Domstolsstyrelsens årsberetning 2005 om persondataloven

Transkript

1 Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s. 2 Vejlednings- og tilsynsvirksomheden i 2005 s. 3 Konkrete sager s. 4 Oversigt over lovgivning, bekendtgørelser og vejledninger s. 6 ISSN

2 Side 2/7 Persondataloven - lov nr. 429 af 31. maj har som hovedformål at sikre, at personoplysninger ikke misbruges eller kommer til uvedkommendes kendskab. Loven gælder for alle behandlinger af personoplysninger, der foretages ved elektronisk databehandling, eller som indeholdes i et register, for eksempel en sagliste. Loven finder som udgangspunkt anvendelse på alle domstolenes sagsområder. Visse af lovens bestemmelser finder imidlertid ikke anvendelse på behandlinger, der foretages for domstolene på det strafferetlige område. Persondataloven gælder ikke for Færøerne og Grønland. Det fremgår af lovens 68, stk. 3, at Domstolsstyrelsen offentliggør en årlig beretning om sin virksomhed. Domstolsstyrelsens tilsynsopgave Domstolsstyrelsens kompetence vedrørende tilsynet med domstolene er reguleret i persondatalovens 67 og 68. Det følger af disse bestemmelser, at Domstolsstyrelsen fører tilsyn med domstolenes behandlinger af personoplysninger på det administrative område. Desuden fører styrelsen tilsyn med overholdelsen af reglerne for sikkerhed både på det judicielle og det administrative område. Domstolsstyrelsen påser både af egen drift og efter klage fra en registreret, at behandling sikkerhedsmæssigt finder sted i overensstemmelse med persondataloven og de dertil hørende regler og sikkerhedsforskrifter. Hvis en borger gør indsigelse imod en domstols behandling af personoplysninger, træffer domstolen derimod selv afgørelse herom, når det drejer sig om det judicielle område. Domstolens afgørelse kan ifølge persondatalovens 67, stk. 3, 2.pkt, kæres til højere ret. Kære sker efter de almindelige regler i retsplejeloven, dog således at kærefristen er 4 uger. Domstolsstyrelsens tilsynsopgave svarer til den opgave, som Datatilsynet udfører med hensyn til den offentlige forvaltning og det private erhvervsliv. På baggrund af den klart sammenlignelige opgave søger Domstolsstyrelsen så vidt muligt at tilrettelægge tilsynsopgaven i samklang med de normer, som Datatilsynet fastlægger for sin tilsynsvirksomhed. Domstolsstyrelsen og Datatilsynet samarbejder i øvrigt, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle relevante oplysninger. Det drejer sig for eksempel om afgrænsningsspørgsmål vedrørende afgørelseskompetencen. Samtidig med persondatalovens ikrafttræden den 1. juli 2000 er også tilsynet med tinglysningssystemet henlagt til Domstolsstyrelsen.

3 Side 3/7 Vejlednings- og tilsynsvirksomheden Der er i 2005 foretaget 21 vejlednings- og tilsynsbesøg. Følgende retter er besøgt: Brøndbyerne, Esbjerg, Glostrup, Grenå, Frederikshavn, Frederikssund, Helsingør, Hillerød, Hjørring, Holbæk, Hørsholm, Korsør, København, Mariager, Nyborg, Randers, Skjern, Sæby, Tårnby, Varde og Århus. Det overordnede formål med tilsynsbesøgene er at påse, at behandlingen af personoplysninger ved domstolene sker i overensstemmelse med persondataloven og regler udstedt i medfør af denne lov. I forbindelse med besøgene lægger styrelsen betydelig vægt på at komme i dialog med de dataansvarlige om databeskyttelsesretlige spørgsmål. Der er således ikke kun tale om en kontrolforanstaltning. Det er erfaringen, at disse tilsynsbesøg er et værdifuldt værktøj i det løbende samarbejde mellem styrelsen og de enkelte retter om at sikre et højt databeskyttelsesniveau ved Danmarks Domstole. Domstolsstyrelsen har hidtil kun foretaget anmeldte besøg. Når telefonisk aftale om tidspunktet for besøget er på plads, sender styrelsen et brev til retten med en række spørgsmål om den fysiske sikkerhed og adgangskontrol i form af den logiske sikkerhed. Under selve besøget bliver også de fysiske lokaler, herunder ekspeditionslokaler, mødelokaler, teknikum m.v. gennemgået. Tilsynsbesøget tager udgangspunkt i en samtale med de relevante medarbejdere hos den dataansvarlige. Svarene på de udsendte spørgsmål bliver gennemgået, relevante lokaler bliver besigtiget, og de regler om databeskyttelse, der gælder for domstolene, gennemgås generelt. Efter tilsynsbesøget har fundet sted, sender Domstolsstyrelsen et opfølgningsbrev til den pågældende ret, hvor styrelsen kommer med de eventuelle bemærkninger, som besøget har givet anledning til. Tilsynsbesøgene har vist, at domstolene generelt har et tilfredsstillende sikkerhedsniveau for behandlingen af persondata. De spørgsmål, der oftest giver anledning til nærmere drøftelser, angår typisk den fysiske indretning af lokalerne, for eksempel at døren ikke er låst til et lokale, hvor der opbevares sager, og hvor der ikke er en medarbejder til stede. Et andet typisk spørgsmål er anmeldelsespligtig behandling af fortrolige og følsomme oplysninger i for eksempel et visdomsregister. Domstolsstyrelsen har desuden deltaget i fire tilsynsmøder hos den private databehandler CSC, der blandt andet behandler tinglysningsdata for domstolene. Disse møder afholdes sammen med repræsentanter for Datatilsynet og Rigsrevisionen.

4 Side 4/7 Anmeldelse af domstolenes behandling af fortrolige oplysninger Domstolenes behandling af fortrolige oplysninger er anmeldt til Domstolsstyrelsen, der opbevarer en samlet fortegnelse over anmeldelserne. De godkendte anmeldelser kan ses i Administrationskontoret. Domstolenes anmeldelser af behandlingen af personoplysninger er i sagens natur forholdsvis ensartede, og langt den største del af anmeldelserne er da også foretaget på grundlag af de standarder, som Domstolsstyrelsen har udarbejdet for sagsområderne skiftesager (henholdsvis dødsbosager og andre skiftesager), civilsager, fogedsager, notarialsager, tvangsauktionssager, straffesager, almindelige journalsager og domsresuméer på hjemmesider. Behandlingen af personoplysninger ved byretterne foretages som altovervejende hovedregel på samme måde og ved anvendelse af ens edb-systemer. Sikkerhedsinstruks De overordnede retter har i 2005 udarbejdet en fælles sikkerhedsinstruks. Konkrete sager vedrørende persondataloven Domstolsstyrelsen behandlede i 2005 følgende sager af mere generel interesse vedrørende domstolenes persondatabehandling: Personnummer på skifteretsattester Domstolsstyrelsen er blandt andet i forbindelse med tilsynsbesøg blevet opmærksom på, at det elektroniske sagsbehandlingssystem, som byretterne anvender, har haft en standardtekst med felter til personnumre til brug for udfærdigelse af skifteretsattesten. Det er imidlertid Domstolsstyrelsens opfattelse, at den elektroniske skifteretsattest, som retterne bruger i behandlingen af dødsboer, ikke skal indeholde de sidste fire cifre i den afdødes eller arvingens fulde personnummer. Skifteretsattesten skal alene oplyse navn og fødselsdag for såvel den afdøde som for arvingen. Et personnummer er en fortrolig oplysning, som den person, oplysningen vedrører, har ret til at undlade at oplyse i konkrete situationer. Persondatalovens bestemmelser omfatter i et vist omfang også afdøde personer, men herudover finder Domstolsstyrelsen, at skifteretsattestens oplysninger om den afdøde samtidig er en oplysning om en levende person. Således vil skifteretsattestens oplysning om, at den afdøde persons bo er udleveret til en bestemt person/arving, samtidig være en oplysning om, at den pågældende er arving efter den afdøde. Domstolsstyrelsen lægger vægt på, at skifteretsattesten udfærdiges til brug for arvingen som dokumentation for, at vedkommende har fået boet udleveret. Dokumentationen er således ik-

5 Side 5/7 ke kun til for eksempel bankens brug. Som følge af ovenstående har Domstolsstyrelsen ændret den elektroniske skifteretsattest således, at de sidste fire cifre i afdødes og arvingens personnummer ikke fremgår længere. Behandling af personoplysninger hos kurator for et konkursbo Datatilsynet anmodede Domstolsstyrelsen om en udtalelse til brug for afklaring af, hvem der har kompetence til at føre tilsyn med en kurators behandling af personoplysninger, idet Datatilsynet havde modtaget en klage over behandling af personoplysninger hos en kurator for et konkursbo. Den pågældende kurator havde over for Datatilsynet blandt andet givet udtryk for den opfattelse, at behandlingen af konkursboers oplysninger ikke er omfattet af persondatalovens 67, stk. 3. Datatilsynet anførte i sit fremsendelsesbrev, at det forekommer nærliggende at betragte behandling af personoplysninger, som kurator udfører for et konkursbo, som behandlinger, der foretages for domstolene, idet kurator er udpeget af skifteretten, ligesom skifteretten har tilsyn med kurator efter konkurslovens kapitel 15. Reglerne om Domstolsstyrelsens kompetence vedrørende tilsynet med domstolene findes i persondatalovens 67. Det fremgår af bestemmelsens stk. 1, at Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene. Tilsynet omfatter behandling af oplysninger med hensyn til domstolenes administrative forhold, jf. stk. 2. For behandling af personoplysninger i forbindelse med varetagelsen af judicielle funktioner, træffes afgørelse af vedkommende ret med mulighed for kære til højere ret, jf. stk. 3. Spørgsmålet i sagen var herefter, om den behandling af personoplysninger, som kurator foretager på konkursboets vegne, foretages "for domstolene". Det fremgår af konkurslovens 107, at skifteretten - efter at have rådført sig med de fordringshavere, der er til stede - udpeger en eller flere kuratorer straks efter, at konkursdekret er afsagt. Der skal indkaldes til valg af kurator, hvis kurator eller en fordringshaver begærer det, jf. 108, stk. 2. Formålet med kurators opgave er at afvikle skyldnerens virksomhed med bedst muligt resultat for kreditorerne. Ifølge konkurslovens 110, stk. 1, skal kurator ved udførelsen af sit hverv varetage boets interesser, herunder sikre boets aktiver og foretage de fornødne skridt til værn mod uberettigede dispositioner over aktiverne samt repræsentere boet i enhver henseende. Ledelse og ansvar er således samlet hos kurator, hvis dispositioner ikke skal forelægges skifteretten. Kurator kan anmode skifteretten om at indkalde kreditorerne til skiftesamling, hvis der opstår spørgsmål, hvor man ønsker at høre kreditorerne, jf. konkurslovens 118, stk. 1. På skiftesamlinger stemmes efter fordringernes beløb, hvor ikke andet er bestemt. Skifteretten har ikke stemmeret på skiftesamlinger.

6 Side 6/7 Efter konkurslovens 127 kan skifteretten blandt andet tilsidesætte de trufne beslutninger, hvis kurator handler til skade for boet. Det følger heraf, at skifteretten ikke udøver et generelt overskøn over kurators beslutninger, men kun griber ind, hvis der er tale om klart urimelige beslutninger, grove fejl eller magtmisbrug. Skifteretten hæfter ikke for fejl begået af kurator, uanset om denne er udpeget af skifteretten eller valgt af fordringshaverne. Det følger heraf, at den bobehandling, herunder behandling af personoplysninger, der foretages af kurator, foretages i kreditorernes interesse, og at kurator varetager bobehandlingen selvstændigt uafhængigt af skifteretten. Det var på denne baggrund Domstolsstyrelsens opfattelse, at den behandling af personoplysninger, der foretages af en kurator i et konkursbo - uanset skifteretten udpeger kurator og har tilsyn som beskrevet - ikke foretages for domstolene. Kompetencen til at føre tilsyn med kurator i et konkursbo henhører derfor hverken under Domstolsstyrelsen eller vedkommende ret. Som følge heraf tog Domstolsstyrelsen ikke stilling til spørgsmålet om, hvorvidt den behandling af personoplysninger, som foretages af en kurator, er omfattet af persondatalovens 67, stk. 2 eller stk. 3. Oversigt over lovgivning, bekendtgørelser og vejledninger Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret ved lov nr. 280 af 25. april Bekendtgørelse nr. 532 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for domstolene. Bekendtgørelse nr. 535 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for domstolene. Bekendtgørelse nr. 546 af 18. juni 2004 om retslister og om massemediernes aktindsigt i og opbevaring af kopier af anklageskrifter og retsmødebegæringer mv Cirkulæreskrivelse nr. 622 af 17. september 2004 om retslister. Cirkulæreskrivelse nr. 605 af 25. juni 2004 om retslister. Vejledning af 17. juni 2004 om aktindsigt mv. ved domstolene. Cirkulæreskrivelse af 23. september 2003 om vilkår for offentliggørelse af domsresumeér på hjemmesider.

7 Side 7/7 Retningslinier af 13. november 2002 om anvendelsen af . Domstolsstyrelsens generelle vejledning af februar 2006 om persondataloven. Domstolsstyrelsens vejledning af februar 2006 om anmeldelsesordningen m.v. inden for domstolsområdet efter persondataloven. Domstolsstyrelsens vejledning af februar 2006 om de registreredes rettigheder efter persondataloven.