Der er desuden i forhold til bekendtgørelsesudkastet foretaget enkelte ændringer af redaktionel karakter.

Transkript

1 Høringsnotat 1. Indledning Styrelsen for It og Læring (STIL) har i perioden 7. februar 2019 til 7. marts 2019 sendt et udkast til bekendtgørelsen i høring hos 12 myndigheder og organisationer. Udkastet er også offentliggjort på Høringsportalen. Der er fra de hørte myndigheder og organisationer modtaget 6 høringssvar, hvoraf 5 indeholder bemærkninger til udkastet. I notatet er alene medtaget de væsentligste punkter fra høringssvarene. En oversigt med angivelse af, hvem der har afgivet høringssvar, er vedlagt. Styrelsen for It og Læring Afdelingen for Data og Digitalisering Vester Voldgade København V Tlf.: stil@stil.dk CVR-nr.: / Sammenfatning De modtagne høringssvar har givet anledning til en række indholdsmæssige ændringer i forhold til det udkast til bekendtgørelse, der har været i høring. Den væsentligste ændring er tilføjelse af bestemmelse om, at styrelsen offentliggør en fortegnelse over sine behandlingsaktiviteter i relation til Unilogin med henblik på at understøtte de dataansvarliges overholdelse af princippet om ansvarlighed og transparens. Det er også præciseret, at STIL har generel godkendelse til at anvende underdatabehandlere, og at den dataansvarlige skal orienteres om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer af underdatabehandlere, jf. herved også databeskyttelsesforordningens artikel 28, stk. 2. Det er endvidere præciseret, hvad der er indholdet af den dataansvarliges instruks til STIL. Det bemærkes i den sammenhæng, at STIL som databehandler kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, jf. herved også databeskyttelsesforordningens artikel 28. stk. 3, litra a. Der er desuden i forhold til bekendtgørelsesudkastet foretaget enkelte ændringer af redaktionel karakter. 3. Bemærkninger til enkeltelementer i bekendtgørelsesudkastet 3.1. Forhold vedrørende dataansvarskonstruktionen DEG: Indledningsvis mener DEG, at Unilogin må høre til under samme kategori som Optagelse.dk med hensyn til fordeling af dataansvar mellem institutioner

2 og myndighed. Derfor er det DEG s holdning, at dataansvaret bør ligge hos Styrelsen for It og Læring. KL: KL ser imidlertid, at bekendtgørelsen lægger op, at STIL i et vist omfang også agerer som selvstændigt dataansvarlig i forhold til personoplysningerne i UNI-Login. KL finder det derfor nødvendigt, at det afklares, hvorvidt der juridisk reelt er tale om fælles dataansvarskonstruktion mellem kommunerne og institutionerne og STIL. Danske Regioner: Generelt findes dataansvarskonstruktionen ganske uklar. Dataansvarskonstruktionen vil med fordel kunne præciseres med hensyn til, hvilke bekendtgørelser styrelsen er pålagt af følge som led i den offentlige myndighedsudøvelse. Danske Gymnasier: Danske Gymnasier har bemærket, at løsningsmåden minder meget om den form, som også er anvendt i cirkulærerne mellem STIL og institutioner for mange af de øvrige systemer, som forvaltes af STIL. Det vedrører fx cirkulæret om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring og Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet. Løsningsmåden kan også genkendes fra cirkulære for fælles dataansvar for Moderniseringsstyrelsens fælles offentlige systemer. Sidstnævnte er udarbejdet i samarbejde med Datatilsynet. Styrelsen for It og Lærings bemærkninger: Det fremgår af 15 g, stk. 1, i lov om vejledning om uddannelse og erhverv samt pligt til uddannelse og beskæftigelse m.v., at STIL som databehandler stiller en digitale identifikationsløsning (Unilogin) til rådighed for institutioner på bl.a. undervisningsområdet til brug for styring af adgangsrettigheder til pædagogiske og administrative tjenester for brugere og medarbejdere. Det fremgår videre, at statsinstitutioner, kommuner, regioner og selvejende institutioner, der indlæser personoplysninger i den digitale identifikationsløsning, er dataansvarlige for behandlingen af de indlæste personoplysninger. Rollefordelingen mellem paterne er således fastlagt i loven, derved at kommuner og institutioner er dataansvarlige, jf. databeskyttelsesforordningens artikel 4, nr. 7, mens STIL er databehandlere, jf. databeskyttelsesforordningens artikel 4, nr. 8. Der henvises i øvrigt til lovens bemærkninger herom. Det fremgår videre af lovens 15 g, stk. 1, 2. pkt., at STIL alene handler efter dokumenteret instruks fra de dataansvarlige, samt at STIL efter forhandling med KL og Danske Regioner fastsætter nærmere regler om opgaver og ansvar for den dataansvarlige, og om styrelsens opgaver og ansvar som databehandler, jf. lovens 15 g, stk. 4. Udkast til bekendtgørelse vedrører således den i loven fastsatte afgrænsning af opgaver og ansvar for behandling af personoplysninger inde i selve Unilogin systemet. 2

3 I videregivelsessituationer (udkastets 5, se punkt 3.2.) er Styrelsen for It og Læring dataansvarlig for de pågældende personoplysninger. Styrelsen behandler dog fortsat ikke personoplysninger administrativt inde i selve Unilogin systemet, hvorfor styrelsen ikke anses at være dataansvarlig for behandling af personoplysninger i Unilogin, men selvstændigt dataansvarlig, når de er blevet videregivet til Styrelsen ud af Unilogin forudsat der er et gyldigt behandlingsgrundlag. Dette er præciseret i bekendtgørelsen. Det afgørende element for, at der ikke er tale om et fælles dataansvar mellem styrelsen, kommunerne og institutionerne for behandlingen af personoplysninger i Unilogin, er, at styrelsen ikke deler hjælpemidler (systemet) med kommuner og institutioner. Når styrelsen anvender oplysninger fra Unilogin, er der tale om videregivelser ud af systemet. Der er derfor i disse tilfælde ikke tale om fælles dataansvar, jf. Datatilsynets vejledning om dataansvarlig og databehandler eksempel 6, sidste afsnit Forhold vedrørende instruks, gennemsigtighed og orientering om videregivelser Danske Gymnasier: Efter Danske Gymnasiers opfattelse bør der indføres et krav i 5 om, at STIL skal underrette den/de dataansvarlige, inden de videregiver (giver adgang til) personoplysninger bag Unilogin til en anden dataansvarlig. Når videregivelsen sker til løsning af dennes eller styrelsens lovhjemlede opgaver eller af hensyn til udførelse af opgaver i samfundets interesse, medmindre det er forbudt i henhold til den gældende lovgivning eller af hensyn til vigtige samfundsmæssige opgaver. Dette skal sikre, at bestemmelsen er konform med kravene i art. 28. Gøres det ikke, vil det være svært for den/de dataansvarlige at opfylde sin forpligtelse i forhold til de registreredes rettigheder og den enkelte dataansvarliges fortegnelse, uden hver gang at skulle kontakte STIL. KL: Såfremt STIL til andre formål ønsker at behandle oplysninger om navn, adresse, telefonnummer, og uddannelsesoplysninger, mener KL, at det bør fremgå eksplicit af bekendtgørelsen, at denne behandling ikke er en del af instruksen. Evt. ved en bestemmelse tilsvarende den foreslåede 5 om videregivelser. Datatilsynet: Datatilsynet henstiller, at STIL nærmere overvejer, hvorvidt udkastet imødekommer kravene i artikel 28, stk. 3, litra a, herunder om instruksen bør beskrives og fremhæves mere udtrykkeligt i udkastet, således at der ikke er tvivl om omfanget af instruksen. Styrelsen for It og Lærings bemærkninger: Det fremgår af 15 g, stk. 1, 2. pkt., i lov om vejledning om uddannelse og erhverv samt pligt til uddannelse og beskæftigelse m.v., at STIL, jf. databeskyttelsesforordningens artikel 28, stk. 2, alene handler efter dokumenteret instruks fra de dataansvarlige. STIL er enig i Datatilsynets bemærkninger om, at det er vigtigt, at instruksen på området er klar, så der ikke er tvivl om, hvad der er indholdet af instruksen. STIL har derfor justeret instruksen i overensstemmelse med Datatilsynets anbefaling. 3

4 I forhold til det udkast til bekendtgørelse, som har været i høring, har STIL har præciseret reglen i bekendtgørelsens 5. Det er heri præciseret, at 5 vedrør videregivelser som ikke er omfattet af den dataansvarliges instruks og at STIL bliver selvstændigt dataansvarlig hermed. 5 i udkastet er tiltænkt at finde anvendelse på videregivelsessituationer ud af systemet mellem offentlige myndigheder, når behandlingen har lovhjemmel eller henhører under offentlig myndighedsudøvelse jf. databeskyttelsesforordningens artikel 6 stk. 1 litra e. For at imødekomme hensynet til gennemsigtighed og mest mulig transparens vil STIL offentliggøre en fortegnelse for STILs behandlingsaktiviteter i relation til Unilogin på viden.stil.dk, som løbende vedligeholdes og opdateres. Fortegnelsen vil indeholde STILs lovhjemler til at få data videregivet, formål med videregivelserne, underdatabehandlere mv. Den del af STILs behandling, der ikke er omfattet af den dataansvarliges instruks i henhold til bekendtgørelsen, vil fremgå af fortegnelsen. STIL vil gennem de passende kanaler melde ud til sektoren, når der sker væsentlige opdateringer i fortegnelsen. Det vurderes derfor, at den nævnte løsning med en offentlig fortegnelse er den mest hensigtsmæssige løsning på håndteringen af hvordan den dataansvarlige kan opfylde princippet om ansvarlighed og gennemsigtighed i forhold til den registrerede Forhold vedrørende underdatabehandlere Datatilsynet: En databehandler kan efter forordningens artikel 28, stk. 2, ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. Hvis der er givet en generel skriftlig godkendelse, skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Desuden skal en databehandler efter forordningens artikel 28, stk. 4, i forbindelse med, at der gøres brug af en anden databehandler, pålægge denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Efter Datatilsynets opfattelse imødekommer udkastets 14 ikke kravene i forordningens artikel 28, stk. 3, litra d, og tilsynet henstiller, at udkastet ændres. Styrelsen for It og Lærings bemærkninger: Det fremgår af databeskyttelsesforordningens artikel 28, stk. 2, at databehandleren ikke må gøre brug af anden databehandler uden forudgående specifik eller generel godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse 4

5 skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Bestemmelsen i bekendtgørelsen 14 er affattet i overensstemmelse med Datatilsynets henstilling. Det er tillige præciseret i bekendtgørelsen, at der skal føres tilsyn med underdatabehandleren på den måde, der er beskrevet i databehandleraftalen mellem styrelsen og underdatabehandleren. Det betyder, at bekendtgørelsen ikke præciserer, om der skal udarbejdes en specifik revisionserklæring mellem STIL og underdatabehandleren. Dette vil i stedet fremgå af underdatabehandleraftalen mellem STIL og underdatabehandleren. Det er STILs vurdering, at bekendtgørelsen herved lever op til kravet i databeskyttelsesforordningens artikel 28, stk. 3, litra d Forhold vedrørende overførsler til tredjelande DEG: DEG mener, at formuleringen i 14, som giver STIL mulighed for bl.a. at anvende underdatabehandlere uden dataansvarliges godkendelse, giver et fortolkningsproblem i forhold til 6, da det her fremgår, at STIL skal have dokumenteret instruks fra den dataansvarlige for at overføre personoplysninger i Unilogin til tredjelande eller internationale organisationer. Styrelsen for It og Lærings bemærkninger: Bekendtgørelsens 6 er præciseret. Styrelsen for It og Læring skal bemærke, at formålet med bestemmelsen i 6 er at give mulighed for overførsler til tredjelande eller internationale organisationer i følgende to situationer: a) Når den dataansvarlige kommune eller institution via en webgrænseflade instruerer styrelsen om, at en leverandør af et digitalt læremiddel skal have adgang til Unilogin oplysninger. Denne leverandør kan være etableret i et tredjeland, og det er op til den dataansvarlig at sikre, at der foreligger et tilstrækkeligt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel V, inden styrelsen instrueres om at give denne leverandør adgang. I denne situation kan styrelsen ikke overføre oplysninger uden særskilt instruks fra den dataansvarlige. b) Styrelsen kan overføre personoplysninger til tredjelande, såfremt modtageren er styrelsens egen underdatabehandler i henhold til 14, og såfremt overførslen sker af hensyn til udførelse af underdatabehandlerens opgave. Det er præciseret, at styrelsen skal sikre et gyldigt overførselsgrundlag i sådanne situationer. 5

6 Det er derfor STILs vurdering, at bekendtgørelsen lever op til forordningens artikel 28, stk. 3, litra a Forhold vedrørende dataminimering og personoplysninger KL: Kommunerne ser i en identifikationsløsning ikke behov for at behandle andre typer af personoplysninger end et CPR-nummer, jf. formålet med behandlingen som beskrevet i bekendtgørelsens 1. Danske Regioner: Region Sjælland kan tilslutte sig Danske Regioners tidligere afgivne bemærkning om, at en adresseoplysning kan have karakter af en følsom personoplysning i regionalt regi. Ved iagttagelse af dataminimeringsprincippet, jf. databeskyttelsesforordningens artikel 5, stk. 1 litra c, kan oplysningen med fordel udelades, da den ikke er nødvendig for at opfylde formålet med behandlingen; at kunne foretage en entydig identifikation af eleven. Styrelsen for It og Lærings bemærkninger: Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra c, at behandling af personoplysninger skal være tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til de formål der behandles. Dette er sikret af STIL; derved at der kun er registreret oplysninger, som er vurderet at være relevante og tilstrækkelige og på en sådan måde, at der af hensyn til den registrerede ikke altid gives tjenesteudbydere adgang til elevens CPR-nummer. Identifikationsoplysninger udover CPR-nummer, fx navn, registreres i Unilogin efter ønske fra de dataansvarlige og tjenesteudbydere, herunder de kommunale løsninger, som f.eks. Aula. Registrering af navn, adresse mv. kan bl.a. gøre løsningerne mere personlige og muliggør adresselister, uden at Styrelsen for It og Læring behøver at give tjenesteudbydere adgang til CPR-numre. Derfor er det nødvendigt og relevant at registrere adresseoplysninger i Unilogin. Herudover har Styrelsen for It og Læring behov for registrering af aktører, roller og relation, da dette skal anvendes i forhold til styring af tofaktorloginløsninger, og for at identifikationsløsningen kan fungere, som den gør i dag. Det er derfor STILs vurdering, at bekendtgørelsen lever op til princippet om dataminimering i forordningens artikel 5, stk. 1, litra c Forhold vedrørende tilsyn Datatilsynet: Det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra h, at databehandleraftalen mv. skal fastsætte, at databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. Udkastet indeholder ikke bestemmelser om tilsyn og revision, og 6

7 Datatilsynet skal på den baggrund henstille, at der indsættes en bestemmelse herom i udkastet. Styrelsen for It og Lærings bemærkninger: STIL har i indsat følgende bestemmelse i bekendtgørelsen: Styrelsen for It og Læring stiller alle oplysninger, der er relevante og nødvendige for at påvise overholdelse af kravene i bekendtgørelsen, til rådighed for den dataansvarlige. Dette indebærer, at styrelsen stiller skriftlig dokumentation til rådighed for at påvise, at man overholder reglerne om databeskyttelse og bekendtgørelsen. Derudover følger følgende af 15 g stk. 3 i vejledningsloven (Lov nr. 746 af 08/06/2018): Styrelsen for It og Læring skal efter anmodning fra den dataansvarlige, jf. stk. 1, 2. pkt., give den dataansvarlige tilstrækkelige oplysninger til, at den pågældende kan påse, at der er truffet de i stk. 2 nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Det vurderes derfor ikke nødvendigt med yderligere regulering på dette punkt i bekendtgørelsen Behandlingssikkerhed og konsekvensanalyser Datatilsynet: Datatilsynet har noteret sig, at udkastets 8-10 omhandler behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden og konsekvensanalyser. I den forbindelse bemærker Datatilsynet, at det er den dataansvarlige, der som udgangspunkt er ansvarlig for overholdelse af databeskyttelsesreglerne i forhold til omverdenen, herunder de registrerede. Datatilsynet henleder opmærksomheden på forordningens artikel 28, stk. 3, litra f, hvorefter en databehandleraftale skal fastsætte, at databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren. Datatilsynet henstiller, at STIL nærmere overvejer om udkastet lever op til kravene i forordningens artikel 28, stk. 3, litra f. Styrelsen for It og Lærings bemærkninger: Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, litra f, at en databehandlers behandling skal være reguleret i et retligt dokument, som bl.a. fastsætter, at databehandleren bistår den dataansvarlige med at sikre overholdelsen af forpligtelserne i medfør af artikel (personoplysningssikkerhed og konsekvensanalyse) under hensyntagen til behandlingens karakter og de oplysninger, som er tilgængelige for databehandleren. En sådan rollefordeling, hvorefter databehandleren træffer afgørelse om tekniske og organisatoriske hjælpemidler for at skabe den nødvendige sikkerhed, er også forudsat i Datatilsynets vejledning om dataansvarlige og databehandlere, s

8 Styrelsen finder det mest hensigtsmæssigt, at styrelsen fastsætter tekniske sikkerhedsforanstaltninger og foretager konsekvensanalyser og forudgående høringer hos Datatilsynet. Samtlige kommuner og undervisningsinstitutioner på det selvejende område anvender Unilogin, som STIL stiller til rådighed i overensstemmelse med 15 g i lov om vejledning om uddannelse og erhverv samt pligt til uddannelse og beskæftigelse m.v.. Det er ikke hensigtsmæssigt, at hver af disse kommuner og institutioner skal fastsætte tekniske sikkerhedsforanstaltninger, da det ikke vil være praktisk muligt for STIL som databehandler at imødekomme forskellige krav til tekniske sikkerhedsforanstaltninger fra forskellige institutioner og kommuner. Det er præciseret i bekendtgørelsen, at dette sker på vegne af de dataansvarlige, jf. databeskyttelsesforordningens artikel 28, stk. 3. Derudover kan der henvises til eksempel 5 i Datatilsynets vejledning om dataansvarlig og databehandler, hvor det nævnes, at en offentlig myndighed ved lov kan være pålagt at råde over tekniske sikkerhedsforanstaltninger. Dette er tilfældet med Unilogin, hvor STIL ved lov er pålagt at råde over tekniske sikkerhedsforanstaltninger, jf. 15 g stk. 2, 2. pkt. i vejledningsloven (LBK nr af 28/09/2017) Derudover kan der henvises til 15 g stk pkt. i vejledningsloven (Lov nr. 746 af 08/06/2018), pålægger STIL ansvaret for at opfylde databeskyttelsesforordningens krav til databeskyttelse gennem design og standardindstillinger. Det er STILs opfattelse, at de nævnte bestemmelser i udkastet er i overensstemmelse med databeskyttelsesforordningens regler og i tråd med Datatilsynets vejledning om dataansvarlig og databehandler. Styrelsen har derfor opretholdt disse bestemmelser i bekendtgørelsen Sletning Danske Gymnasier: Danske Gymnasier vil anbefale STIL at kvalitetssikre at sletningsproceduren lever op til Datatilsynets krav til sletning af tekst. Datatilsynet: Datatilsynet har forstået udkastet således, at bestemmelsens stk. 1-3 alene fastsætter slettefrister for koblingen mellem personnummer og login-oplysningerne. Oplysninger om personnummer, loginoplysninger, oplysninger om brugerens navn, adresse, telefonnummer mv., slettes først i Unilogin, når oplysningerne slettes i den dataansvarliges administrative system. Datatilsynet kan hertil oplyse, at i databeskyttelsesretlig henseende er der først tale om en sletning, når oplysningerne ikke længere er tilgængelige og ikke kan genskabes. Der vil dermed ikke være tale om en sletning, hvis oplysningerne fortsat er tilgængelige for andre eller kan gendannes med rimelige hjælpemidler. Datatilsynet skal yderligere henlede opmærksomheden på databeskyttelsesforordningens artikel 28, stk. 3, litra g, hvoraf det fremgår, at det i en databehandleraftale mv. skal fastsættes, at databehandleren efter den dataansvarliges valg sletter 8

9 eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandlingen er ophørt, og sletter eksisterende kopier, medmindre EUretten eller national ret foreskriver opbevaring af personoplysningerne. Efter Datatilsynets opfattelse indeholder udkastet ikke en bestemmelse, som lever op til kravet i forordningens artikel 28, stk. 3, litra g. Styrelsen for It og Lærings bemærkninger: STIL har i den udstedte bekendtgørelse præciseret bestemmelsen, sådan at den lever op til Datatilsynets retningslinjer om sletning og i overensstemmelse med forordningens artikel 28 stk. 3 litra g, i det formuleringen kun beskriver, hvornår der sker fuldstændig sletning af en brugers Unilogin. Derudover har STIL indsat en bestemmelse i 4 stk. 4, som imødekommer Datatilsynets henstilling om at tilføre en bestemmelse om sletning eller tilbagelevering af personoplysninger i forbindelse med ophør af behandlingen. Det er derfor STILs vurdering, at bekendtgørelsen lever op til forordningens artikel 28, stk. 3, litra g, såvel som Datatilsynets retningslinjer for sletning Princippet om ansvarlighed Datatilsynet: Datatilsynet kan afslutningsvis oplyse, at det er tilsynets opfattelse, at en dataansvarlig der gør brug af en databehandler udover at iagttage databeskyttelsesforordningens artikel 28, stk. 3, skal have et overblik over bl.a., hvilke underdatabehandlere der anvendes, om der overføres personoplysninger til tredjelande, og hvordan tilsynet med databehandleren og eventuelle underdatabehandlere sker i praksis. Dette er efter tilsynets opfattelse en nødvendig forudsætning for, at den dataansvarlige kan efterleve kravene i databeskyttelsesforordningens artikel 5 og ses naturligt reguleret i en databehandleraftale mv. eller dokumenter knyttet hertil. Dette forhold ses ikke at være reguleret i udkastet. Styrelsen for It og Lærings bemærkninger: I den udstedte bekendtgørelse er medtaget en bestemmelse om, at STIL offentliggør en fortegnelse over sine behandlingsaktiviteter i relation til Unilogin på videns.til.dk. Fortegnelsen vil indeholde underdatabehandlere, overførsler til tredjelande og hvordan tilsyn med underdatabehandleren foretages. I fortegnelsen vil der også fremgå lovhjemler for videregivelser til styrelsen samt øvrige oplysninger, der sikrer mest mulig gennemsigtighed, herunder oplysninger om underdatabehandlere, sådan at den dataansvarlige kan sikre overholdelse af princippet om ansvarlighed. Princippet om gennemsigtighed og ansvarlighed er herefter efter STILs vurdering reguleret i bekendtgørelsen på en sådan måde, at den dataansvarlige kan efterleve princippet om ansvarlighed i henhold til artikel Ulovlige instrukser 9

10 Datatilsynet: Datatilsynet bemærker, at det følger af databeskyttelsesforordningens artikel 28, stk. 3, litra h, at databehandleraftalen skal fastsætte, at databehandleren underretter den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller national ret. Dette ses ikke at være reguleret i udkastet. Styrelsen for It og Lærings bemærkninger: STIL har i den udstedte bekendtgørelse i overensstemmelse med databeskyttelsesforordningens artikel 28 stk. 3 litra h indsat en bestemmelse i 4, stk. 5, hvorefter Styrelsen for It og Læring underretter den dataansvarlige, hvis en instruks efter styrelsens mening er i strid med databeskyttelsesforordningen eller bestemmelser om databeskyttelse i anden EU-ret eller national ret Fortrolighed Datatilsynet har anført, at udkastets 7 alene ses at regulere, at det er personer med et arbejdsbetinget behov, der får adgang til personoplysningerne (autorisation). Bestemmelsen regulerer derimod ifølge Datatilsynet ikke, om de autoriserede personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Datatilsynet henstiller, at bestemmelsen formuleres således, at kravene i databeskyttelsesforordningens artikel 28, stk. 3, litra b, opfyldes. Styrelsen for It og Læring bemærkninger: I den udstedte bekendtgørelse er indsat en tydeligere bestemmelse om fortrolighed ( 8) i overensstemmelse med Datatilsynets henstilling og databeskyttelsesforordningens artikel 28, stk. 3, litra b. 4. Oversigt over hørte myndigheder og organisationer samt modtagne høringssvar Organisation m.v. Modtagne høringssvar Dansk Friskoleforening Danske Erhvervsskoler- og Gymnasier x x Danske Gymnasier x x Danske Landsbrugsskoler Danske Regioner x x Danske SOSU-Skoler Datatilsynet x x De Private Skolers Forening x Efterskoleforeningen Foreningen af Frie Fagskoler Foreningen af Kristne friskoler VUC bestyrelsesforeningen KL x x Indholdsmæssige bemærkninger 10