekniske justeringer. Datatilsynet anerkender, at justeringerne kan have indflydelse på brugeroplevelsen og hurtigheden ved indrullering af nye brugere set i forhold til det, som den nuværende løsning tilbyder. Sådanne ulemper kan dog under alle omstændigheder ikke retfærdiggøre en uændret drift, herunder den omfattende behandling af personoplysninger, som ordningen aktuelt indebærer, fordi det er i strid med dataminimeringsprincippet.

Datatilsynet henviser i den forbindelse til, at det digitale kørekort alene er et frivilligt supplement til det almindelige kørekort, og at tilslutning til andre lignende – ikke-samfundskritiske – borgerrettede ordninger, herunder fornyelse af certifikater mv., i en række tilfælde er forbundet med en vis ventetid for borgerne, hvilket de således i almindelighed må antages at være vant til. Tilsynet henviser endvidere til, at tilslutning til ordningen er noget, som i almindelighed kun foretages én gang, ligesom tilsynet henviser til, at Digitaliseringsstyrelsen har betegnet manglende tilgængelighed af løsningen som værende ”forretningskritisk”, men ikke ”samfundskritisk”.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer, Kristian Korfits Nielsen og Anders Lotterup, Jurist- og Økonomforbundets Forlag, 2020.