Kirsten Normann Andersen svarer 
Mette KierkgaardHar plejevirksomheder mulighed for at udarbejde interne registre på uønskede medarbejdere?
Altingets robotMinistersvar er robotgenereret indhold, der oprettes automatisk på basis af Folketingets database over de spørgsmål, der stilles af Folketingets medlemmer og besvares af regeringens ministre. Overskrifterne er skrevet af Altinget. Altinget tager forbehold for fejl i indholdet.
Vil ministeren oplyse, om private plejevirksomheder har de samme muligheder for at udarbejde interne registre på uønskede medarbejdere, og i fald det er tilfældet, hvordan Datatilsynet kontrollere, at sådanne registre overholder gældende lovgivning? Spørgsmålet henviser til Justitsministerens besvarelse af ÆLU alm. del – spørgsmål 126 (2024-25).
Jeg har til brug for besvarelse af spørgsmålet indhentet bidrag fra Justitsministeriet, som jeg henholder mig til.
Justitsministeriet oplyser følgende:
”Justitsministeriet har indhentet en udtalelse fra Datatilsynet, der har oplyst følgende:
”Det følger af databeskyttelsesforordningens artikel 6, stk. 1, at behandling af personoplysninger kun er lovlig, hvis og i det omfang mindst ét af de forhold, der er nævnt i litra a)– f), gør sig gældende.
Som Datatilsynet redegjorde for i sit bidrag til besvarelse af spørgsmål nr. 126 (Alm. del) fra Ældreudvalget, henviste Aarhus Kommune til databeskyttelsesforordningens artikel 6, stk. 1, litra e. Ifølge databeskyttelsesforordningens artikel 6, stk. 1, litra e, kan behandling af personoplysninger ske, hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Ifølge databeskyttelsesforordningens artikel 6, stk. 1, litra f, kan (private) dataansvarlige behandle personoplysninger, i det omfang behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der 1 kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Det er Datatilsynets umiddelbare opfattelse, at en privat dataansvarlig med henvisning til artikel 6, stk. 1, litra f, som udgangspunkt kan udarbejde et internt referenceregister til de formål og under de forudsætninger, som gælder for Aarhus Kommunes register. Det vil bl.a. indebære, at der ikke videregives oplysninger fra referenceregistret til tredjeparter (dvs. at registret er internt), at der alene registreres personer, der efter en konkret vurdering væsentligt har misligholdt deres tidligere ansættelse, at opslag i registret kun foretages af den eller de medarbejdere, for hvem oplysningerne er relevante, og at oplysningerne slettes, når de ikke længere er nødvendige til det pågældende formål.
I det omfang, der er tale om et internt referenceregister, stilles der i databeskyttelsesreglerne ikke krav om indhentelse af tilladelse fra Datatilsynet i forbindelse med behandling af personoplysninger. Det medfører, at Datatilsynet som udgangspunkt ikke bliver gjort bekendt med registret ved registrets tilblivelse. Datatilsynet modtager dog løbende henvendelser, herunder forespørgsler og tips, der indgår i Datatilsynets overvejelser om, hvilke sager tilsynet skal starte, eventuelt af egen drift. Hvis en person er blevet registreret i et referenceregister, har den pågældende endvidere mulighed for at indgive en klage til Datatilsynet.
I den konkrete sag vedrørende Aarhus Kommunes referenceregister blev Datatilsynet bekendt med registret i forbindelse med en nyhedsartikel på dr.dk 1 og indledte på den baggrund en undersøgelse af egen drift.””
