Spørgsmål nr. 286 (Alm. del) fra Folketingets Retsudvalg:

”Ministeren bedes redegøre for om det amerikanske selskabCSC der har overtaget Datacentralen stadig står for driften afdet danske CPR-register og strafferegister?”

Svar:

1.

Justitsministeriet kan indledningsvis oplyse, at det følger af personda-talovens § 41, stk. 1, at personer og virksomheder mv., der udfører arbej-de under den dataansvarlige eller databehandleren, og som får adgang tilpersonoplysninger, kun må behandle disse efter instruks fra den dataan-svarlige, medmindre andet følger af lov eller bestemmelser fastsat i hen-hold til lov.Det følger af lovens § 41, stk. 3, at den dataansvarlige skal træffe de for-nødne tekniske og organisatoriske sikkerhedsforanstaltninger bl.a. mod,at oplysninger kommer til uvedkommendes kendskab, misbruges eller iøvrigt behandles i strid med loven. Tilsvarende gælder for databehandle-re (den, der behandler oplysninger på den dataansvarliges vegne).De nærmere regler om behandlingssikkerhed i bekendtgørelse nr. 528 af15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personop-lysninger, som behandles for den offentlige forvaltning (som ændret vedbekendtgørelse nr. 201 af 22. marts 2001).

2.

Justitsministeriet har til brug for besvarelsen af spørgsmålet endvidereindhentet udtalelser fra Indenrigs- og Sundhedsministeriet og Rigspoliti-et.Indenrigs- og Sundhedsministeriet har oplyst følgende:”Driften af Det Centrale Personregister (CPR) varetages i dagaf CSC Danmark A/S i overensstemmelse med en kontraktmellem Indenrigs- og Sundhedsministeriet og CSC DanmarkA/S om drift, vedligeholdelse og bistand til udvikling afCPR-systemet. Kontrakten gælder for perioden 1. marts 2009– 28. februar 2013 og er resultatet af et EU-udbud.Efter kontrakten har alene Indenrigs- og Sundhedsministerietråderet, ejendomsret og ophavsret over de data, der i kraft afkontrakten overdrages til behandling hos CSC Danmark A/Ssamt resultaterne heraf.CSC Danmark A/S er ikke berettiget til at stille CPR-systemets data til rådighed for andre. Videregivelse af CPR-2

systemets data må kun ske inden for CPR-systemets rammerog i henhold til fastlagt driftsplan eller efter nærmere aftalemed Indenrigs- og Sundhedsministeriet.Efter CPR-lovens § 55, stk. 1, træffer Indenrigs- og Sund-hedsministeriet foranstaltninger, der muliggør bortskaffelseeller tilintetgørelse af CPR i tilfælde af krig eller lignendeforhold.Det er derfor i kontrakten med CSC Danmark A/S fastsat, atafvikling af driftsopgaven skal ske i Danmark. Det er i kon-trakten præciseret, at dette også gælder for backupmiljøer,yderligere backup samt sikkerheds- og katastrofeopbevaringaf registerdata, dokumentation mv. vedrørende driftsopgavenog CPR-data.I kontrakten er endvidere fastsat, at CSC Danmark A/S alenehandler efter instruks fra Indenrigs- og Sundhedsministeriet,samt at bl.a. reglerne i persondatalovens § 41, stk. 3, ligele-des gælder for CSC Danmark A/S’ behandling af CPR-data.Kontrakten giver endelig Indenrigs- og Sundhedsministerietret til selv eller ved uafhængig tredjepart at udføre tilsyn medCSC Danmark A/S’ produktion og opfyldelse af aftalte pro-cesser. Indenrigs- og Sundhedsministeriet udfører regelmæs-sigt sådant tilsyn via en uafhængig revisionsvirksomhed.”Rigspolitiet har oplyst følgende:”Driften af Kriminalregisteret varetages fortsat af CSC Dan-mark A/S i overensstemmelse med anmeldelsen til Datatilsy-net.Det er i kontrakten med CSC Danmark A/S fastslået, at danskret og lovgivning finder anvendelse, ligesom eventuelle tvi-ster afgøres ved en dansk domstol.Alle behandlinger foretages med hjemmel i bekendtgørelsenr. 218 af 27. marts 2001 om behandling af personoplysnin-ger i Det Centrale Kriminalregister (Kriminalregisteret) medsenere ændringer og i overensstemmelse med reglerne i per-sondataloven og bekendtgørelse nr. 528 af 15. juni 2000 omsikkerhedsforanstaltninger til beskyttelse af personoplysnin-ger, som behandles for den offentlige forvaltning.Såvel selve Kriminalregistret som dettes dataindhold er Rigs-politiets ejendom, og data kan ikke uden Rigspolitiets tilla-delse tilgå, videregives til eller benyttes af andre.Rigspolitiet fører i overensstemmelse med gældende reglerog instrukser tilsyn med overholdelsen af sikkerhedsforskrif-terne i forhold til CSC Danmark A/S.3

Efter dansk lovgivning og den indgåede kontrakt er CSCDanmark A/S ikke berettiget til at videregive oplysninger el-ler data fra Kriminalregisteret.Det er i den nuværende databehandlingsaftale med CSCDanmark A/S et vilkår, at databehandleren lever op til degældende regler i persondataloven, EU-direktivet om databe-skyttelse, den oven for omtalte sikkerhedsbekendtgørelsesamt de konkrete pålæg og instrukser i selve behandlingsafta-len, herunder at systemer og data fysisk skal befinde sig iDanmark.”

3.

Det bemærkes i tilknytning til anførte, at en databehandlers uberettige-de videregivelse af oplysninger fra Kriminalregistret eller CPR-registretvil kunne indebære en overtrædelse af straffelovens § 152 a, hvorefterstraffelovens § 152 om offentlig ansattes uberettigede videregivelse affortrolige oplysninger finde tilsvarende anvendelse bl.a. på den, som ereller har været beskæftiget med opgaver, der udføres efter aftale med enoffentlig myndighed. Overtrædelse af straffelovens § 152 a, jf. § 152, kanstraffes med bøde eller fængsel indtil 6 måneder.