Perspektiv 4.indd

Perspektiv nr. 4, 2003numre som indbegrebet af enpersonoplysning. Men begrebetstrækker sig således videreend til det.Set i GIS optik, da er det relevantat spørge, om adresserog adressekoordinater på enbolig kan opfattes som enpersonoplysning. Spørgsmåletbliver behandlet nærmere i afsnit0 nedenfor. Imidlertid kandet allerede her forudfattes,at en adresse gør det muligtenten direkte eller indirekte athenføre eksempelvis en oplysningtil en eller flere konkretepersoner for eksempel viamatrikelregistret eller tinglysningssystemet.Man er derfornødt til at overveje nøje, om deoplysninger, man lægger ind isit GIS system eller foretagerGIS analyser på, reelt kanbetragtes som personoplysninger,hvorved behandlingenautomatisk fanges op af lovenskrav og rammer.Adressens betydningI det foregående blev detdrøftet kort, om en adressekan betegnes som en personoplysning.Folketinget harindirekte beskæftiget sig medspørgsmålet da de ændredeBBR-loven i 2001, hvor kompetencentil at tildele adresserblandt andet blev præciseretsamtidig med, at det tidligerevideregivelsessystem reeltblev erstattet af Den OffentligeInformationsserver (OIS) 6 .Datatilsynet meddelte i forbindelsemed lovændringen, atBBR med virkning fra dennelovændrings ikrafttræden blevomfattet af registerlovgivningen,idet et af formålene medlovforslaget var at præcisereadressebetegnelsen. Ved afgørelsenlagde Datatilsynetvægt på, at den præciseredeadressebetegnelse kan anvendessom entydig nøgle vedsammenstilling af BBR medpersonregistre og i øvrigt kananvendes som middel til atidentificere ejere og lejere.Brug af entydige adresser– der er kernen i megen praktiskGIS anvendelse – sammenmed andre oplysninger omfysiske personer, vil dermedtrække kraftigt i retning af,at den samlede behandling vilvære omfattet af register- ogpersondatalovens rammer.Grundprincipper for behandlingaf personoplysningeri et GIS-systemNår en myndighed konstaterer,at behandlingen af oplysningeri et GIS-system er omfattetaf persondatalovens regler, erder nogle helt grundlæggendeprincipper, den skal opfylde.Myndigheden skal leve optil god databehandlingsskik.Dette er et elastisk begrebsom løbende kan ændre sig itakt med, at samfundet udviklersig 7 . Datatilsynets praksisvil her være en kilde til fortolkning,og denne kan blandtandet følges på Datatilsynetshjemmeside 8 . I den forbindelseer det væsentligt, at indsamlingaf oplysninger skal ske tiludtrykkeligt angivne og sagligeformål, informationerne skalvære relevante og tilstrækkeligeog ikke omfatte mere endnødvendigt. Sidst men ikkemindst skal data ajourføresog kontrolleres, så forkerte ogvildledende oplysninger sletteseller berigtiges og myndighedenmå ikke opbevare informationernepå en måde, der gørdet muligt at identificere denregistrerede længere end deter nødvendigt 9 .I denne forbindelse vil detvære relevant at forholde sig tilkravet om at ajourføre og retteoplysninger indeholdt i et GISsystem.Opererer man såledespå et forældet adressegrundlagi forbindelse med sine analyser,kan det få nogle ubehageligekonsekvenser i form af forkerteanalyseresultater, hvilketfor de fleste vil være ubehageligti sig selv, men det kanherudover være en krænkelseaf persondatalovens krav omajourføring med videre. Sommeget konkrete eksempler påområder, hvor et sikkert og velvedligeholdt adressegrundlager af afgørende betydningkan nævnes postbesørgelse,lægevagt, politi- brand- ogambulancetjeneste og hjemmehjælp.Det er derfor afgørende, at mansikrer sig, at der er rutiner tilvedligeholdelse af datagrundlagetfor brugen af GIS-systemet.Anmeldelser til Datatilsynet?Persondataloven indeholderi kapitel 12 krav om, at offentligemyndigheder skalanmelde 10 behandlinger affortrolige og følsomme oplysningertil Datatilsynet. Brugeren myndighed derfor GIS til atanalysere konkrete personersog persongruppers økonomiskeforhold, racemæssige elleretniske baggrund, deres politiske,religiøse eller filosofiskeoverbevisning, deres helbreds-31

Perspektiv nr. 4, 2003mæssige og seksuelle forholdmed videre 11 , da kræver loven,at myndigheden anmelderdette til tilsynet.Anmeldelsen vil blive offentliggjorti Datatilsynets fortegnelseover anmeldelser og dermedvære offentligt tilgængelig viaden tidligere anførte internetadresse.Formålet er at sikreen gennemsigtig brug af edb tilat behandle personoplysningerog for at gøre det muligt forborgerne at sikre sig indsigt imyndighedernes håndtering afoplysninger om borgerne selv.Loven er som nævnt ovenforikke længere knyttet til registre,men i stedet til behandlingaf personoplysninger. Detindebærer, at myndighedernekan anmelde flere behandlingermed samme overordnedeformålsangivelse i det omfangbehandlingerne omfatter kategorieraf oplysninger, dernaturligt hænger sammen.Der foreligger i dag kun fåkonkrete anmeldelser af GISanvendelser hos Datatilsynet.Det kan skyldes, at GISikke bliver brugt i disse sammenhængeeller alternativt,at brugerne ikke har væretopmærksomme på problemstillingen.Brug af kort som ledi en anmeldt databehandlingindgår som et element i en enkeltfællesanmeldelse 12 . Denkonkrete anmeldelse vedrørerejendomsdata, og det er anførti anmeldelsen, at kommunerneregistrerer oplysninger omlandets ejendomme. Disseoplysninger foreligger ifølgeanmeldelsen i form af registre,skemaer/attester og digitalekort. I henhold til anmeldelsen32kan disse oplysninger overførestil en gruppe af modtagerebestående af statslige ogamtslige myndigheder og privatelandinspektører. De sidstekan modtage oplysningerne tilbrug for matrikulære arbejder.Udover den omhandlede fællesanmeldelseaf ejendomsdatatil Datatilsynet indeholder BBRlovenmulighed for at distribuereejendomsdata via den offentligeinformationsserver.I det omfang kommunale myndighederønsker at bruge GISsom led i håndteringen af administrativeopgaver, der ikkeer omfattet af ejendomsdataanmeldelsen,skal det derforovervejes, om de eksisterendefællesanmeldelser for eksempelvedrørende sociale systemerskal tilpasses eller justeresfor at åbne for brug af GIS tilat løse opgaven. Der foreliggerendnu ikke afgørelser fra tilsyneti sager, hvor myndighedersbrug af GIS har ført til kritik.Erfarer Datatilsynet imidlertid,at en myndighed ikke haranmeldt de fornødne behandlingeri henhold til lovens kravom det, så er det praksis,at der bliver udtalt kritik afden pågældende myndighed.Konklusion og organisatoriskafgrænsningSom det har fremgået tidligere idenne artikel, så medfører brugaf GIS i den offentlige forvaltning,at det skal vurderes nøje,om de konkrete GIS anvendelserer omfattet af persondatalovensregler, og om de i givetfald skal anmeldes til datatilsynet.Der er næppe tvivl om,at en række anvendelser falderuden for loven, enten fordi deikke omfatter personoplysninger,der vil kunne henføres til enfysisk person, eller fordi der ertale om oplysninger, der er undtagetfra anmeldelsespligten.Men det er samtidig væsentligt,at en række GIS anvendelserfalder ind under lovens områdeog som sådanne skal anmeldestil Datatilsynet.En række af disse anvendelservil kunne anmeldes som delaf en større anmeldelse, derdækker hele den opgave, somGIS anvendelsen understøtter.Der er således ikke brug for atanmelde en GIS anvendelse,der smidiggør ruteplanlægningved udbringning til syge ogældre, hvis GIS anvendelsenreelt indgår som et delelement iden overordnede administrativeopgave. For at kunne håndteredenne opgave er det til gengældrelevant, at de medarbejdereog afdelinger i myndigheden,der udarbejder myndighedensanmeldelser kender til de værktøjer,som er til rådighed ellersom allerede indgår i løsningenaf opgaven. Dette gør det samtidigtvæsentligt, at viden omGIS systemerne ikke forbeholdeshenholdsvis kortafdelingerog/eller tekniske forvaltninger.Det er derfor væsentligt atorganisere arbejdet med GIS imyndigheden, så både en eventueltIT-funktion eller en centraltbaseret ledelsesfunktionhøjt placeret i myndighedenshierarki kan inddrage spørgsmålet,når der arbejdes medanmeldelser og datasikkerhed.Supplerende informationom det blev anført ovenfor, erder en række emner, der ikke

Perspektiv nr. 4, 2003er blevet underkastet særskiltbehandling i denne artikel. Deter imidlertid muligt at indhentesupplerende information fra enrække kilder: Den væsentligstekilde er Datatilsynets hjemmesidepå internetadressenwww.datatilsynet.dk, hvor enrække vejledninger om denregistreredes rettigheder, sikkerhedsspørgsmålog anmeldelsesordningenhar særskiltinteresse. På hjemmesiden erdet samtidig muligt at orienteresig i en række af de forskelligeinspektioner og deres resultat,som Datatilsynet har gennemførtsiden persondatalovensikrafttrædelse.Referencer:Kristian Korfits Nielsen ogHenrik Waabens kommentartil persondataloven udgivetpå Jurist- og Økonomforbundetsforlag i 2001 (ISBN87-574-4690-3. Peter Blumehar ligeledes skrevet noglefremstillinger af interesse foremnet. Personoplysningslovenfra 2000, der er en selvstændiglovkommentar og Mads BrydeAndersens IT-retten fra 2001indeholder et kapitel 13 omPersondatabeskyttelse. MadsBryde Andersens fremstillinger tilgængelig på internettet påwww.itretten.dk/bog/13/.1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger2 Private virksomheders behandling af personoplysninger blev reguleret af lov om private registre. Persondataloven regulereri dag både privat og offentlig behandling.3 Det er væsentligt i denne forbindelse at erindre, at det faktum, at en behandling af personoplysninger i et GIS systemfalder ind under persondatalovens område ikke er det samme som, at den pågældende behandling ikke må finde sted.Det medfører blot, at der er en række grundlæggende formkrav med videre der kan eller skal iagttages.4 Definitionen findes i persondatalovens § 3 nr. 1.5 Lov om behandling af personoplysninger med kommentarer, 1. udgave, Jurist og Økonomforbundets forlag 2001 vedKristan Korfits Nielsen og Henrik Waaben.6 Lovændringen blev vedtaget af Folketinget den 13. januar 2001 og trådte i kraft den 1. juli 2001. Forarbejderne kanfindes på Folketingets hjemmeside (www.ft.dk).7 Det er i denne forbindelse væsentligt at notere sig, at brancheforeninger sammen med Datatilsynet kan udarbejde adfærdskodekser,der skal bidrage til at overholde persondatalovens bestemmelser. Dette er hjemlet i persondatalovens §74.8 Datatilsynet kan findes på internetadressen www.datatilsynet.dk.9 Kravene fremgår af Persondatalovens § 5.10 En anmeldelse skal indeholde generel beskrivelse af myndighedens sagsgange vedrørende et bestemt sagsområde.Anmeldelsen skal ikke beskrive behandlingerne på individniveau. Anmeldelsen har dermed karakter af en arbejdsgangsbeskrivelsefor en administrativ handling/opgave.11 Der er tale om en ikke udtømmende angivelse af fortrolige og følsomme oplysninger, der kræver anmeldelse. Oplysningerder ikke falder ind under de nævnte kategorier er som udgangspunkt undtaget fra anmeldelse.12 Før Persondatalovens ikrafttræden kunne kommuner tilslutte sig fælleskommunale registerforskrifter. Denne ordningblev erstattet af det, der i dag går under betegnelsen fællesanmeldelser, der udarbejdes af leverandøren til systemer,der bliver brugt af en flerhed af kunder. Kunderne kan herefter tilmelde sig disse af Datatilsynet godkendte anmeldelserog dermed undgå det praktiske besvær med at udarbejde en anmeldelse lokalt.Om forfatterenDan Christensen, cand. jur., fuldmægtig, konsulent og projektleder i Kommunernes Landsforening.email: dac@kl.dk33