Behandling af personoplysninger

Erklæring til de reviderede

Erklæringen henvender sig til de myndigheder, virksomheder mv., som Rigsrevisionen reviderer. I erklæringen kan de reviderede læse om Rigsrevisionens adgang til at indhente oplysninger, herunder personoplysninger.

Læs hele erklæringen

Persondatapolitik

Rigsrevisionens opgave er at revidere statens regnskaber mv., jf. rigsrevisorloven (lovbekendtgørelse nr. 101 af 19. januar 2012).

Rigsrevisionens persondatapolitik giver dig information om, hvordan Rigsrevisionen behandler personoplysninger, og hvilke rettigheder du har i den forbindelse.

Rigsrevisionen er omfattet af databeskyttelsesforordningen (2016/679/EU) og databeskyttelsesloven (lov nr. 502 af 23. maj 2018).

Du kan finde databeskyttelsesforordningen og databeskyttelsesloven samt læse mere om reglerne på Datatilsynets hjemmeside.

Rigsrevisionen er dataansvarlig for Rigsrevisionens behandling af personoplysninger.

Rigsrevisionens kontaktoplysninger er:

Rigsrevisionen
Landgreven 4
1301 København K
Tlf.: 33 92 84 00
E-mail: info@rigsrevisionen.dk
www.rigsrevisionen.dk

Hvis du har spørgsmål til Rigsrevisionens behandling af personoplysninger, er du velkommen til at kontakte vores databeskyttelsesrådgiver Britt Scherfig:

E-mail: dpo@rigsrevisionen.dk
Telefon: 33 92 84 26
Brev: Rigsrevisionen, Landgreven 4, 1301 København K, Att.: Britt Scherfig

Hvis din henvendelse indeholder følsomme eller fortrolige oplysninger, bør du sende e-mailen krypteret.

Rigsrevisionen behandler personoplysninger for at kunne:

  • udføre de opgaver, som Rigsrevisionen har i henhold til rigsrevisorloven, herunder de opgaver, som vi er retligt forpligtede til at udføre
  • behandle henvendelser og levere service, fx om aktindsigt, nyhedsbreve og tilmeldinger til arrangementer
  • indgå og opfylde kontrakter
  • dokumentere vores arbejde og sikre korrekt sagsbehandling
  • opfylde journaliseringspligt og arkivforpligtelser.

Retsgrundlaget for Rigsrevisionens behandling af personoplysninger er generelt:

  • databeskyttelsesforordningens artikel 6, stk. 1, litra b, c og e
  • databeskyttelsesforordningens artikel 9, stk. 2, litra f og g
  • rigsrevisorloven
  • offentlighedsloven, jf. instruks for rigsrevisor
  • arkivloven
  • whistleblowerloven.

I visse tilfælde indhenter vi dit samtykke til at behandle personoplysninger om dig. Du vil i givet fald få nærmere information om formålet og retsgrundlaget i forbindelse med indsamlingen.

Rigsrevisionen behandler kun de personoplysninger, der er relevante og nødvendige for, at vi kan udføre vores opgaver. Hvilke konkrete personoplysninger vi indsamler og registrerer, afhænger af, hvilken opgave vi skal udføre.

Revisionsopgaven
I rigsrevisorloven (lovbekendtgørelse nr. 101 af 19. januar 2012 om revisionen af statens regnskaber m.m.) er der fastsat regler om rigsrevisors opgaver og adgang til oplysninger og dokumenter. Rigsrevisionens opgaver med revision er nærmere fastlagt i § 2 og § 3, og efter § 12 kan rigsrevisor – fra enhver offentlig myndighed eller institution, som Rigsrevisionen har revisionsadgang til –  indhente alle oplysninger og dokumenter, som rigsrevisor skønner nødvendige for udførelsen af sit arbejde. Rigsrevisor kan også indhente oplysninger til brug for opgaver med regnskabsgennemgang i regioner, hos tilskudsmodtagere, visse aktieselskaber mv. og fra kommuner, jf. rigsrevisorlovens §§ 4-6.

Der er ingen begrænsninger i rigsrevisors adgang til oplysninger, og rigsrevisor har således også adgang til at indhente personoplysninger, herunder almindelige, følsomme oplysninger, oplysninger om strafbare forhold og fortrolige oplysninger, som er undergivet tavshedspligt, så længe det er nødvendigt for en opgave, vi udfører. Behandlingsgrundlaget for personoplysninger, som Rigsrevisionen modtager til opgaver med revision og regnskabsgennemgang, er databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 3, litra b, og artikel 9, stk. 2, litra g.

Formålet med Rigsrevisionens revision og regnskabsopgaver er at kontrollere myndigheden, virksomheden mv. og ikke enkelte personer. Alligevel vil Rigsrevisionen til brug for opgaver med revision og regnskabsgennemgang kunne få oplysninger, som er knyttet til personer, og som vil være personoplysninger efter databeskyttelseslovgivningen. Som eksempel kan nævnes revisionsoplysninger i form af lønoplysninger om ansatte hos myndigheden og personoplysninger om leverandører, samarbejdspartnere mv. Der kan fx også være tale om oplysninger om en borgers sagsforløb hos en myndighed. Rigsrevisionen modtager også af og til personoplysninger fra private, som af egen drift sender oplysningerne. Heri kan også indgå oplysninger om tredjeperson.

Dataminimering

Rigsrevisionen har i forbindelse med revisionsopgaven adgang til en lang række personoplysninger. Rigsrevisionen har derfor også stort fokus på at sikre, at de oplysninger, Rigsrevisionen indhenter, er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (”dataminimering”), jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c. Rigsrevisionen vurderer og dokumenterer konkret behovet for at indhente personhenførbare oplysninger. Rigsrevisionen vurderer også konkret, om – og hvis ja, hvordan – oplysningspligten til de registrerede personer skal iagttages.

Rigsrevisionen indhenter som udgangspunkt oplysningerne til opgaver med revision fra de reviderede myndigheder, virksomheder mv. og ikke direkte fra eventuelle registrerede. I mange tilfælde vil undtagelsesbestemmelsen om uforholdsmæssig stor indsats i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finde anvendelse. Det skyldes flere forhold, bl.a. at opgaver med revision er lovbundne, at Rigsrevisionen ikke ”ejer” personoplysningerne, men alene modtager en kopi fra de reviderede, og at revisionen ikke retter sig mod enkelte personer, men mod myndigheden. Endvidere vil der ofte vil være tale om oplysninger om mange registrerede, og Rigsrevisionen vil ofte ikke være i besiddelse af tilstrækkelige oplysninger til at kontakte de registrerede, ligesom data ofte vil være af ældre dato. Rigsrevisionen anvender bl.a. kryptering, adgangsstyring og -begrænsning til sager samt pseudonymisering som tekniske foranstaltninger til beskyttelse af personoplysninger.

Pressehenvendelser, aktindsigt o.l.
Hvis du skriver til Rigsrevisionen, fx fordi du som journalist har spørgsmål til en revisionssag eller søger aktindsigt i en sag, vil vi registrere (journalisere) din henvendelse og vores svar til dig.

Herudover registrerer vi ikke personoplysninger om dig, dvs. at vi ikke registrerer andre oplysninger om dig end dem, du selv har valgt at give til Rigsrevisionen.

Deltagelse i konferencer mv.
Hvis du tilmelder dig konferencer, arrangementer o.l. i Rigsrevisionen, behandler vi de oplysninger, du giver i den forbindelse. Det vil typisk være kontaktoplysninger, herunder navn, titel, telefon og mailadresse, og andre oplysninger i forbindelse med tilmeldingen, fx forplejning. I enkelte tilfælde tages der fotos og videoer ved arrangementer for at understøtte Rigsrevisionens formidling til offentligheden om vores virksomhed. Du vil i givet fald blive orienteret herom, og du kan til enhver tid sige nej til fotografering/videooptagelse.

Hvis du søger job i Rigsrevisionen
Ledige stillinger slås op på Rigsrevisionens hjemmeside og på relevante jobbaser og LinkedIn. Vi bruger statens e-rekrutteringssystem. I forbindelse med rekrutteringen behandler vi personoplysninger i overensstemmelse med gældende lovkrav. Se mere her

Rigsrevisionens nyhedsbrev
Du kan på vores hjemmeside oprette et abonnement på nyheder fra Rigsrevisionen. Se mere her.

Rigsrevisionens whistleblowerordning
Hvis du retter henvendelse til Rigsrevisionens whistleblowerordning, vil Rigsrevisionen ifølge whistleblowerloven kunne behandle de personoplysninger, du indberetter. Det gælder også eventuelle følsomme oplysninger og oplysninger om strafbare forhold. Ifølge whistleblowerloven er Rigsrevisionen endvidere forpligtet til at registrere (journalisere) modtagne indberetninger. Læs mere om Rigsrevisionens whistleblowerordning her.

Rigsrevisionen registrerer indsamlede personoplysninger i de it-systemer, som Rigsrevisionen anvender i sit arbejde. Ansatte i Rigsrevisionen er underlagt en lovbestemt tavshedspligt og må kun behandle de personoplysninger, der er nødvendige for, at de kan udføre deres arbejdsopgaver. Rigsrevisionen anvender adgangsstyring til at sikre dette.

Rigsrevisionen opbevarer personoplysninger, så længe det er nødvendigt at hensyn til formålene med behandlingen, herunder så længe Rigsrevisionen er pålagt opbevaring i henhold til reglerne om arkivering.

Rigsrevisionen videregiver kun personoplysninger til tredjemand, hvis vi er retligt forpligtede til det, eller det i øvrigt er nødvendigt for at udføre de opgaver, som vi varetager.

Statsrevisorerne
Rigsrevisionen reviderer på vegne af Folketinget, og rigsrevisor afgiver beretninger og notater til Statsrevisorerne, jf. rigsrevisorlovens § 17. Rigsrevisionen kan i den forbindelse undtagelsesvist videregive personoplysninger til Statsrevisorerne i medfør af rigsrevisorloven. Rigsrevisionen offentliggør som Folketingets revisor endvidere beretningerne og notaterne på vores hjemmeside, fordi vi er en offentlig myndighed, hvis virksomhed som udgangspunkt er underlagt et offentlighedsprincip. I den forbindelse kan der blive offentliggjort oplysninger om enkeltsager til illustration af en generel problemstilling. Rigsrevisionens revision er dog ikke rettet mod enkelte borgere, men altid mod den ansvarlige minister.

Eksterne eksperter, leverandører mv.
Rigsrevisionen anvender i visse tilfælde eksterne eksperter – typisk forskere o.l. – til at behandle personoplysninger på vegne af og efter instruks fra Rigsrevisionen. Rigsrevisionen vil i givet fald udarbejde en databehandleraftale efter reglerne i databeskyttelsesforordningen. 

Der kan også være tale om, at eksterne leverandører, fx i forbindelse med it-support, har adgang til Rigsrevisionens data. De pågældende vil i givet fald være pålagt tavshedspligt eller anden relevant aftale. Rigsrevisionens revisor har også adgang til Rigsrevisionens data i forbindelse med opgaven.

Sociale medier
Rigsrevisionen bruger Linkedin til at fortælle om vores offentliggjorte beretninger, stillingsopslag og anden information om vores virksomhed.

Ansøgere om aktindsigt
Rigsrevisionen kan også være forpligtet til at udlevere personoplysninger i forbindelse med en aktindsigt. Det kan fx være i forbindelse med en høring eller orientering af relevante myndigheder til brug for afgørelsen om aktindsigt. Rigsrevisionen kan også være forpligtet til at udlevere oplysninger, hvis vi modtager en anmodning om aktindsigt i oplysningerne. Det gælder dog ikke fortrolige oplysninger. Hvis der er tale om oplysninger, som Rigsrevisionen har modtaget fra den reviderede myndighed, institution mv. efter rigsrevisorlovens § 12 (såkaldt revisionsmateriale), vil Rigsrevisionen henvise personen, der søger om aktindsigt, til at rette henvendelse til den pågældende myndighed, institution mv., jf. § 2 i instruks for rigsrevisor.

Folketingets formand
Hvis du har klaget over en afgørelse, som kan indbringes for Folketingets formand, jf. instruks for rigsrevisor, vil din henvendelse blive sendt til Folketingets formand i forbindelse med klagesagens behandling.

Offentlige myndigheder

Rigsrevisionen kan være forpligtet til at videregive personoplysninger til tredjeparter, herunder anden offentlig myndighed.

Hvis en indberetning efter whistleblowerordningen vedrører en formodet overtrædelse af straffelovgivningen eller anden lovgivning, vil en relevant opfølgning kunne være politianmeldelse eller anmeldelse til relevant tilsynsmyndighed. Oplysninger om whistleblowerens identitet kan uden whistleblowerens samtykke videregives til anden offentlig myndighed, når videregivelsen sker for at imødegå overtrædelser, jf. whistleblowerlovens § 1, stk. 1, eller med henblik på at sikre berørte personers ret til et forsvar.

Databeskyttelsesforordningen og databeskyttelsesloven giver dig som registreret en række rettigheder, når Rigsrevisionen som offentlig myndighed behandler oplysninger om dig. Du har ret til at:

  • modtage oplysning om behandling af dine personoplysninger
  • se oplysninger, der behandles om dig
  • bede om berigtigelse af urigtige personoplysninger om dig
  • bede om sletning af personoplysninger om dig
  • bede om begrænsning af behandling af personoplysninger om dig
  • gøre indsigelse mod behandling af personoplysninger om dig.

Hvis du vil gøre brug af dine rettigheder, skal du kontakte os. Se, hvordan du kontakter os, under ”Rigsrevisionen er dataansvarlig – sådan kontakter du os”. Rigsrevisionen har pligt til at svare på din henvendelse.

Når man som dataansvarlig indsamler personoplysninger, skal man som udgangspunkt give de registrerede en række oplysninger, herunder oplysninger om den dataansvarliges identitet og formålet med behandlingen.

Revisionsopgaven
Der er ingen begrænsninger i Rigsrevisionens adgang til personoplysninger i forbindelse med revisionsopgaven, så længe det er nødvendigt for de opgaver, Rigsrevisionen skal udføre. Det gælder almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold og oplysninger om cpr-nummer. 

Rigsrevisionen vurderer konkret, om – og hvis ja, hvordan – oplysningspligten til de registrerede personer efter artikel 13 og artikel 14 skal iagttages. 

Rigsrevisionen indhenter som udgangspunkt oplysningerne til opgaver med revision fra de reviderede myndigheder, virksomheder mv. og ikke direkte fra eventuelle registrerede. I mange tilfælde vil undtagelsesbestemmelsen til oplysningspligten om uforholdsmæssigt stor indsats i databeskyttelsesforordningens artikel 14, stk. 5, litra b, finde anvendelse. Det skyldes flere forhold, bl.a. at opgaver med revision er lovbundne, at Rigsrevisionen ikke ”ejer” personoplysningerne, men alene modtager en kopi fra de reviderede, og at revisionen ikke retter sig mod enkelte personer, men mod myndigheden. Endvidere vil der ofte være tale om oplysninger om mange registrerede, og Rigsrevisionen vil ofte ikke være i besiddelse af tilstrækkelige oplysninger til at kontakte de registrerede, ligesom data ofte vil være af ældre dato. Rigsrevisionen anvender bl.a. kryptering, adgangsstyring og adgangsbegrænsning til sager og pseudonymisering som tekniske foranstaltninger til beskyttelse af personoplysninger. 

Hvis Rigsrevisionen undtagelsesvist skulle indhente oplysninger direkte fra de registrerede, vil oplysningspligten efter artikel 13 blive opfyldt over for den registrerede i forbindelse med indhentningen.

Administrative opgaver
Rigsrevisionen vil i forbindelse med indsamling af personoplysninger til Rigsrevisionens øvrige opgaver oplyse den registrerede om, at vi behandler personoplysninger. 

Whistleblowerordning
Ifølge whistleblowerloven gælder der en særlig tavshedspligt for så vidt angår oplysninger, der indgår i indberetninger. Rigsrevisionen vil som følge af den særlige tavshedspligt kunne undlade at opfylde oplysningspligten over for den indberettede eller andre personer, som er nævnt i indberetningen, og gøre undtagelse fra indsigtsretten. Rigsrevisionen vil endvidere kunne begrænse underretningspligten i tilfælde af sikkerhedsbrud.

Du har mulighed for at klage til Datatilsynet over Rigsrevisionens indsamling og registrering mv. af oplysninger om dig.

Du kan læse mere om klageadgangen og finde Datatilsynets kontaktoplysninger på Datatilsynets hjemmeside. Du kan også læse mere om de registreredes rettigheder på Datatilsynets hjemmeside.

Orienteringer om indhentning af personoplysninger til opgaver med revision

Her kan du læse om, hvilke personoplysninger Rigsrevisionen behandler i forbindelse med en opgave med revision.

Orienteringen fjernes, når beretningen er afgivet til Statsrevisorerne.

Kontakt

Britt Scherfig
Databeskyttelsesrådgiver (DPO)