Journalnummer: 2003-323-0111
I brev af 6. august 2003 har Aalborg Kommune rettet henvendelse til Datatilsynet angående muligheden for at indføre personnumre i en elektronisk kalender. Aalborg Kommune har oplyst, at kommunen overvejer at anskaffe elektroniske kalendere til en større del af de ansatte. I den forbindelse har Aalborg Kommune stillet en række spørgsmål om behandlingsregler og sikkerhedskrav til Datatilsynet.
Datatilsynet skal i anledning Aalborg Kommunes henvendelse oplyse følgende:
1. Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et register.
Aalborg Kommunes behandling af oplysninger om borgere i en elektronisk kalender er derfor omfattet af persondataloven. Det gælder, selv om der eksempelvis kun anføres et journalnummer eller lignende.
2. Persondataloven har forskellige behandlingsregler alt afhængig af, hvilken kategori af oplysninger der er tale om.
Lovens § 7, stk. 1, omhandler oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Disse oplysninger anses for følsomme oplysninger. Lovens § 8, stk. 1, omhandler oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte.
Disse oplysningstyper anses også for følsomme. Oplysningskategorier, som ikke er omfattet af § 7, stk. 1, eller § 8, stk. 1, er omfattet af lovens § 6 og kan karakteriseres som almindelige ikkefølsomme oplysninger. Oplysningerne kan imidlertid stadig være fortrolige.
Oplysning om en borgers navn og adresse er omfattet af § 6, og behandling, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1.
Efter lovens § 6, stk. 1 nr. 6, må behandling endvidere finde sted, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysninger videregives, har fået pålagt.
For så vidt angår personnumre følger det af persondatalovens § 11, stk. 1, at offentlige myndigheder kan behandle personnumre med henblik på en entydig identifikation eller som journalnummer. Aalborg Kommune kan derfor behandle en borgers personnummer, såfremt dette sker med henblik på en entydig identifikation eller som journalnummer.
3. Behandling af personoplysninger inden for en myndig, herunder udveksling af oplysninger på tværs af forvaltningsgrene, rejser – ud over behandlingsreglerne i §§ 6-8 og § 11 - navnlig spørgsmål om, hvorvidt behandlingen tilrettelægges i overensstemmelse med persondatalovens § 5 og § 41, stk. 3, samt principperne i sikkerhedsbekendtgørelsen.
Behandling af personoplysninger skal ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Af § 5, stk. 3, følger, at de oplysninger som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Det følger endvidere af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Efter persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger bl.a. mod, at oplysninger hændeligt eller ulovligt kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Nærmere regler om sikkerhedskravene i den offentlige forvaltning er fastsat i sikkerhedsbekendtgørelsen.
Ifølge sikkerhedsbekendtgørelsens § 11, stk. 1, må kun de personer, som autoriseres hertil, have adgang til de personoplysninger, der behandles. Det følger endvidere af bestemmelsens stk. 2, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må således ikke autoriseres til anvendelser, som de ikke har behov for.
Dette betyder – ifølge Datatilsynets vejledning til sikkerhedsbekendtgørelsen (sikkerhedsvejledningen3) – at personer, der ikke er beskæftiget med de formål, hvortil oplysningerne behandles, er uvedkommende i forbindelse med behandlingen, og disse personer må derfor ikke have adgang til oplysningerne. Dette omfatter også øvrige medarbejdere hos den dataansvarlige myndighed.
Såfremt der behandles oplysninger omfattet af persondataloven i elektroniske kalendere, skal Aalborg Kommune derfor sikre sig, at disse oplysninger kun er tilgængelige for de personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles. Det gælder i særdeleshed for fortrolige og følsomme oplysninger. Den omstændighed, at de ansatte har tavshedspligt ændrer ikke ved, at der skal foretages en vurdering af, hvilken kreds som skal have adgang til oplysningerne.
Det bemærkes i den forbindelse, at selve oplysningen om, at en borger har en sag til behandling ved kommunen, eller at kommunen har kontakt med den pågældende, kan være af fortrolig eller følsom karakter, som er de øvrige ansatte i kommunen uvedkommende.
Aalborg Kommune bør derfor overveje, hvor bred en adgang kalendersystemet giver til den enkelte sagsbehandlers kalenderregistrering, og hvilke oplysninger kalendersystemet bør indeholde, ligesom muligheden for at ”skærme aftaler af” for en bredere kreds bør overvejes.
4. Derudover finder tilsynet, at Aalborg Kommunes spørgsmål navnlig vedrører kravet om logning i sikkerhedsbekendtgørelsens § 19, stk. 1.
Med hensyn til spørgsmålet om logningskrav skal Datatilsynet oplyse, at det følger af sikkerhedsbekendtgørelsens § 19, stk. 1, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Denne registrering skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes.
Imidlertid fremgår det af sikkerhedsbekendtgørelsens § 2, stk. 2, at kun behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i sikkerhedsbekendtgørelses kapitel 3. Logningskravet gælder derfor kun for de anmeldelsespligtige behandlinger, som offentlige myndigheder foretager.
Det følger af persondatalovens § 44, stk. 1, at behandling, som ikke omfatter oplysninger af fortrolig karakter, er undtaget fra den anmeldelsespligt, der følger af lovens § 43. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om en behandling som nævnt i lovens § 45, stk. 1.
Der er derfor ikke krav om logning, såfremt der udelukkende behandles oplysninger om personnummer og oplysninger, der ikke er af fortrolig eller følsom karakter, i kalendersystemet, jf. § 44, stk.1. Som anført overfor under punkt 3 udelukker det forhold, at oplysninger behandles i et kalendersystem, ikke, at disse anses for fortrolige eller følsomme. Om oplysningerne er af fortrolig eller endog følsom karakter afhænger af, hvilke oplysninger der er tale om. I visse tilfælde vil allerede den sammenhæng, hvori oplysningerne indgår, medføre, at oplysningerne er følsomme eller fortrolige. F.eks. i sager om tvangsfjernelse af børn, inkassosager mv.
Datatilsynet har tidligere tilkendegivet, at en aftale i et elektronisk kalendersystem med en sagsbehandler i Kriminalforsorgen er at betragte som en følsom oplysning i henhold til persondatalovens § 8, stk. 1.
Det kan således ikke udelukkes, at selve oplysningen om, at en borger har en sag til behandling ved kommunen, f.eks. ved en oplysning om den pågældende i en kalender hos en af socialforvaltningens medarbejdere, må betragtes som en fortrolig eller endog en følsom oplysning.
Hvis der er tale om en behandling af fortrolige eller følsomme oplysninger i et kalendersystem gælder der således et logningskrav, jf. sikkerhedsbekendtgørelsens § 19, ligesom de øvrige sikkerhedskrav i sikkerhedsbekendtgørelsens kapitel 3 gælder for behandlingen.
Datatilsynet skal bemærke, at det følger af sikkerhedsbekendtgørelsens § 19, stk. 2, at kravet om logning i bestemmelsens stk. 1, ikke finder anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist.
Det fremgår af sikkerhedsvejledningen, at den dataansvarlige skal tage stilling til længden af den omtalte kortere periode, der generelt bør være af en størrelsesorden på højst en måned, og udfærdige retningslinier for, hvorledes medarbejderne skal forholde sig.
Datatilsynet har noteret sig, at Aalborg Kommune i sit brev har tilkendegivet, at kommunen ikke anser det muligt at slette kalenderoplysninger inden for en måned, idet kalendere der ikke må bevares for et længere tidsrum, ikke er et tilstrækkelig brugbart redskab for sagsbehandlerne.
Datatilsynet kan oplyse, at tilsynet har besluttet at tage initiativ til at få ændret sikkerhedsbekendtgørelsens krav om logning i forhold til behandling af oplysninger i et kalendersystem, men indtil dette er sket, vil der formelt set være krav om logning, hvis systemet indeholder fortrolige eller følsomme oplysninger. Datatilsynet kan ikke sige noget endeligt om tidshorisonten for en mulig ændring af sikkerhedsbekendtgørelsen.
Datatilsynet skal samtidig fremføre vigtigheden af, at de øvrige krav gennemgået ovenfor under punkt 3, overholdes ved behandling af personoplysninger i et kalendersystem.
5. For så vidt angår Aalborg Kommunes anmodning om oplysning om, hvorvidt personnumre i elektroniske kalendersystemer giver anledning til betænkeligheder, og om en sådan behandling kan betegnes som en nødvendig behandling, og om oplysningerne skal slettes inden for et vist kortere tidsrum, når de ikke længere skal anvendes, skal Datatilsynet henvise til det ovenfor under punkt. 2, 3 og 4 anførte.
Det tilføjes, at det følger af persondatalovens § 5, stk. 5, at personoplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Aalborg Kommune bør efter Datatilsynets opfattelse derfor være opmærksom på, at et eventuelt kalendersystem ikke indeholder personoplysninger i et længere tidsrum end det, som kommunen i øvrigt opbevarer de konkrete personoplysninger i.
Såfremt der er spørgsmål til ovenstående, er kommunen velkommen til at rette henvendelse til undertegnede - gerne telefonisk.
Datatilsynet skal afslutningsvis beklage den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.