Journalnummer: 2007-321-0027
Ved e-post af 16. maj 2007 har Beskæftigelsesministeriet anmodet Datatilsynet om en udtalelse vedrørende ministeriets indførsel af et fælles koncern-ESDH-system for hele Beskæftigelsesministeriets område.
Ved telefonsamtale af 18. juni 2007 har Datatilsynet overordnet orienteret om persondatalovens bestemmelser i relation til Beskæftigelsesministeriets projekt, herunder de begrænsninger som loven indebærer. Det blev i den forbindelse aftalt, at Datatilsynet tillige afgiver en skriftlig vejledende udtalelse.
Det fremgår af sagen, at Beskæftigelsesministeriets projekt vil omfatte indførsel af et fælles ESDH-system i Arbejdsdirektoratet, Arbejdsmarkedsstyrelsen, Arbejdsmiljørådet, Arbejdsskadestyrelsen, Arbejdstilsynet, Beskæftigelsesministeriet Administrationscenter, Beskæftigelsesministeriets IT, Beskæftigelsesministeriets departement og Forebyggelsesfonden.
Projektet vil efter det oplyste navnlig vedrøre processen ved ministerbetjening, en koncernfælles adressatregister samt håndteringen af personalesager.
1. Processen vedrørende ministerbetjening
1.1. Vedrørende processen ved ministerbetjening fremgår det bl.a., at ministeriet vil arbejde med én sag i hele koncernen (departement og styrelser). Adgangen og begrænsningen af adgangen til en sag styres ved hjælp af indblik (rettighedsstyring). Enhederne indlægger selv egne dokumenter og tilføjer relevant indblik.
Sagen bliver oprettet i Captia i den BM-enhed, hvor sagen initieres. Når der er tale om borgerbreve, vil det som oftest være i departementet, men det kan også være i styrelsen.
Ministerbetjening opdeles i borgerbreve, § 20-spørgsmål og spørgsmål fra Folketingets Arbejdsmarkedsudvalg og andre folketingsudvalg.
Beskæftigelsesministeriet har beskrevet proceduren nærmere i det medsendte notat.
1.2. I tilknytning hertil skal Datatilsynet indledningsvis bemærke, at persondataloven ifølge lovens § 1, stk. 1, gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
I lovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Datatilsynet finder, at Beskæftigelsesministeriets departement respektive styrelserne hver især må antages at være dataansvarlige for de personoplysninger de behandler i de digitale sager. Persondataloven regulerer såvel registreringen som anden behandling af oplysningerne - f.eks. når disse senere anvendes eller videregives.
Den påtænkte anvendelse af personoplysninger inden for de enkelte myndigheder på Beskæftigelsesministeriets område, herunder udveksling af oplysninger på tværs af kontorer, aktualiserer efter Datatilsynets opfattelse navnlig at adgangen til oplysningerne indrettes under iagttagelse af sikkerhedsbekendtgørelsen.
Af sikkerhedsbekendtgørelses § 11, stk. 1, følger, at kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles.
Af § 11, stk. 2, følger endvidere, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
Datatilsynet forudsætter, at sikkerhedsbekendtgørelsen vil blive overholdt på Beskæftigelsesministeriets område i forbindelse med de forestående databehandlinger, herunder at de enkelte medarbejdere ikke gives adgang til person-oplysninger, som de ikke har behov for.
Datatilsynet har noteret sig, at adgangen og begrænsningen af adgangen til en sag efter det oplyste vil blive styret ved hjælp af indblikskoder.
Datatilsynet skal henlede opmærksomheden på, at tilsynet i anden sammenhæng har tilkendegivet, at en generel adgang til alle borgerrelaterede oplysninger hos en myndighed er vanskelig at forene med persondatalovens § 5 og de generelle krav om datasikkerhed i lovens § 41, stk. 3, som bl.a. er udmøntet i sikkerhedsbekendtgørelsens § 11.
1.3. Ved udveksling af personoplysninger indenfor persondatalovens anvendelsesområde eksternt mellem dataansvarlige myndigheder - eksempelvis mellem to styrelser, eller mellem et departement og en styrelse - skal der være hjemmel til videregivelsen i behandlingsreglerne i persondatalovens kapitel 4.
Datatilsynet har tidligere tilkendegivet, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse.
Almindelige ikke-følsomme oplysninger kan i vidt omfang udveksles i forbindelse med konkret udøvelse af myndighedsopgaver i medfør af persondatalovens § 6, stk. 1, nr. 6.
Udveksling af følsomme oplysninger vil ligeledes i et vist omfang kunne ske konkret i medfør af persondatalovens §§ 7 og 8.
For myndigheder, der udfører opgaver inden for det sociale område, er vide-regivelsesmulighederne indskrænket, idet persondatalovens § 8, stk. 3, indeholder en særlig restriktiv regel om videregivelse af følsomme oplysninger omfattet af §§ 7 og 8.
Datatilsynet forudsætter, at persondatalovens behandlingsregler vil blive iagttaget ved videregivelse mellem myndighederne på Beskæftigelsesministeriets område. Datatilsynet går således ud fra, at sager med personoplysninger som udgangspunkt får en indblikskode, der alene giver adgang for medarbejdere i den enhed, hvor sagen er initieret. Adgang kan tildeles til medarbejdere hos en anden myndighed, i det omfang persondatalovens bestemmelser for videregivelse er opfyldt.
Herudover skal Datatilsynet henlede opmærksomheden på, at persondatalovens regler om oplysningspligt medfører, at der som udgangspunkt skal gives information til borgeren, når en myndighed på området modtager/indhenter oplysninger fra en anden myndighed.
2. Etablering og brug af et koncernfælles adressatregister
2.1. Det fremgår endvidere af det fremsendte, at Beskæftigelsesministeriet overvejer, hvordan adressater skal anvendes i den kommende fælles ESDH-løsning.
Beslutningen herom vil indeholde både organisatoriske og sikkerhedsmæssige vurderinger. Beskæftigelsesministeriet vurderer, at den foreslåede løsning - et fælles adressatregister - ikke er i strid med kravene om fortrolighed og data-sikkerhed.
Beskæftigelsesministeriets projektgruppe indstiller således, at adressater er fælles i ministeriet, at anvendelsen af de fælles adressater følger reglerne om datasikkerhed, fortrolighed og tavshedspligt som beskrevet i koncern IT-sikkerhedspolitik for Beskæftigelsesministeriet, og at der udarbejdes instruks om brugen af det fælles adressatregister for at præcisere reglerne om fortrolighed og tavshedspligt.
Det fremgår imidlertid tillige, at en konsekvens er, at alle ansatte principielt kan se alle adressater, herunder dem som en anden enhed har registreret. Der er derfor brug for at få slået fast, under hvilke betingelser dette er lovligt.
Projektgruppen anfører endvidere, at reglerne om fortrolighed og tavshedspligt indebærer, at man ikke må søge og bruge personhenføre oplysninger, medmindre man har en faglig begrundelse for det. For at kunne kontrollere, at dette sker, logges alle transaktioner i ESDH-systemet, så overtrædelse af disse regler altid kan spores.
Projektgruppen anbefaler, at reglerne om fortrolighed og tavshedspligt beskrives så klart, ensartet og tydeligt som overhovedet muligt, så at det er klart for alle ansatte, hvad reglerne er, og hvad konsekvenserne er ved at bryde dem.
Der henvises bl.a. til, at adgang til personfølsomme oplysninger, som medarbejderen i ministeriet erhverver sig, skal beskyttes ved skriftlig tavshedserklæring. Tavshedserklæringen gælder også ved fratrædelse. Indførelsen af den nye fælles løsning anføres som en passende anledning til at indskærpe disse regler.
Det bemærkes endvidere fra ministeriets side, at ovennævnte regler gælder alle adressattyper, herunder ansattes. Det bemærkes endvidere, at man ikke umiddelbart kan skjule et CPR-nummer uden at dette gør brugen af den fælles løsning mere besværlig og dyrere.
At adressater er fælles indebærer efter det oplyste ikke, at andre enheder også kan se, hvilke sager der er på en person. Som eksempel anføres, at Arbejdsdirektoratet kan ikke se, at Arbejdsskadestyrelsen har en arbejdsskadesag og omvendt.
2.2. Datatilsynet skal i tilknytning hertil bemærke, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse, jf. persondatalovens § 5 og de generelle krav om datasikkerhed i lovens § 41, stk. 3, som bl.a. er udmøntet i sikkerhedsbekendtgørelsens § 11.
Som Datatilsynet har forstået det tiltænkte ESDH-system, indebærer det ikke, at andre enheder kan se, inden for hvilke områder af Beskæftigelsesministeriet der er oprettet en sag på en person.
Datatilsynet finder ikke på det foreliggende grundlag at kunne tilsidesætte Beskæftigelsesministeriets vurdering af, at det kan være nødvendigt, at samtlige ansatte skal have adgang til adressaterne.
Datatilsynet lægger herved vægt på, at der efter det oplyste sker en logning af alle transaktioner, herunder søgningerne i adressatregistret.
Datatilsynet skal anbefale, at Beskæftigelsesministeriet sikrer sig hos sin leverandør, at disse behandlinger logges. Der er således efter persondatalovens sikkerhedskrav alene krav om logning af anmeldelsespligtige behandlinger, og behandling af identifikationsoplysninger udløser som udgangspunkt ikke i sig selv anmeldelsespligt.
Datatilsynet skal endvidere anbefale, at det fastlægges, hvilken myndighed der er dataansvarlig for det fælles adressatregister. Den dataansvarlige myndighed skal bl.a. håndtere indsigtsbegæringer og indsigelser fra de registreredes, tage stilling til eventuelle videregivelser samt påse at datasikkerheden er i orden.
3. Én personalesag i hele Beskæftigelsesministeriet
3.1. Det er Beskæftigelsesministeriets vurdering, at udnyttelsen af fordelene ved den fælles ESDH-løsning bør ske ved i videst muligt omfang at anvende fælles fremgangsmåder ved personaleadministration, anvende fælles skabeloner og følge princippet om, at der kun oprettes én personalesag pr. medarbejder i ministeriet uanset medarbejderens tjenestested. Hertil kommer, at adgang og begrænsning af adgang til denne sag styres ved hjælp af indblik (rettighedsstyring), og at enhederne selv indlægger egne dokumenter og tilføjer relevant indblik.
Der ønskes én personalesag, selv om medarbejderen skifter tjenestested i koncernen.
Det fremgår tillige af det medsendte notat, at man som faglig medarbejder ikke kan se myndighedens personalesager, da alene personalemedarbejdere har adgang til (har indblik i) sådanne sager.
Derimod er det tanken, at man som medarbejder i en myndighed via det koncernfælles adresseregister skal kunne søge oplysning om adresse på kollegaer i egen myndighed og i andre af Beskæftigelsesministeriets myndigheder.
De oplysninger, som man bliver bekendt med, er ifølge det fremsendte notat omfattet af tavshedspligten i forvaltningslovens kapitel 8 og de almindelige regler om fortrolighed.
3.2. Som nævnt er det Datatilsynets opfattelse, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse.
Der henvises i øvrigt til pkt. 2.2. ovenfor.
Datatilsynet skal endvidere henlede opmærksomheden på, at det følger af forarbejderne til persondataloven, at de regler, der findes i forvaltningslovens kapitel 8 om tavshedspligt og videregivelse mv., fortrænges af bestemmelserne om videregivelse i persondataloven inden for persondatalovens anvendelsesområde.
Det vil sige, at behandlingen, herunder videregivelsen af oplysninger i Beskæftigelsesministeriets ESDH-system skal vurderes efter reglerne i persondataloven, og er som udgangspunkt ikke omfattet af forvaltningslovens kap. 8.
Anvendelse af én personalesag - uanset ansættelsessted - forudsætter at persondataloven og sikkerhedsbekendtgørelsen iagttages. Det vil sige, at adgangsretten til sagen skal styres, således at der alene er adgang for personer, som har behov herfor. Datatilsynet går ud fra, at alene personaleadministrative medarbejdere hos den myndighed, hvor personen er ansat, har behov for adgang til oplysningerne om de pågældende medarbejdere. Adgangen skal derfor teknisk være begrænset hertil.
Hvis medarbejderne skifter ansættelsessted, vil adgangen til personalesagen herefter kunne flyttes over til personaleadministrative medarbejdere hos den nye myndighed.
De registreringer vedrørende den tidligere ansættelse, som eventuelt måtte være den nye ansættelsesmyndighed uvedkommende, bør imidlertid ikke være tilgængelige for den nye arbejdsgiver. Det må således ved flytningen af adgangsretten vurderes, om der forefindes registreringer på personalesagen, der ikke lovligt kan videregives til den nye arbejdsgiver.
I den forbindelse kan der endvidere være behov for at overveje om der eventuelt skal indhentes samtykke fra medarbejderen til videregivelsen, hvis der er tale om fortrolige eller følsomme personoplysninger.
For så vidt angår den tidligere arbejdsgivers adgang til personaleoplysningerne, må det ligeledes sikres, at denne alene har adgang til oplysninger der relaterer sig til den tidligere ansættelse.
4. Afsluttende bemærkninger
Datatilsynet kan konstatere, at Beskæftigelsesministeriets projekt vil omfatte Arbejdsdirektoratet, Arbejdsmarkedsstyrelsen, Arbejdsmiljørådet, Arbejdsskadestyrelsen, Arbejdstilsynet, Beskæftigelsesministeriet Administrationscenter, Beskæftigelsesministeriets IT, Beskæftigelsesministeriets departement og Forebyggelsesfonden.
Datatilsynet skal i den anledning opfordre de enkelte dataansvarlige myndigheder til at vurdere, om implementeringen af projektet vil indebære ændringer i de anmeldelser, som de enkelte myndigheder har hos Datatilsynet. Datatilsynet skal afslutningsvist for en god ordens skyld gøre opmærksom på, at Datatilsynets udtalelse alene er af vejledende karakter, og at tilsynet som sådan ikke kan "godkende" indførslen af det fælles ESDH-system i Beskæftigelsesministeriet.
Datatilsynet håber herved at have besvaret Beskæftigelsesministeriets henvendelse.