TRU, Alm.del - 2015-16 - Bilag 149: Henvendelse af 28/1-16 DSB's ID-kontrol, fra Torben Wilken, Dansk-Nordisk Modstandsbevægelse

Transport- og Bygningsudvalget 2015-16
TRU Alm.del Bilag 149
Offentligt

Bech-Bruun Advokatfirma

Langelinie Allé 35

2100 København Ø

Att: Advokat Thomas Munk Rasmussen

8. januar 2016

Datatilsynet

Borgergade 28, 5.

1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200

Fax 3319 3218

E-mail

[email protected]

www.datatilsynet.dk

J.nr. 2016-321-0381

Sagsbehandler

Signe Astrid Bruun

Direkte 3319 3228

Vedrørende kontrol af ID-oplysninger på rejsende til Sverige

Ved brev af 1. januar 2016 med bilag har Bech-Bruun på vegne af DSB rettet

henvendelse til Datatilsynet i forbindelse med DSB’s kontrol af ID-

oplysninger på rejsende til Sverige.

Bech-Bruun har vedlagt et notat af 31. december 2015 med bl.a. Bech-Bruuns

umiddelbare vurderinger af tiltaget i forhold til persondataloven samt en skri-

velse af 30.december 2015 fra det svenske politis ”Gränsepolissektionen vid

den Nationella operativa avdelningen”. Bech-Bruun har i den forbindelse an-

modet om at modtage Datatilsynets eventuelle bemærkninger hertil.

Datatilsynets bemærkninger:

Datatilsynet bemærker, at det er den dataansvarlige myndighed eller virk-

somheds ansvar, at behandling af personoplysninger sker under iagttagelse af

persondataloven.

1.1.

Datatilsynet har noteret sig, at Bech-Bruun på vegne af DSB vurderer, at

DSB’s behandling af personoplysninger i forbindelse med kontrol af de rej-

sende ikke kræver forudgående anmeldelse til eller udtalelse fra Datatilsynet.

1.2.

Hvad angår DSB’s registrering af oplysninger, der indgår i de billeder af

de rejsendes ID-papirer, der lagres af DSB, har Datatilsynet noteret sig, at

Bech-Bruun på DSB’s vegne har vurderet, at indsamlingen og registreringen

sker inden for rammerne af persondatalovens § 6, stk. 1, nr. 5 og 6

, samt § 5

§ 6. Behandlingen af oplysninger må kun finde sted, hvis

5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse,

6) behandlingen er nødvendig af hensyn til udførelse af en opgave, der henhører under of-

fentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysnin-

gerne videregives, har fået pålagt.

§ 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2.

Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og sene-

re behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger,

der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med

de formål, hvortil oplysningerne er indsamlet.

Stk. 3.

Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte

mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de

formål, hvortil oplysningerne senere behandles.

TRU, Alm.del - 2015-16 - Bilag 149: Henvendelse af 28/1-16 DSB's ID-kontrol, fra Torben Wilken, Dansk-Nordisk Modstandsbevægelse

Datatilsynet skal endvidere henvise til persondatalovens § 11, stk. 1, som gi-

ver offentlige myndigheder mulighed for at behandle personnumre med hen-

blik på entydig identifikation eller som journalnummer. Idet omfang der ind-

går personnumre i registreringen, forudsætter tilsynet, at DSB ligeledes iagt-

tager denne bestemmelse.

1.3.

Datatilsynet lægger umiddelbart til grund, at DSB har fundet registrerin-

gen nødvendig for, at myndigheden kan løfte den pålagte opgave. Tilsynet må

i øvrigt forbeholde sig sin stillingtagen til DSB’s vurdering i tilfælde af even-

tuelle konkrete klage- eller tilsynssager.

1.4.

Datatilsynet skal for god ordens skyld understrege, at en eventuel senere

anvendelse eller videregivelse af de registrerede oplysninger i sig selv skal

leve op til persondatalovens krav. Dette vil f.eks. gælde videregivelse til sven-

ske politimyndigheder. Datatilsynet forudsætter, at DSB i givet fald i hvert

enkelt tilfælde foretager en konkret vurdering af, hvilke oplysninger det er

nødvendigt og lovligt at videregive.

Datatilsynet skal i den forbindelse påpege, at det danske personnummer nyder

særlig beskyttelse i den danske persondatalov, men ikke nødvendigvis vil væ-

re undergivet en tilsvarende beskyttelse i Sverige.

Datatilsynet forudsætter, at dette tages i betragtning, når DBS vurderer, hvilke

af de oplysninger, der indgår i billederne, der skal videregives, og at vurderin-

gen sker således, at personnumre og eventuelle andre oplysninger, som det

svenske politi ikke behøver, udelades ved videregivelsen.

Datatilsynet forudsætter endvidere, at DSB kan redegøre for skete videregi-

velser fra registeret i tilfælde af eventuelle klage- eller tilsynssager. Tilsynet

skal således understrege behovet for, at det kan dokumenteres, hvilke oplys-

ninger der er videregivet til hvem.

Herudover henvises til afsnit 1.8. nedenfor om autorisation og adgangskon-

trol.

1.5.

I det vedlagte notat er det bl.a. oplyst, at det er Bech-Bruuns vurdering, at

løsningen lever op til kravene om datasikkerhed i persondatalovens § 41, stk.

Stk. 4.

Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajour-

føring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der

ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller

vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5.

Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at

identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de

formål, hvortil oplysningerne behandles.

TRU, Alm.del - 2015-16 - Bilag 149: Henvendelse af 28/1-16 DSB's ID-kontrol, fra Torben Wilken, Dansk-Nordisk Modstandsbevægelse

Datatilsynet skal understrege, at det som udgangspunkt er den enkelte myn-

digheds eller virksomheds ansvar at vurdere og beslutte, hvilke sikkerhedsfor-

anstaltninger der er nødvendige i en given situation.

For den offentlige forvaltning er der tillige fastsat nærmere krav til sikker-

hedsforanstaltningerne i sikkerhedsbekendtgørelsen

. Datatilsynet forudsæt-

ter, at DSB i enhver henseende tilrettelægger sikkerheden omkring behandlin-

gerne under iagttagelse af sikkerhedsbekendtgørelsen.

1.6.

Datatilsynet skal i den forbindelse navnlig fremhæve sikkerhedsbekendt-

gørelsens § 7, stk. 2. Af bestemmelsen fremgår, at hvis en behandling af per-

sonoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige

myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinjer

herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger

iagttages.

Bestemmelsen vil umiddelbart være relevant i tilfælde af, at den primære løs-

ning for lagring af fotografier bryder ned, og det kontrollerende personale i

stedet udstyres med enheder, der gemmer oplysningerne lokalt.

1.7.

Datatilsynet skal endvidere henlede opmærksomheden på sikkerhedsbe-

kendtgørelsens § 14, hvoraf det fremgår, at der kun må etableres eksterne

kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at

sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til

personoplysninger.

I den forbindelse skal Datatilsynet gøre opmærksom på, at der ved transmissi-

on af personnumre og andre fortrolige oplysninger (f.eks. beskyttet adresse)

over internettet eller andre åbne net efter tilsynets praksis er krav om krypte-

ring.

1.8.

Det fremgår endvidere af det vedlagte notat, at det svenske politi efter

anmodning vil få adgang til databasen.

Datatilsynet skal i den forbindelse bemærke, at tilsynet går ud fra, at der ikke

er tale om en terminaladgang for de svenske myndigheder.

Datatilsynet bemærker med henvisning til sikkerhedsbekendtgørelsens regler

om autorisation og adgangskontrol, at alene medarbejdere hos DSB, som har

behov herfor, bør autoriseres til at have adgang til de lagrede fotografier, samt

at DSB i forbindelse med en eventuel anmodning fra det svenske politi eller

andre om at få oplysninger udleveret må tage konkret stilling til, hvilke oplys-

ninger det er nødvendigt og lovligt at udlevere, jf. afsnit 1.4. ovenfor om vide-

regivelse.

Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af

personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgø-

relse nr. 201 af 22. marts 2001

TRU, Alm.del - 2015-16 - Bilag 149: Henvendelse af 28/1-16 DSB's ID-kontrol, fra Torben Wilken, Dansk-Nordisk Modstandsbevægelse

Afslutningsvis skal Datatilsynet for god orden skyld understrege, at oven-

stående alene er tilsynets kommentarer til de elementer i notatet, som umid-

delbart gav anledning til bemærkninger.

De dele af persondataloven, som ikke er omtalt i brevet her, forudsættes selv-

følgelig ligeledes iagttaget. Det gælder f.eks. reglerne om registrerede perso-

ners rettigheder.

Det skal endvidere understreges, at udtalelsen alene er vejledende, og at Data-

tilsynet i det hele må forbeholde sig sin stillingtagen i tilfælde af eventuelle

konkrete klage- eller tilsynssager.

Med venlig hilsen

Lena Andersen

Kontorchef