Digitaliseringsstyrelsen tilbyder en kørekort-app, så man kan få en elektronisk version af sit kørekort på sin telefon – som et frivilligt supplement til det fysiske kørekort.
Oplysningerne om kørekortindehaverne kommer fra kørekortregisteret, og Digitaliseringsstyrelsen modtager og opbevarer kørekortoplysninger om alle, der har et gyldigt dansk kørekort.
I strid med princippet om dataminimering
Datatilsynet har undersøgt, om Digitaliseringsstyrelsen overholder princippet om dataminimering, som er fastsat i databeskyttelsesforordningen (GDPR). Dataminimering handler grundlæggende om, at man som dataansvarlig ikke må behandle personoplysninger, man ikke har brug for. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund.
Efter at sagen har været forelagt Datarådet, konkluderer Datatilsynet nu, at det er i strid med dataminimeringsprincippet, når Digitaliseringsstyrelsen behandler personoplysninger om over 2 mio. borgere, som ikke har tilsluttet sig det digitale kørekort. Datatilsynets afgørelse indebærer alvorlig kritik af Digitaliseringsstyrelsen og et forbud mod at behandle oplysninger om borgere, som ikke har tilmeldt sig ordningen.
Det betyder ikke, at det digitale kørekort skal lukke, men at Digitaliseringsstyrelsen fremover kun må behandle personoplysninger om de borgere, som faktisk har tilmeldt sig.
Digitaliseringsstyrelsen behandler alt for mange personoplysninger
Formålet med, at Digitaliseringsstyrelsen opbevarer en kopi af oplysningerne fra kørekortregisteret, er at kunne tilbyde et digitalt kørekort. Men ud af de ca. 4 mio. borgere, der har gyldigt kørekort, er det kun ca. 1,7 mio., som har tilmeldt sig ordningen og bruger kørekort-appen.
Dataminimeringsprincippet er et helt grundlæggende princip, som bl.a. skal modvirke, at borgernes personoplysninger unødvendigt ophobes. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund. Og det er uanset oplysningernes karakter, og også, selv om der bliver passet på oplysningerne.
”Der er ca. 2,2 mio. borgere, som har kørekort, men som ikke har ønsket kørekort-appen. Alligevel opbevarer Digitaliseringsstyrelsen deres personoplysninger, selvom det ikke er nødvendigt for at drive appen. Det er i strid med reglerne, og derfor har Datatilsynet nu udtalt alvorlig kritik af styrelsen. Vores afgørelse indebærer også, at Digitaliseringsstyrelsen fremover kun må behandle oplysninger om de borgere, som faktisk har valgt at bruge det digitale kørekort,” udtaler chefkonsulent i Datatilsynet, Morten Gjermundbo.
Besvær er ingen undskyldning
Digitaliseringsstyrelsen har oplyst, at fordi kørekortregisteret er et ældre mainframe-system, har der ikke været andre muligheder, end at Digitaliseringsstyrelsen modtager et udtræk af kørekortregisteret for de borgere, der har et gyldigt kørekort. Digitaliseringsstyrelsen har nemlig oplyst, at man f.eks. ikke kan tilbyde hurtig tilmelding for nye brugere af kørekort-appen, hvis ikke kørekortoplysningerne er tilgængelige.
”Vi anerkender, at det nu kan blive tungere for Digitaliseringsstyrelsen at administrere det digitale kørekort. Men vi må holde fast i, at der her er tale om helt grundlæggende principper i en sag, hvor der er tale om unødvendig behandling af personoplysninger om over 2 mio. borgere, som ikke har tilmeldt sig kørekort-appen. Det er en ret alvorlig sag,” udtaler Morten Gjermundbo.
Digitaliseringsstyrelsen må fremover kun behandle personoplysninger om de borgere, som faktisk har tilsluttet sig ordningen med det digitale kørekort. Digitaliseringsstyrelsen kan med andre ord fortsat tilbyde det digitale kørekort og i den forbindelse behandle personoplysninger om de borgere, som har tilsluttet sig ordningen.
Digitaliseringsstyrelsen har fået en frist på 4 uger til at efterkomme Datatilsynets afgørelse.
Vil du vide mere?
Datatilsynets afgørelse kan læses her.