Kommunaljura

Persondata

Reglerne om behandling af persondata sætter rammerne for, hvordan kommunerne skal håndtere personoplysninger.

Regler for håndtering af personoplysninger

Reglerne om behandling af persondata sætter rammerne for, hvordan kommunerne skal håndtere personoplysninger. Det gælder uanset om der er tale om almindelige eller følsomme oplysninger. Databeskyttelsesforordningen og databeskyttelsesloven gælder som udgangspunkt for al elektronisk behandling af personoplysninger samt manuel behandling af personoplysninger, som er indeholdt i et register (dvs. ordnet på en systematisk måde, fx alfabetiseret eller nummereret, så det er muligt at fremsøge). Desuden gælder databeskyttelsesreglerne for al manuel videregivelse til en anden forvaltningsmyndighed.

Skærpet fokus på persondata

Den øgede digitalisering i kommunerne og det nye regelsæt i databeskyttelsesforordningen, der suppleres af databeskyttelsesloven, har medført et skærpet fokus på persondata og reglernes overholdelse i kommunerne. Der er grundlæggende tale om en videreførelse af de regler, kommunerne kender fra persondataloven. Den behandling af personoplysninger, der lovligt har kunnet finde sted efter persondataloven, vil således også kunne finde sted efter databeskyttelsesfororordningen og databeskyttelsesloven. Der er gennemgående et strengere påvisningskrav, som indebærer, at man skal kunne forklare, hvordan den behandling af personoplysninger, man foretager, er lovlig i henhold til databeskyttelsesreglerne.

Behandling af personoplysninger

Der er grundlæggende 4 ting, der skal være på plads, når man behandler personoplysninger:

  1. Der skal være et behandlingsgrundlag i medfør af databeskyttelsesforordningens art. 6, stk. 1, litra a-f. Hvis der er tale om, at den dataansvarlige behandler følsomme oplysninger, som er omfattet af forbuddet mod behandling i art. 9, stk. 1, skal den dataansvarlige kunne identificere en undtagelse til forbuddet i enten art. 9, stk. 2 eller i bestemmelser, som gennemfører forordningens art. 9. Et eksempel på en bestemmelse, der gennemfører artikel 9, kan findes i databeskyttelseslovens § 7, stk. 2-5. Derudover skal der ligeledes findes et behandlingsgrundlag i art. 6.
  2. Uanset om der er et behandlingsgrundlag, jf. pkt. 1, skal behandlingen altid ske inden for rammerne af de grundlæggende principper i databeskyttelsesforordningen, jf. art. 5. Principperne er egentlige juridiske krav, og overtrædelse af art. 5 kan sanktioneres med bøde. Principperne handler om gennemsigtighed og rimelighed, formålsbestemthed, dataminimering, rigtighed, opbevaringsbegrænsning og sikkerhed.
  3. Personoplysninger skal behandles sikkert, jf. art. 32 med flere. Sikkerhed handler blandt andet om, at uvedkommende ikke må få adgang til personoplysninger (i familie med tavshedspligten) og at oplysningerne skal sikres mod ændringer eller tilintetgørelse. Dette stiller krav både til kommunens IT-afdeling og til sagsbehandlerne. For så vidt angår sagsbehandlerne er det blandt andet vigtigt at være opmærksom på, at man ikke kommer til at sende mails til en forkert modtager, at man ikke sender fortrolige oplysninger med almindelig mail, at man er omhyggelig, når man indscanner dokumenter, så der ikke kommer uvedkommende papirer med uvedkommende personoplysninger med i scannet, at papirer med fortrolige personoplysninger ikke ligger frit fremme, at dokumenter med personoplysninger gemmes i ESDH-systemet osv.
  4. De registrerede personers rettigheder skal iagttages. Det betyder, at kommunerne af egen drift skal opfylde en oplysningspligt, jf. art. 13 og art. 14, når de indsamler oplysninger om borgerne. Efter anmodning fra borgeren skal kommunerne endvidere give indsigt i de personoplysninger, der behandles om den registrerede, jf. art. 15, berigtige urigtige oplysninger, jf. art. 16, begrænse behandlingen af den registreredes personoplysninger, jf. art. 18, underrette andre modtagere, hvis kommunen berigtiger eller begrænser behandlingen af en personoplysning, som kommunen har videregivet til den pågældende modtager, jf. art. 19, tage stilling til indsigelser fra borgerne om en ellers lovlig behandling af deres personoplysninger (når den lovlige behandling finder sted som led i myndighedsudøvelse), jf. art. 21.

Manglende efterlevelse af de 4 ovenstående elementer vil hver for sig udgøre et brud på persondatasikkerheden og kan sanktioneres med bøder.

Samspil mellem forvaltningsretlige regler og databeskyttelsesretlige regler

Når du behandler personoplysninger i forbindelse med afgørelsessager i kommunen, skal du i øvrigt være opmærksom på samspillet mellem de forvaltningsretlige regler om tavshedspligt og videregivelse og de databeskyttelsesretlige regler. Der er ikke nogen konflikt mellem reglerne.

På denne side kan du blandt andet finde materiale til brug for løsning af konkrete juridiske problemstillinger og relevante nyheder på databeskyttelsesområdet.

Du kan læse mere om den nye persondataforordning samt KL's sikkerhedsprogram her.