Databeskyttelsesreglerne
Europa-Parlamentets og Rådets forordning nr. 679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen) og lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) indeholder særlige regler for behandling af personoplysninger i retsinformationssystemer.
Med et retsinformationssystem menes navnlig systemer, der er til rådighed for en bredere kreds af abonnenter for at sikre en ensartet retsanvendelse, altså eksterne retsinformationssystemer.
Reglerne i databeskyttelsesforordningen svarer i vidt omfang til reglerne i det tidligere databeskyttelsesdirektiv og persondataloven.
Det følger af databeskyttelseslovens § 9, stk. 1, at oplysninger, der er omfattet af databeskyttelsesforordningens artikel 9, stk. 1 (følsomme personoplysninger), og 10 (oplysninger om strafbare forhold), kan behandles med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning.
Behandling af almindelige personoplysninger i et offentligt tilgængeligt retsinformationssystem kan ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Retsinformation er omfattet af databeskyttelsesforordningen og databeskyttelsesloven, herunder § 9.
Der er ikke pligt til at anmelde retsinformationssystemer, der behandles for den offentlige forvaltning. Datatilsynet har imidlertid fastsat et sæt standardvilkår for offentliggørelse af offentlige myndigheders afgørelser i retsinformationssystemer. Disse vilkår svarer i vidt omfang til de standardvilkår, der var fastsat under den tidligere gældende persondatalov. De nugældende vilkår kan findes på Datatilsynets hjemmeside.
Ansvarsfordelingen
Det er de enkelte ministerier og styrelser (informationsleverandørerne), som er dataansvarlige for de afgørelser, som de indlægger i Retsinformation. Databeskyttelsesforordningens artikel 4, nr. 7 definerer ”dataansvarlig” som den, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databeskyttelsesforordningens artikel 4, nr. 8 definerer en ”databehandler”, som den, der behandler personoplysninger på den dataansvarliges vegne. Civilstyrelsen varetager driften, koordineringen og brugerstøtten vedrørende Retsinformation, hvorfor Civilstyrelsen kan betragtes som databehandler.
Anonymisering
I afgørelser, som indeholder personoplysninger, skal de pågældende oplysninger anonymiseres i overensstemmelse med de af Datatilsynet fastsatte standardvilkår, og reglerne i cirkulære nr. 85 af 8. juli 1988 om indlæggelse af afgørelser i Retsinformation. Anonymisering består bl.a. i at undlade at angive personnavne, præcise adresseangivelser og andre identifikationsoplysninger vedrørende personer. I stedet for de udeladte oplysninger kan der indsættes neutrale betegnelser. Personnumres løbenummer skal også udelades.
Iagttagelse af de ovenfor omtalte standardvilkår, herunder anonymisering, medfører ikke, at der ikke længere er tale om personoplysninger, da ”anonymisering” i databeskyttelsesforordningens forstand er et retligt begreb. Anonymisering, hvorefter ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, er ikke længere omfattet af databeskyttelsesreglerne. Hvis myndigheden imidlertid selv, eksempelvis ved hjælp af et journalnummer eller et pseudonym, kan finde vedkommende sag, så er oplysningerne fortsat (indirekte) personhenførbare, og dermed fortsat personoplysninger, jf. databeskyttelsesforordningens artikel 4, nr. 1.
Regler for vedligeholdelse
De nærmere regler om indlæggelse og ajourføring af afgørelser i Retsinformation findes i: