Domstolsstyrelsen Sagsbeh. Katrine V Trebbien Dir.tlf. + 45 99684243 Mail kat@domstolsstyrelsen.dk 2014-4302-0004-1 2. maj 2014 Domstolsstyrelsens årsberetning 2013 persondataloven Indhold: Domstolsstyrelsens tilsynsopgave Vejlednings- og tilsynsvirksomhed 2013 Generelle og konkrete sager Oversigt over udvalgt lovgivning, bekendtgørelser og vejledninger Persondataloven lov nr. 429 af 31. maj 2000 med senere ændringer har som hovedformål at sikre, at personoplysninger ikke misbruges eller kommer til uvedkommendes kendskab. Loven gælder for alle behandlinger af personoplysninger, der foretages ved elektronisk databehandling, eller som indeholdes i et register. Loven finder som udgangspunkt anvendelse på alle domstolenes sagsområder, bortset fra visse bestemmelser på det strafferetlige område. Persondataloven gælder ikke for Færøerne og Grønland. Den færøske persondatalov gælder kun for myndigheder, som er under Færøernes hjemmestyreordning. For rigsmyndighederne på Færøerne, herunder retsvæsnet, gælder således registerloven, der også gælder for Grønland. Det fremgår af persondatalovens 68, stk. 3, at Domstolsstyrelsen offentliggør en årlig beretning om sin virksomhed. Domstolsstyrelsens tilsynsopgave Domstolsstyrelsens kompetence er reguleret i persondatalovens 67 og 68. 67. Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene. Stk. 2. Tilsynet omfatter behandling af oplysninger med hensyn til domstolenes administrative forhold. Stk. 3. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgørelse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende. 68. For Domstolsstyrelsens udøvelse af tilsyn i henhold til 67 gælder bestemmelserne i 56 og 58, 62, stk. 1, 2 og 4, 63, stk. 1, og 66. Domstolsstyrelsens afgørelser er endelige.
Side 2/5 Stk. 2. Ved udarbejdelse af bekendtgørelser eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen. Stk. 3. Domstolsstyrelsen offentliggør en årlig beretning om dens virksomhed. Domstolsstyrelsen fører således tilsyn med domstolenes behandlinger af personoplysninger på det administrative område og med overholdelsen af sikkerhedsreglerne både på det judicielle og det administrative område. Domstolsstyrelsen påser både af egen drift og efter klage fra en registreret, at persondatabehandlingen er i overensstemmelse med persondataloven, sikkerhedsbekendtgørelsen og øvrige sikkerhedsforskrifter. Hvis en borger klager over en domstols behandling af personoplysninger, træffer domstolen derimod selv afgørelse, når det drejer sig om det judicielle område. Domstolens afgørelse kan ifølge persondatalovens 67, stk. 3, 2. pkt, kæres til højere ret. Kære sker efter de almindelige regler i retsplejeloven, med en kærefrist på 4 uger. Domstolsstyrelsens tilsynsopgave svarer til den opgave, som Datatilsynet udfører med hensyn til den offentlige forvaltning og det private erhvervsliv. Med udgangspunkt i den sammenlignelige opgave søger Domstolsstyrelsen så vidt muligt at tilrettelægge tilsynsopgaven efter samme retningslinjer, som Datatilsynet fastlægger for sin tilsynsvirksomhed. Domstolsstyrelsen og Datatilsynet samarbejder i øvrigt ved at udveksle relevante oplysninger. Relevante oplysninger er for eksempel afgrænsningsspørgsmål vedrørende afgørelseskompetencen. Samtidig med persondatalovens ikrafttræden den 1. juli 2000 er også tilsynet med tinglysningssystemet henlagt til Domstolsstyrelsen. Vejlednings- og tilsynsvirksomheden Domstolene Domstolsstyrelsen lægger vægt på at komme i dialog om databeskyttelsesretlige spørgsmål med såvel de dataansvarlige retter som eksterne databehandlere, der drifter et it-system eller på anden måde arbejder for domstolene. Det gælder også Danmarks Domstoles eget it-center, der udvikler og drifter domstolenes sagsbehandlingssystemer. Domstolsstyrelsens tilsynsvirksomhed udgør således ikke kun en kontrolforanstaltning, men er et væsentligt værktøj i det løbende samarbejde mellem styrelsen og de enkelte retter om at sikre et højt databeskyttelsesniveau i Danmarks Domstole. Domstolsstyrelsen har i 2013 gennemført tilsynsbesøg ved Retten i Holstebro, Retten i Viborg, Københavns Byret, Retten på Frederiksberg og Retten i Helsingør. En konkret henvendelse eller klage over rettens persondatabehandling kan efter omstændighederne udløse et uanmeldt tilsynsbesøg, men herudover afholder styrelsen fortrinsvis anmeldte tilsynsbesøg. Styrelsen har i denne forbindelse en vigtig, løbende dialog med den ret, besøget vedrører.
Side 3/5 I det omfang, private databehandlere servicerer domstolenes it-systemer, vil Domstolsstyrelsen foretage tilsynsbesøg hos disse, ligesom der i konkrete anledninger foretages tilsynsbesøg i Danmarks Domstoles eget Center for IT. I udviklingsarbejdet rådgives it-centret så vidt muligt forud for pilotdrift af nyudviklede applikationer, for eksempel brugerstyringsprogrammer og sagsbehandlingsprogrammer. Anmeldelse af domstolenes behandling af fortrolige oplysninger Domstolenes behandling af fortrolige oplysninger er anmeldt til Domstolsstyrelsen, der fører en samlet fortegnelse over anmeldelserne. Behandlingen af personoplysninger ved domstolene foretages som altovervejende hovedregel på samme måde og ved anvendelse af ens it-systemer. Domstolenes behandlingsanmeldelser er derfor forholdsvis ensartede, og langt den største del af anmeldelserne er foretaget på grundlag af de standarder, som Domstolsstyrelsen har udarbejdet. Sikkerhedspolitik Danmarks domstoles sikkerhedshåndbog, der bygger på DS484, er trådt i kraft den 1. juli 2007. Håndbogen opdateres løbende af Domstolsstyrelsen. Generelle og konkrete sager De henvendelser og klager over domstolenes persondatabehandling, som Domstolsstyrelsen har behandlet, drejer sig som hovedregel om emner, der er beskrevet i tidligere årsberetninger. Nogle få er gengivet nedenfor. Videregivelse af medtiltaltes personnummer til andre tiltalte i samme sag: En borger havde klaget over en rets videregivelse af oplysninger om borgerens søns personnummer i forbindelse med fremsendelse af udskrift af dombogen i en straffesag. Retten havde gennem flere år haft en fast praksis i sager med flere tiltalte, hvorefter de sidste fire cifre i personnumre for de øvrige tiltalte i dommen anonymiseres forinden afsendelsen. Fremgangsmåden ved anonymisering var ikke ens for rettens sekretærer, som sendte udskrift af dombogen. Den pågældende ret har efterfølgende besluttet at ensrette fremgangsmåden for afsendelse af straffedomme, således at det sikres, at alle udskrifter af domme afsendes uden de sidste fire cifre i personnumre, og at dette kan dokumenteres. Stævningsmandspost sendt til en privat borger: Ved en fejl blev en kuvert indeholdende 11 sager underskrevet af fogedretten til forkyndelse via stævningsmand sendt til en privat borger. Ingen af de modtagne sager kunne umiddelbart relateres til den pågældende borger, som havde modtaget den omhandlende kuvert. Retten har taget sagen til efterretning og har i den forbindelse iværksat en række tiltag for at forhindre, at lignende situationer opstår fremover. Personnumre i tinglysningssystemet: En privat virksomhed gjorde Domstolsstyrelsen opmærksom på, at personnumre var offentligt tilgængelige i skøder på Tinglysningsrettens hjemmeside i de tilfælde, hvor brugerne af tinglysningssystemet indtastede sagsnumre som sagsreference, der indeholdt personnummer. På baggrund af henvendelsen har Tinglysningsretten foretaget en række ændringer i tinglysningssystemet, således at de sidste 4 cifre i talkombinationer, der kan opfattes som personnumre, maskeres. Det er derfor ikke længere muligt at finde talkombinationer, der kan
Side 4/5 opfattes som personnumre på Tinglysningsrettens hjemmeside eller i tinglysningssvar, der sendes fra tinglysningssystemet. Digital signatur ved opslag i den digitale tingbog: Da det pr. 1. juli 2013 blev gjort gratis at søge oplysninger om ejerforhold i den digitale tingbog, vakte det bekymring, at indbrudstyve kunne gå på nettet og se, hvor gammel ejeren af en bestemt bolig er, og således bruge dette til at udvælge potentielle ofre. Som reaktion herpå er der pr. 8. januar 2014 indført nye regler om opslag i den digitale tingbog. Nu kræver det anvendelse af digital signatur for at få adgang til alle oplysninger i tingbøgerne, herunder oplysninger om fødselsdato og adgang til tinglyste dokumenter. Foretages der opslag i den digitale tingbog uden anvendelse af digital signatur, vil der alene være adgang til udvalgte kerneoplysninger. Når brugeren anvender digital signatur vil brugeren identificere sig over for systemet, således at systemet registrerer brugerens opslag i systemet. Hvis politiet henvender sig til Tinglysningsretten f.eks. i forbindelse med efterforskningen af en straffesag, vil oplysninger om, hvem der har foretaget opslag på ejendommen, efter en konkret vurdering kunne videregives til politiet. Digital kommunikation: Ønsket om i højere grad at kunne kommunikere digitalt er fortsat stærkt både i retterne og hos retternes brugere. Derfor er der fokus på at forbedre muligheden for og kendskabet til sikker digital kommunikation. I 2013 er den fælles offentlige digitale post til sikker kommunikation blevet integreret med domstolenes almindelige mailprogram samt visse sagsbehandlingssystemer, således at det i den konkrete arbejdssituation nu er muligt for domstolenes medarbejdere at vælge at sende sikre mails via Digital Post til virksomheder og borgere (der har tilmeldt sig Digital Post). Der har også været fokus på at implementere arbejdsgange, der skal sikre, at henvendelser sendt fra myndigheder, virksomheder og borgere til domstolenes CVR-nummer via Digital Post bliver videreformidlet til den rette modtager og besvaret sikkert. I løbet af året har domstolene endvidere udarbejdet fælles nye e-mailretningslinjer med henblik på, at den digitale kommunikation bliver mere ensartet på tværs af retter, og der er tillige gennemført uddannelsesaktiviteter med fokus på persondatalovens regler, herunder kravene til håndtering af personfølsomme oplysninger. Oversigt over visse love, bekendtgørelser og vejledninger Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. Bekendtgørelse nr. 532 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for domstolene. Bekendtgørelse nr. 535 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for domstolene. Bekendtgørelse nr. 546 af 18. juni 2004 som ændret ved bekendtgørelse nr. 1005 af 6. oktober 2006 og nr. 770 af 23. juni 2010 om retslister og om massemediernes aktindsigt i og opbevaring af kopier af anklageskrifter og retsmødebegæringer mv.
Side 5/5 Cirkulæreskrivelse af 23. september 2003 om vilkår for offentliggørelse af domsresumeér på hjemmesider. Retningslinjer af 15. maj 2009 om anvendelsen af e-mail og internet. Domstolsstyrelsens generelle vejledning af februar 2006 om persondataloven. Domstolsstyrelsens vejledning af februar 2006 om anmeldelsesordningen m.v. inden for domstolsområdet efter persondataloven. Domstolsstyrelsens vejledning af februar 2006 om de registreredes rettigheder efter persondataloven.