Datatilsynet afgav den af 18. maj 2005 en udtalelse til Indenrigs- og Sund- hedsministeriet, CPR-kontoret, vedrørende kontorets videregivelse af oply s- ninger fra Det Centrale Personregister (CPR) til private virksomheder mv. i form af masseudtræk, jf. CPR  -lovens¹ § 38. Som det fremgår af udtalelsen har Datatilsynet efterfølgende behandlet en ræ ørgsmål vedrørende produktet CPR Søg, hvor videregivelsen sker i henhold til CPR-lovens § 39. Datatilsynet – – l- gende spørgsm å l: 1.    CPR-kontorets eventuelle forpligtelse til at føre kontrol i  forbindelse med videregivelse via CPR Søg. 2.    Udenlandske ambassaders adgang til CPR. 3.    Spørgsmål om indsigt i loggen over opslag og sø   gninger i CPR. CPR-kontoret har afgivet udtalelser om disse spørgsmål i breve af 18. april 2005 og 11. maj 2005. Datatilsynet skal udtale: 1. CPR-kontorets eventuelle forpligtelse til at føre kontrol i forbindelse med videregivelse via CPR Søg 1.1. I en række avisartikler er der navnlig rejst spørgsmål om udenlandske ambassaders adgang til via terminaladgang at foretage enkeltopslag i CPR. Som andre eksempler på, hvem der har denne adgang, nævnes detektivb   u- reauer og våbe nhandlere. Det nævnes, at CPR  -kontoret ikke fører kontrol med modtagerne af oplysningerne. Endvidere er det anført, at de registrerede ikke 1 Lovbekendtgørelse nr. 140 af 3. marts 2004 om Det Centrale Personreg ister. Indenrigs- og Sundhedsministeriet, CPR-kontoret Datavej 20 Postbox 269 3460 Birkerød sendt til [email protected] 22. juni  2005 Udtalelse om videregivelse af oplysninger fra CPR til private virksomh e- der mv. via CPR Søg Datatilsynet Borgergade 28, 5. 1300  København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-post [email protected] www.datatilsynet.dk J.nr.  2005-632-0077 Sagsbehandler Thomas Gønge Direkte 3319 3216

2 får og ikk e kan få at vide, hvem der på denne måde modtager oply   sninger om dem. De omhandlede avisartiklerne har bl.a. givet anledning til et spørgsmål fra Folketingets Retsudvalg til justitsministeren², og Datatilsynet har anmodet CPR-kontoret om nærmere oplysning  er om CPR Søg. I brev af 18. april 2005 har CPR-kontoret bl.a. oplyst, at såvel offentlige my n- digheder som private kan få terminaladgang til CPR. I praksis sker adgangen via produktet CPR Søg, som er en browserbaseret adgang til interne tadressen http://web.cpr.dk/gws. Videregivelse af oplysninger efter § 39 forudsætter, at virksomheden identif  i- cerer de enkelte personer ved enten 1) navn (nuværende eller tidligere) og fø dselsdato, 2) navn (nuværende eller tidligere) og adresse (nuværende eller tidligere) eller 3) navn (nuvæ  rende eller tidligere) og personnummer, jf. § 42, stk. 6. De oplysninger, der må videregives efter § 39, omfatter ubeskyttede, aktuelle navne- og adresseoplysninger, oplysning om dødsfald, evt. markedsføringsb  e- skyttelse og værgemål, jf.    § 42, stk. 2. Dvs. at oplysningerne svarer til de op- lysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2. CPR-kontoret har i øvrigt oplyst, at private virksomh eder siden 1996 har kun- net få en sådan terminaladgang til CPR  . Før CPR -lovens ikrafttræden skete adgangen med hjemmel i de daværende forskrifter for CPR  -registret, som var godkendt af Registertilsynet. Alle private virksomheder og myndigheder, som i dag har terminaladgang til CPR, er godkendt af CPR-kontoret og har fået udleveret de standardvilkår, som Indenrigs- og Sundhedsministeriet har fastsat for anvendelsen af termi- naladgangen. 1.2. Som det fremgår af CPR -kontorets udtalelse af 18. april 2005 giver CPR Søg alene adgang til enkeltopslag på aktuelle oplysninger om først og fre   m- mest navn og adresse på identificerede personer. Der gives således samme adgang til oplysninger, som enhver borger uden nærmere begrundelse kan få adgang til i CPR ved henvendelse til et folkeregister, jf. CPR-lovens § 42, stk. 1 og 2. Det er på denne baggrund Datatilsynets opfattelse, at CPR -kontoret alene er forpligtet til at påse, om betingelserne i § 39 er opfyldt, før der gives term  i- naladgang. Det kan således ikke antages, a t CPR-kontoret er forpligtet til at føre kontrol med, om en virksomhed mv., som modt ager eller anmoder om at 2 Spørgsmål 105 ad REU alm. del af 20. april 2005.

3 modtage CPR-oplysninger i henhold til CPR-lovens § 39, er berettiget til at behandle oplysningerne efter persondataloven³. Datatilsynet skal imidlertid fremhæve, at CPR  -lovens § 39 ikke fratager den dataansvarlige virksomhed el.lign., der modtager CPR-oplysninger efter be- stemmelsen, ansvaret for, at indsamlingen og den videre behandling af oplys- ningerne er i overensstemmelse med persondatalovens regler. 2. U denlandske ambassader s adgang til CPR 2.1. CPR -kontoret har i brev af 11. maj 2005 bl.a. oplyst, at modtagerkredsen efter CPR-lovens § 39 – som det også er anført i bemærkningerne til § 38, stk. 1, i CPR-lovforslaget – omfatter alle juridiske p   ersoner og fysiske personer, der driver erhvervsvirksomhed. CPR-kontoret har endvidere anført, at der i de indledende afsnit i bemærkni   n- gerne til CPR-lovforslagets kapitel 8, 10 og 12 om videregivelse fra CPR foretages en sondring mellem offentlige myndigheder og private. Det fremgår bl.a. heraf, at udenlandske offentlige myndigheder efter CPR-loven altid skal behandles som private. Dette indebærer, at videregivelse til udenlandske myndigheder ikke er omfa  t- tet af kapitel 8 i CPR-loven om videregivelse til offentlige myndigheder, men skal behandles efter reglerne i kapitel 10 og 12 om videregivelse til private. I vejledning nr. 51 af 13. juni 2002 om folkeregistrering er optaget et bilag 2 om sondringen mellem offentlige myndigheder og private, hvor der blandt eksemplerne på private er nævnt ”Ambassader og øvrige repræse ntanter for fremmede lande. 2.2 .Datatilsynet har noteret sig, at adgang til at foretage enkeltopslag i CPR via CPR Søg gives, når betingelserne i CPR  -lovens § 39 er opfyldt. Datatilsynet har desuden noteret sig, at det forudsættes, at udenlandske offen  t- lige myndigheder efter CPR-loven behandles som private. Tilsynet finder på den baggrund, at det må anses for at være i overensstemmelse med CPR   -loven og dennes forudsætninger samt persondatal  oven, at CPR-kontoret giver bl.a. udenlandske ambassader adgang til at foretage enkeltopslag i CPR via CPR Søg. Datatilsynet har overvejet, om ordningen med udenlandske ambassaders ter- minal adgang rejser et særligt spørgsmål i forhold til flygtninge. Regis trering af flygtninge i CPR sker – som for alle andre personer    – i henhold til folker   e- gistreringslovgivningen, herunder CPR-loven, og ifølge det oplyste får flyg  t- ninge efter CPR-lovens § 3, stk. 3, nr. 2, tilsendt meddelelse om tildeling af personnummer, når denne sker. Det er samtidig oplyst, at CPR -kontoret i for- bindelse hermed ikke orienterer om de videregivelsesbestemmelser, der findes 3 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger.

4 i CPR-loven, eller om mulighederne for at få navne - og adressebeskyttelse mv. Efter Datatilsynets opfattelse kan der være grund til at overveje, om særlige grupper, f.eks. flygtninge, bør informeres om, hvad registreringen i CPR i n- debærer, og om mulighederne for at få navne   - og adressebeskyttelse mv. Til- synet skal således anbefale, at det overvejes, om der under en eller  anden form kan gives information herom til flygtninge, for hvem videregivelse af CPR- oplysninger kan tænkes at indebære en særlig risiko. Datatilsynet skal desuden foreslå, at CPR -kontoret såvel i vilkårene for CPR Søg som i hvert enkelt udtræk af CPR   -oplysninger, der foretages via CPR Søg, indsætter oplysning om, at modtageren skal være opmærksom på, at ve d- kommende kan have oplysningspligt efter persondataloven over for den regi- strerede. 3. Spørgsmål om indsigt i loggen over opslag og sø   gninger i CPR 31. CPR -kontoret registrerer ifølge det oplyste  alle de opslag og søgninger i CPR, der foretages via terminaladgang, i en log, som bl.a. indeholder oplys- ninger om tidspunkt og brugerkode, samt hvilke oplysninger der har været adgang til. Loggen opbevares i seks mån eder. CPR-kontoret har i den forbindelse anført, at  kontoret ikke mener at have pligt til at oplyse en borger om, at en given virksomhed har foretaget opslag på på gældende i CPR.   CPR-kontoret har henvist til persondatalovens § 29, stk. 2, hvorefter den generelle oplysningspligt ikke gælder, når videregivelsen u   d- trykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov – som det er tilfældet for videregivelsen af o  plysninger fra CPR. Efter CPR-kontorets opfattelse har kontoret endvidere ikke pligt til at oplyse om transaktionslogning i forbindelse med imødekommelsen af en registerin d- sigt. CPR-kontoret har i den forbindelse henvist til, at Registertilsynet (nu Datatil- synet) har udtalt, at retten til registerindsigt ikke omfatter ret til indsigt i transaktionslogninger, jf. Registertilsynets årsb   retning for 1998. CPR-kontoret har endvidere oplyst, at loggen vedrørende CPR Søg føres i sikkerhedsøjemed, og  at det bl.a. er forekommet, at politiet har fået adgang til den i dette øj emed. 3.2. Efter persondatalovens § 31 har en registreret person ret til indsigt i op- lysninger, der behandles om den pågældende selv. Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornø d- ne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hænd  eligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de

5 kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. For behandlinger af personoplysninger, der foretages for den offentlige for- valtning, er de nærmere krav til sikkerhedsforanstaltningerne fastsat i sikke  r- hedsbekendtgørelsen⁴. For anmeldelsespligtige behandlinger medfører sikkerhedsbekendtg ø bl.a. et krav om maskinel registrering (logning) af alle anvendelser af person- oplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysnin- ger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 m  å- neder, hvorefter den skal slettes. Myndigheder med et særligt behov kan o  p- bevare loggen i op til 5 år. Det må lægges til grund, at den omhandlede log over opslag i CPR har været ført, siden dette var et krav efter de registerforskrifter, som var fastsat i he n- hold til den tidligere gældende lov om offentlige myndigh  eders registre. Datatilsynet lægger herefter samlet til grund, at formålet    med den omhandlede log er sikkerhedsmæ  ssigt. Tilsynet tillægger det i den forbindelse særlig vægt, at der ikke logges oplysninger ud over det, der for anmeldelsespligtige be- handlinger kræves efter sikkerhedsbekendtgørelsen, ligesom loggen rent fa   k- tisk anvendes i overensstemmelse med sit formål. D atatilsynet anser derfor den log, som CPR-kontoret fører i forbindelse med CPR Søg, for en   sikker- hedslog. Efter Datatilsynets opfattelse er den omhandlede log en systemmæssig facil  i- tet. Der er ikke som sådan tale om en tilsigtet og selvstændig behandling af de indeholdte data, men loggen er alene afledt af den egentlige behandling. Under hensyn hertil er det Datatilsynets opfattelse, at oplysningerne i den omhandlede sikkerhedslog falder uden for det, som er omfattet af den regi- streredes indsigtsret. Med venlig hilsen Asbjørn Jensen Janni Christoffersen Formand for Datarådet Direktør 4 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltn inger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.