Rigsrevisionens tilvejebringelse af oplysninger sker inden for rammerne af databeskyttelsesreglerne

Dato: 14-11-2023

Datatilsynet har i forbindelse med et tilsyn vurderet, at Rigsrevisionens indhentelse af personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, sker inden for rammerne af databeskyttelsesreglerne.

Journalnummer: 2023-432-0022.

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet – i henhold til databeskyttelseslovens § 27 – den 29. august 2023 indledte en sag om Rigsrevisionens behandlingsgrundlag i databeskyttelsesforordningens artikel 6 til at indhente personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, og hvorledes Rigsrevisionen i den forbindelse sikrer overholdelse af princippet om dataminimering i forordningens artikel 5, stk. 1, litra c.

Baggrunden for sagen er, at Datatilsynets målrettede tilsynsaktiviteter i 2023 inkluderer Folketinget og Folketingets institutioner.

Resumé

Den 29. august 2023 indledte Datatilsynet en sag om Rigsrevisionens behandlingsgrundlag til at indhente personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed. I den forbindelse undersøgte tilsynet også, hvordan Rigsrevisionen sikrer overholdelse af princippet om dataminimering.

Baggrunden for sagen var, at Datatilsynets målrettede tilsynsaktiviteter i 2023 inkluderer Folketinget og Folketingets institutioner.

Datatilsynet fandt, at Rigsrevisionen har hjemmel i rigsrevisorloven, herunder lovens § 12, til at indhente personoplysninger.

På baggrund af det af Rigsrevisionen oplyste fandt Datatilsynet endvidere, at Rigsrevisionen ikke indhenter flere oplysninger end nødvendigt.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Rigsrevisionens behandling af personoplysninger sker inden for rammerne af databeskyttelsesreglerne, herunder reglerne i databeskyttelsesforordningen[1].

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1. Rigsrevisionen er en uafhængig institution under Folketinget og er en del af den parlamentariske kontrol i Danmark. Rigsrevisionen har til opgave at undersøge, om statsregnskabet er rigtigt (finansiel revision). Herudover undersøger Rigsrevisionen i forbindelse med revisionen og de større undersøgelser, om statslige myndigheder og andre statsligt finansierede styrelser og virksomheder overholder gældende love og regler (juridisk-kritisk revision) og forvaltes sparsommeligt, produktivt og effektivt (forvaltningsrevision).

2.2. Datatilsynet bad den 29. august 2023 Rigsrevisionen om at oplyse, hvordan Rigsrevisionen tilvejebringer materiale, som indeholder personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, herunder om dette sker ved fysisk gennemgang hos den reviderede myndighed, ved at den reviderede myndighed fremsender materiale, ved terminaladgang til den reviderede myndigheds systemer eller på anden måde.

Datatilsynet bad endvidere Rigsrevisionen om at oplyse, hvad Rigsrevisionens hjemmel i EU-ret eller dansk ret er til at indhente personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed.

Endelig bad Datatilsynet Rigsrevisionen om at få tilsendt en liste over gennemførte revisioner i 2022 og om at oplyse, om det i alle tilfælde er relevant og nødvendigt for Rigsrevisionen at modtage personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, herunder tilvejebringer materiale til brug for revisionen.

2.3. Rigsrevisionen oplyste den 18. september 2023, at Rigsrevisionen indhenter materiale på alle de nævnte måder.

Rigsrevisionen oplyste endvidere, at:

”Rigsrevisionens opgaver er lovbundne og følger af lov nr. 321 af 26. juni 1975 om revisionen af statens regnskaber m.m. med senere ændringer (rigsrevisorloven) (seneste lovbekendtgørelse nr. 101 af 19. januar 2012) samt af særlovgivning.

Rigsrevisionens hjemmel til at indhente oplysninger fremgår af rigsrevisorlovens § 12, stk. 1:

”Rigsrevisor kan af enhver offentlig myndighed forlange sig meddelt alle sådanne oplysninger og forelagt alle sådanne aktstykker, som efter rigsrevisors skøn er af betydning for udførelsen af rigsrevisors hverv. Rigsrevisor kan fastsætte en frist herfor.”

Herudover er det i rigsrevisorlovens § 6, stk. 2, fastsat, hvilket materiale og hvilke oplysninger rigsrevisor har adgang til i forbindelse med gennemgang af regnskaber i henhold til rigsrevisorlovens § 4:

”De i § 4 nævnte regnskaber, jf. dog stk. 3, omfatter årsregnskaber med eventuelle koncernregnskaber og årsberetninger, periode- og delregnskaber samt relevant regnskabsmateriale, herunder bogføringsmateriale, ledelsens protokoller og lignende materiale, revisors protokoller og beretninger m.v., samt andet materiale og oplysninger, som efter rigsrevisors skøn er af betydning for udførelsen af dennes hverv.”

Det er rigsrevisor, der afgør, hvilket materiale og hvilke oplysninger der har betydning for en opgave med revision.

I forhold til spørgsmålet om indhentelse af personoplysninger fremgår følgende af Justitsministeriets betænkning om databeskyttelsesforordningen (2016/679), nr. 1565/2017, del II, vurderinger af særlovgivning på de enkelte ministerområder, s. 14:

”Departementet kan dog oplyse, at der er identificeret to love på Folketingets ressortområde, der kan regulere behandlingen af personoplysninger, jf. bilagets tabel 3. Det drejer sig om rigsrevisorlovens § 12, stk. 1, hvorefter rigsrevisor af enhver offentlig myndighed kan forlange sig meddelt alle sådanne oplysninger og forelagt alle sådanne aktstykker, som efter rigsrevisors skøn er af betydning for udførelsen af rigsrevisors hverv, samt statsrevisorlovens § 4, stk. 3, hvorefter enhver, som virker i offentlig tjeneste, har pligt til at meddele statsrevisorerne de oplysninger og aktstykker, som de anser fornødne for udøvelsen af deres hverv. Der er således potentielt tale om behandling af personoplysninger. Det er vurderingen, at de nævnte bestemmelser kan opretholdes efter forordningens ikrafttræden. Ved vurderingen er der lagt vægt på, at behandlingen vurderes at være nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, jf. artikel 6, stk. 1, litra e, og artikel 9, stk. 2, litra g.”

Rigsrevisionen kan således også efter databeskyttelsesforordningens ikrafttrædelse indhente de oplysninger, som rigsrevisor skønner nødvendige af hensyn til opgaver med revision, herunder personoplysninger. Revisionen retter sig imidlertid ikke mod enkelte personer, men mod myndigheden.

Det kan være relevant og nødvendigt at indhente personoplysninger, når Rigsrevisionen gennemfører undersøgelser. Som eksempel kan nævnes beretning nr. 13/2021 om forvaltningen af handicapområdet, hvor Rigsrevisionen undersøger, om Social- og Ældreministeriets tilsyn med kommunernes forvaltning af handicapområdet er tilfredsstillende.

Det er endvidere relevant og nødvendigt for Rigsrevisionen at indhente visse oplysninger om de revideredes ansatte, når Rigsrevisionen skal kontrollere de revideredes regler og retningslinjer, fx om der udbetales korrekt løn mv., eller om fratrædelsesgodtgørelser følger reglerne.

Rigsrevisorlovens § 12, stk. 1, er ”teknologineutral” og udgør også hjemmel til at tilvejebringe materiale, som indeholder personoplysninger, ved terminaladgang til den reviderede myndigheds systemer. Rigsrevisionens ansatte kan få etableret adgang til en række systemer, hvis de har et arbejdsbetinget behov.”

Rigsrevisionen oplyste herudover, at:

”Nej, det er ikke altid relevant og nødvendigt, at Rigsrevisionen indhenter personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, herunder tilvejebringer materiale til brug for revisionen, jf. den vedlagte liste. I nogle tilfælde er det imidlertid relevant og nødvendigt for Rigsrevisionen at indhente direkte personhenførbare oplysninger, jf. svar på spørgsmål 2.

Ansatte i Rigsrevisionen er instrueret i at begrunde og dokumentere, hvis der skal indhentes personoplysninger. De ansatte er også instrueret i at gå i dialog med den reviderede myndighed for at sikre overholdelse af forpligtelsen til dataminimering, herunder undgå at modtage fx cpr-oplysninger eller andre personhenførbare oplysninger, hvis det ikke har betydning for revisionen. Rigsrevisionen kan bl.a. henvise til vedlagte skabelon til materialeanmodning, der omhandler spørgsmålet om dataminimering. Det følger også af rigsrevisorlovens § 12, skt. 1, og § 6, stk. 2, at Rigsrevisionen kun må indhente de oplysninger, der er nødvendige til vores opgaver. Det skal for god ordens skyld bemærkes, at kravet om systematisk dokumentation af vores overvejelser om behovet for at indhente personoplysninger, er indført primo 2023 som opfølgning på Rigsrevisionens møde med Datatilsynet i oktober 2022.

Der kan imidlertid ske det, at Rigsrevisionen modtager personoplysninger, som vi ikke har bedt om. Rigsrevisionen har dog ikke hjemmel til at kræve, at de reviderede udarbejder nye dokumenter til brug for revisionen, herunder sletter oplysninger i dokumenter, inden de udleveres til Rigsrevisionen. Det kan endvidere være i strid med det revisionsmæssige formål, hvis myndigheder bearbejder, herunder sletter i det originale materiale, i forbindelse med Rigsrevisionens indhentning af materiale og oplysninger. Det skyldes, at materialet/oplysningerne skal anvendes som revisionsbevis.”

Af den vedlagte skabelon til materialeanmodning fremgår, at:

”Materialeanmodning

Til brug for Rigsrevisionens #angiv den konkrete undersøgelse# anmodes #den reviderede# om at udlevere følgende oplysninger/dokumenter, jf. § 12 i rigsrevisorloven:

  • #XX#
  • #XX#
  • #XX#

Af hensyn til princippet om dataminimering, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c, og rigsrevisorlovens § 12, stk.1, skal Rigsrevisionen anmode om, at der ikke udleveres flere oplysninger end nævnt ovenfor, og at personoplysninger så vidt muligt pseudonymiseres/anonymiseres inden udleveringen.

I er velkomne til at vende tilbage, hvis det giver anledning til spørgsmål, herunder med henblik på at drøfte, hvordan dataminimering kan opnås…”

Endelig oplyste Rigsrevisionen, at:

”Rigsrevisionens opgaver omfatter større undersøgelser med henblik på beretninger til Statsrevisorerne om specifikke emner, 2 årlige beretninger om henholdsvis revisionen af statsregnskabet og revisionen af statens forvaltning, de enkelte ministerområder/paragraffer heri samt revision af 54 andre årsregnskaber for 2022 (selvstændige offentlige virksomheder mv.). Hertil kommer mindre opgaver med erklæringer i forbindelse med EU-tilskud til danske myndigheder.

Den enkelte opgave kan bestå af flere processer, revisionsbesøg mv. I Rigsrevisionens ESDH-system er opgaverne derfor ofte opdelt på flere revisionssager.

Datatilsynet efterspørger en liste over gennemførte revisioner i 2022. Rigsrevisionens sager følger ikke et bestemt kalenderår og afsluttes derfor ikke nødvendigvis det år, de er opstartet i. Den vedlagte liste viser derfor alle oprettede revisionssager i 2022 i Rigsrevisionens ESDH-system.

For hver revisionssag er det anført, om sagen indeholder personoplysninger, og i givet fald hvordan oplysningerne er tilvejebragt, jf. kategoriseringen i Datatilsynets spørgsmål 1. Rigsrevisionen gør for god ordens skyld opmærksom på, at der i en række af sagerne er almindelige personoplysninger i form af fx kontaktoplysninger på dem, vi reviderer, underskrivere på bilag og regnskaber samt navne i instrukser o.l. Sådanne oplysninger er ikke markeret med et ”ja” på listen.

Vær venligst opmærksom på, at der på listen ikke indgår oplysninger om revisionen af de klassificerede regnskaber hos henholdsvis Forsvarets Efterretningstjeneste (FE) og Politiets Efterretningstjeneste (PET), da disse sager er klassificerede. Det kan oplyses, at revisionen af disse regnskaber sker fysisk ved stedligt besøg.”

2.4. I forlængelse af Rigsrevisionens redegørelse af 18. september 2023 bad Datatilsynet den 3. oktober 2023 Rigsrevisionen om at oplyse, hvordan det bestemmes, at personoplysninger skal tilvejebringes via terminaladgang, herunder om dette knytter sig til typen af revision, hvem der  beslutter,  at  der  skal  stilles  terminaladgang  til  rådighed  for  Rigsrevisionen og hvordan tilvejebringelsen af personoplysninger via terminaladgang foregår i praksis, herunder om Rigsrevisionen får ubegrænset terminaladgang til den reviderede myndigheds systemer eller kun til på forhånd udvalgte (relevante) sager.

Hvis Rigsrevisionen får ubegrænset terminaladgang til den reviderede myndigheds systemer, bad Datatilsynet endvidere Rigsrevisionen om at forholde sig til, om dette er i overensstemmelse med princippet om dataminimering, herunder om formålet med revisionen kan opnås på tilsvarende måde uden en sådan ubegrænset adgang.

2.5. Som svar herpå oplyste Rigsrevisionen den 13. oktober, at:

”Rigsrevisionen har i svaret af 18. september 2023 til Datatilsynet vedrørende 2022-revisionerne oplyst, at der i en række tilfælde er indhentet personoplysninger til revisionen via terminaladgang. Der er tale om 3 forskellige typer af terminaladgange:

  • Rigsrevisionen gør primært brug af terminaladgang til de fællesstatslige itsystemer, som Økonomistyrelsen og Rigsrevisionen har indgået aftale om.
  • Der er imidlertid statslige myndigheder, som ikke anvender de fællesstatslige it-systemer, men andre regnskabssystemer, fx SAP. Her er der indgået konkrete aftaler mellem Rigsrevisionen og den reviderede myndighed om terminaladgang.
  • Endelig har Rigsrevisionen opgaver med at revidere regnskaber uden for statsregnskabet. I sådanne tilfælde kan der også være indgået aftale om terminaladgang til den revideredes eget system eller dele heraf. Det gælder fx ved opgaver med revision af Banedanmark og Nordisk Kulturfond.

Terminaladgang anvendes generelt til at indhente revisionsbeviser, fx regnskabsoplysninger, fakturaer, lønoplysninger o.l. Valget af revisionsbevis træffes på baggrund af kravene til revisionsopgaven, som er fastlagt i rigsrevisorloven og i standarderne for offentlig revision.

Beslutning om, hvorvidt regnskabsoplysninger mv. skal tilgås via terminaladgang, sker ud fra følgende hensyn:

  • databeskyttelse – i forbindelse med overførsel og opbevaring af data
  • princippet om dataminimering – dvs. at få så få data ind som muligt
  • effektivitet – både hos den reviderede og hos Rigsrevisionen.

Spørgsmålet om, hvorvidt der anvendes terminaladgang, knytter sig i princippet ikke til bestemte typer af revision. Terminaladgang kan således anvendes til alle revisionsopgaver, uanset om der er tale om finansiel revision, juridiskkritisk revision eller forvaltningsrevision. I praksis anvendes terminaladgang primært i forbindelse med den finansielle revision, hvor bl.a. en del af revisionshandlingerne for revisionen af statsregnskabet foretages centralt og automatiseret, hvilket sker via direkte adgang til de fællesstatslige systemer.”

Rigsrevisionen oplyste endvidere, at:

”Rigsrevisionens terminaladgang til de fællesstatslige it-systemer er beskrevet i aftalen mellem Økonomistyrelsen og Rigsrevisionen. Det fremgår af aftalen, at de medarbejdere i Rigsrevisionen, som har et tjenstligt behov, kan få adgang til de statslige myndigheders data i de fællesstatslige systemer via Økonomistyrelsen uden forudgående kontakt til den myndighed, hvis data adgangen måtte omhandle. Ministerier og styrelser er orienteret om denne automatiske adgang til oplysningerne i systemerne. Herudover er det den reviderede myndighed, der beslutter, om terminaladgang skal stilles til rådighed for Rigsrevisionen.

Rigsrevisionen kan dog til enhver tid foretage revision og regnskabsgennemgang på det sted, hvor regnskaberne føres, eller hvor det nødvendige materiale i øvrigt findes, jf. rigsrevisorlovens § 13. Men Rigsrevisionen kan ikke kræve, at oplysningerne stilles til rådighed på en bestemt måde, herunder ved terminaladgang. Stedlig revision – dvs. revision hos den reviderede – kan dog sammenlignes med terminaladgang, idet revisor i begge tilfælde tilgår oplysningerne hos den reviderede. Stedlig revision med ubegrænset adgang til relevante oplysninger, herunder ved tildeling af terminaladgang, er en anerkendt revisionsadgang i såvel offentlig som privat revision.”

Af Økonomistyrelsens ”Generel servicebeskrivelse” fra marts 2020, som Rigsrevisionen har henvist til, fremgår af afsnit 5.4. om rigsrevisionens adgang:

”Rigsrevisionen og Økonomistyrelsen har indgået aftale om revisionsadgang til de fællesstatslige it-systemer. Aftalen betyder, at de af Rigsrevisionens medarbejdere, som har et tjenesteligt behov, kan få adgang til de statslige institutioners data i de fællesstatslige systemer via Økonomistyrelsen uden forudgående kontakt til den institution, hvis data adgangen måtte omhandle. Rigsrevisionen har ansvaret for, at kun medarbejdere med et konkret behov til det enkelte system får adgang til systemet, og Rigsrevisionen har ligeledes ansvaret for, at adgange løbende slettes, når behovet ikke længere er til stede. Aftalen er en praktisk udmøntning af den pligtudlevering af data, som offentlige myndigheder har i henhold til rigsrevisorlovens § 12. Det medfører, at Økonomistyrelsen er fritaget for ethvert ansvar for Rigsrevisionens anvendelse af data. Rigsrevisionen har således alene ansvaret både i forhold til ministerier og styrelser og for at overholde gældende lovgivning, herunder databeskyttelsesloven og -forordningen.”

Herudover oplyste Rigsrevisionen, at:

”Rigsrevisionen har ikke ubegrænset terminaladgang til alle den revideredes systemer eller sager. Ansatte med et arbejdsbetinget behov får læseadgang til det relevante system. Hvis systemet giver mulighed for det, afgrænses adgangen til den del af systemet, som er relevant for Rigsrevisionens revisionsopgave. Det gælder fx på Skatteministeriets område, hvor Rigsrevisionen har adgang til ministeriets regnskabsprogram SAP Intern, men ikke til HR-modulet, der også ligger i SAP Intern.

Det afhænger af det konkrete system, hvordan terminaladgangen tilvejebringes i praksis. Det vil typisk ske ved, at man får udleveret et brugernavn og en kode.”

Endelig oplyste Rigsrevisionen, at:

”Jf. ovenfor har Rigsrevisionen ikke ubegrænset terminaladgang til alle den revideredes systemer eller sager. Alternativet til at tilgå relevante revisionsoplysninger via terminaladgang er at hjemtage oplysningerne, fx ved at indhente bilag i fysisk form. Det er Rigsrevisionens vurdering, at terminaladgang understøtter princippet om dataminimering, da Rigsrevisionen ved terminaladgang kun i begrænset omfang har behov for selv at opbevare personoplysninger, ligesom terminaladgang giver mulighed for, at Rigsrevisionen kan søge på specifikke regnskabsbilag og -data og dermed undgå at hjemtage hele sager.”

3. Begrundelse for Datatilsynets afgørelse

3.1. Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, at behandling kun er lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

  1. Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
  2. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
  3. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
  4. Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
  5. Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
  6. Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Datatilsynet lægger til grund, at det relevante behandlingsgrundlag for Rigsrevisionens indhentelse af personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, er databeskyttelsesforordningens artikel 6, stk. 1, litra e, hvoraf det følger, at behandling er lovlig, hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

Det følger af databeskyttelsesforordningens artikel 6, stk. 2 og 3, at dette behandlingsgrundlag ikke kan anvendes ”direkte”, men kræver at der i EU-ret eller dansk ret er et supplerende retsgrundlag (hjemmel).

Rigsrevisionen har henvist til rigsrevisorloven[2], herunder dennes § 12, stk. 1, som supplerende retsgrundlag. Det fremgår af denne bestemmelse, at rigsrevisor af enhver offentlig myndighed kan forlange sig meddelt alle sådanne oplysninger og forelagt alle sådanne aktstykker, som efter rigsrevisors skøn er af betydning for udførelsen af rigsrevisors hverv. Rigsrevisor kan fastsætte en frist herfor.

Det fremgår endvidere af betænkning nr. 1565[3] 2. del s. 12, at Finansministeriet har vurderet, at rigsrevisorlovens § 12, stk. 1, kan opretholdes efter forordningens ikrafttræden. Ved vurderingen er der lagt vægt på, at behandlingen vurderes at være nødvendig af hensyn til udførelse af en opgave i samfundets interesse.

Datatilsynet finder på den baggrund, at Rigsrevisionen har hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, til at indhente personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, jf. reglerne i rigsrevisorloven, herunder lovens § 12, stk. 1.

3.2. Foruden at have behandlingsgrundlag skal enhver behandling af personoplysninger desuden ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder princippet om dataminimering i bestemmelsens litra c.

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra c, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«).

Dette betyder, at Rigsrevisionen, når Rigsrevisionen udfører sin revisionsvirksomhed, alene må indhente de oplysninger, som er nødvendige af hensyn hertil.  

Rigsrevision har oplyst, at Rigsrevisionen indhenter oplysninger på en flerhed af måder, herunder ved fysisk gennemgang hos den reviderede myndighed, ved at den reviderede myndighed fremsender materiale og ved terminaladgang til den reviderede myndigheds systemer.

Rigsrevision har endvidere oplyst, at ansatte i Rigsrevisionen er instrueret i at begrunde og dokumentere, hvis der skal indhentes personoplysninger. De ansatte er også instrueret i at gå i dialog med den reviderede myndighed for at sikre overholdelse af forpligtelsen til dataminimering, herunder undgå at modtage f.eks. cpr-oplysninger eller andre personhenførbare oplysninger hvis det ikke har betydning for revisionen.

Det fremgår i den forbindelse af den vedlagte skabelon, at Rigsrevisionen, når Rigsrevisionen anmoder om oplysninger fra en myndighed, gør udtrykkeligt opmærksom på princippet om dataminimering, herunder at der ikke udleveres flere oplysninger end anmodet om, og at personoplysninger så vidt muligt pseudonymiseres/anonymiseres inden udleveringen.

Rigsrevision har derudover oplyst, at beslutning om, hvorvidt regnskabsoplysninger mv. skal tilgås via terminaladgang, sker ud fra flere hensyn, herunder ”databeskyttelse – i forbindelse med overførsel og opbevaring af data” og ”princippet om dataminimering – dvs. at få så få data ind som muligt”.

Datatilsynet finder på baggrund af det ovenstående og det, som Rigsrevisionen i øvrigt har oplyst, at Rigsrevisionens indhentelse af personoplysninger, når Rigsrevisionen udfører sin revisionsvirksomhed, sker inden for rammerne af databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet har noteret sig med tilfredshed, at Rigsrevisionen – i forlængelse af mødet mellem tilsynet og Rigsrevisionen – har indført et krav om systematisk dokumentation af overvejelserne om behovet for at indhente personoplysninger.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] lov nr. 321 af 26. juni 1975 om revisionen af statens regnskaber m.m. med senere ændringer (rigsrevisorloven)

[3] Betænkning nr. 1565 om databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning