Læs et uddrag af spørgsmål og Datatilsynets svar her i nyheden, men det samlede katalog med svar findes her: (Udløbet)
Skal alle dokumenter med personoplysninger låses inde og destrueres?
På rådhusene er man i tvivl om, hvorvidt GDPR stiller krav om, at de skal indkøbe skabe med låse til alle dokumenter med personoplysninger inde. Ligesom de spørger, om de skal have makulatorer til at destruere dokumenter med personoplysninger eller om de blot kan smides i skraldespanden.
Svar: Personoplysninger bør ikke ligge frit fremme. Hvis der er almindelig adgang for borgere, skal dokumenterne gemmes væk. Det kan være besværligt, men hensynet er, at en borger ikke får sin nabos sag at se ved et besøg på rådhuset. Hvordan oplysningerne rent praktisk opbevares eller smides ud, er op til den enkelte kommune at bestemme. Man kan med fordel tænkte ”ville jeg selv være tryg ved, at mine oplysninger blev destrueret på denne måde”?
Frygt for at bruge it-systemerne
En sagsbehandler er i tvivl om, hvorvidt det er lovligt efter GDPR at registrere forskellige tiltag ift. et barn i kommunens ESDH-system i kladdeform. I stedet forsøger hun at huske det i hovedet.
Svar: Så længe oplysningerne er relevante og nødvendige for sagsbehandlerens arbejde, må hun gerne registrere og arkivere oplysningerne i kommunens sagsbehandlingssystem. Det er naturligt, at sådanne oplysninger registreres i systemet, også af hensyn til journaliseringspligten. Datatilsynet anbefaler, at fornøden vejledning herom indarbejdes i f.eks. eksisterende vejledninger til sagsbehandlerne om forpligtelser efter forvaltningsloven, offentlighedsloven mv.
Må man rekvirere kontaktoplysninger i nabokommunen ved høringer af lokalplaner?
Medarbejdere i teknisk forvaltning spørger om de ift GDPR kan bede nabokommunen om personoplysninger som navn, adresse og cpr-nummer på borgere, som bliver berørt af kommunens lokalplansforslag og derfor skal høres.
Svar: Hvis det er nødvendigt at anvende CPR med henblik på fx entydig identifikation til brug for udsendelse af Digital Post, vil det være lovligt at behandle disse oplysninger. Oplysninger som navn og adresse vil det også være helt i orden at behandle i denne sammenhæng.
Må kommunerne offentliggøre høringssvar?
Er det i strid med GDPR, hvis kommunerne på deres hjemmesider offentliggør alt indholdet i høringssvar fra borgerne, da disse indeholder oplysninger som navn og adresse. Mange kommuner bruger lang tid på at slette disse oplysninger fra udvalgsdagsordenerne, inden de lægges på kommunens hjemmeside.
Svar: Så længe der er tale om almindelige oplysninger som navn og adresse, må kommunerne, ligesom f.eks. Folketinget, offentliggøre høringssvarene. Der findes i øvrigt programmer, som kan foretage automatiske screeninger af dokumenter for eksempelvis personnummer, hvilket kan lette sådanne processer betydeligt.
Kan kontakt til udsatte borgere ske via sms?
Socialarbejdere er bekymrede for, om GDPR sætter grænser for, hvad de må skrive i SMS'er til borgerne, fordi sms ofte er den eneste måde at være i dialog med disse borgere. Fx at borgeren skal huske at møde op på alkoholambulatoriet den næste dag. Eller at reglerne gør, at medarbejderne ikke kan svare på borgernes sms'er, hvis de fx skriver noget om helbred.
Svar: Datatilsynet anbefaler, at myndigheder sender sms’er til borgerne, hvor følsomme og andre særligt beskyttelsesværdige oplysninger udelades i beskeden. Der vil være særlige tilfælde, hvor databeskyttelsen må vige for mere tungtvejende hensyn, sådan at en sms med følsomt indhold undtagelsesvis og i konkrete tilfælde kan benyttes. Særligt, hvor det efter et socialfagligt eller lægeligt skøn er påkrævet med en sms for at få kontakt.
Må personoplysninger fremgå af det digitale byggesagsarkiv
Kommunerne er i tvivl om GDPR-reglerne gør, at de skal slette personoplysninger, herunder navn og adresse, fra de byggesagsdokumenter, der fremgår af det kommunale digitale byggesagsarkiv på nettet, weblager.dk"
Svar: Det vil normalt være lovligt at offentliggøre oplysninger om navn og adresse (der ikke er beskyttede i cpr-registeret), hvis det tjener et sagligt formål. Datatilsynet ser til tider sager, hvor der fx fremgår personnumre, og det går ikke.