Rættarregluevni (einans høvuðslógir og galdandi lógir):
Rættarreglubólkur:
Gildisstøða:
Ár:
Felagsmál / Sermál:
Mál:
Myndugleiki:
Um rættarregluna
  • Bólkur: Bekendtgørelse
  • Gildisstøða: Galdandi
  • Felagsmál/Sermál: Felagsmál
  • Myndugleiki: Løgmansskrivstovan
  • Útgávudagur: 14-09-2017
Tilvísingar
Kunngerðablaðið
  • Kunngerðarblað 2017 B - Bekendtgørelse 1059 frá 12. september 2017
  • Rættarreglan soleiðis sum hon upprunaliga varð kunngjørd í Kunngerðablaðnum
Valmøguleikar
Tín lógalisti

12. september 2017Nr. 1059

Bekendtgørelse for Færøerne om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for domstolene

I medfør af § 41, stk. 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som sat i kraft for rigsmyndighedernes behandling af oplysninger på Færøerne ved anordning nr. 754 af 19. juni 2017, fastsættes:

Kapitel 1

Almindelige bestemmelser

§ 1. Denne bekendtgørelse gælder for behandling af personoplysninger, som foretages for domstolene helt eller delvis ved hjælp af elektronisk databehandling.

§ 2. Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2.

Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Domstolsstyrelsen efter reglerne i kapitel 14 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet.

§ 3. Den dataansvarlige domstol skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.

§ 4. Domstolsstyrelsen fører tilsyn med overholdelsen af denne bekendtgørelse og kan i den forbindelse træffe afgørelse vedrørende de af den dataansvarlige domstol trufne sikkerhedsforanstaltninger, jf. § 3.

Kapitel 2

Generelle sikkerhedsbestemmelser

§ 5. Den dataansvarlige domstol skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger ved domstolen til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for domstolens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for domstolen.

Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold ved domstolen.

§ 6. Den dataansvarlige domstol skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af § 5.

§ 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarlige domstols vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en stat, der er medlem af Den Europæiske Union, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Stk. 2. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige domstols lokaliteter, skal domstolen fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages.

§ 8. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

§ 9. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i § 3 iagttages.

Inddatamateriale som indeholder personoplysninger

§ 10. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i § 2, stk. 2, skal opbevares aflåst, når det ikke anvendes.

Stk. 2. Inddatamateriale som nævnt i stk. 1, skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige domstol nærmere fastsat frist.

Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab.

Autorisation og adgangskontrol

§ 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles.

Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.

Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.

§ 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.

Uddatamateriale som indeholder personoplysninger

§ 13. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages.

Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system.

Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri.

Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige domstol nærmere fastsat frist.

Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab.

Stk. 6. Bestemmelserne i stk. 1-5, gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register, ligesom bestemmelserne i stk. 1-5 ikke gælder for uddatamateriale, som efter lovgivningen er tilgængelig for enhver.

Eksterne kommunikationsforbindelser

§ 14. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.

Kapitel 3

Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

§ 15. Bestemmelserne i kapitel 3 finder ikke anvendelse i det omfang de behandlede oplysninger ikke i sig selv ville være omfattet af anmeldelsespligt til Domstolsstyrelsen.

Autorisation og adgangskontrol

§ 16. Autorisationer, jf. § 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.

§ 17. Det skal mindst én gang hvert halve år kontrolleres, at de autoriserede personer fortsat opfylder betingelserne i § 11, stk. 2 og 3, og § 16.

Kontrol med afviste adgangsforsøg

§ 18. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning ved domstolen.

Logning

§ 19. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Hvis der er et særligt behov herfor, kan loggen opbevares i op til 5 år.

Stk. 2. Bestemmelsen i stk. 1, finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige domstol nærmere fastsat kortere frist.

Stk. 3. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen.

Kapitel 4

Ikrafttræden

§ 20. Bekendtgørelsen træder i kraft den 15. september 2017.

 

 

Justitsministeriet, den 12. september 2017

 

SØREN PAPE POULSEN

 

/ Jakob Lundsager