DGL 2007.3: Sikkerhedsproblemer for offentlige myndigheder i Grønland i forbindelse med CPR-lovens ikrafttræden for Grønland

Af dommerfuldmægtig, cand.jur. Thomas Gønge, Grønlands Landsret

I artiklen redegøres for forholdet mellem CPR-anordningen og persondataloven i forbindelse med grønlandske offentlige myndigheders indsamling af CPR-oplysninger fra Indenrigs- og Sundhedsministeriet og de grønlandske kommunalbestyrelser. Grønlands status som tredjeland i forhold til databeskyttelseslovgivningen ridses op. Endvidere gennemgås de særlige problemer, der er forbundet med, at de grønlandske myndigheder for at overholde Indenrigs- og Sundhedsministeriets vilkår for levering af CPR-oplysninger skal implementere hidtil ukendte og ganske omfattende sikkerhedsforanstaltninger, som stammer fra persondataloven.
Det konkluderes, at det ikke er realistisk, at de grønlandske myndigheder umiddelbart vil kunne overholde disse vilkår, hvilket vil kunne føre til ophævelse af aftalerne med Indenrigs- og Sundhedsministeriet om levering af CPR-oplysninger.

1. Indledning

Ved kgl. anordning nr. 1198 af 29. november 2006 er lov om Det Centrale Personregister (CPR-loven) sat i kraft for Grønland, jf. den danske lovs § 60, til afløsning af kgl. anordning nr. 242 af 8. juni 1972 med senere ændringer.

Indenrigs- og Sundhedsministeriet (IT- og CPR-kontoret) administrerer CPR sammen med kommunalbestyrelserne i Grønland henholdsvis Grønlands Hjemmestyre i overensstemmelse med loven[1], jf. anordningens § 2, stk. 1, 1. og 3. pkt.

Ikraftsættelsen frembyder særlige problemer på baggrund af, at lov om behandling af personoplysninger (persondataloven) ikke gælder for Grønland, jf. lovens § 83, 2. pkt. Dette skyldes, at oplysningerne i CPR behandles elektronisk, og at elektronisk behandling af personoplysninger efter persondatalovens § 1, stk. 1, skal ske under iagttagelse af reglerne i loven (med enkelte undtagelser, jf. § 2). ”Behandling” omfatter enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. § 3, nr. 2, dvs. bl.a. indsamling, lagring, brug og videregivelse af oplysninger.

Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets behandling, herunder videregivelse til grønlandske myndigheder, af personoplysninger i CPR skal således ske i overensstemmelse med reglerne i persondataloven, idet loven finder direkte anvendelse for ministeriet.

Det næste spørsmål er, i hvilket omfang loven og/eller andre regelsæt finder anvendelse for de grønlandske myndigheders vedkommende.

2. Hjemmelsspørgsmål i forhold til videregivelse af CPR-oplysninger direkte fra CPR

Efter CPR-anordningens § 31 kan oplysninger i CPR videregives af de grønlandske kommunalbestyrelser og af Indenrigs- og Sundhedsministeriet efter reglerne i persondataloven. Således er det ikke kun Indenrigs- og Sundhedsministeriet, der skal iagttage loven (baseret på lovens almindelige anvendelsesområde).

2.1. Grønlands status som tredjeland i forhold til videregivelse af CPR-oplysninger til grønlandske myndigheder

Det fremgår af persondatalovens § 27, stk. 1, at der som udgangspunkt kun må overføres, herunder videregives, oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau.

Et tredjeland er efter § 3, nr. 9, en stat, der ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Grønlands status i forhold til EF medfører således, at Grønland i forbindelse med persondataloven er at betragte som et tredjeland. Spørgsmålet om, hvorvidt et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, vurderes af EU-Kommissionen og er ikke op til videregiverens subjektive opfattelse. Grønland betragtes ikke som et sikkert tredjeland.[2]

Imidlertid følger det af persondatalovens § 27, stk. 3, nr. 4, som er en undtagelse til bestemmelsens stk. 1, at overførsel til tredjeland kan ske, hvis den er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Den første betingelse om nødvendig fastsætter et saglighedskrav. Den tredje betingelse om retskrav svarer til betingelsen i loven § 7, stk. 2, nr. 4, om behandling af følsomme oplysninger.

Den anden betingelse om lovhjemmel er den relevante her. Af betingelsen følger – sammenholdt med, at det må betragtes som en vigtig samfundsmæssig interesse, at grønlandske myndigheder har adgang til oplysninger i CPR – at Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, og de grønlandske kommunalbestyrelser kan videregive oplysninger fra CPR til myndigheder i Grønland, i det omfang dette er hjemlet i CPR-anordningen.

Det forekommer dog ikke som en selvfølge, at adgang til CPR er et led i beskyttelse af en samfundsmæssig interesse, idet en naturlig sproglig forståelse vil gå mod gennemførelse eller varetagelse af en sådan. Der er i persondatalovens § 27, stk. 3, andre undtagelser til hovedreglen i stk. 1, men disse kan ikke finde generel anvendelse i forbindelse med nærværende spørgsmål.

2.2. Grønlands status som tredjeland i forhold til grønlandske myndigheders videre behandling af indsamlede CPR-oplysninger

Efter CPR-anordningens § 34 må en myndighed kun videregive oplysninger, herunder beskyttede navne og adresser modtaget efter §§ 31-33, til andre offentlige myndigheder eller private, hvis videregivelsen følger af lov eller bestemmelser fastsat i henhold til lov, eller Indenrigs- og Sundhedsministeriet har givet tilladelse hertil. Overførsel må i alle tilfælde ikke ske til andre tredjelande end Grønland, jf. Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets standardvilkårs[3] pkt. 4.

Endvidere fremgår det af persondatalovens § 4, stk. 3, at loven også gælder for en dataansvarlig, som er etableret i et tredjeland, hvis
1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område eller
2) indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland.

De grønlandske myndigheder kan således ikke frit råde over CPR-oplysninger, som er indsamlet fra Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, eller de grønlandske kommunalbestyrelser. Dette skal ske under iagttagelse af reglerne i CPR-anordningen (som gælder direkte for de grønlandske myndigheder), lov om offentlige myndigheders registre (som gælder direkte for de grønlandske myndigheder), vilkår fastsat af Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret (som gælder på individuel basis), og, hvor betingelserne i persondatalovens § 4, stk. 3, er opfyldt, persondataloven. De nærmere behandlingsregler[4] vedrørende oplysninger fra CPR ligger uden for denne artikels område.

3. Betingelser for grønlandske myndigheders adgang til at modtage CPR-oplysninger

CPR-anordningens § 32, stk. 1, bestemmer, at når en offentlig myndighed har brug for oplysninger, som er registreret i CPR, kan myndigheden indhente oplysningerne i CPR, jf. dog § 33, stk. 1.[5] Efter stk. 2 fastsætter Indenrigs- og Sundhedsministeriet vilkårene, herunder om sikkerhedsforanstaltninger og betalingen, for videregivelse af oplysninger fra CPR efter stk. 1.

Denne form for indsamling af CPR-oplysninger er den, som offentlige myndigheder typisk benytter sig af i forbindelse med Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets produkt ”CPR Søg” mv.[6] eller i forbindelse med CPR-udtræk om en større kreds af personer[7]. Bestemmelsen i § 32 opstiller ikke andet kriterium, end at den myndighed, der indsamler oplysningerne, skal ”have brug for dem”, men henskyder fastsættelsen af de nærmere betingelser til Indenrigs- og Sundhedsministeriet.

Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, har den 1. januar 2007 fastsat ”Standardvilkår for grønlandske kommunalbestyrelsers og andre grønlandske myndigheders adgang til CPR”.

4. Problemer i forbindelse med sikkerhedskravene til modtagere af CPR-oplysninger

4.1. Autorisation og adgangskontrol

I vilkårenes pkt. 3.1. findes regler for autorisation og adgangskontrol ved brug af CPR Søg, CPR Services og CPR Direkte.[8] Det første vilkår er, at der lokalt skal være fastsat nærmere interne bestemmelser om sikkerhedsforanstaltninger svarende til det niveau, der er foreskrevet i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen).

Sikkerhedsbekendtgørelsen indeholder 3 kapitler med materielle regler; Almindelige bestemmelser (kapitel 1), Generelle sikkerhedsbestemmelser (kapitel 2) og Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger (kapitel 3). Kapitel 3 finder kun anvendelse, i det omfang der ville skulle ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, jf. bekendtgørelsens § 2, stk. 2, og § 15. Anmeldelsespligten for offentlige myndigheder omfatter efter persondatalovens §§ 43 og 44 som hovedregel alle behandlinger, der indbefatter oplysninger af fortrolig og/eller følsom karakter, bortset fra oplysninger om personnummer og om betalinger til eller fra en offentlig myndighed. CPR indeholder flere typer af oplysninger af fortrolig/følsom karakter, herunder oplysninger om religiøs overbevisning, jf. anordningens bilag 1, nr. 6, og oplysninger om seksuelle forhold, jf. anordningens bilag 1, nr. 8. Herudover kan navne- og adresseoplysninger være beskyttede efter anordningens kapitel 7, hvilket medfører, at oplysningerne får fortrolig karakter.

I tilfælde, hvor en grønlandsk myndighed behandler CPR-oplysninger af den nævnte karakter, finder samtlige sikkerhedsbekendtgørelsens regler anvendelse. Dette må formodes at være samtlige myndigheder med CPR-adgang og en given andel af myndigheder, der alene abonnerer på CPR-oplysninger om kunder/klienter, afhængig af hvilke typer af CPR-oplysninger der abonneres på.

Bekendtgørelsen indeholder i § 3 den overordnede regel, der svarer til persondatalovens § 41, stk. 3, om, at den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.

Efter bekendtgørelsens § 5, stk. 1, skal den dataansvarlige myndighed fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Hvor der behandles fortrolige/følsomme CPR-oplysninger, følger det af § 11, at kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, jf. stk. 1, og at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Autorisationer, jf. § 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger, jf. § 16.

Dette betyder, at grønlandske myndigheder, der ønsker at behandle oplysninger fra CPR, som minimum skal have fastsat interne sikkerhedsbestemmelser, der lever op til sikkerhedsbekendtgørelsens krav. Endvidere skal der i vidt omfang udarbejdes autorisationer til alle kategorier af brugere.

Dette arbejde vil være ganske byrdefuldt for myndighederne, idet sikkerhedsbekendtgørelsen i øvrigt er fremmed for Grønland, og idet der er en vis ressourceknaphed, for så vidt angår de relevante faggrupper, hvilket må forventes at medføre, at kun ganske få myndigheder vil (forsøge at) overkomme at leve op til kravene.

Der skal efter de allerede gældende regler i lov om offentlige myndigheders registre bl.a. fastsættes registerforskrifter. Dette sker ikke i nødvendigt omfang og vil kun bidrage til byrden. Myndighederne er i denne sammenhæng underlagt Datatilsynets tilsyn (Datatilsynet udøver Registertilsynets kompetence efter registerlovene). Det må imidlertid konstateres, at Register-/Datatilsynet så vidt vides aldrig har foretaget en inspektion i Grønland.

Hertil kommer, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden, jf. sikkerhedsbekendtgørelsens § 11, stk. 2. Hvor der behandles fortrolige/følsomme CPR-oplysninger, skal det efter § 17 sikres, at de autoriserede personer fortsat opfylder betingelserne i § 11, stk. 2 og 3, og § 16. Kontrol heraf skal foretages mindst en gang hvert halve år.

4.2. Logning

De grønlandske myndigheder skal, hvor der behandles fortrolige/følsomme CPR-oplysninger, foretage maskinel registrering (logning) af alle anvendelser af personoplysninger, jf. sikkerhedsbekendtgørelsens § 19, stk. 1. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Efter stk. 2 finder stk. 1 ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist.

Reglen betyder, at sags- og dokumenthåndteringssystemer, hvori de omhandlede oplysninger behandles, skal kunne logge brugen af oplysningerne. Der skal ikke foretages logning i forbindelse med dokumenter, der ikke foreligger i endelig form, dvs. f.eks. udkast skrevet i Word. Når dokumenterne er endelige, skal de imidlertid enten slettes inden for en nærmere fastsat kortere frist eller overføres til et system, hvori logning er mulig.

Også dette krav vil det være svært for de grønlandske myndigheder at leve op til, idet mange myndigheder ikke har et sags- og dokumenthåndteringssystem, der opfylder kravene, og idet et sådant system er en betragtelig investering, særligt hvis anledningen alene er indgåelsen af en aftale med Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, om levering af CPR-oplysninger.

5. Den registreredes rettigheder

Den registrerede har efter vilkårene og lov om offentlige myndigheders registre en række rettigheder, der kan gøres gældende over for den data-/registeransvarlige.

Endvidere gælder der regler om bl.a. den dataansvarliges oplysningspligt over for den registrerede, i de tilfælde hvor persondataloven finder anvendelse (oplysningspligten mv. omtales ikke nærmere her).

Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets standardvilkårs pkt. 4 indeholder regler for myndighedens behandling og videregivelse af oplysninger modtaget fra CPR. Som nævnt ovenfor under 2.2. må overførsel i alle tilfælde ikke ske til andre tredjelande end Grønland.

Yderligere er det under pkt. 4 bl.a. angivet, at:

”Overladelse af data, som er modtaget fra CPR, til behandling på et servicebureau eller lign., betragtes ikke som videregivelse til private, såfremt databehandlerens[9] behandling af oplysningerne er i overensstemmelse med nærværende vilkår og udelukkende sker efter instruks fra myndigheden.

Registreres databehandleren i den forbindelse i CPR som modtager af CPR-oplysningerne, skal databehandleren indestå for, at der mellem de dataansvarlige myndigheder og databehandleren er truffet aftaler/foranstaltninger, som sikrer, at de registrerede har mulighed for at gøre deres rettigheder efter registerlovgivningen og nærværende vilkår gældende, heriblandt de rettigheder, som forudsætter kendskab til den dataansvarliges identitet. Dvs. de registrerede skal fra databehandleren umiddelbart kunne få oplyst, hvilke myndigheder mv. der via databehandleren abonnerer på oplysninger fra CPR om dem.”

Baggrunden for første afsnit af vilkåret er, at overførsel af oplysninger til en databehandler betragtes som en overladelse og ikke videregivelse, hvorfor reglerne om videregivelse i sådanne situationer ikke skal iagttages; databehandleren så at sige afleder sin ret til at behandle oplysninger af den dataansvarliges ret og kan behandle dem i samme omfang.

Baggrunden for andet afsnit er, at Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, har tradition for at registrere databehandleren som abonnent i tilfælde, hvor en virksomhed opdaterer sine kundeoplysninger via et servicebureau. Dette gælder f.eks. hvor en virksomhed, som leverer IT-løsninger til banker og sparekasser, opdaterer bankernes navne- og adresseoplysninger på deres respektive kunder på bankernes vegne, men i eget navn. IT-virksomheden fremgår så som abonnent i personens CPR-oplysninger, jf. lovens (og anordningens) bilag 1, nr. 14. Hvis den registrerede herefter ønsker at gøre sine rettigheder gældende, må vedkommende kontakte IT-virksomheden, idet identiteten af den dataansvarlige (på hvem pligten til at leve op til den registreredes rettigheder hviler) umiddelbart er ukendt. Dette har kollideret med databehandlerens begrænsede kompetence, der som udgangspunkt ikke rækker til andet end lige præcis det, der fremgår af instruksen fra den dataansvarlige, herunder ikke til at videregive oplysninger til de registrerede.

Konsekvensen heraf kan bl.a. være, at den registrerede har en række rettigheder, men ikke nogen at gøre dem gældende over for.

Det gældende vilkår, hvor der er taget hånd om dette problem, er indsat efter en udtalelse af 18. maj 2005 fra Datatilsynet[11], hvori tilsynet henstillede, at det blev et vilkår, at der mellem databehandleren og de dataansvarlige modtagere generelt skal være truffet aftaler/foranstaltninger, som sikrer, at de registrerede har mulighed for at gøre deres rettigheder efter persondataloven gældende, heriblandt de rettigheder, som forudsætter kendskab til en dataansvarligs identitet. Heroverfor står Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets konkrete udmøntning, som siger, at de registrerede fra databehandleren umiddelbart skal kunne få oplyst, hvilke myndigheder mv. der via databehandleren abonnerer på oplysninger fra CPR om dem.

Problemet heri er, at denne formulering kan være uoverensstemmende med andre regelsæt, f.eks. sagsbehandlingslovens og andre regelsæts regler om tavshedspligt.

Formodentlig er der ingen af de grønlandske myndigheder, der abonnerer på CPR-oplysninger i en databehandlers navn, hvilket medfører, at vilkåret under pkt. 4 med sin brug af begreber, der er ukendte i Grønland, blot skaber forvirring.

Skulle der være enkelte myndigheder, der gør dette eller i fremtiden vil gøre dette, medfører vilkåret risiko for problemer i forbindelse med samspillet mellem den registreredes rettigheder og de forskellige regler om tavshedspligt.

6. Konklusion

Sammenfattende må det konkluderes, at der er stærke indikationer for, at en væsentlig del af de grønlandske myndigheder formentlig ikke vil (kunne) overholde Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets standardvilkår for grønlandske kommunalbestyrelsers og andre grønlandske myndigheders adgang til CPR.

Der er herved henset til, at de omfattende sikkerhedsregler i sikkerhedsbekendtgørelsen stiller høje krav – både specialiseret faglige og økonomiske – og samtidig er fremmede for Grønland. Ydermere er der forvejen problemer med at overholde de allerede gældende regler i lov om offentlige myndigheders registre, herunder reglerne om registerforskrifter, hvilket ikke gør de nye vilkår mere overkommelige.

Forsætlig eller groft uagtsom overtrædelse af vilkårene er sanktioneret med foranstaltninger efter kriminalloven, jf. vilkårenes pkt. 1, jf. anordningens § 57, stk. 1, nr. 4. Dette får dog formentlig ikke den store betydning, når henses til, at de grønlandske myndigheder vil være underlagt sikkerhedsbekendtgørelsens regler i henhold til aftale med Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret (og ikke fordi de er omfattede af bekendtgørelsens almindelige anvendelsesområde). Myndighederne er derfor ikke underlagt Datatilsynets tilsynskompetence, og det er tvivlsomt, om Indenrigs- og Sundhedsministeriet, IT- og CPR-kontoret, har ressourcer til at føre en nærmere kontrol med overholdelsen af vilkårene.

Hvis der er alvorlig intention bag reglerne, bør de følges op med ikraftsættelse for Grønland af tilstødende regelsæt og reelt tilsyn fra de kompetente myndigheder.

Samtidig er det dog nok ikke realistisk, at de grønlandske myndigheder vil kunne leve op til kravene inden for en overskuelig fremtid, hvorfor det også kunne overvejes at tilpasse vilkårene virkeligheden. Konsekvensen af misligholdelse kan (og bør) som bekendt være ophævelse af CPR-leveringsaftalerne; der er tale om personlige oplysninger, som fortjener beskyttelse, og i øvrigt er borgerne i høj grad opmærksomme på sikkerheden omkring deres personnummer- og andre CPR-oplysninger.

Noter

[1] Der burde tilsyneladende have stået ”i overensstemmelse med anordningen”, når sammenholdes med, at § 2, stk. 1, 2. pkt., fastsætter, at Indenrigs- og Sundhedsministeriet endvidere administrerer CPR i overensstemmelse med reglerne i lov om Det Centrale Personregister.
[2] En liste over sikre tredjelande kan findes på Datatilsynets hjemmeside og Kommissionens hjemmeside.
[3] Standardvilkårene, som bl.a. indeholder nærmere regler for de grønlandske myndigheders videre behandling af indsamlede CPR-oplysninger, omtales nærmere nedenfor under 4.
[4] Bemærk, at behandlingsregler fastsætter, hvad man må gøre med oplysninger, mens sikkerhedsregler fastsætter, hvordan man skal gøre det.
[5] § 33, stk. 1, regulerer offentlige myndigheders enkeltforespørgsler i CPR, som skal ske ved henvendelse til en kommunalbestyrelse (”Folkeregisteret i X-kommune”). Dette svarer i vidt omfang til enhver borgers ret til at få CPR-oplysninger efter § 42.
[6] Konkrete opslag i CPR via terminaladgang.
[7] F.eks. faste opdateringer af navne- og adresseoplysninger i en myndigheds klientdatabase.
[8] Det bemærkes, at pkt. 3.1. indledningsvis placerer ansvaret for overholdelse af sikkerhedsbestemmelser mv. hos den myndighed, der er dataansvarlig for behandlingen af personoplysninger. Dette er problematisk, eftersom begrebet ”dataansvarlig” stammer fra persondatalovens § 3, nr. 4, hvor ”den dataansvarlige” er defineret som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Jf. ovenfor under 2.2. er det ikke givet, at den part, der i det konkrete tilfælde er underlagt Indenrigs- og Sundhedsministeriet, IT- og CPR-kontorets standardvilkår, er omfattet af persondatalovens anvendelsesområde og dermed overhovedet er eller har en dataansvarlig myndighed.
[9] Også her er det i øvrigt problematisk, at vilkårene bruger et begreb hentet fra persondataloven, som ikke gælder for Grønland. ”Databehandleren” er i lovens § 3, nr. 5, defineret som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
[11] Udtalelsen (j.nr. 2005-632-0077) kan findes på Datatilsynets hjemmeside.
[12] Jf. persondatalovens § 5, stk. 1.