Spørgsmål nr. 35 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren, i forlængelse af svar på REU alm. del
- spørgs-
mål 919-921 (2016-17), oplyse, om det er lovligt, hvis en pri-
vatperson (ansat i et forsikringsselskab) indhenter private bille-
der og oplysninger om en anden person fra dennes lukkede fa-
cebookside, og efterfølgende videregiver disse private billeder
og oplysninger til sin arbejdsgiver uden den anden persons vi-
dende eller samtykke?”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”1.
Datatilsynet lægger i det følgende til grund, at der med formule-
ringen ”lukkede Facebook-profil” og ”lukkede Facebook-side” sigtes
til den situation,
hvor profilen kun er tilgængelig for personens ”ven-
ner”, dvs. en begrænset kreds af personer.
Datatilsynet henviser i øvrigt til besvarelse af REU alm. del
–
spørgs-
mål 919-921 (2016-2017), hvor Datatilsynet har redegjort for behand-
lingsreglerne i persondatalovens §§ 6-8 og de generelle betingelser for
behandling af personoplysninger i lovens § 5 mv.
2.
Såfremt medarbejderen ved en overtrædelse af straffeloven har fået
kendskab til personoplysningerne, må en behandling, herunder en vi-
deregivelse, efter Datatilsynets opfattelse anses for at være i strid med
persondataloven.
Hvorvidt der i øvrigt kan ske videregivelse af oplysninger fra en luk-
ket profil i overensstemmelse med persondataloven afhænger bl.a. af
formålet med videregivelsen og hvilke kategorier af personoplysnin-
ger, der er tale om.
Oplysninger på en lukket profil anses som udgangspunkt alene at være
tilgængelige for en begrænset kreds i form af ”venner”, og vil derfor
ikke umiddelbart være offentliggjort af den registrerede i persondata-
lovens forstand. Videregivelse kan derfor ikke ske på grundlag af, at
oplysninger er offentliggjort af personen selv, og en eventuel hjemmel
skal findes i andre behandlingsregler i lovens §§ 6-8.
2
3.
Datatilsynet bemærker, at enhver håndtering af personoplysninger
er en behandling. En behandling kan således bl.a. være registrering,
opbevaring og videregivelse.
Den dataansvarlige skal allerede ved registreringen af personoplys-
ninger have en hjemmel til behandlingen. Ud over, at der skal være et
grundlag for at foretage behandling af personoplysninger, skal be-
handlingen endvidere være i overensstemmelse med de grundlæg-
gende generelle betingelser i persondatalovens § 5.
Vedrørende forsikringsselskabers behandling af personoplysninger
kan i øvrigt henvises til Datatilsynets afgørelse i sagen 2012-213-
0047, som er offentliggjort på tilsynets hjemmeside.
4.
Det tilføjes uddybende vedrørende persondatalovens § 5, at det føl-
ger af bestemmelsen, at indsamling af oplysninger skal ske til udtryk-
keligt angivne og saglige formål, ligesom de oplysninger, der behand-
les skal være relevante og tilstrækkelige. Oplysninger, der ikke er re-
levante, kan som udgangspunkt ikke behandles inden for rammerne af
persondatalovens § 5.”
3