Journalnummer: 2005-632-0077
Datatilsynet afgav den af 18. maj 2005 en udtalelse til Indenrigs- og Sundhedsministeriet, CPR-kontoret, vedrørende kontorets videregivelse af oplysninger fra Det Centrale Personregister (CPR) til private virksomheder mv. i form af masseudtræk, jf. CPR-lovens § 38.
Som det fremgår af udtalelsen har Datatilsynet efterfølgende behandlet en række spørgsmål vedrørende produktet CPR Søg, hvor videregivelsen sker i henhold til CPR-lovens § 39.
Datatilsynet – som har behandlet sagen i Datarådet – har taget stilling til følgende spørgsmål:
- CPR-kontorets eventuelle forpligtelse til at føre kontrol i forbindelse med videregivelse via CPR Søg.
- Udenlandske ambassaders adgang til CPR.
- Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.
CPR-kontoret har afgivet udtalelser om disse spørgsmål i breve af 18. april 2005 og 11. maj 2005.
Datatilsynet skal udtale:
1. CPR-kontorets eventuelle forpligtelse til at føre kontrol i forbindelse med videregivelse via CPR Søg
Journalnummer: 2005-632-0077
Datatilsynet afgav den af 18. maj 2005 en udtalelse til Indenrigs- og Sundhedsministeriet, CPR-kontoret, vedrørende kontorets videregivelse af oplysninger fra Det Centrale Personregister (CPR) til private virksomheder mv. i form af masseudtræk, jf. CPR-lovens § 38.
Som det fremgår af udtalelsen har Datatilsynet efterfølgende behandlet en række spørgsmål vedrørende produktet CPR Søg, hvor videregivelsen sker i henhold til CPR-lovens § 39.
Datatilsynet – som har behandlet sagen i Datarådet – har taget stilling til følgende spørgsmål:
- CPR-kontorets eventuelle forpligtelse til at føre kontrol i forbindelse med videregivelse via CPR Søg.
- Udenlandske ambassaders adgang til CPR.
- Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.
CPR-kontoret har afgivet udtalelser om disse spørgsmål i breve af 18. april 2005 og 11. maj 2005.
Datatilsynet skal udtale:
1. CPR-kontorets eventuelle forpligtelse til at føre kontrol i forbindelse med videregivelse via CPR Søg
1.1. I en række avisartikler er der navnlig rejst spørgsmål om udenlandske ambassaders adgang til via terminaladgang at foretage enkeltopslag i CPR. Som andre eksempler på, hvem der har denne adgang, nævnes detektivbureauer og våbenhandlere. Det nævnes, at CPR-kontoret ikke fører kontrol med modtagerne af oplysningerne. Endvidere er det anført, at de registrerede ikke får og ikke kan få at vide, hvem der på denne måde modtager oplysninger om dem.
De omhandlede avisartiklerne har bl.a. givet anledning til et spørgsmål fra Folketingets Retsudvalg til justitsministeren, og Datatilsynet har anmodet CPR-kontoret om nærmere oplysninger om CPR Søg.
I brev af 18. april 2005 har CPR-kontoret bl.a. oplyst, at såvel offentlige myndigheder som private kan få terminaladgang til CPR. I praksis sker adgangen via produktet CPR Søg, som er en browserbaseret adgang til internetadressen web.cpr.dk/gws.
Videregivelse af oplysninger efter § 39 forudsætter, at virksomheden identificerer de enkelte personer ved enten 1) navn (nuværende eller tidligere) og fødselsdato, 2) navn (nuværende eller tidligere) og adresse (nuværende eller tidligere) eller 3) navn (nuværende eller tidligere) og personnummer, jf. § 42, stk. 6.
De oplysninger, der må videregives efter § 39, omfatter ubeskyttede, aktuelle navne- og adresseoplysninger, oplysning om dødsfald, evt. markedsføringsbeskyttelse og værgemål, jf. § 42, stk. 2. Dvs. at oplysningerne svarer til de oplysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2.
CPR-kontoret har i øvrigt oplyst, at private virksomheder siden 1996 har kunnet få en sådan terminaladgang til CPR. Før CPR-lovens ikrafttræden skete adgangen med hjemmel i de daværende forskrifter for CPR-registret, som var godkendt af Registertilsynet.
Alle private virksomheder og myndigheder, som i dag har terminaladgang til CPR, er godkendt af CPR-kontoret og har fået udleveret de standardvilkår, som Indenrigs- og Sundhedsministeriet har fastsat for anvendelsen af terminalad-gangen.
1.2. Som det fremgår af CPR-kontorets udtalelse af 18. april 2005 giver CPR Søg alene adgang til enkeltopslag på aktuelle oplysninger om først og fremmest navn og adresse på identificerede personer. Der gives således samme adgang til oplysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2.
Det er på denne baggrund Datatilsynets opfattelse, at CPR-kontoret alene er forpligtet til at påse, om betingelserne i § 39 er opfyldt, før der gives terminaladgang. Det kan således ikke antages, at CPR-kontoret er forpligtet til at føre kontrol med, om en virksomhed mv., som modtager eller anmoder om at modtage CPR-oplysninger i henhold til CPR-lovens § 39, er berettiget til at behandle oplysningerne efter persondataloven.
Datatilsynet skal imidlertid fremhæve, at CPR-lovens § 39 ikke fratager den dataansvarlige virksomhed el.lign., der modtager CPR-oplysninger efter bestemmelsen, ansvaret for, at indsamlingen og den videre behandling af oplysningerne er i overensstemmelse med persondatalovens regler.
2. Udenlandske ambassaders adgang til CPR
2.1. CPR-kontoret har i brev af 11. maj 2005 bl.a. oplyst, at modtagerkredsen efter CPR-lovens § 39 – som det også er anført i bemærkningerne til § 38, stk. 1, i CPR-lovforslaget – omfatter alle juridiske personer og fysiske personer, der driver erhvervsvirksomhed.
CPR-kontoret har endvidere anført, at der i de indledende afsnit i bemærkningerne til CPR-lovforslagets kapitel 8, 10 og 12 om videregivelse fra CPR foretages en sondring mellem offentlige myndigheder og private. Det fremgår bl.a. heraf, at udenlandske offentlige myndigheder efter CPR-loven altid skal behandles som private.
Dette indebærer, at videregivelse til udenlandske myndigheder ikke er omfattet af kapitel 8 i CPR-loven om videregivelse til offentlige myndigheder, men skal behandles efter reglerne i kapitel 10 og 12 om videregivelse til private. I vejledning nr. 51 af 13. juni 2002 om folkeregistrering er optaget et bilag 2 om sondringen mellem offentlige myndigheder og private, hvor der blandt eksemplerne på private er nævnt "Ambassader og øvrige repræsentanter for fremmede lande.
2.2. Datatilsynet har noteret sig, at adgang til at foretage enkeltopslag i CPR via CPR Søg gives, når betingelserne i CPR-lovens § 39 er opfyldt.
Datatilsynet har desuden noteret sig, at det forudsættes, at udenlandske offentlige myndigheder efter CPR-loven behandles som private. Tilsynet finder på den baggrund, at det må anses for at være i overensstemmelse med CPR- loven og dennes forudsætninger samt persondataloven, at CPR-kontoret giver bl.a. udenlandske ambassader adgang til at foretage enkeltopslag i CPR via CPR Søg.
Datatilsynet har overvejet, om ordningen med udenlandske ambassaders terminaladgang rejser et særligt spørgsmål i forhold til flygtninge. Registrering af flygtninge i CPR sker – som for alle andre personer – i henhold til folkeregistreringslovgivningen, herunder CPR-loven, og ifølge det oplyste får flygtninge efter CPR-lovens § 3, stk. 3, nr. 2, tilsendt meddelelse om tildeling af personnummer, når denne sker. Det er samtidig oplyst, at CPR-kontoret i forbindelse hermed ikke orienterer om de videregivelsesbestemmelser, der findes i CPR-loven, eller om mulighederne for at få navne- og adressebeskyttelse mv.
Efter Datatilsynets opfattelse kan der være grund til at overveje, om særlige grupper, f.eks. flygtninge, bør informeres om, hvad registreringen i CPR indebærer, og om mulighederne for at få navne- og adressebeskyttelse mv. Tilsynet skal således anbefale, at det overvejes, om der under en eller anden form kan gives information herom til flygtninge, for hvem videregivelse af CPR-oplysninger kan tænkes at indebære en særlig risiko.
Datatilsynet skal desuden foreslå, at CPR-kontoret såvel i vilkårene for CPR Søg som i hvert enkelt udtræk af CPR-oplysninger, der foretages via CPR Søg, indsætter oplysning om, at modtageren skal være opmærksom på, at vedkommende kan have oplysningspligt efter persondataloven over for den registrerede.
3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR
3.1. CPR-kontoret registrerer ifølge det oplyste alle de opslag og søgninger i CPR, der foretages via terminaladgang, i en log, som bl.a. indeholder oplysninger om tidspunkt og brugerkode, samt hvilke oplysninger der har været adgang til. Loggen opbevares i seks måneder.
CPR-kontoret har i den forbindelse anført, at kontoret ikke mener at have pligt til at oplyse en borger om, at en given virksomhed har foretaget opslag på pågældende i CPR. CPR-kontoret har henvist til persondatalovens § 29, stk. 2, hvorefter den generelle oplysningspligt ikke gælder, når videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov – som det er tilfældet for videregivelsen af oplysninger fra CPR.
Efter CPR-kontorets opfattelse har kontoret endvidere ikke pligt til at oplyse om transaktionslogning i forbindelse med imødekommelsen af en registerindsigt.
CPR-kontoret har i den forbindelse henvist til, at Registertilsynet (nu Datatilsynet) har udtalt, at retten til registerindsigt ikke omfatter ret til indsigt i transaktionslogninger, jf. Registertilsynets årsberetning for 1998.
CPR-kontoret har endvidere oplyst, at loggen vedrørende CPR Søg føres i sikkerhedsøjemed, og at det bl.a. er forekommet, at politiet har fået adgang til den i dette øjemed.
3.2. Efter persondatalovens § 31 har en registreret person ret til indsigt i oplysninger, der behandles om den pågældende selv. Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
For behandlinger af personoplysninger, der foretages for den offentlige forvaltning, er de nærmere krav til sikkerhedsforanstaltningerne fastsat i sikkerhedsbekendtgørelsen.
For anmeldelsespligtige behandlinger medfører sikkerhedsbekendtgørelsen bl.a. et krav om maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
Det må lægges til grund, at den omhandlede log over opslag i CPR har været ført, siden dette var et krav efter de registerforskrifter, som var fastsat i henhold til den tidligere gældende lov om offentlige myndigheders registre.
Datatilsynet lægger herefter samlet til grund, at formålet med den omhandlede log er sikkerhedsmæssigt. Tilsynet tillægger det i den forbindelse særlig vægt, at der ikke logges oplysninger ud over det, der for anmeldelsespligtige behandlinger kræves efter sikkerhedsbekendtgørelsen, ligesom loggen rent faktisk anvendes i overensstemmelse med sit formål. Datatilsynet anser derfor den log, som CPR-kontoret fører i forbindelse med CPR Søg, for en sikkerhedslog.
Efter Datatilsynets opfattelse er den omhandlede log en systemmæssig facilitet. Der er ikke som sådan tale om en tilsigtet og selvstændig behandling af de indeholdte data, men loggen er alene afledt af den egentlige behandling.
Under hensyn hertil er det Datatilsynets opfattelse, at oplysningerne i den omhandlede sikkerhedslog falder uden for det, som er omfattet af den registreredes indsigtsret.
I en række avisartikler er der navnlig rejst spørgsmål om udenlandske ambassaders adgang til via terminaladgang at foretage enkeltopslag i CPR. Som andre eksempler på, hvem der har denne adgang, nævnes detektivbureauer og våbenhandlere. Det nævnes, at CPR-kontoret ikke fører kontrol med modtagerne af oplysningerne. Endvidere er det anført, at de registrerede ikke får og ikke kan få at vide, hvem der på denne måde modtager oplysninger om dem.
De omhandlede avisartiklerne har bl.a. givet anledning til et spørgsmål fra Folketingets Retsudvalg til justitsministeren, og Datatilsynet har anmodet CPR-kontoret om nærmere oplysninger om CPR Søg.
I brev af 18. april 2005 har CPR-kontoret bl.a. oplyst, at såvel offentlige myndigheder som private kan få terminaladgang til CPR. I praksis sker adgangen via produktet CPR Søg, som er en browserbaseret adgang til internetadressen web.cpr.dk/gws.
Videregivelse af oplysninger efter § 39 forudsætter, at virksomheden identificerer de enkelte personer ved enten 1) navn (nuværende eller tidligere) og fødselsdato, 2) navn (nuværende eller tidligere) og adresse (nuværende eller tidligere) eller 3) navn (nuværende eller tidligere) og personnummer, jf. § 42, stk. 6.
De oplysninger, der må videregives efter § 39, omfatter ubeskyttede, aktuelle navne- og adresseoplysninger, oplysning om dødsfald, evt. markedsføringsbeskyttelse og værgemål, jf. § 42, stk. 2. Dvs. at oplysningerne svarer til de oplysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2.
CPR-kontoret har i øvrigt oplyst, at private virksomheder siden 1996 har kunnet få en sådan terminaladgang til CPR. Før CPR-lovens ikrafttræden skete adgangen med hjemmel i de daværende forskrifter for CPR-registret, som var godkendt af Registertilsynet.
Alle private virksomheder og myndigheder, som i dag har terminaladgang til CPR, er godkendt af CPR-kontoret og har fået udleveret de standardvilkår, som Indenrigs- og Sundhedsministeriet har fastsat for anvendelsen af terminalad-gangen.
1.2. Som det fremgår af CPR-kontorets udtalelse af 18. april 2005 giver CPR Søg alene adgang til enkeltopslag på aktuelle oplysninger om først og fremmest navn og adresse på identificerede personer. Der gives således samme adgang til oplysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2.
Det er på denne baggrund Datatilsynets opfattelse, at CPR-kontoret alene er forpligtet til at påse, om betingelserne i § 39 er opfyldt, før der gives terminaladgang. Det kan således ikke antages, at CPR-kontoret er forpligtet til at føre kontrol med, om en virksomhed mv., som modtager eller anmoder om at modtage CPR-oplysninger i henhold til CPR-lovens § 39, er berettiget til at behandle oplysningerne efter persondataloven.
Datatilsynet skal imidlertid fremhæve, at CPR-lovens § 39 ikke fratager den dataansvarlige virksomhed el.lign., der modtager CPR-oplysninger efter bestemmelsen, ansvaret for, at indsamlingen og den videre behandling af oplysningerne er i overensstemmelse med persondatalovens regler.
2. Udenlandske ambassaders adgang til CPR
2.1. CPR-kontoret har i brev af 11. maj 2005 bl.a. oplyst, at modtagerkredsen efter CPR-lovens § 39 – som det også er anført i bemærkningerne til § 38, stk. 1, i CPR-lovforslaget – omfatter alle juridiske personer og fysiske personer, der driver erhvervsvirksomhed.
CPR-kontoret har endvidere anført, at der i de indledende afsnit i bemærkningerne til CPR-lovforslagets kapitel 8, 10 og 12 om videregivelse fra CPR foretages en sondring mellem offentlige myndigheder og private. Det fremgår bl.a. heraf, at udenlandske offentlige myndigheder efter CPR-loven altid skal behandles som private.
Dette indebærer, at videregivelse til udenlandske myndigheder ikke er omfattet af kapitel 8 i CPR-loven om videregivelse til offentlige myndigheder, men skal behandles efter reglerne i kapitel 10 og 12 om videregivelse til private. I vejledning nr. 51 af 13. juni 2002 om folkeregistrering er optaget et bilag 2 om sondringen mellem offentlige myndigheder og private, hvor der blandt eksemplerne på private er nævnt "Ambassader og øvrige repræsentanter for fremmede lande.
2.2. Datatilsynet har noteret sig, at adgang til at foretage enkeltopslag i CPR via CPR Søg gives, når betingelserne i CPR-lovens § 39 er opfyldt.
Datatilsynet har desuden noteret sig, at det forudsættes, at udenlandske offentlige myndigheder efter CPR-loven behandles som private. Tilsynet finder på den baggrund, at det må anses for at være i overensstemmelse med CPR- loven og dennes forudsætninger samt persondataloven, at CPR-kontoret giver bl.a. udenlandske ambassader adgang til at foretage enkeltopslag i CPR via CPR Søg.
Datatilsynet har overvejet, om ordningen med udenlandske ambassaders terminaladgang rejser et særligt spørgsmål i forhold til flygtninge. Registrering af flygtninge i CPR sker – som for alle andre personer – i henhold til folkeregistreringslovgivningen, herunder CPR-loven, og ifølge det oplyste får flygtninge efter CPR-lovens § 3, stk. 3, nr. 2, tilsendt meddelelse om tildeling af personnummer, når denne sker. Det er samtidig oplyst, at CPR-kontoret i forbindelse hermed ikke orienterer om de videregivelsesbestemmelser, der findes i CPR-loven, eller om mulighederne for at få navne- og adressebeskyttelse mv.
Efter Datatilsynets opfattelse kan der være grund til at overveje, om særlige grupper, f.eks. flygtninge, bør informeres om, hvad registreringen i CPR indebærer, og om mulighederne for at få navne- og adressebeskyttelse mv. Tilsynet skal således anbefale, at det overvejes, om der under en eller anden form kan gives information herom til flygtninge, for hvem videregivelse af CPR-oplysninger kan tænkes at indebære en særlig risiko.
Datatilsynet skal desuden foreslå, at CPR-kontoret såvel i vilkårene for CPR Søg som i hvert enkelt udtræk af CPR-oplysninger, der foretages via CPR Søg, indsætter oplysning om, at modtageren skal være opmærksom på, at vedkommende kan have oplysningspligt efter persondataloven over for den registrerede.
3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR
3.1. CPR-kontoret registrerer ifølge det oplyste alle de opslag og søgninger i CPR, der foretages via terminaladgang, i en log, som bl.a. indeholder oplysninger om tidspunkt og brugerkode, samt hvilke oplysninger der har været adgang til. Loggen opbevares i seks måneder.
CPR-kontoret har i den forbindelse anført, at kontoret ikke mener at have pligt til at oplyse en borger om, at en given virksomhed har foretaget opslag på pågældende i CPR. CPR-kontoret har henvist til persondatalovens § 29, stk. 2, hvorefter den generelle oplysningspligt ikke gælder, når videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov – som det er tilfældet for videregivelsen af oplysninger fra CPR.
Efter CPR-kontorets opfattelse har kontoret endvidere ikke pligt til at oplyse om transaktionslogning i forbindelse med imødekommelsen af en registerindsigt.
CPR-kontoret har i den forbindelse henvist til, at Registertilsynet (nu Datatilsynet) har udtalt, at retten til registerindsigt ikke omfatter ret til indsigt i transaktionslogninger, jf. Registertilsynets årsberetning for 1998.
CPR-kontoret har endvidere oplyst, at loggen vedrørende CPR Søg føres i sikkerhedsøjemed, og at det bl.a. er forekommet, at politiet har fået adgang til den i dette øjemed.
3.2. Efter persondatalovens § 31 har en registreret person ret til indsigt i oplysninger, der behandles om den pågældende selv. Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
For behandlinger af personoplysninger, der foretages for den offentlige forvaltning, er de nærmere krav til sikkerhedsforanstaltningerne fastsat i sikkerhedsbekendtgørelsen.
For anmeldelsespligtige behandlinger medfører sikkerhedsbekendtgørelsen bl.a. et krav om maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
Det må lægges til grund, at den omhandlede log over opslag i CPR har været ført, siden dette var et krav efter de registerforskrifter, som var fastsat i henhold til den tidligere gældende lov om offentlige myndigheders registre.
Datatilsynet lægger herefter samlet til grund, at formålet med den omhandlede log er sikkerhedsmæssigt. Tilsynet tillægger det i den forbindelse særlig vægt, at der ikke logges oplysninger ud over det, der for anmeldelsespligtige behandlinger kræves efter sikkerhedsbekendtgørelsen, ligesom loggen rent faktisk anvendes i overensstemmelse med sit formål. Datatilsynet anser derfor den log, som CPR-kontoret fører i forbindelse med CPR Søg, for en sikkerhedslog.
Efter Datatilsynets opfattelse er den omhandlede log en systemmæssig facilitet. Der er ikke som sådan tale om en tilsigtet og selvstændig behandling af de indeholdte data, men loggen er alene afledt af den egentlige behandling.
Under hensyn hertil er det Datatilsynets opfattelse, at oplysningerne i den omhandlede sikkerhedslog falder uden for det, som er omfattet af den registreredes indsigtsret.