Kommunaljura

Persondata

Reglerne om behandling af persondata sætter rammerne for, hvordan kommunerne skal håndtere personoplysninger.

Regler for håndtering af personoplysninger

Reglerne om behandling af persondata sætter rammerne for, hvordan kommunerne skal håndtere personoplysninger. Det gælder uanset om der er tale om almindelige eller følsomme oplysninger. Persondataloven gælder som udgangspunkt for al elektronisk behandling af personoplysninger samt manuel behandling af personoplysninger, som er indeholdt i et register (d.v.s. ordnet på en systematisk måde fx alfabetiseret eller nummereret, så det er muligt at fremsøge).

Skærpet fokus på persondata

Den øgede digitalisering i kommunerne og det nye regelsæt i databeskyttelsesforordningen, der suppleres af databeskyttelsesloven, har medført et skærpet fokus på persondata og reglernes overholdelse i kommunerne. Der er grundlæggende tale om en videreførelse af de regler, kommunerne kender fra persondataloven. Den behandling af personoplysninger, der lovligt har kunnet finde sted efter persondataloven, vil således også kunne finde sted efter databeskyttelsesfororordningen og databeskyttelsesloven. Der er gennemgående et strengere påvisningskrav, som indebærer, at man skulle forklare, hvordan den behandling af personoplysninger, man foretager, er lovlig i henhold til databeskyttelsesreglerne.

Behandling af personoplysninger

Der er grundlæggende 4 ting, der skal være på plads, når man behandler personoplysninger:

  1. Der skal være et behandlingsgrundlag. I forbindelse med almindelige sagsbehandling i forbindelse med afgørelsessager vil behandlingsgrundlaget for så vidt angår almindelige oplysninger være "myndighedsudøvelse", jf. artikel 6, stk. 1, litra e, og for så vidt angår følsomme oplysninger være "fastlæggelse af retskrav", jf. artikel 9, stk. 2, litra f. For begge bestemmelsers vedkommende indeholder de en henvisning til den faglovgivning, som afgørelsen skal træffes efter. Hvis en personoplysninger er nødvendig at behandle efter faglovgivningen for at kunne træffe afgørelsen, vil det også være berettiget at behandle den efter databeskyttelsesreglerne.
  2. Uanset om man har et behandlingsgrundlag, jf. pkt. 1, skal man behandlingen altid ske inden for rammerne af de grundlæggende principper i databeskyttelsesforordningen, jf. art. 5. Principperne er egentlige juridiske krav, og overtrædelse af art. 5 kan sanktioneres med bøde (høj takst). Principperne handler om gennemsigtighed og rimelighed, formålsbestemthed, dataminimering, rigtighed, opbevaringsbegrænsning og sikkerhed.
  3. Personoplysninger skal behandles sikkert, jf. art. 32 m. fl. Sikkerhed handler bl.a. om, at uvedkommende ikke må få adgang til personoplysninger (i familie med tavshedspligten) og at oplysningerne skal sikres mod ændringer eller tilintetgørelse. Dette stiller krav både til kommunens IT-afdeling og til sagsbehandlerne. For så vidt angår sagsbehandlerne er det vigtigt blandt andet at være opmærksom på, at man ikke kommer til at sende mails til en forkert modtager, at man ikke sender fortrolige oplysninger med almindelig mail, at man er omhyggelig, når man indscanner dokumenter, så der ikke kommer uvedkommende papirer med uvedkommende personoplysninger med i scannet, at papirer med fortrolige personoplysninger ikke ligger frit fremme, at dokumenter med personoplysninger gemmes i ESDH-systemet o.s.v.
  4. De registrerede personers rettigheder skal iagttages. Det betyder, at kommunerne af egen drift skal opfylde en oplysningspligt, jf. art. 13 og art .14, når de indsamler oplysninger om borgerne. Efter anmodning fra borgeren skal kommunerne endvidere give indsigt i de personoplysninger, der behandles om den registrerede, jf. art. 15, berigtige urigtige oplysninger, jf. art. 16, begrænsning af behandlingen af den registreredes personoplysninger, jf. art. 18, underretning af andre modtagere, hvis kommunen berigtiger eller begrænser behandlingen af en personoplysning, som kommunen har videregivet til den pågældende modtager, jf. art. 19, tage stilling til indsigelser fra borgerne om en ellers lovlig behandling af deres personoplysninger (når den lovlige behandling finder sted som led i myndighedsudøvelse), jf. art. 21.

Manglende efterlevelse af de 4 elementer vil hver for sig udgøre et brud på datasikkerheden og kan sanktioneres med bøder.

Samspil mellem forvaltningsretlige regler og databeskyttelsesretlige regler

Når du behandler personoplysninger i forbindelse med afgørelsessager i kommunen, skal du i øvrigt være opmærksom på samspillet mellem de forvaltningsretlige regler om tavshedspligt og videregivelse og de databeskyttelsesretlige regler. Der er ikke nogen konflikt mellem reglerne.

På denne side kan du blandt andet finde materiale til brug for løsning af konkrete juridiske problemstillinger og relevante nyheder på databeskyttelsesområdet.

Du kan læse mere om den nye persondataforordning samt KL's sikkerhedsprogram her.