Spørgsmål om krigsreglen i forhold til databehandler i tredjeland

Publiceret 10-05-2007
Historisk afgørelse

Journalnummer: 2007-214-0004

1.1. I slutningen af januar 2007 rettede De som advokat for Arbejdsmarkedets Tillægspension (ATP) og ATP’s samarbejdspartnere telefonisk henvendelse til Datatilsynet og anmodede om et møde med henblik på at drøfte den praktiske fremgangsmåde med hensyn til indhentelse af tilladelser til overførsel af personoplysninger til tredjelande i henhold til persondatalovens § 27, stk. 4, på baggrund af Kommissionens standardkontrakter.

På et møde i Datatilsynet den 2. februar 2007 gjorde tilsynet opmærksom på krigsreglen i persondatalovens § 41, stk. 4. De har efterfølgende ved brev af 28. februar 2007 på vegne af ATP indsendt en redegørelse om krigsreglen vurderet i forhold til de påtænkte overførsler.

1.2. Det fremgår herefter af sagen, at ATP og ATP’s samarbejdspartnere behandler oplysninger om medlemmers navn, adresse og øvrige kontaktoplysninger, personnummer samt oplysninger om arbejdsgiver, stilling, erhverv eller uddannelse.

Ifølge det oplyste har eksempelvis ATP ultimo 2006 næsten 4,5 millioner medlemmer og godt 150.000 indbetalende arbejdsgivere, både offentlige og private. Derudover får ATP indbetalinger fra kommuner og Arbejdsdirektoratet (Akasser).

Oplysningerne ønskes ifølge det oplyste overført til databehandlere i Indien og Sydafrika primært af hensyn til forsyningssikkerheden. Hertil kommer ifølge det oplyste, at ATP er blevet opmærksom på, at der kan være betydelige besparelser forbundet med anvendelse af databehandlere i tredjelande. Databehandlerne skal således udføre driftsmæssige opgaver, der kræver, at de har adgang til de personoplysninger, der behandles af ATP og ATP’s samarbejdspartnere. Databehandlerne skal desuden udføre opgaver på såkaldte ”testoplysninger”. De har bl.a. anført, at der efter Deres opfattelse alene som følge af den samfundsmæssige udvikling er sket en væsentlig indsnævring af anvendelsesområdet for § 41, stk. 4. De finder således, at oplysninger som f.eks. navn og adresse, som allerede er offentligt tilgængelige via internettet eller på anden måde, ikke i sig selv kan anses for at være omfattet af bestemmelsen, ligesom det aktuelle trusselsbillede efter Deres opfattelse har indflydelse på, hvorvidt oplysninger kan siges at være af ”særlig interesse for fremmede magter”.

De har desuden oplyst, at ATP’s overførsel af ”testoplysninger” efter Deres opfattelse ikke er omfattet af § 41, stk. 4. De har i den forbindelse anført, at der i testmiljøer kun sker overførsel af oplysninger om maksimalt 250.000 personer, samt at oplysningerne i testmiljøet vil være delvist forvanskede, idet den registreredes adresse vil blive erstattet af ATP’s egen adresse og ordet ”brugertest” vil blive tilføjet efter den registreredes navn.

Det er Deres opfattelse, at ATP ved brug af databehandlerkontrakter kan træffe foranstaltninger i henhold til § 41, stk. 4, der i det tilstrækkelige omfang muliggør bortskaffelse eller tilintetgørelse.

Efter Deres opfattelse må det lægges til grund, at databehandlermodellen, som er forudsat i både direktivet og persondataloven, må bygge på en antagelse om, at det også i henhold til § 41, stk. 4, er tilstrækkeligt at aftale den påkrævede bortskaffelses- eller tilintetgørelsesadgang.

De har henvist til ATP’s databehandleraftale og it-sikkerhedspolitik, som blev udleveret på mødet den 2. februar 2007, og som efter Deres opfattelse tager højde for de foranstaltninger, der skal træffes i henhold til § 41, stk. 4.

Endelig har De oplyst, at ATP i øjeblikket undersøger, hvorvidt det er muligt at etablere en begrænset adgang for databehandleren, således at denne ikke har teknisk adgang til at lagre eller printe oplysninger. Løsningen skal dog ifølge det oplyste samtidig tillade den behandling, der er behov for i forbindelse med fejlretning og test, herunder i nogle tilfælde adgang til internet/e-mail funktion. De har efterfølgende præciseret, at den pågældende medarbejder ved en begrænset adgang udelukkende vil kunne se de oplysninger, der på et givet tidspunkt befinder sig på vedkommendes skærm.

De har anført, at ønsket om godkendelse af en sådan teknisk løsning er subsidiær i forhold til løsningen baseret på databehandlerkontrakter.

2. Efter at sagen har været behandlet på et møde i Datarådet, skal Datatilsynet herefter udtale følgende:

2.1. Persondatalovens § 41, stk. 4

2.1.1. Det følger af persondatalovens § 41, stk. 4, at for oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Bestemmelsen er en videreførelse af den tilsvarende bestemmelse i lov om offentlige registre § 12, stk. 3.

Af persondatalovens forarbejder fremgår følgende om bestemmelsen:

”Af bestemmelsen følger, at der med hensyn til oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Bestemmelsen, som svarer til, hvad der følger af lov om offentlige myndigheders registre § 12, stk. 3, omfatter behandlinger af oplysninger, som en besættelsesmagt eller en magt, der har erobret en del af landet, vil have særlig interesse i bl.a. for dermed hurtigt og effektivt at kunne overtage den almindelige administration. Derfor vil navnlig de større landsdækkende administrative systemer, som f.eks. Det Centrale Personregister (CPR) og centrale skattesystemer, være omfattet af bestemmelsen. Det samme gælder specialregistre, som kan benyttes til at finde frem til bestemte personer, som den fremmede magt – f.eks. på grund af de pågældendes særlige uddannelse – ønsker at disponere over. På samme måde vil en fremmed magt kunne have særlig interesse i at få adgang til edb-systemer m.v. med oplysninger om større lastmotorkøretøjer. Datatilsynet vil kunne henlede opmærksomheden på behovet for særlige foranstaltninger, hvis tilsynet bliver bekendt med, at en behandling som nævnt ovenfor finder sted.

Reglen indebærer ikke, at de omtalte oplysninger nødvendigvis skal bortskaffes eller destrueres i tilfælde af krig eller lignende forhold. Bestemmelsen sikrer blot, at der lovligt vil kunne træffes beslutning om destruktion m.v., hvis det skulle vise sig nødvendigt. Det påhviler den dataansvarlige at træffe de foranstaltninger, som muliggør destruktion m.v.”

I et svar af 5. januar 1999 til Folketingets Retsudvalg ad L44 (Folketinget 1998-1999) anførte Justitsministeriet følgende:

”…

Spørgsmål nr. 25:

"Har ministeren overvejet at indsætte en bestemmelse om, at særligt følsomme registre, f.eks. kriminalregisteret, skal føres af en offentlig myndighed og fysisk skal føres i Danmark?"

Spørgsmål nr. 27:

"Kan ministeren oplyse, om kriminalregisteret vil kunne udliciteres til en privat virksomhed og rent fysisk flyttes til f.eks. Grækenland eller Indien, såfremt EU indgår en aftale med Indien om videregivelse?"

Spørgsmål nr. 64:

"Har ministeren overvejet at skrive i loven, at CPR-registeret skal føres i Danmark (både til L 44 og L 9)?"

Spørgsmål nr. 69:

"Vil staten kunne beslutte, at et register, der har været ført af et privat firma, f.eks. CPR-registeret, igen skal føres af en offentlig myndighed, uden at denne tilbageførsel er i strid med EU-regler, f.eks. udbudsbestemmelser?"

Svar:

Spørgsmålene vedrører samme emne (spørgsmålet om at føre et register i udlandet) og besvares derfor samlet.

1. Lovforslaget bygger på den ordning, at en dataansvarlig myndighed selv afgør, om det bør overlades til en databehandler (edb-servicebureau) at behandle personoplysninger, herunder personfølsomme oplysninger, på myndighedens vegne.

Hvis den dataansvarlige myndighed beslutter, at behandlingen af personoplysninger skal foretages af et edb-servicebureau, vil det pågældende edb-servicebureau som udgangspunkt kunne lade opgaven udføre i et andet EU-land.

Dette gælder dog ikke, hvis behandlingen f.eks. vedrører oplysninger af særlig interesse for fremmede magter, og hvis der – såfremt behandlingen finder sted i et andet EU-land – ikke kan træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold, jf. lovforslagets § 41, stk. 2.

Bestemmelsen i lovforslagets § 41, stk. 2, indebærer efter Justitsministeriets opfattelse, at Det Centrale Kriminalregister ikke må føres i udlandet.

Indenrigsministeriet har oplyst, at CPR også kun må føres i Danmark. Der henvises bl.a. til vedlagte besvarelse af spørgsmål nr. S 1333 fra medlem af Folketinget Tove Fergo (V).

På den anførte baggrund finder Justitsministeriet ikke, at der er grund til at indsætte en udtrykkelig bestemmelse i lovforslaget om, at visse følsomme registre ikke må føres i udlandet.

Der henvises i øvrigt til besvarelsen af spørgsmål nr. 99 vedrørende lovforslag nr. L 82 (fra den sidste folketingssamling).

2. Justitsministeriet finder ikke, at der bør indsættes en bestemmelse i lovforslaget, hvorefter visse følsomme registre, f.eks. Det Centrale Kriminalregister, skal føres af en offentlig myndighed.

Dette skal bl.a. ses i lyset af, at en privat databehandler (edb-servicebureau) efter lovforslaget – ligesom den dataansvarlige myndighed selv – skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. lovforslagets § 41, stk. 1, 2. pkt.

Det kan i øvrigt oplyses, at Det Centrale Kriminalregister i dag føres af et privat edbservicebureau, nemlig CSC Danmark A/S (tidligere Datacentralen), på Rigspolitichefens vegne.

Med hensyn til CPR, herunder spørgsmålet om, hvorvidt dette register bør føres af en offentlig myndighed, henvises til indenrigsministerens besvarelse af spørgsmål nr. 6 fra Folketingets Kommunaludvalg vedrørende forslag til lov om Det Centrale Personregister (L 9). Besvarelsen vedlægges.

…”

I det omtalte svar på spørgsmål nr. 6 fra Folketingets Kommunaludvalg vedrørende forslag til lov om Det Centrale Personregister (L 9) anførte Indenrigsministeriet følgende:

Spørgsmål 6:

”Vil ministeren være indstillet på at ændre lovforslaget, så det kommer til at fremgå, at den fysiske databehandling af CPR-registret skal foregå i Danmark, og at databehandleren skal være en offentlig myndighed? Hvis ikke ønskes en begrundelse herfor.”

Svar:

”Som det fremgår af § 55, stk. 1, skal Indenrigsministeriet træffe foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse af CPR i tilfælde af krig eller lignende forhold. Denne forpligtelse følger under den gældende retstilstand af § 12, stk. 3, i lov om offentlige myndigheders registre og videreføres ved § 41, stk. 2, i forslag nr. L 44 til lov om behandling af personoplysninger. En forudsætning for, at Indenrigsministeriet kan sikre den omhandlede bortskaffelse eller tilintetgørelse er, at driftsafviklingen af CPR fysisk sker her i landet undergivet dansk jurisdiktion. Denne betingelse fremgår derfor af den gældende kontrakt om CPR’s drift med CSC Danmark A/S som databehandler. Det følger således allerede af det foreliggende lovforslag, at driftsafviklingen skal foregå i Danmark.

Derimod findes jeg det ikke relevant at stille krav om, at databehandleren skal være en offentlig myndighed, idet der kontraktligt kan sikres opfyldelse af de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger hos en privat databehandler på samme måde, som hvis databehandleren er en offentlig virksomhed.”

2.1.2. Registertilsynet udtalte sig i 1991 om den daværende bestemmelse i lov om offentlige registre § 12, stk. 3, i forbindelse med udbud af produktionen af plastsygesikringsbeviser.

Registertilsynet udtalte, at tilsynet på baggrund af § 12, stk. 3, i lov om offentlige registre og forarbejderne hertil, måtte nære alvorlige betænkeligheder ved en eventuel produktion af plastsygesikringsbeviser i udlandet på basis af Det Centrale Personregister, idet CPR-registret må anses for omfattet af lov om offentlige registre § 12, stk. 3, hvorefter der skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Registertilsynet udtalte endvidere, at tilsynet ikke ville have indvendinger imod, at et udenlandsk firma deltog i produktionen af plastsygesikringsbeviser, såfremt fremstillingen foregik her i landet, og således var undergivet dansk jurisdiktion, og der i øvrigt blev truffet de fornødne foranstaltninger til sikring af, at oplysningerne ikke overføres til udlandet.

3. Datatilsynets vurdering

3.1. Ved den påtænkte løsning foretager ATP efter Datatilsynets opfattelse overførsel af personoplysninger til tredjelande i relation til persondatalovens § 27. Tilsynet har lagt vægt på, at personoplysningerne gøres tilgængelige for personer, der befinder sig i tredjelande, og at oplysningerne ifølge det oplyste vil indgå i databehandlerens opgave med bl.a. vedligeholdelse, overvågning, back-up og opgradering.

3.2. Med hensyn til de beskrevne testmiljøer er det Datatilsynets opfattelse, at de omhandlede testoplysninger, der vil være delvist forvanskede, ikke kan anses for omfattet af § 41, stk. 4.

Datatilsynet finder derfor, at ATP under iagttagelse af persondatalovens øvrige regler, herunder særligt § 27 om overførsel til tredjelande, kan lade behandling af testoplysninger udføre i Indien og Sydafrika.

Datatilsynet skal imidlertid anbefale, at ATP i videst muligt omfang foretager anonymisering af de overførte oplysninger.

Tilsynet afventer herefter indsendelse af udfyldte standardkontrakter mellem ATP og databehandlerne i Indien og Sydafrika, før der kan meddeles tilladelse til overførsel af testoplysninger.

3.3. Det er Datatilsynets opfattelse, at den behandling af personoplysninger, som ATP og ATP’s samarbejdspartnere foretager i deres almindelige systemer, er omfattet af persondatalovens § 41, stk. 4.

Datatilsynet har herved lagt vægt på karakteren og omfanget af de personoplysninger, som behandles.

Der henvises i den forbindelse til, at både oplysninger fra Det Centrale Personregister samt oplysninger om personers uddannelse og erhverv er nævnt i forarbejderne til persondataloven som eksempler på oplysninger, der antages at være af særlig interesse for fremmede magter og derfor vil være omfattet af bestemmelsen.

Hertil kommer, at ATP og ATP’s samarbejdspartneres systemer er landsdækkende og for fleres vedkommende omfatter størstedelen af befolkningen.

Datatilsynet har endvidere noteret sig, at det af brevvekslingen mellem ATP, Arbejdsministeriet og Indenrigsministeriet (bilag 8 til Deres brev af 28. februar 2007) fremgår, at ATP’s registre efter Indenrigsministeriets opfattelse var omfattet af reglen i lov om offentlige registre § 12, stk. 3.

Når der behandles oplysninger, som må anses for omfattet af § 41, stk. 4, er der efter Datatilsynets opfattelse ikke hjemmel i bestemmelsen til at overføre de omhandlede oplysninger til databehandlere i Indien og Sydafrika.

Datatilsynet har ved denne vurdering lagt vægt på formålet med og forarbejderne til bestemmelsen, jf. ovenfor under punkt 2.1.1., herunder Justitsministeriets og Indenrigsministeriets tilkendegivelser over for Folketinget.

Datatilsynet må i den forbindelse understrege, at tilsynet ikke finder at kunne tage stilling til, hvorvidt den nuværende trusselssituation ændrer forudsætningerne for bestemmelsen i § 41, stk. 4, herunder om bestemmelsen fortsat bør opretholdes. Dette må i givet fald forudsætte en politisk beslutning.

Datatilsynet finder, at en kontraktslig forpligtelse for de omhandlede databehandlere til at sikre en bortskaffelses- eller tilintetgørelsesadgang eller en eventuel begrænsning i adgangen til at printe eller lagre oplysninger ikke kan føre til en anden vurdering.

Datatilsynet har herved lagt vægt på, at bestemmelsen i § 41, stk. 4, er opretholdt ved Folketingets beslutning i 2000, og at en bortskaffelses- eller tilintetgørelsesadgang, der alene er baseret på aftaler herom, heller ikke i 2000 synes forudsat som en tilstrækkelig sikker løsning. I denne forbindelse må navnlig henses til, at databehandlere og dataansvarlige, der befinder sig i Danmark, er underlagt dansk lovgivning, hvilket ikke gør sig gældende for databehandlere uden for Danmark.

Særligt med hensyn til en eventuel begrænsning i de omhandlede databehandleres adgang til at lagre, printe mv. bemærkes, at dette forhold – ud over den usikkerhed af teknisk karakter som måtte være forbundet med en sådan løsning – ikke ændrer ved, at systemerne og dermed oplysningerne gøres tilgængelige for databehandlerne.

Et medlem af Datarådet har tilkendegivet, at den fortsatte berettigelse af bestemmelsen i § 41, stk. 4, på ny bør overvejes politisk, navnlig henset til udviklingen i globaliseringen, og dette medlem kan ikke tilslutte sig flertallets vurdering i den konkrete sag.

4. Kan der anvendes databehandlere i Danmark?

Såfremt Datatilsynet finder, at der ikke i en kontrakt kan træffes sådanne tilstrækkelige foranstaltninger som krævet i § 41, stk. 4, har De i Deres brev af 28. februar 2007 anmodet tilsynet om at tage stilling til, om der i så fald overhovedet kan anvendes databehandlere, uanset at disse måtte befinde sig i Danmark.

Datatilsynet kan i den forbindelse henvise til Justitsministeriets tilkendegivelser i den ovenfor gengivne besvarelse til Folketingets Retsudvalg.

5. Særligt vedrørende ”etableringskrav”

De har i Deres brev af 28. februar 2007 anført, at realiteten i Registertilsynets afgørelse fra 1991 om plastsygesikringsbeviser må være, at der, hvis en behandling er omfattet af § 41, stk. 4, stilles krav om, at databehandleren skal være ”etableret” i Danmark, og at behandlingen kun må foregå i Danmark.

De finder det tvivlsomt, om kravet om ”etablering” vil kunne opretholdes, både med henvisning til den teknologiske udvikling, den nuværende trusselssituation samt relevante EU-regler.

Datatilsynet skal i den forbindelse bemærke, at Registertilsynet efter tilsynets opfattelse i 1991 tog stilling til dette spørgsmål. Registertilsynet udtalte således, at man ikke ville have indvendinger mod, at et udenlandsk firma deltog i produktionen af plastsygesikringsbeviser, såfremt fremstillingen foregik her i landet og således var undergivet dansk jurisdiktion, og der i øvrigt blev truffet de fornødne foranstaltninger til sikring af, at oplysningerne ikke overføres til udlandet.

6. Forholdet til EU-retten

De har i brev af 28. februar 2007 omtalt de EU-regler, som efter Deres opfattelse kan have konsekvens for bestemmelsen i § 41, stk. 4, ligesom De har refereret enkelte domme fra EF-Domstolen.

Allerede fordi der i den konkrete sag er tale om outsourcing til Indien og Sydafrika, har Datatilsynet ikke fundet grundlag for at foretage en nærmere vurdering af denne problemstilling. Datatilsynet kan i øvrigt henvise til Justitsministeriets tilkendegivelser i den ovenfor gengivne besvarelse til Folketingets Retsudvalg.

7. Afsluttende bemærkninger

Datatilsynet skal for en god ordens skyld henlede opmærksomheden på sikkerhedsbekendtgørelsen, som gælder for oplysninger, der behandles for den offentlige forvaltning.