Journalnummer: 2007-313-0056
Datatilsynet vender hermed tilbage til sagen, hvor De har klaget over Holbæk Kommune og TDC A/S.
Datatilsynet finder det kritisabelt, at Holbæk Kommune i forbindelse med udstedelsen af kommunale digitale signaturer videregav Deres personnumre til TDC A/S i strid med CPR-loven og persondataloven.
Datatilsynet har ved brev af dags dato meddelt kommunalbestyrelsen i Holbæk Kommune sin vurdering af sagen.
Datatilsynet finder det tillige kritisabelt, at TDC A/S har registreret Deres personnumre uden samtykke, hvilket tilsynet har meddelt TDC A/S ved brev af dags dato.
Datatilsynet har videre meddelt TDC A/S, at virksomheden skal slette oplysninger om de borgere, der endnu ikke har aktiveret den kommunale digitale signatur samt skrive til de borgere, der har aktiveret den kommunale digitale signatur og oplyse, at virksomheden er i besiddelse af de pågældendes personnumre.
Datatilsynet har endvidere anmodet TDC A/S om at give de berørte personer de informationer, som de har behov for til varetagelsen af deres interesser - herunder om mulighederne for at have flere digitale signaturer.
En nærmere gennemgang af sagen følger nedenfor.
1. Sagsfremstilling
1.1. Ved brev af 7. august 2007 (modtaget i Datatilsynet den 21. august 2007) har De klaget til Datatilsynet over Holbæk Kommune og TDC A/S' brug af Deres personnumre - uden samtykke - i forbindelse med Holbæk Kommunes udsendelse af cd-kort med digital signatur i april 2007.
TDC A/S er fremkommet med udtalelser i sagen ved breve af 8. oktober 2007, 7. december 2007, 14. januar 2008, 7. februar 2008, 25. februar 2008 og 21. april 2008.
Holbæk Kommune er, ved kommunens advokat Peter Ruhr, fremkommet med udtalelser i sagen ved breve af 8. oktober 2007, 16. oktober 2007 (modtaget i Datatilsynet den 22. oktober 2007), 17. oktober 2007, 6. december 2007, 23. januar 2008, 6. februar 2008, 13. marts 2008, 26. marts 2008, 14. april 2008, 7. maj 2008 og 3. juni 2008.
De er fremkommet med yderligere kommentarer i breve af 31. oktober 2007, 12. november 2007, 15. december 2007, 31. januar 2008, 12. februar 2008, 6. marts 2008, 14. april 2008 og 20. juni 2008.
Efter anmodning fra Datatilsynet er IT- og CPR-kontoret under Velfærdsministeriet fremkommet med bemærkninger til sagen ved telefonsamtale den 8. maj 2008 og e-post af 2. juli 2008.
Der er afholdt et møde mellem repræsentanter for TDC A/S, Holbæk Kommune og Datatilsynet den 4. oktober 2007.
Det fremgår herefter af sagen, at TDC A/S som udsteder af digital signatur (OCES-certifikater) på baggrund af henvendelse fra en række kommuner i efteråret 2006 sammen med EDB-gruppen indledte et samarbejde med bl.a. Holbæk Kommune med henblik på at udstede cd-kort med digital signatur til kommunens borgere. Baggrunden herfor var et ønske fra kommunens side om at fremme mulighederne for sikker elektronisk kommunikation mellem kommune og borgere.
Selve udstedelsen af de kommunale digitale signaturer skete ifølge det oplyste ved, at Holbæk Kommune, via EDB-gruppen, fremsendte oplysninger trukket fra CPR til TDC A/S, herunder oplysninger om personnumre. Herefter blev de digitale signaturer genereret af TDC A/S' certificeringscenter, som efterfølgende sendte signaturerne til indlæsning hos en underleverandør (S-card). Dernæst udsendte Holbæk Kommune i perioden januar til april 2007 cd-kortene med digitale signaturer til kommunens borgere over 18 år (ca. 50.000 personer). Dette foregik efter det af TDC A/S oplyste således, at underleverandøren S-card sendte cd-kortene direkte til de enkelte borgere med kommunen anført som afsender.
Af følgebrevet til borgerne fremgik bl.a., at den digitale signatur er borgernes personlige nøgle til det digitale rådhus, og at borgerne fra kommunens hjemmeside ville få adgang til en række selvbetjeningsløsninger - herunder f.eks. oprettelse af en byggesag, opskrivning af barn til institutionsplads eller udfyldelse af selvangivelse.
Af følgebrevet fremgik endvidere, at den digitale signatur skulle give borgerne mulighed for at abonnere på lokale og nationale nyheder, oprette egen hjemmeside, dele fotos, kalendere og huskesedler med venner og familie.
Det fremgik herudover af følgebrevet, at det er TDC, der udsteder den digitale signatur, og at borgerne ville kunne kontakte TDC, hvis de skulle opleve tekniske problemer.
Det fremgår tillige af sagen, at aktivering af den modtagne digitale signatur sker ved indtastning af en kode, som borgeren bl.a. kan bestille på Holbæk Kommunes hjemmeside www.holbaek.dk. Derefter modtager borgeren aktiveringskoden med almindelig post. Aktivering af signaturen sker herefter ved indtastning af aktiveringskoden på en hjemmeside, der indeholder mulighed for anvendelse af cd-kort baserede digitale signaturer. Aktivering kan således ske på hjemmesiden www.borgerweb.dk og på alle andre hjemmesider, der indeholder denne mulighed. Når borgeren på kommunens hjemmeside bestiller aktiveringskoden, fremgår det klart, at borgeren bliver videredirigeret til TDC's selvbetjeningsside, hvor bestillingen af koden finder sted.
Det er oplyst, at der ikke er indgået en databehandler-aftale mellem TDC og Holbæk Kommune, og at Holbæk Kommune ikke er godkendt som certificeringscenter (CA) hos IT- og Telestyrelsen.
På baggrund af den rejste tvivl om ordningens lovlighed har TDC A/S ifølge det oplyste omgående indstillet al uopfordret nyudstedelse af cd-kort som led i aftaler med kommuner. Den generelle procedure for udstedelse af cd-kort med digital signatur er ændret, således at Holbæk Kommune nu ikke, uden en selvstændig og aktiv handling fra borgeren, udsender cd-kort.
1.2. Deres argumenter
1.2.1. Deres argumenter i forhold til Holbæk Kommune
De finder det foruroligende, at en offentlig myndighed kan videregive personlige oplysninger til en privat virksomhed uden at sikre sig korrekt behandling af oplysningerne, og at den offentlige og/eller private virksomhed kan benytte disse oplysninger uden forudgående anmeldelse til Datatilsynet, samt at begge parter kan håndtere cpr-numre som i den her rejste sag, uden de registreredes udtrykkelige samtykke, jf. persondatalovens § 11.
De mener endvidere, at der skulle være indhentet forudgående samtykke fra de registrerede, jf. persondatalovens § 11, stk. 2, nr. 2, idet behandlingen tilsyneladende primært har til formål med tiden at begrænse borgernes anvendelse af personlige henvendelser til Holbæk Kommune, hvilket ikke har Deres interesse.
De finder ikke, at Holbæk Kommunes henvisning til IT- og Telestyrelsens henvendelse af 30. oktober 2006 til Datatilsynet og Datatilsynets svar af 16. november 2006 kan fritage kommunen for at foretage anmeldelse, jf. person-datalovens § 43.
De finder det problematisk, at det offentlige kan gå ind og etablere løsninger og i denne forbindelse oprette en digital signatur, som senere viser sig at kunne blokere for ens eget valg af digitale løsninger.
Hvis kommunen ønsker, at borgerne gør brug af digital adgang til kommunen, kunne dette være blevet oplyst på en anden måde, hvorefter borgerne kunne have oprettet en egen digital signatur, således at følsomme personoplysninger blev videregivet ved egen fysisk handling.
De finder det bemærkelsesværdigt, at Holbæk Kommune gennemfører et projekt, som ikke er direkte verificeret af Datatilsynet, og som ikke er afprøvet for tekniske fejl, ligesom det havde været betimeligt, om Holbæk Kommune med oplysninger fra TDC A/S havde frasorteret de borgere, som allerede havde en personligt oprettet digital signatur.
De håber, at Holbæk Kommune vil informere borgerne i overensstemmelse med kommunens pressemeddelelse af 10. oktober 2007, hvilket endnu ikke er sket.
De har noteret Dem, at EDB-gruppen A/S er firmaet bag systemet Borger-web.dk, men De er ikke klar over, hvilken rolle EDB-gruppen A/S spiller.
De har bemærket, at TDC A/S går ud fra, at EDB-gruppen overholder persondatalovens regler. Der er således tilsyneladende ingen skriftlig garanti eller kontraktlig forpligtelse for, at dette er korrekt over for Holbæk Kommune eller TDC A/S. De har på baggrund deraf forespurgt til Datatilsynets mulighed for at undersøge EDB-gruppens håndtering af de af Holbæk Kommune leverede følsomme oplysninger, da det ikke fremgår af TDC A/S' besvarelse, om oplysningerne er krypteret eller ej. De finder endvidere ikke, at det fremgår, hvad EDB-gruppen skal med de leverede oplysninger.
Efter Deres opfattelse må EDB-gruppen ligge inde med følsomme personoplysninger al den stund, at man kan logge ind på www.borgerweb.dk, og at det er EDB-gruppen A/S, som er ejer af og står bag systemet BorgerWeb DK. Såfremt EDB-gruppen ligger inde med oplysninger om Dem i forbindelse med Holbæk Kommunes oprettelse af digital signatur, anmoder De om, at disse oplysninger slettes hos EDB-gruppen.
1.2.2. Deres argumenter i forhold til TDC A/S
De finder det foruroligende, at en offentlig myndighed kan videregive personlige oplysninger til en privat virksomhed uden at sikre sig korrekt behandling af oplysningerne, og at den offentlige og/eller private virksomhed kan benytte disse oplysninger uden forudgående anmeldelse til Datatilsynet, samt at begge parter kan håndtere cpr-numre som i den her rejste sag uden de registreredes udtrykkelige samtykke, jf. persondatalovens § 11.
De finder, at de anvendte data, efter produktion af cd-kortene, fortsat må eksistere i en eller anden form hos EDB-gruppen A/S og TDC A/S til verifikation af, om den digitale signatur er aktiveret eller ej.
De har endvidere gjort gældende, at de forud for klagen fik den information, at der ikke kunne være 2 uafhængige ibrugtagne digitale signaturer. Denne information fra TDC A/S var måske fejlagtig, men ikke desto mindre en oplysning, som De som brugere måtte forholde Dem til, og som TDC A/S anstændigvis må tilrette i deres vejledning og information via deres hotline.
De finder at være blevet bekræftet i, at det er den senest udstedte signatur, der optræder ved indlogning, og at det i den forbindelse ikke er afgørende, hvorvidt den pågældende digitale signatur konkret er aktiveret af borgeren. Med dette in mente finder De det muligt for enhver offentlig myndighed og andre i øvrigt, der har kendskab til borgerens personnummer, at oprette en digital signatur med en given e-mailadresse, uden den digitale signatur konkret er aktiveret af borgeren. De mener derfor, at der bør rettes direkte henvendelse til alle borgere i Holbæk Kommune, der har modtaget et cd-kort, således at borgerne med privat digital signatur er endegyldigt bekendt med dette, da det stadig ikke fremgår af hjemmesiden www.certifikat.dk.
De har anmodet TDC A/S om, at samtlige oplysninger om Dem i forbindelse med og kun i forbindelse med den af Holbæk Kommune oprettede digitale signatur, slettes hos alle parter, da De kun ønsker at benytte de personligt oprettede digitale signaturer.
1.3. Holbæk Kommunes argumenter
Det er Holbæk Kommunes opfattelse, at behandlingen af data uden forudgående samtykke fra Dem er sket inden for lovens rammer, idet der henvises til reglerne i lovens § 6, stk. 1, nr. 7, samt lovens § 11, stk. 1, idet disse bestemmelser fritager en offentlig myndighed for indhentelse af forudgående samtykke, når behandlingen er sket med henblik på entydig identifikation af borgeren.
Holbæk Kommune er af den opfattelse, at TDC A/S, der har forestået udstedelsen, udfører en opgave i almen offentlig interesse, som virksomheden TDC A/S pt. er den eneste, der kan udføre. Som udgangspunkt er det derfor fortsat reglen i § 11, stk. 1, der skal anvendes, når databehandlingen sker for kommunen og således udføres i almen offentlig interesse, hvorfor forudgående samtykke ikke bør kunne kræves af Dem.
Holbæk Kommune har i anden række gjort gældende, at der er hjemmel i lovens § 11, stk. 2, nr. 3, for at undlade indhentelse af samtykke fra Dem, da behandlingen af personnumre er et naturligt led i den normale drift for TDC A/S som certificeringscenter, sammenholdt med, at den behandling, som TDC A/S har forestået i forbindelse med udstedelsen, er af afgørende betydning for at sikre en entydig identifikation af den registrerede, og at databehandlingen i øvrigt er sket i almen offentlig interesse.
Kommunen har endvidere i tiltro til Datatilsynets høringssvar til IT- og Telestyrelsen af 16. november 2006 ikke har haft anledning til at betvivle, at de beskrevne procedurer har været i overensstemmelse med persondatalovens kapitel 4.
Holbæk Kommune har herudover anført, at den beskrevne procedure har været nødvendig for at kunne stille (mulighed for) en digital signatur til rådighed for alle kommunens borgere.
Holbæk Kommune har endvidere lagt til grund, at kommunen i relation til udstedelsen af digitale signaturer har været dataansvarlig, og TDC A/S har været databehandler.
Holbæk Kommune har gjort gældende, at anmeldelse er behørigt iagttaget, idet dette er sket ved IT- og Telestyrelsens skrivelse af 30. oktober 2006 til Datatilsynet. Holbæk Kommune anfører i den forbindelse, at det fremgår eksplicit af bestemmelsen i § 43, at anmeldelse kan foretages af en anden end den dataansvarlige, herunder private og myndigheder.
Som begrundelse for Holbæk Kommunes ønske om en samlet udstedelse af digital signatur til kommunens borgere har kommunen henvist til fordelene for den enkelte borger, der med den digitale signatur i døgnets 24 timer har adgang til en række af de tjenesteydelser, som hidtil har krævet personlig henvendelse i åbningstiden, i tillæg til en række øvrige tilbud bl.a. mulighed for e-postkasse, personlig hjemmeside, gratis datalager m.m. Efter kommunens opfattelse er der således tale om en markant serviceforbedring for den enkelte, hvilket i øvrigt er i overensstemmelse med generelle samfundsmæssige IT-politiske ambitioner.
Holbæk Kommune har beklaget, at der i relation til Dem som følge af en teknisk fejl er sket sletning af den primære e-mailadresse, som De havde tilknyttet den digitale signatur, De selv havde oprettet forud for udstedelsen af den kommunalt leverede signatur. Holbæk Kommune finder imidlertid, at den tekniske fejl hos TDC A/S er inferiør i forhold til de samlede fordele, som projektet indebærer. Fejlen er nu rettet, og i relation til Dem har der været tale om helt minimale gener. Fejlen har således reelt ikke har haft nogen egentlig skadesvirkning.
Holbæk Kommune har oplyst, at EDB-gruppen A/S for kommunen har haft til opgave at levere et system til oprettelse af digitale signaturer til kommunens borgere. Systemet har EDB-gruppen A/S tilbudt en række kommuner.
Holbæk Kommune har endvidere oplyst, at kommunen har overleveret krypteret data med borgernes personoplysninger til EDB-gruppen A/S, der har videregivet disse til TDC, som har stået for udstedelserne af cd-kort med digital signatur. Holbæk Kommune finder således, at EDB-gruppen er at betragte som databehandler for kommunen.
Holbæk Kommune har tillige oplyst, at alle oplysninger om Dem er blevet slettet hos EDB-gruppen, og at de af kommunen videregivne oplysninger i forbindelse med oprettelsen af de digitale signaturer blev trukket fra CPR.
1.4. TDC A/S' argumenter
TDC A/S har oplyst, at virksomheden har noteret sig Datatilsynets bemærkning om, at det ikke kan udelukkes, at TDC kan straffes for overtrædelse af persondatalovens regler, og at TDC derfor ikke er forpligtet til at udtale sig. TDC A/S har imidlertid fundet det væsentligt at redegøre for TDC's syn på sagen og har derfor valgt at udtale sig.
De produktionsdata, som blev anvendt ved generering af den digitale signatur, omfatter borgernes personnumre og en kommunalt tildelt e-mailadresse. Disse data slettes efter det oplyste umiddelbart efter, at produktionen er gennemført.
TDC A/S har gjort gældende, at det af aftalegrundlaget fremgår, at Holbæk Kommune i enhver henseende optræder som dataansvarlig, og at såvel TDC som EDB-gruppen alene optræder som databehandlere. Udstedelse af digitale signaturer til kommunens borgere sker således i alle tilfælde efter instruks fra kommunen og udelukkende i kommunens interesse. TDC A/S har tillige anført, at hverken TDC eller EDB-gruppen ifølge aftalegrundlaget kan anvende de modtagne oplysninger til andre, herunder egne, formål.
TDC A/S har herudover anført, at det i aftalen med kommunen er præciseret, at kommunen som dataansvarlig bl.a. er forpligtet til at sikre sig, at eventuelle nødvendige samtykker fra borgerne er indhentet.
TDC A/S har endvidere gjort gældende, at procedurerne for udstedelse af de digitale signaturer og kommunernes udsendelse af cd-kort til borgerne forud for idriftsættelsen af ordningen primo 2007 blev gennemgået og godkendt af såvel IT- og Telestyrelsen som Datatilsynet. Det var ifølge TDC A/S på baggrund af disse godkendelser, at man satte ordningen i drift.
TDC A/S finder, at Datatilsynet ud fra gennemgangen af registreringsproceduren var bekendt med, at leveranceaftalerne med kommunerne var baseret på en forudsætning om, at TDC var databehandler, hvorfor tilsynet burde have meddelt det til TDC, hvis tilsynet var uenig deri, og hvis den etablerede løsning ansås for at være i strid med persondatalovens regler.
TDC A/S har ud fra den betragtning, at virksomheden har udstedt cd-kortene på vegne af Holbæk Kommune som dataansvarlig og dermed alene har handlet efter kommunes instrukser lagt til grund, at kommunen har sikret sig, at den stedfundne behandling af personoplysninger er sket med hjemmel i persondatalovens behandlingsregler.
TDC A/S har tilkendegivet, at hvis det er Datatilsynets opfattelse, at TDC er dataansvarlig i forbindelse med udstedelse af cd-kortene til kommunens borgere og dermed i medfør af persondatalovens § 11, stk. 2, burde have sikret sig, at der forelå samtykke fra hver enkelt borger forud for udstedelsen, tager TDC naturligvis dette til efterretning ved sammen med de øvrige implicerede parter straks at tage skridt til at ændre fremgangsmåden, så den fuldt ud lever op til persondatalovens krav. TDC A/S appellerer i givet fald til Datatilsynet om at lade det indgå ved vurderingen af sagen og herunder eventuelle konsekvenser for TDC, at TDC ud fra tilsynets godkendelse af registreringsprocessen havde rimelig grund til at antage, at den etablerede løsning lå inden for persondatalovens rammer.
TDC A/S har oplyst, at der beklageligvis ikke er indgået en databehandler-aftale mellem TDC og Holbæk Kommune, og at Holbæk Kommune ikke er godkendt som certificeringscenter (CA) hos IT- og Telestyrelsen.
TDC A/S har oplyst, at virksomheden på baggrund af den rejste tvivl om ordningens lovlighed har indstillet al ny udstedelse af cd-kort på vegne af kommunerne med øjeblikkelig virkning.
TDC A/S har orienteret Datatilsynet om, at registrerede data om Dem i tilknytning til de af Holbæk Kommune tildelte digitale signaturer blev slettet hos TDC A/S den 7. januar 2008. Oplysninger meddelt TDC A/S af Dem selv i forbindelse med oprettelse af privat digital signatur vil imidlertid ikke blive slettet.
TDC A/S har gjort gældende, at cd-kort, der ikke aktiveres, ikke går ind og overskriver eventuelt eksisterende digitale signaturer. Det er derimod muligt at have flere signaturer tilknyttet et personnummer, men det er altid den senest udstedte, der tilknyttes certifikat-basen og dermed gyldigt kan anvendes. TDC A/S har i den forbindelse oplyst, at det var beklageligt, at TDCs kundeservice har afgivet forkerte oplysninger til Dem.
TDC A/S har oplyst, at det er korrekt, at de borgere, der har fået ændret deres e-mailadresse under den tidligere procedure, kan løse problemstillingen ved-rørende ændring af e-mailadresse ved, at borgerne går ind på en selvbetjeningsside og ændrer e-mailadressen til den ønskede.
TDC A/S har ikke på noget tidspunkt overskrevet borgernes eksisterende digitale signaturer ved udstedelse af cd-kort. Den "gamle" signatur er stadig (og har stedse været) aktiv og kan anvendes på samme måde som den nye signatur. Det er derimod korrekt, at det altid vil være den senest udstedte, der optræder på hjemmesiden www.certifikat.dk, og hvortil der sendes fornyelses e-mails ved signaturens udløb.
TDC A/S har anført, at det er EDB-gruppen, der har indgået kontrakten vedrørende udstedelse af cd-kort med digital signatur med Holbæk Kommune. Holbæk Kommune bestiller de enkelte cd-kort hos EDB-gruppen, hvorefter TDC, via EDB-gruppen, i krypteret form modtager cpr-numre på kommunens borgere samt e-mailadresser på borgerne genereret af EDB-gruppen. Ud fra de modtagne cpr-numre producerer TDC derefter de digitale signaturer.
1.5. Bemærkninger fra Velfærdsministeriets IT- og CPR kontor (herefter CPR-kontoret)
CPR-kontoret har oplyst, at kommunerne typisk behandler lokale udtræk af CPR, såkaldte P-data. CPR-kontoret har endvidere oplyst, at da P-data stammer fra selve CPR, vil en videregivelse af disse ligeledes skulle have hjemmel i CPR-loven.
CPR-kontoret har endvidere oplyst, at efter CPR-lovens § 32, stk. 1, kan en offentlig myndighed indhente oplysninger fra CPR, når den har brug herfor. Efter stk. 2 fastsætter Indenrigs- og Sundhedsministeriet (nu Velfærdsministeriet) vilkårene, herunder om sikkerhedsforanstaltninger og betalingen, for videregivelsen af oplysninger fra CPR efter stk. 1.
Om videregivelse af oplysninger har CPR-kontoret oplyst, at en myndighed efter CPR-lovens § 34, stk. 1, kun må videregive oplysninger, herunder beskyttede navne og adresser, modtaget efter §§ 31-33, til andre offentlige myndigheder eller private, hvis videregivelsen følger af lov eller bestemmelser fastsat i henhold til lov, eller hvis Indenrigs- og Sundhedsministeriet (nu Vel-færdsministeriet) har givet tilladelse hertil.
CPR-kontoret har tillige oplyst, at af de af Velfærdsministeriet fastsatte vilkår efter CPR-lovens § 32, stk. 2, fremgår endvidere, at oplysninger, som myndigheden har modtaget fra CPR, kun må anvendes til det forudsatte formål, og at myndigheden kun må videregive oplysninger, herunder beskyttede navne og adresser, til andre offentlige myndigheder eller private, hvis videregivelsen følger af lov eller bestemmelser fastsat i henhold til lov.
Vilkårene kan ses på: www.cpr.dk/cpr/site.aspx
Om den konkret foreliggende sag har CPR-kontoret udtalt, at:
"Som det er oplyst, har Holbæk Kommune videregivet personnumre indhentet fra CPR til TDC med henblik på udstedelse af digitale signaturer til kommunens borgere. Velfærdsministeriet har ikke givet tilladelse til denne videregivelse, og såfremt kommunens videregivelse ikke følger af lov eller bestemmelser fastsat i henhold til lov, er der tale om en overtrædelse af videregivelsesforbuddet i såvel CPR-lovens § 34, stk. 1, og de af Velfærdsministeriet fastsatte vilkår.
Overtrædelse af CPR-lovens § 34, stk. 1, er ikke i sig selv strafsanktioneret i CPR-loven. Derimod straffes efter CPR-lovens § 57, stk. 1, nr. 4, med bøde den, der forsætligt eller ved grov uagtsomhed overtræder vilkår fastsat bl.a. efter CPR-lovens § 32, stk. 2, medmindre højere straf er forskyldt efter den øvrige lovgivning. Efter § 57, stk. 2, kan selskaber mv. (juridiske personer) pålægges strafansvar efter reglerne i straffelovens kapitel 5.
I praksis er der fra CPR-kontoret ikke sket anmeldelse til politiet i forbindelse med sager om overtrædelse af vilkårene for adgang til CPR."
2. Datatilsynet skal - efter at sagen har været behandlet i Datarådet - udtale følgende:
2.1. Vedrørende Holbæk Kommune
2.1.1. Videregivelse eller overladelse af personoplysninger?
For at kunne vurdere, om den udveksling af Deres personnumre, som er sket, er forenelig med persondataloven og særreguleringen i CPR-loven, er det afgørende, om der er sket en videregivelse fra Holbæk Kommune til TDC A/S, eller om Holbæk Kommune alene har overladt oplysningerne til TDC A/S som databehandler.
I persondatalovens § 3, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
Datatilsynet behandlede spørgsmålet om udstedelse og brug af OCES digital signatur i en række sager i 2002 og 2003, hvor tilsynet bl.a. kom med tilkendegivelser om, i hvilket omfang et certificeringscenter (CA) må indsamle og registrere borgeres personnumre.
Datatilsynet har i sine generelle udtalelser om OCES i 2003 og i en udtalelse til Region Nordjylland fra februar 2007, som er sendt i kopi til TDC A/S, lagt til grund, at TDC A/S i forbindelse med sine opgaver i forhold til OCES er dataansvarlig for de behandlinger af personoplysninger, der sker ved udstedelse af digital signatur. Datatilsynet har klart tilkendegivet, at TDC A/S som certificeringscenter skal iagttage persondatalovens § 11, stk. 2, og have samtykke til behandling af personnumre. Denne tilkendegivelse er offentliggjort i Datatilsynets årsberetning for 2003 og på tilsynets hjemmeside.
På baggrund af ovenstående anser Datatilsynet den skete udlevering af Deres personnumre - hidrørende fra CPR - fra Holbæk Kommune til TDC A/S som en videregivelse i persondatalovens forstand.
Datatilsynet lægger herved vægt på, at det er TDC A/S - ikke Holbæk Kommune - der står som udsteder af certifikaterne, og at det er TDC A/S, der er certificeringscenter (CA) som beskrevet i OCES certifikatpolitikkerne, som indeholder den formelle ramme for udstedelsen af den digitale OCES signatur.
Datatilsynet lægger endvidere vægt på, at oplysninger om de digitale signaturer, som er udstedt på foranledning af Holbæk Kommune, indgår i TDC A/S' databaser, herunder på hjemmesiden www.certifikat.dk. En sådan sammenblanding med TDC A/S' øvrige registreringer er efter Datatilsynets opfattelse kun mulig, hvis TDC A/S er dataansvarlig.
Datatilsynet har noteret sig, at TDC A/S under henvisning til Datatilsynets udtalelse af 16. november 2006 til IT- og Telestyrelsen mener, at Datatilsynet har godkendt ordningen, herunder en forudsætning om, at TDC A/S alene er databehandler. Det er korrekt, at Datatilsynet i efteråret 2006 har besvaret en henvendelse fra IT- og Telestyrelsen. Denne henvendelse fra IT- og Telestyrelsen angik imidlertid sikkerheden ved en ny registreringsprocedure - i forlængelse af en række tidligere henvendelser af samme karakter. Denne udtalelse kan således ikke ændre ved, at det er TDC A/S, som er certificeringscenter ifølge OCES certifikatpolitikken.
2.1.2. Holbæk Kommunes videregivelse til TDC A/S
Datatilsynet lægger til grund, at Holbæk Kommunes videregivelse af oplysninger om Deres personnumre - indhentet fra CPR - til TDC A/S med henblik på udstedelse af digitale signaturer til kommunens borgere er reguleret i bestemmelser i CPR-loven.
Datatilsynet har i tidligere sager udtalt, at behandlingsreglerne i persondatalovens kapitel 4 suppleres af bestemmelser i anden lovgivning, herunder CPR-loven, og at en videregivelse i strid med reglerne i anden lovgivning ligeledes vil være i strid med princippet om god databehandlingsskik, jf. persondatalovens § 5, stk. 1.
Datatilsynet må på baggrund af sagens oplysninger lægge til grund, at hvis Holbæk Kommunes videregivelse ikke følger af lov eller bestemmelser fastsat i henhold til lov, er der tale om en overtrædelse af videregivelsesforbuddet i CPR-lovens § 34, stk. 1, og de af Velfærdsministeriet fastsatte vilkår.
Datatilsynet bemærker i den forbindelse, at persondatalovens § 11 efter tilsynets opfattelse ikke giver hjemmel til den skete videregivelse.
Efter Datatilsynets opfattelse giver § 11, stk. 1, i persondataloven, hvorefter offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer, ikke hjemmel til en videregivelse af oplysninger, når modtageren - her TDC A/S - ikke er berettiget til at behandle oplysninger om borgernes personnumre, jf. herom nedenfor i pkt. 2.2.1.
Datatilsynet har i sin praksis tillige antaget, at god databehandlingsskik i persondatalovens § 5, stk. 1, medfører, at en offentlig myndighed ikke bør videregive oplysninger om personnummer til en privat virksomhed, som ikke lovligt kan modtage og behandle oplysningerne.
Den bestemmelse i persondatalovens §§ 11, stk. 2, som Holbæk Kommune også har henvist til, vedrører private dataansvarliges videregivelse af oplysninger om personnumre og kan ikke anvendes som hjemmel for en offentlig myndigheds videregivelse.
Datatilsynet må herefter konkludere, at den skete videregivelse af Deres personnumre fra Holbæk Kommune til TDC A/S ikke var i overensstemmelse med CPR-loven og persondataloven.
Datatilsynet har noteret sig, at Holbæk Kommune som forklaring henviser til Datatilsynets udtalelse af 16. november 2006 til IT- og Telestyrelsen. Det er korrekt, at Datatilsynet i efteråret 2006 har besvaret en henvendelse fra IT- og Telestyrelsen. Denne henvendelse fra IT- og Telestyrelsen angik imidlertid sikkerheden ved en ny registreringsprocedure - i forlængelse af en række tidligere henvendelser af samme karakter. Denne udtalelse lovliggør således ikke den skete videregivelse.
Datatilsynet finder, at Holbæk Kommune har handlet kritisabelt ved at videregive personnumre, som det er sket. Dette er meddelt Holbæk Kommune ved brev af dags dato til kommunalbestyrelsen.
2.1.3. Øvrige spørgsmål i relation til Holbæk Kommune
De har i Deres partsindlæg gjort gældende, at Holbæk Kommune forudgående skulle have anmeldt kommunens behandling af personnumre - i forbindelse med udstedelsen af digitale signaturer - til Datatilsynet.
Datatilsynet skal hertil oplyse, at offentlige myndigheders behandling af personnumre ikke er anmeldelsespligtig efter persondatalovens § 43, jf. lovens § 44, stk. 1, 2. pkt.
2.2. Vedrørende TDC A/S
2.2.1. TDC A/S' behandling af personnumre
Når TDC A/S som privat dataansvarlig udsteder digitale signaturer, skal virksomheden have borgernes udtrykkelige samtykke til at behandle oplysningerne om borgernes personnumre, jf. persondatalovens § 11, stk. 2, nr. 2.
Efter Datatilsynets opfattelse var TDC A/S' behandling af oplysninger om personnumre på borgere i Holbæk Kommune, som ikke havde givet deres samtykke til virksomhedens behandling, i strid med persondataloven. Datatilsynet finder det kritisabelt, at TDC A/S har registreret personnumre uden samtykke. Dette er meddelt TDC A/S ved brev af dags dato.
Datatilsynet har endvidere meddelt TDC A/S, at virksomheden skal slette oplysningerne om de borgere, der endnu ikke har aktiveret den kommunale digitale signatur, samt skrive til de borgere, der har aktiveret den kommunale digitale signatur, og oplyse, at TDC A/S er i besiddelse af de pågældendes personnummer.
Datatilsynet har noteret sig, at TDC A/S har oplyst, at alle registrerede data om Dem i tilknytning til de af Holbæk Kommune tildelte digitale signaturer blev slettet hos TDC A/S den 7. januar 2008.
2.2.2. Øvrige spørgsmål i relation til TDC A/S
De har i Deres partsindlæg bl.a. rejst problemstillinger vedrørende fejlagtige informationer fra TDC A/S om mulighederne for at have flere digitale signaturer.
TDC A/S har dertil oplyst, at det er beklageligt, at De har modtaget fejlagtige oplysninger fra TDC A/S' kundeservice.
Af hensyn til de mange berørte borgere har Datatilsynet anmodet TDC A/S om at give de berørte personer - herunder Dem - de informationer, som de kan have behov for til varetagelsen af deres interesser - herunder om mulighederne for at have flere digitale signaturer. Datatilsynet har i den forbindelse henvist til reglerne i persondatalovens § 29 om oplysningspligt over for registrerede personer.
De har herudover gjort gældende, at TDC A/S forudgående skulle have anmeldt virksomhedens behandling af personnumre - i forbindelse med udstedelsen af digitale signaturer - til Datatilsynet.
Datatilsynet skal i relation til anmeldelsesspørgsmålet oplyse, at private virksomheders behandling af personnumre ikke er anmeldelsespligtig efter persondatalovens § 48, jf. lovens § 49, stk. 2, jf. undtagelsesbekendtgørelsens § 2, nr. 2.
2.3. EDB-gruppens og S-cards behandlinger af personoplysninger
Datatilsynet finder ud fra de foreliggende oplysninger at måtte lægge til grund, at EDB-gruppen og S-card har handlet som databehandlere for henholdsvis Holbæk Kommune og TDC A/S.
Datatilsynet har ikke fundet grundlag for at foretage nogen nærmere undersøgelse af disse virksomheders ageren i sagen, og de har heller ikke været inddraget eller hørt i forbindelse med sagens behandling.
Datatilsynet forudsætter imidlertid, at Holbæk Kommune og TDC A/S ved deres brug af EDB-gruppen og S-card som databehandlere har iagttaget persondatalovens regler, herunder kravene i lovens § 42.
Datatilsynet har endelig noteret sig, at Holbæk Kommune har oplyst, at alle oplysninger om Dem er blevet slettet hos EDB-gruppen.
3. Sagen afsluttes
Datatilsynet foretager sig herefter ikke yderligere i anledning af Deres klage.
Kopi af dette brev er sendt til Holbæk Kommune, kommunens advokat Peter Ruhr og TDC A/S.
Til Deres orientering vedlægges kopi af Datatilsynets breve af dags dato til Holbæk Kommune og TDC A/S.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre afgørelsen på sin hjemmeside. Offentliggørelsen vil ske i en i forhold til Dem anonymiseret form.