Referenceregister – ingen bemærkninger

Referenceregister – ingen bemærkninger

Offentlig ret Ansættelsesret EU-ret Persondata og cybersikkerhed
Datatilsynet afviste at rejse tilsynssag mod en kommune, der ville etablere et internt referenceregister i én forvaltning. Udtalelsen bekræfter, at sådanne registre kan være lovlige under GDPR, hvis formål, adgang og slettefrister er snævert afgrænset og dokumenteret.
SC
Selma Carøe
SS
Søren Skjerbek

Datatilsynet fandt ikke grundlag for at indlede tilsynssag mod en kommune, der planlagde et internt referenceregister i én forvaltning. Registret skulle alene indikere, om en ansøger tidligere var registreret som følge af væsentlig misligholdelse af ansættelsesforholdet, særligt i borgervendte funktioner. Opslag var forbeholdt ledere og chefer i den pågældende forvaltning, søgning skete via CPR, og detaljeret indhold skulle håndteres via HR. Oplysningerne skulle som udgangspunkt slettes efter fem år.

Datatilsynets vurdering

Baggrunden var offentlig debat om lovligheden af sådanne registre. Kommunen redegjorde for, at behandlingen kun vedrørte intern deling af allerede behandlede personoplysninger inden for samme forvaltningsgren, at anvendelsen var snævert afgrænset til rekrutteringssituationer, og at adgangen var stærkt begrænset. Datatilsynet konkluderede herefter, at der ikke var anledning til at rejse en sag.

Udtalelsen indikerer, at referenceregistre kan være forenelige med GDPR, hvis de indrettes stramt efter principperne om formålsbegrænsning, dataminimering, opbevaringsbegrænsning samt integritet og fortrolighed, og hvis adgangen er kontrolleret. Den konkrete udformning og organisatoriske forankring var væsentlig for vurderingen.

Praktiske rammer for referenceregistre

Arbejdsgivere – også offentlige – bør ved etablering af referenceregistre klart definere formål, datasæt, målgrupper og beslutningsprocesser. En binær markering af registrering, kombineret med videre håndtering hos HR, reducerer risiko for overbehandling og sikrer, at vurderinger sker i en saglig, individuel ramme.

Transparens over for de registrerede, dokumenteret slettepolitik og styring af brugeradgang er centrale. Der bør foretages en risikovurdering og, hvor relevant, overvejes en konsekvensanalyse. Afgrænsning til én forvaltningsgren og fravær af udlevering på tværs af juridiske enheder taler for proportionalitet.

Følgende kontrolpunkter er ofte relevante ved etablering af referenceregistre:

  1. Fastlæg lovligt behandlingsgrundlag efter GDPR og databeskyttelsesloven samt dokumentér interesseafvejning, hvis relevant.
  2. Beskriv formål og datafelter snævert og undgå følsomme oplysninger, medmindre særskilt hjemmel foreligger.
  3. Etabler adgangsstyring, logning og regelmæssig kontrol af opslag.
  4. Implementér klare slettefrister og automatiserede sletteprocedurer.
  5. Sikre informationspligt, håndtering af indsigtsanmodninger og øvrige rettigheder.
  6. Vurder behov for konsekvensanalyse og tilpas tekniske og organisatoriske foranstaltninger.

Afgørelsen giver praktisk pejlemærke, men er ikke et generelt carte blanche. Hver løsning skal vurderes konkret og løbende efterleves gennem politikker, træning og kontrol.

Læs hele artiklen hos Norrbom Vinding →
Søgeord
GDPR, Ansættelsesret, Risikovurdering, Forvaltningsret, Datatilsynet, Behandlingsgrundlag, GDPR art 6, Databeskyttelsesforordningen, Kommunal forvaltning, Sikkerhedsforanstaltninger, Informationspligt, Dataminimering, GDPR art 32, Konsekvensanalyse DPIA, Registreredes rettigheder, Interne retningslinjer, Personoplysninger, Formålsbegrænsning, Bortvisning, Proportionalitet, Opbevaringsperiode, Interne kontroller, Fortrolighed, GDPR art 5, Offentlig myndighed, Adgangsstyring, Arbejdsgiveransvar, HR compliance, Legitime interesser, Opbevaringsbegrænsning, Adgangskontrol, Tilsynssag, Disciplinærsager, Slettefrister, CPR, Genansættelse, Intern deling, Datansvarlig, Referenceregister, Interne referenceregistre, Adgang for ledere

Relaterede artikler

Dårligt nyt om skatteforbehold
Kromann Reumert

Dårligt nyt om skatteforbehold

Landsskatteretten tilsidesætter et skatteforbehold, fordi gaveværdien var åbenlyst uforenelig med handelsværdien. Afgørelsen skærper kravet om god tro og realitetsnær værdiansættelse ved familieoverdragelser af unoterede anparter.
SAF-T version 2 og rettelser til standardkontoplanen
Erhvervsstyrelsen

SAF-T version 2 og rettelser til standardkontoplanen

Erhvervsstyrelsen udgiver SAF-T 2 og retter fejl i standardkontoplanen. Registrerede bogføringssystemer får krav om understøttelse fra 2027, med nye MIFU-regler, obligatoriske datastrukturer og forbedret XML-håndtering for effektiv myndighedsindberetning.
EDPB og EDPS vedtager fælles udtalelse om Digital Omnibus
Datatilsynet

EDPB og EDPS vedtager fælles udtalelse om Digital Omnibus

EDPB og EDPS bakker op om forenkling i Digital Omnibus, men advarer mod at indsnævre GDPR’s definition af personoplysninger. De foreslår justeringer om AI, indsigt og automatiske afgørelser og ser positivt på enklere cookieregler, forskning og strømlinet brudsanmeldelse.
Datatilsynet afslutter tilsyn med skolefotoudbydere
Datatilsynet

Datatilsynet afslutter tilsyn med skolefotoudbydere

Datatilsynet afslutter tilsyn med skolefotoudbydere: Reglerne efterleves generelt, men én udbyder må forkorte opbevaring af skolefotos fra op til ti år til tre. Myndigheden betoner klar rollefordeling, databehandleraftaler og effektive slette- og rettighedsprocedurer.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Accura Advokatpartnerselskab
Accura Nordhavn søger erfaren complianceprofil med fokus på GDPR
Accura Advokatpartnerselskab
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Styrelsen for Patientklager
Vi søger studentermedhjælper til Styrelsen for Patientklager
Styrelsen for Patientklager
Erhvervsministeriet
Vil du arbejde med udvikling af dansk forsvarsindustri?
Erhvervsministeriet
GF Forsikring
AI-jurist til Koncernjura
GF Forsikring
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →