Styrelsen for It og Læring Vester Voldgade København V. Den 27. februar 2019

Transkript

1 Styrelsen for It og Læring Vester Voldgade København V Den 27. februar 2019 Høring over udkast til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler Danske Erhvervsskoler og -Gymnasier (DEG) kvitterer for høring vedr. bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. Indledningsvis mener DEG, at Unilogin må høre til under samme kategori som Optagelse.dk med hensyn til fordeling af dataansvar mellem institutioner og myndighed. Derfor er det DEG s holdning, at dataansvaret bør ligge hos Styrelsen for It og Læring. Institutionerne må antages at få svært ved at kunne leve op til reglerne som dataansvarlige for Unilogin, når Styrelsen for It og Læring uden instruks fra de dataansvarlige kan anvende eller give adgang til personoplysninger i Unilogin til en anden dataansvarlig til løsning af styrelsens eller den anden dataansvarliges lovhjemlede opgaver eller af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som styrelsen eller den anden dataansvarlig har fået pålagt, jf. 5. Ligeledes, som formuleringen i 2 og 3 er nu, kan flere skoler blive dataansvarlige for den samme elev samtidigt. Dette bør kunne undgås ved at bekendtgørelsen fastlægger, hvilken institution som har dataansvaret herfor, eventuelt via aftale mellem de pågældende institutioner. Et delt ansvar, institutionerne i mellem for en elev, synes uhensigtsmæssigt. Ydermere har DEG følgende kommentarer: 12 Sletning efter 12 måneder er ikke hensigtsmæssigt, idet elever på vekseluddannelser godt kan være væk fra uddannelserne i længere perioder. DEG anbefaler derfor en længere periode, fx på 3 år.

2 14 DEG mener, at formuleringen i 14, som giver STIL mulighed for bl.a. at anvende underdatabehandlere uden dataansvarliges godkendelse, giver et fortolkningsproblem i forhold til 6, da det her fremgår, at STIL skal have dokumenteret instruks fra den dataansvarlige for at overføre personoplysninger i Unilogin til tredjelande eller internationale organisationer. På vegne af Danske Erhvervsskoler og -Gymnasier Anne Wieth-Knudsen Specialkonsulent

3 Styrelsen for IT og Læring Høring over udkast til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler Styrelsen for IT og Læring (STIL) har den 7. februar 2019 bedt KL om eventuelle bemærkninger til forslag til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. KL ser overordnet meget positivt på, at STIL udarbejder en bekendtgørelse, der afløfter behovet for, at alle landets kommuner skal indgå individuelle databehandleraftaler med STIL om den digitale identifikationsløsning, UNI-Login. Dato: 7. marts 2019 Sags ID: SAG Dok. ID: Direkte: Weidekampsgade 10 Postboks København S Side 1 af 2 KL ser imidlertid, at bekendtgørelsen lægger op, at STIL i et vist omfang også agerer som selvstændigt dataansvarlig i forhold til personoplysningerne i UNI-Login. KL finder det derfor nødvendigt, at det afklares, hvorvidt der juridisk reelt er tale om fælles dataansvarskonstruktion mellem kommunerne og institutionerne og STIL. Er dette tilfældet, skal der ikke indgås en databehandleraftale (som afløftes via bekendtgørelsesudkastet) men i stedet en aftale om fælles dataansvar. KL hæfter sig særligt ved bekendtgørelsens 5 om videregivelser uden instruks samt 4, stk. 2, om databehandling på vegne af den dataansvarlige og 12 om sletning af data, der fordrer registrering/behandling af personoplysninger, som kommunerne ikke har instrueret STIL i at behandle. Det drejer sig om personoplysninger om navn, adresse, telefonnummer, , uddannelsesoplysninger, tilknytningsstatus og kontaktpersonstatus. Kommunerne ser i en identifikationsløsning ikke behov for at behandle andre typer af personoplysninger end et CPR-nummer, jf. formålet med behandlingen som beskrevet i bekendtgørelsens 1. Afklaringen af hvilke personoplysninger og hvilke behandlinger i UNI-Login, kommunerne som dataansvarlige er ansvarlige for, har ligeledes væsentlig betydning for kommunernes vurdering af, hvorvidt de sikkerhedsforanstaltninger, som opregnes i bekendtgørelsens 8, stk. 3, vil være passende. KL vil derfor anbefale, at det tydeligt fremgår af bekendtgørelsen, hvilke personoplysninger og behandlinger, kommunerne er dataansvarlige for.

4 Dato: 7. marts 2019 Såfremt STIL til andre formål ønsker at behandle oplysninger om navn, adresse, telefonnummer, og uddannelsesoplysninger, mener KL, at det bør fremgå eksplicit af bekendtgørelsen, at denne behandling ikke er en del af instruksen. Evt. ved en bestemmelse tilsvarende den foreslåede 5 om videregivelser. Det er ligeledes vigtigt, at der er transparens i de data, som leverandørerne af læringsplatforme og digitale læremidler kan rekvirere via webgrænsefladerne nævnt i bekendtgørelsens 4 stk. 3. Denne transparens besværliggøres af, at STIL udleverer personoplysningerne i forskellige såkaldte datapakker via webgrænsefladerne, og at leverandørerne ikke kan fravælge data om eleverne, som de ikke ønsker, fordi de kun kan modtage data i 4 færdige 'pakker' via webgrænsefladen. Dermed får leverandørerne potentielt adgang til flere data, end de har behov for i deres databehandling. Sags ID: SAG Dok. ID: CHBI@kl.dk Direkte: Weidekampsgade 10 Postboks København S Side 2 af 2 KL ser frem til den videre dialog med STIL for at sikre den nødvendige transparens i forhold til UNI-Login, så kommunerne kan leve op til deres ansvar som dataansvarlige for personoplysningerne i UNI-Login. Afslutningsvis vil KL gerne takke for den gode dialog, der har været mellem KL og STIL om bekendtgørelsesudkastet. Det har ikke været muligt at få KL s høringssvar politisk behandlet inden fristen, hvorfor der tages forbehold for eventuelle yderligere bemærkninger efter politisk behandling i KL. Med venlig hilsen Peter Pannula Toft

5 6. marts 2019 Høringssvar fra Region Sjælland vedrørende udkast til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. Styrelsen for It og Læring (STIL) har sendt udkast til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler i høring. Region Sjælland afgiver i den forbindelse følgende høringssvar fremsendt via mail. Region Sjælland kan tilslutte sig Danske Regioners tidligere afgivne bemærkning om, at en adresseoplysning kan have karakter af en følsom personoplysning i regionalt regi. Ved iagttagelse af dataminimeringsprincippet, jf. databeskyttelsesforordningens artikel 5, stk. 1 litra c, kan oplysningen med fordel udelades, da den ikke er nødvendig for at opfylde formålet med behandlingen; at kunne foretage en entydig identifikation af eleven. Region Sjælland kan endvidere tilslutte sig Danske Regioners tidligere afgivne bemærkning til 5 vedrørende videregivelse. Der kan her henvises til databeskyttelsesforordningens præambel 31. Generelt findes dataansvarskonstruktionen ganske uklar. Dataansvarskonstruktionen vil med fordel kunne præciseres med hensyn til, hvilke bekendtgørelser styrelsen er pålagt af følge som led i den offentlige myndighedsudøvelse. 1

6 Styrelsen for IT og Læring Undervisningsministeriet Vester Voldgade København V Sendt til: kid@stil.dk 8. marts 2019 Høring over udkast til bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler Datatilsynet Borgergade 28, København K CVR-nr Ved af 7. februar 2019 har Styrelsen for It og Læring (STIL) anmodet om Datatilsynets bemærkninger til ovennævnte udkast til bekendtgørelse. Telefon Fax dt@datatilsynet.dk J.nr Dok.nr Sagsbehandler Camilla Andersen Indledningsvist skal Datatilsynet gøre opmærksom på, at tilsynet som kontrolog tilsynsmyndighed ikke kan forhåndsgodkende en databehandleraftale. Nærværende høringssvar kan derfor ikke anses for en godkendelse af databehandleraftalen eller en endelig angivelse af, hvad den endelige bekendtgørelse bør indeholde. Datatilsynet har følgende bemærkninger til udkastet: 1. Minimumskrav til en databehandleraftale eller andet retligt dokument Databeskyttelsesforordningens artikel 28, stk. 3, fastsætter en række minimumskrav til indholdet af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret. Kontrakten skal være bindende for databehandleren og skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede og den dataansvarliges forpligtelser og rettigheder. Kontrakten eller det andet retlige dokument skal efter databeskyttelsesforordningens artikel 28, stk. 3, litra a-h, endvidere fastsætte navnlig, at databehandleren: a) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser,

7 2 b) sikre, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, c) iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, d) opfylder de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler, e) under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, f) bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af databeskyttelsesforordningens artikel under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, g) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne, og h) stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af kravene i databeskyttelsesforordningens artikel 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisorer, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. For så vidt angår første afsnit af litra h, underretter databehandleren omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Datatilsynet understreger, at det er en forudsætning, at kontrakten eller det retlige dokument som minimum opfylder (alle) ovenstående krav. 2. Varighed og den dataansvarliges forpligtelser og rettigheder Det følger af databeskyttelsesforordningens artikel 28, stk. 3, at en databehandleraftale mv. bl.a. skal fastsætte varigheden af behandlingen og den dataansvarliges forpligtelser og rettigheder. I udkastet ses der ikke at være taget stilling til varigheden af den behandling STIL skal foretage på vegne af den offentlige myndighed, statsinstitution, kommune, region eller selvejende institution, der er dataansvarlig.

8 3 Datatilsynet bemærker hertil, at det om varigheden af en behandling kan angives, at behandlingen ikke er tidsbegrænset og varer indtil en nærmere begivenhed indtræder, f.eks. indtil en aftale opsiges eller ophæves. For så vidt angår den dataansvarliges rettigheder og forpligtelser bemærker Datatilsynet, at udkastets 3, stk. 1, til dels ses at beskrive den dataansvarliges forpligtelser. Dog står det ikke Datatilsynet fuldstændigt klart, hvilke forpligtelser og rettigheder den dataansvarlige har i medfør af udkastet, hvilket bør tydeliggøres. 3. Dokumenteret instruks Følgende fremgår af udkastets 4, stk. 1, og 5: 4. Styrelsen for It og Læring behandler alene personoplysninger i Unilogin med henblik på entydig identifikation på vegne af de i 2 stk. 2 nævnte dataansvarlige efter dokumenteret instruks, medmindre behandlingen kræves i henhold til EU-ret eller national lovgivning. [ ] 5. Styrelsen for It og Læring kan uden instruks fra de dataansvarlige anvende eller give adgang til personoplysninger i Unilogin til en anden dataansvarlig til løsning af styrelsens eller den anden dataansvarliges lovhjemlede opgaver eller af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som styrelsen eller den anden dataansvarlig har fået pålagt. Datatilsynet skal henlede opmærksomheden på databeskyttelsesforordningens artikel 28, stk. 3, litra a, hvorefter databehandleraftalen skal fastsætte, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt og i så fald, underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Kravet indebærer, at der skal foreligge en instruks fra den dataansvarlige, som databehandleren kan dokumentere. Det vil dermed ikke være tilstrækkeligt, at det alene fremgår af en databehandleraftale mv., at der skal være en dokumenteret instruks. Der skal foreligge en egentlig instruks, som konkret og detaljeret beskriver, hvad databehandleren skal foretage sig på vegne af den dataansvarlige. Datatilsynet skal i den forbindelse endvidere oplyse, at en databehandler i databeskyttelsesforordningens artikel 4, nr. 8, er defineret som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne. En databehandler kan dermed pr. definition ikke behandle personoplysninger uden for den dataansvarliges instruks. En sådan behandling vil i stedet udgøre en videregivelse fra den dataansvarlige til databehandleren, og databehandleren agerer herefter som selvstændig dataansvarlig.

9 4 Datatilsynet henstiller, at STIL nærmere overvejer, hvorvidt udkastet imødekommer kravene i artikel 28, stk. 3, litra a, herunder om instruksen bør beskrives og fremhæves mere udtrykkeligt i udkastet, således at der ikke er tvivl om omfanget af instruksen. 4. Fortrolighed I udkastet foreslås der indsat en bestemmelse med følgende ordlyd i 7: 7. Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i Unilogin. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i Unilogin. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Datatilsynet skal i den forbindelse henlede opmærksomheden på databeskyttelsesforordningens artikel 28, stk. 3, litra b, hvorefter databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Udkastets 7 ses alene at regulere, at det er personer med et arbejdsbetinget behov, der får adgang til personoplysningerne (autorisation). Bestemmelsen regulerer derimod ikke, om de autoriserede personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Datatilsynet henstiller, at bestemmelsen formuleres således, at kravene i databeskyttelsesforordningens artikel 28, stk. 3, litra b, opfyldes. 5. Brug af underdatabehandlere Om STILs eventuelle brug af underdatabehandlere fremgår følgende af udkastes 14: 14. Styrelsen for It og Læring har ansvaret for at udføre drift, support, vedligeholdelse og udvikling af Unilogin. Stk. 2. Såfremt Styrelsen for It og Læring ønsker at anvende underdatabehandlere til udførelse af de i stk. 1 nævnte opgaver eller dele heraf, kan dette ske uden forudgående godkendelse fra den dataansvarlige og under forudsætning af at styrelsen har pålagt underdatabehandleren tilstrækkelige databeskyttelsesforpligtelser gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret. Datatilsynet kan oplyse, at det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra d, at databehandleraftalen mv. skal fastsætte, at databehandleren skal opfylde de betingelser, der fremgår af bestemmelsens stk. 2 og 4, for at gøre brug af en anden databehandler. En databehandler kan efter forordningens artikel 28, stk. 2, ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. Hvis der er givet en generel skriftlig godken-

10 5 delse, skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Desuden skal en databehandler efter forordningens artikel 28, stk. 4, i forbindelse med, at der gøres brug af en anden databehandler, pålægge denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Efter Datatilsynets opfattelse imødekommer udkastets 14 ikke kravene i forordningens artikel 28, stk. 3, litra d, og tilsynet henstiller, at udkastet ændres. 6. Behandlingssikkerhed Datatilsynet har noteret sig, at udkastets 8-10 omhandler behandlingssikkerhed, anmeldelse af brug på persondatasikkerheden og konsekvensanalyser. I den forbindelse bemærker Datatilsynet, at det er den dataansvarlige, der som udgangspunkt er ansvarlig for overholdelse af databeskyttelsesreglerne i forhold til omverdenen, herunder de registrerede. Datatilsynet henleder opmærksomheden på forordningens artikel 28, stk. 3, litra f, hvorefter en databehandleraftale skal fastsætte, at databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren. Datatilsynet henstiller, at STIL nærmere overvejer om udkastet lever op til kravene i forordningens artikel 28, stk. 3, litra f. 7. Sletning Der foreslås en bestemmelse i udkastets 12 med følgende ordlyd: 12. Styrelsen for It og Læring sletter en brugers Unilogin, når brugeren ikke i 12 måneder har haft tilknytning til en institution. Ved tilknytning forstås, at brugeren er importeret til Unilogin fra et administrativt system eller er manuelt tilknyttet i Unilogins brugeradministration med CPR som ansat, elev eller studerende. Hvis en elev inden for 12 måneder får tilknyttet sit Unilogin hos en ny institution, overtager denne institution dataansvaret. Stk. 2. Brugere, som udelukkende er oprettet fordi de er kontaktperson til en eller flere elever, slettes straks fra Unilogin efter at den sidste elev, de er kontakt for, er slettet fra sin institutions administrative system. Stk. 3. En institution kan tildele en bruger rettigheder i Unilogin, selvom brugeren ikke er tilknyttet den pågældende institution. Hvis en bruger har rettigheder i Unilogin, men ikke har været tilknyttet nogen institution i 12 måneder, vil

11 6 Styrelsen for It og Læring slette brugeren en måned efter, at styrelsen har frataget brugerens rettigheder. Stk. 4. Sletning af personoplysninger i medfør af stk. 1 og 2 kan ikke genskabes. Sletning af personoplysninger i medfør af stk. 3 kan annulleres af Styrelsen for It og Læring, hvis brugeren igen får tildelt rettigheder og tilknyttes en institution inden der er gået en måned efter at styrelsen fratog brugerens rettigheder. Stk. 5. Stk. 1-3 omhandler sletning af koblingen mellem Unilogin brugernavnet og CPR. Unilogin fra en slettet bruger kan ikke genbruges. Øvrige personoplysninger jf. 4 slettes fra Unilogin, når den dataansvarlige selv sletter personoplysningen fra sit administrative system. Datatilsynet har forstået udkastet således, at bestemmelsens stk. 1-3 alene fastsætter slettefrister for koblingen mellem personnummer og login-oplysningerne. Oplysninger om personnummer, loginoplysninger, oplysninger om brugerens navn, adresse, telefonnummer mv., slettes først i Unilogin, når oplysningerne slettes i den dataansvarliges administrative system. Datatilsynet kan hertil oplyse, at i databeskyttelsesretlig henseende er der først tale om en sletning, når oplysningerne ikke længere er tilgængelige og ikke kan genskabes. Der vil dermed ikke være tale om en sletning, hvis oplysningerne fortsat er tilgængelige for andre eller kan gendannes med rimelige hjælpemidler. Datatilsynet skal yderligere henlede opmærksomheden på databeskyttelsesforordningens artikel 28, stk. 3, litra g, hvoraf det fremgår, at det i en databehandleraftale mv. skal fastsættes, at databehandleren efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandlingen er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne. Efter Datatilsynets opfattelse indeholder udkastet ikke en bestemmelse, som lever op til kravet i forordningens artikel 28, stk. 3, litra g. 8. Ulovlige instrukser Datatilsynet bemærker, at det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra h, at databehandleraftalen skal fastsætte, at databehandleren underretter den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller national ret. Dette ses ikke at være reguleret i udkastet. 9. Tilsyn og revision Det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra h, at databehandleraftalen mv. skal fastsætte, at databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

12 7 Udkastet indeholder ikke bestemmelser om tilsyn og revision, og Datatilsynet skal på den baggrund henstille, at der indsættes en bestemmelse herom i udkastet. 10. Databeskyttelsesforordningens krav om ansvarlighed Datatilsynet kan afslutningsvis oplyse, at det er tilsynets opfattelse, at en dataansvarlig der gør brug af en databehandler udover at iagttage databeskyttelsesforordningens artikel 28, stk. 3, skal have et overblik over bl.a., hvilke underdatabehandlere der anvendes, om der overføres personoplysninger til tredjelande, og hvordan tilsynet med databehandleren og eventuelle underdatabehandlere sker i praksis. Dette er efter tilsynets opfattelse en nødvendig forudsætning for, at den dataansvarlige kan efterleve kravene i databeskyttelsesforordningens artikel 5 og ses naturligt reguleret i en databehandleraftale mv. eller dokumenter knyttet hertil. Dette forhold ses ikke at være reguleret i udkastet. Med venlig hilsen Camilla Andersen

13 Ny Vestergade 13, st København K Danskegymnasier.dk mail@danskegymnasier.dk Styrelsen for IT og Læring Att: kid@stil.dk S marts 2019 Bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler Sine Dreyer Skjoldan D sdr@danskegymnasier.dk Danske Gymnasier ser overordnet lovforslaget som et initiativ for en forenklet måde at løse opgaven om indgåelse af databehandleraftaler mellem STIL og alle de institutioner, som anvender Unilogin. Danske gymnasier kvitterer for at have fået forslaget i høring. Det giver anledning til følgende bemærkninger: Danske Gymnasier har bemærket, at løsningsmåden minder meget om den form, som også er anvendt i cirkulærerne mellem STIL og institutioner for mange af de øvrige systemer, som forvaltes af STIL. Det vedrører fx cirkulæret om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring og Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet. Løsningsmåden kan også genkendes fra cirkulære for fælles dataansvar for Moderniseringsstyrelsens fælles offentlige systemer. Sidstnævnte er udarbejdet i samarbejde med Datatilsynet. Bemærkninger til 5 I hjemmelsloven til bekendtgørelsen er det fastlagt, at STIL skal være databehandler for Unilogin (eller tilsvarende system) og at KL, Danske Regioner i samarbejde fastlægger nærmere regler om opgaver og ansvar for henholdsvis de dataansvarlige og databehandler (STIL). Det afspejles også i bekendtgørelsen. Det er Danske Gymnasiers opfattelse, at 5 ikke fuldt ud tager højde for databeskyttelsesforordningens art. 28, stk. 3, litra a: kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den

14 dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Efter Danske Gymnasiers opfattelse bør der indføres et krav i 5 om, at STIL skal underrette den/de dataansvarlige, inden de videregiver (giver adgang til) personoplysninger bag Unilogin til en anden dataansvarlig. Når videregivelsen sker til løsning af dennes eller styrelsens lovhjemlede opgaver eller af hensyn til udførelse af opgaver i samfundets interesse, medmindre det er forbudt i henhold til den gældende lovgivning eller af hensyn til vigtige samfundsmæssige opgaver. Dette skal sikre, at bestemmelsen er konform med kravene i art. 28. Gøres det ikke, vil det være svært for den/de dataansvarlige at opfylde sin forpligtelse i forhold til de registreredes rettigheder og den enkelte dataansvarliges fortegnelse, uden hver gang at skulle kontakte STIL. S marts 2019 Bemærkninger til 12 Danske Gymnasier vil anbefale STIL at kvalitetssikre at sletningsproceduren lever op til Datatilsynets krav til sletning af tekst. Danske Gymnasier vil i øvrigt henvise til bemærkningerne i høringssvaret fra Danske Erhvervsskoler og -gymnasier. Med venlig hilsen Sine Dreyer Skjoldan Juridisk chefkonsulent