TheLawyer.sh
Tilbage

Bekendtgørelse om fælles dataansvar i forbindelse med administration af digitale lægeattester

DanmarkBekendtgørelse2024

Transportministeriet

BEK nr 993 af 27/08/2024 I medfør af § 56, stk. 5, i færdselsloven, jf. lovbekendtgørelse nr. 168 af 14. februar 2023, fastsættes efter bemyndigelse i henhold til § 3, stk. 1, i bekendtgørelse nr. 373 af 9. april 2024 om Færdselsstyrelsens opgaver og beføjelser samt klageadgang:

§ 1

§ 1. I bilag 1 fastsættes Færdselsstyrelsens og kommunernes respektive ansvar for overholdelse af forpligtelserne som dataansvarlige i henhold til databeskyttelsesforordningen, jf. kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26.

persondata
§ 2

§ 2. Bekendtgørelsen træder i kraft den 1. september 2024.

Færdselsstyrelsen /Brian Paust Nielsen / Katrine Willer/

Bilag 1

Fælles dataansvar efter databeskyttelsesforordningen

  1. Indledning 1.1. Færdselsstyrelsen stiller et administrativt system, ”Digital lægeattest til ansøgning om kørekort” (herefter systemet) til egen rådighed og til rådighed for kommunerne. Kommunerne er forpligtede til at benytte systemet ved behandling af ansøgninger om kørekort, jf. kørekortbekendtgørelsens § 33, stk. 1. 1.2. Færdselsstyrelsen er ansvarlig myndighed for kørekortområdet og den overordnede administration heraf, herunder digitaliseringstiltag og systemdrift af obligatoriske it-systemer til understøttelse af kørekortområdet. Færdselsstyrelsen stiller systemet til rådighed til indlevering af lægeattester i forbindelse med behandling af ansøgning om kørekort i kommunerne og Færdselsstyrelsen. Færdselsstyrelsen er dataansvarlig, da Færdselsstyrelsen er ansvarlig myndighed for systemet. Færdselsstyrelsen har i kraft heraf ansvaret for drift og vedligeholdelse af systemet, samt opbevaring af de personoplysninger, der indleveres til systemet. Færdselsstyrelsen kan endvidere anvende personoplysninger, der er indleveret til systemet, til brug for Færdselsstyrelsens behandling af ansøgninger om kørekort, jf. kørekortbekendtgørelsens § 34, stk. 3. 1.3. Kommunerne er dataansvarlige, da de anvender systemet og behandler personoplysninger, der er indleveret til systemet, i forbindelse med de registreredes indlevering af lægeattesten til brug for kommunernes behandling af ansøgninger om kørekort jf. kørekortbekendtgørelsens § 34, stk. 2.
  2. Fælles dataansvar 2.1. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling. 2.2. Når der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. 2.3. Efter databeskyttelsesforordningens artikel 26, stk. 2, skal ordningen på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de personer, der registreres oplysninger om. 2.4. Den registrerede kan, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige. 2.5. Den ansvarsfordeling, der her fastsættes, hindrer ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor både Færdselsstyrelsen og kommunerne.
persondata
§ 2

2.6. Ved kommunernes anvendelse af systemet foreligger der et fælles dataansvar mellem Færdselsstyrelsen og kommunerne. Ved vurderingen heraf er der bl.a. lagt vægt på, at de behandlinger af personoplysninger, som finder sted i systemet, sker til begge parters formål og med fælles hjælpemidler (systemet), jf. under punkt 1.2 og 1.3. 3. Overordnet ansvarsfordeling 3.1. Som bruger af systemet er den enkelte kommune ansvarlig for den behandling af personoplysninger, som kommunen foretager, jf. punkt 1.3, herunder korrekt behandling af oplysninger. Den enkelte kommune er ligeledes ansvarlig for iagttagelse af den registreredes rettigheder i forhold til den behandling af personoplysninger, som kommunen foretager. 3.2. Som ansvarlig myndighed for systemet er Færdselsstyrelsen ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau for systemet, der passer til de identificerede risici for behandlingen. Færdselsstyrelsen er ligeledes ansvarlig for iagttagelse af den registreredes rettigheder i forhold til den behandling af personoplysninger, som Færdselsstyrelsen foretager, jf. punkt 1.2. 4. Principper og behandlingshjemmel 4.1. Færdselsstyrelsen og kommunerne er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, at der forligger et gyldigt behandlingsgrundlag og at dette kan dokumenteres. 5. Den registreredes rettigheder 5.1. Færdselsstyrelsen er ansvarlig for sikringen af de registreredes rettigheder i forbindelse med den behandling af personoplysninger, der foretages i systemet gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:

  • Oplysningspligt ved indsamling af personoplysninger hos den registrerede, jf. artikel 13. - Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14. - Den registreredes indsigtsret, jf. artikel 15. - Ret til berigtigelse, jf. artikel 16. - Ret til sletning (retten til at blive glemt), jf. artikel 17. - Ret til begrænsning af behandling, jf. artikel 18. - Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, jf. artikel 19. - Ret til indsigelse mod en behandling, jf. artikel 21. 5.2. Såfremt kommunen modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af Færdselsstyrelsens ansvar, jf. punkt 5.1, oversender kommunen hurtigst muligt denne til besvarelse hos Færdselsstyrelsen. 5.3. Kommunerne og Færdselsstyrelsen er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for at efterleve forpligtelserne over for de registrerede.
  1. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen 6.1. Færdselsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Færdselsstyrelsen, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger. Færdselsstyrelsen skal være i stand til at påvise, at Færdselsstyrelsens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1
persondata
§ 2

6.2. Færdselsstyrelsen er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25. 6.3. For den del af behandlingen som knytter sig til den enkelte kommunes anvendelse af systemet, er den enkelte kommune ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at den enkelte kommune, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger, herunder foranstaltninger, der sikrer, at alene brugere med et arbejdsbetinget behov har adgang til systemet. Den enkelte kommune skal være i stand til at påvise, at kommunens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1. 7. Anvendelse af databehandlere og eventuelle underdatabehandlere 7.1. Færdselsstyrelsen er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til systemet. 7.2. Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Færdselsstyrelsen ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Færdselsstyrelsen er herefter bl.a. forpligtet til:

  • Alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. - At sikre, at der foreligger en gyldig databehandleraftale mellem Færdselsstyrelsen og databehandleren. - At sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler. - At sikre, at der i relevant omfang føres tilsyn med anvendte databehandlere og eventuelle underdatabehandlere. 7.3. Hvis oplysningerne behandles af databehandlere, skal Færdselsstyrelsen efter anmodning fra kommunerne oplyse om indholdet af aftalerne med databehandlerne, herunder om eventuelle underdatabehandlere. 7.4 Hvis oplysningerne behandles af databehandlere og eventuelle underdatabehandlere, jf. pkt. 7.1, skal Færdselsstyrelsen efter anmodning fra kommunerne oplyse om resultatet af gennemførte tilsyn og initiativer i anledning heraf, jf. pkt. 7.2.
  1. Fortegnelse 8.1. Færdselsstyrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Færdselsstyrelsen fører fortegnelser over de behandlingsaktiviteter, som foretages i systemet. 8.2. Færdselsstyrelsen orienterer efter anmodning kommunerne om indholdet af ovennævnte fortegnelser. 8.3. Den enkelte kommune skal – eventuelt på baggrund af indholdet i fortegnelserne hos Færdselsstyrelsen – udarbejde egne fortegnelser over de behandlingsaktiviteter, der er omfattet af denne bekendtgørelse.
persondata
§ 2
  1. Anmeldelse af brud på persondatasikkerheden til Datatilsynet 9.1. Færdselsstyrelsen er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet. 9.2. Den enkelte kommune er dog ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes forhold ved kommunen. I et sådant tilfælde er Færdselsstyrelsen forpligtet til at bistå kommunen med nødvendige oplysninger. Er der tvivl om hvorvidt brud på persondatasikkerheden skyldes forhold ved kommunen, foretager Færdselsstyrelsen den endelige vurdering heraf.
  2. Underretning om brud på persondatasikkerheden til den registrerede 10.1. Færdselsstyrelsen er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede. 10.2. Den enkelte kommune er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 om underretning til den registrerede om brud på persondatasikkerheden, hvis et brud på persondatasikkerheden skyldes forhold ved kommunen. I et sådant tilfælde er Færdselsstyrelsen forpligtet til at bistå kommunen med nødvendige oplysninger. Er der tvivl om hvorvidt brud på persondatasikkerheden skyldes forhold ved kommunen, foretager Færdselsstyrelsen den endelige vurdering heraf.
  3. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 11.1. Færdselsstyrelsen er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Færdselsstyrelsen forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 11.2. Færdselsstyrelsen er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når kravet om høring finder anvendelse.
  4. Overførsel af personoplysninger til tredjelande eller internationale organisationer 12.1. Færdselsstyrelsen er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
  5. Klager 13.1. Kommunerne og Færdselsstyrelsen er hver især ansvarlig for behandling af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilken kommunerne eller Færdselsstyrelsen efter denne bekendtgørelse er ansvarlig. 13.2. Hvis en kommune eller Færdselsstyrelsen modtager en klage, som rettelig bør behandles af den anden part, sendes klagen til denne part snarest muligt.
persondata
§ 2

13.3. Hvis en kommune eller Færdselsstyrelsen modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, sendes denne del af klagen til besvarelse hos denne part snarest muligt. 13.4. Den registrerede skal, i forbindelse med en kommunes eller Færdselsstyrelsens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne bekendtgørelse. 14. Orientering af den anden part 14.1. Færdselsstyrelsen og de enkelte kommuner orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og det system, der er omfattet af denne bekendtgørelse.

Metadata

Type
Bekendtgørelse
År
2024
Ikrafttrædelsesdato
28. august 2024