Domstolsstyrelsen. Domstolsstyrelsens årsberetning 2007 om persondatabehandling. 11. april Indhold: Domstolsstyrelsens tilsynsopgave s.

Transkript

1 Domstolsstyrelsen Domstolsstyrelsens årsberetning 2007 om persondatabehandling St. Kongensgade København K Tlf Fax post@domstolsstyrelsen.dk CVR nr EAN-nr KFJ12929/Sagsbeh. KFJ J.nr dir.tlf mail kfj@domtolsstyrelsen.dk 11. april 2008 Indhold: Domstolsstyrelsens tilsynsopgave s. 2 Vejlednings- og tilsynsvirksomheden i 2007 s. 3 Generelle sager s. 4 Konkrete sager s. 5 Oversigt over lovgivning, bekendtgørelser og vejledninger s. 8 ISSN

2 Side 2/8 Persondataloven - lov nr. 429 af 31. maj har som hovedformål at sikre, at personoplysninger ikke misbruges eller kommer til uvedkommendes kendskab. Loven gælder for alle behandlinger af personoplysninger, der foretages ved elektronisk databehandling, eller som indeholdes i et register, for eksempel en sagliste. Loven finder som udgangspunkt anvendelse på alle domstolenes sagsområder. Visse af lovens bestemmelser finder imidlertid ikke anvendelse på behandlinger, der foretages for domstolene på det strafferetlige område. Persondataloven gælder ikke for Færøerne og Grønland. Det fremgår af lovens 68, stk. 3, at Domstolsstyrelsen offentliggør en årlig beretning om sin virksomhed. Domstolsstyrelsens tilsynsopgave Domstolsstyrelsens kompetence vedrørende tilsynet med domstolene er reguleret i persondatalovens 67 og 68. Det følger af disse bestemmelser, at Domstolsstyrelsen fører tilsyn med domstolenes behandlinger af personoplysninger på det administrative område. Desuden fører styrelsen tilsyn med overholdelsen af reglerne for sikkerhed både på det judicielle og det administrative område. Domstolsstyrelsen påser både af egen drift og efter klage fra en registreret, at behandling sikkerhedsmæssigt finder sted i overensstemmelse med persondataloven og de dertil hørende regler og sikkerhedsforskrifter. Hvis en borger gør indsigelse imod en domstols behandling af personoplysninger, træffer domstolen derimod selv afgørelse herom, når det drejer sig om det judicielle område. Domstolens afgørelse kan ifølge persondatalovens 67, stk. 3, 2.pkt, kæres til højere ret. Kære sker efter de almindelige regler i retsplejeloven, dog således at kærefristen er 4 uger. Domstolsstyrelsens tilsynsopgave svarer til den opgave, som Datatilsynet udfører med hensyn til den offentlige forvaltning og det private erhvervsliv. På baggrund af den klart sammenlignelige opgave søger Domstolsstyrelsen så vidt muligt at tilrettelægge tilsynsopgaven i samklang med de normer, som Datatilsynet fastlægger for sin tilsynsvirksomhed. Domstolsstyrelsen og Datatilsynet samarbejder i øvrigt, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle relevante oplysninger. Det drejer sig for eksempel om afgrænsningsspørgsmål vedrørende afgørelseskompetencen.

3 Side 3/8 Samtidig med persondatalovens ikrafttræden den 1. juli 2000 er også tilsynet med tinglysningssystemet henlagt til Domstolsstyrelsen. Vejlednings- og tilsynsvirksomheden Det overordnede formål med tilsyn er at påse, at behandlingen af personoplysninger ved domstolene sker i overensstemmelse med persondataloven og regler udstedt i medfør af denne lov. Domstolsstyrelsen lægger betydelig vægt på at komme i dialog med de dataansvarlige retter om databeskyttelsesretlige spørgsmål. Domstolsstyrelsens tilsynsvirksomhed udgør således ikke kun en kontrolforanstaltning, men er et værdifuldt værktøj i det løbende samarbejde mellem styrelsen og de enkelte retter om at sikre et højt databeskyttelsesniveau ved Danmarks Domstole. Domstolsstyrelsen har i 2007 ikke foretaget egentlige tilsynsbesøg, idet styrelsen har vurderet, at den retskredsreform, der er trådte i kraft ved årsskiftet , medfører så betydelige administrative og bygningsmæssige ændringer i de enkelte retter, at et dialog-besøg kort tid efter reformens i-krafttræden ville miste sit overordnede formål. Domstolsstyrelsen planlægger at gennemføre tilsynsbesøg, efterhånden som de nye byretter har etableret sig i bygninger, som den enkelte byret skal bruge i længere tid. Hidtil har Domstolsstyrelsen kun foretaget anmeldte besøg, men således, at en konkret henvendelse eller klage over rettens persondatabehandling kan udløse et uanmeldt tilsynsbesøg. Denne ordning forventes videreført. Domstolsstyrelsen har i 2007 desuden deltaget i tilsynsmøder hos den private databehandler CSC, der blandt andet behandler tinglysningsdata for domstolene. Disse møder afholdes sammen med repræsentanter for Datatilsynet og Rigsrevisionen. Anmeldelse af domstolenes behandling af fortrolige oplysninger Domstolenes hidtidige behandling af fortrolige oplysninger er anmeldt til Domstolsstyrelsen, der opbevarer en samlet fortegnelse over anmeldelserne. Domstolenes behandlingsanmeldelser er i sagens natur forholdsvis ensartede, og langt den største del af anmeldelserne er da også foretaget på grundlag af de standarder, som Domstolsstyrelsen har udarbejdet for sagsområderne skiftesager (dødsbosager og andre skiftesager), civilsager, fogedsager, notarialsager, tvangsauktionssager, straffesager, almindelige journalsager og domsresuméer på hjemmesider. Behandlingen af personoplysninger ved byretterne foretages som altovervejende hovedregel på samme måde og ved anvendelse af ens it-systemer. I forbindelse med retskredsreformen har Domstolsstyrelsen ikke fundet det nødvendigt at byretterne gen-anmelder persondatabehandlingen, idet der er tale om de samme typer sager, som fortsat behandles i de samme sagsbe-

4 Side 4/8 handlingssystemer som før retskredsreformen. Domstolsstyrelsen vil dog i løbet af 2008 gennemføre en modernisering af standardanmeldelserne, og herunder ændre dem til fælles-anmeldelser, som den enkelte ret kan tilslutte sig, i stedet for de nuværende standarder, der forudsætter, at retterne hver især udfærdiger alle behandlingsanmeldelser. Sikkerhedspolitik Domstolsstyrelsen har i 2006 arbejdet med at udforme en sikkerhedspolitik i overensstemmelse med kravene i DS 484:2005. Sikkerhedspolitikken er løbende implementeret i 2007 og forventes gennemført i løbet af Generelt Domstolsstyrelsen har udtalt sig i følgende spørgsmål af generel interesse : Rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politi- og retligt samarbejde i kriminalsager Rådet i EU har fremsat et forslag til en rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Rammeafgørelsen skal regulere den behandling og udveksling af personoplysninger, som foretages mellem medlemsstaterne indenfor rammerne af det politimæssige og strafferetlige samarbejde i EU (Unionens Søjle 3 - Retlige og Indre Anliggender). Formålet med forslaget er at tilnærme de enkelte medlemsstaters lovgivning indenfor persondatabeskyttelse således, at udvekslingen af relevante oplysninger ikke begrænses eller hindres af, at der gælder forskellige databeskyttelsesniveauer medlemsstaterne imellem. Samtidig søger man også at sikre, at der i hele EU gælder en række grundlæggende rettigheder, herunder hensynet til privatlivets fred og beskyttelsen af personoplysninger. Forslaget omfatter også domstolenes behandling og udveksling af personoplysninger, som foretages mellem medlemsstaterne indenfor rammerne af det politimæssige og strafferetlige samarbejde i EU. Rammeafgørelsen indeholder blandt andet forslag om at indføre en række rettighedsregler, herunder en ret til indsigt (artikel 17), en ret til berigtigelse (artikel 18), en ret til mærkning af oplysninger (artikel 18, stk. 2) og en forpligtelse for myndighederne til på eget initiativ at give en registreret oplysning om, at der behandles oplysninger om den pågældende, som er indhentet fra tredjemand, og som den registrerede ikke er bekendt med, at den pågældende myndighed har indsamlet og nu behandler (artikel 16). Det følger imidlertid af persondatalovens 2, stk. 4, at bestemmelserne i lovens kapitel 8-9 og og 39 - det vil sige reglerne om den registre-

5 Side 5/8 redes ret til underretning, indsigt og berigtigelse samt ret til at gøre indsigelse - ikke finder anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Tilsvarende gælder for politi- og anklagemyndighedens behandling indenfor det strafferetlige område. Rammeafgørelsen vil derfor indføre en forpligtelse for domstolene, politiet og anklagemyndigheden til fremover at være opmærksom på de i rammeafgørelsen angivne rettigheder ved behandling af straffesager. Igennem hele forhandlingsfasen har Justitsministeriet løbende arbejdet for en mere generel tekst, der er enkel og forståelig. Ministeriet har desuden arbejdet for, at forslaget enten alene skal gælde for grænseoverskridende behandlinger, eller at forslaget skal have et indhold, som vi i Danmark kan "leve med". Det vil sige et indhold, der ikke grundlæggende ændrer på de regler for behandling af personoplysninger, der i dag gælder for blandt andet domstolene. Domstolsstyrelsen har i forbindelse med forhandlingerne af rammeafgørelsen været i løbende dialog med Justitsministeriet. Domstolsstyrelsen har mundtligt udtalt til Justitsministeriet, at ministeriet, i det omfang det er muligt, fortsat bør arbejde for at lade rammeafgørelsen få mindst mulig betydning for sagsbehandlingen ved domstolene. Er det umuligt at komme igennem med de danske forslag, vil styrelsen imidlertid ikke modsætte sig forslagets bestemmelser, også fordi dette vil være i tråd med vores værdisæt. Domstolsstyrelsen har dog understreget, at vi ikke kunne støtte det i det oprindelige forhandlingsoplæg anførte om "at forslaget ikke vil medføre statsfinansielle omkostninger af betydning". Dette er også senere ændret, således at det fremgår, at man mener, at forslaget vil medføre statsfinansielle omkostninger af betydning. Der er nu opnået politisk enighed om forslaget indhold og formuleringer, og forslaget forventes fremlagt som et A-forslag (til endelig vedtagelse uden yderligere drøftelse) på rådsmødet i april Konkrete sager vedrørende persondataloven De henvendelser og klager over domstolenes persondatabehandling, som Domstolsstyrelsen har behandlet i 2007, drejer sig som hovedregel om emner, der er beskrevet i tidligere års beretninger, hvorfor kun enkelte spørgsmål medtages i denne beretning. Offentliggørelse af cpr.nr. Et jævnligt forekommende spørgsmål er rettens behandling af borgeres cpr.nr. i forbindelse med sagsbehandlingen. Det fremgår af persondataloven, at et cpr.nr. er en oplysning, som betragtes som fortrolig i forhold til myndigheder, der ikke i som en del af deres myndighedsudøvelse har behov for at behandle oplysninger om konkrete perso-

6 Side 6/8 ners cpr.nr. Retten kan i sin egen sagsbehandling således bruge en parts cpr.nr. til identifikation, herunder eventuelt som journalnummer, men retten skal i forbindelse med videregivelse af oplysninger om cpr.nr. sikre sig, at oplysningen ikke videregives til andre myndigheder eller private, der ikke har behov for oplysningen og/eller ikke på samme måde som domstolen har ret til at behandle oplysningen. I flere sagstyper indrykker retterne annoncer med oplysninger om cpr.nr. i Statstidende. Denne form for offentliggørelse af en oplysning, der normalt ikke videregives til offentligheden, er en nødvendighed for den præcise identifikation i visse sagsskridt, og som følge af Statstidendes status som det organ, der offentliggør kundgørelser m.v., er offentliggørelse af oplysningerne i Statstidende ikke i strid med persondataloven bestemmelser om videregivelse af personoplysninger. Anonymisering af elektroniske retslister og domsresumeer Domstolsstyrelsen modtager hvert år forespørgsler fra borgere om indholdet, herunder anonymiseringsgraden, af retternes retslister og domsresumeer. I 2007 har også journalister rejst spørgsmål om muligheden for at få udleveret elektroniske retslister fra retterne. Dette spørgsmål er fortsat under behandling i Domstolsstyrelsen. Generelt om retslister har Domstolsstyrelsen i årsberetningen for 2006 uddybende beskrevet reglerne om retslister og om vilkårene for retternes offentliggørelse af domsresumeer på deres hjemmesider. For domsresumeer har Domstolsstyrelsen i i cirkulæreskrivelse af 23. september 2003 opstillet vilkår for offentliggørelsen, herunder for anonymisering af de oplysninger, som efter persondataloven anses for følsomme og fortrolige, i de elektroniske domsresumeer. Anonymisering består i udeladelse af personnavne, præcise adresseangivelser samt eventuelt andre identifikationsoplysninger om personer. For eksempel kan en oplysning om en fødselsdato gengives, mens løbenummeret i et personnummer skal anonymiseres. Journalnummer, saglistenummer m.v. kan også gengives, mens et vejnavn typisk skal anonymiseres. De opstillede vilkår er gengivet i Domstolsstyrelsens årsberetning 2003 om persondataloven. Udveksling af sagsoplysninger via Domstolsstyrelsen har behandlet en henvendelse fra en advokat om bl.a. fremsendelse af påstandsdokumenter pr. til retten. Henvendelsen var foranlediget af, at flere retter havde bedt advokaten, der førte sagerne for en fagforening på vegne af et medlem, om at sende dokumenterne pr. , mens retten samtidig afviste at sende en dom pr. til advokaten. Domstolsstyrelsen er enig i rettens beslutning om ikke at sende en dom pr. e- mail til advokaten. Retterne havde, på tidspunktet for henvendelsen, ikke mulighed for at sende dokumenter med sikker , idet retterne først fra

7 Side 7/8 slutningen af 2007 kan sende og modtage sikker . Domstolsstyrelsen har samtidig gjort retterne opmærksomme på, at de ikke må anmode advokater eller andre om at e dokumenter med fortrolige eller følsomme personoplysninger, medmindre oplysningerne kan sendes med sikker . Hvis afsenderen ikke kan sende og modtage sikker e- mail, må retterne opfordre afsenderen til at sende dokumenterne i anonymiseret form. Standardtekster Domstolsstyrelsen har desuden behandlet en del generelle spørgsmål om domstolenes persondatabehandling i forbindelse med udvikling og opdatering af de it-systemer og standardtekster, som retterne anvender i sagsbehandlingen. Oversigt over lovgivning, bekendtgørelser og vejledninger Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret ved lov nr. 280 af 25. april Bekendtgørelse nr. 532 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for domstolene. Bekendtgørelse nr. 535 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for domstolene. Bekendtgørelse nr. 546 af 18. juni 2004 som ændret ved bekendtgørelse nr af 6. oktober 2006 om retslister og om massemediernes aktindsigt i og opbevaring af kopier af anklageskrifter og retsmødebegæringer mv Cirkulæreskrivelse nr. 622 af 17. september 2004 om retslister. Cirkulæreskrivelse nr. 605 af 25. juni 2004 om retslister. Vejledning af 17. juni 2004 om aktindsigt mv. ved domstolene. Cirkulæreskrivelse af 23. september 2003 om vilkår for offentliggørelse af domsresumeér på hjemmesider. Retningslinier af 13. november 2002 om anvendelsen af . Domstolsstyrelsens generelle vejledning af februar 2006 om persondataloven. Domstolsstyrelsens vejledning af februar 2006 om anmeldelsesordningen

8 Side 8/8 m.v. inden for domstolsområdet efter persondataloven. Domstolsstyrelsens vejledning af februar 2006 om de registreredes rettigheder efter persondataloven.