Journalnummer: 2004-54-1508
Projekt JANUS anmeldte den 13. juli 2004 behandlingen ”Psykologisk udredning, behandling og vidensopsamling af unge, som har været seksuelt krænkende overfor børn”, til Datatilsynet.
Af anmeldelsen fremgik, at formålet med behandlingen er, ”at hjælpe de unge, som har været seksuelt krænkende over for børn samt opnå og anvende den viden, som fremkommer via udredning og behandling til at identificere årsager og være medvirkende til at skabe forebyggende instanser.” Projekt JANUS anvender de indsamlede oplysninger til både behandling af de unge krænkere samt i videnskabeligt og statistisk øjemed.
Efter drøftelser mellem Projekt JANUS og Datatilsynet er anmeldelsen blevet opdelt i to anmeldelser vedrørende henholdsvis behandlingsdelen og forskningsdelen. Denne udtalelse vedrører alene anmeldelsen af behandlingsdelen. En udtalelse vedrørende forskningsdelen vil blive afgivet særskilt.
Behandlingen omfatter behandling af en række følsomme oplysninger: Registrering af racemæssig eller etnisk baggrund, helbredsforhold, seksuelle forhold, strafbare forhold samt væsentlige sociale problemer.
Ifølge anmeldelsens punkt 4 behandler Projekt JANUS følgende oplysninger om de unge krænkere: Alder, køn, bopæl, antal søskende, relation til forældre, forekomst af omsorgssvigt i hjemmet, skole og kammeratskabsoplysninger, kognitivt funktionsniveau, gruppetilhørsforhold, kontakt med politiet, oplysninger om overgrebet/overgrebene, den unges relation til ofret/ofrene, den unges anvendelse af pornografisk materiale, racemæssig baggrund og helbredsforhold.
Om de unge krænkeres familie behandles – ifølge anmeldelsen - følgende oplysninger: Psykosociale forhold, forældrenes indbyrdes relation, om de evt. har været udsat for seksuelt grænseoverskridende adfærd eller har udsat andre for seksuelt grænseoverskridende handlinger, evt. forekomst af vold i hjemmet, alder, køn, relation til krænker og trivsel.
Om ofre behandles - ifølge anmeldelsen - følgende oplysninger: Alder, køn, relation til krænker samt oplysninger om seksuelle forhold på baggrund af krænkerens oplysninger.
Der er ved telefonsamtaler af henholdsvis den 20., 21., 25. og 26. januar 2005 indhentet oplysninger telefonisk.
Datatilsynet afholdt den 28. januar 2005 et møde med Projekt JANUS, hvor også Socialministeriet var repræsenteret. Der blev her afdækket/diskuteret en række problemstillinger, som anmeldelsen gav anledning til.
Datatilsynet har ved e-post af 1. februar 2005 modtaget uddybende materiale fra Socialministeriet.
Det fremgår herefter af sagen, at Socialministeriet i 2003 iværksatte et treårigt projekt – Projekt JANUS – der har til formål at forebygge seksuelle overgreb mod børn ved så tidligt som muligt at gribe ind i forhold til børn og unge, som er seksuelt grænseoverskridende. Medarbejderne i projektet er alle ansat af Socialministeriet. Projektet ledes af en autoriseret psykolog, og de øvrige medarbejdere er henholdsvis psykologer, herunder ikke-autoriserede, en socialrådgiver samt en administrativ medarbejder. Henvisning til projektet foregår i samarbejde med de sociale myndigheder. Der afholdes således indledningsvis et møde mellem de sociale myndigheder og Projekt JANUS, hvor det vurderes, om den unge skal henvises til projektet. Der er tale om børn og unge i alderen 12-18 år, men hovedparten af de unge er under 15 år.
For så vidt angår de sikkerhedsmæssige aspekter oplyste Projekt JANUS på mødet, at projektet har en enkelt hjemmearbejdsplads samt en bærbar pc tilknyttet projektet. Projektet kunne på mødet ikke fremvise uddybende sikkerhedsregler, som sikkerhedsbekendtgørelsens § 5 kræver, at den dataansvarlige myndighed har fastsat. Projektet var endvidere ikke i stand til at oplyse over for Datatilsynet, om projektet overholder reglerne i sikkerhedsbekendtgørelsens § 7, stk. 2, om fastsættelse af særlige retningslinier for behandling af personoplysninger på hjemmearbejdspladser samt logningskravet i § 19. Tilsynet udbad sig derfor en skriftlig redegørelse med beskrivelse af projektets sikkerhedsforanstaltninger.
Projekt JANUS har efterfølgende ved e-post af 22. februar 2005 fremsendt et notat om beskyttelse af personoplysninger hos projektet, der er en sammenskrivning af den nuværende situation og påtænkte ændringer.
Heraf fremgår bl.a., at myndigheden nu udarbejder uddybende sikkerhedsregler, herunder særlige retningslinier for hjemmearbejdspladser, samt etablerer logning.
Datatilsynet skal – efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:
1. Behandling af oplysninger om krænkeren og dennes familie
Projekt JANUS oplyste på mødet med Datatilsynet, at forinden behandling af oplysninger om krænkeren og dennes (kerne)familie, det vil sige forældre og eventuelle søskende, påbegyndes, indhentes der for så vidt angår behandling af oplysninger om krænkeren og eventuelle søskende udtrykkeligt samtykke hertil fra forældremyndighedens indehaver. (Er krænkeren eller eventuelle søskende over 15 år, søges samtykke tillige indhentet fra denne/disse). Der indhentes endvidere samtykke fra forældrene til behandling af oplysninger om forældrene selv.
For så vidt angår andre familiemedlemmer (eksempelvis kusiner) og ofre uden for familien indhentes der ikke samtykke. Dog vil der forekomme situationer, hvor f.eks. en kusine og dennes forældre deltager i behandlingsforløbet. I disse situationer indhentes der samtykke fra de pågældende.
Et samtykke fra den registrerede skal opfylde betingelserne i persondatalovens § 3, nr. 8, hvoraf fremgår, at et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Et samtykke meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.
Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt. Dette vil navnlig gælde, hvis der gives samtykke til behandling af oplysninger, som er af følsom karakter, eller hvis samtykket i øvrigt har stor betydning for en eller flere af parterne.
Et samtykke skal endvidere være frivilligt. Samtykket må således ikke være afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige selv eller andre, der øver pression over for den registrerede.
Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.
Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.
Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.
Det samtykke, som Projekt JANUS vil basere sin behandling på, skal leve op til persondatalovens krav som beskrevet ovenfor.
Det er Datatilsynets opfattelse, at forældre til mindreårige børn i almindelighed kan give samtykke på vegne af deres børn.
2. Behandling af oplysninger om ofret
Det fremgår som nævnt af anmeldelsen, at der behandles oplysninger om ofrets alder, køn, relation til krænkeren samt oplysninger om seksuelle forhold på baggrund af krænkerens oplysninger. Projekt JANUS har oplyst, at relationen til krænkeren kan være oplysninger om, hvorvidt krænkeren kender eller ikke kender ofret, samt om der er tale om en kammerat, kusine, søster osv. Endvidere behandles oplysninger om, hvilken form for seksuelt krænkende adfærd der er tale om.
Projekt JANUS har oplyst, at der behandles de oplysninger om ofret, som krænkeren selv oplyser. Det er alene krænkerens version af virkeligheden, der registreres, og der er således ikke nogen garanti for, at krænkeren oplyser den rigtige relation til ofret. Navnet på ofret eller andre identifikationsoplysninger vil dog i visse tilfælde blive oplyst af socialforvaltningen eller eventuelt fremgå af de manuelle journaler, men ikke elektronisk.
Datatilsynet forudsætter i den forbindelse, at en eventuel videregivelse af oplysninger fra socialforvaltningen til Projekt JANUS kun vil ske i det omfang, der er hjemmel hertil i persondataloven, herunder § 8, stk. 3, for så vidt angår følsomme oplysninger omfattet af §§ 7 og 8.
Projekt JANUS har oplyst, at det er nødvendigt at indhente oplysninger om krænkerens relation til ofret for at kunne påvise, om det er unge, der kender hinanden i forvejen, hvilket det er i hovedparten af tilfældene. Klassificeringen bevirker endvidere, at situationerne kan sammenholdes med international litteratur.
Projekt JANUS oplyste på mødet, at man endvidere anser det for en naturlig og nødvendig del af behandlingen at tale om ofret, og hvad krænkeren har udvist af adfærd over for ofret.
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Det følger af persondatalovens definition på personoplysninger i lovens § 3, stk. 1, at en personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Af forarbejderne til lovens § 3, nr. 1, fremgår, at udtrykket ”identificerbar person” skal forstås som en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, som f.eks. løbenummer. Omfattet vil ligeledes bl.a. være oplysninger, som foreligger i form af billede, personens stemme, fingeraftryk eller genetiske kendetegn.
Ved spørgsmålet om, hvorvidt der er tale om en personoplysning i bestemmelsens forstand, er det uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor der kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt, at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, f.eks. et medlemsnummer eller journalnummer. Er f.eks. navn eller adresse erstattet af en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigvæk være tale om en personoplysning.
Krypterede oplysninger er dermed også omfattet, så længe nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som oplysningerne vedrører. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er naturligvis ikke omfattet af definitionen.
Ved afgørelse af, om en person er identificerbar, skal alle hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning.
Det er Datatilsynets opfattelse, at oplysningerne om ofret som udgangspunkt må anses for personoplysninger om ofret, selv om Projekt JANUS ikke i alle tilfælde er bekendt med navnet eller andre umiddelbare identifikationsoplysninger på ofret.
Datatilsynet har i vurderingen heraf lagt vægt på, at Projekt JANUS ofte får oplysninger om ofret fra de sociale myndigheder i forbindelse med visitering af den unge krænker til projektet. De sociale myndigheder kender således i de fleste tilfælde ofrets identitet. Det vil derfor med alle hjælpemidler taget i betragtning være relativt let at finde frem til ofrets identitet.
Det er Datatilsynets opfattelse, at en oplysning om, at man har været udsat for en seksuel krænkelse, er en oplysning om bl.a. seksuelle forhold omfattet af persondatalovens § 7.
Det følger af persondatalovens § 7, stk. 1, at oplysninger om bl.a. seksuelle forhold som udgangspunkt ikke må behandles.
Efter § 7, stk. 2, må behandling af sådanne oplysninger dog bl.a. ske, hvis
- den registrerede har givet sit udtrykkelige samtykke til en sådan behandling (§ 7, stk. 2, nr. 1), eller
- behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares (§ 7, stk. 2, nr. 4).
Det følger endvidere af lovens § 7, stk. 5, at bestemmelsen i stk. 1 ikke finder anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.
Projekt JANUS har tilkendegivet over for Datatilsynet, at de ikke finder det hensigtsmæssigt at forsøge at indhente samtykke fra ofret, dels anser de det for tvivlsomt, om det vil være i ofrets interesse at få oplysning om, at der behandles oplysninger om vedkommende i forbindelse med et tidligere overgreb, som ofret måske prøver at lægge fra sig, og dels vil man i forbindelse med indhentning af samtykke blive nødt til at oplyse ofret om, at krænkeren er i behandling for den pågældende forseelse. Projekt JANUS har hertil oplyst, at det må anses for at være et brud på den tavshedspligt, som de ansatte er underlagt, at videregive oplysninger om, at krænkeren er i behandling. Projekt JANUS anser det endvidere ikke for at være forsvarligt at forsøge at indhente samtykke fra krænkeren til, at Projekt JANUS kan henvende sig til ofret, idet det anses for etisk uansvarligt at bede en ung person i en krisesituation om at tage stilling til, om der må rettes henvendelse til ofret.
Det er på den baggrund umiddelbart Datatilsynets vurdering, at det næppe vil være praktisk muligt i alle tilfælde at stille krav om udtrykkeligt samtykke fra ofret efter lovens § 7, stk. 2, nr. 1.
Af lovens § 7, stk. 2, nr. 4, følger, at der kan ske behandling af personoplysninger, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
Projekt JANUS har oplyst, at de anser det for nødvendigt at inddrage oplysninger om ofret i behandlingen, idet det ikke kan udelukkes, at sådanne oplysninger spiller en afgørende rolle for at kunne udlede baggrunden for den pågældende krænkelse og dermed for behandlingen af krænkeren, således at gentagelsessituationer undgås.
Det er Datatilsynets opfattelse, at oplysninger om ofret kan behandles uden samtykke, hvis det ud fra en konkret vurdering viser sig for at kunne give krænkeren den bedst mulige behandling.
Datatilsynet lægger herved vægt på, at det følger af lov om social service § 38, stk. 1, at kommunen skal undersøge barnets eller den unges forhold, hvis det må antages, at et barn eller en ung har behov for særlig støtte, og at det følger af 40, stk. 1, og stk. 2, nr. 3, at kommunen kan træffe afgørelse om foranstaltninger herunder om familiebehandling eller lignende støtte, hvis det skønnes at være af væsentlig betydning for et barn eller en ungs særlige behov for støtte.
Datatilsynet lægger endvidere vægt på, at Socialministeriet i e-post af 1. februar 2005 har oplyst til tilsynet, at ordet ”kan” i lovteksten i praksis er et ”skal” således, at hvis et barn eller en ung har behov for særlig støtte, er kommunen forpligtet til at igangsætte de mindst indgribende formålstjenstlige foranstaltninger, jf. § 40, stk. 1. Det er ministeriets opfattelse, at de unge krænkeres problemer er af en karakter, hvor kommunen er forpligtet til at sætte foranstaltninger i gang, og at man derfor med rette kan sige, at disse børn og unge har et retskrav på behandling.
Projekt JANUS og Socialministeriet har givet udtryk for den opfattelse, at projektet falder ind under persondatalovens § 7, stk. 5.
Af forarbejderne til lovens § 7, stk. 5, fremgår, at bestemmelsen indebærer, at den dataansvarlige vil kunne behandle de i stk. 1 nævnte oplysninger i forbindelse med varetagelsen af sine opgaver på sundhedsområdet. Dette gælder f.eks. i forbindelse med den patientbehandling, som finder sted på offentlige og private sygehuse eller hos praktiserende læger. Her vil den for patientbehandlingen nødvendige behandling af oplysninger om f.eks. seksuelle forhold eller om helbredsforhold, herunder om misbrug af nydelsesmidler, således kunne finde sted. Også behandling af personoplysninger, som er nødvendig for at følge op på en egentlig patientbehandling, f.eks. gennem offentlig støtte i form af hjælpemidler m.v., er omfattet af bestemmelsen. Bestemmelsen omfatter endvidere dataansvarliges løsning af deres administrative opgaver på det sundhedsmæssige område. Dette gælder bl.a. den amtskommunale forvaltning af sundhedsområdet.
§ 7, stk. 5, er baseret på artikel 8, stk. 3, i databeskyttelsesdirektivet. I betænkning 1345/1997 om behandling af personoplysninger beskrives på s. 247f, hvilke typer af aktiviteter, der er omfattet af bestemmelsen i direktivets artikel 8, stk. 3. Omfattet må antages at være behandling af oplysninger, som er nødvendig af hensyn til varetagelsen af aktiviteter inden for sundhedssektoren. Der er navnlig tale om aktiviteter, som foretages på sygehuse, klinikker og hos læger, men bestemmelsen omfatter også særlige institutioner i privat eller offentligt regi, hjemmesygepleje samt tildeling af hjælpemidler og lignende tiltag, som udgør en opfølgning på en behandling. Herudover omfattes behandling af oplysninger med henblik på varetagelsen af de administrative opgaver, som er nødvendige i forbindelse med forvaltningen af sådanne institutioner.
Det anføres endvidere, at der ved udtrykket ”forebyggende medicin” må forstås som omfattende forebyggende behandling, f.eks. vaccinering og rutineundersøgelser og lignende undersøgelser, som ikke er begrundet i en konkret mistanke om, at den undersøgte lider af en bestemt sygdom.
Ved ”Sygepleje eller patientbehandling” må – ud over almindelig behandling hos privat praktiserende læger og på hospitaler – antages at omfatte fysioterapi, kiropraktik og lignende professionel assistance i forbindelse med afhjælpning af symptomer på og årsager til sygdomstilstande. Bestemmelsen må i hvert fald antages at omfatte aktiviteter, som foretages af de grupper af personer, der i dag er underkastet et krav om offentlig autorisation, herunder f.eks. fodterapeuter, fysioterapeuter, ergoterapeuter, jordemødre, optikere, kliniske diætister, tandplejere og læger.
Det er på den baggrund Datatilsynets opfattelse, at den behandling af personoplysninger, der finder sted i Projekt JANUS, ikke kan ske med hjemmel i § 7, stk. 5.
Datatilsynet har herved lagt vægt på, at behandlingen i Projekt JANUS - bl.a. henset til at der er tale om tiltag, der finder sted med hjemmel i lov om social service - ikke kan siges at ligge inden for sundhedssektoren.
3. Kravet om formålsbestemthed og saglighed
Persondatalovens § 5 indeholder en række grundlæggende databeskyttelsesretlige principper for den dataansvarliges behandling af oplysninger, som altid skal iagttages, selv om der i øvrigt er hjemmel til at foretage behandlingen.
Det fremgår således af lovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
Af persondatalovens § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.
Persondatalovens § 5, stk. 2, 2. led, medfører således, at de oplysninger om bl.a. ofrene, som Projekt JANUS indsamler og registrerer, ikke frit vil kunne genbruges, videregives mv. Under hensyntagen til karakteren af de oplysninger, der behandles i projektet, og til det ganske særlige formål, der er begrundelsen for behandlingen, er det Datatilsynets opfattelse, at anvendelse af de oplysninger om ofre, der behandles i projektet, til andre formål end de, der varetages i projektet, som udgangspunkt vil være i strid med § 5, stk. 2, 2. led. Herudover sætter persondatalovens øvrige regler grænser for, hvilken behandling oplysningerne kan undergives. Tilsynet tillægger det herved også betydning, at der er tale om oplysninger, som er afgivet af krænkeren, og som kan være fejlagtige.
Persondatalovens § 5, stk. 2, er imidlertid ikke til hinder for, at oplysningerne senere behandles alene i historisk, statistisk eller videnskabeligt øjemed, jf. bestemmelsens sidste led.
Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Efter Datatilsynets opfattelse medfører denne regel i relation til oplysningerne i projektet, herunder i særdeleshed oplysningerne om ofrene, en forpligtelse til at minimere databehandlingen til det absolut nødvendige. I den forbindelse bør det efter tilsynets opfattelse tilstræbes, at oplysningerne om ofrene i videst muligt omfang gøres anonyme eller ikke umiddelbart personhenførbare.
Af § 5, stk. 4, følger endvidere, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Datatilsynet skal påpege, at oplysninger om ofrene alene baseret på krænkerens udsagn bør registreres således, at det klart fremgår, at der er tale om et udsagn fra en person, og ikke en bekræftet kendsgerning.
Det følger endelig af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Datatilsynet forudsætter, at Projekt JANUS iagttager persondatalovens § 5 i forbindelse med behandling af oplysningerne.
4. Oplysningspligt over for ofret
Persondatalovens kapitel 8 indeholder regler om oplysningspligt over for den registrerede.
I tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, følger det af persondatalovens § 29, stk. 1, at det påhviler den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted, at give den registrerede meddelelse om den dataansvarliges eller dennes repræsentants identitet samt formålet med behandlingen. Den dataansvarlige skal endvidere give meddelelse om alle yderligere oplysninger, der efter forholdets særlige omstændigheder er nødvendige for, at den registrerede kan varetage sine interesser, herunder f.eks. indsamlede oplysningstyper og kategorier af eventuelle modtagere af oplysningerne.
Lovens § 29, stk. 2-3, samt § 30 indeholder undtagelsesbestemmelser til oplysningspligten i § 29, stk. 1.
Som ovenfor nævnt er det Datatilsynets vurdering, at Projekt JANUS behandler personhenførbare oplysninger om ofret omfattet af persondataloven, hvilket som udgangspunkt indebærer, at der udløses oplysningspligt i medfør af persondatalovens § 29.
Det følger bl.a. af § 30, stk. 1, at bestemmelsen i § 29, stk. 1, ikke gælder, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Det afhænger af en konkret vurdering i hvert enkelt tilfælde, hvorvidt der vil kunne gøres undtagelse fra oplysningspligten. Der henvises i øvrigt til Datatilsynets rettighedsvejledning, punkt 2.
Datatilsynet forudsætter, at reglerne om oplysningspligt iagttages i forbindelse med indsamling af oplysninger om ofret.
5. Anmeldelse til og tilladelse fra Datatilsynet
Det følger af persondatalovens § 43, stk. 1, at forinden iværksættelse af en behandling af oplysninger, som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller dennes repræsentant foretages anmeldelse til Datatilsynet.
Det følger endvidere af persondatalovens § 45, stk. 1, at forinden behandling, som er omfattet af anmeldelsespligten i § 43, iværksættes, skal Datatilsynets udtalelse indhentes, når behandlingen omfatter oplysninger, der er omfattet af § 7, stk. 1, og § 8, stk. 1.
Datatilsynet har i forbindelse med sagens behandling konstateret, at Projekt JANUS den 1. september 2003 er påbegyndt behandling af følsomme personoplysninger uden at iagttage persondatalovens regler om anmeldelse til og udtalelse fra tilsynet.
6. Datasikkerhed
Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Nærmere regler om de sikkerhedsforanstaltninger, som den dataansvarlige skal træffe, er, for så vidt angår den offentlige forvaltning fastsat i sikkerhedsbekendtgørelsen.
Enhver behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvist ved hjælp af elektronisk databehandling, skal ske i overensstemmelse med sikkerhedsbekendtgørelsens kapitel 1-2.
Det følger bl.a. af sikkerhedsbekendtgørelsens § 5, stk. 1, 1. led, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af bekendtgørelsen.
Det følger endvidere af sikkerhedsbekendtgørelsens § 7, stk. 2, at hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarliges myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages.
Behandlinger af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i persondataloven, skal tillige ske i overensstemmelse med bestemmelserne i sikkerhedsbekendtgørelsens kapitel 3 (§§ 15 –19). Reglerne i kapitel 3 omhandler således supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger.
Af § 19, stk. 1, følger, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium.
Datatilsynet kan konstatere, at behandlingen af følsomme personoplysninger i Projekt JANUS, herunder registrering på projektets edb-anlæg er sket, uden at kravene i sikkerhedsbekendtgørelsens § 19 om logning er efterlevet. Herudover er behandlingen sket uden iagttagelse af reglerne i sikkerhedsbekendtgørelsens § 5 om fastsættelse af uddybende sikkerhedsregler, og der er anvendt pcarbejdspladser uden for den dataansvarliges lokaler uden, at der som foreskrevet i sikkerhedsbekendtgørelsens § 7, stk. 2, er fastsat sæige retningslinier herfor.
Datatilsynet har noteret sig, at Projekt JANUS har taget initiativ til at få bragt projektets behandling af personoplysninger i overensstemmelse med sikkerhedsreglerne i persondataloven og sikkerhedsbekendtgørelsen.
Datatilsynet skal anmode om at få oplyst, hvornår Projekt JANUS forventer at have fastsat uddybende sikkerhedsregler i overensstemmelse med sikkerhedsbekendtgørelsen, samt hvornår der forventes at være etableret logning som beskrevet i sikkerhedsbekendtgørelsens § 19.
7. Indberetning til Socialministeriet
Sammenfattende må Datatilsynet konstatere, at der i Projekt JANUS siden opstarten i 2003 er behandlet særdeles følsomme personoplysninger. Samtidig kan tilsynet konstatere, at persondataloven er overtrådt på følgende punkter:
- Manglende anmeldelse til og forudgående udtalelse fra Datatilsynet, jf. persondatalovens §§ 43 og 45.
- Manglende uddybende sikkerhedsregler, jf. sikkerhedsbekendtgørelsens § 5, herunder manglende retningslinier for behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter, jf. sikkerhedsbekendtgørelsens § 7, stk. 2.
- Manglende logning, jf. sikkerhedsbekendtgørelsens § 19.
Oplysningernes karakter taget i betragtning finder Datatilsynet, at der er tale om særdeles kritisable overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.
Datatilsynet har ved brev af dags dato underrettet Socialministeriet om de konstaterede overtrædelser af persondataloven. Kopi af dette brev er medsendt til ministeriet.
Med henblik på at sikre, at persondataloven generelt overholdes på Socialministeriets område, har Datatilsynet endvidere anmodet ministeriet om at oplyse, om der findes andre projekter og institutioner på ministeriets område, hvor der foretages lignende behandlinger af personoplysninger. I den forbindelse har tilsynet bedt ministeriet oplyse, om ministeriet vil tage initiativer med henblik på at sikre, at persondataloven efterleves på ministeriets område.
8. Afsluttende bemærkninger om den indsendte anmeldelse
Forinden Datatilsynet afgiver en endelig udtalelse om anmeldelsen til tilsynet af behandlingen ”Psykologisk udredning og behandling af unge som har været seksuelt krænkende over for børn”, skal tilsynet anmode Projekt JANUS om at oplyse, hvordan projektet vil indrette sig i lyset af tilsynets udtalelse.
Datatilsynet afventer desuden de under punkt 6 nævnte oplysninger om, hvornår datasikkerheden forventes at leve op til persondataloven og sikkerhedsbekendtgørelsen.
Da behandlingerne, så længe disse forhold ikke er bragt på plads, ikke lever op til kravene i persondataloven, skal Datatilsynet anmode om, at forholdene afklares så hurtigt som muligt. Tilsynet skal anmode om at blive orienteret om, hvad der sker i sagen inden 3 uger fra dags dato.
Datatilsynet må forbeholde sig sin endelige stillingtagen til behandlingen af oplysninger hos Projekt JANUS i forbindelse med en eventuel klagesag.