REU, Alm.del - 2012-13 - Bilag 400: Datatilsynets årsberetning 2012

IndholdTil Folketinget..................................................................................... 4Datatilsynets virksomhed i 2012 ........................................................ 6Datatilsynets opgaver .......................................................................... 6Rådgivning og vejledning..................................................................... 7Transmission af gudstjenester ........................................................ 8Klagesagsbehandling .......................................................................... 9Offentliggørelse af personoplysninger på hjemmeside ................10Høringer over lovforslag mv. ...............................................................12Nye fritagelser fra anmeldelses- og tilladelseskraveti den private sektor .............................................................................13Datatilsynets organisation ..................................................................15Datarådet .......................................................................................15Sekretariatet ..................................................................................15Statistiske oplysninger .......................................................................18Forespørgsler og klager vedrørende private ................................. 20Forespørgsler og klager vedrørende offentlige myndigheder ........21Anmeldelser .................................................................................. 22Sager på Datatilsynets eget initiativ ........................................... 23Internationale sager...................................................................... 2310 år med databeskyttelse – interview medDatatilsynets direktør Janni Christoffersen ...................................... 24Tv-overvågning ................................................................................. 28Vejledning om tv-overvågning i boligorganisationer.......................... 28Inspektioner ...................................................................................... 28Binding Corporate Rules (BCR) .........................................................30Datatilsynets arbejde med BCR i 2012 ............................................... 30Internationalt BCR-samarbejde...........................................................31

Internationalt samarbejde.................................................................33Europol .............................................................................................. 33Schengen ........................................................................................... 33Inspektion af ambassade .............................................................. 33Evaluering på databeskyttelsesområdet i fire Schengenlande ..... 34JSA Schengen ................................................................................ 35Told-informationssystemet (CIS) ....................................................... 36Eurodac .............................................................................................. 36Visum-informationssystemet (VIS) .................................................... 37Artikel 29-gruppen............................................................................. 37WPPJ .................................................................................................. 37Eurojust ............................................................................................. 38Europarådet ....................................................................................... 38Berlin-gruppen................................................................................... 38Nordisk samarbejde ........................................................................... 39It-sikkerhed ...................................................................................... 40Cloud computing................................................................................ 40KL’s overførsel af køreprøvesystem til en cloud-løsning ............... 40Behandling af personoplysninger i cloud-løsningen Office 365.....41IT-Universitetets brug af cloud-løsningen Office 365 .................... 42NemID for private............................................................................... 44Brug af medarbejderes private NemID ......................................... 45Datatilsynets inspektioner ............................................................... 46Inspektioner i 2012 ............................................................................ 46Særlige fokusområder ....................................................................... 47Online-undersøgelser ........................................................................ 47Oversigt over udførte inspektioner i 2012 .......................................... 49

Til Folketinget2012 har i høj grad stået i fremtidens tegn for Datatilsynet.EU-Kommissionen offentliggjorde i 2012 sit udspil til nye regler om beskyttelse af person-oplysninger i EU. Reformpakken indeholder et forslag til forordning om beskyttelse af fy-siske personer i forbindelse med behandling af personoplysninger og den fri udvekslingaf sådanne oplysninger. Forordningen vil skulle afløse det generelle databeskyttelsesdi-rektiv, som persondataloven implementerer.I lyset af den teknologiske udvikling og globaliseringen er der efter Datatilsynets opfat-telse god grund til at overveje reguleringen af databeskyttelsesområdet, således at bor-gerne sikres et højt beskyttelsesniveau samtidig med, at fordelene ved nye digitale løs-ninger og services kan høstes.På positivsiden er det helt klart, at borgernes retsstilling i det nye forordningsudkast styr-kes med mere åbenhed og større indflydelse.For virksomheder og organisationer er der større krav om at tage ansvar for databeskyt-telse. Der strammes op med nye forpligtelser for at øge fokus på databeskyttelse. Samti-dig med, at der sker en smidiggørelse og harmonisering af visse regler.Som datatilsyn får vi styrkede beføjelser — det hilser vi velkommen.Alligevel er Datatilsynet umiddelbart skeptisk over for valget af en forordning i stedet foret direktiv.Forordning kan være et godt valg på områder med grænseoverskridende ydelser, menmåske ikke som et generelt instrument på alle områder. Der er meget store forskelle lan-dene imellem — historisk og kulturelt betinget. Så her er der brug for en nærmere analyseaf, hvad det betyder for danskerne — f.eks. når vi tænker i forhold til den offentlige sek-tors måde at gøre tingene på.Med en forordning falder den danske persondatalov helt bort, dvs. også de ganske fornuf-tige særregler, som vi har haft i Danmark i mange år, f.eks. om kreditoplysningsbureauerog om behandling af persondata til forskning og statistik. Disse regler har ikke givet an-ledning til problemer. Samtidig indføres der særlige beslutningsprocedurer i sager, somberører borgere i flere EU-lande, og EU-kommissionen får større kompetence.4

Der vil gå flere år, før en ny regulering af databeskyttelsesområdet kan træde i kraft. Da-tatilsynet har derfor i 2012 først og fremmest koncentreret sig om de aktuelle opgaver fortilsynet. Det er en løbende udfordring for Datatilsynet at behandle de mange sager, somtilsynet modtager.I 2012 har Datatilsynet som en del af en effektiviseringsproces fået indført nye regler, sombegrænser antallet af sager om tilladelser fra Datatilsynet, f.eks. på lægemiddel- og forsk-ningsområdet. Der er i 2012 desuden blevet gennemført en ændring af persondataloven,som medfører, at tilsynet ikke længere skal give tilladelse til selve overførslen af person-oplysninger til usikre tredjelande, når en overførsel sker på grundlag af kontrakter, der eri overensstemmelse med standardkontraktbestemmelser, som er godkendt af EU-Kom-missionen. Ændringen trådte i kraft den 1. januar 2013.

Om Datatilsynets årsberetningDatatilsynets årsberetning for 2012 afgives i medfør af persondatalovens § 65, hvorefter tilsy-net afgiver en årlig beretning om sin virksomhed til Folketinget. Beretningen indeholder en om-tale af væsentlige aktiviteter for Datatilsynet i 2012, herunder tilsynets inspektioner (kontrolbe-søg).På Datatilsynets hjemmeside www.datatilsynet.dk offentliggør tilsynet løbende udtalelser ogafgørelser i sager, som vurderes at være af generel interesse. Datatilsynet kan således henvisetil sin hjemmeside for yderligere oplysninger.

Tilsynet med persondataloven indebærer et stort antal forskelligartede opgaver. Datatil-synet har i 2012 bl.a. haft følgende opgaver:Information, rådgivning og vejledning, bl.a. i form af generelle retningslinjerBehandling af klager fra borgereUdtalelser om forslag til love og bekendtgørelser mv.Udtalelser om anmeldelser fra offentlige myndighederTilladelser til virksomheder mv.Tilladelser til forskereBidrag til besvarelse af spørgsmål fra FolketingetSager på Datatilsynets eget initiativ (egen drift-sager), herunder inspektioner hos of-fentlige myndigheder, private virksomheder, forskere mv.• Deltagelse i internationale tilsynsmyndigheder og internationalt samarbejde med an-dre datatilsynsmyndigheder• Deltagelse i arbejdsgrupper, udvalg mv. og oplæg på konferencer o.l.••••••••

Rådgivning og vejledningDet er forudsat i de almindelige bemærkninger til persondataloven, at Datatilsynet i førsterække bør tage sigte på at kunne udøve sin virksomhed gennem generelle retningslinjerog ved en serviceorienteret rådgivning og vejledning.Dette sikres bl.a. gennem tilsynets hjemmeside, hvor tilsynet offentliggør relevant prak-sis. Datatilsynet har endvidere udarbejdet informationspjecer og forskellige vejledningerom persondataloven.På hjemmesiden offentliggør tilsynet også de generelle retningslinjer, som tilsynet fast-sætter. I 2012 har Datatilsynet bl.a. fastsat krav til sundhedsvidenskabelige forsknings-projekter og kliniske forsøg med lægemidler. Dette område blev i 2012 undtaget fra kravetom anmeldelse til og tilladelse fra Datatilsynet (se nærmere om undtagelserne nedenfor iafsnittet Nye fritagelser fra anmeldelses- og tilladelseskravet i den private sektor).Datatilsynet arrangerede sammen med Danske Advokater, Dansk Industri og KøbenhavnsUniversitet en persondatakonference den 14. november 2012 på Nationalmuseet. Konfe-rencens fokus var EU-Kommissionens forslag til ny forordning på databeskyttelsesområ-det. Datatilsynet bidrog med flere oplæg på konferencen, der havde 300 deltagere. I 2012har Datatilsynet endvidere deltaget med 20 indlæg på møder, konferencer mv. Som ek-sempler kan nævnes, at Datatilsynet har holdt oplæg for Dansk Industri om whistleblo-wersager og for foreningen Ansættelsesadvokater om persondataloven og HR-området.Tilsynet prioriterer sådanne opgaver for at informere om persondataloven og tilsynetspraksis, men også for at tilsynet kan opnå større viden om, hvilke konkrete problemstil-linger der er aktuelle på de forskellige områder af samfundslivet.Datatilsynet markerede også den årlige databeskyttelsesdag1den 28. januar 2012 ved atholde oplæg på tre konferencer: ”Databeskyttelsesdagen 2012”, Ældresagens konferen-ce ”Danmark går online – er der plads til alle?” og Dansk IT’s konference ”IT-sikkerhed2012”.Datatilsynet modtager fortsat et meget stort antal telefoniske henvendelser. Det er envigtig del af tilsynets arbejde at yde telefonrådgivning, som kan give hurtig hjælp og spar-ring til borgere, dataansvarlige mv. med persondataretlige problemstillinger.

Transmission af gudstjenesterRibe Stift rettede i 2012 henvendelse med spørgsmål om, hvorvidt Datatilsynet i forholdtil persondataloven så noget til hinder for direkte transmission og visning på skærme afgudstjenester og forskellige former for kirkelige handlinger.Formålet med transmissionen er at give personer, der er forhindret i at være fysisk til ste-de i kirken, mulighed for at følge kirkelige handlinger. Det vil ved indgangen til den pågæl-dende kirke tydeligt blive angivet ved skiltning, at der foretages transmission fra kirken.Datatilsynet lagde i sin udtalelse af 17. januar 2013 til grund, at det er menighedsrådene,der i forhold til persondataloven er ansvarlige for den behandling af personoplysninger,der finder sted i forbindelse med transmission af gudstjenester og visning på skærme ikirken. Efter persondataloven2er det derfor i første række op til menighedsrådet konkretat foretage en afvejning af den interesse, der forfølges med den påtænkte behandling, iforhold til de hensyn, som på den anden side skal tages til de personer, der berøres.I denne vurdering kan menighedsrådet efter Datatilsynets opfattelse inddrage forskelligehensyn. Det kan tillægges vægt, at der er offentlig adgang for alle til kirken, og at der kunpåtænkes transmission til en begrænset modtagerkreds ud over de tilstedeværende. Forså vidt angår visning på skærme i kirken er der alene tale om en anden form for formidlingaf den information, som kirkegængere allerede har adgang til ved at være til stede undergudstjenesten.Datatilsynets umiddelbare vurdering var, at persondataloven ikke er til hinder for, at me-nighedsrådet beslutter at foretage transmission af live-billeder af kirkegængere, der del-tager i gudstjeneste, herunder i nadverhandlinger, til andre konkrete lokaliteter, herunderplejehjem, ligesom live-billeder vil kunne vises på skærme i kirken.2§ 6, stk. 1, nr. 7, og § 5

Det var imidlertid Datatilsynets opfattelse, at det vil være velbegrundet at sikre kirkegæn-gere en mulighed for at vælge, om de ønsker at deltage i en sådan transmission3. Eventu-elt ved, at områder af kirken ikke omfattes af transmissionen af live-billeder, eller ved, atder gennemføres gudstjenester uden transmission. Under alle omstændigheder bør dermeget klart informeres om, hvornår og hvordan der sker transmission, således at man harmulighed for at fravælge at deltage i gudstjenester, herunder nadverhandlinger, hvor derforetages transmission af live-billeder.Ved dåbshandlinger må der som minimum gives klar og tydelig information til faddere ogdåbsvidner forud for transmissionen. I forhold til den døbte (for små børn ved forældre-myndighedsindehaver) fandt Datatilsynet, at det må anses for nødvendigt at indhenteudtrykkelig accept til transmission af live-billeder af selve dåbshandlingen til andre loka-liteter4.For så vidt angår ansatte i kirken var det Datatilsynets opfattelse, at disse bør høres, in-den det besluttes at foretage live-transmission til andre lokaliteter5.

KlagesagsbehandlingI klagesagerne træffer Datatilsynet afgørelse om, hvorvidt en behandling af personoplys-ninger er sket i overensstemmelse med loven. Det er af afgørende betydning, at borgere,der f.eks. mener sig udsat for behandling af oplysninger i strid med loven eller ikke får deoplysninger, de mener at have krav på efter reglerne om de registreredes rettigheder, kanfå tilsynets vurdering af forholdet.I 2012 har tilsynet registreret en stigning på 8 % i antallet af nye sager (forespørgsler ogklager) vedrørende private virksomheder mv. (fra 1.235 i 2011 til 1.332 i 2012). I forhold tiloffentlige myndigheder har antallet af sager i 2011 og 2012 været det samme (730).Nedenfor ses et eksempel på en klagesag, som Datatilsynet behandlede i 2012. Sagenblev behandlet på et møde i Datarådet.

Offentliggørelse af personoplysninger på hjemmesideEn kommune klagede på vegne af tre ansatte, kommunens borgmester og en plejefamilietilknyttet kommunen til Datatilsynet over registrering på en hjemmeside.Det fremgik af hjemmesiden, at hjemmesiden havde til formål at lave en registrering afbl.a. advokater, kommunale ansatte, plejefamilier, politi og politikere, der efter borgernesmening har overtrådt loven, samt hvis en borger føler sig uretfærdigt behandlet.Om en af personerne havde der tidligere også været anført oplysninger om (arbejds)email-adresse, fødselsdato, og at vedkommende havde fået konstateret en angivet syg-dom. Desuden fremgik oplysninger om navn, adresse, telefonnummer, CVR-nummer ogopstartsdato for et selskab, som personen ifølge det angivne var involveret i. Der var des-uden angivet link til CVR vedrørende selskabet og link til en artikel omkring et lån i selska-bet – et lån som på hjemmesiden var angivet som værende ulovligt. Datatilsynet konsta-terede, at disse oplysninger nu var slettet fra hjemmesiden.Om plejefamilien fremgik på hjemmesiden oplysninger om navn, adresse, telefonnum-mer, og at der var tale om en plejefamilie.Ved hver enkelt af de pågældende personer var der derudover anført ”overskrifter”/”etiketter” i form af ”Pligtforsømmelse”, ”Magtmisbrug”, Pligtforsømmelse, Truslerm.v.”, ”Trusler, Chikane, tavshedspligten m.v.” eller ”[…] er blevet registreret på […] forPligtforsømmelse. Samt for brud på tavshedspligten som er overtrædelse af Straffelovens§ 152 stk. 1. og stk. 2”.Datatilsynet udtalte i sin afgørelse af 12. juni 2012, at persondataloven bl.a. gælder forbehandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektroniskdatabehandling. Det fremgår af lovens § 1, stk. 1. Loven finder dog ikke anvendelse, hvisdet vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneske-rettighedskonventions artikel 10. Det fremgår udtrykkeligt af persondatalovens § 2, stk.2.Datatilsynet fandt, at hensynet til informations- og ytringsfriheden måtte føre til, at derikke efter persondataloven var grundlag for, at tilsynet foretog noget i sagen, jf. lovens §2, stk. 2.Datatilsynet lagde i den forbindelse vægt på, at hjemmesidens tema var forholdet mellemborgere og beslutningstagere/myndighedspersoner, at hjemmesiden var præget af sub-jektive vurderinger og værdiladede ytringer, og at de påklagede oplysninger indgik som10

en del af meningstilkendegivelserne, hvilket også måtte stå brugere af hjemmesidenklart.Datatilsynet havde ikke herved taget stilling til, om offentliggørelsen af oplysninger påhjemmesiden stred imod anden lovgivning, herunder straffelovens kapitel 27 om freds- ogæreskrænkelser. Tilsynet har ikke kompetence til at foretage vurderingen heraf.Det blev tilføjet, at tilsynet for så vidt angår den tidligere omtale af en persons specifikkehelbredsforhold på hjemmesiden havde lagt til grund, at der måtte antages at være taleom oplysninger, som allerede var offentliggjort af den pågældende person selv.

Høringer over lovforslag mv.I 2012 registrerede Datatilsynet 444 nye høringssager i forbindelse med lovforslag, be-kendtgørelser mv. Dette er en stigning på 31 % i forhold til 2011 (339 i 2011).Som det fremgår af grafen nedenfor, er der en markant stigende tendens på området. I2000 registrerede Datatilsynet således kun 59 nye sager om udtalelser til lovforslag mv.Der er således tale om en mangedobling af sagsantallet fra 2000 til 2012.Datatilsynet oplever, at disse høringssager ofte er særdeles ressourcekrævende. Hertilkommer, at der ofte er fastsat meget korter svarfrister.I sine udtalelser forholder Datatilsynet sig til de eventuelle databeskyttelsesretlige pro-blemstillinger i det foreliggende lovforslag mv. Datatilsynet anser sine udtalelser som etvæsentligt bidrag i lovgivningsprocessen, dels fordi tilsynet besidder en ekspertviden omdatabeskyttelse, dels fordi tilsynet efter persondataloven udøver sine funktioner i fulduafhængighed. Tilsynet prioriterer derfor opgaven højt.Datatilsynet skal efter persondatalovens § 57 afgive udtalelse ved udarbejdelse af generelleretsforskrifter, f.eks. forslag til love, bekendtgørelser og direktiver, der har betydning for be-skyttelsen af privatlivet i forbindelse med behandling af personoplysninger

Nye fritagelser fra anmeldelses- og tilladelseskravet i denprivate sektorI den private sektor indebærer persondataloven i en række tilfælde krav om anmeldelse tilog tilladelse fra Datatilsynet, når der sker behandling af følsomme personoplysninger.Håndtering af anmeldelser – navnlig fra den private sektor – har siden persondatalovensikrafttræden optaget en ganske stor del af tilsynets ressourcer. Der har ikke været tegn påen stagnering i antallet af nye anmeldelser – tværtimod.I 2012 er der derfor – på Datatilsynets initiativ – gennemført en ændring af undtagelsesbe-kendtgørelsen6, således at flere områder i den private sektor er blevet fritaget fra anmel-delsespligten/tilladelseskravet. Ændringerne gælder fra den 15. maj 2012.Undtagelserne gælder nu for:• behandling af oplysninger om ansattes fagforeningsmæssige tilhørsforhold i forbin-delse med aftaler om kontingentindeholdelse• virksomheder omfattet af lov om finansiel virksomhed• kliniske forsøg med lægemidler omfattet af lov om lægemidler• kliniske afprøvninger af medicinsk udstyr omfattet af lov om medicinsk udstyr• sundhedsvidenskabelige forskningsprojekter omfattet af lov om videnskabsetisk be-handling af sundhedsvidenskabelige forskningsprojekter• pligtmæssig sikkerhedsovervågning af lægemidler og medicinsk udstyr efter lov omlægemidler eller lov om medicinsk udstyr• kontaktbureauer og hjemmesider om dating• studerendes projekt- og specialeopgaver mv.• virksomheders behandling af oplysninger fra et centralt privat register med oplysnin-ger om restaurationsforbudPå Datatilsynets hjemmeside er det præciseret, i hvilke tilfælde og under hvilke betingel-ser undtagelserne finder anvendelse.Selv om der ikke gælder en anmeldelsespligt til Datatilsynet, skal persondatalovens reg-ler om, hvornår personoplysninger kan indsamles, registreres mv., fortsat overholdes. Detsamme gælder regler i relevant lovgivning på de berørte sagsområder.

Bortfald af anmeldelsespligten ændrer heller ikke på de forpligtelser, som persondatalo-ven pålægger virksomheder og andre dataansvarlige i forhold til personer, om hvem derbehandles oplysninger. Det gælder bl.a. oplysningspligt, indsigtsret og retten til at gøreindsigelse. Borgernes adgang til at klage til Datatilsynet over behandling af personoplys-ninger omfattet af persondataloven er også uændret. Datatilsynet har desuden fortsatmulighed for at tage sager op af egen drift. Til gengæld har Datatilsynet ikke længere in-spektionskompetence på områderne.Datatilsynet har i 2012 udformet informationsmateriale til de berørte sektorer og dataan-svarlige.I forlængelse af ændringen pr. 15. maj 2012 har Datatilsynet kunnet konstatere et betyde-ligt fald i antallet af sager om anmeldelser for den private sektor i forhold til 2011. Såledesregistrerede Datatilsynet i 2011 2.165 nye sager om anmeldelser for den private sektor,mens tallet i 2012 var 1.734, dvs. et fald på 20 %. Faldet skyldes først og fremmest, at derpå området forskning og statistik er sket et fald fra 1.376 sager i 2011 til 982 i 2012 – et faldpå 29 %.Ændringerne er endnu ikke slået helt igennem, men tilsynet forventer, at der også frem-over vil være et faldende antal anmeldelser fra private dataansvarlige.

Datatilsynets organisationDatatilsynet består af et råd – Datarådet – og et sekretariat. Datatilsynet udøver sine funk-tioner i fuld uafhængighed, men har en finanslovsmæssig og personalemæssig tilknyt-ning til Justitsministeriet, som dog ikke har nogen instruktionsbeføjelse over for tilsynet.Datatilsynets afgørelser efter persondataloven er endelige og kan ikke indbringes for an-den administrativ myndighed. Afgørelserne kan indbringes for domstolene, ligesom Data-tilsynet i sin virksomhed er undergivet sædvanlig kontrol af Folketingets Ombudsmand.

DatarådetDatarådet består af en formand og af seks andre medlemmer, der er udpeget af justitsmi-nisteren. Datarådet træffer først og fremmest afgørelse i sager af principiel karakter. Rå-det fastsætter efter loven selv sin forretningsorden. Forretningsordenen fremgår af be-kendtgørelse nr. 1178 af 15. december 2000 om forretningsordenen for Datarådet og kanfindes på Datatilsynets hjemmeside.Datarådets medlemmer(pr. 31. december 2012)Formand, højesteretsdommer Henrik WaabenNæstformand, advokat Janne GlæselProfessor, dr.jur. Peter BlumeOverlæge, afdelingschef Hans Henrik StormDirektør Rasmus KjeldahlKommunaldirektør Niels JohannesenChefkonsulent Henning Mortensen

Datatilsynets medarbejdere(pr. 31. december 2012)Direktør, cand.jur. Janni ChristoffersenKontorchef, cand.jur. Lena AndersenKommitteret, cand.jur. Birgit KleisIt-chef, civilingeniør, HD, Sten HansenChefkonsulent, cand.jur. Maiken Christensen BreünerChefkonsulent, cand.jur. Lene Engedal KragelundSpecialkonsulent, mag.art. Camilla DaasnesIt-sikkerhedskonsulent, exam. ESL, CISSP Henrik Blumensaath BjarnholtIt-sikkerhedskonsulent, diplomingeniør Walther Starup-JensenKontorfuldmægtig Helle JensenKontorfuldmægtig Pernille JensenKontorfuldmægtig Anne-Marie MüllerKontorfuldmægtig Suzanne StenkvistKontorfuldmægtig Mette Maj LeilundAssistent Camilla Knutsdotter HallingbyIt-medarbejder Eva CaspersenIt-medarbejder Flemming NielsenFuldmægtig, cand.jur. Maiken Bøgelund BekFuldmægtig, cand.jur. Trine Cseh-LesselFuldmægtig, cand.jur. Kasper FrederiksenFuldmægtig, cand.jur. Helle Ginnerup-NielsenFuldmægtig, cand.jur. Christian Vinter HagstrømFuldmægtig, cand.jur. Mette HansenFuldmægtig, cand.jur. Robert Padilla Bang JensenFuldmægtig, cand.jur. Lasse May JørgensenFuldmægtig, cand.jur. Christine Landsgaard (orlov)Fuldmægtig, cand.jur. Martin Nybye-PetersenFuldmægtig, cand.jur. André Dybdal PapeFuldmægtig, cand.jur. Kristian Gyde PoulsenFuldmægtig, cand.jur. Maja Blomquist Rasmussen (orlov)Fuldmægtig, cand.jur. Dana SafinFuldmægtig, cand.jur. Anne Mette Riis Steinø (orlov)Stud.jur. Laura Hvass JørgensenStud.jur. Ole LyngvågStud.jur. Inneke Wolthoorn

Der er et mindre fald i antallet af nyoprettede sager i 2012 set i forhold til 2011. I 2011 vartallet 5.442 nyoprettede sager, dvs. der er et fald på 5 %7. Faldet i sager skal ses i lyset af,at Datatilsynet pr. 15. maj 2012 har fået indført nye fritagelser fra anmeldelses- og tilladel-seskravet i den private sektor (se nærmere herom ovenfor i afsnittet Nye fritagelser fraanmeldelses- og tilladelseskravet i den private sektor). Datatilsynet har således i 2012modtaget 394 færre sager om anmeldelser på forsknings- og statistikområdet end i 2011(1.376 sager i 2011, 982 sager i 2012).

Forespørgsler og klager vedrørende privateDatatilsynet registrerede i alt 1.332 nye sager om forespørgsler og klager vedrørende privatedataansvarlige.Sagerne havde følgende fordeling på forskellige virksomhedstyper:Almindelige virksomhederDen finansielle sektorFagforeninger, a-kasser, pensionskasser mv.TelesektorenForeninger og organisationerSundhedssektoren (medicinalfirmaer, klinikker, læger mv.)KreditoplysningsbureauerAdvarselsregistreStillingsbesættende virksomhederAnsøgninger om tilladelserInternet, sociale netværk, cloud mv.Tv-overvågningPrivate forskereDiverseSager af generel karakter172608811192212121818326347242030

10 år med databeskyttelse– interview med Datatilsynets direktør Janni ChristoffersenDu har i 2012 haft 10-års jubilæum som direktør i Datatilsynet. Bliver det ved med atvære spændende og udfordrende?Ja, for der sker hele tiden rigtig meget på databeskyttelsesområdet. Den teknologiskeudvikling med internettet og udviklingen i teknologier – cloud, biometri, intelligent tv-overvågning, mobile devices – har været enorm igennem de sidste 10 år.Tidligere handlede databeskyttelse meget om ”bigbrother” i form af staten overfor borge-ren. Men nu er det mere komplekst. Der er sket en udvikling, hvor det nu i lige så høj grader private virksomheder, som foretager overvågning af borgerne. Det kan f.eks. være iform af tv-overvågning i butikker eller en arbejdsgiver, som overvåger sine medarbejderesinternetbrug.Også det, vi som borgere gør med vores personoplysninger imellem os, er i en rivendeudvikling. Vi eksponerer vores egne data på sociale netværk på internettet, så vi er med-virkende til at indskrænke vores egen privatsfære. Samtidig bidrager vi også til at ind-skrænke andres privatsfære, når vi på de sociale netværk skriver om vores venner, familieog bekendte. Vi offentliggør både oplysninger om os selv og om dem, vi møder, i allemulige sammenhænge.Den teknologiske udvikling har også ført til, at databeskyttelse ikke altid kun er et natio-nalt spørgsmål. Med databeskyttelsesdirektivet fra 1995 blev der taget højde for euro-pæiske anliggender. Men ofte vil der være tale om globale anliggender. Og det gør vejeneganske uigennemskuelige.Hele denne udvikling gør, at de databeskyttelsesforhold, vi tidligere så, nu er blevet endel af et meget mere komplekst billede. Svarene på de persondataretlige spørgsmål kanderfor også være temmelig svære at nå frem til.

Hvad er de vigtigste begivenheder, der har haft betydning på det persondataretligeområde i løbet af de sidste 10 år?Først og fremmest har eftervirkningerne efter terrorangrebene 11. september 2001 haftenorm betydning. Der skete en ændring i holdningen og tilgangen til kontrol. Begivenhe-derne gjorde, at borgernes frygt for terror kom til at overstige deres frygt for overvågning.Som borger har man accepteret en lang række tiltag, der indskrænker den personlige fri-hed. Det ser vi f.eks. i form af øget tv-overvågning. Et andet eksempel er logningsreglernepå teleområdet, hvor teleselskaber skal registrere og gemme oplysninger om teletrafik.Det er en meget omfattende overvågning, samfundet dermed har accepteret.Også på andre områder ser man, at der er sket en udvikling i kontrolforanstaltninger,f.eks. på offentlige forsørgelsesydelser. Hvor der tidligere kun var få muligheder for atforetage kontrolsamkøring, ser vi ofte kontrolelementet i lovforslag, Datatilsynet får i hø-ring. Teknologien giver mulighed for det, og fra lovgivers side mener man, at det er etredskab, der skal tages i anvendelse.Pendanten til kontrolsamkøring i det offentlige er whistleblower-ordninger i det private. IDatatilsynet modtager vi mange anmodninger om tilladelse til whistleblower-ordninger.Vi har givet over 100 tilladelser siden 2007. Og der synes ikke at være tale om en afta-gende tendens.Også fremkomsten af de store sociale netværk har medført talrige nye problemstillinger.Vi får i Datatilsynet dagligt henvendelser om Facebook og andre sociale netværk. Dissehenvendelser kan både dreje sig om borgernes egne profiler og indlæg, men også omandre borgeres indlæg.

Hvorfor er persondatabeskyttelse vigtig?Hvis man ser lidt teoretisk på det, så er persondatabeskyttelse anerkendt som en heltgrundlæggende rettighed - retten til privatlivets fred. Denne rettighed er fastslået i DenEuropæiske Menneskerettighedskonvention og i de grundlæggende EU-regler. Personda-taloven implementerer denne rettighed i relation til persondatabeskyttelse.Hvis man ser på det på det mere personlige plan, så har vi nok alle som mennesker nogleoplysninger, som vi gerne vil holde for os selv. Nogle oplysninger vil vi gerne dele medbestemte personer, og nogle oplysninger har vi ikke noget imod at dele med hele verden.Selv her i 2010’erne er min vurdering, at der stadig er oplysninger, som vi gerne vil havehøjere grad af beskyttelse om og faktisk også tager for givet, at der bliver passet godt påhos myndigheder og virksomheder.Når vi ser på de mange henvendelser, vi i Datatilsynet modtager fra borgerne, kan vi se, atder er brug for databeskyttelse. Men der kan være meget stor forskel på, hvilket behovborgerne føler for databeskyttelse. De undersøgelser, der med jævne mellemrum bliverlavet på EU-niveau, viser også, at databeskyttelse er vigtigt for os.Derfor har Datatilsynet en væsentlig rolle – en rolle som bliver mere og mere krævende,efterhånden som de teknologiske muligheder for at indsamle, sammenstille og dele op-lysninger bliver større.

Datatilsynet har ca. 35 medarbejdere. Kan Datatilsynet føre et tilstrækkeligt tilsynmed de ressourcer?Vi vil gerne lave flere inspektioner, end vi gør i dag. Med den udvikling, der har været påmange forskellige områder – stadig mere elektronisk behandling og øget overvågning –ville det være hensigtsmæssigt, hvis vi også kunne udføre flere inspektioner. Men i detdaglige tænker vi ikke på, hvad vi ikke kan, men hvad vi kan. I sidste ende er det op tilpolitikerne at beslutte, hvor stort Datatilsynet skal være.Det er også vigtigt at være opmærksom på, at ansvaret for at håndtere personoplysningerrigtigt og sikkerhedsmæssigt forsvarligt i første omgang påhviler de virksomheder, of-fentlige myndigheder og personer, som håndterer oplysninger. Dette krav om ”accounta-bility” er også noget af det, som forslaget til ny forordning på databeskyttelsesområdethar fokus på.Helt overordnet må jeg sige, at vi gør det, så godt vi kan. Vi har rigtig travlt. Og vi kan ikkehver dag gå op i, om vi skal være flere eller færre. Vi prøver at udvikle vores metoder ogsagsgange – ja, løse vores opgaver bedst muligt med de midler, vi har.26

Hvad skal de næste 10 år bruges på?Der venter en stor udfordring med den forventede ændring af det regelgrundlag, vi førertilsyn efter. I øjeblikket foregår diskussionerne først og fremmest på EU-niveau. Men detkan føre til store forandringer og under alle omstændigheder en kæmpe opgave med im-plementering og kommunikation ud til de mange aktører på databeskyttelsesområdet.På den korte bane har vi naturligvis en løbende udfordring med at være stadig mere ef-fektive, give god service og løse opgaverne på et højt niveau – og samtidig holde os indenfor de økonomiske rammer, der er til stede.Hvor Datatilsynet hidtil har været meget rådgivende og vejledende, vil vi fremover ogsåhave mere fokus på tilsyn. Vi vil bl.a. prøve at føre tilsyn på andre måder end vi hidtil hargjort. Som eksempel kan jeg nævne, at vi i 2012 har taget hul på online-undersøgelser,hvor vi udsender spørgeskemaer til de dataansvarlige med spørgsmål relateret til over-holdelsen af persondataloven. Disse online-undersøgelser er et godt supplement til deinspektionsbesøg, vi normalt foretager.Hvad der i øvrigt kommer af udfordringer, må tiden vise. Hvis den teknologiske udviklingbliver ved med at gå lige så stærkt som i de sidste 10 år – hvad den utvivlsomt gør – bliverder rigeligt med spændende opgaver.

Om Janni Christoffersen(f. 1962)Direktør i Datatilsynet siden 2002.Startede som nyuddannet cand.jur. (1987) i Civilretsdirektoratet. Har efterfølgende været ansati Justitsministeriets departement i forskellige stillinger, bl.a. som kontorchef.Er beskikket som dommer i Tjenestemandsretten. Har desuden været medlem af forskelligekomitéer og udvalg, f.eks. Udvalget vedrørende Politiets og Forsvarets Efterretningstjenester ogudvalget om offentlige myndigheders offentliggørelse af kontrolresultater. Endvidere har hunværet medlem af Flygtningenævnet.I fritiden dyrker Janni Christoffersen sin særlige interesse for fugle og natur.

Tv-overvågningVejledning om tv-overvågning i boligorganisationerDatatilsynet har i efteråret 2012 offentliggjort en vejledning om boligorganisationers tv-overvågning. Vejledningen er bl.a. udarbejdet på grundlag af de erfaringer, som tilsynethar indhøstet ved gennemførelse af inspektioner hos en række boligorganisationer. Udover at beskrive reglerne i tv-overvågningsloven og persondataloven i hovedtræk indehol-der vejledningen en række konkrete eksempler til illustration heraf. Vejledningen findespå Datatilsynets hjemmeside under punktet Publikationer.

InspektionerI foråret 2012 har Datatilsynet gennemført inspektioner af fem boligorganisationers tv-overvågning. Formålet med inspektionerne var at indhente erfaringer omkring de pro-blemstillinger, som forekommer i praksis ved tv-overvågning i boligorganisationer, herun-der i forbindelse med eventuel anvendelse af optagelser til andre formål endkriminalitetsbekæmpelse og -forebyggelse. Det generelle indtryk fra inspektionerne var,at de fem boligorganisationer er opmærksomme på persondataloven og har fået profes-sionel bistand til løsningerne. På inspektionerne blev der dog bl.a. konstateret problemeri forhold til overvågning i opgange, hvor kameraer pegede direkte mod beboeres ind-gangsdøre, mangelfuld information om tv-overvågningen og opbevaring af optagelser udover slettefristen på maksimalt 30 dage.Tilsynet havde i efteråret 2012 endvidere fokus på fitnesscentres tv-overvågning og fore-tog inspektioner hos fire fitnesscentre.

Læs mere om tv-overvågningPå Datatilsynets hjemmeside kan du læse om dine rettigheder i forbindelse med tv-overvåg-ning. Du finder teksterne om rettighederne under punktet Borger→Tv-overvågning.Der findes også underpunkter om tv-overvågning under punkterne Offentlig og Erhverv. Her kandu bl.a. læse om persondatalovens krav om datasikkerhed i forbindelse med tv-overvågning.Datatilsynet offentliggør også sine afgørelser om tv-overvågning på hjemmesiden. Disse kan dufinde under punktet Afgørelser.I øvrigt har Datatilsynet i samarbejde med Justitsministeriet udformet en pjece om tv-overvåg-ning. Den kan læses på tilsynets hjemmeside under punktet Publikationer.

Binding Corporate Rules (BCR)Hvad er Binding Corporate Rules?Binding Corporate Rules (BCR) – bindende virksomhedsregler– er et sæt interne regler vedrørende databeskyttelse, der ved-tages for en koncern, som har virksomheder i flere lande, her-under i tredjelande. Reglerne skal opfylde bestemte kriterier,bl.a. i forhold til registreredes rettigheder, og skal godkendesaf de europæiske databeskyttelsesmyndigheder, inden de kananvendes som hjemmelsgrundlag for overførsel af personop-lysninger til tredjelande.Når en BCR skal godkendes, anvendes en særlig procedure,hvor de bindende virksomhedsregler i første omgang udeluk-kende fremsendes til databeskyttelsesmyndigheden i det EU-land, hvor koncernens europæiske hovedkvarter ligger. Heref-ter koordinerer den pågældende myndighed – den såkaldte”lead authority” – godkendelse fra de øvrige implicerede EU-lande.

Datatilsynets arbejde med BCR i 2012I 2012 modtog Datatilsynet flere ansøgninger om BCR fra danske virksomheder, og tilsy-net skal derfor igen være lead authority på sådanne ansøgninger.Flere større danske virksomheder har fået øjnene op for fordelene ved BCR-modellen, damodellen indebærer en stor fleksibilitet i forhold til overførsel til tredjelande, når reglerneførst er udarbejdet, godkendt og implementeret.Datatilsynet forudser, at endnu flere danske virksomheder i de næste år vil påbegyndearbejdet med at udforme og få godkendt bindende virksomhedsregler.2012 var endvidere året, hvor Datatilsynet var såkaldt ”co-reader” på en BCR, som detbritiske datatilsyn ICO var lead authority på. I forbindelse med godkendelsen af en BCR30

udvælger den valgte lead authority 2 co-readers, som assisterer i forbindelse med udar-bejdelsen af de bindende virksomhedsregler.Co-readers spiller en vigtig rolle i forhold til ”mutual recognition”-proceduren, hvorefteren gruppe lande har etableret den ordning, at hvis to lande – ud over lead authority – sigergod for en BCR, så godkender alle de andre lande også de bindende virksomhedsregleruden bemærkninger.Danmark deltager ikke i mutual recognition-proceduren, da vores nationale lovgivningikke muliggør dette.Som co-reader har man et stort ansvar for at sikre, at de bindende virksomhedsregler ydertilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Ved sikringen afdette tages der udgangspunkt i de af Artikel 29-gruppen opstillede retningslinjer (læsmere om Artikel 29-gruppen under afsnittet Internationalt samarbejde).Når co-readerne finder, at en BCR yder tilstrækkelige garantier, sendes denne ud til data-beskyttelsesmyndighederne i mutual recognition-proceduren til orientering og til de øv-rige landes databeskyttelsesmyndigheder til deres eventuelle bemærkninger. Når de øv-rige landes databeskyttelsesmyndigheder er kommet med deres bemærkninger, og disseer blevet adresseret, melder lead authority ud, at arbejdet med den pågældende BCR nuer afsluttet.Herefter kan de enkelte datatilsyn så meddele tilladelse til overførsel af personoplysnin-ger til tredjelande på baggrund af den pågældende BCR, hvis der måtte være krav deromi den nationale lovgivning.

Internationalt samarbejdeEuropolSom en del af tilsynet med Europols behandling af personoplysninger deltager Datatilsy-net i arbejdet i Den Fælles Kontrolinstans og Det Fælles Klageudvalg for Europol.I Den Fælles Kontrolinstans for Europol har der i 2012 været afholdt fem møder, hvor man bl.a.har drøftet resultaterne af kontrolinstansens årlige inspektion af Europol og kontrolinstansensanden inspektion målrettet Europols rolle i TFTP-aftalen mellem USA og EU. Endvidere har DenFælles Kontrolinstans i forbindelse med evalueringen af Europol-afgørelsen10drøftet databe-skyttelsesretlige elementer i det fremtidige retsgrundlag for Europol med Europa-Kommissio-nen. Endelig har Den Fælles Kontrolinstans drøftet Europa-Kommissionens ændrede forslag tilEuropa-Parlamentet og Rådets forordning om oprettelse af Eurodac, der indfører en adgang forEuropol til oplysninger, der behandles i Eurodac-systemet. I oktober 2012 afgav Den FællesKontrolinstans en udtalelse om det ændrede forslag, hvor kontrolinstansen konkluderede, atEuropa-Kommissionen ikke har påvist, at det er nødvendigt for Europol med adgang til oplys-ninger i Eurodac-systemet.Det Fælles Klageudvalg har i 2012 afholdt ét møde. Klageudvalget har under mødet drøftetbehandlingen af to klager til udvalget.Offentliggjorte referater fra Den Fælles Kontrolinstans’ møder og kontrolinstansens udtalelserkan findes via link fra Datatilsynets hjemmeside under punktet Internationalt→Europol. Her

Evaluering på databeskyttelsesområdet i fire SchengenlandeI første halvår 2012 havde Danmark formandskabet i Den Europæiske Union.Datatilsynet bidrog til det danske formandskab, idet tilsynets IT-chef fungerede som Le-dende Ekspert ved gennemførelsen af Schengenevalueringer på databeskyttelsesområ-det i Tjekkiet, Slovakiet, Polen og Ungarn.Schengenevaluering i et land sker på vegne af og i henhold til mandat fra Rådet for DenEuropæiske Union.Formålet med Schengenevaluering af databeskyttelsesområdet er at undersøge og vur-dere implementeringen af databeskyttelse i forbindelse med Schengen-konventionen idet evaluerede land samt at rapportere observationerne til både Rådet for Den Europæi-ske Union og det evaluerede land. Desuden er det hensigten at give anbefalinger om mu-lige forbedringer på databeskyttelsesområdet i forbindelse med implementeringen afSchengen-konventionen i det evaluerede land.Den Ledende Ekspert repræsenterer i forbindelse med evalueringen Rådet for Den Euro-pæiske Union og har ansvaret for evalueringens gennemførelse og afrapportering.En Schengenevaluering af databeskyttelsesområdet i et land udføres af et evaluerings-hold, som besøger landet. Evalueringsholdet bemandes med eksperter inden for databe-skyttelse. De kommer fra andre Schengenlande end det, der evalueres. EU-Kommisionenkan vælge at deltage med en observatør.Den Ledende Ekspert fastlægger forud og i samarbejde med det evaluerede land program-met for evalueringsholdets besøg i landet.Forinden evalueringsbesøget har evalueringsholdet lejlighed til at gøre sig bekendt medrelevant national lovgivning vedrørende databeskyttelse, Schengen og visumudstedelse ilandet.Under evalueringsbesøget i et land leder Den Ledende Ekspert evalueringsholdet og erbemyndiget til på stedet at træffe de nødvendige beslutninger til sikring af evalueringsbe-søgets succesfulde gennemførelse.I forbindelse med Schengenevalueringerne af databeskyttelsesområdet i Tjekkiet, Slova-kiet, Polen og Ungarn aflagde evalueringsholdene besøg hos landets databeskyttelses-34

myndighed, den nationale politimyndighed, landets SIRENE kontor, lokaliteten for detNationale Schengen Informationssystem (NSIS) og i flere af landene også udenrigsmini-steriet. De besøgte myndigheder gav præsentationer, og evalueringsholdene havde lejlig-hed til at stille spørgsmål samt til at besigtige lokaliteter.Schengenevaluering af databeskyttelsesområdet i et land omfatter bl.a. (i) den relevantelovgivning i landet, (ii) den nationale databeskyttelsesmyndigheds uafhængighed, res-sourcer og håndhævelsesbeføjelser, (iii) den registreredes rettigheder, (iv) visumudste-delse ved landets udenrigsrepræsentationer og (v) sikkerheden omkring NSIS.Efter et evalueringsbesøg i et Schengenland udfærdiger evalueringsholdet en evalue-ringsrapport, som Den Ledende Ekspert efterfølgende fremlægger forGruppen vedrø-rende Schengenevalueringunder Rådet for Den Europæiske Union.Evalueringen af Ungarn foregik under usædvanlige omstændigheder. Op til evaluerings-besøget i Ungarn havde EU-Kommissionen sendt enåbningsskrivelsetil Ungarn medpåstand om traktatbrud vedrørende databeskyttelsesmyndighedens uafhængighed. EU-kommissionen fremskyndte processen og sendte Ungarn en såkaldtbegrundet udtalelsei sagen. Få dage før evalueringsbesøget ændrede det ungarske parlament databeskyttel-seslovgivningen. Siden evalueringsbesøget har EU-Kommissionen imidlertid stævnet Un-garn ved Den Europæiske Unions Domstol for traktatbrud.

JSA SchengenI Den Fælles Tilsynsmyndighed for Schengen (JSA Schengen), hvor Datatilsynet er repræ-senteret, er der i 2012 blevet afholdt fire møder. Her har man bl.a. drøftet den foranstå-ende overgang til det nye informationssystem (SIS II) og det retlige grundlag for Schen-gen-informationssystemet samt en række undersøgelser af medlemsstaternes anvendelseaf SIS, herunder en opfølgning på en tidligere gennemført undersøgelse vedrørendeSchengen-konventionens artikel 99 (vedrørende diskret overvågning/målrettet kontrol),en undersøgelse vedrørende artikel 95 (vedrørende eftersøgte personer) og en mindreundersøgelse af, hvordan medlemsstaternes myndigheder med adgang til SIS gøres be-kendt med reglerne for håndtering af SIS.På Datatilsynets hjemmeside under punktet Internationalt→Schengen findes generelinformation om Schengen-samarbejdet, Schengen-informationssystemet (SIS) og Datatil-synets opgaver i relation til SIS.

Told-informationssystemet (CIS)På toldområdet deltager Datatilsynet i Den Fælles Tilsynsmyndighed for Told-informati-onssystemet (JSA Customs) og Koordinationsgruppen for tilsynet med Told-informations-systemet (CISSCG).I Den Fælles Tilsynsmyndighed for Told-informationssystemet er der i 2012 blevet afholdtfire møder, hvor man bl.a. har drøftet omfanget af medlemsstaternes anvendelse af CIS.Man har endvidere arbejdet på en mindre vejledning vedrørende forholdet til Rådets ram-meafgørelse 2008/977/RIA11og i samarbejde med Den Europæiske Tilsynsførende forDatabeskyttelse (EDPS) udarbejdet en fælles udtalelse vedrørende en håndbog til et nyteuropæisk sagsbehandlingssystem på skatteområdet (FIDE).I Koordinationsgruppen for tilsynet med Told-informationssystemet er der i 2012 blevetafholdt to møder, hvor man ud over den fælles udtalelse om FIDE-håndbogen bl.a. hardrøftet tilsynet med Det Europæiske Kontor for Bekæmpelse af Svigs (OLAF) behandlingaf oplysninger fra CIS. Gruppen er endvidere blevet orienteret om og har drøftet udviklin-gen af ny regulering på toldområdet med Europa-Kommissionen. Endelig har gruppenforetaget en undersøgelse af, hvilke myndigheder og dele af myndigheder der har adgangtil CIS.

EurodacSom led i tilsynet med Eurodac deltager Datatilsynet i Koordinationsgruppen for tilsynetmed Eurodac (ESCG). I 2012 er der afholdt to møder, hvor man bl.a. har drøftet Europa-Kommissionens forslag til ændring af Eurodac-forordningen og foretaget en undersøgelseaf eventuelle problemer med ulæselige fingeraftryk i medlemsstaterne.Ved det ene møde i første halvår af 2012 har man endvidere drøftet emner i relation tilVisum-informationssystemet (VIS), herunder udviklingen og status for den praktiske im-plementering af systemet.På Datatilsynets hjemmeside under punktet Internationalt→Eurodac findes generel in-formation om Eurodac og Datatilsynets opgaver i relation hertil.

Artikel 29-gruppenI relation til Artikel 29-gruppens arbejde i 2012 skiller tre ting sig ud: 1) Gruppens arbejdemed udkast til forordning om databeskyttelse, 2) en udtalelse om cloud computing og 3)den såkaldte Google-sag.1. Arbejdet vedrørende forordningsudkastet sker primært i ’Future of Privacy’-under-gruppen. Der er i 2012 blevet godkendt to arbejdsdokumenter vedrørende det nyeforordningsudkast.2. Cloud Computing har fyldt ganske meget i billedet de sidste par år, og i 2012 kom enlænge ventet udtalelse fra Artikel 29-gruppen vedrørende cloud computing. Heri be-skrives nogle af problemstillingerne ved brugen af cloud computing samtidig med, atArtikel 29-gruppen kommer med en række anbefalinger på området.3. Den vigtigste enkeltsag i 2012 i Artikel 29-sammenhæng har været en sag om Google’snye privatlivsindstillinger. Artikel 29-gruppen anmodede det franske datatilsyn (CNIL)om at agere som ledende datatilsyn i sagen, og arbejdsgruppen har dermed også ind-ledt en proces, som kan blive hverdagen, hvis databeskyttelsesområdet overgår tilregulering ved en forordning.På Datatilsynets hjemmeside under punktet Internationalt→Artikel 29-gruppen findesgenerel information om Artikel 29-gruppen. Her findes også link til Artikel 29-gruppensdokumenter.

Berlin-gruppenInternational Working Group on Data Protection in Telecommunication, også kaldet Ber-lin-gruppen, har i 2012 afholdt to møder. I april mødtes gruppen i Sopot efter invitation fradet polske datatilsyn (Giodo), og i september mødtes gruppen i Berlin.Berlin-gruppen besluttede allerede i april 2011 på sit møde i Montreal at udarbejde enudtalelse om cloud computing. Datatilsynet har været primus motor på arbejdet med ud-talelsen, som blev vedtaget på mødet i Sopot. Udtalelsen er nu også kendt somSopotMemorandum. Udtalelsen belyser risici for databeskyttelse i forbindelse med cloud com-puting og giver anbefalinger til interessenter inden for området.

Nordisk samarbejdeI 2012 afholdt de nordiske datatilsynsmyndigheder i Norge, Sverige, Finland, Åland, Is-land, Færøerne og Danmark for første gang et stort fælles møde for både chefer, sagsbe-handlere, it-teknikere og informationsmedarbejdere. Mødet foregik i Oslo.På mødet blev den fremtidige regulering af persondatabeskyttelse diskuteret, idet EU-Kommissionen netop havde offentliggjort sit udspil til nye regler om beskyttelse af per-sonoplysninger i EU. Desuden blev der afholdt separate sessioner for henholdsvis che-ferne, sagsbehandlerne, it-teknikerne og informationsmedarbejderne.

Hvad er cloud computing?Cloud computing kan defineres som en model for internetbase-ret adgang til en delt pulje af konfigurerbare it-ressourcer (net,servere, datalagre, programmer og services), der hurtigt kanetableres og afvikles med en minimal indsats eller interaktionmed tjenesteleverandøren14. Et eksempel på en cloud-løsninger software udbudt som en service, der ikke skal installeres el-ler vedligeholdes på kundens egne systemer, men i stedet lig-ger hos leverandøren og tilgås via brugerens internetbrowser.Som eksempel herpå kan nævnes e-mailtjenester som gmail oghotmail, som er tjenester, der tilgås af brugeren via en internet-browser, og hvor data ikke gemmes på brugerens egen compu-ter, men i et datacenter hos cloud-leverandøren (i ”skyen”).

Datatilsynet indledte på baggrund heraf en nærmere undersøgelse af sagen af egen drift.Det fremgik af oplysningerne i sagen, at køreprøvesystemet indeholdt oplysninger omelevers navn, adresse, personnummer og beståede og ikke-beståede prøver samt oplys-ninger om kørelæreres navn, telefonnummer, e-mailadresse og personnummer. Det frem-gik endvidere af sagen, at der i forbindelse med omlægning af driften af systemet tilcloud-løsningen Microsoft Azure skete en fejl i opsætningen, der betød, at kørelærere,som loggede på systemet i enkelte perioder, overtog andre samtidige brugeres rettighe-der, herunder adgang til oplysninger om andre kørelærere og disses elever. I hvert fald trekørelærere havde som følge heraf haft adgang til andre kørelæreres data.Datatilsynet udtalte i sit brev af 3. april 2012 kritik af KL’s håndtering af personoplysningeri køreprøvesystemet og fremhævede i den forbindelse navnlig følgende forhold:• KL handlede som dataansvarlig uden at være berettiget dertil.• Persondatalovens krav om, at oplysninger skal beskyttes med de fornødne sikker-hedsforanstaltninger, blev ikke iagttaget.• KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalo-vens krav om en skriftlig databehandleraftale.• KL’s begrundelse om, at data ikke har været behandlet uden for EU, var ikke tilstræk-kelig, da der kan være sket overførsel til Microsoft Corporation i USA.Datatilsynet fandt endvidere, at der var behov for, at KL indhentede en revisionserklæringfra en uafhængig tredjepart med henblik på at få bekræftet, at oplysningerne fra kommu-nernes system var blevet slettet uigenkaldeligt i den anvendte cloud-løsning. Tilsynetlagde herved vægt på, at der var tale om, at personoplysninger – bl.a. omfattende privateog fortrolige oplysninger – var overført uden om de dataansvarlige kommuner og udendatabehandleraftale.

Behandling af personoplysninger i cloud-løsningen Office 365Datatilsynet modtog i starten af 2012 en henvendelse fra IT-Universitet i København ved-rørende brug af Microsofts cloud-løsning Office 365 som e-mail- og kalenderløsning. Iforbindelse med Datatilsynets behandling af IT-Universitetets henvendelse blev der påMicrosofts initiativ indledt en dialog mellem Datatilsynet og Microsoft.På baggrund af denne dialog afgav Datatilsynet – efter behandling af sagen på et møde iDatarådet – den 6. juni 2012 en udtalelse til Microsoft, hvor tilsynet dels fremkom medbemærkninger om Microsofts ansvar som henholdsvis databehandler og dataansvarlig,41

IT-Universitetets brug af cloud-løsningen Office 365Som nævnt ovenfor modtog Datatilsynet i starten af 2012 en henvendelse fra IT-Universi-tetet i København vedrørende brug af Microsofts cloud-løsning Office 365 som e-mail- ogkalenderløsning. Henvendelsen skete i form af anmeldelse af ændringer til IT-Universite-tets tidligere fremsendte anmeldelser vedrørende personale- og studieadministration.Efter at have indhentet en række oplysninger fra IT-Universitetet og været i dialog medMicrosoft afgav Datatilsynet – efter behandling af sagen på et møde i Datarådet – den 10.juli 2012 en udtalelse til IT-Universitetet vedrørende den påtænkte brug af Office 365.Datatilsynet gjorde i sin udtalelse opmærksom på følgende forhold:• Overførsel af personoplysninger til et tredjeland på baggrund af Kommissionens stan-dardkontraktbestemmelser kræver tilladelse fra Datatilsynet. Forinden de anmeldteændringer blev sat i kraft, var det således påkrævet, at IT-Universitetet anmodede omen sådan tilladelse, og at IT-Universitetet i den forbindelse fremsendte kopi af den/deindgåede standardkontrakt(er) eller anvendte den forenklede procedure for tredje-landsoverførsel baseret på standardkontraktbestemmelserne.• Datatilsynet havde ved brev af 6. juni 2012 afgivet en udtalelse til Microsoft vedrø-rende behandling af personoplysninger i Office 365. Tilsynet henviste til denne udta-lelse for nærmere information om, hvilke krav IT-Universitetet bl.a. skal leve op til vedbrug af Office 365.• Datatilsynet godkender ikke databehandleraftaler og skal ikke have sådanne forelagt.Det var således IT-Universitetets ansvar at sikre sig, at der blev indgået en databe-handleraftale med Microsoft, som lever op til persondatalovens krav.

• Datatilsynet havde ikke på baggrund af den fremsendte it-risikoanalyse mulighed forat vurdere, om IT-Universitetets risikovurdering var foretaget på grundlag af indsigt ireelle forhold hos Microsoft, eller om den foretagne risikovurdering i øvrigt var til-strækkelig.• Datatilsynet gik ud fra, at IT-Universitetet ville foretage en risikovurdering i forhold tilsamtlige aspekter af den påtænkte anvendelse af cloud-løsningen baseret på indsigt ireelle forhold hos Microsoft, inden behandlingen af personoplysninger i Office 365blev iværksat.• IT-Universitetet burde navnlig være opmærksom på sit ansvar for, at uvedkommendeikke kan få adgang til personoplysninger, som behandles i cloud-løsningen, herunderved at sikre sig, at der anvendes betryggende og effektive sletteprocedurer.• Tilsynet anbefalede, at IT-Universitetet undersøgte mulighederne for – og så vidt mu-ligt sørgede for – at personoplysninger lagres i krypteret form hos Microsoft.• Sikkerhedsforanstaltningerne ved transmission og login samt spørgsmålet om log-ning burde efter tilsynets vurdering også indgå i IT-Universitetets risikovurdering ogvidere overvejelse om anvendelse af Office 365.Under forudsætning af, at IT-Universitetets behandling af personoplysninger ved brug afOffice 365 skete under iagttagelse af reglerne i persondataloven og sikkerhedsbekendt-gørelsen, gav de fremsendte ændringer ikke Datatilsynet anledning til yderligere be-mærkninger.

ArbejdsgruppeDen tidligere regering nedsatte i 2011 en arbejdsgruppe, som fik til opgave at stille forslag tileventuelle tilpasninger af persondataloven og øvrige relevante love og regler, der unødigt van-skeliggør anvendelsen af cloud-teknologier. Datatilsynet har været repræsenteret i denne ar-bejdsgruppe.Arbejdsgruppen afgav den 4. juli 2012 et notat om love og regler, der unødigt vanskeliggør an-vendelsen af cloud computing, hvori enkelte ændringer af sikkerhedsbekendtgørelsen blevforeslået. Datatilsynet har bl.a. på baggrund heraf i slutningen af 2012 indledt overvejelser omrevision af sikkerhedsbekendtgørelsen.

Det er Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, atbrugerne skal have et valg med hensyn til, hvor deres private nøgle opbevares. Datatilsy-net opfordrede derfor allerede i 2009 til, at der hurtigst muligt blev skabt mulighed foregen opbevaring af den private nøgle. Datatilsynet anbefalede endvidere, at det overveje-des, om ikke muligheden for egen opbevaring af den private nøgle burde være gratis, ellerat prisen i det mindste blev så lav som muligt og alene kom til at afspejle omkostningerne.Senest i forbindelse med lovforslag om obligatorisk digital selvbetjening14i 2012 har Da-tatilsynet henvist til problemstillingen omkring opbevaring af borgernes private nøgle.I slutningen af 2012 blev der etableret mulighed for, at borgere mod betaling kan få enNemID, hvor den private nøgle etableres på hardware, som er i borgerens besiddelse. I14Forslag til lov om ændring af lov om Det Centrale Personregister, lov om dag-, fritids- ogklubtilbud mv. til børn og unge, lov om folkeskolen og sundhedsloven

Brug af medarbejderes private NemIDPå baggrund af henvendelser fra Kommunernes Landsforening (KL) samt en række kom-muner har Datatilsynet vurderet brugen af medarbejderes private NemID i kommunerneslog-in procedurer.Datatilsynet afgav den 30. marts 2012 – efter at sagen havde været behandlet på et mødei Datarådet – en udtalelse til KL, som sammenfattede tilsynets konklusioner, og som inde-holdt seks konkrete eksempler på brug af medarbejdernes private NemID i kommunerneslog-in procedurer.Datatilsynet udtalte bl.a., at medarbejderes private NemID kan anvendes ved log-in somalternativ til en adgang med brugernavn og adgangskode under følgende forudsætninger:• der må alene være tale om adgang til oplysninger, som hverken er af følsom eller for-trolig karakter, og• brug af den private NemID skal være et frivilligt tilbud for medarbejderne.Desuden udtalte Datatilsynet, at den private NemID kan anvendes som ekstra faktor,f.eks. når en sådan er påkrævet ved log-in til registre med følsomme personoplysningervia internet under følgende forudsætninger:• den dataansvarlige myndighed skal sikre, at behandlingen af personoplysninger viaden omhandlede adgang i det hele lever op til sikkerhedsbekendtgørelsen• brug af den private NemID til log-in skal være et frivilligt tilbud.Udtalelsen i dens helhed med de indeholdte eksempler er tilgængelig på Datatilsynetshjemmeside under punktet Afgørelser.

Datatilsynets inspektionskompetenceSom led i sin tilsynsvirksomhed har Datatilsynet efter persondatalovens § 62 inspektionsad-gang uden retskendelse og kan kræve de nødvendige oplysninger.Datatilsynets inspektionsadgang i forhold til private virksomheder er ikke ubegrænset. Inspek-tionsadgangen gælder således kun virksomheder mv., der skal have tilladelse fra Datatilsynettil at behandle personoplysninger, eller hvis der er tale om behandling af personoplysninger iforbindelse med tv-overvågning.

Særlige fokusområderDatatilsynet gennemførte i 2012 8 inspektioner efter en ny model, hvor temaet for inspek-tionerne var indretning af ESDH-systemer. Fokus var først og fremmest på medarbejder-nes adgange til personoplysninger i ESDH-systemerne.Inspektionerne blev afholdt hos 8 jyske kommuner. 2 hold medarbejdere gennemførtehver 4 inspektioner fordelt på 2 dage. Tilsynet havde på forhånd udarbejdet et standard-skema med spørgsmål. Kommunens svar fra inspektionen blev under besøget indsat iskemaet og gennemgået med kommunen. Efterfølgende har tilsynet til kommunernefremsendt bemærkninger til de enkelte inspektioner. Datatilsynet vil i 2013 offentliggøreen informationstekst, som afspejler tilsynets erfaringer fra inspektionerne.Datatilsynet har i 2012 for første gang foretaget inspektioner vedrørende tv-overvågninghos boligorganisationer. Læs mere om disse inspektioner under afsnittet Tv-overvågning.Tilsynet har desuden gennemført 4 inspektioner vedrørende tv-overvågning hos fitness-centre.Desuden har Datatilsynet i 2012 gennemført Schengenevalueringer på databeskyttelses-området i 4 Schengenlande samt gennemført en inspektion af anvendelsen af Schengen-informationssystemet (SIS) ved den danske ambassade i Kiev. Læs mere herom i afsnittetInternationalt samarbejde.

Online-undersøgelserEn inspektion indebærer normalt, at 2-3 af Datatilsynets medarbejdere møder op hos dendataansvarlige, får beskrevet den dataansvarliges behandling af personoplysninger ogforetager stikprøvekontroller, besigtigelse af lokaliteter mv.I 2012 har Datatilsynet imidlertid gennemført et pilotprojekt med online-undersøgelser,hvor inspektionerne ikke afholdes hos den dataansvarlige, men i stedet gennemføresskriftligt ved hjælp af elektroniske spørgeskemaer. Det kan dog være nødvendigt også atindhente supplerende oplysninger telefonisk.De i 2012 afholdte online-undersøgelser har rettet sig mod private forsknings- og stati-stikprojekter.I online-undersøgelserne udsender Datatilsynet elektronisk et spørgeskema til den data-ansvarlige forsker. Dette sker via et særligt spørgeskemasystem. Den dataansvarlige bes-47

varer spørgeskemaet elektronisk. Spørgsmålene relaterer sig til de vilkår, som Datatilsy-net har stillet i sin tilladelse til den dataansvarliges projekt.Hvis besvarelsen indikerer, at der sker behandling af personoplysninger, som ikke leverop til Datatilsynets vilkår eller persondataloven i øvrigt, følger Datatilsynet op på, at dendataansvarlige bringer forholdene i orden.I 2012 har Datatilsynet gennemført 13 online-undersøgelser. Ud af disse gav 10 efter endtsagsbehandling ikke Datatilsynet anledning til at konstatere, at var sket behandling afpersonoplysninger i strid med tilsynets vilkår. I 1 sag skulle der ske ændring af den data-ansvarliges anmeldelse. I 2 projekter skete der ikke den fornødne kryptering af elektroni-ske identifikationsoplysninger eller erstatning af identifikationsoplysninger med kode-nummer. Desuden kunne Datatilsynet i 1 af disse projekter konstatere, at der var sketvideregivelse af oplysninger uden den fornødne tilladelse fra tilsynet.Online-undersøgelserne indebærer, at der ikke sker en fysisk besigtigelse fra tilsynetsside, sådan som tilsynet ellers typisk gør ved inspektioner på stedet hos de dataansvar-lige. Der er tale om en mere summarisk inspektionsform, som ikke giver tilsynet mulighedfor at stille uddybende spørgsmål/kontrolspørgsmål.På den anden side er online-undersøgelserne efter Datatilsynets opfattelse et godt sup-plement til de traditionelle inspektioner hos de dataansvarlige. Dels kan online-undersø-gelserne afdække nogle åbenbare mangler hos de dataansvarlige, dels skaber undersø-gelserne bevidsthed hos de dataansvarlige om tilsynets vilkår. Samtidig er der tale om eninspektionsform, som kræver færre ressourcer end en inspektion, hvor flere af tilsynetsmedarbejdere møder op hos den dataansvarlige. Hertil kommer, at online-undersøgelser-ne giver mulighed for at lave tematiserede kontroller, hvor resultaterne fra flere undersø-gelser kan sammenlignes og udviklingstendenser uddrages. Datatilsynet vil derfor også i2013 benytte denne inspektionsform.

Temainspektioner – tv-overvågning i fitnesscentre:Fitnessworld (Brøndby)Fitnessworld (Gothersgade)Fitness dk (Adelgade)Fitness dk (ABC)Privat forskning og statistik:Bianca AlbersKarsten AlbækCarrinna HansenKasper HornbækLisbeth HybholtFrank EbsenDansk Psykologisk Forlag A/SLone Rønnov-JessenEva WelanderAlternative behandlere:Helle HaugaardMichelle KossmannWhistleblower:Carlsberg A/STryg Forsikring A/SDanske Bank A/SØvrige private:Danmarks ApotekerforeningMcDonald’s Danmark ApS (personaleadministration)Arto ApS (skriftlig undersøgelse)watAgame ApS (skriftlig undersøgelse)Online-undersøgelser (privat forskning og statistik):Lene MellemkjærJohnni HansenTove KlausenErika G. SpaichJesper CarlHenrik Nielsen50