Senere ændringer til forskriften
Ændrer i/ophæver
Den fulde tekst

Cirkulære om fælles dataansvar i forbindelse med Kirkeministeriets fælles systemer vedrørende personregistrering, valg til menighedsråd samt sognebåndsløsning

Indledning

Kirkeministeriet understøtter folkekirken blandt andet ved at sikre tidssvarende administrative rammer for folkekirkens virke. Det sker blandt andet i medfør af § 24 i lov om valg til menighedsråd, § 12, stk. 3, i lov om menighedsråd, §§ 4 og 13 i lov om medlemskab af folkekirken, kirkelig betjening og sognebåndsløsning, § 4 i lov om anmeldelse af fødsler og dødsfald samt i form af bistand til udvikling af fælles systemer og rammer i dialog med folkekirkens interessenter. Kirkeministeriet sikrer herved, at fælles systemer og rammer understøtter efterlevelse af databeskyttelsesforordningen.

Kirkeministeriet stiller således fælles systemer til rådighed til brug for personregistrering, valg til menighedsråd samt sognebåndsløsning, som myndigheder og institutioner inden for Kirkeministeriets ressort enten tilbydes at benytte eller er forpligtet til at benytte i medfør af regler fastsat af kirkeministeren.

Myndigheder og institutioner, som ikke er forpligtet til at benytte de af Kirkeministeriet leverede systemer, men som vælger at benytte disse, anvender systemerne på samme vilkår, som gælder for myndigheder og institutioner, der er forpligtet til at anvende dem.

Dette cirkulære gælder derfor for myndigheder og institutioner inden for Kirkeministeriets ressort, herunder personregisterførere, menighedsråd, valgbestyrelser og stiftsadministrationer, der anvender de fælles systemer vedrørende personregistrering, valg til menighedsråd samt sognebåndsløsning, som Kirkeministeriet stiller til rådighed.

Oplysninger om, hvilke systemer Kirkeministeriet leverer, hvilke behandlingsaktiviteter disse systemer understøtter, samt hvilke data der findes i systemerne fremgår af www.folkekirkensit.dk/systemer.

Fælles dataansvar efter databeskyttelsesforordningen

Efter databeskyttelsesforordningens artikel 26 foreligger der fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af persondata. Dette er tilfældet for de fælles systemer til brug for personregistrering, valg til menighedsråd samt sognebåndsløsning, som Kirkeministeriet stiller til rådighed.

Foreligger der fælles dataansvar, skal de fælles dataansvarliges respektive ansvar for overholdelse af forpligtelserne i henhold til forordningen fastlægges på en gennemsigtig måde, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i forordningens artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.

Dette cirkulære har til formål at fastlægge fordelingen af fælles dataansvar mellem to eller flere myndigheder eller institutioner inden for Kirkeministeriets ressort, som anvender de fælles systemer, som Kirkeministeriet stiller til rådighed.

De enkelte myndigheder og institutioner, som anvender de fælles systemer, er som led i deres efterlevelse af databeskyttelsesforordningens regler derfor forpligtet til at gøre sig bekendt med indholdet af cirkulæret og følge det i forbindelse med deres behandling af personoplysninger ved hjælp af de fælles systemer.

1.
Fælles dataansvar for systemer til brug for personregistrering, valg til menighedsråd samt sognebåndsløsning, som stilles til rådighed af Kirkeministeriet
 
1.1.
I dette cirkulære fastsættes bestemmelser om ansvarsfordelingen mellem Kirkeministeriet og de myndigheder og institutioner, der anvender de systemer til brug for personregistrering, valg til menighedsråd samt sognebåndsløsning, der stilles til rådighed af Kirkeministeriet.
I forbindelse med myndighedernes og institutionernes anvendelse af disse systemer foreligger der et fælles dataansvar i henhold til databeskyttelsesforordningen, idet de behandlinger af personoplysninger, som finder sted i systemerne, sker til både Kirkeministeriets og øvrige myndigheders og institutioners formål og med fælles hjælpemidler (systemet).
 
1.2.
I visse tilfælde anvendes og indsamles personoplysninger, som en myndighed eller institution behandler i systemerne, ligeledes af andre myndigheder eller institutioner inden for Kirkeministeriets ressort, fordi disse har behov for oplysningerne til en viderebehandling, som foretages i medfør af bestemmelser fastsat af kirkeministeren og uden instruks fra de førstnævnte myndigheder eller institutioner.
Tilsvarende indsamler Kirkeministeriet i visse tilfælde myndighedernes og institutionernes data fra en række systemer til statistikformål, analyser, lovbestemt afrapportering og lignende.
I disse tilfælde sker viderebehandlingen til den viderebehandlende myndigheds eller institutions henholdsvis Kirkeministeriets egne formål og med den viderebehandlende myndighed eller institution henholdsvis Kirkeministeriet som ene dataansvarlig. En sådan viderebehandling af oplysningerne er derfor ikke omfattet af indeværende cirkulære om ansvarsfordelingen ved fælles dataansvar.
2.
Overordnet ansvarsfordeling
 
2.1.
Som bruger af systemerne er den enkelte myndighed og institution bl.a. ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen, herunder korrekt indsamling og registrering af oplysninger. Den enkelte myndighed og institution er som udgangspunkt ansvarlig for udøvelsen af den registreredes rettigheder.
 
2.2.
Kirkeministeriet, der stiller de fælles systemer til rådighed, er bl.a. ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer.
 
2.3.
Den registrerede kan, uanset fordelingen af dataansvaret ifølge dette cirkulære, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
3.
Principper og behandlingshjemmel
 
3.1.
Den enkelte myndighed og institution er ansvarlig for, at der foreligger en hjemmel til behandling af de personoplysninger, som myndigheden eller institutionen registrerer og behandler i systemerne.
 
3.2.
Den enkelte myndighed og institution er ligeledes ansvarlig for at kunne dokumentere en gyldig behandlingshjemmel.
 
3.3.
Den enkelte myndighed og institution er ansvarlige for at overholde principperne for behandling af personoplysninger samt god databehandlingsskik, i det omfang reglerne finder anvendelse på den pågældendes ansvarsområder i medfør af dette cirkulære.
4.
De registreredes rettigheder
 
4.1.
Den enkelte myndighed og institution er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:
   
-
oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
   
-
den registreredes indsigtsret,
   
-
ret til berigtigelse,
   
-
ret til sletning (retten til at blive glemt),
   
-
ret til begrænsning af behandling,
   
-
underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, og
   
-
ret til indsigelse mod en behandling.
 
4.2.
 
Den enkelte myndighed og institution er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede vedrørende de forhold, der er nævnt i punkt 4.1.
 
4.3.
 
Såfremt en myndighed eller institution modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er nævnt i punkt 4.1., og vedrørende en anden myndighed eller institution, jf. punkt 4.2., oversendes denne til besvarelse hos den relevante myndighed eller institution snarest muligt.
 
4.4.
 
Kirkeministeriet bistår myndighederne og institutionerne i det omfang, det er relevant og nødvendigt for, at de kan efterleve deres forpligtelser over for de registrerede.
5.
Dokumentation for overholdelse af databeskyttelsesforordningen
 
5.1.
Den enkelte myndighed og institution er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. Dette kan indebære, at den enkelte myndighed eller institution skal træffe relevante foranstaltninger, der fastsættes af Kirkeministeriet, som for eksempel procedurer for håndtering af sikkerhedsbrister, jf. databeskyttelsesforordningens artikel 32.
 
5.2.
Kirkeministeriets foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
 
5.3.
Kirkeministeriet er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25.
 
5.4.
Den enkelte myndighed og institution er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at institutionens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Dette kan eksempelvis indebære udarbejdelse af procedurer for anmodninger om indsigt eller opfyldelse af oplysningspligten (databeskyttelsesforordningens artikel 24).
6.
Anvendelse af databehandlere og underdatabehandlere
 
6.1.
Kirkeministeriet er berettiget til at anvende databehandlere og eventuelle underdatabehandlere i tilknytning til de fælles systemer, som Kirkeministeriet stiller til rådighed.
 
6.2.
Ved anvendelse af databehandlere og eventuelle underdatabehandlere er Kirkeministeriet ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Kirkeministeriet er herefter bl.a. forpligtet til
   
-
alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske sikkerhedsforanstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
   
-
at sikre, at der foreligger en gyldig databehandleraftale mellem Kirkeministeriet og databehandleren, og
   
-
at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
 
6.3.
 
Kirkeministeriet skal på anmodning fra en myndighed eller institution oplyse, om oplysningerne behandles af databehandlere og evt. underdatabehandlere.
 
6.4.
 
Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, kan Kirkeministeriet efter anmodning fra myndighederne og institutionerne oplyse om indholdet af aftalerne.
7.
Fortegnelse
 
7.1.
Kirkeministeriet er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Kirkeministeriet fører fortegnelser over de behandlingsaktiviteter, som foretages i de fælles systemer.
 
7.2.
Kirkeministeriet orienterer myndighederne og institutionerne om indholdet af ovennævnte fortegnelser.
 
7.3.
Den enkelte myndighed og institution skal i fornødent omfang udarbejde egne fortegnelser over behandlingsaktiviteter, som sker ved anvendelse af de fælles systemer.
8.
Behandlingssikkerhed
 
8.1.
Kirkeministeriet er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Kirkeministeriet skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Dette skal ske under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Dette indebærer, at Kirkeministeriet skal foretage en risikovurdering og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
 
8.2.
Den enkelte myndighed og institution er forpligtet til at gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens anvendelse af systemerne, herunder f.eks. foranstaltninger i forbindelse med den fysiske sikkerhed.
9.
Anmeldelse af brud på persondatasikkerheden til Datatilsynet
 
9.1.
Kirkeministeriet er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet.
 
9.2.
Den enkelte myndighed og institution er dog ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 33 om anmeldelse, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet.
10.
Underretning om brud på persondatasikkerheden til den registrerede
 
10.1.
Kirkeministeriet er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.
 
10.2.
Den enkelte myndighed og institution er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning til den registrerede om brud på persondatasikkerheden, såfremt et brud på persondatasikkerheden skyldes egen uberettiget anvendelse af systemet. I et sådant tilfælde bistår Kirkeministeriet myndigheden eller institutionen med oplysninger, som er nødvendige for, at den kan overholde sine forpligtelser over for den registrerede.
11.
Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
 
11.1.
Kirkeministeriet er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Kirkeministeriet forud for behandlingen skal foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
 
11.2.
Kirkeministeriet er ligeledes ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af Datatilsynet, når kravet i artikel 35 om konsekvensanalyse finder anvendelse.
12.
Overførsel af personoplysninger til tredjelande eller internationale organisationer
 
12.1.
Kirkeministeriet er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V i tilfælde af overførsel af personoplysninger til tredjelande eller internationale organisationer.
 
12.2.
Den enkelte myndighed og institution er ansvarlig for iagttagelsen af databeskyttelsesforordningens kapitel V, såfremt overførslen af personoplysninger til et tredjeland eller en international organisation sker i forbindelse med myndighedens eller institutionens anvendelse af systemet eller på foranledning af myndigheden eller institutionen.
13.
Klager
 
13.1.
Kirkeministeriet er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke Kirkeministeriet efter dette cirkulære er ansvarlig.
 
13.2.
Den enkelte myndighed og institution er ansvarlig for behandling af eventuelle klager fra registrerede, såfremt klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke myndigheden eller institutionen efter dette cirkulære er ansvarlig.
 
13.3.
Såfremt en myndighed eller institution modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlige snarest muligt.
 
13.4.
Såfremt en myndighed eller institution modtager en klage, hvor en del af klagen rettelig bør behandles af en anden dataansvarlig, oversendes denne del til besvarelse hos denne dataansvarlige snarest muligt.
 
13.5.
Den registrerede skal, i forbindelse med en myndigheds eller institutions oversendelse af en klage eller en del heraf til en anden dataansvarlig, oplyses om det væsentligste indhold af dette cirkulære.
14.
Gensidig orientering
 
14.1.
Myndigheder og institutioner orienterer hinanden om væsentlige forhold, der har betydning for de behandlinger og fælles systemer, der er omfattet af dette cirkulære.
15.
Ikrafttrædelse
 
15.1.
Dette cirkulære træder i kraft den 25. maj 2018.

Kirkeministeriet, den 23. maj 2018

Torben Stærgaard
kontorchef