9.9.11.1. Autorisation

I sikkerhedsbekendtgørelsens § 11, stk. 1, er det fastsat, at der kun må gives adgang til personoplysninger for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang.

I bekendtgørelsens § 11, stk. 2, fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne.

Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere fx indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres til at anvende.

Efter Datatilsynets opfattelse bør oplysninger vedrørende personaleadministrative forhold som altovervejende hovedregel kun være tilgængelige for de medarbejdere, der er beskæftigede med personaleadministration. Det gælder i særdeleshed for fortrolige og følsomme oplysninger.

I forbindelse med personaleadministration kan der endvidere forekomme oplysninger, som end ikke alle, der beskæftiger sig med personaleadministration, bør have adgang til.

Derimod har tilsynet ikke indvendinger imod, at der fx gives de øvrige ansatte mere banale oplysninger fra personaleadministrationen, fx om nyansættelser og rokeringer mv.

For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder fx medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører.

Til bekendtgørelsen har Datatilsynet udsendt vejledning 37 2/4 2001 ( sikkerhedsvejledningen ).

Bekendtgørelsen og vejledningen kan læses på www.datatilsynet.dk under punktet "lovgivning".