En ny afgørelse fra Datatilsynet om fordeling af dataansvaret i Kriminalforsorgen sætter fokus på fordeling af dataansvar hos offentlige organisationer, der omfatter flere institutioner. Denne artikel stiller skarpt på afgørelsens vigtigste punkter, heriblandt hvilke forhold offentlige organisationer bør have for øje, når vurderingen af fordelingen af dataansvar foretages.

Den dataansvarlige er efter forordningen tildelt en række rettigheder og forpligtigelser. Forpligtigelserne er ofte tæt forbundet med den registreredes rettigheder, herunder oplysningspligten og retten til indsigt. Såfremt dataansvaret i en offentlig organisation bestående af flere institutioner ikke er blevet fordelt eller ikke er korrekt fordelt, forringes eller fjernes den registreredes mulighed for at anvende sine rettigheder.

I en ny afgørelse fra Datatilsynet har tilsynet fokus på fordelingen af data­ansvaret inden for Kriminalforsorgen. På baggrund af afgørelsen bør offentlige organisationer omfattende flere institutioner undersøge, om der er blevet foretaget en vurdering af fordelingen af dataansvar.

Datatilsynets afgørelse

Datatilsynet uddeler i sin afgørelse, publiceret 12. december 2018, alvorlig kritik af Kriminalforsorgens, herunder Direktoratet for Kriminal­forsorgens, manglende stillingtagen til fordeling af dataansvar og som følge heraf manglende overholdelse af rets­håndhævelseslovens krav om oplysnings­pligt og meddelelse af indsigt.

Datatilsynets afgørelse er truffet efter reglerne i retshåndhævelsesloven. På de relevante punkter svarer disse regler til databeskyttelsesforordningens regler, hvorfor afgørelsen også har relevans inden for områder, hvor data­beskyttelses­forordningen finder anvendelse.

I et varslingsbrev 19. februar 2018 varslede Datatilsynet et tilsyn med Direktoratet for Kriminalforsorgen og tilkendegav samtidig, at Datatilsynet antog, at Direktoratet for Kriminalforsorgen var dataansvarlig for behandlingen af personoplysninger i de forskellige institutioner tilhørende Kriminalforsorgen, herunder fængsler, arresthuse mv.

Det sagsmateriale, som Datatilsynet modtog fra Direktoratet for Kriminal­forsorgen, indikerede imidlertid efter Datatilsynets vurdering, at der var flere dataansvarlige i Kriminalforsorgen i forhold til behandlingen af person­oplysninger om klienter.

Den 19. oktober 2018 måtte Direktoratet for Kriminalforsorgen på opfordring meddele, at der stadig ikke var taget endelig stilling til fordelingen af data­ansvar i Kriminalforsorgen, herunder i Direktoratet for Kriminalforsorgen, hvorfor ingen af de pågældende var i stand til korrekt at angive den data­ansvarliges identitet i forskellige meddelelser til de registrerede. Som følge heraf fandt Datatilsynet i sin afgørelse, at Direktoratet for Kriminal­forsorgen ikke havde levet op til kravene i retshåndhævelsesloven § 13, stk. 1 og 3, om den dataansvarliges oplysnings­pligt, tillige med at øvrige krav end angivelse af den dataansvarliges identitet i bestemmelserne om oplysningspligt ikke var overholdt. Tilsynet fandt også, at reglerne om meddelelse af indsigt efter retshånd­hævelseslovens 15, stk. 2, ikke var overholdt.

Afgørelsens betydning

Datatilsynet gør det med afgørelsen klart, at der skal tages stilling til fordelingen af dataansvar i offentlige organisationer, da dette er en for­udsætning for, at den offentlige organisation kan overholde en række persondataretlige bestemmelser.

Samtidig viser afgørelsen, at Data­tilsynet – i hvert fald i den pågældende sag – ikke på vegne af den offentlige organisation foretager vurderingen af, hvor dataansvaret skal ligge, heller ikke selvom en fastsat frist for meddelelse af fordeling af ansvaret er udløbet. Offentlige organisationer skal altså være beredt på selv at skulle foretage en konkret vurdering af, hvor data­ansvaret ligger.

I det følgende gennemgås nærmere de elementer, der skal lægges vægt på ved vurdering af, hvor et dataansvar skal placeres.

Hvornår er man dataansvarlig?

Det følger af databeskyttelses­forordningens artikel 4, nr. 7, at den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der afgør, til hvilke formål og med hvilke hjælpe­midler der må foretages behandling af personoplysningerne.

I praksis kan det i konkrete situationer, når flere parter er involveret, blive udfordrende at fastlægge, til hvis formål oplysningerne egentlig behandles, ligesom flere af parterne i nogle situationer vil bidrage med de hjælpemidler – eksempelvis et IT-system – hvorigennem oplysningerne bliver behandlet. Fælles dataansvar kan derfor i nogle situationer også være relevant at overveje.

Det fremgår af Justitsministeriets og Datatilsynets vejledning om data­ansvarlige og databehandlere, at der ved vurderingen af, om flere forskellige parter hver især er dataansvarlige for de behandlinger, som de foretager (eller eventuelt er databehandlere), kan lægges vægt bl.a. på følgende elementer:

  • Hvis parten ved lov eller lignende er pålagt at foretage behandling af personoplysningerne, vil det betyde, at parten helt naturligt må anses for at være dataansvarlig.
  • Hvis oplysningerne kun behandles til partens formål, taler det for, at parten er dataansvarlig.
  • Har de personer, der behandles oplysninger om, en klar forventning om, hvem der er dataansvarlig for behandlingen, taler dette for, at vedkommende anses som dataansvarlig for behandlingen.
  • Hvem der træffer afgørelse om vigtige behandlingsskridt som indsamling, videregivelse og sletning.

Det skal understreges, at fordeling af dataansvar som det klare udgangs­punkt ikke kan aftales imellem parterne, men altid skal afspejle den reelle behandling af personoplysningerne, som parterne foretager.

I forbindelse med samarbejder mellem forskellige offentlige myndigheder kan der også opstå spørgsmål om, hvem der er dataansvarlig. Et eksempel på fordeling af dataansvar mellem flere forskellige offentlige myndigheder kan fx findes i Justitsministeriets vejledning for behandling af person­oplysninger i SSP-samarbejdet. Et SSP-samarbejde er et samarbejde mellem skole, socialforvaltning og politi. Det fremgår af den nævnte vejledning, at den myndighed, hvor aktøren i SSP-samarbejdet er ansat, ved modtagelsen af personoplysninger bliver ansvarlig for behandlingen af disse.

Hvorfor er fordeling af dataansvar vigtigt?

Stillingtagen til spørgsmålet om fordelingen af dataansvaret er vigtigt for at sikre, at de forpligtelser, der påhviler den dataansvarlige, efterleves. En række af disse forpligtigelser modsvares af rettigheder for de personer, den dataansvarlige behandler oplysninger om (de registrerede). Blandt andet kan den registreredes ret til indsigt i de personoplysninger, der bliver behandlet om vedkommende, først blive realiseret, når vedkommende er bekendt med, hvem der er ansvarlig for behandlingen af oplysningerne. Det er således vigtigt at få taget stilling til fordelingen af dataansvaret, da den registrerede ellers fratages muligheden for at anvende sine rettigheder. Og hvis det sker, vil den dataansvarlige ikke leve op til sine forpligtigelser efter de persondataretlige regler.

Forfattere

Mads Nygaard Madsen

Partner

Christoffer Alsted Skafte

Advokatfuldmægtig

Charlotte Kunckel