1 Kulturministeriet Vejledning om håndtering af blanke (negative) børneattester [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne angår, ikke har domme om sædelighedsforbrydelser mod børn bag sig. Denne vejledning indeholder retningslinjer for, hvordan du skal behandle børneattesten og oplysningerne i denne. Indhentelse af børneattester, skal ske i overensstemmelse me d de regler, der gælder for sådanne attester i § 36 i bekendtgørelse nr. 218 af 27. marts 2001 (med senere ændringer) om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret), herunder at den, oplysningerne angår, har givet s kriftligt samtykke til indhentelsen af børneattesten. Reglerne er vedlagt som  bilag 1. I. Børneattester 1. En blank (negativ) børneattest indeholder personoplysninger og skal derfor behandles på en sådan måde, at reglerne i lov nr. 429 af 31. maj 2000 om   behandling af personoplysninger (”persondataloven”) overholdes. Persondataloven indebærer bl.a. et krav om at sikre personoplysningerne mod, at de kommer til uvedkommendes kendskab II. Opbevaring af børneattesten 2. En blank børneattest indeholder pers onens navn, adresse og cpr-nummer. Dette er såkaldte almindelige personoplysninger, som omfattes af persondataloven. Oplysningerne skal håndteres fortroligt. Derfor bør du efter modtagelsen destruere attesten, medmindre andre regler, fx på det ansættelses  - og forvaltningsretlige område eller frivillige foreningers interne disciplinærregler, kræver opbevaring af attesten. I så fald bør du kun opbevare attesten i det omfang, sådanne regler kræver det. Børneattesten skal i givet fald opbevares forsvarligt, så uvedkommende ikke har adgang til den, jf. afsnit IV om datasikkerhed. 3. Om videregivelse af personoplysningerne, se under afsnit III. III. Videregivelse af oplysninger fra børneattesten 4. Videregivelse af oplysninger fra blanke børneattester er typi sk ikke nødvendig for den modtagende institution, forening m.v. 5. Hvis videregivelse af oplysninger kommer på tale, bør det som hovedregel kun ske på baggrund af et samtykke. 6. Videregivelse af navn og adresse og oplysning om, at børneattesten er bla nk, kan dog ske uden samtykke, hvis du finder, at der er et konkret behov for det.  Det vil fx være tilfældet, hvor oplysningerne videregives til forældre i en situation, hvor der kan være behov for at aflive rygter

2 om den person, oplysningerne angår.  Cpr-nummeret må ikke videregives . Selve blanketten må af samme grund heller ikke videregives. 7. Videregivelse af almindelige personoplysninger er reguleret i persondatalovens §§ 5-6 og cpr- nummeret i persondatalovens § 11. Persondatalovens behandlingsregler er vedlagt som bilag 2. IV. Datasikkerhed 8.Myndigheder, virksomheder, foreninger m  .v., der modtager en børneattest, skal overholde kravene om datasikkerhed i kapitel 11 i persondataloven. Det centrale i persondatalovens kapitel 11 er, at den institution, forening m.v., der modtager børneatt esten, har en pligt til at træffe de fornødne tekniske og organisatoriske fora   nstaltninger mod, at oplysningerne fra børneattesten hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovens regler. Denne forpligtelse gælder selvstændigt for eksempelvis en hovedorganisat ion, der rent praktisk håndterer en børneattest på vegne af en lokal fo   rening, dvs. som databehandler for foreningen. For offentlige myndigheder er kravene efter kapitel 11 udmøntet i sikkerhed sbekendtgørelsen og sikkerhedsvejledningen, som begge findes på  www.datatilsynet.dk under punktet ”Lovgivning”. Med hensyn til private virksomheder, foreninger og andre private organisationer m.v. anbefaler Datatilsynet, at der i videst muligt omfang iværksættes de sikkerhedsforanstaltninger, som følger af sikkerhedsbekendtgørelsen og vejledningen. Private virksomheder, foreninger og andre private organisationer m.v. skal som dataansvarlige være særligt opmærksom på følgende: når  børneattesten  tilintetgøres (slettes), skal det  ske på en sådan måde, at materialet ikke kan misbruges eller komme til uvedkommendes kendskab, hvis der overhovedet opstår behov for at opbevare børneattesten, jf. afsnit II, skal opbevaring ske forsvarligt aflåst og således, at uve  dkommende ikke kan få adgang til oplysningerne, hvis oplysninger fra børneattesten behandles elek tronisk, skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne, den afgrænsede personkreds, f  x bestyrelsen eller direktionen, der har adgang til oplysningerne, fordi de deltager i beslutningen om ansættelse eller   afskedigelse, skal have den fornødne instruktion om, hvordan oplysningerne skal behandles. V. Andre forhold 9. Bemærk, at bestemmelser  ne i persondataloven om oplysningspligt, den registreredes ret til indsigt i den registreredes personoplysninger og rettelse af ukorrekte oplysninger skal overholdes. Reglerne er optrykt i bilag 3.

3 Bilag 1 § 36 i bekendtgørelse nr. 218 af 27. marts 2001 (med senere ændringer) om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret). § 36 har følgende ordly d: ”§  36. Rigspolitichefen kan efter begæring til brug for ansættelse eller beskæftigelse af personer, der som led i ansættelsen eller beskæftigelsen har en direkte kontakt med børn under 15 år, vider egive oplysninger fra efterforskningsdelen om afgørelse r, som er eller har været optaget i afgørelse sdelen, og som omfatter overtrædelse af straffelovens §   222, § 222, jf. §§ 224 og 225, og § 235 samt om overtrædelse af §   210 og 232, hvis forholdet er begået mod et barn under 15 år. Stk. 2. Videregivelse af op    lysninger efter stk. 1 kan kun ske efter samtykke fra den, oplysningerne angår. §  16, stk. 2 og 3, finder tilsvarende anvendelse. Stk. 3. I forbindelse med Rigspolitichefens videregivelse af oplysninger efter stk. 1 skal det tydeligt fremgå, at en ub erettiget videregivelse af oplysningerne kan straffes. Stk. 4. Ved skriftlig henvendelse til Rigspolitichefen kan en person få meddelelse om oplysninger, der er videregivet om den pågældende efter stk. 1.” § 16, stk. 2 og 3, i bekendtgørelsen har følgende ordlyd  : ” Stk. 2. Samtykke skal meddeles skriftligt og skal indeholde oplysning om, 1) hvilke typer oplysninger der må videregives, 2) hvem oplysningerne må videregives til, og 3) hvorledes oplysningerne må anvendes af den angivne modtager. Stk.3. Samtykke bortfalder senest efter et års forløb.”

4 Bilag 2 Persondataloven Behandling af oplysninger § 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål , og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet. Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Stk. 4. Behandling af oplysn    inger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. § 6. Behandling af oplysninger må kun finde sted, hvis 1) den registrerede har givet sit udtrykkelige samtykke hertil, 2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, 3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, 4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser, 5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, 6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller 7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berett iget interesse og hensynet til den registrerede ikke overstiger denne interesse.

5 Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virkso  mhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 a. Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykk  e, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt. Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3. […] § 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer. Stk. 2. Private må behandle oplysninger om personnummer, når 1) det følger af lov eller bestemmelser fastsat i henhold til lov, 2) den registrerede har givet sit udtrykkelige samtykke hertil eller 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgør ende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

6 Bilag 3 Persondataloven Oplysningspligt over for den registrerede § 28. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende: 1) Den dataansvarliges og dennes repræsentants identitet. 2) Formålene med den behandling, hvortil oplysningerne er bestemt. 3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varet age sine interesser, som f.eks.: a) Kategorierne af modtagere. b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare. c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede. Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger. § 29. Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsen  tant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende: 1) Den dataansvarliges og dennes repræsentan  ts identitet. 2) Formålene med den behandling, hvortil oplysningerne er bestemt. 3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.: a) Hvilken type oplysninger det drejer sig om. b) Kategorierne af modtagere. c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

7 Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den re  gistrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov. Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis unde  rretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig. § 30. Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hen  syn til private interesser, herunder hensynet til den pågældende selv. Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige fo r afgørende hensyn til offentlige interesser, herunder navnlig til 1) statens sikkerhed, 2) forsvaret, 3) den offentlige sikkerhed, 4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler f or lovregulerede erhverv, 5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta  -, budget- og skatteanliggender, og 6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3  -5 nævnte områder. Den registreredes indsigtsret § 31. Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om, 1) hvilke oplysninger der behandles, 2) behandlingens formål, 3) kategorierne af modtagere af oplysningerne og 4) tilgængelig inf  ormation om, hvorfra disse oplysninger stammer.

8 Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge. […] Øvrige rettigheder § 37. Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller   bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom. Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.