Journalnummer: 2015-632-0143
Datatilsynet tog i oktober måned 2015 en sag op af egen drift vedrørende Ankestyrelsens overholdelse af logningskravet i sikkerhedsbekendtgørelsen i forhold til personoplysninger, som styrelsen behandler udelukkende i statistisk eller videnskabeligt øjemed.
Efter anmodning fra Datatilsynet er Ankestyrelsen kommet med udtalelser til sagen den 4. januar 2016 og den 31. marts 2017.
Datatilsynet må på baggrund af det til sagen oplyste lægge til grund, at Ankestyrelsen forud for tilsynets henvendelse ikke levede op til logningskravet i sikkerhedsbekendtgørelsens1 § 192 i forbindelse med statistikproduktion hos styrelsen. Datatilsynet finder dette kritisabelt.
Datatilsynet har noteret sig det oplyste om
- at hovedparten af Ankestyrelsens eksterne statistikproduktion med virkning fra den 1. juli 2016 er overdraget til Danmarks Statistik,
- at en statistik om førtidspension forventes overdraget til Styrelsen for Arbejdsmarked og Rekruttering den 1. juli 2017,
- at Ankestyrelsen er i færd med at overføre en statistik om adoption af børn til en løsning, der ifølge styrelsen fører logning af alle anvendelser af personoplysninger, og
- at Ankestyrelsen herefter forventer, at styrelsen fra den 1. juli 2017 efterlever logningskravet i sikkerhedsbekendtgørelsens § 19 i forbindelse med styrelsens statistikproduktion.
Datatilsynet foretager sig på dette grundlag ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
____________________________
1 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
2 Efter § 19, stk. 1, i sikkerhedsbekendtgørelsen (der gælder for behandlinger omfattet af anmeldelsespligten til Datatilsynet) skal der foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
I § 19, stk. 2-5, findes en række undtagelser til denne bestemmelse.