Vejledning til statslige myndigheder, virksomheder mv. om Rigsrevisionens adgang til oplysninger, herunder personoplysninger

I rigsrevisorloven (lovbekendtgørelse nr. 101 af 19. januar 2012 om revisionen af statens regnskaber m.m.) er der fastsat regler om rigsrevisors adgang til oplysninger og dokumenter. Det følger heraf, at rigsrevisor – fra enhver offentlig myndighed eller institution, som Rigsrevisionen har revisionsadgang til – kan indhente alle oplysninger og dokumenter, som rigsrevisor skønner nødvendige for udførelsen af sit arbejde, og rigsrevisor kan fastsætte en frist herfor, jf. rigsrevisorlovens § 12, stk. 1. Når Rigsrevisionen indhenter personoplysninger fra statslige myndigheder, virksomheder m.m., som Rigsrevisionen har revisionsadgang til, er Rigsrevisionen dataansvarlig og dermed ansvarlig for at overholde reglerne i databeskyttelsesforordningen og databeskyttelsesloven. 

Der er ingen begrænsninger i rigsrevisors adgang til oplysninger, og rigsrevisor har således også adgang til at indhente personoplysninger. Det gælder almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold og oplysninger om cpr-nummer. Indhentelse og behandling sker efter databeskyttelsesforordningens (2016/679/EU) artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra g, artikel 10, samt efter databeskyttelseslovens §§ 8 og 11. Rigsrevisionen har i forbindelse med revisionsopgaven dermed adgang til meget store datamængder med personoplysninger. Meddelelse af de oplysninger, der er omfattet af artikel 14 i databeskyttelsesforordningen, vil dermed kræve en uforholdsmæssigt stor indsats, jf. undtagelsesbestemmelsen i artikel 14, stk. 5, hvorfor Rigsrevisionen ikke meddeler de oplysninger, der er nævnt i artikel 14.

Rigsrevisionen sletter løbende og senest 5 år efter, at sagen er afsluttet, dokumenter og oplysninger, herunder personoplysninger, fra Outlook og vores netværksdrev, når formålet med behandlingen ikke længere er til stede, jf. princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Rigsrevisionen registrerer materiale, herunder personoplysninger, i vores elektroniske journal- og dokumentationssystem for at overholde kravene til journalisering og dokumentation. En kopi af oplysningerne vil blive overført til opbevaring i Rigsarkivet efter reglerne i arkivlovgivningen. Rigsrevisionen vil i en periode efter overførsel til Rigsarkivet fortsat have adgang til at søge oplysningerne frem i disse systemer.

Rigsrevisionens medarbejdere reviderer på vegne af rigsrevisor og står alene til ansvar over for rigsrevisor. Rigsrevisionen indestår for, at Rigsrevisionens medarbejdere, som har adgang til systemer hos statslige myndigheder, virksomheder m.m., har et relevant behov i forhold til den konkrete opgave. Myndigheden, virksomheden mv. skal således ikke føre kontrol i forhold til Rigsrevisionens medarbejdere.

Rigsrevisionens medarbejdere kan ikke forpligte sig eller Rigsrevisionen ved underskrift af fortrolighedserklæringer e.l. Der skal heller ikke udarbejdes en databehandleraftale til brug for Rigsrevisionens indhentning af oplysninger og dokumenter, da Rigsrevisionen er selvstændig dataansvarlig for oplysningerne efter rigsrevisorloven og anden særlovgivning. Rigsrevisionen indestår dermed også for it-sikkerheden ved behandlingen af personoplysninger og udleverer ikke yderligere informationer herom af hensyn til sikkerheden i vores systemer.

I de få tilfælde, hvor Rigsrevisionen i forbindelse med større undersøgelser anvender eksterne eksperter til at behandle personoplysninger på vegne af og efter instruks fra Rigsrevisionen, vil der blive indgået en databehandleraftale i overensstemmelse med reglerne i databeskyttelsesforordningen.

Printvenlig version
 

Senest opdateret den 2. december 2019

RIGSREVISIONEN LANDGREVEN 4 1301 KØBENHAVN K TLF.: 33 92 84 00 INFO@RIGSREVISIONEN.DK
CVR-NR.: 77806113 EAN-NR.: 5798000016002 PNR.: 1003388382 ÅBNINGSTID: KL. 9.00-16.00