Social-, Indenrigs- og Børneudvalget 2016-17
SOU Alm.del
Offentligt
1768474_0001.png
Økonomi- og Indenrigsministeriet
Slotsholmsgade 10-12
1216 København K
Sendt til:
[email protected]
CC:
[email protected]
30. maj 2017
Vedrørende bidrag til besvarelse af spørgsmål nr. 408 fra Folketingets
Social-, Indenrigs- og Børneudvalg (alm. del)
1.
Ved e-mail af 22. maj 2017 har Økonomi- og Indenrigsministeriet anmodet
Datatilsynet om en udtalelse til brug for besvarelse af spørgsmål nr. 408 af 19.
maj 2017 fra Folketingets Social-, Indenrigs- og Børneudvalg (alm. del).
Spørgsmålet har følgende ordlyd:
”Vil
ministeren redegøre for reglerne vedrørende adgang til politikeres
mails, f.eks. medlemmer af kommunalbestyrelse og regionsråd, herun-
der politikeres adgang til andre politikeres mails, og hvilken lovgivning
der skal ændres for at indføre et forbud mod at få adgang til at læse poli-
tikeres mails?”
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
[email protected]
www.datatilsynet.dk
J.nr. 2017-131-0092
Dok.nr. 430911
Sagsbehandler
Michala Nehammer
Direkte 3319 3226
2.
Datatilsynet kan til brug for besvarelsen oplyse følgende:
2.1.
Persondataloven gælder ifølge lovens § 1, stk. 1, bl.a. for behandling af
personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk
databehandling.
Ved personoplysninger forstås ifølge lovens § 3, nr. 1, enhver form for infor-
mation om en identificeret eller identificerbar fysisk person (den registrerede).
Af bemærkningerne til § 3, nr. 1, fremgår bl.a., at der ved udtrykket identifi-
cerbar person skal forstås en person, der direkte eller indirekte kan identifice-
res. Det er uden betydning, hvorvidt identifikationsoplysningen er alment
kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den
indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af
definitionen.
Ved behandling forstås ifølge lovens § 3, nr. 2, enhver operation eller række
af operationer med eller uden brug af elektronisk databehandling, som oplys-
ninger gøres til genstand for.
I lovens § 5 fastsættes en række grundlæggende principper for den dataan-
svarliges behandling af oplysninger. Bl.a. fremgår det af § 5, at oplysninger
skal behandles i overensstemmelse med god databehandlingsskik, jf. bestem-
melsens stk. 1, og at indsamling af oplysninger skal ske til udtrykkeligt an-
 SOU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 408: MFU spm. om reglerne for adgang til politikeres mails, til økonomi- og indenrigsministeren
2
givne og saglige formål, samt at en senere behandling ikke må være uforene-
lig med disse formål, jf. bestemmelsens stk. 2.
Reglerne i lovens § 5 giver ikke den dataansvarlige et selvstændigt retligt
grundlag for at foretage en bestemt behandling af oplysninger. Hjemlen til
behandling skal findes i de øvrige behandlingsregler
bl.a. i lovens §§ 6-13
og når der i henhold hertil er hjemmel til at foretage behandlingen, skal de
grundlæggende regler i lovens § 5 altid iagttages.
Ifølge lovens § 6, stk. 1, må en behandling af oplysninger bl.a. finde sted, hvis
den registrerede har givet sit udtrykkelige samtykke, jf. bestemmelsens nr. 1,
hvis det i øvrigt er nødvendigt af hensyn til udførelsen af en opgave i samfun-
dets interesse eller til udførelsen af en opgave, der henhører under myndig-
hedsudøvelse, som den dataansvarlige eller tredjemand, til hvem oplysninger-
ne videregives, har fået pålagt, jf. bestemmelsens nr. 5 og 6, eller hvis be-
handlingen er nødvendig for, at den dataansvarlige eller den tredjemand til
hvem oplysningerne videregives, kan forfølge en berettiget interesse og hen-
synet til den registrerede ikke overstiger denne interesse, jf. bestemmelsens
nr. 7.
Persondataloven indeholder i lovens §§ 28-30 generelle regler om den dataan-
svarliges oplysningspligt over for registrerede personer i forbindelse med be-
handling af oplysninger. Reglerne er fælles for både offentlige myndigheder
og private virksomheder mv.
2.2.
Gennemgang af e-mails betragtes som en behandling i persondatalovens
forstand, jf. lovens § 1, stk. 1, og § 3, nr. 2.
Persondataloven giver mulighed for, at en behandling kan finde sted, hvis det
er nødvendigt af hensyn til udførelsen af en opgave i samfundets interesse
eller til udførelsen af en opgave, der henhører under myndighedsudøvelse,
som den dataansvarlige eller tredjemand, til hvem oplysningerne videregives,
har fået pålagt, jf. lovens § 6, stk. 1, nr. 5 og 6.
Behandling kan endvidere finde sted, hvis den er nødvendig for, at den data-
ansvarlige eller den tredjemand til hvem oplysningerne videregives, kan for-
følge en berettiget interesse og hensynet til den registrerede ikke overstiger
denne interesse, jf. lovens § 6, stk. 1, nr. 7.
Datatilsynet har tidligere udtalt, at en kommunes eventuelle gennemgang af
ansattes e-mails i forbindelse med mistanke om misbrug er nødvendig for, at
kommunen kan forfølge berettigede interesser
nemlig hensynet til drift, sik-
kerhed, genetablering og dokumentation samt hensynet til kontrol af brug
og at hensynet til de ansatte ikke overstiger disse interesser, jf. lovens § 6, stk.
 SOU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 408: MFU spm. om reglerne for adgang til politikeres mails, til økonomi- og indenrigsministeren
1768474_0003.png
3
1, nr. 7. Tilsynet har endvidere i en udtalelse fra 2017 antaget, at det er de
samme regler i persondataloven, som gælder for byrådsmedlemmer
1
.
Det er i første række den dataansvarlige, der skal foretage en vurdering af, om
de ønskede behandlinger kan og skal ske indenfor persondatalovens rammer i
de konkrete tilfælde.
2.3.
Efter Datatilsynets praksis
2
er det endvidere en forudsætning, for den
dataansvarliges gennemgang af sendte og modtagne e-mails, at de registrerede
på forhånd på en klar og utvetydig måde er blevet informeret herom, jf. reg-
lerne om oplysningspligt i persondatalovens §§ 28-29. Dette følger endvidere
af princippet om god databehandlingsskik, jf. persondatalovens § 5, stk. 1.
De hensyn til de registrerede, som ligger til grund for kravet om forudgående
information, gør sig gældende, uanset om en behandling af oplysninger i kon-
troløjemed sker som stikprøvekontrol eller på baggrund af en konkret mistan-
ke.
Hvis byrådsmedlemmer mv. ved deres tiltræden informeres om, at al aktivitet
i e-postsystemer bliver logget, og der ikke tillige gives klar og utvetydig for-
udgående information om, at brug af e-mails kan blive gennemset som led i
en kontrol ved mistanke om brug af e-mails i strid med kommunens retnings-
linjer, har kommunen efter Datatilsynets umiddelbare vurdering ikke givet en
forudgående information. Der henvises til den ovenfor under afsnit 2.2. anfør-
te udtalelse fra Datatilsynet i 2017.
Muligheden for undtagelsesvist at foretage gennemgangen uden forudgående
information er underlagt ganske snævre grænser, jf. herved § 30 i persondata-
loven, hvoraf det fremgår, at bestemmelserne i lovens § 28, stk. 1 og 29, stk.
1, ikke gælder, hvis den registreredes interesse i at få kendskab til oplysnin-
gerne findes at burde vige for afgørende hensyn til private eller offentlige
interesser.
Det er også på dette punkt i første række den dataansvarlige, der skal foretage
en vurdering af, om kravet om forudgående information kan og bør fraviges i
de konkrete tilfælde.
2.4.
Datatilsynet kan endelig oplyse, at den dataansvarlige ikke må læse ind-
holdet af en ansats e-mail, når denne er identificeret som privat. Såfremt der
ved en gennemgang af eksempelvis en kommunes e-post findes private e-
mails uden relation til kommunens virksomhed, må de pågældende e-mails
1
Jf. Datatilsynets j.nr. 2000-632-0001 og 2017-323-0455:
https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-registrering-af-
medarbejderes-brug-af-internettet/
og
https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vejledende-udtalelse-om-
kontrol-af-internettrafik-og-e-mails/
2
Jf. Datatilsynets j.nr. 2000-631-0001:
https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-tryg-balticas-
logning-og-kontrol-af-medarbejdernes-brug-af-internettet/
og de i note 1. nævnte udtalelser.
 SOU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 408: MFU spm. om reglerne for adgang til politikeres mails, til økonomi- og indenrigsministeren
4
ikke læses af andre end den retmæssige modtager. En krænkelse heraf kan
være strafbar i medfør af straffelovens § 263.
3.
Datatilsynet har ikke bemærkninger til den del af spørgsmålet, der angår
ændring af lovgivning.
Med venlig hilsen
Cristina A. Gulisano
Direktør