/ Nyheder / Afgørelse fra Datatilsynet om indhentelse af personnummer

Afgørelse fra Datatilsynet om indhentelse af personnummer

Det var ikke i strid med databeskyttelsesreglerne, da VisitDenmark udsendte breve via e-Boks. VisitDenmark er en offentlig myndighed, og formålet var at informere sommerhusejere om nye skatteregler og mere gunstige vilkår for udlejning af sommerhuse. Datatilsynet udtalte imidlertid kritik af, at VisitDenmark ikke i tilstrækkelig grad havde iagttaget oplysningspligten.

Af

Foto: Unsplash, Paul Hanaoka

Datatilsynet indledte i april 2019 en sag af egen drift mod VisitDenmark, da Datatilsynet gennem medieomtale og en række borgerhenvendelser, var blevet bekendt med VisitDenmarks udsendelse af breve via e-Boks under emnet ”Vigtig information til dig med sommerhus.”

Datatilsynet traf den 21. november 2019 afgørelse i sagen. Datatilsynet fandt, at VisitDenmarks behandling af personoplysninger i forbindelse med udsendelsen af brevene, var sket inden for rammerne af de databeskyttelsesretlige regler. VisitDenmark havde dermed haft den fornødne hjemmel i forordningens art. 6, stk. 1, litra e, til at foretage behandling af personoplysninger, idet Folketinget havde pålagt VisitDenmark at tilrettelægge en kampagne mod at få flere danskere til at leje deres sommerhus ud. Ligesom VisitDenmark havde hjemmel i databeskyttelsesloven § 11, stk. 1 til at behandle personnumre, idet personnumrene blev behandlet med henblik på at sikre entydig identifikation til brug for udsendelse af Digital Post. 

Datatilsynet fandt imidlertid ikke, at VisitDenmark i tilstrækkelig grad havde iagttaget myndighedens oplysningspligt i medfør af databeskyttelsesforordningens artikel 14, idet VisitDenmark ikke havde modtaget navn, BBR-oplysninger og personnumre fra den registrerede selv. Af forordningen art. 14, stk. 5, litra c, fremgik en undtagelse fsva. oplysningspligt ved indsamling af personnumre, hvorfor VisitDenmark ikke var forpligtet til at orientere den registrerede om denne indsamling. Navn og BBR-oplysninger var imidlertid ikke omfattet af en undtagelsesbestemmelse, hvorfor VisitDenmark havde en forpligtelse til at give den registrerede en række oplysninger i forbindelse med indsamlingen heraf, jf. art. 14, stk. 1 og 2. 

CPR-nr

Private må kun behandle oplysninger om personnummer, når det følger af lov eller bestemmelser fastsat i henhold til lov, eller når den registrerede har givet sit udtrykkelige samtykke hertil, jf. databeskyttelsesloven § 11, stk. 2

Private virksomheder

Private virksomheder har tillige behov for at behandle personnumre, bl.a. hvis man ønsker at kommunikere digitalt via e-boks eller hvis man underskriver dokumenter digitalt ved brug af penneo.

Såfremt man ikke har opsagt digital kommunikation i lejeforhold, jf. LL § 4, stk. 2, så vil der være hjemmel til behandling af personoplysninger i art. 6, stk. 1, litra b. 

Som det fremgår af Datatilsynets afgørelse i VisitDenmark-sagen, skal man udover hjemmel i art. 6 også have hjemmel i databeskyttelsesloven § 11, stk. 2, til at behandle personnumre, idet personnumre har sin egen kategori i databeskyttelsesloven.

Private virksomheder må behandle personnumre, hvis

  1. det følger af lovgivningen,
  2. der er givet samtykke til behandlingen 

Digital kommunikation

Hvis man fx ønsker at benytte sig af e-boks, når man kommunikerer digitalt, så er det nødvendigt at behandle personnumre, da e-boks er knyttet op på personnumrene. 

I nye lejeforhold kan man derfor med fordel indhente samtykke til behandling af personnummer samtidig med indgåelse af lejekontrakten. Dermed har man sikret sig hjemmel til at behandle personnumre. Man skal så bare være opmærksom på, at samtykket kan trækkes tilbage.

I mange tilfælde vil det administrativt være en meget stor byrde at indhente samtykke til behandling af personnummer hos den registrerede, hvis det ikke er gjort i forbindelse med indgåelse af lejekontrakten.

Usikkert om private kan behandle personnumre uden samtykke 

Spørgsmålet er om man har lov til at behandle personnumre som følge af hjemlen om, at det følger af lovgivningen. 

LL § 4, stk. 2 er indført i lejeloven pr. 1. januar 2018 med det formål at lette adgangen til digital kommunikation i lejeforholdet. Ændringen betyder at parterne frit kan indgå aftale om kommunikationsformen. Det forhold, at der er aftalefrihed, betyder desværre, at digital kommunikation ikke er lovpligtigt, hvorfor det er tvivlsomt om personnumre i dette tilfælde må behandles med hjemmel i databeskyttelsesloven § 11, stk. 1, nr. 1 ”det følger af lovgivningen”.

Oplysningspligt

Vær opmærksom på, at Datatilsynet i afgørelsen kun udtalte kritik i forhold til oplysningsforpligtelsen. Behandlingshjemlen var dermed godkendt, men udover behandlingshjemmel, skal man huske at oplyse den registrerede om de behandlinger man foretager af deres persondata.

VisitDenmark slap for kritik i forhold til personnumrene, da de er en offentlig myndighed, og dermed er omfattet af lov om digital post. Dette er ikke tilfældet for private virksomheder, hvorfor private virksomheder altid skal huske at opfylde oplysningsforpligtelsen i forbindelse med behandling af persondata.

Du kan læse Datatilsynets afgørelse om VisitDenmark i fuld længde efter reklamen. 

Andelsbolig- og ejerforening

Hvis det fremgår af en foreningens vedtægter, at man kommunikerer digitalt, så er dette hjemlen til behandling af personoplysninger i art. 6, stk. 1, litra b

Datatilsynets Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af medieomtale og en række henvendelser fra borgere vedrørende Visitdenmarks udsendelse af et brev med Digital Post under emnet ”Vigtig information til dig med sommerhus”, har valgt at undersøge sagen nærmere af egen drift.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Visitdenmarks behandling af personoplysninger i forbindelse med udsendelse af et brev med Digital Post, er sket inden for rammerne af reglerne i databeskyttelsesforordningens artikel 6, stk. 1 og databeskyttelseslovens § 11, stk. 1.

Datatilsynet finder imidlertid, at Visitdenmark ikke i tilstrækkelig grad har iagttaget myndighedens oplysningspligt efter databeskyttelsesforordningens artikel 14, hvilket giver tilsynet anledning til at udtale kritik.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Efter medieomtale og en række konkrete borgerhenvendelser er Datatilsynet blevet opmærksom på Visitdenmarks behandling af personoplysninger i forbindelse med udsendelse af breve med Digital Post under emnet ”Vigtig information til dig med sommerhus”.

2.1. Visitdenmarks bemærkninger

Visitdenmark har til sagen oplyst, at myndigheden på baggrund af en aftale indgået i Folketinget den 17. maj 2018 blev pålagt at tilrettelægge en kampagne rettet mod at få flere danskere til at leje deres sommerhus ud.

Visitdenmark har oplyst, at der i forbindelse med kampagnen blev behandlet oplysninger om navn, personnumre og oplysninger i form af ejendoms- og ejeroplysninger fra BBR-registret. Ved indsamlingen i BBR blev der anvendt fire enhedsanvendelseskoder, der identificerede ca. 234.000 husstande/unikke adresser. Visitdenmark har endvidere oplyst, at der herefter skete en frasortering ud fra en række fastsatte kriterier. Efterfølgende var omfanget af sommerhuse/sommerhusejere reduceret til ca. 180.000.

Listen med ejer- og ejendomsoplysninger blev herefter udleveret til CPR-registret, som påførte listen personnumre til brug for udsendelse via e-boks.

Visitdenmark har anført, at behandlingen af de omhandlede personoplysninger er sket i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e, idet behandlingen henhører under offentlig myndighedsudøvelse. Behandlingen af oplysninger om personnumre er foretaget i medfør af databeskyttelseslovens § 11, stk. 1, da behandlingen er nødvendig med henblik på entydig identifikation af de registrerede i forbindelse med fremsendelse af breve via Digital Post.

Visitdenmark har endvidere anført, at behandlingen er foretaget i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder princippet om formålsbegrænsning (stk. 1, litra b).

Om iagttagelse af Visitdenmarks oplysningspligt, har myndigheden anført, at der i forbindelse med udsendelse af brevene, ikke blev givet særskilt meddelelse til de registrerede efter databeskyttelsesforordningens artikel 14. Visitdenmark har anført, at den manglende iagttagelse af oplysningspligten skyldes en intern misforståelse hos Visitdenmark.

Ifølge Visitdenmark var oplysningspligten dog delvist opfyldt, idet brevet indeholdt en række af de oplysninger, der skal gives i medfør af forordningens artikel 14, herunder information om hvorfra oplysningerne var indsamlet, kontaktoplysninger på Visitdenmark og formålet med behandlingen af personoplysningerne.

Efter Visitdenmark blev klar over, at oplysningspligten ikke var opfyldt, blev der udarbejdet et brev med information i overensstemmelse med forordningens artikel 14, som blev sendt til de borgere, der efterfølgende henvendte sig til Visitdenmark.

På baggrund af den konkrete sag, har Visitdenmark i øvrigt fundet anledning til at formidle målrettet information til medarbejdere vedrørende opfyldelse af oplysningspligten, så oplysningspligten fremadrettet iagttages, når der indsamles personoplysninger.

3. Begrundelse for Datatilsynets afgørelse

3.1. Behandlingsgrundlag

Behandling af personoplysninger skal ske i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a-f. Det fremgår af artikel 6, stk. 1, litra e, at behandling herefter bl.a. kan ske, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. artikel 6, stk. 1, litra e.

Offentlige myndigheder kan desuden behandle oplysninger om personnummer med henblik på entydig identifikation eller som journalnummer i medfør af databeskyttelseslovens § 11, stk. 1.

Visitdenmark er i henhold til lov nr. 648 af 15. juni 2010 en offentlig myndighed.

Datatilsynet finder ikke grundlag for at tilsidesætte Visitdenmarks vurdering af, at behandlingen af de pågældende oplysninger var nødvendig af hensyn til udførelse af en opgave, som henhører under offentlig myndighedsudøvelse, som Visitdenmark har fået pålagt, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e. 

Efter en gennemgang af sagen, finder Datatilsynet endvidere, at Visitdenmarks behandling af oplysninger om personnumre er sket i overensstemmelse med databeskyttelseslovens § 11.

Datatilsynet har herved lagt vægt på, at Visitdenmark har behandlet de pågældende oplysninger med henblik på entydig identifikation til brug for udsendelse af Digital Post.

Datatilsynet finder på den baggrund, at Visitdenmarks behandling af personoplysninger er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, litra e og databeskyttelseslovens § 11, stk. 1.

3.2. Oplysningspligt ved indsamling af navn og BBR-oplysninger

I tilfælde, hvor personoplysninger ikke er indsamlet hos den registrerede, følger det af databeskyttelsesforordningens artikel 14, stk. 1, at det påhviler den dataansvarlige at give den registrerede meddelelse om en række oplysninger.

Herudover skal den dataansvarlige efter forordningens artikel 14, stk. 2, give den registrerede meddelelse om en række yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede.

Da Visitdenmark i sagen har oplyst, at myndigheden ved indsamlingen af de pågældende personoplysninger, ikke gav meddelelse til de registrerede, hvilket der efter myndighedens vurdering burde være givet, er det Datatilsynets opfattelse, at Visitdenmark ikke i tilstrækkelig grad har iagttaget myndighedens oplysningspligt efter databeskyttelsesforordningens artikel 14, hvilket giver tilsynet anledning til at udtale kritik.

Datatilsynet har noteret sig, at Visitdenmark på baggrund af den konkrete sag, har fundet anledning til at formidle målrettet information til medarbejdere vedrørende opfyldelse af oplysningspligten, så oplysningspligten fremadrettet iagttages, når der indsamles personoplysninger.

3.3. Oplysningspligt ved indsamling af personnumre i CPR-registret

Datatilsynet skal bemærke, at det fremgår af databeskyttelsesforordningens artikel 14, stk. 5, litra c, at oplysningspligten ikke finder anvendelse i det omfang, at indsamling eller videregivelse er udtrykkeligt fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af de registreredes legitime interesser.

På baggrund af ovenstående, er det Datatilsynets vurdering, at oplysningspligten i forbindelse med indsamling af personnumrene i CPR-registret, kunne undtages i medfør af artikel 14, stk. 5, litra c, da indsamlingen af personnumrene til brug for udsendelse af breve via Digital Post, er udtrykkeligt fastsat ved lov, som Visitdenmark er underlagt, idet det af lov om Digital Post § 7, stk. 1, fremgår, at offentlige afsendere er berettigede til at anvende Digital Post til kommunikation med fysiske personer.

 

Seneste nyheder