REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Retsudvalget 2015-16
REU Alm.del Bilag 369
Offentligt

Datatilsynet: Standardvilkår for forskningsprojekter

Side 1 af 4

DAYAn

LSYN ET

Opdateret: 06.05.15

forside / Erhverv / forskere og medicinalfirmaer / Standardvilkår for forskningsproiekter

Standardvilkår for forskningsproj ekter

(Projekter anmeldes på blanketten “Privat forskning”)

Når Datatilsynet giver tilladelse til behandling af følsomme personoplysninger i et projekt til

videnskabelige eller statistiske formål i henhold til persondatalovens

10,

jf.

50, stk. 1, nr. 1,

fastsættes en række vilkår for projektet. Vilkårene skal først og fremmest bevirke, at den

dataansvarlige (projektlederen) overholder reglerne i persondataloven og at databehandlingen

lever op til lovens krav om datasikkerhed.

Det fremgår af lovens

41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og

organisatoriske sikkerhedsforanstaitninger mod, at oplysningerne hændeligt eller ulovligt

tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab,

misbmges eller i øvrigt behandles i strid med loven.

På denne baggrund har Datatilsynet udformet en række standardvillcår, som alle projekter skal

efterleve. Hermed garanteres, at databehandlingen sker med den nødvendige sikkerhed, og at alle

personer, der indgår i projekter til videnskabelige eller statistiske formål (de registrerede),

omfattes af den samme beskyttelse.

Datatilsynets tilladelse til projektet er betinget af, at man følger Datatilsynets vilkår.

Standardvilkårene er gengivet nedenfor. Vilkår markeret “$pecialvilkår” fastsættes efter behov,

de øvrige vilkår fastsættes for alle projekter. I særlige tilfælde vil Datatilsynet også kunne

fastsætte individuelle eller supplerende vilkår for et projekt.

DATATILSYNETS STANDARDVILKÅR:

TILLADELSE

Datatilsynet meddeler hermed tilladelse til projektets gennemførelse,

jf.

persondataloven,

stk. 1, nr. 1. Datatilsynet fastsætter i den forbindelse nedenstående vilkår:

Generelle vilkår

Tilladelsen gælder indtil: (dato)

Ved tilladelsens udløb skal De særligt være opmærksom på følgende:

50,

https://www.datatilsynet.dklerhverv/forskere-og-medicinalfirmaer/standardvilkaar-for... 28-06-20 16

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Standardvilkår for forskningsprojekter

Side 2 af 4

Hvis De ikke inden denne dato

har

1aet tilladelsen forlænget,

går

Datatilsynet ud fra, at projektet

er afsluttet, og at personoplysningerne er sleftet, anonymiseret, tilintetgjort eller

overført

til arkiv,

jf.

nedenstående vilkår vedrørende projektets afslutning. Anmeldelsen af Deres projekt fjernes

derfor fra fortegnelsen over anmeldte behandlinger på Datatilsynets hjemmeside.

Datatilsynet gør samtidig opmærksom på, at al behandling (herunder også opbevaring) af

personoplysninger efter tilladelsens udløb er en overtrædelse afpersondataloven,

jf. §

70.

• (Den dataansvarliges navn) er ansvarlig for overholdelsen af de fastsatte vilkår.

• Oplysningerne må

kun

anvendes til brug for projektets gennemførelse.

• Behandling afpersonoplysninger må kun foretages af den dataansvarlige eller på

foranledning af den dataansvarlige og på dennes ansvar.

• Enhver, der foretager behandling af projektets oplysninger, skal være bekendt med de

fastsatte vilkår.

• De

fastsatte vilkår

skal tillige iagttages ved behandling, der foretages af databehandler.

• Lokaler, der benyttes til opbevaring og behandling af projektets oplysninger, skal være

indrettet med henblik på at forhindre uvedkommende adgang.

• Behandling af oplysninger skal tilrettelægges således, at oplysningerne ikke hændeligt eller

ulovligt tilintetgøres, fortabes eller forringes. Der skal endvidere foretages den fornødne

kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Urigtige

eller vildledende oplysninger eller oplysninger, som er behandlet i strid med loven eller

disse vilkår, skal berigtiges eller slettes.

• Oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere de

registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til projektets

gennem1relse.

• En eventuel offentliggørelse af undersøgelsens resultater må ikke ske på en sådan måde, at

det er muligt at identificere enkeltpersoner.

• Eventuelle vilkår, der fastsættes efter anden lovgivning, forudsættes overholdt.

Elektroniske oplysninger

• Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign.

Alternativt

kan

alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal

opbevares forsvarligt og adskilt fra personoplysningerne.

• Adgangen til projektdata må

kun

fmde sted ved benyttelse af et fortroligt password.

Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.

• Ved overførsel afpersonhenførbare oplysninger via Intemet eller andet eksternt netværk

skal der træffes de fornødne sildcerhedsforanstaltninger mod, at oplysningerne kommer til

uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret

under hele transmissionen. Ved anvendelse af interne net skal det sikres, at uvedkommende

ikke kan fa adgang til oplysningerne.

• Udtagelige lagringsmedier, sikkerhedskopier af data m.v. skal opbevares forsvarligt aflåst

og således, at uvedkommende ikke

kan

få adgang til oplysningerne.

Manuelle oplysninger

https://www.datatilsynet.dk/erhverv/forskere-og-medicinalfirmaer/standardvilkaar-for... 28-06-2016

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: $tandardvilkår for forskningsprojekter

Side 3 af 4

• Manuelt projektmateriale, udskrifter, fejl- og kontrollister, m.v., der direkte eller indirekte

kan henføres til bestemte personer, skal opbevares forsvarligt aflåst og på en sådan måde, at

uvedkommende ikke

kan

gøre sig bekendt med indholdet.

Biobank og biologisk materiale (Specialvilkår)

• Prøver med biologisk materiale og biologisk materiale i biobanker skal opbevares

forsvarligt

aflåst,

således at uvedkommende

ikke har

adgang til det, og på en sådan måde, at

det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres.

• Biologisk materiale, der er mærket med personnummer eller navn, skal opbevares under

iagttagelse af særlige sikkerhedshensyn.

• Der skal fastsættes interne retningslinjer i projektet for opbevaring af biologisk materiale.

Retningslinjerne skal ajourføres mindst én gang om året.

Oplysningspligt over for den registrerede

• Hvis der skal indsamles oplysninger hos den registrerede (ved interview, spørgeskema,

klinisk eller paraklinisk undersøgelse, behandling, observation m.v.) skal der

uddeles/fremsendes nærmere information om projektet. Den registrerede skal heri oplyses

om den dataansvarliges navn, formålet med projektet, at det er frivilligt at deltage, og at et

samtykke

til deltagelse til enhver tid kan trækkes tilbage. Hvis oplysningerne skal

videregives til brug i anden videnskabelig eller statistisk sammenhæng, skal der også

oplyses om formålet med videregivelsen samt modtagerens identitet.

• Den registrerede skal endvidere oplyses om, at projektet er anmeldt til Datatilsynet efter

persondataloven, samt at Datatilsynet har fastsat nærmere

vilkår

for projektet til beskyttelse

af den registreredes privatliv.

Indsigtsret

• Den registrerede har

ikke krav på

indsigt i de oplysninger, der behandles om den

pågældende.

Videregivelse

• Videregivelse afpersonhenførbare oplysninger til tredjepart må kun ske til brug i andet

statistisk eller videnskabeligt øjemed.

• Videregivelse må kun ske efter forudgående tilladelse fra Datatilsynet. Datatilsynet kan

stille nærmere vilkår for videregivelsen samt for modtagerens behandling af oplysningerne.

• (Specialvilkår) Oplysninger kan herudover videregives, hvis det fremgår af anden

lovgivning, at oplysningerne skal videregives.

Behandling ved databehandler (Specialvilkår)

• Datatilsynets vilkår gælder også ved behandling hos databehandler.

• Ved behandling hos databehandler skal der indgås

en skriftlig aftale herom mellem den

dataansvarlige og databehandleren. Det skal fremgå af aftalen, at databehandleren alene

handler efter instruks fra den dataansvarlige, og at oplysninger ikke må anvendes til

databehandlerens egne formål. Databehandleren skal desuden give den dataansvarlige

tilstrækkelige oplysninger til, at denne til enhver tid kan sikre sig, at Datatilsynets vilkår kan

overholdes, og at de bliver overholdt.

• Hvis databehandleren er etableret i en anden medlemsstat, skal det desuden fremgå af

aftalen, at de yderligere bestemmelser om sildcerhedsforanstaltninger for databehandlere,

som eventuelt er fastsat i den medlemsstat, hvor databehandleren er etableret, også er

gældende for databehandleren.

hffps://www.datatilsynet.dklerhverv/forskere-og-medicinalfirmaer/standardvillcaar-for... 28-06-20 16

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Standardvilkår for forskningsprojekter

Side 4 af 4

Ændringer

i projektet

• Væsentlige ændringer i projektet skal anmeldes til Datatilsynet (som ændring af

eksisterende anmeldelse). Ændringer af mindre væsentlig betydning kan meddeles

Datatilsynet.

• Ændring af tidspunktet for projektets afslutning skal altid anmeldes.

Ved projektets afslutning

• Senest ved projektets afslutning skal oplysningerne slettes, anonymiseres eller tilintetgøres,

således at det efterfølgende ikke er muligt at identificere enkeltpersoner, der indgår i

undersøgelsen.

• Alternativt kan oplysningerne overføres til videre opbevaring i Statens Arkiver (herunder

Dansk Dataarkiv) efter arkivlovens regler.

• Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne

ikke kan genetableres.

Overførsel af oplysninger til tredjelande

(Specialvilkår)

• Overførsel af oplysninger til tredjelande, herunder til behandling hos databehandler samt til

intern anvendelse i projektet, kræver forudgående tilladelse fra Datatilsynet.

• Overførsel kan dog ske uden tilladelse, hvis den registrerede har givet udtrykkeligt

samtykke til dette. Den registrerede kan tilbagekalde samtykket.

• Overførsel af oplysninger skal ske med bud eller anbefalet post. Ved elektronisk overførsel

skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til

uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret

under hele transmissionen.

Ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig senere at tage vilkårene

op til revision, hvis der skulle vise sig behov for det.

Datatilsynet

Borgergade 2$, 5

1300 København K

Tlf.: 33 193200

fax.:

33 19 32 1$

E-mail: [email protected]

https:llwww.datatilsynet.dklerhverv/forskere-og-medicinalfirmaer/standardvilkaar-for... 28-06-20 16

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

DATATI LSYN ET

Privathospitalet Mølholm

AIS

Brummersvej i

7100 Vejle

Att. Direktionen

7. august

2009

Vedrørende tilladelse til behandlingen “Patientbehandting hos Privatho

spitalet Mølholm AIS”

I henhold til tov om behandling af personoplysninger (persondataloven)’

har Privathospitalet MølhoLm A/S den JO. oktober 2005 anmeldt behandlin

gen “BiobankJknoglefryser” tit Datatilsynet. Privathospitalet Mølholm A/S

har endvidere den 13. september 2006 anmeldt behandlingen “Registrering af

patientoplysninger

EPJ (Skalpell)” til Datatilsynet. Der er samtidig ansøgt

Om tilladelse

henhold til lovens

50,

stk. I, nr. 1.

De oprindelige anmeldetser er

ifølge

aftale ændret således, at der er lavet én

generel anmeldelse, der omfatter de oprindelige to anmeldelser, og som om

fatter Privathospitatet Mølholm

AIS’

generelle behandling afpersonoplysnin

ger “Patientbehandlmg hos Privathosptalet Mølholm A/S”.

Datatilsynet

Borgergade

8, 5

1300

København 1<

CVR-nr

11-88-37-29

Telefon

3319 3200

Fax

3319 3218

Epost

dtdatatilsynet,dk

www.datatilsynet.dk

J.nt.

2007-42-0333

Privathospitatet MøLholm A/S har den

30.

juli 2009 betalt 1.000 kr. til dæk

Sag5behandler

Karina Kok Jørgensen

Direkte

3319 3224

ning af gebyr i henhold til persondatalovens

63, stk. 2,

nr.

I den anledning meddeler Datatilsynet hermed

TILLADELSE

til

behandlingen

“Patientbehandling hos

Privathospitalet

Mølholm AIS”.

Tilladelse gives på tir1gende vilkår:

det

omfang

behandling, herunder videregivelse, afpersonoplysninger

ikke er reguleret af særregler, herunder navnlig i sundhedsloven og

vævslovgivningen, skal behandling af personoplysninger, som foreta

ges afPrivathospitalet Mølholm A/S, ske i overensstemmelse med

persondatalovens regler.

Lov nr.

429

31.

maj

2000 om behandling af personoplysninger med senere ændringer.

Loven

kan

ses

p5 Datailsynets hjernineside www.datatilsvnet.dk under punktet ‘Lovgiv

ning”.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

2. Behandling af personoplysninger forttdsættes i øvrigt at ske under

iagttagelse af gældende lovgivning, herunder navnlig sundhedsloven

og vævslovgivningen.

3. Behandling afpersonoplysninger skal ske under iagttagelse af de i bi

lag I beskrevne sikkerhedsregler.

4. Den enkelte medarbejder skal informeres om, at deres opslag logges,

og at loggen kan bruges til at kontrollere uberettigede opslag samt til

stikprøvekontrol.

Ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig ret

tit senere at tage vilkårene op tit revision, hvis der skulle vise sig behov for

det.

Der henvises i øvrigt til Datatilsynets brev af 23. april 2009.

Anmeldelsen vil snarest blive ofTentliggjort i Portegnelsen på Datatilsynets

hjemrneside.2

Med venlig hilsen

Karina Kok Jørgensen

Bilag:

Bilag I Sikkerhedsregler tbr behandling afpersonoplys

finger, der er anmeldt til Datatilsynet af

privat dataan

svarlig.

www.dataiilsynet.dk.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Bita1

$ikkerhedsregler for behandling af personoplysninger der er anmeldt tit

Datatilsynet af en privat dataansvarlig

I medfør af

50, stk. 5,

lov nr. 429 af 31. maj 2000

behandling af per

sonoplysninger (persondataloven) fastsætter Datatilsynet i forbindelse med

meddelelse af tilladelse til den anmeldte behandling nærmere vilkår for udfø

relsen af behandlingen til beskyttelse af de registreredes privatliv.

Den dataansvarliges behandlingssikkerhed skal leve op til kravene i personda

talovens kapitel 11. Til uddybning af disse krav har Datatilsynet stillet vilkår

om, at behandlingen afpersonoplysninger skal ske under iagttagelse af de

sikkerhedsregler, der er beskrevet i dette bilag.

Generelte sikkerhedsbestemmelser

Den dataansvarlige skal fastsætte nærmere interne bestemmelser

om sikkerhedsforanstaltninger i virksomheden tit uddybning at’

de regler, der fremgår at’ dette bilag. Bestemmelserne skal navn

lig omfatte organisatoriske forhold og fysisk sikring, herunder

sikkerhedsorganisation, administration af adgangskontrolordnin

ger og autorisationsordninger samt kontrol med autorisationer.

Der skal endvidere fastsættes instrukser, som fastlægger ansvaret

for og beskriver behandling og destruktion af ind- og uddaama

teriale samt anvendelse af it-systemer. Desuden skal der fastsæt

tes retningslinier for tilsyn med overholdelsen af de sikkerheds-

foranstaltninger, der er fastsat for virksomheden. De interne be

stemmelser skal gennemgås mindst én gang hvert år med henblik

på at sikre, at de er fyldestgørende og afspejler de faktiske for

hold i virksomheden.

Den dataansvarlige skal give den fornødne instruktion til de med

arbejdere, som behandler personoplysningerne. Medarbejderne

skal herunder gøres bekendt med de regler, der er fastsat i medfør

af punkt i.

Hvis behandling afpersonoplysninger foretages af en databe

handler på den dataansvarliges vegne, skal der foreligge en skrift

lig aftale, hvoraf det fremgår, at de fastsatte vilkår ligeledes gæl

der for behandlingen ved databehandleren.

Hvis behandling afpersonoplysninger finder sted på en pc

arbejdsplads uden for den dataansvarliges lokaliteter, skal den da

taansvarlige fastsætte særlige retningslinier herfor, så det sikres,

at de fastsatte vilkår iagttages.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

På

steder,

hvor

der

foretages behandling af personoplysn Inger,

skal der træffes

forholdsregler med

henblik

på at forhindre

uved

kommendes adgang til oplysningerne. Udtagelige lagringsmedier,

sikkerhedskopier af data m.v. skat opbevares forsvarligt aflåst og

således, at uvedkommende ikke kan f adgang til oplysningerne.

Såfremt der er etableret eller etableres en digital selvbetjenings

løsning f.eks. adgang til at indsende og modtage oplysninger

via login på en hjemmeside skal login baseres på digital signa

tur.

—

Der

må

kun etableres eksterne kommunikationsforbindelser, hvis

der træfks særlige foranstaltninger for at sikre, at uvedkommen

de ikke gennem disse forbindelser kan t adgang ti] personoplys

ninger. Al transmission al’ følsomme personoplysninger over in

ternettet skal ske i krypteret form.

I forbindelse med reparation og service afdataudstyr, der inde

holder personoplysn Inger, samt ved salg og kassation af anvendte

datamedier skal der træffes de fornødne foranstaltninger for at

sikre, at persondatatovens

41, stk. 3 overholdes.

Jnddaramateriote

$013?

b7deholder

personoplysninger

Inddatamateriale må kun anvendes af personer, som er beskæfti

get med inddatering. Materialet skal opbevares aflåst, når det ik

ke anvendes, og slettes eller tilintetgøres, når det ikke længere

skal anvendes til de formål, hvortil det er indsamlet, dog senest

efter en af den dataansvartige fastsat frist. Ved tilintetgørelse skal

der træffes de fornødne sikkerhedsforanstaltninger mod, at mate

rialet misbruges eller kommer til uvedkommendes kendskab.

Uddatamateriale

som indeholder persol?oplysninger

10.

Uddatamateriale må kun anvendes af personer, der er beskæftiget

med de formål, tit hvilke behandlingen afpersonoplysningerne

foretages. Materialet skat opbevares på en sådan måde, at uved

kommende ikke kan få adgang

til

at gøre sig bekendt med de per

sonoplysninger, som er indeholdt heri. Når materialet ikke længe

re skal anvendes til de formål, som behandlingen varetager, dog

senest efter en af den dataansvarlige fastsat frist, skal det slettes

eller tilintetgøres.

Autorisation og adgangskontrol

I I.

Kun de personer, som autoriseres hertil,

må

have adgang til de

personoplysniager, der behandles ved hjælp afedb. Autorisatio

net skal angive,

hvilket omfang brugeren m forespørge, indda

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

tere eller slette personoplysninger. De enkelte brugere niå ikke

autoriseres til anvendelser, som de ikke har behov for.

12.

Der

må kun autoriseres personer, der er beskæftiget med de for

mål, hvortil personoplysningerne behandles, samt personer, for

hvem adgang til oplysningerne er nødvendig med henblik på re

vision eller drifts- og systemtekniske opgaver.

13.

Sttndhedslovens regler om adgang til elektroniske patientjourna

ler skat iagttages ved autorisation. Det skal sikres, at de autorise

rede personer fortsat opfylder betingelserne

punkt 8 og 9. Kon

trol heraf skal foretages mindst en gang

hvert

halve år.

Der skal træffes foransta]tninger for at sikre, at kun autoriserede

brugere kan f adgang til personoplysninger, som behandles ved

hjælp afedb, og at disse kun

kan

få adgang til de personoplys

ninger og anvendelser,

som

de er autoriserede til.

Der skal ibretages registrering af alle afviste forsøg på adgang til

edb-systemet. Hvis der registreres et nærmere fastsat antal på

hinanden følgende afviste adgangsforsøg fra samme arbejdsstati

on eller med

samme

brugeridentitkation, skal

der

blokeres for

yderligere forsøg.

Logning

14.

15.

t6.

i edb-registre skal der foretages maskinel registrering flogning)

af alle anvendelser af personoplysn Inger. Registreringen skal

mindst

indeholde oplysning om tidspunkt, bruger, type afanven

delse og angivelse af det anvendte søgekriteriurn. Loggen skal

opbevares i 6 måneder, hvorefter den

skal

slettes.

Biologisk materiale

17.

Prøver

med

biologisk materiale og biologisk materiale i bioban

ker skal opbevares forsvarligt

aflåst,

således at uvedkommende

ikke har adgang til det,

og på

en sådan måde, at det sikres, at ma

terialet ikke fortabes, forringes eller hændeligt eller ulovligt tilin

tetgøres.

Biologisk materiale, der er mærket med personnummer eller

navn, skal opbevares under iagttagelse al’ særLige sikkerhedshen

syn.

Der skal fastsættes interne retningslinier for opbevaring afbiolo

gisk materiale, Retningslinieme skal gennemgås mindst én gang

om året og ajourføres i fornødent omfang.

18.

19.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

DAi-Ari ISYN

Håndværksrådet

Islands Brygge 26

Postboks 1990

2300 København $

17.

september

2007

Vedrørende Håndværksrådets etablering af et advarseisregister over an

noncehajer

Under henvisning til Datatilsynets brev af 22. januar 2007 og Håndværksrå

dets brev af3l. august 2007 samt indbetaling af gebyr den

september 2007

skal Dat.atilsynet

hermed

meddele Håndværksrådet

Datatilsynet

Borgergade

a8, 5-

1300

København

CVR-nr. 11-88-37-29

Telefon

3319 3200

Fax

3319

3218

E-post

[email protected]

TILLADELSE

til behandling afpersonoplysninger med henblik på at advare andre mod for

retningsforbindelse med eller ansættelsesforhold til en registreret. Tilladelsen

IT)eddeleS på følgende vilkår:

Optagelse i advarselsregisteret:

J.nt. 2007-43-0004

og 2007-221-0078

Tidligere j.nr.

2005-43-0205

2005-2221-0051

I. Der må ikke ske registrering af en oplysning om et tbrhold, som er

urigtigt eller vildledende.

Der må ikke registreres opLysninger om strafbare forhold.

2. Kun personer eller virksomheder, med hvem Håndværksrådet har ind

gået aftale

indberetning, må foretage indberetning til registeret.

Håndværksrådet skal gøre indberetteme bekendt med, i hvilke tilfælde

der må ske indberetning, herunder bl.a. at der ikke må indberettes op

lysninger om stratbare foi-hold. Aftalen med indberetteren bør desuden

omhandle tbrpligtigelsen efter vilkår 12 til at give meddelelse til

Håndværksrådet, hvis de indberettede oplysninger viser sig urigtige el

ler vildledende.

3. Ved enhver indberetning skal Håndværksrådet kende indberetterens

identitet. Hvis indberetningen sker via en hjemmeside på intemettet,

skal indbe]-etteren være identificeret ved digital signatur, Net ID eller

brugernavn og password. Hvis indberetningen undtagelsesvist modta

ges via almindelig e-post, må Håndværksrådet via almindelig post el

ler

på

anden vis indhente en underskrift eller anden sikkerhed for ind

beretterens identitet.

Sagsbehandler

Tina Fugl

Direkte

3319 3229

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

4. Der må kun indberettes oplysninger

annonceudbyder mv., der har

anvendt usædvanlige forretningsmetoder.

5. Der må kun ske videregivelse af oplysninger om personer eller virk

somheder, hvis:

a) fem klager vedrørende

samme

annonceudbyder

indgivet

elter

b) en indgivet klage vedrører særtigt grove omstændigheder.

6. Der må ikke ske telefonisk indberetning.

7. Der

må

alene videregives enkeitstående summariske oplysninger.

8. Der må kun registreres og videregives oplysninger om, hvorvidt

annonceudbyder er medlem/ikke er medlem af Foreningen af Danske

tnternetmedier (FDIM), hvis der foreligger dokumentation herfor.

OpysningspIigt

9. Der skal, senest 4 uger efter optagelse

advarseisregisteret, altid gives

den registrerede meddelelse om navn og adresse på Håndværksrådet,

formålet med behandlingen, hvem der har indberettet oplysningen,

hvorvidt oplysningen vil blive videregivet og i givet Ca]d kategorien af

modtagere, om adgangen til indsigt,jf vilkAr JO, om adgangen til be

rigtigelse af de oplysninger, der vedrører den registrerede,jf. vilkår

13, samt om adgangen til at klage til Datatilsynet,jf. vilkår 15.

indsigt

10. Håndværksrådet skat til enhver tid på begæring af den registrerede in

den 4 uger på en let forståelig måde meddele denne indholdet af de op

lysninger, som foreningen på tidspunktet for begæringens fremsættelse

behandler om den pågældende. Håndværksrådet skal endvidere give

oplysninger om formålet hermed, kategorier af modtagere afoplysnin

gerne, samt tilgængelig information

om,

hvorfra oplysningerne stam

mer.

Godtgørelse af behandlingen

11. Det påhviler Håndværksrådet at godtgøre behandlingens berettigelse,

når der af en registreret rejses tvivl

rigtigheden af en registrering

eller videregivelse. I den forbindelse skal Håndværksrådet indhente

udtalelser fra indberetterne, såfremt dette er nødvendigt til a&laring af

sagen.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

UrigtigeNitdledende oplysninger

12. Indberetterne skal straks give meddelelse til HAndværksrådet om ind-

berettede oplysninger, der viser sig urigtige eller vildledende, og op

lysningerne skal snarest slettes eller berigtiges.

13. Videregivne oplysninger der viser sig urigtige eller vildledende, eller

som er videregivet

strid med disse vilkår, skal afHåndværksrådet

straks berigtiges skriftligt over for de medlemmer/deltagere

ordnin

gen, der har modtaget oplysningen. Desuden skal der berigtiges over

for den registrerede,

som

skal have oplyst, hvilke medlem

mer/deltagere

ordningen der har modtaget berigtigelsen efter 1. pkt.,

og hvorfra oplysningen stammer.

Sleining ar oplysninger

14. Oplysninger

en registreret skal slettes senest 2

år

efter, at registre

ringen er sket.

Klageadgang

15. Henvendelser fra en registreret

sletning, berigtigelse eller btoke

ring af oplysninger, der angives at være urigtige eller vildledende, el

ler stetning af oplysninger, der ikke m behandles

t vilkår nr. I -8,

skal snarest og inden 4 uger efter modtagelsen besvares skriftligt af

Håndværksrådet

Nægter Håndværksrådet at foretage den begærede sletning, berigtigel

se eller blokering, kan den registrerede indbringe spørgsmålet for Da

tatilsynet, hvilket skal oplyses over for den registrerede.

Sikkerhed

16. Oplysningerne skal ajourføres løbende. Hvis der udsendes advarselsli

ster

papirform, skal disse udsendes mindst hver 3. måned. Straks ef

ter modtagelsen, skal medlemmeWdeltageren i ordningen destruere tid

ligere modtagne lister el. lign., hvilket skal angives af Håndværksrådet

i forbindelse med udsendelsen. Kravet om destruktion aftid]igere ]i

ster glæder også lister i elektronisk form, der er hentet fra hjemmeside,

eller som medlemmeUdeltageren i ordningen

har

modtaget via e-post,

CD-rom eller diskette.

17. Der skal hos Håndværksrådet og medlemmerne /deltagerne i ordnin

gen træffes de fornødne sikkerhedsforanstaltninger til sikring

af,

at op

lysninger

i registeret ikke misbruges eller kommer tit uvedkommendes

kendskab.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

I 8. Hvis der anvendes advarselslister i papirform, skal disse opbevares af

låst, når de ikke benyttes. Det samme gælder lister i elektronisk form,

der er hentet fra en hjemmeside, eller som medlemmet/deltageren i

ordningen har modtaget via e-post, CD-rom eller diskette.

19. Ved indberetning eller videregivelse via en hjemmeside på internettet

eller ved fremsendelse af indberetninger eller advarselslister ved brug

afe-post skal der anvendes en forsvarlig kryptering.

20. Hvis der gives brugerne af listen adgang til opLysningerne via en

hjemmeside, må dette alene ske efter indtastn ing af bruger id og ad

gangskode (password). Håndværksrådet skal være i besiddelse at’ op

lysninger om, hvem der har fået tildelt adgang, således at forpligtige!

sen efter vilkår 13 til at foretage berigtigelse kan efterteves,

21. Der må ikke videregives oplysninger fra advarselslisten telefonisk.

Ændringer/ophør

22. Inden iværksættelse af ændringer i de oplysninger, der er meddelt Da

tatilsynet i forbindelse med udstedelse af tilladelse, skal Datatilsynet

tilladelse indhentes. Ændringer af mindre væsentlig betydning skal

dog kun anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4

uger efter iværksættetsen.

Ophør af førelsen af advarseisregisteret ska] straks meddeles til Data-

ti Isynet.

De ovenstående vilkår er gtædende indtil videre. Datatilsynet forbeholder sig

senere at tage vilkårene op til revision, hvis der skulle vise sig behov for det.

Endvidere er vilkårene supplerende i forhold til reglerne i persondataloven

samt i visse tilfælde udtryk for en præcisering af Lovens regler. Det skal derfor

understreges, at reglerne i persondataloven finder anvendelse i det omfang,

der er tale om forhoLd, der er reguleret i de ovenstående vilkår

Anmetdelsen vil snarest blive offentliggjort i fortegnelsen på Datatilsynets

hjemmeside www.datatilsynet.dk.

Med venlig hilsen

Lena Andersen

Kontorchef

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

DATAT LSYN ËT

Forenede Danske Motorejere

firskovvej 32

2800 Lyngby

Sendt til: shp(a)fdm,dk

ii.

juni

2008

Vedrørende anmeldelse af behandlingen “$pærreliste over spærrede Ma

sterCards”

Datatilsynet

Borgergade

28,

1300

København K

CVR-nr. 11-88-37-29

Telefon

3319 3200

Fax

3319 321$

E-post

[email protected]

www4atatllsynet.dk

Under henvisning til Datatilsynets brev af28. maj 2008

og Forenede Danske

Motorejeres (herefter FDM) indbetaling al’ gebyr den 10. juni 2008

i henhold

til

persondatalovens

63,

stk. 2, nr. 2, skal Datatilsynet hermed meddele

FDM

TI LLADEL$£

til

behandling af personoplysninger ved feretse af en spærreliste over spærre-

de MasterCards. Tilladelsen rnedde]es

på følgende vilkår:

Optagelse på spærrelisten

I. FDM

må optage

betalingskort på spærre]isten, når kortet meldes stjålet

eller tabt, eller nå,- kortindehaver

ønsker kortet optaget på spærrelisten på

grund

af mistanke om,

at kortnummer, udLøbsdato og kontroicifre er kom

J.iir. 2008-44-0012

$agsbehandler

Jesper Husrner Pedersen

Direkte

3319

3216

met til uvedkommendes kendskab. Der kan endvidere ske optagelse på

spærrelisten ved mistanke om,

kortet er kopieref, samt når kontoforhol

det

er opsagt, og kortet er søgt inddraget. Der kan også ske

spærring, så

fremt kortindehaver ønsker fornyelse af sit kort, før

kortet udløber, og kor

tet ikke er indleveret.

Endvidere kan der spærres for anvendelse

et kort, når kortindehaver har

misbrugt

sit kort med overtræk på den til kortet

knyttede konto til følge, og

FDM

forinden spærring finder sted

har udsendt mindst 2 skriftlige ryk

kere med angivelse al’, at kortet skal afleveres til FDM og vil b]ive spærret,

såfremt betaling ikke sker. Alle kort, der er tilknyttet den pågætdende kon

to, kan spærres.

—

Herudover må der ske spærring straks, hvis der foreligger særlige omstæn

digheder, særligt hvis der

en begrundet formodning for misbrug

kor

tet, eksempelvis hvor der sker omfattende

køb på

kortet inden for et meget

kort tidsrum, som ikke ligger inden for kortindehaverens normale for

brugsmønster.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Videregivelse og sletnin

oplysninger

2. Der

må

kun videregives oplysninger om kortindehaverens konto- eller

kortnummer.

Der

må

ikke videregives oplysninger

årsagen til, at et be

talingskort er spærret.

3. Oplysninger

kortnumrneret på et spærret betalingskort skal slettes se-

flest ved kortets udløbsdato. Oplysninger om kortnummeret skal dog slettes

straks, når kortet er blevet inddraget eller på anden måde er kommet i kort

udsteders besiddelse, bortset fra tilfælde, hvor kortet er spærret og inddra

get på grundlag afmisbrug eller mistanke om misbrug, og hvor der er risi

ko for, at kortet kan være kopieret. Endvidere skal oplysning

kort-

nummeret slettes straks, når tekniske muligheder for at benytte det pågæl

dende kort uden spærring ikke længere er

ti]

stede, eksempelvis ved over

gang til nye kort.

Udsteders oplysningspligt

4. Ved indledning af et kontraktforhold om udstedelse af et MasterCard skal

det oplyses, at der i de i vilkår I, 1. og 2. pkt., nævnte tilfælde vil kunne

ske spærring af kort.

FDM skal give skriftlig meddelelse om spærring afkortet til kortindehave

ren

ftwbindelse med, at spærring tinder sted. Undtaget herfra er de tilfæl

de, hvor kortet af kortindehaver meldes tabt eller stjålet, samt

tilfælde,

hvor kortindehaver melder kortet defekt eller ødelagt. Meddelelsen skal in

deholde oplysning

kortudsteders navn og adresse, kategorier af modta

gere af oplysningen om spærring, retten til indsigt (jf. vilkår 6) samt klage-

adgang til Datatilsynet (jf. vi]kr 9).

Den registreredes fndsigtsrt

6. FDM skal til enhver tid på begæring af den registrerede give denne medde

lelse om indholdet af de oplysninger, som FDM på tidspunktet for begæ

ringens fremsættelse behandler om den pågældende, kategorier afmodta

gere af oplysningen om spærring samt tilgængelig information om, hvorfra

oplysningerne stammer. Meddelelsen skal gives snarest og inden 4 uger

efter begæringen. Den registrerede kan forlange, at meddelelsen gives

skriftligt.

—

Uigtie/vildledende oplysninger

7. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt

slettes eller berigtiges.

8. Videregivne oplysninger, der viser sig urigtige eller vildledende, eller som

er videregivet i strid med vilkårene, skal af FDM berigtiges skriftligt over

for den registrerede og de betalingsmodtagere, der har modtaget oplysnin

gerne. Desuden skal den registrerede have meddelelse

om,

hvilke beta-

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

lingsmodtagere der har modtaget berigtigelsen efter I. pkt., og hvorfra op

lysningen stammer.

Berigtigelse skal ske på en af følgende måder:

a) Den registrerede oplyser på forespørgsel

fra

FDM eller i forbinde]

se med en klagesag på foranledning al’ Datatilsynet, over for hvem

berigtigelse ønskes, eller at berigtigelse ikke ønskes. FDM foretager

herefter berigtigelse

overensstemmelse hermed. Hvis den registre

rede angiver en betalingsmodtager, det kan udelukkes som modta

get af oplysningerne, skal FDM oplyse den registrerede herom.

b) Den registrerede oplyser på forespørgsel fra FDM eller i Forbindel

se med en klagesag på foranledning afDatatilsynet, at berigtigelse

ønskes, men det oplyses ikke, over for hvem berigtigelse ønskes.

FDM foretager herefter berigtigelse over for de betalingsmodtagere,

som ifølge FDMs log over online-transaktioner har modtaget op

lysningerne.

9. Indsigelser fra

registreret over for berettigelsen af en behandling al’ op

lysninger skal snarest— og inden 4 uger besvares skriftlïgt af FDM.

—

Nægter FDM at slette eller berigtige i overensstemmelse med indsigelsen,

kan den registrerede indbringe spørgsmålet for Datatilsynet. Datatitsynet

træffer herefter afgørelse

om,

hvorvidt der skal foretages sletning eller be

rigtigelse. FDM skal

svaret gøre den registrerede bekendt med adgangen

til at indbringe spørgsmålet for Datatitsynet.

$ ikkerheds foranstaltninger

I 0. Oplysningerne på spærrelisten skal ajourføres løbende.

11. Der skat hos FDM og betalingsmodtagere træffes de fornødne sikker

hedsforanstakninger til sikring

af,

at oplysninger

på

spærrelisten ikke

misbruges eller kommer til uvedkommendes kendskab.

Ændringer og ophør af Pøref sen afspærrelisten

12. Inden iværksættelse af ændringer

de oplysninger,

som

er meddelt Data

tilsynet

forbindelse med udstedelse al’ tilladelse, skal Datatilsynets tilla

delse indhentes. Ændringer af mindre væsentlig betydning skal dog kun

anmeldes til Datatilsynet. Anmeldelse kan ske efterfølgende, dog senest 4

uger efter i værksættelsen af ændringerne.

Ophør al’ førelsen al’ spærrelisten skal straks meddeles til Datatilsynet.

De ovenstående vilkår er gældende indtil videre. Datatitsynet forbeholder sig

ret til senere at tage vilkårene op til revision, hvis der skulle vise sig behov

herfor.

Endvidere er vilkårene supplerende

forhold til reglerne

persondataloven

samt i visse ti]fælde udtryk for

præcisering af lovens regler. Det skal derfor

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

understreges, at reglerne i persondataloven finder anvendelse, i det omfang

der

tale

forhold, som ikke er reguteret i ovenstående vilkår.

Datatilsynet skal henlede opmærksomheden på, at vilkårene omhandler spær

ring af kort. Automatisk afvisning af køb,

når

kreditmaksimum overskrides,

uden

at kortet derved spærres, kan derfor ske, uafhængigt af

betingelserne

for spærring er opfyldt.

Datatilsynet skat endvidere henlede opmærksomheden på persondatalovens

42, stk. 2, hvoraf det følger, at gennemførelse af en behandling ved en databe

handler skal ske

henhold til en skriftlig aftale

parterne

imellem, Af aftalen

skal det

fremgå,

at databehandferen alene handler efter instruks fra den data-

ansvarlige, og at reglerne i

41, stk. 3-5, ligeledes gælder

for

behandlingen

ved databehandler.

Af FDMs anmeldelse fremgår det, at der påtænkes overført oplysninger til

tredjelande. Datatilsynet skal i den anledning henlede opmærksomheden på

reglerne i persondatalovens

27. Tilsynet skal endvidere henlede opmærk

somheden på persondatalovens

50, stk. 2, hvoraf

fremgår,

at sådanne over

førsler

visse tilfælde kræver en tilladelse

fra

Datatilsynet. Det bemærkes

afslutningsvist, at FDMs anmeldelse ikke kan tjene som ansøgning efter lo

vens

50, stk. 2. En sådan tilladelse skal søges særskilt.

Med venlig hilsen

]esper Husmer Pedersen

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

DATATI LSYN ET

Intrum Justitla

AIS

Lyngbyvej 20, 2.sat

2100 København Ø

Att.: Helle Petersen

25. JUni 200$

Vedrørende anmeldelse/ansøgning om tilladelse til behandling af person-

oplysninger med henblik

på

erhvervsmæssig videregivelse af oplysninger

tit bedømmelse af økonomisk soliditet og kreditværdighed

Datatitsynet

Borgergade

28,

1300

København 1<

CVR-nr. 11-88-37-29

Telefon

3319 3200

Fax

3319 321$

E-post

[email protected]

www.datatilsynet.dk

Jnr.

2008-45-0005

Under henvisning til Datatilsynets brev af 19. juni 2008 og tntrum Justitia

A/S’ indbetaling af gebyr den 23. juni 2008 skal Datatilsynet herved meddele

Intin Justitla AIS

TILLADELSE

til

behandling afpersonoplysninger med henblik på erhvervsmæssig videregi

velse af oplysninger

til bedømmelse af økonomisk soliditet og kreditværdig

hed (kreditoplysningsbureau). Tilladelsen meddeles på

følgende vilkår:

Særlige behandlingsregler

Sagsbehandter

Christine Boeskov

Direkte

3319 3246

Der

må

ikke ske registrering, videregivelse eller anden behandling, her-

under

trues

med indberetning, af en fordring på en person eller virk-

somhed, hvis fordringen er bestridt.

Intrum Justitia AIS skal gennem abonnementsvilkår el. lign, sikre sig, at

bureauets abonnenter ikke indhenter kreditoplysninger om en person til

brug for ansættelse af den pågældende. Dette gæ]der, uanset om den

person, der søges oplysninger om, har givet samtykke til, at oplysnin

gerne indhentes. Oplysninger må dog indhentes, hvis der er tale om an

sættelse i en særligt betroet stilling, hvor det af hensyn til stillingsbesæt

teIsen er nødvendigt at indhente oplysninger om den pågældendes soli

ditet og kreditværdighed.

Intrum Justitia

AIS

skal sikre sig den nødvendige dokumentation for, at

betingelserne for indberetning og videregivelse er opfyldt.

Opiysningspligt

Der skal, senest 4 uger efter indsamling af oplysningerne finder sted,

altid gives den registrerede meddelelse

om navn og adresse på lntrum

.Justitia

A/S, formålet med behandlingen, hvem der har indberettet op-

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

lysningen, kategorierne at’ modtagere, om adgangen til indsigt, om ad

gangen til berigtigelse af de oplysninger, der vedrører den registrerede,

samt om

adgangen til at klage til Datatilsynet,jf. vilkår 8.

Hvis oplysningerne indsamles telefonisk hos den registrerede ved ek

sempelvis interviews skal bureauet endvidere oplyse, om det er obLiga

torisk eller frivilligt at besvare de stillede spørgsmål samt mulige følger

af ikke at svare.

Hvis registreringen vedrører et skytdforhold, og der ikke foreligger en

endelig retsllg afgørelse, skal det som minimum fremgå af meddelelsen,

at den registrerede vil blive slettet, hvis den registrerede ved henvende]-

se til bureauet bestrider fordringens støn-else eller rigtighed.

En sådan indsigelse kan afgives til bureauet såvel skriftligt som mundt

tigt af den registrerede.

Hvis registreringen vedrører et skyldforhold, hvor betingelserne for vi

deregivelse

summarisk form i persondatalovens

23, stk. 3, ikke er

opfyldt, skal det fremgå af meddelelsen, at oplysninger om gælden ikke

vil blive videregivet.

Hvis bureauet anvender oplysninger, der ikke må videregives i summa

risk form, i bedømmelser af den registreredes kreditværdighed, skal det

te fremgå af meddelelsen, som desuden skal indeholde en klar og ud

trykkelig beskrivelse i generet form af de parametre, der vil komme

til at indgå i beregningen.

—

Urigtige/vildiedende oplysninger

Det påhviler Intrum Justitia A/S at godtgøre behandlingens berettigelse,

når der af en registret-et rejses tvivl om dens rigtighed.

Intrum Justitia AIS kan ikke stille krav om, at debitor skriftligt begærer

sletning, berigtigelse eller blokering, ligesom Intrum Justitia AIS ikke

som betingelse tbr at slette oplysningen kan kræve, at debitor fremsen

der dokumentation for bestridelsens berettigelse.

Ved en udokurnenteret henvendetse fra en registreret om, at fordringen

er afviklet ved betaling eller på anden måde ophørt, kan Intrum Justitia

A/S dog foretage rimelige undersøgelser tit afidaring af spørgsmålet,

eksempelvis ved i umiddelbar forlængelse af den registreredes henven

delse at anmode den indberettende kreditor om at bekræfte den registre

redes oplysning og afrnelde registreringen.

Sletnlnjz af oplysninger

Oplysninger om forhold, der taler imod kreditværdighed, og som er me

re end 5 år gamle, må ikke behandles, medmindre det i det enkelte til-

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

tælde er åbenbart, at forholdet er af afgørende betydning for bedømmel

sen af den pågældendes økonomiske soliditet og kreditværdighed.

Intrum Justitia AIS er endvidere forpligtet til at iagttage eventuelle sær

lige sfetningsfrister meddelt af Datatilsynet.

Klageadgang

Henvendelser fra en registreret

sletning, berigtigelse eller btokering

af oplysninger, der angives at være urigtige eller vildledende, eller om

sletning af oplysninger, der ikke må behandles, skal snarest og inden 4

uger efter modtagelsen besvares skriftligt af Intrum Justitia AIS.

Nægter Intrum Justitia A/S at foretage den begærede stetning, berigti

gelse eller blokering, kan den registrerede indbringe spørgsmålet for

Datatilsynet, hvilket den registrerede skal oplyses om.

Sikkerhed

Der skal hos Intrum Justitia A/S og bureauets abonnenter træffes de

fornødne sikkerhedsforanstaitninger til sikring af, at oplysninger

regi

steret ikke misbruges eller kommer til uvedkommendes kendskab.

Fremsendelse af oplysninger over det åbne internet

må

alene ske i for

svarlig krypteret form.

Hvis der gives bureauets abonnenter adgang til oplysningerne via en

hjemmeside, skal der endvidere etableres en ordning, således at der kun

gives adgang til oplysningerne efter indtastning af en adgangskode

(password). Hvis oplysningerne gøres tilgængelige over det åbne inter

net, skal oplysningerne sendes

forsvarlig krypteret form.

Ændringer/ophør

12.

Forinden iværksættelse af ændringer

de oplysninger, der er medde]t

Datatilsynet

forbindelse med udstedelsen af tilladelse, skal Datatilsy

nets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal

dog kun anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger

efter iværksættelsen.

Ophør af førelsen af kreditoplysningsbureauet skal straks meddeles til

Datatilsynet.

De ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig

senere at tage vilkårene op til revision, hvis der skulle vise sig behov tbr det,

Endvidere er vilkårene supplerende i forhold til reglerne i persondalatoven

samt i visse tilfælde udtryk for en præcisering af lovens regler. Det skal derfor

10.

I 1.

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

understreges, at reglerne i persondataloven finder anvendelse i det ornfrng, at

der er tale

om forhold, som ikke

er reguleret

i de

ovenstående vilkår.

Datatilsynet skal

om vilkår 3 bemærke, at tilsynet

ikke

vil

stille krav

om op

bevaring af

dokumentation

i form af fotokopi af skylderklæring, stævning

m.v. ud over 3 måneder, under forudsætning af at bureauet gennem kontakten

med abonnenten sikrer, at sky]derk)æringen, stævningen rn.v. på et senere

tidspunkt kan fremskaffes.

Datatilsynet kan ligeledes acceptere, at advokater ved indgåelse af en certifi

ceringsafiale med bureauet generelt indestår for opfyldelse af betingelserne i

persondatalovens

23, stk. 3. Datatilsynet kan acceptere en sådan ordning

under forudsætning al’, at advokaten i torbindelse med konkrete indberetnin

ger af fordringer oplyser, hvilken fordring der er tale om, samt hvilken type

fundament der danner grundlag for registrering og videregivelse.

Anmeldelsen vil snarest blive offentliggjort i fortegnelsen på Datatilsynets

hjemmeside www.datatilsynet.dk

Med venlig hilsen

Christine Boeskov

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: $tandardvilkår for retsinfonnationssystemer

Side 1 af 4

DATATI LSYN ET

forside / Erhverv / Retsinformation / Standardvillcår for retsinformationssystemer

Opdateret:

06.05.15

$tandardvilkår for retsinformationssystemer

Det følger al’ persondatalovens

9, stk. 3, at Datatilsynet kan fastsætte nærmere

vilkår

for

behandlingen af personoplysninger i forbindelse med førelsen af retsinformationssystemer.

for så vidt angår private retsinfonnationssystemer følger det endvidere afpersondataloven

50,

stk.

at Datatilsynet i forbindelse med meddelelse af tilladelse efter

50,

stk. 1, nr.

kan

fastsætte nærmere

villcår

at beskytte af de registreredes privatliv.

Datatilsynet

har

i 2001 fastsat standardvillcår for offentliggørelse al’ afgørelser og domme.

De to sager, der har

ført

til fastsættelsen al’ standardvilkårene, er beskrevet i Datatilsynets

årsberetning for 2001 s.

43ff.

Årsberetningen kan ses under punktet “Publikationer”.

Vilkår for offentliggørelse af afgørelser

Datatilsynet

har

fastsat følgende vilkår for offentliggørelse af myndigheders afgørelser i

retsinformationssystemer:

1. I afgørelser, som indeholder fortrolige oplysninger eller oplysninger om enkeltpersoners

rent private forhold, skal de pågældende oplysninger anonymiseres i overensstemmelse med

vilkår nr. 2,

jf. dog

vilkår nr.

3, før videregivelse må fmde sted.

I alle afgørelser skal det endvidere sikres, at der ikke videregives oplysninger om tekniske

indretninger eller fremgangsmåder eller om drifis- eller forretningsforhold eller lignende,

for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed,

oplysningen angår.

2. En eventuel anonymisering består i udeladelse afpersonnavne, præcise adresseangivelser og

eventuelt andre identifikationsoplysninger vedrørende personer. I stedet for de udeladte

oplysninger kan indsættes neutrale betegnelser. Personnumres løbenummer udelades.

Se yderligere om krav til anonymisering ki:

3. Afgørelseme kan forsynes med sagens joumalnummer, sagslistenummer m.v.

4. Hvis en afgørelse

har

været behandlet af en højere instans, skal dette samt udfaldet heraf

fremgå af gengivelsen af sagen.

5. Det skal kontrolleres, at der ikke er fejl i gengivelsen af afgørelserne. fejl og lignende skal

rettes eller slettes.

6. Der skal etableres sildcerhed for, at der i retsinformationssystemet ikke kan tilføjes data eller

manipuleres med data.

https://www.datatilsynet.dk/erhverv/retsinformationlstandardvilkaar-for-retsinformati... 28-06-20 16

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatiisynet: Standardvilkår for retsinformationssystemer

Side 2 af 4

7. Datatilsynets udtalelse skal indhentes inden iværksættelse af ændringer i førelsen af

retsinformationsssystemet.

Ændringer af mindre væsentlig betydning skal dog alene anmeldes til Datatilsynet.

Anmeldelsen kan ske efterfølgende, dog senest 4 uger efter ændringen er iværksat.

Datatilsynet

har

givet følgende uddybende bemærkninger til vilkårene.

Om begrebet “fortrolige” (ad vilkår nr. i og 2)

Fortrolige oplysninger som

nævnt i vilkår nr. 1 er oplysninger, som ved lov eller

anden gyldig

bestemmelse er betegnet som sådan, eller som det i øvrigt er nødvendigt at hemmeligholde for at

varetage væsentlige hensyn til offentlige eller private interesser.

følsomme oplysninger som nævnt i persondatalovens

7, stk. 1, dvs, oplysninger om racemæssig

eller

etnisk baggrund,

politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige

tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold, vil være omfattet af

begrebet “fortrolige oplysninger”.

Endvidere vil oplysninger om strafbare forhold, og væsentlige sociale problemer og andre rent

private forhold, som omtalt i persondatalovens

8, stk. 1, være fortrolige.

Herudover vil oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelses

mæssige forhold efter omstændighederne

kunne

være fortrolige.

Endvidere skal det bemærkes, at det blotte forhold, at en borger overhovedet har en sag hos en

bestemt myndighed eller

har

en sag af en bestemt kategori, i sig selv kan være en fortrolig

oplysning.

Oplysninger som i forvejen er offentligt tilgængelige, vil som hovedregel

ikke

være at betragte

som fortrolige oplysninger.

Private foreningers eller selskabers interesse i at

beskytte

oplysninger om tekniske indretninger

eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende vil også kunne føre

til, at oplysningerne må anses for at være fortrolige,

når

væsentlige hensyn til de pågældendes

økonomiske interesser tilsiger, at oplysningerne ikke videregives til uvedkommende.

Med hensyn til begrebet “fortrolig” henvises i øvrigt til punkt 2.1.3. “Behandlinger, der er

undtaget fra anmeldelse” i Datatilsynets vejledning nr. 125 af 10. juli 2000 om amneldelse i

henhold til kapitel 12 i lov om behandling afpersonoplysninger.

Læs Datatilsynets vejledning på Retsinformation.dk.

Vilkår for offentliggørelse af domme

Datatilsynet har fastsat følgende vilkår for offentliggørelse af

domme:

1. Der skal ske anonymisering i følgende sager:

a) I offentligt anlagte straffesager, bortset fra straffesager vedrørende overtrædelse af

markedsføringsloven og lignende, skal der ske anonymisering. Der skal ske tilsvarende

anonymisering i sager om erstatning i anledning af strafferetlig forfølgning omfattet af 1.

punktum.

https://www.datatilsynet.dk/erhverv/retsinformationlstandardvilkaar-for-retsinformati... 28-06-2016

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Standardvilkår for retsinformationssystemer

Side 3 af 4

b) I ægteskabssager, det vil sige sager om separation, skilsmisse, forældremyndighed og

bidragspligt og i faderskabssager, skal der ske anonymisering.

c) I sager om administrativ frihedsberøvelse, i sager om prøvelse aftvangsindlæggelse på en

psykiatrisk hospitalsafdeling, i værgemålssager og i sager om anbringelse af børn uden for

hjemmet i henhold til bistandsioven skal der ske anonymisering.

d) I fogedsager og sager om konkurser mod enkeltpersoner, i gældssaneringssager og ved

ægtefællers fællesbodelinger skal der ske anonymisering.

e) I skattesager, hvor sagen indeholder oplysninger om den pågældendes samlede indtægts

eller formueforhold, skal der ske anonymisering.

f) I ansæftelsessager om bortvisning, hvor bortvisningen eksempelvis er begrundet i

strafbare eller lignende forhold hos den ansatte, der er egnet til at nedsætte den ansattes

almindelige omdømme, skal der ske anonymisering.

g) I erstatningssager, hvor der findes beskrivelse af hændelsesforløb, der indeholder

oplysninger om heibredsforhold eller andre personlige forhold, f.eks. diagnoser og

sygdomsprognoser, skal der ske anonymisering.

h) I lejesager, der angår sager om ophævelse af lejemål på grund aflejerens adfærd eller

lignende, skal der ske anonymisering.

i) I alle sager, der indeholder i øvrigt fortrolige oplysninger, skal der ske anonymisering,

hvis særlige forhold tilsiger dette. Dette gælder dog ikke i sager, hvor en fagforening er

repræsentant (mandatar) for et medlem af fagforeningen.

Anonymiseringskravet gælder for såvel sagsparter som vidner og andre bipersoner,

jf.

dog

2. og 3. punktum. I de sager, der er nævnt i litra a-c, gælder anonymiseringskravet ikke

polititjenestemænd, der

har

optaget rapport, sagkyndige og lignende vidner. I de sager, der

er nævnt i litra d-i, gælder anonymiseringskravet kun for vidner og andre bipersoner,

såfremt særlige hensyn til en af sagens parter, vidnet selv eller andre bipersoner

undtagelsesvis tilsiger dette.

2. En eventuel anonymisering består i udeladelse afpersonnavne, præcise adresseangivelser

samt eventuelt

andre

identWikationsoplysninger vedrørende personer. I stedet for de

udeladte oplysninger kan der indsættes neutrale betegnelser. Personnumres løbenummer

udelades.

Se yderligere om krav til anonymisering IM

3. Domme kan forsynes med sagens joumalnummer, sagslistenummer m.v.

https:llwww.datatilsynet.dklerhverv/retsinformationlstandardvilkaar-for-retsinformati... 28-06-20 16

REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.

Datatilsynet: Standardvilkår for retsinformationssystemer

Side 4 af 4

4. Der skal etableres sikkerhed for, at der ikke kan tilføjes eller manipuleres med data, der

befinder sig i retsinformationssystemerne.

5. Hvis en dom har været behandlet af en højere instans, skal dette samt udfaldet heraf fremgå

af gengivelsen af sagen.

6. Det skal kontrolleres, at der ikke er fejl i gengivelsen af dommene. fejl og lignende skal

rettes eller sleftes.

7. Datatilsynet skal have underretning om væsentlige ændringer i eller ophør afførelsen af

retsinformationssystemerne.

Vilkårene er supplerende i forhold til reglerne i persondataloven samt i visse tilfælde udtryk for en

præcisering af lovens regler. Reglerne i persondataloven fmder derfor anvendelse i det omfang, at

der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.

Persondataloven finder endvidere anvendelse også på den behandling, som fmder sted forud for

offentliggørelsen. Persondataloven fmder f.eks. anvendelse på elektronisk behandling, der sker

ved redigering og anonymisering af dommene, og hvor persondatalovens sikkerhedsregler,

herunder

41, skal iagttages.

Persondataloven med undtagelse af nogle få områder omfatter kun behandling af

personoplysninger. Vilkårene for retsinformationssystemer er derfor kun gældende for behandling

afpersonoplysninger i et retsinformationssystem. Behandlinger af oplysninger om virksomheder

m.v. i et retsinformationssystem vil dog skulle ske i overensstemmelse med de almindelige regler

om tavshedspligt.

—

Datatilsynet

Borgergade 2$, 5

1300 København K

Tlf.: 33 193200

Fax.: 33 19 32 1$

E-mail: [email protected]

https:llwww.datatilsynet.dklerhverv/retsinformationlstandardvilkaar-for-retsinformati... 28-06-20 16