Ny afgørelse

Digitaliseringsstyrelsen behandler for mange personoplysninger i sin administration af det digitale kørekort

Dato: 15-11-2023

Ca. 1,7 mio. borgere har tilsluttet sig Digitaliseringsstyrelsens digitale kørekort. Men for at tilbyde det elektroniske kørekort opbevarer Digitaliseringsstyrelsen personoplysninger om alle borgere, der har et gyldigt dansk kørekort – næsten 4 mio. Datatilsynet slår nu fast, at Digitaliseringsstyrelsen behandler personoplysninger om alt for mange borgere.

Digitaliseringsstyrelsen tilbyder en kørekort-app, så man kan få en elektronisk version af sit kørekort på sin telefon – som et frivilligt supplement til det fysiske kørekort.

Oplysningerne om kørekortindehaverne kommer fra kørekortregisteret, og Digitaliseringsstyrelsen modtager og opbevarer kørekortoplysninger om alle, der har et gyldigt dansk kørekort.

I strid med princippet om dataminimering

Datatilsynet har undersøgt, om Digitaliseringsstyrelsen overholder princippet om dataminimering, som er fastsat i databeskyttelsesforordningen (GDPR). Dataminimering handler grundlæggende om, at man som dataansvarlig ikke må behandle personoplysninger, man ikke har brug for. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund.

Efter at sagen har været forelagt Datarådet, konkluderer Datatilsynet nu, at det er i strid med dataminimeringsprincippet, når Digitaliseringsstyrelsen behandler personoplysninger om over 2 mio. borgere, som ikke har tilsluttet sig det digitale kørekort. Datatilsynets afgørelse indebærer alvorlig kritik af Digitaliseringsstyrelsen og et forbud mod at behandle oplysninger om borgere, som ikke har tilmeldt sig ordningen.

Det betyder ikke, at det digitale kørekort skal lukke, men at Digitaliseringsstyrelsen fremover kun må behandle personoplysninger om de borgere, som faktisk har tilmeldt sig.

Digitaliseringsstyrelsen behandler alt for mange personoplysninger

Formålet med, at Digitaliseringsstyrelsen opbevarer en kopi af oplysningerne fra kørekortregisteret, er at kunne tilbyde et digitalt kørekort. Men ud af de ca. 4 mio. borgere, der har gyldigt kørekort, er det kun ca. 1,7 mio., som har tilmeldt sig ordningen og bruger kørekort-appen.

Dataminimeringsprincippet er et helt grundlæggende princip, som bl.a. skal modvirke, at borgernes personoplysninger unødvendigt ophobes. Som borger skal man kunne stole på, at myndigheder og virksomheder ikke indsamler og opbevarer ens personoplysninger, hvis de ikke har en god grund. Og det er uanset oplysningernes karakter, og også, selv om der bliver passet på oplysningerne.

”Der er ca. 2,2 mio. borgere, som har kørekort, men som ikke har ønsket kørekort-appen. Alligevel opbevarer Digitaliseringsstyrelsen deres personoplysninger, selvom det ikke er nødvendigt for at drive appen. Det er i strid med reglerne, og derfor har Datatilsynet nu udtalt alvorlig kritik af styrelsen. Vores afgørelse indebærer også, at Digitaliseringsstyrelsen fremover kun må behandle oplysninger om de borgere, som faktisk har valgt at bruge det digitale kørekort,” udtaler chefkonsulent i Datatilsynet, Morten Gjermundbo.

Besvær er ingen undskyldning

Digitaliseringsstyrelsen har oplyst, at fordi kørekortregisteret er et ældre mainframe-system, har der ikke været andre muligheder, end at Digitaliseringsstyrelsen modtager et udtræk af kørekortregisteret for de borgere, der har et gyldigt kørekort. Digitaliseringsstyrelsen har nemlig oplyst, at man f.eks. ikke kan tilbyde hurtig tilmelding for nye brugere af kørekort-appen, hvis ikke kørekortoplysningerne er tilgængelige.

”Vi anerkender, at det nu kan blive tungere for Digitaliseringsstyrelsen at administrere det digitale kørekort. Men vi må holde fast i, at der her er tale om helt grundlæggende principper i en sag, hvor der er tale om unødvendig behandling af personoplysninger om over 2 mio. borgere, som ikke har tilmeldt sig kørekort-appen. Det er en ret alvorlig sag,” udtaler Morten Gjermundbo.

Digitaliseringsstyrelsen må fremover kun behandle personoplysninger om de borgere, som faktisk har tilsluttet sig ordningen med det digitale kørekort. Digitaliseringsstyrelsen kan med andre ord fortsat tilbyde det digitale kørekort og i den forbindelse behandle personoplysninger om de borgere, som har tilsluttet sig ordningen.

Digitaliseringsstyrelsen har fået en frist på 4 uger til at efterkomme Datatilsynets afgørelse.

Vil du vide mere?

Datatilsynets afgørelse kan læses her.

 

Det digitale kørekort

Kørekort-appen blev lanceret den 24. november 2020 og administreres af Digitaliseringsstyrelsen.

Digitaliseringsstyrelsen behandler følgende oplysninger fra kørekortregisteret om alle indehavere af et gyldigt dansk kørekort:

  • Almindelige personoplysninger:
    • Navn
    • Fødselsdato
    • Fødested
    • Nationalitet
    • Kørekortnummer
    • Pasnummer
    • Pasfoto
  • Fortrolige personoplysninger:
    • CPR-nummer
  • Følsomme personoplysninger:
    • Helbredsoplysninger, f.eks. oplysning om briller og proteser (i det omfang sådanne oplysninger fremgår af det aktuelle kørekort)
  • Oplysninger om strafbare forhold:
    • Oplysning om, at indehaveren af kørekortet skal køre med alko-lås for at måtte føre køretøjet eller ikke må drikke alkohol (i det omfang sådanne oplysninger fremgår af det aktuelle kørekort)

Behandlingen af personoplysninger omfatter også sårbare grupper, idet der behandles oplysninger om 17-årige, som har opnået kørekort efter ”17-års-ordningen”, og om 15-årige, som har kørekort til lille knallert og/eller traktor.

Dataminimering

Artikel 5 i databeskyttelsesforordningen indeholder en række grundlæggende principper for behandling af personoplysninger, som altid skal overholdes.

Princippet om dataminimering er ét af disse grundlæggende principper og har følgende ordlyd:

”Personoplysninger skal: […] være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.”

Princippet om dataminimering handler om, at en dataansvarlig kun må behandle, herunder opbevare, de personoplysninger, som er nødvendige for at opfylde formålet med behandlingen. Yderligere indsamling og behandling af personoplysninger udgør unødvendig dataophobning og er i strid med reglerne.

Det digitale kørekort kan fortsætte

Datatilsynet har i sin afgørelse oplyst Digitaliseringsstyrelsen, at styrelsen kan efterleve Datatilsynets afgørelse og fortsat tilbyde kørekort-appen ved f.eks. at tilpasse de servicesnit og databaseudtræk, som styrelsen allerede anvender, på en sådan måde, at der ikke behandles personoplysninger om personer, som ikke aktivt har tilsluttet sig ordningen. Datatilsynet har særligt henvist Digitaliseringsstyrelsen til muligheden for at skabe en database med de aktuelle brugere af kørekort-appen og fremover vedligeholde denne ved såkaldte deltakørsler for af- og tilmeldinger i appen.

Sådanne tekniske justeringer i det digitale kørekort vil kunne sikre, at behandlingen af oplysninger om personer, som ikke aktivt har tilsluttet sig ordningen, ophører, uden at det væsentligt vil påvirke funktionaliteten af det digitale kørekort for de personer, som aktivt har tilsluttet sig ordningen.

Nye brugeres tilslutning til det digitale kørekort vil endvidere fortsat kunne ske, også efter gennemførelse af de ovennævnte tekniske justeringer.