9.9. Persondataloven

9.9.1. Lovens område

Persondataloven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. § 1, stk. 1. Lovens § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 gælder endvidere for manuel videregivelse af personoplysninger mellem forvaltningsmyndigheder, jf § 1, stk. 3.

For den offentlige forvaltnings vedkommende omfatter loven som udgangspunkt alle former for forvaltningsvirksomhed, herunder såvel i forbindelse med afgørelsessager som faktisk forvaltningsvirksomhed. Lovens regler er uddybet i en række bekendtgørelser og vejledninger samt i Datatilsynets praksis, der i et vist omfang er tilgængelig på www.datatilsynet.dk.

Som et supplement hertil har Personalestyrelsen udgivet vejledningen "Persondata- og hvad så?", der henvender sig til personaleadministrative medarbejdere i staten og derfor kun inddrager de regler fra persondataloven, der er relevante for en offentlig personaleadministration.

9.9.1.1. "Elektronisk databehandling"

Persondataloven gælder for behandling af personoplysninger, som sker elektronisk, fx når der anvendes ESDH-systemer, elektronisk journalisering, scanning, tekstbehandling eller regneark, eller hvis en oplysning videregives ved hjælp af et elektronisk medie, fx internettet.

9.9.1.2. "Manuelle registre"

Ligeledes gælder persondataloven, hvis personoplysningerne indgår i et manuelt register. Af lovens forarbejder fremgår, at manuelle registre, såsom fortegnelser, kartotekskasser, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de indeholdte personoplysninger, er omfattet af bestemmelsens registerbegreb.

Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet.

9.9.1.3. "Personoplysninger"

Ved "personoplysninger" forstås ifølge § 3, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

9.9.1.4. "Behandling"

Ved "behandling" forstås ifølge § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysningerne gøres til genstand for. Omfattet af begrebet er fx indsamling, registrering, videregivelse, opbevaring, samkøring og sletning.

9.9.1.5. "Den dataansvarlige"

I § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

9.9.2. Krav til samtykke

9.9.2.1. Samtykke

Som hovedregel må en arbejdsgiver kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til dette.

persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som har fået fuldmagt af den registrerede.

Endvidere skal den behandling, der gives samtykke til, opfylde lovens § 5, herunder være sagligt begrundet, relevant og proportionalt.

Et samtykke skal være frivilligt. Samtykket må således ikke være afgivet under tvang.

Frivillighedskravet kan umiddelbart synes at være et problem i arbejdsmæssig sammenhæng, idet jobansøgeren/medarbejderen kan anses for at være i et afhængighedsforhold til arbejdsgiveren. Det er dog ikke i praksis antaget, at den omstændighed, at en person giver samtykke for at opnå en modydelse, fx et job, i sig selv medfører, at samtykket ikke længere kan betegnes som frivilligt.

Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.

Et ikke nærmere specificeret samtykke til indhentning af referenceoplysninger hos en tidligere arbejdsgiver kan som udgangspunkt ikke antages af omfatte følsomme personoplysninger omfattet af persondatalovens § 7, stk. 1. Der henvises til Højesterets dom af 27. maj 2011, jf. UfR 2011.2343. 

Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.

Det følger herudover af de enkelte behandlingsregler i lovens kapitel 4, se bl.a. § 6, stk. 1, nr. 1, § 7, stk. 2, nr. 2, og § 8, stk. 2, nr. 1, at et samtykke skal være udtrykkeligt. Dette indebærer, at der ikke kan indhentes stiltiende eller indirekte samtykke til behandling af personoplysninger.

Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.

Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. lovens § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.

9.9.3. Grundlæggende krav til databehandling

9.9.3.1. God databehandlingsskik, saglighed, proportionalitet mv.

Persondatalovens § 5 fastsætter en række grundlæggende principper for behandling af personoplysninger. Disse principper skal altid overholdes, men giver ikke i sig selv en konkret hjemmel til behandlingen af personoplysninger. En behandling skal således også være i overensstemmelse med de øvrige behandlingsregler i lovens kapitel 4, §§ 6 - 14.

Det følger af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. persondatalovens §§ 28 og 29 om oplysningspligt.

I Datatilsynets praksis er det antaget, at dette princip medfører, at en dataansvarlig, inden der gennemføres kontrol af medarbejderne, fx videoovervågning eller kontrol af brug af internet og e-post, normalt skal have givet klar og tydelig information til hver enkelt ansat.

Indsamling af oplysninger skal desuden ske til udtrykkeligt angivne og saglige formål (finalité-princippet), jf. § 5, stk. 2. Når en dataansvarlig samler personoplysninger ind, skal det stå klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt. Det er ikke tilladt at indsamle oplysninger, hvis man ikke aktuelt har noget at bruge dem til, men blot forventer, at der senere viser sig et formål. Om et bestemt formål med en indsamling af personoplysninger er sagligt, afhænger først og fremmest af, om der er tale om løsning af en opgave, som det er naturligt for den pågældende myndighed at løse. Hvad der er sagligt for den ene myndighed, vil altså ikke nødvendigvis være sagligt for den anden.

Indsamlede oplysninger kan efterfølgende principielt godt anvendes til et andet end det oprindelige formål, blot den senere anvendelse ikke er uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Hvis den senere behandling direkte modarbejder eller skader det oprindelige formål, er det klart, at behandlingen ikke kan finde sted. Herudover må det vurderes konkret, om en senere behandling må anses for så uvedkommende i forhold til det oprindelige formål, at den ikke kan accepteres.

Desuden skal de oplysninger, som behandles, være relevante og tilstrækkelige jf. persondatalovens § 5, stk. 3. Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder ikke må indsamle og registrere flere oplysninger om en medarbejder, end hvad der er nødvendigt. Der gælder således et proportionalitetsprincip for behandlingerne.

9.9.3.2. Overvågning

Datatilsynet har i forbindelse med en konkret sag om overvågning af en kommunes kassefunktion og dermed overvågning af de ansatte udtalt, at døgnovervågning ikke kan anses for at være i strid med lovens grundlæggende principper, herunder proportionalitetsprincippet. Datatilsynet lagde i den forbindelse vægt på, at der var tale om kommunens indendørs lokaliteter, ligesom Datatilsynet tillagde det betydning, at overvågningen skete af hensyn til medarbejdernes sikkerhed og beskyttelse af kommunens værdier. Lovens regler om oplysningspligt skal samtidig overholdes. Der henvises til www.datatilsynet.dk og Datatilsynets udtalelser i den konkrete sag (Datatilsynets j.nr. 2003-213-0149).

9.9.3.3. Ajourføring/sletning

Persondatalovens § 5, stk. 4, fastslår, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Efter § 5, stk. 5, gælder, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Persondataloven indeholder ikke specifikke regler om, hvornår personoplysninger skal slettes. Dette må afgøres af den dataansvarlige i den enkelte situation. Ved vurderingen heraf må der efter Datatilsynets opfattelse navnlig lægges vægt på, om en fortsat opbevaring tjener et sagligt formål.

Hensynet til at kunne opbevare dokumentation for historikken i en personalesag, herunder at virksomheden har mulighed for at se, hvilke skridt der tidligere er foretaget i personalesagen, må efter Datatilsynets opfattelse anses for et sagligt formål i personaleadministrativ sammenhæng.

9.9.4. Behandlingsreglerne

persondatalovens kapitel 4 er der fastsat regler for, i hvilket omfang behandling af oplysninger må finde sted. I §§ 6, 7 og 8 findes således de almindelige betingelser for behandling af oplysninger. Loven skelner mellem

  • ikke-følsomme oplysninger (§ 6)
  • følsomme oplysninger (§ 7)
  • andre følsomme oplysninger (§ 8)

§ 11 indeholder en særlig regel om behandling af oplysninger om personnummer.

9.9.4.1. Behandling

Det er vigtigt at være opmærksom på, at begrebet "behandling" dækker over enhver form for håndtering af personoplysninger. Som de vigtigste former for behandling kan nævnes: Indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkørsel og sletning.

Har man ret til at foretage én bestemt form for databehandling, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling af de samme oplysninger.

Når en offentlig myndighed må indsamle bestemte oplysninger, må den normalt også systematisere, registrere, bruge og slette dem. Men det er fx ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling.

9.9.4.2. Behandling af ikke-følsomme personoplysninger

Behandling af ikke-følsomme oplysninger, herunder fortrolige oplysninger, må kun ske, hvis en af betingelserne i persondatalovens § 6, stk. 1, nr. 1-7, er opfyldt. § 6 omfatter alle andre typer af personoplysninger end dem, der er nævnt i §§ 7 og 8. Det kan være såvel almindelige, som fortrolige oplysninger. Omfattet af § 6 er fx oplysninger om medarbejderens navn, adresse og telefonnummer, fødselsdato, familie, oplysninger om uddannelse, udtalelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold, oplysninger om skat, sygefravær og sygdomsperioder (forudsat at sygdommens art ikke er nævnt), oplysninger om andet fravær, oplysninger om pensionsforhold, kildeskatteoplysninger og oplysninger om kontonummer, hvortil løn skal anvises.

Efter § 6 kan behandling bl.a. ske,

  • hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1
  • hvis behandlingen er nødvendig af hensyn til opfyldelse af en aftale, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, jf. § 6, stk. 1, nr. 2
  • hvis behandlingen er nødvendig for at overholde en retlig forpligtigelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3
  • hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, jf. § 6, stk. 1, nr. 6
  • hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysninger videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

I forbindelse med opslag af en ledig stilling modtager en myndighed typisk ikke-følsomme oplysninger fra ansøgere til stillingen. Disse oplysninger kan arbejdsgiveren normalt behandle, dvs. fx registrere og journalisere til brug for ansættelsessagen.

Derimod kan myndigheden ikke på baggrund af ansøgningen rette henvendelse til en ansøgers aktuelle arbejdsgiver med oplysning om, at den pågældende søger nyt arbejde. Dette vil efter Datatilsynets umiddelbare opfattelse forudsætte et særskilt samtykke fra ansøgeren.   

Etableringen af et ansættelsesforhold medfører, at ikke-følsomme oplysninger normalt vil kunne registreres af arbejdsgiveren uden samtykke i medfør af § 6, stk. 1, nr. 2, i det omfang arbejdsgiveren skal bruge oplysningerne.

Datatilsynet har i flere sager fundet, at arbejdsgiveres registrering (logning) af medarbejdernes hjemmesidebesøg samt gennemgang af registreringen ved mistanke om misbrug af internettet under visse betingelser kan finde sted efter interesseafvejningsreglen i § 6, stk. 1, nr. 7. Det forudsætter dog, at medarbejderne på forhånd - på en klar og utvetydig måde - er informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.

www.datatilsynet.dk findes der tekster om logning og kontrol af medarbejderes brug af internettet samt kontrol af medarbejderes browser og e-post.

Datatilsynet har i en række sager fundet, at en offentlig myndighed efter interesseafvejningsreglen i § 6, stk. 1, nr. 7, må offentliggøre arbejdsrelaterede oplysninger om de ansatte på sin hjemmeside på internettet. Omvendt må oplysninger af mere privat karakter kun offentliggøres med samtykke fra den ansatte.

Arbejdsrelaterede oplysninger er for eksempel den ansattes navn, arbejdsområder, ansættelsesår, direkte arbejdstelefonnummer eller e-postadresse på arbejdet. Sådanne oplysninger er en naturlig del af informationen om arbejdspladsen og kan derfor som hovedregel offentliggøres uden samtykke. Oplysninger af mere privat karakter er fx et billede af den ansatte, en privat adresse, en privat e-postadresse eller et privat telefonnummer. Arbejdspladsen må som udgangspunkt kun offentliggøre disse oplysninger, hvis den enkelte ansatte har givet udtrykkeligt samtykke hertil.

Datatilsynet har afgivet flere udtalelser vedrørende offentlige myndigheders videregivelse af oplysninger om ansatte til fagforeninger. Datatilsynets praksis kan sammenfattes således, at en dataansvarlig myndighed eller virksomhed uden samtykke kan videregive medarbejderoplysninger i form af identifikationsoplysninger til en fagforening, som de pågældende er medlem af.

Derimod kræver det som udgangspunkt samtykke fra den enkelte ansatte, hvis vedkommende ikke er medlem af fagforeningen. Dog kan videregivelsen ske uden samtykke, hvis der foreligger særlige omstændigheder. Dette vil fx være tilfældet, hvis videregivelsen har støtte i en overenskomst eller lignende med henblik på individuelle lønforhandlinger. Det samme vil være tilfældet, hvis videregivelsen er forudsat i lov eller bekendtgørelse.

Datatilsynet har vedrørende spørgsmålet om videregivelse af oplysninger om offentligt ansattes løn afgivet en vejledende udtalelse. Udtalelsen, der har j.nr. 2007-321-0047, findes på www.datatilsynet.dk og på www.modst.dk

9.9.4.3. Behandling af følsomme personoplysninger

Efter persondatalovens §§ 7 og 8 er følsomme oplysninger fx oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, alkohol mv., oplysninger om medlemskab af en fagforening og oplysninger om strafbare forhold samt oplysninger om andre tilsvarende rent private forhold, fx om at en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet. En personlighedstest vil som regel også indeholde følsomme personoplysninger.

Følsomme oplysninger er også oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og væsentlige sociale problemer.

Som hovedregel må en arbejdsgiver ikke behandle følsomme oplysninger om en medarbejder. § 7, stk. 2-7, og § 8, stk. 1-6, indeholder dog visse undtagelser til hovedreglen. Behandling vil fx kunne ske, hvis medarbejderen har givet udtrykkeligt samtykke til dette.

Der er dog også mulighed for at registrere følsomme oplysninger, hvis det er nødvendigt for at opfylde bestemmelser i en lov eller bekendtgørelse udstedt i medfør af lov. Der kan fx registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til sygedagpengelovens § 56.

Også på områder, hvor der kan tænkes at opstå et retskrav for fx medarbejderen (fx på erstatning som følge af en arbejdsskade) eller for arbejdsgiveren, vil der uden samtykke kunne foretages registreringer af følsomme oplysninger til brug for en eventuel sag.

Der vil herudover som udgangspunkt kun være begrænset mulighed for at registrere følsomme oplysninger i personaleadministrativ sammenhæng. Der skal være tale om registrering, som er nødvendig for, at det kan fastlægges, om nogen har et retskrav. Det vil fx kunne forekomme, at en virksomhed har behov for at registrere oplysninger om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre virksomhedens krav på erstatning gældende over for medarbejderen.

Arbejdsgiverens behandling af oplysninger om strafbare forhold, herunder indhentelse af straffeattester vedrørende ansøgere eller ansatte, skal afgøres efter reglerne i lovens §§ 5 og 8.

§ 7, stk. 3, indeholder en særlig bestemmelse om behandling af oplysninger om fagforeningsmæssige tilhørsforhold. Efter bestemmelsen kan oplysninger om fagforeningsmæssige tilhørsforhold behandles, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder. "Arbejdsretlige forpligtelser eller specifikke rettigheder" omfatter alle former for forpligtelser og rettigheder, som hviler på et arbejdsretligt grundlag. Dette gælder, uanset om grundlaget er lovgivning eller aftale. Også behandling af oplysninger, som sker til overholdelse af forpligtelser eller rettigheder, som følger af kollektive overenskomster eller af individuelle ansættelseskontrakter, er dermed omfattet af bestemmelsen.

En oplysning om, at en person er medlem af en fagforening uden at angive hvilken fagforening, betragtes som en følsom oplysning.

9.9.5. Anden lovgivning

Det er vigtigt at være opmærksom på, at bestemmelser i særlovgivningen kan begrænse adgangen til at indsamle, registrere eller i øvrigt behandle følsomme oplysninger. Dette vil efter omstændighederne kunne være tilfældet med lov om brug af helbredsoplysninger på arbejdsmarkedet og lov om forbud mod forskelsbehandling på grund af race m.v.

9.9.6. Behandling af personnummer

Offentlige myndigheders behandling af oplysninger om personnummer er særligt reguleret i persondatalovens § 11, stk. 1. Offentlige myndigheder kan således behandle oplysninger om personnummer med henblik på entydig identifikation eller som journalnummer.

Datatilsynet har afgivet flere udtalelser vedrørende offentlige myndigheders videregivelse af oplysninger om ansatte til fagforeninger, herunder oplysninger om personnummer. Datatilsynets praksis kan sammenfattes således, at en dataansvarlig myndighed uden samtykke kan videregive medarbejderoplysninger i form af identifikationsoplysninger, herunder personnummer, til en fagforening, som de pågældende er medlem af. Videregivelse af personnumre for ansatte, der ikke er medlem af den pågældende fagforening, kræver samtykke, jf. § 11, stk. 2, nr. 2.

9.9.7. Registrering af udgående opkald

Efter persondatalovens § 13, stk. 1, 1. pkt., må offentlige myndigheder og private virksomheder ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner.

Reglen tager sigte på at beskytte ansattes privatliv i forbindelse med brugen af telefoner, som er installeret hos den ansattes arbejdsgiver. Registreringsforbudet gælder, uanset om opkaldet foretages fra den dataansvarliges fast installerede telefoner eller fra mobiltelefoner. Forbudet retter sig alene mod registrering af selve det opkaldte telefonnummer, og reglen er således ikke til hinder for en registrering af tællerskridt eller tidsrummet for den førte samtale. Endvidere vil der kunne registreres dele af det opkaldte nummer, fx derved at de to sidste cifre i et ottecifret nummer udelades. Bestemmelsen udelukker endvidere ikke manuel registrering af opkaldte telefonnumre. Om sådan registrering vil være lovlig, skal afgøres efter lovgivningen i øvrigt.

Datatilsynet kan dog efter § 13, stk. 1, 2. pkt., give tilladelse til, at der - uanset forbudet - foretages automatisk registrering af ansattes udgående opkald, i tilfælde hvor afgørende hensyn til private eller offentlige interesser taler herfor. Det kan i den forbindelse efter omstændighederne tillægges betydning, om den registrerede har meddelt samtykke til registreringen. Som eksempel på tilfælde, hvor Datatilsynet kan meddele tilladelse, kan nævnes registrering af de telefonopkald, der er foretaget i forbindelse med udførelsen af en bestemt arbejdsopgave i ind- eller udlandet med henblik på refusion af samtaleudgifterne fra medkontrahenten i henhold til en indgået aftale herom. Datatilsynet kan fastsætte nærmere vilkår for registreringen.

9.9.8. Oplysningspligt

Persondatalovens kapitel 8 omhandler oplysningspligt over for den registrerede.

9.9.8.1. Indsamling hos den registrerede

Det følger af persondatalovens § 28, stk. 1, at den dataansvarlige eller dennes repræsentant - ved indsamling af oplysninger hos den registrerede - skal give den registrerede meddelelse om følgende:

  • den dataansvarliges og dennes repræsentants identitet.
  • formålene med den behandling, hvortil oplysningerne er bestemt.
  • alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som fx:
    • kategorierne af modtagere.
    • om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.
    • om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de ovenfor nævnte oplysninger, jf. § 28, stk. 2. Endvidere findes der i lovens § 30 en række undtagelser til oplysningspligten i § 28, stk. 1.

9.9.8.2. Indsamling hos andre end den registrerede

Hvor oplysningerne er indsamlet hos andre end den registrerede, påhviler det ifølge persondatalovens § 29, stk. 1, den dataansvarlige eller dennes repræsentant ved registreringen eller, hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når oplysningerne videregives, at give den registrerede meddelelse om følgende:
  • den dataansvarliges og dennes repræsentants identitet.
  • formålene med den behandling, hvortil oplysningerne er bestemt.
  • alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som fx:
    • hvilken type oplysninger det drejer sig om
    • kategorierne af modtagere
    • om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

    Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de ovenfor nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov, jf. § 29, stk. 2.

    Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig, jf. § 29, stk. 3.

    Endvidere findes der i lovens § 30 en række undtagelser til oplysningspligten i § 29, stk. 1.

    Datatilsynet har udsendt vejledning 126 10/7 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger (rettighedsvejledningen), hvor oplysningspligten behandles under punkt 2. Vejledningen kan findes på www.datatilsynet.dk under punktet "Lovgivning".

    Af vejledningen fremgår det, at underretningspligten i almindelighed skal opfyldes inden 10 dage efter registreringen af oplysningerne. Der gælder ingen formkrav til underretningen, men da myndigheden skal kunne dokumentere, at der er sket underretning, anbefaler Datatilsynet, at underretningen sker skriftligt. Meddelelsen skal både være klar og tydelig. Det fremgår endvidere, at den dataansvarlige - uafhængigt af, hvornår oplysningspligten indtræder – alene er forpligtet til at give meddelelse til den registrerede én gang. Dette gælder såvel ved enkeltstående indsamlinger som ved løbende indsamling af oplysninger. Ved indhentelse af yderligere oplysninger i samme sag er en gentagelse af oplysningspligten således ikke nødvendig.

    En betingelse for at undlade at underrette den registrerede, hver gang der indsamles oplysninger hos andre end den registrerede, er dog, at de efterfølgende indsamlinger ikke går ud over rammerne for den meddelelse, som er givet til den registrerede i forbindelse med den første indsamling eller videregivelse.

    9.9.9. Indsigtsret

    Hvis en person efter persondatalovens § 31, stk. 1, fremsætter begæring om indsigt, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende.

    Behandles der, jf. lovens § 1, stk. 1, oplysninger om den registrerede skal der på let forståelig måde gives meddelelse om:

    • hvilke oplysninger der behandles
    • behandlingens formål
    • kategorierne af modtagere af oplysningerne, og
    • tilgængelig information om hvorfra disse oplysninger stammer

    Den dataansvarlige skal snarest besvare begæringen. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil samt om, hvornår afgørelsen kan forventes at foreligge, jf. § 31, stk. 2.

    Der er i § 32 fastsat en række undtagelser til indsigtsretten.

    I lovens § 34, stk. 1, foreskrives det, at indsigt efter lovens § 31, stk. 1, som udgangspunkt skal gives skriftligt, hvis den registrerede anmoder herom.

    Datatilsynet har udsendt vejledning 126 10/7 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger (rettighedsvejledningen), hvor indsigtsretten behandles under punkt 3. 

    9.9.10. Anmeldelsespligt

    9.9.10.1. Hovedregel: Behandlinger anmeldes til Datatilsynet

    Persondatalovens kapitel 12 omhandler anmeldelse af behandlinger, der foretages for den offentlige forvaltning.

    Det følger af § 43, stk. 1, at forinden iværksættelse af behandling af oplysninger, som foretages for den offentlige forvaltning, skal der af den dataansvarlige eller dennes repræsentation foretages anmeldelse til Datatilsynet.

    9.9.10.2. Undtagelse: Ej anmeldelse af ikke fortrolige oplysninger

    Persondatalovens § 44, stk. 1, modificerer dette ved at fastslå, at behandling, som ikke omfatter oplysninger af fortrolig karakter, er undtaget fra reglerne i § 43. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer. Der er endvidere fastsat undtagelser til udgangspunktet om anmeldelsespligt i bekg. 529 15/6 2000 om undtagelser fra pligten til anmeldelse i den offentlige forvaltning. For nærmere information herom kan der henvises til Datatilsynets vejledning 125 10/7 2000 om anmeldelse.

    Efter lovens § 45, stk. 1, skal der - inden behandling, som er omfattet af anmeldelsespligten i § 43, iværksættes - indhentes en udtalelse fra Datatilsynet, bl.a. når behandlingen omfatter følsomme oplysninger.

    Det betyder i praksis, at myndigheden skal anmelde behandlinger af fortrolige og følsomme oplysninger, bortset fra de behandlinger, der er nævnt i undtagelsesbekendtgørelsen. Eksempler herpå kan være oplysninger om personlighedstest og strafbare forhold.

    Der er mulighed for at foretage anmeldelse elektronisk via www.datatilsynet.dk, hvor der også er en kladde til offentlige myndigheders anmeldelse af personaleadministration.

    9.9.11. Sikkerhed

    Persondataloven indeholder i kapitel 11 regler om behandlingssikkerhed.

    Af § 41, stk. 3, følger, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

    Kravene i § 41, stk. 3, er uddybet i bekg. 528 15/6 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), der er udstedt i medfør af lovens § 41, stk. 5.

    9.9.11.1. Autorisation

    I sikkerhedsbekendtgørelsens § 11, stk. 1, er det fastsat, at der kun må gives adgang til personoplysninger for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang.

    I bekendtgørelsens § 11, stk. 2, fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne.

    Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere fx indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres til at anvende.

    Efter Datatilsynets opfattelse bør oplysninger vedrørende personaleadministrative forhold som altovervejende hovedregel kun være tilgængelige for de medarbejdere, der er beskæftigede med personaleadministration. Det gælder i særdeleshed for fortrolige og følsomme oplysninger.

    I forbindelse med personaleadministration kan der endvidere forekomme oplysninger, som end ikke alle, der beskæftiger sig med personaleadministration, bør have adgang til.

    Derimod har tilsynet ikke indvendinger imod, at der fx gives de øvrige ansatte mere banale oplysninger fra personaleadministrationen, fx om nyansættelser og rokeringer mv.

    For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder fx medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører.

    Til bekendtgørelsen har Datatilsynet udsendt vejledning 37 2/4 2001 (sikkerhedsvejledningen).

    Bekendtgørelsen og vejledningen kan læses på www.datatilsynet.dk under punktet "lovgivning".

    9.9.11.2. Hjemmearbejdspladser

    På www.datatilsynet.dk findes der tekster om de sikkerhedsmæssige problemstillinger, som en arbejdsgiver bør være opmærksom på i forbindelse med etablering af hjemmearbejdspladser, samt om medarbejderes brug af privat pc i arbejdsmæssig sammenhæng.

    9.9.11.3. Transmission over internettet

    www.datatilsynet.dk findes der en tekst om de sikkerhedsmæssige krav ved transmission af personoplysninger over internettet. Som det bl.a. fremgår heraf, skal der ved offentlige myndigheders transmission af fortrolige og følsomme oplysninger via internettet, herunder via e-mail, ske kryptering af de pågældende oplysninger.
    Kapitel 9. Sidst revideret 29.06.17