Journalnummer: 2012-323-0022
1. Datatilsynet vender hermed tilbage til sagen, hvor Syddjurs Kommune har rettet henvendelse angående eventuel brug af Skype til kommunikation med borgerne. Syddjurs Kommunen påtænker efter det oplyste først og fremmest at anvende Skypes videosamtalefunktion, men de andre kommunikationsformer, som Skype tilbyder, kan også tænkes anvendt. Løsningen påtænkes anvendt i forhold til psykisk svage borgere. Kommunen vil efter det oplyste bruge løsningen med Skypes standardvilkår.
2. Datatilsynet kan i den anledning oplyse følgende:
Når privatpersoner anvender Skype, er det ikke et forhold, der er reguleret af persondataloven. Persondataloven gælder således ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter. Men Skype skal leve op til databeskyttelseslovgivningen i det eller de EU land(e), hvor virksomheden er etableret1.
Situationen er anderledes, når der er tale om en kommune. Persondataloven gælder, når Syddjurs Kommune behandler personoplysninger ved hjælp af edb. Det indebærer, at kommunen ikke uden nærmere overvejelse kan anvende en løsning som Skype.
Kommunen må således sikre sig, at kommunens brug af løsningen kan ske på betryggende vis og under iagttagelse af reglerne i persondataloven2 og sikkerhedsbekendtgørelsen3 – og tillige eventuel anden relevant lovgivning.
I det følgende gennemgås en række problemstillinger, som kommunen må afklare i forhold til persondataloven.
3. Tilsynet skal anbefale, at Syddjurs Kommune afklarer, hvilke oplysninger der behandles i forbindelse med brug af Skype, samt hvordan, hvor og hvor længe oplysningerne behandles. Herunder bl.a. i forhold til eventuelle logfiler vedrørende førte samtaler mv. eller lagring af indhold.
Kommunen må derefter overveje, om disse behandlinger vil være forenelige med persondataloven.
4. Datatilsynet kan navnlig pege på følgende regler i persondataloven:
• Grundbetingelserne i persondatalovens § 5 om god databehandlingsskik, saglighed, proportionalitet, datakvalitet og sletning
• Behandlingsbetingelserne i persondatalovens § 6 om almindelige personoplysninger, §§ 7 og 8 om følsomme personoplysninger samt § 11 om personnumre
• Reglerne i lovens § 27 om overførsel af oplysninger til lande uden for EU
• Reglerne om de registreredes personers rettigheder i kapitel 8-10, herunder
o Den dataansvarliges oplysningspligt ved modtagelse/indsamling af oplysninger, jf. persondatalovens §§ 28 og 29
o Den registreredes ret til indsigt og øvrige rettigheder
• Reglerne om datasikkerhed i lovens §§ 41 og 42 samt sikkerhedsbekendtgørelsen.
5. Med hensyn til datasikkerheden fremgår det af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Ifølge § 14 i sikkerhedsbekendtgørelsen må der kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
I Datatilsynets vejledning4 til § 14 i sikkerhedsbekendtgørelsen er bl.a. anført, at de særlige sikkerhedsforanstaltninger skal træffes efter myndighedens vurdering af sikkerhedsrisici i det konkrete tilfælde, herunder med hensyntagen til karakteren af de omhandlede oplysninger. For at kunne fastlægge sikkerhedsniveauet er det nødvendigt, at den dataansvarlige foretager en samlet risikovurdering, som omfatter alle elementer i kommunikationsforbindelsen.
6. Syddjurs Kommune skal tillige være opmærksom på persondatalovens krav ved brug af databehandlere5.
Det følger således af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.
Endvidere fremgår det af sikkerhedsvejledningen § 7, stk. 1, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren.
Hertil kommer, at det efter både persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7, stk. 1, kræves, at hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
Datatilsynet godkender ikke databehandleraftaler og skal ikke have sådanne forelagt.
Hvis Syddjurs Kommune vil benytte Skype som databehandler for kommunen, er det således kommunens ansvar at sikre sig, at der med såvel Skype som eventuelle underdatabehandlere, som Skype måtte benytte, foreligger aftaler, som lever op til kravene i persondataloven og sikkerhedsbekendtgørelsen.
Også dette forhold må Syddjurs Kommune afklare, inden løsningen tages i brug.
7. Datatilsynet skal i øvrigt pege på, at almindelige forvaltningsretlige krav om journalisering og dokumentation af sagsskridt på sagerne tillige kan være en relevant problemstilling at overveje. Tilsynet kan herved også henvise til princippet om god databehandlingsskik i persondatalovens § 5, stk. 1.
8. Sammenfattende er der en række spørgsmål, som Syddjurs Kommune må tage i betragtning, når kommunen overvejer, om Skype skal benyttes, og hvad tjenesten i givet fald skal benyttes til.
Ovenfor er gennemgået en række problemområder, men der kan også være tale om andre problemstillinger, som kommer frem, når kommunen analyserer den påtænkte brug.
Ansvaret for at foretage en nærmere analyse og vurdering af, om en given tjeneste kan anvendes, ligger hos den dataansvarlige – i dette tilfælde Syddjurs Kommune.
Tilsynet skal foreslå, at Syddjurs Kommune også undersøger, om Skype tilbyder en udgave af løsningen rettet mod myndigheder og virksomheder, og om det i den forbindelse er muligt at indgå en anden kontrakt med Skype end de almindelige standardvilkår.
Datatilsynet må i øvrigt som tilsynsmyndighed forbeholde sig sin stillingtagen i tilfælde af en eventuel klage eller lignende.
For god ordens skyld kan det oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Så vidt Datatilsynet er orienteret, har Skype adresse i Luxembourg
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
3 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning
4 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
5 En ”databehandler” er i persondatalovens § 3, nr. 5, defineret som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.