Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Overdragelse af IT-systemer

Hvis varetagelsen af en myndighedsopgave flyttes fra en myndighed til en anden myndighed, og hvis personoplysninger i den forbindelse overdrages mellem myndigheder, herunder f.eks. i forbindelse med overdragelse af IT-systemer, er der i persondataloven en række bestemmelser, som skal iagttages.

En offentlig myndighed, der videregiver eller indsamler personoplysninger, er således som dataansvarlig pålagt en række pligter.

Persondatalovens § 3, nr. 4, definerer den dataansvarlige som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

  • Der bør i forbindelse med en overdragelse af personoplysninger først og fremmest ske en afklaring af, hvem der er dataansvarlig for personoplysningerne henholdsvis før og efter overdragelsen. Herunder også, hvornår den modtagende myndighed bliver dataansvarlig. I den forbindelse bør der navnlig lægges vægt på tidspunktet for overdragelsen af selve myndighedsopgaven.

Det påhviler de involverede parter at sikre, at personoplysninger kan behandles lovligt og tilstrækkeligt sikkert både før, under og efter selve overdragelsen.

Den afgivende myndighed skal navnlig sikre,

  • at der kun overføres de oplysninger, som den modtagende myndighed må behandle

Persondatalovens kap. 4 og 5 fastsætter bestemmelser om offentlige myndigheders muligheder for behandling af personoplysninger, herunder f.eks. at oplysningerne skal behandles i overensstemmelse med god databehandlingsskik, og at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, jf. henholdsvis persondatalovens § 5, stk. 1, og § 5, stk. 2.

Datatilsynet har tidligere tilkendegivet, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse.

Dette er f.eks. relevant i forhold til en myndighed, der ikke længere skal varetage en opgave.

  • at den praktiske overdragelse sker tilstrækkeligt sikkert

Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

En udmøntning af principperne i § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsen.

  • at der foretages de fornødne ændringer i anmeldte behandlinger af personoplysninger til Datatilsynet

Persondatalovens kapitel 12 fastsætter bestemmelser om offentlige myndigheders pligt til at anmelde behandling af personoplysninger til Datatilsynet samt om myndighedernes pligt til at indhente Datatilsynets udtalelse forinden iværksættelse af visse behandlinger af personoplysninger.

  • at oplysningerne samt eventuelle kopier af disse slettes eller anonymiseres, når de ikke længere skal bruges

Det følger af persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Den modtagende myndighed skal navnlig sikre sig,

  • at de overførte oplysninger må behandles

Persondatalovens kap. 4 og 5 fastsætter bestemmelser om offentlige myndigheders muligheder for behandling af personoplysninger, herunder f.eks. at oplysningerne skal behandles i overensstemmelse med god databehandlingsskik, og at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, jf. henholdsvis persondatalovens § 5, stk. 1, og § 5, stk. 2.

Datatilsynet har tidligere tilkendegivet, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse.

  • at bestemmelserne om oplysningspligt iagttages

Det påhviler den dataansvarlige eller dennes repræsentant at sikre sig, at bestemmelserne i persondatalovens kap. 8 om oplysningspligt i forbindelse med indsamling og registrering af personoplysninger iagttages.

  • at oplysningerne behandles tilstrækkelig sikkert, herunder såvel i forbindelse med selve den praktiske overdragelse som i forbindelse med myndighedens efterfølgende anvendelse heraf

Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

En udmøntning af principperne i § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsen.

  • at der foretages de fornødne anmeldelser af behandling af personoplysninger til Datatilsynet

Persondatalovens kapitel 12 fastsætter bestemmelser om offentlige myndigheders pligt til at anmelde behandling af personoplysninger til Datatilsynet samt om myndighedernes pligt til at indhente Datatilsynets udtalelse forinden iværksættelse af visse behandlinger af personoplysninger.

Yderligere oplysninger

Datatilsynet har sendt ovenstående tekst som bidrag til Videnskabsministeriets vejledning om overdragelse af IT-systemer i forbindelse med kommunalreformen.