Journalnummer: 2012-632-0001
Datatilsynet vender hermed tilbage til sagen vedrørende Vejle Kommunes offentliggørelse af personoplysninger i et byggesagsarkiv via løsningen www.weblager.dk, der er hosted af Dansk Scanning A/S. Ved brev af 26. januar 2012 er Vejle Kommune efter anmodning fra Datatilsynet fremkommet med en udtalelse i sagen.
Offentliggørelse af personnumre og evt. andre fortrolige eller følsomme personoplysninger
Datatilsynet finder det meget beklageligt, at mindst et personnummer har været offentliggjort. Vejle Kommunes behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet omfornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3.2
Datatilsynet skal indskærpe, at Vejle Kommune har ansvaret for, at der inden offentliggørelse af sagsakter mv. sker en nøje gennemgang af hvert enkelt brev eller dokument med henblik på at sikre, at det ikke indeholder fortrolige og/eller følsomme oplysninger3. Uberettiget offentliggørelse af personoplysninger kan have betydelige negative konsekvenser for de personer, der berøres heraf. Det vil endvidere ofte være forbundet med store vanskeligheder at få oplysningerne fjernet fra eksempelvis søgemaskiner.
Datatilsynet har i øvrigt noteret sig det af Vejle Kommune oplyste om, at den scanning, som blev foretaget for Vejle Kommune, var mere "finmasket" end de tilsvarende scanninger, der er blevet foretaget i andre kommuner, idet Vejle Kommune valgte et større antal "sikkerhedsord" end anbefalet, at hver enkelt side er blevet håndteret og optimeret enkeltvis, og at der foretages separat kvalitetskontrol af dette arbejde, at de personer, der har håndteret sagerne manuelt, har været instrueret i håndteringen af personoplysninger, at kommunen kun har kendskab til ét tilfælde, hvor der er offentliggjort et personnummer, at kommunen har underrettet to borgere, som er berørt af kommunens offentliggørelser, at kommunen er ved at undersøge, om der kan foreligge yderligere tilfælde, hvor oplysninger om personnumre og andre fortrolige eller følsomme oplysninger har været offentligt tilgængelige, at kommunen, hvis sådanne tilfælde foreligger, også - i det omfang det er muligt - vil kontakte de berørte borgere, at kommunen lukkede weblageret og undersøgte, om den foretagne scanning rummer andre "huller", samt at det endvidere ville blive undersøgt, hvilke muligheder for en supplerende screening der eksisterer.
Offentliggørelse af beskyttede navne og adresser
Vejle Kommune har oplyst, at kommunen har modtaget en klage fra en borger over, at der i weblageret var adgang til vedkommendes adresse, og hvor der varer tale om en borger med adressebeskyttelse.
I det tilfælde er det kommunens opfattelse, at der ikke har været tale om offentliggørelse af en fortrolig eller følsom oplysning. Kommunen har henvist til, at systemet ikke kan benyttes således, at man kan søge på en person. Systemet virker udelukkende således, at man kan søge på en ejendoms adresse.
Datatilsynet skal generelt bemærke, at det efter tilsynets opfattelse ikke er afgørende for, om oplysninger kan offentliggøres, hvordan de kan fremsøges.
Efter tilsynets umiddelbare vurdering vil det - uanset de etablerede opslagsmuligheder - kunne give problemer for personer med beskyttet navn og adresse, hvis en kommune offentliggør oplysninger, der viser sammenhængen mellem navn og adresse.
Datatilsynet skal derfor opfordre Vejle Kommune til at overveje, om der er behov for at udføre ekstra tjek af offentliggørelsen af oplysninger om ejendomme, hvor ejerne har navne- og adressebeskyttelse. Datatilsynet går i den forbindelse ud fra, at det fremgår af registreringer hos Vejle Kommune, hvilke personer der ejer de enkelte ejendomme, og hvilke personer der har navne- og adressebeskyttelse.
Tilsynet skal i øvrigt henlede opmærksomheden på, at spørgsmålet om, hvorvidt kommunens offentliggørelse af oplysninger om personer, som har navne- og adressebeskyttelse, er i overensstemmelse med CPR-lovgivningen, henhører under Økonomi- og Indenrigsministeriets kompetence.
Brug af databehandler
Selv om kommunen benytter sig af en databehandler - i dette tilfælde Dansk Scanning A/S - er det kommunens ansvar som dataansvarlig at sørge for, at personoplysningerne er beskyttet med de fornødne sikkerhedsforanstaltninger. De nærmere regler findes i persondatalovens §§ 41 og 42. For offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen4 og sikkerhedsvejledningen5.
Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Det følger af persondatalovens § 42, stk. 2. Endvidere fremgår det af sikkerhedsvejledningen § 7, stk. 1, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren.
Vejle Kommune har vedlagt kopi af kontrakten mellem Vejle Kommune og Dansk Scanning A/S.
Datatilsynet må konstatere, at den fremsendte kontrakt mellem Vejle Kommune og databehandleren ikke omtaler iagttagelse af persondataloven, og at det ej heller fremgår, at Dansk Scanning A/S alene handler efter instruks fra Vejle Kommune. Efter tilsynets opfattelse lever kontrakten ikke op til de krav, der følger af persondatalovens § 42 og sikkerhedsbekendtgørelsens § 7.
Datatilsynet skal derfor indskærpe, at Vejle Kommune ved overladelse af behandling af personoplysninger til en databehandler skal indgå en skriftlig databehandleraftale, som lever op til kravene i persondataloven og sikkerhedsbekendtgørelsen.
Tilsynet skal samtidig understrege, at Vejle Kommune i forbindelse med benyttelse af Dansk Scanning A/S som databehandler også har pligt til at påse, at kravene om sikkerhedsforanstaltninger overholdes hos databehandleren, jf. herved sidste led i persondatalovens § 42, stk. 1.
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
3 Jf. også tilsynets tilsvarende tilkendegivelse i en principiel udtalelse om offentliggørelse af sagsakter og postlister på internettet (j.nr. 2004-322-0064). Udtalelsen er tilgængelig på Datatilsynets hjemmeside.
4 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
5 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.