Skrivar tú trygging verður eisini leitað eftir øðrum endingum av orðinum sum t.d. tryggingar og tryggingarvirksemi.
Skrivar tú ?trygging verður leitað eftir orðum sum t.d. lívstrygging og lívstryggingar.
Skrivar tú ”trygging” verður einans leitað eftir júst hesum sniðnum av orðinum.
22. februar 2021Nr. 254
Bekendtgørelse for Færøerne om sikkerhedsforanstaltninger til beskyttelse af oplysninger om fysiske og juridiske personer, som behandles for Politiets Efterretningstjeneste
I medfør af § 7, stk. 2, og § 8, stk. 2, i anordning nr. 1623 af 17. november 2020 om ikrafttræden for Færøerne af lov om Politiets Efterretningstjeneste (PET) fastsættes:
Kapitel 1
Almindelige bestemmelser
§ 1. Denne bekendtgørelse gælder for behandling af oplysninger om fysiske og juridiske personer, som foretages for Politiets Efterretningstjeneste helt eller delvis ved hjælp af elektronisk databehandling.
§ 2. Behandling af oplysninger om fysiske og juridiske personer skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2.
Stk. 2. Behandling af oplysninger om fysiske og juridiske personer skal tillige ske i overensstemmelse med bestemmelserne i kapitel 3, medmindre andet fremgår af kapitel 4.
§ 3. Politiets Efterretningstjeneste skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at oplysninger om fysiske og juridiske personer hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om Politiets Efterretningstjeneste. Tilsvarende gælder for databehandlere, der behandler oplysninger om fysiske eller juridiske personer for Politiets Efterretningstjeneste.
Kapitel 2
Generelle sikkerhedsbestemmelser
§ 4. Politiets Efterretningstjeneste skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i efterretningstjenesten til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af indog uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for Politiets Efterretningstjenestes tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for efterretningstjenesten.
Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i efterretningstjenesten.
§ 5. Politiets Efterretningstjeneste skal give den fornødne instruktion til de medarbejdere, som behandler oplysninger om fysiske og juridiske personer. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af § 4.
§ 6. Hvis behandling af oplysninger om fysiske og juridiske personer foretages af en databehandler på Politiets Efterretningstjenestes vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
Stk. 2. Hvis behandling af oplysninger om fysiske og juridiske personer finder sted på en pc-arbejdsplads uden for Politiets Efterretningstjenestes lokaliteter, skal efterretningstjenesten fastsætte særlige retningslinjer herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages.
§ 7. På steder, hvor der foretages behandling af oplysninger om fysiske og juridiske personer, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.
§ 8. I forbindelse med reparation og service af dataudstyr, der indeholder oplysninger om fysiske og juridiske personer, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at bestemmelsen i § 3 iagttages.
Inddatamateriale som indeholder oplysninger om fysiske og juridiske personer
§ 9. Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som skal behandles i overensstemmelse med kapitel 3, skal opbevares aflåst, når det ikke anvendes.
Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede oplysninger om fysiske og juridiske personer, dog senest efter en af Politiets Efterretningstjeneste nærmere fastsat frist.
Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab.
Autorisation og adgangskontrol
§ 10. Kun de personer, som autoriseres hertil, må have adgang til de oplysninger om fysiske og juridiske personer, der behandles.
Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil oplysninger om fysiske og juridiske personer behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
§ 11. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de oplysninger om fysiske og juridiske personer og anvendelser, som de er autoriserede til.
Uddatamateriale som indeholder oplysninger om fysiske og juridiske personer
§ 12. Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af oplysningerne om fysiske og juridiske personer foretages.
Stk. 2. Herudover må uddatamateriale anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system.
Stk. 3. Uddatamateriale skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de oplysninger om fysiske og juridiske personer, som er indeholdt heri.
Stk. 4. Uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, og senest efter en af den dataansvarlige myndighed nærmere fastsat frist.
Stk. 5. Ved tilintetgørelse af uddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab.
Stk. 6. Bestemmelserne i stk. 1-5 gælder ikke for uddatamateriale, som indgår i en manuel sag eller i et manuelt register.
Eksterne kommunikationsforbindelser
§ 13. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til oplysninger om fysiske og juridiske personer.
Kapitel 3
Supplerende sikkerhedsforanstaltninger
Autorisation og adgangskontrol
§ 14. Autorisationer, jf. § 10, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette oplysninger om fysiske og juridiske personer.
§ 15. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i § 10, stk. 2 og 3, og § 14.
Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år.
Kontrol med afviste adgangsforsøg
§ 16. Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i Politiets Efterretningstjeneste.
Logning
§ 17. Der skal foretages maskinel registrering (logning) af alle anvendelser af oplysninger om fysiske og juridiske personer. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Politiets Efterretningstjeneste kan opbevare loggen i op til 5 år, hvis der er et særligt behov herfor.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for oplysninger om fysiske og juridiske personer, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af Politiets Efterretningstjeneste nærmere fastsat kortere frist.
Stk. 3. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger om fysiske og juridiske personer udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af oplysninger om fysiske og juridiske personer (»batch»-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen.
Stk. 4. Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af oplysningerne om fysiske og juridiske personer udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen.
Kapitel 4
Behandlingstyper
Ikke-fortrolige oplysninger
§ 18. Reglerne i kapitel 3 finder ikke anvendelse for behandling af oplysninger om fysiske og juridiske personer, som ikke omfatter oplysninger af fortrolig karakter. Tilsvarende gælder behandlingen af identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om behandling som nævnt i § 21.
Registeroplysninger
§ 19. Reglerne i kapitel 3 finder ikke anvendelse for behandling af oplysninger om fysiske og juridiske personer, hvis eneste formål er at føre et register, der i henhold til lov eller regler udstedt i medfør af lov er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden.
Personaleadministrationssystemer
§ 20. Reglerne i kapitel 3 finder ikke anvendelse for behandling af oplysninger om fysiske og juridiske personer, som foretages i forbindelse med administration af personaleforhold. Behandlingerne kan omfatte følgende oplysninger om personer, der virker eller har virket i offentlig tjeneste eller hverv, medmindre der er tale om behandling som nævnt i § 21:
1) Oplysninger om sygefravær og sygdomsperioder.
2) Oplysninger om begrundelsen for andet fravær fra arbejdet.
3) Pensionsforhold.
4) Kildeskatteoplysninger.
5) Oplysninger om kontonummer, hvortil løn skal anvises.
6) Lønindeholdelse, bortset fra oplysninger om begrundelsen for indeholdelsen.
7) Oplysninger om fratrædelsesgrund.
Stk. 2. De behandlinger, der er undtaget fra kapitel 3 efter denne bestemmelse, kan tillige omfatte enhver ikke-fortrolig oplysning, identifikationsoplysninger, herunder personnumre, samt oplysninger om betaling til og fra en offentlig myndighed, medmindre der er tale om behandling som nævnt i § 21.
§ 21. Særlige behandlingstyper:
1) Behandling, som omfatter oplysninger om racemæssige eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.
2) Behandling, som omfatter oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i nr. 1.
3) Behandling, som udelukkende finder sted med henblik på at føre retsinformationssystemer.
4) Behandling, som udelukkende finder sted i videnskabeligt eller statistisk øjemed.
5) Behandling, som omfatter sammenstilling eller samkøring af oplysninger i kontroløjemed.
Kapitel 5
Ikrafttræden
§ 22. Bekendtgørelsen træder i kraft den 1. marts 2021.
Justitsministeriet, den 22. februar 2021
Nick Hækkerup
/ Marie Mølsted