1
Kulturministeriet
Vejledning om håndtering af blanke (negative) børneattester
[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]
Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den
person, oplysningerne angår, ikke har domme om sædelighedsforbrydelser mod børn bag sig.
Denne vejledning indeholder retningslinjer for, hvordan du skal behandle børneattesten og
oplysningerne i denne. Indhentelse af børneattester, skal ske i overensstemmelse me d de regler, der
gælder for sådanne attester i § 36 i bekendtgørelse nr. 218 af 27. marts 2001 (med senere
ændringer) om behandling af personoplysninger i Det Centrale Kriminalregister
(Kriminalregisteret), herunder at den, oplysningerne angår, har givet s kriftligt samtykke til
indhentelsen af børneattesten. Reglerne er vedlagt som bilag 1.
I. Børneattester
1. En blank (negativ) børneattest indeholder personoplysninger og skal derfor behandles på en
sådan måde, at reglerne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger
(”persondataloven”) overholdes. Persondataloven indebærer bl.a. et krav om at sikre
personoplysningerne mod, at de kommer til uvedkommendes kendskab
II. Opbevaring af børneattesten
2. En blank børneattest indeholder pers onens navn, adresse og cpr-nummer. Dette er såkaldte
almindelige personoplysninger, som omfattes af persondataloven. Oplysningerne skal håndteres
fortroligt. Derfor bør du efter modtagelsen destruere attesten, medmindre andre regler, fx på det
ansættelses - og forvaltningsretlige område eller frivillige foreningers interne disciplinærregler,
kræver opbevaring af attesten. I så fald bør du kun opbevare attesten i det omfang, sådanne regler
kræver det. Børneattesten skal i givet fald opbevares forsvarligt, så
uvedkommende ikke har adgang
til den, jf. afsnit IV om datasikkerhed.
3. Om videregivelse af personoplysningerne, se under afsnit III.
III. Videregivelse af oplysninger fra børneattesten
4. Videregivelse af oplysninger fra blanke børneattester er typi sk ikke nødvendig for den
modtagende institution, forening m.v.
5. Hvis videregivelse af oplysninger kommer på tale, bør det som hovedregel kun ske på baggrund
af et samtykke.
6. Videregivelse af navn og adresse og oplysning om, at børneattesten er bla nk, kan
dog
ske uden
samtykke, hvis du
finder, at der er et konkret behov for det. Det vil fx være tilfældet,
hvor
oplysningerne videregives til forældre i en situation, hvor der kan være behov for at aflive rygter
2
om den person, oplysningerne angår. Cpr-nummeret må ikke videregives . Selve blanketten må af
samme grund heller ikke videregives.
7. Videregivelse af almindelige personoplysninger er reguleret i persondatalovens §§ 5-6 og cpr-
nummeret i persondatalovens § 11. Persondatalovens behandlingsregler er vedlagt som bilag 2.
IV. Datasikkerhed
8.Myndigheder, virksomheder, foreninger m .v., der modtager en børneattest, skal overholde
kravene om datasikkerhed i kapitel 11 i persondataloven.
Det centrale i persondatalovens kapitel 11 er, at den institution, forening m.v., der modtager
børneatt esten, har en pligt til at træffe de fornødne tekniske og organisatoriske fora nstaltninger
mod, at oplysningerne fra børneattesten hændeligt eller ulovligt tilintetgøres, fortabes eller forringes
samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid
med persondatalovens regler.
Denne forpligtelse gælder selvstændigt for eksempelvis en hovedorganisat
ion, der rent praktisk
håndterer en børneattest på vegne af en lokal fo rening, dvs. som databehandler for foreningen.
For offentlige myndigheder er kravene efter kapitel 11 udmøntet i sikkerhed sbekendtgørelsen og
sikkerhedsvejledningen, som begge findes på www.datatilsynet.dk under punktet ”Lovgivning”.
Med hensyn til private virksomheder, foreninger og andre private organisationer m.v. anbefaler
Datatilsynet, at der i videst muligt omfang iværksættes de sikkerhedsforanstaltninger, som følger af
sikkerhedsbekendtgørelsen og vejledningen.
Private virksomheder, foreninger og andre private organisationer m.v. skal som dataansvarlige være
særligt opmærksom på følgende:
når børneattesten tilintetgøres (slettes), skal det ske på en sådan måde, at materialet ikke kan
misbruges eller komme til uvedkommendes kendskab,
hvis der overhovedet opstår behov for at opbevare børneattesten, jf. afsnit II, skal
opbevaring ske forsvarligt aflåst og således, at uve dkommende ikke kan få adgang til
oplysningerne,
hvis oplysninger fra børneattesten behandles elek tronisk, skal det sikres, at uvedkommende
ikke kan få adgang til oplysningerne,
den afgrænsede personkreds, f x bestyrelsen eller direktionen, der har adgang til
oplysningerne, fordi de deltager i beslutningen om ansættelse eller afskedigelse, skal have
den fornødne instruktion om, hvordan oplysningerne skal behandles.
V. Andre forhold
9. Bemærk, at bestemmelser ne i persondataloven om oplysningspligt, den registreredes ret til
indsigt i den registreredes personoplysninger og rettelse af ukorrekte oplysninger skal overholdes.
Reglerne er optrykt i bilag 3.
3
Bilag 1
§ 36 i bekendtgørelse nr. 218 af 27. marts 2001 (med senere ændringer) om behandling af
personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret).
§ 36 har følgende ordly d:
”§ 36. Rigspolitichefen kan efter begæring til brug for ansættelse eller beskæftigelse af
personer, der som led i ansættelsen eller beskæftigelsen har en direkte kontakt med børn under
15 år, vider egive oplysninger fra efterforskningsdelen om afgørelse r, som er eller har været
optaget i afgørelse sdelen, og som omfatter overtrædelse af straffelovens § 222, § 222, jf. §§ 224
og 225, og § 235 samt om overtrædelse af § 210 og 232, hvis forholdet er begået mod et barn
under 15 år.
Stk. 2.
Videregivelse af op lysninger efter stk. 1 kan kun ske efter samtykke fra den,
oplysningerne angår. § 16, stk. 2 og 3, finder tilsvarende anvendelse.
Stk. 3.
I forbindelse med Rigspolitichefens videregivelse af oplysninger efter stk.
1 skal det
tydeligt fremgå, at en ub erettiget videregivelse af oplysningerne kan straffes.
Stk. 4.
Ved skriftlig henvendelse til Rigspolitichefen kan en person få meddelelse om
oplysninger, der er videregivet om den pågældende efter stk.
1.”
§ 16, stk. 2 og 3, i bekendtgørelsen har følgende ordlyd :
” Stk. 2. Samtykke skal meddeles skriftligt og skal indeholde oplysning om,
1) hvilke typer oplysninger der må videregives,
2) hvem oplysningerne må videregives til, og
3) hvorledes oplysningerne må anvendes af den angivne modtager.
Stk.3. Samtykke bortfalder senest efter et års forløb.”
4
Bilag 2
Persondataloven
Behandling af oplysninger
§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
Stk. 2.
Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål
, og senere
behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene
sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål,
hvortil oplysningerne er indsamlet.
Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere,
end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål,
hvortil oplysningerne senere behandles.
Stk. 4.
Behandling af oplysn inger skal tilrettelægges således, at der foretages fornøden
ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der
ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller
vildledende, skal snarest muligt slettes eller berigtiges.
Stk. 5.
Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at
identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål,
hvortil oplysningerne behandles.
§ 6. Behandling af oplysninger må kun finde sted, hvis
1) den registrerede har givet sit udtrykkelige samtykke hertil,
2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er
part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes
anmodning forud for indgåelsen af en sådan aftale,
3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den
dataansvarlige,
4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser,
5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,
6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under
offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem
oplysningerne videregives, har fået pålagt, eller
7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem
oplysningerne videregives, kan forfølge en berett iget interesse og hensynet til den
registrerede ikke overstiger denne interesse.
5
Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til
brug ved markedsføring eller anvende oplysningerne på vegne af en anden virkso mhed i dette
øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal
indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a.
Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykk e, hvis der er tale
om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis
betingelserne i stk. 1, nr. 7, er opfyldt.
Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8.
Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende
bestemte typer af oplysninger efter stk. 3.
[…]
§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en
entydig identifikation eller som journalnummer.
Stk. 2.
Private må behandle oplysninger om personnummer, når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er
tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt
led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er
af afgør ende betydning for at sikre en entydig identifikation af den registrerede eller
videregivelsen kræves af en offentlig myndighed.
Stk. 3.
Uanset bestemmelsen i stk.
2, nr. 3, må der ikke ske offentliggørelse af personnummer
uden udtrykkeligt samtykke.
6
Bilag 3
Persondataloven
Oplysningspligt over for den registrerede
§ 28. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes
repræsentant give den registrerede meddelelse om følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder
oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varet age sine
interesser, som f.eks.:
a) Kategorierne af modtagere.
b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige
følger af ikke at svare.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den
registrerede.
Stk. 2.
Bestemmelsen i stk.
1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr.
1-3 nævnte oplysninger.
§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller
dennes repræsen tant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til
videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den
registrerede meddelelse om følgende:
1) Den dataansvarliges og dennes repræsentan ts identitet.
2) Formålene med den behandling, hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder
oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine
interesser, som f.eks.:
a) Hvilken type oplysninger det drejer sig om.
b) Kategorierne af modtagere.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den
registrerede.
7
Stk. 2.
Bestemmelsen i stk.
1 gælder ikke, hvis den re gistrerede allerede er bekendt med de i nr.
1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov
eller bestemmelser fastsat i henhold til lov.
Stk. 3.
Bestemmelsen i stk.
1 gælder heller ikke, hvis unde rretning af den registrerede viser sig
umulig eller er uforholdsmæssigt vanskelig.
§ 30. Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for afgørende hen syn til private interesser,
herunder hensynet til den pågældende selv.
Stk. 2.
Undtagelse fra bestemmelserne i §
28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den
registreredes interesse i at få kendskab til oplysningerne findes at burde vige fo r afgørende hensyn
til offentlige interesser, herunder navnlig til
1) statens sikkerhed,
2) forsvaret,
3) den offentlige sikkerhed,
4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse
med brud på etiske regler f or lovregulerede erhverv,
5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den
Europæiske Union, herunder valuta -, budget- og skatteanliggender, og
6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der
er et led i den offentlige myndighedsudøvelse på de i nr. 3 -5 nævnte områder.
Den registreredes indsigtsret
§ 31. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende
meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne
oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,
1) hvilke oplysninger der behandles,
2) behandlingens formål,
3) kategorierne af modtagere af oplysningerne og
4) tilgængelig inf ormation om, hvorfra disse oplysninger stammer.
8
Stk. 2.
Den dataansvarlige skal snarest besvare begæringer som nævnt i stk.
1. Er begæringen
ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende
om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.
[…]
Øvrige rettigheder
§ 37. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller
vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør
af lov, hvis en registreret person fremsætter anmodning herom.
Stk. 2.
Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet,
om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en
registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser
sig umulig eller er uforholdsmæssigt vanskelig.
