Transportøren har ikke en eksplicit forpligtelse efter de svenske eller danske regler til at dokumen- tere den udførte kontrol ved skanning af billede-id, pas med videre. Transportøren må dog registre- re sådanne oplysninger for at kunne bevise udførelsen af kontrollen over for myndighederne. Der er i den forbindelse en række persondataretlige forhold, som alle transportører, der vælger at registre- re de rejsendes dokumentation, skal være opmærksomme på.
Om transportøransvaret i øvrigt henvises til vort nyhedsbrev af 16. december 2015.
De svenske og danske kontrol- og dokumentationskrav
Hverken de svenske eller danske regler foreskriver præcist, hvordan kontrollen skal udføres, idet de i stedet stiller krav til, hvilke dokumenter transportører skal kontrollere.
Mens de svenske regler overordnet består i at kontrollere, om de indrejsende har billede-id (såsom pas eller kørekort), vil det formentligt være et krav efter de danske regler at kontrollere både rejse- legitimation og visum. Den danske regering har oplyst, at der i tilfælde af indførelsen af transpor- tøransvaret vil blive udformet en kort vejledning for, hvilke dokumenter transportørerne skal kon- trollere.
I tilfælde hvor en immigrant efter indrejse stoppes af myndigheder, kan en transportør blive pålagt en bøde på 12.000 danske kr. eller 50.000 svenske kr., hvis transportøren ikke kan dokumentere, at kontrollen er blevet udført. Transportørerne kan derfor, i mangel af andet bevis, være nødsaget til at registrere følgende oplysninger:
- Oplysninger om kontrollens udførelse (dato og sted for kontrollens udførelse),
- Navn på den registrerede person,
- Kopi af rejselegitimationen med billede (f.eks. kørekort eller pas), og/eller
- Såfremt Danmark indfører transportøransvaret muligvis kopi af visum (hvis relevant)
Hvilke af ovenstående oplysninger, som transportøren vælger at registrere, kan afhænge af de tek- niske muligheder i forhold til kontrollens udførelse. Det afgørende er, at transportøren efter trans- portens udførelse kan dokumentere den fornødne udførelse af kontrol for den konkrete person.
Den danske persondatalov (lov nr. 429 af 31. maj 2000) (”persondataloven”) finde anvendelse på enhver form for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elek- tronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil bli- ve indeholdt i et register. Persondataloven gælder dog som udgangspunkt kun for databehandlin- ger, der foretages af en dataansvarlig, der er etableret i Danmark, og hvis aktiviteterne finder sted inden for EU/EEA.
Såfremt en transportør, der er etableret i Danmark, foretager en registrering af persondata i forbin- delse med kontrollen, vil den danske persondatalov finde anvendelse, uanset om registreringen sker i Danmark, Tyskland eller Sverige. For udenlandsk etablerede selskaber vil persondataloven ikke finde anvendelse, men disse må i stedet forholde sig til lovgivningen i det land, hvori selskabet er etableret.
Danske virksomheders registrering af oplysninger for overholdelse af transportøransvaret skal såle- des opfylde persondatalovens krav. Det betyder blandt andet, at registreringen og den senere be- handling skal opfylde betingelsen om god databehandlingsskik samt krav om behandlingshjemmel.
I forhold til kravet om behandlingshjemmel vil transportøren kunne registrere og senere behandle de påkrævede identifikationsoplysninger uden at skulle indhente den registreredes samtykke. Det er dog en forudsætning, at de registrerede oplysninger ikke har karakter af følsomme eller semiføl- somme oplysninger efter persondataloven.
Krav om samtykke ved registrering af CPR-numre
For så vidt angår CPR-numre kan disse kun registreres uden samtykke fra passagerne, når dette sker i medfør af danske regler. Såfremt registreringen sker af en dansk transportør for opfyldelse af de svenske regler, vil registreringen dermed nødvendiggøre samtykke. Ved registrering af kopi af et dansk pas eller kørekort vil transportøren registrere CPR-nummer. Der er ingen formkrav til sam- tykket, men det skal være udtrykkeligt. Det er således ikke tilstrækkeligt, at det er anført i de almin- delige billetvilkår. Det er transportørens ansvar at bevise, at samtykke er indhentet.
Oplysningsforpligtelser
Ifølge persondataloven skal transportøren (som dataansvarlig) på forhånd oplyse de rejsende om forskellige forhold om den påtænkte registrering. Disse forhold er:
- Navnet på transportøren, som foretager kontrollen
- Formålet med registreringen, dvs. opfyldelse af transportøransvaret
- Hvilke myndigheder (og evt. andre transportører) som oplysningerne kan videregives til
- At det er obligatorisk at få foretaget registreringen af oplysningerne, idet den rejsende ellers ikke vil blive tilladt at rejse videre
- At den rejsende har indsigt i hvilke af dennes oplysninger, som transportøren behandler
Det er transportøren, der skal bevise, at ovenstående oplysninger er givet. Det foreslås derfor at give oplysningerne på skrift, f.eks. på billetten eller ved at opstille skilte, hvor kontrollen udføres.
Benyttelsen af eksterne vagtkorps og datacentre til opbevaring af persondata
Flere virksomheder har i forbindelse med den af Sverige påkrævede kontrol antaget eksterne vagt- firmaer til at forestå kontrollen. En tilsvarende ordning kan blive aktuel i forhold til indrejse i Dan- mark, hvor kontrollen må forventes at være mere omfattende, jf. ovenfor, i forhold til registrering af visum mv.
Såfremt de eksterne kontrollører registrerer rejsedokumentation eller andre oplysninger om de rej- sende og overlader behandlingen til transportøren eller en ekstern datacenterleverandør på vegne af transportøren, skal der indgås en databehandlingsaftale. Denne skal opfylde forskellige krav efter persondataloven. En sådan aftale skal indgås både mellem transportøren (som dataansvarlig) og det eksterne vagtkorps og mellem transportøren og den eksterne datacenterleverandør.
Videregivelse af oplysninger mellem transportører
I enkelte tilfælde kan transportørerne have interesse i at modtage passageroplysninger fra andre transportører. Dette kan være ved tog- og bustransport, hvor den grænseoverskridende transport sker på en færgeoverfart. Selvom det er tog- eller bustransportøren, der skal foretage kontrollen, kan færgerederiet have vanskeligheder ved at dokumentere kontrollens udførelse for f.eks. en bus- passager, der har forladt bussen, hvis ikke færgerederiet modtager oplysninger fra bustransport- øren.
Denne videregivelse af oplysninger vil være omfattet af persondataloven og skal derfor være nød- vendig. Det vil næppe anses for nødvendigt systematisk at videregive oplysningerne på forhånd, idet det kan ske efterfølgende for en konkret passager.
Opbevaring af oplysninger og sletning
Det følger af persondataloven, at oplysningerne ikke må opbevares længere, end hvad der er nød- vendigt for at varetage behandlingens formål. Den svenske regering har ifølge vore oplysninger uformelt oplyst til flere transportører, at det vil være tilstrækkeligt at opbevare oplysningerne i en måned. Den danske regering har ikke oplyst, hvor længe oplysningerne bør opbevares.
I tilfælde af at den danske regering indfører transportøransvaret, anbefaler vi transportørerne at ta- ge kontakt til myndighederne med henblik på at få dette oplyst. Under alle omstændigheder bør de registrerede oplysninger ikke opbevares eller kunne tilgås fra flere steder end nødvendigt. Oplys- ningerne bør derfor slettes, så snart at den nødvendige periode er udløbet.
Transportøren skal endvidere sikre sig, at de registrerede data bliver behandlet sikkert for at undgå, at oplysningerne misbruges af uvedkommende eller på anden måde behandles i strid med person- dataloven. Hvis der f.eks. sker en overførsel via internettet af data, herunder personnumre, fra kon- trolstedet til et centralt system, må det sikres, at oplysningerne er krypteret.
Anmeldelsespligt over for Datatilsynet
Dataansvarlige skal som udgangspunkt anmelde behandlingen af personoplysninger til Datatilsynet inden en databehandling iværksættes. Persondataloven opstiller dog en række undtagelser til an- meldelseskravet, og i praksis skal anmeldelse derfor kun ske, når oplysningerne, der behandles, er følsomme eller semifølsomme. Behandlingen af oplysninger vedrørende rejsedokumentationen og visum (nationalitet, personnummer mv.) vil således ikke skulle anmeldes til Datatilsynet. Selvom der ikke er krav om anmeldelse, kan det være hensigtsmæssigt at orientere Datatilsynet om den på- tænkte registrering.
-medium.jpg)
-medium.jpg)
-medium.jpg)
