Retsudvalget 2017-18
REU Alm.del
Offentligt
1807422_0001.png
Lovafdelingen
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
5. oktober 2017
Databeskyttelseskontoret
André Dybdal Pape
2017-0030-0181
506406
Hermed sendes besvarelse af spørgsmål nr. 919 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 8. september 2017.
Spørgsmålet er stillet efter ønske fra Josephine Fock (ALT).
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
Spørgsmål nr. 919 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for de gældende regler for, hvorvidt
og hvordan en privat virksomhed må anskaffe sig og dele op-
lysninger fra en privatpersons lukkede facebookprofil, som
virksomheden ikke har adgang til, f.eks. til brug i verserende
forsikrings- eller erstatningssager vedr. den pågældende per-
son?”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der bl.a. har oplyst følgende:
”Når en privat virksomhed, f.eks. et forsikringsselskab, behandler
personoplysninger, finder persondataloven anvendelse, jf. lovens § 1,
stk. 1, hvoraf det bl.a. fremgår, at loven gælder for behandling af
personoplysninger, som helt eller delvis foretages ved hjælp af elek-
tronisk databehandling, og på ikke-elektronisk behandling af perso-
noplysninger, der er eller vil blive indeholdt i et register.
Ved ’personoplysninger’ forstås ifølge lovens § 3, nr. 1, enhver form
for information om en identificeret eller identificerbar fysisk person
(den registrerede). Af forarbejderne til persondatalovens § 3, nr. 1,
fremgår bl.a., at der ved udtrykket identificerbar person skal forstås
en person, der direkte eller indirekte kan identificeres. Det er uden
betydning, hvorvidt identifikationsoplysningen er alment kendt eller
umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den ind-
viede vil være muligt at forstå, hvem en oplysning vedrører, er om-
fattet af definitionen.
Ved ’behandling’ forstås ifølge persondatalovens § 3, nr. 2, enhver
operation eller række af operationer med eller uden brug af elektro-
nisk databehandling, som oplysninger gøres til genstand for. Dette
omfatter – foruden indsamling, registrering, opbevaring og brug –
også videregivelse af en oplysning. Det følger af det anførte, at per-
sondataloven bl.a. gælder, når personoplysninger indsamles via in-
ternettet.
I lovens § 5 er der fastsat nogle grundlæggende principper for be-
handling af oplysninger, som den private virksomhed altid skal iagt-
tage. Det følger af bestemmelsen, at enhver behandling skal være
2
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
i overensstemmelse med god databehandlingsskik, jf. bestemmelsens
stk. 1. Herved forstås i praksis navnlig, at behandlingen skal være ri-
melig og lovlig. Det er endvidere fastsat, at indsamling af oplysnin-
ger skal ske til udtrykkeligt angivne og saglige formål, og at senere
behandling – for eksempel en videregivelse – af oplysningerne ikke
må være uforenelig med disse formål, jf. bestemmelsens stk. 2.
Det kræves endvidere, at oplysninger, som behandles, skal være rele-
vante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til
opfyldelse af de formål, hvortil oplysningerne indsamles, og de for-
mål, hvortil oplysningerne senere behandles, jf. bestemmelsens stk.
3. Herudover skal behandlingen ifølge bestemmelsens stk. 4 tilrette-
lægges således, at der foretages fornøden ajourføring af oplysnin-
gerne, og der skal foretages den fornødne kontrol for at sikre, at der
ikke behandles urigtige eller vildledende oplysninger. Oplysninger,
der viser sig urigtige eller vildledende, skal snarest muligt slettes el-
ler berigtiges. Endelig må de indsamlede oplysninger ikke opbevares
på en måde, der giver mulighed for at identificere den registrerede i
et længere tidsrum end det, der er nødvendigt af hensyn til de formål,
hvortil oplysningerne behandles, jf. bestemmelsens stk. 5.
De grundlæggende principper i persondatalovens § 5 giver ikke virk-
somheden et selvstændigt retligt grundlag for at foretage en bestemt
behandling af oplysninger. Hjemlen til behandling skal findes i de
øvrige behandlingsregler – bl.a. i lovens §§ 6-13 – og når der i hen-
hold hertil er hjemmel til at foretage behandlingen, skal de grund-
læggende principper i lovens § 5 som tidligere anført altid iagttages.
Behandling af følsomme personoplysninger er reguleret i personda-
talovens § 7 om oplysninger, som efter persondatadirektivet skal an-
ses som oplysninger om særligt følsomme forhold, og i § 8 om op-
lysninger om rent private forhold, som – uden at det er et krav efter
persondatadirektivet – efter den danske persondatalov også skal an-
ses for følsomme personoplysninger. For oplysninger, som hverken
er omfattet af persondatalovens § 7 eller § 8, finder behandlingsreg-
len i persondatalovens § 6 anvendelse. Hertil kommer, at der kan
være tale om en særlig form for behandling af oplysninger, som fal-
der ind under de særlige bestemmelser i lovens §§ 9-13.
Persondatalovens § 6, stk. 1, omfatter ikke-fortrolige oplysninger og
almindeligt fortrolige personoplysninger (det vil sige personoplys-
3
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
ninger, der må betragtes som fortrolige uden at være følsomme og
dermed omfattet af persondatalovens § 7 eller § 8). Dette kan f.eks.
efter omstændighederne omfatte oplysninger om enkeltpersoners
indtægts- og formueforhold, arbejds-, uddannelses- og ansættelses-
mæssige forhold eller oplysninger om personers færden.
Ifølge lovens § 6, stk. 1, må en behandling af oplysninger bl.a. finde
sted, hvis den registrerede har givet sit udtrykkelige samtykke, jf. be-
stemmelsens nr. 1, hvis behandlingen er nødvendig af hensyn til ud-
førelsen af en opgave i samfundets interesse eller til udførelsen af en
opgave, der henhører under myndighedsudøvelse, som den data-
ansvarlige eller tredjemand, til hvem oplysningerne videregives, har
fået pålagt, jf. bestemmelsens nr. 5 og 6, eller hvis behandlingen er
nødvendig for, at den dataansvarlige eller den tredjemand til hvem
oplysningerne videregives, kan forfølge en berettiget interesse og
hensynet til den registrerede ikke overstiger denne interesse, jf. be-
stemmelsens nr. 7.
De oplysninger om enkeltpersoners rent private forhold, der efter
persondatadirektivet skal anses for følsomme personoplysninger, er
oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs
eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold
samt oplysninger om helbredsmæssige og seksuelle forhold, jf. per-
sondatalovens § 7, stk. 1. Opregningen af typer af følsomme perso-
noplysninger i § 7 er udtømmende.
Oplysninger omfattet af persondatalovens § 7 kan alene behandles,
hvis de snævre betingelser, som følger af § 7, stk. 2-7, er opfyldt.
Der er bl.a. mulighed for at behandle de i § 7 omhandlede oplysnin-
ger efter persondatalovens § 7, stk. 2, nr. 3, når der er tale om oplys-
ninger, som er blevet offentliggjort af den registrerede, eller efter §
7, stk. 2, nr. 4, når behandlingen er nødvendig for, at et retskrav kan
fastlægges, gøres gældende eller forsvares.
Særligt for så vidt angår persondatalovens § 7, stk. 2, nr. 3, bemær-
kes, at det fremgår af forarbejderne til persondataloven, at offentlig-
gørelse i bestemmelsens forstand foreligger, hvis oplysningerne er
bragt til kundskab hos en bredere kreds af personer. Dette vil f.eks.
være tilfældet, hvis oplysningerne viderebringes gennem tv, aviser
og lignende landsdækkende medier. Også andre former for videregi-
velse af oplysninger vil kunne anses for offentliggørelse i bestem-
4
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
melsens forstand. Det er en betingelse, at oplysningerne er offentlig-
gjort på den registreredes foranledning. Oplysninger, som andre,
f.eks. pressen, af egen drift har offentliggjort, er således ikke omfat-
tet.
Herudover vil der også være tale om en offentliggørelse, hvis dette
sker via internettet, på eksempelvis Facebook, Twitter og Youtube.
Såfremt den kreds, som får kendskab til oplysningerne, er lukket, er
oplysningerne ikke offentliggjort. Eksempelvis vil oplysninger på
Facebook, som gives til en reel vennekreds, hvor enhver ikke kan få
adgang, ikke anses som værende offentliggjort. Er der derimod tale
om oplysninger på Facebook, som enhver der måtte ønske det kan få
adgang til, taler meget for at anse oplysningerne for offentliggjort.
Persondatalovens § 8 regulerer spørgsmålet om behandlingen af per-
sonoplysninger vedrørende strafbare forhold, væsentlige sociale pro-
blemer og andre rent private forhold end dem, der er nævnt i § 7.
Opregningen i § 8, stk. 1, er ikke udtømmende.
Persondatalovens § 8 angiver således alene karakteren af de forhold,
der gør, at en oplysning må anses for at vedrøre rent private forhold.
Sådanne oplysninger om andre rent private forhold, som er omfattet
af bestemmelsen, kunne for eksempel også være oplysninger om
selvmord eller selvmordsforsøg, interne familieforhold, familiestri-
digheder, separations- eller skilsmissebegæringer, adoptionsforhold,
opdragelsesmåde og ulykkestilfælde.
Det følger af persondatalovens § 8, stk. 4, at private må behandle op-
lysninger om strafbare forhold, væsentlige sociale problemer og an-
dre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registre-
rede har givet sit udtrykkelige samtykke hertil. Herudover kan be-
handling ske, hvis det er nødvendigt til varetagelse af en berettiget
interesse, og denne interesse klart overstiger hensynet til den regi-
strerede.
Af persondatalovens § 8, stk. 6, fremgår endvidere, at oplysninger
omfattet af bestemmelsens stk. 1, 2, 4 og 5, i øvrigt kan finde sted,
hvis betingelserne i § 7 er opfyldt – dvs. også for denne type føl-
somme oplysninger er der en adgang til at behandle oplysningerne,
hvis de er offentliggjort af den registrerede selv.
5
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
Persondatalovens § 28 regulerer spørgsmålet om den private virk-
somheds oplysningspligt over for den registrerede i forbindelse med
indsamling af oplysninger hos den registrerede selv. Formålet med
oplysningspligten er dels at sikre, at den registreredes beslutning om
at afgive oplysninger om vedkommende selv træffes på et pålideligt
faktuelt grundlag med hensyn til en række nærmere beskrevne for-
hold, dels at skabe gennemsigtighed og overblik vedrørende person-
registreringer.
Den dataansvarlige eller dennes repræsentant har ved indsamlingen –
uanset om den sker på den dataansvarliges eller den registreredes ini-
tiativ – pligt til af egen drift at give den registrerede meddelelse om
en række i persondatalovens § 28, stk. 1, nærmere angivne forhold,
medmindre den registrerede allerede er bekendt med de i bestemmel-
sen nævnte oplysninger, jf. persondatalovens § 28, stk. 2.
Persondatalovens § 29 indebærer en pligt for den dataansvarlige eller
dennes repræsentant, der ikke indsamler personoplysninger hos den
registrerede selv, men hos tredjemand, til ved registreringen, eller –
hvor de indsamlede oplysninger er bestemt til videregivelse til tred-
jemand – senest når videregivelsen af oplysningerne finder sted, af
egen drift at give den registrerede meddelelse om i al væsentlighed
de samme forhold, som er nævnt i persondatalovens § 28. Det er en
forudsætning for, at den dataansvarlige kan vente med at opfylde op-
lysningspligten til, når videregivelsen finder sted, at det på indsam-
lingstidspunktet er klart, at oplysningerne skal videregives til tredje-
mand, og videregivelsen skal ske indenfor en forholdsvis snæver pe-
riode. § 29, stk. 2 og 3, indeholder undtagelser fra oplysningspligten
efter § 29, stk. 1, bl.a. hvis underretning af den registrerede viser sig
umulig eller uforholdsmæssigt vanskelig, jf. § 29, stk. 3.
I persondatalovens § 30 er fastsat en række undtagelser, der knytter
sig til den dataansvarliges oplysningspligt i medfør af persondata-
lovens §§ 28 og 29. Bestemmelsen har kun betydning, hvis underret-
ning af den registrerede ikke kan undlades i medfør af § 28, stk. 2,
og § 29, stk. 2 og 3.
Datatilsynet har herved ikke har taget stilling til, hvilke andre regler
den private virksomhed, f.eks. et forsikringsselskab, også er forplig-
tet til at overholde. Der tænkes herved især på straffelovens regler
om beskyttelse af privatlivets fred, men også på regler, som særligt
6
REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 37: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab), uden samtykke modtager og deler private billeder og oplysninger om en privatpersons familiemedlemmer, private begivenheder, ferier m.v., som ikke siger noget om den pågældende persons aktivitetsniveau, til justitsministeren
måtte gælder for forsikringsbranchen, ligesom der kan være regler på
det ansættelsesretlige område, der også er af betydning.”
Justitsministeriet kan i den forbindelse oplyse, at straffelovens kapitel 27
om freds- og ærekrænkelser indeholder en række regler om bl.a. at skaffe
sig, at udnytte eller at videregive oplysninger.
Det følger således f.eks. af straffelovens § 263, stk. 2, at det er strafbart
uberettiget at skaffe sig adgang til en andens oplysninger eller program-
mer, der er bestemt til at bruges i et informationssystem. Det følger endvi-
dere af straffelovens § 264 c, at det er strafbart at skaffe sig eller uberetti-
get udnytte oplysninger, der er fremkommet ved en overtrædelse af f.eks.
straffelovens § 263, stk. 2, som man ikke selv har medvirket til. Endelig
følger det af straffelovens § 264 d, at det er strafbart uberettiget at videre-
give meddelelser eller billeder om en andens private forhold eller i øvrigt
billeder af den pågældende under omstændigheder, der åbenbart kan for-
langes unddraget offentligheden.
7