Datatilsynets vejledning nr. 126
af 10. juli 2000 om
registreredes rettigheder
efter reglerne i kapitel 8-10 i
lov om behandling af
personoplysninger
1.
Indledning
1.1.
Lovgrundlaget
Lov nr. 429
af 31. maj 2000 om behandling af
personoplysninger (i det
følgende: »persondataloven«)
indeholder en række regler, som
giver den enkelte borger (»den
registrerede«) forskellige
rettigheder over for
myndigheder, virksomheder,
foreninger m.v. (»den
dataansvarlige«), som behandler
oplysninger om den pågældende.
Reglerne har til formål at
styrke den enkelte borgers
retsstilling, bl.a. ved at skabe
åbenhed omkring behandlingen af
oplysninger og ved at give
registrerede personer adgang til
at gøre indsigelse over for
nærmere bestemte former for
behandling af oplysninger.
Denne
vejledning er først og fremmest
en vejledning til de
dataansvarlige om borgernes
rettigheder efter den nye lov,
og om hvordan reglerne skal
håndteres. Vejledningen
indeholder også svar på en række
spørgsmål, som borgere,
myndigheder, virksomheder,
foreninger m.v. kan have brug
for i forbindelse med den
praktiske gennemførelse af
reglerne. I den forbindelse skal
det dog nævnes, at vejledningen
ikke retter sig mod domstolenes
behandling af oplysninger, idet
Datatilsynet ikke fører tilsyn
med domstolene, jf. lovens
kapitel 17.
Reglerne om
den registreredes rettigheder er
indeholdt i lovens afsnit III
(kapitel 8-10).
Her er der
fastsat bestemmelser om den
dataansvarliges oplysningspligt
over for den registrerede, om
den registreredes indsigtsret og
om en række øvrige rettigheder,
som tilkommer den registrerede,
jf. nærmere nedenfor. Enkelte af
reglerne indebærer en
videreførelse af de tidligere
gældende regler i lov om private
registre og lov om offentlige
myndigheders registre, men der
er i vidt omfang tale om nye
regler. Det skal i den
forbindelse nævnes, at reglerne
skal ses på baggrund af direktiv
95/46/EF af 24. oktober 1995 om
beskyttelse af fysiske personer
i forbindelse med behandling af
personoplysninger og om fri
udveksling af sådanne
oplysninger.
Den
registreredes rettigheder efter
loven kan - i oversigtsform -
beskrives på følgende måde:
-
Oplysningspligt over for
den registrerede (lovens §§
28-30).
- Den
registreredes indsigtsret
(lovens §§ 31-34).
-
Indsigelsesret over for
behandlinger (lovens § 35).
- Ret
til indsigelse mod og
oplysning om visse
behandlinger med henblik på
markedsføring (lovens §
36).
- Ret
til berigtigelse,
sletning eller blokering
af oplysninger, der er
urigtige m.v. (lovens § 37,
stk. 1).
- Ret
til underretning af
tredjemand, som har
modtaget oplysninger, der er
berigtiget, m.v. (lovens §
37, stk. 2).
- Ret
til at tilbagekalde et
samtykke (lovens § 38).
- Ret
til indsigelse mod visse
automatiserede afgørelser,
samt ret til oplysning om
beslutningsgrundlaget
(lovens § 39).
- Den
registreredes ret til at
klage til
Datatilsynet(lovens § 40).
Lovens afsnit
III om registreredes rettigheder
er optrykt som bilag 1
til vejledningen.
Med
ikrafttrædelsen af
persondataloven den 1. juli 2000
ophævedes lov om private
registre og lov om offentlige
myndigheders registre,
henholdsvis lovbekendtgørelse
nr. 622 af 2. oktober 1987 og
lovbekendtgørelse nr. 654 af 20.
september 1991, begge med senere
ændringer. Samtidig ophævedes de
administrative retsforskrifter,
der er udstedt i henhold til de
nævnte love, herunder de
registerforskrifter, som
offentlige myndigheder har
udstedt med hjemmel i lov om
offentlige myndigheders
registre.
Også
Registertilsynets vejledning nr.
137 af 23. juli 1980 om
registerindsigt (egenacces) i
henhold til kapitel 4 i lov om
offentlige myndigheders registre
er bortfaldet.
1.2.
Lovens anvendelsesområde,
definitioner
Til forskel
fra den tidligere gældende
registerlovgivning bygger
persondataloven ikke på en
organisatorisk afgrænsning.
Principielt er såvel enhver
privat som offentlig behandling
af personoplysninger omfattet af
loven.
Loven gælder
først og fremmest for behandling
af personoplysninger, som helt
eller delvis foretages ved hjælp
af elektronisk databehandling
(edb). Det er uden betydning, om
personoplysninger indgår i et
edb-register. Loven omfatter
også en række andre
behandlinger, herunder navnlig
ikke-elektronisk behandling af
personoplysninger, der er eller
vil blive indeholdt i et
register (manuelle registre),
jf. lovens § 1, stk. 1.
Hvad der skal
forstås ved begreberne
»personoplysninger«,
»behandling« og »register« er
fastsat i lovens § 3, nr. 1-3.
Ifølge lovens
§ 3, nr. 1, skal der ved
personoplysninger forstås:
»Enhver form for information om
en identificeret eller
identificerbar fysisk person
(den registrerede).« Omfattet af
begrebet personoplysninger er
herefter oplysninger, som kan
henføres til en fysisk person,
selv om det forudsætter kendskab
til personnummer,
registreringsnummer eller
lignende særlige
identifikationer som f.eks.
løbenummer. Det er uden
betydning, om
identifikationsoplysningen er
alment kendt eller umiddelbart
tilgængelig. Også de tilfælde,
hvor det kun for den indviede
vil være muligt at forstå, hvem
en oplysning vedrører, er
omfattet af definitionen. Hvad
særligt angår spørgsmålet om
bipersoner henvises til pkt.
1.5. nedenfor.
Ved
behandling forstås ifølge
lovens § 3, nr. 2: »Enhver
operation eller række af
operationer med eller uden brug
af elektronisk databehandling,
som oplysninger gøres til
genstand for.« Begrebet
behandling omfatter ikke blot -
som efter den tidligere gældende
registerlovgivning -
registrering, opbevaring og
videregivelse af oplysninger,
men derimod enhver form for
håndtering af oplysninger.
Begrebet dækker således bl.a.
over indsamling, registrering,
opbevaring, brug, videregivelse,
samkøring, blokering og
sletning.
Ifølge lovens
§ 3, nr. 3, defineres begrebet
register som: »Enhver
struktureret samling af
personoplysninger, der er
tilgængelige efter bestemte
kriterier, hvad enten denne
samling er placeret centralt,
decentralt eller er fordelt på
et funktionsbestemt eller
geografisk grundlag.« Omfattet
af bestemmelsens registerbegreb
er manuelle registre, såsom
fortegnelser, kartoteker,
journalkortsystemer og andre
samlinger af manuelt materiale,
som opbevares struktureret efter
bestemte kriterier vedrørende
personer for at lette adgangen
til de indeholdte
personoplysninger. Derimod er
manuelle akter, som indgår i den
dataansvarliges konkrete
sagsbehandling, mapper med
sagsakter eller samlinger af
sådanne mapper, ikke omfattet af
registerbegrebet.
Det skal dog
i den forbindelse nævnes, at
lovens anvendelsesområde for så
vidt angår den private sektor
ikke er begrænset til kun at
gælde for manuelle registre.
Ligesom efter den tidligere
gældende lov om private registre
gælder loven tillige for
anden ikke-elektronisk
systematisk behandling, som
udføres for private, og som
omfatter oplysninger om
personers private eller
økonomiske forhold eller i
øvrigt oplysninger om personlige
forhold, som med rimelighed kan
forlanges unddraget
offentligheden, jf. lovens § 1,
stk. 2. Dette indebærer bl.a.,
at en privat dataansvarligs
behandling af personoplysninger
i en struktureret samling af
aktmapper (manuelle
»papirsager«) falder inden for
lovens område. Dette gælder dog
ikke reglerne i lovens kapitel 8
og 9 om henholdsvis den
dataansvarliges oplysningspligt
over for den registrerede og om
den registreredes indsigtsret,
jf. lovens § 1, stk. 2, 2. pkt.
Uden for
lovens anvendelsesområde falder
en række nærmere angivne
behandlinger. Det drejer sig
bl.a. om behandlinger, som en
fysisk person foretager med
henblik på udøvelse af
aktiviteter af rent privat
karakter, jf. lovens § 2, stk.
3, samt behandlinger der
foretages for politiets og
forsvarets
efterretningstjenester, jf.
lovens § 2, stk. 11.
Behandlinger,
der foretages for politi og
anklagemyndighed inden for det
strafferetlige område, er ikke
fuldt ud omfattet af lovens
regulering. Sådanne behandlinger
er undtaget fra reglerne i
lovens kapitel 8 (om den
dataansvarliges oplysningspligt
over for den registrerede) og §§
35-37 og § 39 (om den
registreredes øvrige
rettigheder), dog gælder
reglerne i § 38 og § 40 om
tilbagekaldelse af samtykke og
om klageadgang til Datatilsynet.
Ligeledes finder reglerne i
lovens kapitel 9 (om den
registreredes indsigtsret)
anvendelse på behandlinger for
politi og anklagemyndighed, jf.
lovens § 2, stk. 4, 2. pkt.
I lovens § 3,
nr. 4-9, er fastsat yderligere
definitioner af en række
centrale databeskyttelsesretlige
begreber. Det drejer sig bl.a.
om begrebet den
dataansvarlige, hvorved
forstås »den fysiske eller
juridiske person, offentlige
myndighed, institution eller
ethvert andet organ, der alene
eller sammen med andre afgør,
til hvilket formål og med hvilke
hjælpemidler, der må foretages
behandling af oplysninger«, jf.
lovens § 3, nr. 4. Nævnes kan
endvidere begrebet
databehandleren, der
defineres som »den fysiske eller
juridiske person, offentlige
myndighed, institution eller
ethvert andet organ, der
behandler oplysninger på den
dataansvarliges vegne«,
jf. lovens § 3, nr. 5.
1.3.
Legitimationskrav
Persondataloven skal bl.a.
sikre, at den enkelte borgers
retsbeskyttelse og integritet
ikke krænkes i forbindelse med
den dataansvarliges behandling
af personoplysninger. I
overensstemmelse hermed er det
fastsat i lovens § 41, stk. 3,
at den dataansvarlige skal
træffe de fornødne tekniske og
organisatoriske
sikkerhedsforanstaltninger mod,
at oplysninger kommer til
uvedkommendes kendskab,
misbruges eller i øvrigt
behandles i strid med loven.
Den
dataansvarlige - og en eventuel
databehandler - skal derfor
sikre sig, at den, der
meddeles oplysninger til, er
rette person, så oplysninger
om den registrerede ikke kommer
til uvedkommendes kendskab. Der
må kun udleveres oplysninger,
når vedkommende har legitimeret
sig behørigt, eller når der på
anden måde er skabt sikkerhed
for, at den, der f.eks.
fremsætter en indsigtsbegæring,
er identisk med den person, som
oplysningerne vedrører.
Der gælder
ikke specifikke regler for,
hvorledes dette skal sikres, men
sædvanlige legitimationspapirer,
såsom pas, kørekort eller
ID-kort m.v., vil kunne kræves
forevist. Navnlig i forbindelse
med udlevering af fortrolige
oplysninger, herunder særligt
oplysninger om rent private
forhold (f.eks. oplysninger om
strafbare forhold samt
oplysninger om helbredsforhold
og væsentlige sociale
problemer), er det vigtigt at
sikre, at oplysningerne ikke
udleveres til uvedkommende.
Kravet om
legitimation kan fraviges, når
der på anden måde er skabt
sikkerhed for, at den person,
som f.eks. fremsætter en
begæring om indsigt, er identisk
med den person, oplysningerne
vedrører. Herved tænkes navnlig
på den situation, at den
medarbejder hos den
dataansvarlige, som modtager
begæringen, i forvejen kender
den person, der fremsætter
begæringen. Når en henvendelse
er fremsat skriftligt, og hvis
navn og adresse i brevet er
identisk med de oplysninger, som
i forvejen fremgår af sagen, vil
der i almindelighed ikke være
grund til at foretage særlige
undersøgelser, inden
oplysningerne sendes til den
registrerede på den angivne
adresse. Er dette derimod ikke
tilfældet, bør forholdet
undersøges nærmere, f.eks. ved
at der rettes henvendelse til
den person, der har fremsat
begæringen eller til
folkeregisteret, evt. via
onlineadgang til Det Centrale
Personregister (CPR). Særligt
gælder det, at der bør udvises
forsigtighed med fremsendelse af
fortrolige oplysninger til en
c/o-adresse, som den
registrerede ikke selv har
oplyst.
For så vidt
angår elektroniske henvendelser,
f.eks. i form af en e-post, der
er forsynet med en elektronisk
signatur med tilhørende
kvalificeret certifikat, må
disse kunne antages at kunne
sidestilles med skriftlige
henvendelser, såfremt den
elektroniske signatur og det
medfølgende kvalificerede
certifikat opfylder kravene i
lov nr. 417 af 31. maj 2000 om
elektronisk signatur. Der vil
således heller ikke her - i
tilfælde hvor navn og adresse i
den elektroniske henvendelse er
identisk med de oplysninger, som
i forvejen fremgår af sagen - i
almindelighed være grund til at
foretage særlige undersøgelser,
inden oplysningerne sendes til
den registrerede på den angivne
postadresse.
Ved
telefoniske henvendelser og ved
elektroniske henvendelser i form
af en e-post, der ikke er
forsynet med elektronisk
signatur med tilhørende
kvalificeret certifikat, skal
der ligeledes træffes de
fornødne
sikkerhedsforanstaltninger for,
at der kun udleveres oplysninger
til de rette personer. Det kan
f.eks. være nødvendigt at
foretage en kontrolopringning.
I en række
offentlige registre vil de
registrerede personer ikke være
identificeret ved navn og
adresse, men ved personnummer,
ligesom personnummeret ofte vil
være »indgangsnøgle« til
registeret. I disse tilfælde kan
personen opfordres til at oplyse
sit personnummer tillige med
navn og adresse. Såfremt
vedkommende ikke ønsker at
oplyse personnummeret, vil dette
imidlertid ikke i sig selv være
tilstrækkeligt grundlag for at
meddele afslag på f.eks. en
indsigtsbegæring. Hvis det af
praktiske grunde er nødvendigt
for myndigheden at søge det
oplyst, må myndigheden i sådanne
tilfælde søge personnummeret
oplyst på anden måde, f.eks. via
onlineadgang til Det Centrale
Personregister (CPR).
Omvendt er
det ikke tilstrækkelig
legitimation, at en person ved
personligt fremmøde eller ved
telefonisk henvendelse er i
stand til at oplyse en
registreret persons
personnummer. Her skal det på
anden måde sikres, at den
pågældende er identisk med den
registrerede eller på andet
grundlag, f.eks. en fuldmagt,
har lovlig adkomst til
oplysningerne. Det gælder med
andre ord, at hverken
offentlige myndigheder eller
private virksomheder m.v. må
basere sin datasikkerhed på
personnummeret
som en form for adgangskode
(password).
Hvis den
dataansvarlige har etableret
adgang til at søge indsigt i
behandlede oplysninger gennem et
elektronisk
selvbetjeningssystem, f.eks. via
en hjemmeside, påhviler der den
dataansvarlige en pligt til at
sikre, at uvedkommende ikke kan
få adgang til oplysningerne.
Også her gælder det naturligvis,
at adgangen til indsigt i
oplysninger om den enkelte ikke
må baseres på personnummeret som
adgangskode (password).
1.4.
Adgangen til at lade sig
repræsentere af andre
Der er i lov
om behandling af
personoplysninger ikke fastsat
regler om, hvem der kan
repræsentere eller bistå en
registreret person. Det står
derfor den registrerede frit at
lade sig repræsentere eller
bistå af såvel sagkyndige, såsom
advokater, revisorer m.v., som
af andre, f.eks. en ægtefælle,
en samlever eller en bekendt.
Også juridiske personer, f.eks.
en forening eller en
interesseorganisation, kan
repræsentere eller bistå en
registreret person. Det vil
normalt kunne kræves, at den,
der repræsenterer en registreret
person, er myndig. Derimod vil
der som regel ikke være noget
til hinder for, at mindreårige,
der har den fornødne modenhed,
bistår en registreret person,
f.eks. med tolkning og lignende.
Hvis en
repræsentant for en registreret
person retter henvendelse til en
dataansvarlig, påhviler det
denne at sikre sig, at den
pågældende er berettiget til at
handle på vegne af den
registrerede.
Det er den
dataansvarlige, som afgør,
hvorledes repræsentanten skal
godtgøre, at den pågældende er
berettiget til at optræde som
repræsentant for den, om hvem
oplysninger behandles. Er
repræsentanten advokat, revisor,
eller optræder den pågældende i
øvrigt typisk som repræsentant
inden for det pågældende område,
vil der i almindelighed ikke
være grund til at forlange
dokumentation for et
fuldmagtsforhold, medmindre det
er særligt begrundet i sagens
karakter eller omstændighederne
i øvrigt. Der kan navnlig være
grund til at forlange
dokumentation for
fuldmagtsforholdet i de
tilfælde, hvor den
dataansvarlige ikke i forvejen
eller i løbet af
sagsbehandlingen er kommet i
kontakt med den person, om hvem
der behandles personoplysninger,
eller hvor det ikke på anden
måde kan konstateres, om den
pågældende er indforstået med
fuldmagtsforholdet.
Om
spørgsmålet om adgangen til at
lade sig repræsentere eller
bistå over for dataansvarlige
forvaltningsmyndigheder henvises
i øvrigt til reglerne i
forvaltningslovens § 8.
1.5.
Hovedpersoner/bipersoner
Spørgsmålet
om, hvem der faktisk kan anses
som »den person, der behandles
oplysninger om«, navnlig set i
forhold til oplysningspligten og
indsigtsretten, må afgøres
konkret af den dataansvarlige.
Et særligt
spørgsmål er, hvordan reglerne
om registreredes rettigheder
skal anvendes over for såkaldte
bipersoner. Herved
forstås oplysninger om personer,
der ikke er den egentlige
genstand for behandlingen, men
derimod alene optræder
accessorisk i tilknytning til
oplysninger om den registrerede.
Det kan f.eks. dreje sig om
pårørende til den registrerede
eller om vidner i en civil
retssag.
Oplysninger
om en biperson vil ofte være
registreret i tilknytning til
oplysninger om en hovedperson,
og mange edb-systemer er
formentlig stadig indrettet
således, at der kun kan fås
oplysninger om bipersonen via
hovedpersonens navn, adresse og
lignende.
Efter den
tidligere gældende
registerlovgivning blev
oplysninger om bipersoner i
praksis kun i begrænset omfang
anset for omfattet af
lovgivningen. Denne praksis kan
imidlertid ikke opretholdes
efter persondataloven, som også
beskytter oplysninger om
bipersoner. Bipersoner har
derfor nu som udgangspunkt samme
rettigheder som andre
registrerede personer.
Om
betydningen af reglerne om
oplysningspligt (lovens kapitel
8) i relation til behandling af
oplysninger om bipersoner
henvises i øvrigt nærmere til
pkt. 2.3.3. nedenfor. Det
tilsvarende spørgsmål i forhold
til reglerne om indsigtsret
(lovens kapitel
9) er omtalt under pkt. 3.2.2.
2. Den
dataansvarliges oplysningspligt
over for den registrerede
Persondataloven indeholder såvel
specielle som generelle regler
om dataansvarliges
oplysningspligt - på de
dataansvarliges eget initiativ
- over for registrerede personer
i forbindelse med behandling af
oplysninger.
De
specielle regler om
oplysningspligt vedrører navnlig
kreditoplysningsområdet. Af
lovens § 17, stk. 1, følger
således, at offentlige
myndigheder har pligt til at
give skriftlig meddelelse til
skyldneren, inden der sker
videregivelse til
kreditoplysningsbureauer af
oplysninger om gæld til det
offentlige. Endvidere følger det
af lovens § 21, at
kreditoplysningsbureauer har en
ubetinget oplysningspligt
over for den registrerede i
forbindelse med behandling af
oplysninger. Disse regler om
oplysningspligt inden for
kreditoplysningsområdet omtales
ikke i vejledningen. Det gør
derimod særreglen i lovens § 36
vedrørende dataansvarlige
virksomheders oplysningspligt
over for registrerede personer i
forbindelse med behandling af
oplysninger i
markedsføringsøjemed, jf. neden
for under pkt. 4.2.
De
generelle regler om
dataansvarliges oplysningspligt
over for registrerede personer
er fastsat i lovens kapitel 8
(§§ 28-30). Reglerne, der er
fælles for offentlige
myndigheder og private
virksomheder m.v., er nye i
forhold til den tidligere
gældende registerlovgivning. Med
reglerne gennemføres
bestemmelserne i artikel 10-11
og 13 i EF-direktivet om
behandling af personoplysninger.
Formålet med
reglerne er dels at sikre, at
den registreredes beslutning om
at afgive oplysninger om sig
selv træffes på et pålideligt
faktuelt grundlag med hensyn til
en række nærmere beskrevne
forhold, dels at skabe større
gennemsigtighed og overblik
vedrørende personregistreringer.
Der tages dog samtidig hensyn
til, at de dataansvarlige ikke
bør pålægges for vidtgående
byrder.
Systematisk
er reglerne opbygget på den
måde, at spørgsmålet om den
dataansvarliges oplysningspligt
over for den registrerede i
forbindelse med indsamling af
oplysninger hos den
registrerede selv er
reguleret i lovens § 28, medens
spørgsmålet om den
dataansvarliges oplysningspligt
ved indsamling af oplysninger
hos andre end den registrerede
selv er reguleret i lovens §
29. Herudover er der i lovens §
30 fastsat en række undtagelser,
der knytter sig til den
dataansvarliges oplysningspligt
over for den registrerede i
begge de nævnte situationer.
Bestemmelserne i lovens §§ 28-30
beskrives i det følgende under
pkt. 2.1.-2.3.
Foreløbigt
skal det alene bemærkes, at der
efter både § 28 og § 29 i loven
påhviler den dataansvarlige
(eller dennes repræsentant) en
pligt til af egen drift
at give den registrerede
meddelelse om en række forhold
ved indsamling af oplysninger om
den pågældende. Der er altså
ikke tale om regler, der kun
skal opfyldes, hvis den
registrerede fremsætter begæring
herom.
Det skal
endvidere fremhæves, at reglerne
om oplysningspligt - som også
nævnt oven for under pkt. 1.2. -
ikke gælder for visse manuelle
behandlinger, der udføres for
private dataansvarlige (lovens §
1, stk. 2), ligesom bl.a. også
behandlinger, der udføres for
politi og anklagemyndighed inden
for det strafferetlige område,
er undtaget fra reglerne (lovens
§ 2, stk. 4).
For så vidt
angår allerede etablerede
kundeforhold eller for andre
personer, der inden lovens
ikrafttrædelse den 1. juli 2000
er blevet indsamlet oplysninger
om - enten hos den registrerede
selv eller hos andre end den
registrerede - gælder, at første
gang den dataansvarlige efter
den 1. juli 2000 indsamler
oplysninger om vedkommende, vil
den dataansvarlige skulle
iagttage reglerne om bl.a.
oplysningspligten. Det er i den
forbindelse uden betydning, om
oplysningerne indsamles hos den
registrerede selv (lovens § 28)
eller hos andre (lovens § 29).
2.1.
Oplysningspligt ved indsamling
af oplysninger hos den
registrerede
2.1.1.
På hvilket tidspunkt skal
oplysningspligten opfyldes?
Efter lovens
§ 28, stk. 1, indtræder den
dataansvarliges oplysningspligt
over for den registrerede ved
indsamlingen af oplysninger.
Begrebet
indsamling, der er én blandt
andre behandlingsformer, jf.
lovens § 3, nr. 2, dækker ikke
blot over den form for
behandling, der finder sted, når
den dataansvarlige ved personlig
eller telefonisk henvendelse
eller gennem spørgeskemaer,
ansøgningsformularer og lignende
aktivt indsamler oplysninger hos
den registrerede. Indsamling
foreligger også, når den
registrerede, evt. uopfordret,
henvender sig til den
dataansvarlige, hvadenten dette
sker ved personligt fremmøde,
telefonisk, skriftligt eller på
anden måde, når blot den
dataansvarlige modtager
oplysningerne og derefter
undergiver dem en eller anden
form for behandling, f.eks.
registrering eller opbevaring.
Den
registrerede skal som
udgangspunkt have meddelelse om
de i § 28 nævnte forhold
samtidig med indsamlingen af
oplysninger hos den
registrerede.
I de
tilfælde, hvor oplysninger
indsamles i forbindelse med, at
den registrerede f.eks. skal
indlevere en ansøgning, blanket
eller lignende til den
dataansvarlige, kan
oplysningspligten opfyldes ved,
at de fornødne informationer er
fortrykt på ansøgningen,
blanketten m.v. Det gælder også,
hvis oplysningerne indsamles
elektronisk gennem en hjemmeside
på Internettet.
Hvis den
registrerede selv henvender sig
til den dataansvarlige uden brug
af en fortrykt
ansøgningsformular eller
lignende, f.eks. i et
almindeligt brev, skal den
dataansvarlige opfylde sin
oplysningspligt snarest muligt,
hvilket i almindelighed vil sige
inden for 10 dage. I praksis må
det dog forventes, at
oplysningspligten ofte ikke
gælder i disse situationer, jf.
nærmere herom neden for under
pkt. 2.3.1.
Den
dataansvarlige er alene
forpligtet til at give
meddelelse til den registrerede
én gang.
Dette gælder
såvel ved enkeltstående
indsamlinger som ved løbende
indsamling af oplysninger hos
den registrerede. Ved indsamling
af oplysninger i samme sag, er
en gentagelse af oplysningerne
til opfyldelse af
oplysningspligten således ikke
nødvendig. En betingelse for at
undlade at underrette den
registrerede, hver gang der
indsamles oplysninger, er dog,
at de efterfølgende indsamlinger
ikke går ud over rammerne for
den meddelelse, som er givet til
den registrerede i forbindelse
med den første indsamling.
2.1.2.
Formkrav
Der gælder
ingen formkrav til meddelelsen
til den registrerede. Fremgår de
nævnte oplysninger af den
dataansvarliges henvendelse som
sådan, f.eks. en
høringsskrivelse eller et
ansøgningsskema, er særskilt
underretning ikke nødvendig. Der
er heller ikke noget krav om, at
oplysningerne skal opstilles på
en speciel måde, at de skal
fremhæves særligt eller på anden
vis skal gives særskilt i
forhold til henvendelsen i
øvrigt. Da det imidlertid er den
dataansvarlige, som - i tilfælde
af uenighed om, hvorvidt der er
givet den fornødne underretning
til den registrerede - skal
kunne dokumentere, at
oplysningspligten er opfyldt,
bør underretningen gives
skriftligt eller eventuelt
elektronisk, jf. straks
nedenfor. Meddelelsen skal
være
både klar og entydig.
Hvis
indsamlingen af oplysninger sker
elektronisk, f.eks. gennem
udfyldelse af en elektronisk
formular på den dataansvarliges
hjemmeside, skal den
dataansvarlige også kunne
dokumentere, at
oplysningspligten er blevet
overholdt. Beviset for, at
oplysningspligten er blevet
overholdt, kan i sådanne
tilfælde føres ved f.eks. at
gemme en udskrift af den side,
hvorpå oplysningerne gives.
I tilfælde,
hvor offentlige myndigheder
indhenter oplysningerne
mundtligt, f.eks. under møder
med den pågældende, i
forbindelse med interview, ved
rapportoptagning eller ved
samtidig oprettelse af og
tilførsel til en journal eller
lignende, kan det godt tænkes,
at myndigheden vil kunne
dokumentere, at
oplysningspligten er iagttaget,
når det af rapporten, journalen
m.v. fremgår, at oplysningerne
er afgivet mundtligt til den
pågældende. Den, der noterer
sådanne oplysninger på sagen,
har typisk ingen personlig
interesse i sagens realitet og
foretager notatet under det
tjenstlige og strafferetlige
ansvar, hvorunder alle
offentligt ansatte virker, og
notatet må derfor kunne
tillægges betydelig bevismæssig
værdi.
Det bemærkes,
at en offentlig myndighed, som
mundtligt modtager oplysninger
vedrørende en sags faktiske
omstændigheder, der er af
betydning for sagens afgørelse,
eller som på anden måde er
bekendt med sådanne oplysninger,
skal gøre notat om indholdet af
oplysningerne, jf. lov om
offentlighed i forvaltningen
(offentlighedsloven) § 6.
Pligten gælder dog ikke, hvis
oplysningerne i øvrigt fremgår
af sagens dokumenter, eller hvis
der er tale om andet end
afgørelsessager. Det følger
imidlertid af begrebet »god
forvaltningsskik«, at en
myndighed - uanset om der er
tale om en afgørelsessag eller
ej - skal sørge for, at der
gøres skriftlige notater om
ekspeditioner af væsentlig
betydning for behandlingen af en
sag, hvis de ikke fremgår af
sagens dokumenter i øvrigt.
2.1.3.
Hvilke oplysninger skal
meddeles?
Det, der skal
gives den registrerede
meddelelse om, er for det første
den dataansvarliges og dennes
eventuelle repræsentants
identitet, jf. lovens § 28,
stk. 1, nr. 1. Dette kan
opfyldes ved meddelelse om navn
og adresse. Hvis den
dataansvarlige indhenter
oplysningerne skriftligt eller
via en hjemmeside, vil det
typisk fremgå af selve
skrivelsen eller hjemmesiden, at
det er vedkommende
dataansvarlige, der forestår
behandlingen af de
personoplysninger, der
indhentes. I andre tilfælde skal
oplysning om, hvem der står bag
henvendelsen, gives. Det gælder
f.eks. hvis der er tradition
for, at oplysningerne indsamles
af den enkelte ansatte hos den
dataansvarlige, og indhentelsen
fremstår som iværksat af den
pågældende, f.eks. inden for
forskning. Indsamler en
dataansvarlig oplysningerne på
en anden dataansvarligs vegne,
vil det ikke være tilstrækkeligt
at give oplysning om, hvem der
repræsenterer den
dataansvarlige. Indhenter
politiet således oplysninger for
en anden myndighed, f.eks. et
statsamt som led i behandlingen
af en sag om samvær eller
faderskab, skal der gives
oplysning om, at det er
statsamtet og ikke politiet, der
er den dataansvarlige.
Endvidere
skal der gives meddelelse om
formålene med den
behandling, hvortil
oplysningerne er bestemt, jf.
lovens § 28, stk. 1, nr. 2. I
kravet om formålsangivelse
ligger, at der skal gives den
registrerede tilstrækkelig
information til, at den
pågældende bliver klar over,
hvad der er baggrunden for, at
der indsamles oplysninger om den
pågældende. Hvilke krav der i
det enkelte tilfælde skal
stilles til formålsangivelsen,
vil bero på en vurdering af de
konkrete omstændigheder omkring
behandlingen af oplysningerne.
Da hensigten med bestemmelsen -
som nævnt oven for under pkt. 2
- er at skabe åbenhed omkring
behandlingen af oplysninger, må
det dog kræves, at den
dataansvarlige - som minimum -
underretter den registrerede om,
hvad de indsamlede oplysninger
skal bruges til eller påtænkes
brugt til på
indsamlingstidspunktet.
Indsamlede oplysninger kan
herefter i den periode, som er
nødvendig hertil, behandles i
disse øjemed. Oplysningerne vil
endvidere i almindelighed kunne
behandles (benyttes) til andre,
efterfølgende saglige formål,
uden at den dataansvarlige på ny
skal give den registrerede
meddelelse, hvis behandlingen
ikke er uforenelig med det eller
de formål, som oprindeligt er
oplyst til den registrerede i
forbindelse med opfyldelsen af
oplysningspligten. Kun i særlige
tilfælde vil der påhvile den
dataansvarlige en pligt til
efterfølgende at oplyse om (nye)
behandlingsformål, som ikke er
omfattet af den oprindelige
meddelelse, og som aktualiseres
efter tidspunktet for
indsamlingen af oplysninger.
Endelig skal
der gives meddelelse om alle
yderligere oplysninger, der
under hensyn til de særlige
omstændigheder, hvorunder
oplysningerne er indsamlet, er
nødvendige for, at den
registrerede kan varetage sine
interesser, jf. lovens § 28,
stk. 1, nr. 3. Efter
bestemmelsen vil der bl.a. kunne
blive tale om, at den
registrerede skal have
meddelelse om kategorierne af
modtagere af de indsamlede
oplysninger, om det er
obligatorisk eller frivilligt at
besvare stillede spørgsmål,
om mulige følger af ikke at
svare, samt vejledning om
reglerne om indsigt i og
berigtigelse af de
oplysninger, der vedrører den
registrerede, jf. litra a-c.
Opregningen i
litra a-c er ikke udtømmende.
Der vil derfor efter
omstændighederne kunne påhvile
den dataansvarlige en pligt til
at give den registrerede anden
information end de oplysninger,
som følger af bestemmelserne i
litra a-c. Om der skal gives den
registrerede anden (yderligere)
information beror - ligesom med
hensyn til bestemmelserne i
litra a-c - på en konkret
vurdering af, om dette er
nødvendigt for, at den
registrerede kan varetage sine
interesser i det enkelte
tilfælde. Der skal endvidere
tages hensyn til de særlige
omstændigheder, hvorunder
oplysningerne er indsamlet.
Oplysningspligten omfatter som
udgangspunkt alene oplysninger,
som på indsamlingstidspunktet må
anses for nødvendige i
bestemmelsens forstand. Efter
omstændighederne kan der dog
påhvile den dataansvarlige en
pligt til også at oplyse om
(nye) forhold, som ikke er
omfattet af den oprindelige
meddelelse, og som først
aktualiseres efter tidspunktet
for indsamlingen af
oplysningerne.
Hvad særligt
angår de situationer, hvor der i
medfør af lovens § 28, stk. 1,
nr. 3, litra a, skal oplyses om
kategorierne af modtagere,
gælder det selvsagt, at der ikke
skal gives den registrerede
fornyet meddelelse, hver gang
indsamlede oplysninger om den
pågældende meddeles til en ny
modtager, der falder ind under
de kategorier af modtagere, som
oprindeligt er oplyst til den
registrerede. Det bemærkes, at
begrebet »modtager« defineres
som: »Den fysiske eller
juridiske person, offentlige
myndighed, institution eller
ethvert andet organ, hvortil
oplysningerne meddeles, uanset
om der er tale om en tredjemand.
Myndigheder, som vil kunne få
meddelt oplysninger som led i en
isoleret forespørgsel, betragtes
ikke som modtager«, jf. lovens §
3, nr. 7. Heraf følger, at hvor
indsamlede oplysninger skal
anvendes internt i forskellige
afdelinger og lignende inden for
samme myndighed (f.eks. en
kommune) eller virksomhed,
forening m.v., er der ikke tale
om overførsel af oplysninger til
en modtager, og der vil derfor
ikke i sådanne tilfælde påhvile
den dataansvarlige en pligt til
at underrette den registrerede
herom.
I de
situationer, hvor der derimod er
tale om, at indsamlede
oplysninger meddeles til en
modtager (f.eks. en anden
myndighed, virksomhed m.v.),
påhviler det modtageren - i det
omfang denne foretager videre
behandling af oplysningerne og
således er at anse for ny
dataansvarlig for oplysningerne
- at underrette den registrerede
om den foretagne indsamling af
oplysninger, jf. lovens § 29 om
oplysningspligt ved indsamling
af oplysninger hos andre end den
registrerede selv. Om meddelelse
skal gives vil bl.a. afhænge af,
om den registrerede allerede må
antages at være bekendt med
forholdet, f.eks. gennem den
oprindelige meddelelse, som den
registrerede fik i forbindelse
med afgivelsen af oplysninger
til den oprindelige
dataansvarlige, jf. nærmere
neden for under pkt. 2.2.-2.3.
Ofte vil det
også være et naturligt led i
opfyldelsen af oplysningspligten
efter nr. 3, litra b, at den
dataansvarlige i forbindelse med
indsamlingen informerer den
registrerede om, hvorvidt der er
pligt til at svare på spørgsmål,
herunder om evt. strafansvar for
ikke at besvare en henvendelse
om at få oplysningerne eller på
anden måde give indberetning og
om konsekvenserne af ikke at
svare.
Hvad angår
nr. 3, litra c, om indsigt og
berigtigelse vil der i de
tilfælde, hvor den registrerede
retter uopfordret henvendelse
til den dataansvarlige med
oplysninger om sig selv, f.eks.
i et almindeligt brev, i
almindelighed ikke være behov
for at oplyse herom. Hvis
indsamlingen af oplysninger sker
gennem en blanket, et
ansøgningsskema eller lignende,
vil den dataansvarlige dog uden
større udgift kunne give
oplysningerne gennem en
fortrykt, generel vejledning på
blanketten m.v.
2.2.
Oplysningspligt ved indsamling
af oplysninger hos andre end den
registrerede
2.2.1. På
hvilket tidspunkt skal
oplysningspligten opfyldes?
Oplysningspligten over for den
registrerede i forbindelse med
indsamling af oplysninger om den
pågældende hos andre end den
registrerede selv indtræder
som udgangspunkt ved
registreringen af de
indsamlede oplysninger. I de
tilfælde, hvor de indsamlede
oplysninger er bestemt til
videregivelse til tredjemand,
indtræder oplysningspligten dog
senest, når videregivelse af de
indsamlede oplysninger finder
sted, jf. lovens § 29, stk. 1.
Hvilken
tidsfrist, der kan indlægges i
begrebet »ved registreringen«,
afhænger af sagens nærmere
omstændigheder. Den
dataansvarlige skal dog altid -
vurderet i forhold til den
indsats der kræves fra den
dataansvarliges side for at
opfylde oplysningspligten - give
den registrerede meddelelse så
tidligt som muligt. Hvis den
dataansvarlige allerede på selve
registreringstidspunktet ved, at
der i løbet af ganske kort tid
herefter skal rettes henvendelse
til den registrerede, f.eks.
fordi den dataansvarlige skal
forelægge sagens dokumenter for
den registrerede, eller der skal
foretages andre
sagsbehandlingsskridt, vil
oplysningspligten som
altovervejende hovedregel kunne
opfyldes samtidig med denne
senere henvendelse. I øvrigt vil
oplysningspligten i
almindelighed skulle opfyldes
inden for 10 dage efter
registreringen.
I de
tilfælde, hvor de indsamlede
oplysninger er bestemt til
videregivelse til tredjemand,
vil den dataansvarlige kunne
vente med at opfylde
oplysningspligten til det
tidspunkt, hvor videregivelsen
finder sted. Det skal dog på
tidspunktet for indsamlingen
være klart, at oplysningerne
skal videregives til tredjemand.
Endvidere er det en betingelse,
at videregivelsen skal ske inden
for en forholdsvis snæver
periode. Oplysningspligten
indtræder i givet fald, når
videregivelsen til tredjemand
første gang finder sted.
Den
dataansvarlige er - uafhængigt
af hvornår oplysningspligten
indtræder - alene forpligtet til
at give meddelelse til den
registrerede én gang. Dette
gælder såvel ved enkeltstående
indsamlinger som ved løbende
indsamling af oplysninger. Ved
indhentelse af yderligere
oplysninger i samme sag, er en
gentagelse af oplysningspligten
således ikke nødvendig. En
betingelse for at undlade at
underrette den registrerede hver
gang, der indsamles oplysninger
hos andre end den registrerede,
er dog, at de efterfølgende
indsamlinger ikke går ud over
rammerne for den meddelelse, som
er givet til den registrerede i
forbindelse med den første
indsamling eller videregivelse.
Til eksempel kan nævnes de
tilfælde, hvor et pengeinstitut
med henblik på at udarbejde
kontooversigter for sine kunder
løbende indsamler oplysninger om
de betalingstransaktioner, som
kunderne foretager i
forretninger, andre
pengeinstitutter m.v. Her vil
oplysningspligten således kunne
opfyldes én gang for alle ved
kundeforholdets begyndelse. Hvis
en offentlig myndighed løbende
behandler henvendelser fra en
borger, hvor der ikke er tale om
det samme forhold
(sagsgenstand), f.eks.
ansøgninger om forskellige
ydelser, skal hver henvendelse
behandles særskilt i forhold til
reglerne om oplysningspligt.
2.2.2.
Formkrav
Der gælder
ingen formkrav til meddelelsen
til den registrerede. Da det
imidlertid er den
dataansvarlige, som - i tilfælde
af uenighed om, hvorvidt der er
givet den fornødne underretning
til den registrerede - skal
kunne dokumentere, at
oplysningspligten er opfyldt,
bør underretningen gives
skriftligt. Meddelelsen skal
være både klar og entydig.
Se i øvrigt oven for under pkt.
2.1.2.
2.2.3.
Hvilke oplysninger skal
meddeles?
Hvis de
indsamlede oplysninger ikke er
indsamlet hos den registrerede
selv, skal der gives den
registrerede meddelelse om
den dataansvarlige og dennes
eventuelle repræsentants
identitet, samt formålene
med den behandling, hvortil
oplysningerne er bestemt, jf.
lovens § 29, stk. 1, nr. 1 og 2.
For så vidt angår det nærmere
indhold af disse bestemmelser
henvises til det, som er anført
oven for under pkt. 2.1.3.
Herudover
skal der gives den registrerede
alle yderligere oplysninger,
der under hensyn til de
særlige omstændigheder,
hvorunder oplysningerne er
indsamlet, er nødvendige for, at
den registrerede kan varetage
sine interesser, jf. § 29, stk.
1, nr. 3. Dette kan bl.a. være
oplysninger om typen af
oplysninger, som er
indsamlet, om eventuelle
kategorier af modtagere,
samt vejledning om reglerne
for indsigt i og berigtigelse
af de indsamlede oplysninger,
jf. litra a-c.
Opregningen i
litra a-c er ikke udtømmende.
Der vil derfor efter
omstændighederne kunne påhvile
den dataansvarlige en pligt til
at give den registrerede anden
information end de oplysninger,
som følger af bestemmelserne i
litra a-c. Om der skal gives den
registrerede anden (yderligere)
information beror - ligesom med
hensyn til bestemmelserne i
litra a-c - på en konkret
vurdering af, om dette er
nødvendigt for, at den
registrerede kan varetage sine
interesser i det enkelte
tilfælde. Der skal endvidere
tages hensyn til de særlige
omstændigheder, hvorunder
oplysningerne er indsamlet.
Oplysningspligten omfatter som
udgangspunkt alene oplysninger,
som på indsamlingstidspunktet må
anses for nødvendige i
bestemmelsens forstand. Efter
omstændighederne kan der dog
påhvile den dataansvarlige en
pligt til også at oplyse om
(nye) forhold, som ikke er
omfattet af den oprindelige
meddelelse, og som først
aktualiseres efter tidspunktet
for indsamlingen eller
videregivelsen af oplysningerne.
Om det nærmere indhold af
bestemmelsen i lovens § 29, stk.
1, nr. 3, henvises i øvrigt til
det, som er anført oven for
under pkt. 2.1.3.
I de
situationer, hvor der i medfør
af lovens § 29, stk. 1, nr. 3,
litra a, skal gives den
registrerede meddelelse om
typen af oplysninger, som er
indsamlet, påhviler der ikke
den dataansvarlige en
forpligtelse til at oplyse den
registrerede om, hvilke konkrete
oplysninger der er indsamlet om
den pågældende, jf. herved også
lovens § 29, stk. 1, nr. 3,
litra c. Ønsker den registrerede
at få oplyst, hvilke konkrete
oplysninger, der er indsamlet om
vedkommende, må den registrerede
i stedet anmode om indsigt heri
efter reglerne i lovens kapitel
9 (se
herom neden for under pkt. 3).
Endelig skal
det fremhæves, at behovet for at
give den registrerede
oplysninger efter nr. 3, litra
c, om reglerne om indsigt i og
berigtigelse af indsamlede
oplysninger generelt vil være
større i de situationer, hvor
oplysningerne ikke er indsamlet
direkte hos den registrerede
selv.
2.3.
Undtagelser fra
oplysningspligten
Som anført
oven for under pkt. 2.1.-2.2.
påhviler der den dataansvarlige
en pligt til at underrette den
registrerede om en række forhold
i forbindelse med indsamling af
oplysninger hos såvel den
registrerede selv som hos andre
end den registrerede, jf. lovens
§ 28, stk. 1, og § 29, stk. 1.
Denne
oplysningspligt gælder
imidlertid ikke ubetinget. Efter
lovens § 28, stk. 2, § 29, stk.
2-3, og § 30, kan der gøres
undtagelse fra oplysningspligten
i en række tilfælde, jf. herom
neden for under pkt.
2.3.1.-2.3.4. De nævnte
undtagelsesbestemmelser har
navnlig deres baggrund i, at en
ubetinget oplysningspligt ville
være for vidtgående i forhold
til den dataansvarlige, der
ville blive påført betydelige
omkostninger, som ikke i alle
tilfælde ville stå mål med det
udbytte, en registreret person
har af at modtage underretning
om, at der indsamles oplysninger
om vedkommende.
2.3.1.
Den registrerede er allerede
bekendt med oplysningerne
2.3.1.1.
Indsamling hos den registrerede
selv
Efter lovens
§ 28, stk. 2, kan der i de
situationer, hvor der indsamles
oplysninger hos den registrerede
selv, gøres undtagelse fra
oplysningspligten, hvis den
registrerede allerede er bekendt
med de oplysninger, som er
omfattet af oplysningspligten.
Om dette er tilfældet, vil bero
på en konkret vurdering af
omstændighederne omkring
indsamlingen af oplysningerne.
I de
tilfælde, hvor indsamlingen af
oplysninger sker ved, at den
registrerede selv, eventuelt
uopfordret, har rettet
henvendelse til den
dataansvarlige, vil det dog i
almindelighed kunne lægges til
grund, at den registrerede
allerede er bekendt med de
oplysninger, der efter lovens §
28, stk. 1, skal gives den
pågældende. Den registrerede vil
således som altovervejende
hovedregel være bekendt med
den dataansvarliges identitet,
samt formålene med den
behandling, hvortil
oplysningerne er bestemt, jf.
lovens § 28, stk. 1, nr. 1 og 2.
Endvidere vil det i
almindelighed ikke - under
hensyn til de omstændigheder,
hvorunder oplysningerne er
indsamlet - være nødvendigt at
give den registrerede
yderligere oplysninger for,
at den pågældende kan varetage
sine interesser, jf. § 28, stk.
1, nr. 3.
Også i de
situationer, hvor den
dataansvarlige aktivt indsamler
oplysninger hos den registrerede
(f.eks. gennem en
ansøgningsblanket), vil det i
mange tilfælde kunne lægges til
grund, at den registrerede
allerede er bekendt med de i
lovens § 28, stk. 1, nr. 1 og 2,
anførte oplysninger.
I begge de
nævnte situationer gælder det
dog, at lovens § 28, stk. 2,
bygger på den forudsætning, at
den dataansvarlige skal opfylde
sin oplysningspligt, hvis den
dataansvarlige er i tvivl om,
hvorvidt den registrerede
allerede er bekendt med de i
stk. 1, nr. 1-3, anførte
oplysninger.
2.3.1.2.
Indsamling hos andre end den
registrerede
Af lovens §
29, stk. 2, 1. led, følger, at
der i de tilfælde, hvor de
indsamlede oplysninger ikke
stammer fra den registrerede
selv, kan gøres undtagelse fra
oplysningspligten, hvis den
registrerede allerede er bekendt
med de oplysninger, som
efter bestemmelsens stk. 1 er
omfattet af oplysningspligten.
Om dette er
tilfældet, vil bero på en
konkret vurdering af
omstændighederne omkring
indsamlingen af oplysningerne. I
modsætning til hvad der gælder
efter undtagelsesbestemmelsen i
lovens § 28, stk. 2, jf. oven
for under pkt. 2.3.1.1., vil den
dataansvarlige ofte ikke kunne
lægge til grund, at den
registrerede allerede er bekendt
med de oplysninger, som den
dataansvarlige er forpligtet til
at give meddelelse om. Navnlig
spørgsmålet om, hvorvidt den
registrerede skal have
meddelelse om de i § 29, stk. 1,
nr. 3, anførte oplysninger, må
forventes at være svært at
vurdere i praksis. Dette skal
endvidere ses i lyset af, at
lovens § 29, stk. 2, 1. led,
bygger på den forudsætning, at
den dataansvarlige skal give den
registrerede meddelelse i
overensstemmelse med stk. 1,
hvis den dataansvarlige er i
tvivl om, hvorvidt den
registrerede allerede er bekendt
med de i stk. 1, nr. 1-3, nævnte
oplysninger.
Det anførte
betyder bl.a., at hvis en
dataansvarlig, der har indsamlet
oplysninger hos den registrerede
og i den forbindelse har opfyldt
sin oplysningspligt efter lovens
§ 28, efterfølgende videregiver
de indsamlede oplysninger til en
anden dataansvarlig, skal denne
nye dataansvarlige som
udgangspunkt opfylde
oplysningspligten efter lovens §
29. Den nye dataansvarlige vil
således alene kunne undlade at
give den registrerede meddelelse
i overensstemmelse med lovens §
29, stk. 1, hvis den oprindelige
dataansvarlige enten allerede
har givet de fornødne
oplysninger til den
registrerede, jf.
lovens §
29, stk. 2, 1. led, eller hvis
en af de øvrige
undtagelsesbestemmelser er
opfyldt, jf. nedenfor.
2.3.2.
Registreringen eller
videregivelsen følger af lov
Efter lovens
§ 29, stk. 2, 2. led, gælder
oplysningspligten ikke, hvis
registreringen eller
videregivelsen er udtrykkeligt
fastsat ved lov eller
bestemmelser fastsat i henhold
til lov.
Heraf følger,
at oplysningspligten efter
lovens § 29, stk. 1, ikke
gælder, hvis det er udtrykkeligt
fastsat i lovgivningen, at der
skal ske registrering eller
videregivelse af oplysninger.
Pligten eller retten til at
registrere eller videregive
indsamlede oplysninger kan for
det første følge af lov i formel
forstand, f.eks. regler i
skattekontrolloven og i lov om
Det Centrale Personregister
(CPR). Endvidere kan pligten
eller retten til at registrere
eller videregive oplysninger
følge af administrative
forskrifter, såsom anordninger
og bekendtgørelser.
I kravet om
udtrykkelighed ligger, at det
ikke må give anledning til
tvivl, hvorvidt det i
lovgivningen er fastsat, at den
dataansvarlige skal foretage
registrering eller videregivelse
af de indsamlede oplysninger.
2.3.3.
Underretning viser sig umulig
eller uforholdsmæssig vanskelig
Oplysningspligten efter lovens §
29, stk. 1, gælder ikke, hvis
underretning af den registrerede
viser sig umulig eller er
uforholdsmæssigt vanskelig,
jf. § 29, stk. 3.
Med udtrykket
uforholdsmæssigt vanskelig
fastsættes det, at der gælder et
proportionalitetsprincip ved
vurderingen af, om meddelelse,
som foreskrevet i lovens § 29,
stk. 1, skal gives. Der skal ske
en afvejning af på den ene side
betydningen af en sådan
underretning for den
registrerede, og på den anden
side den arbejdsindsats hos den
dataansvarlige, der vil være
forbundet med en sådan
underretning. I hvilket omfang,
underretning af registrerede
personer er uforholdsmæssigt
vanskelig eller endog umulig,
skal afgøres i den enkelte
situation. Der skal i den
forbindelse bl.a. lægges vægt på
antallet af registrerede, som
skal have meddelelse,
oplysningernes alder, samt de
kompensatoriske
foranstaltninger, f.eks.
offentlige oplysningskampagner,
der eventuelt måtte blive
truffet af den dataansvarlige i
forbindelse med indsamlingen.
Endvidere må det tillægges
betydning, hvor betydelige de
interesser er, af hensyn til
hvilke oplysningerne behandles,
og hvor indgribende det er for
den enkelte, at der foretages
behandling af oplysninger om
vedkommende. Det vil herunder
være af betydning, om
behandlingen af oplysninger
foretages som led i
enkeltsagsbehandling, eller om
behandlingen foretages i en
række identiske sager. Er der
tale om enkeltsagsbehandling,
vil der være en formodning for,
at det ikke vil være
uforholdsmæssigt vanskeligt at
opfylde oplysningspligten,
navnlig ikke hvis opfyldelsen
heraf kan ske i forbindelse med
iværksættelsen af andre
sagsbehandlingsskridt m.v. over
for den registrerede. Er der
tale om et større antal
identiske sager, vil det derimod
ofte kunne være uforholdsmæssigt
vanskelig at opfylde
oplysningspligten. Der må dog
stilles krav om et meget
betydeligt antal sager, førend
forholdet kan begrunde, at
oplysningspligten ikke skal
opfyldes, og der skal under alle
omstændigheder foretages en
afvejning over for den
registreredes interesse i, at
oplysningspligten bliver
efterlevet, jf. nedenfor.
Det anførte
skal ses i sammenhæng med, hvor
indgribende behandlingen af de
indsamlede oplysninger er for
den enkelte borger. Jo større
betydning databehandlingen må
antages at have for den enkelte,
jo mere taler for, at den
dataansvarlige skal opfylde sin
oplysningspligt. Omvendt i de
tilfælde, hvor den registreredes
interesse i at modtage
underretning om indsamlingen af
oplysninger må anses for at være
begrænset. Dette vil bl.a. kunne
være tilfældet med hensyn til
eventuelle bipersoner, om
hvem der behandles
personoplysninger.
Uanset at
bipersoner som udgangspunkt har
de samme rettigheder efter
persondataloven, som andre
registrerede personer, jf. oven
for under pkt. 1.5., skal der -
på baggrund af de ovennævnte
momenter - for hver enkelt
behandling af oplysninger om
bipersoner tages stilling til,
om oplysningspligten skal
opfyldes over for den
pågældende. En sådan vurdering
vil i almindelighed falde ud
til, at eventuelle indsamlede
eller registrerede oplysninger
om bipersoner er uden betydning
for de pågældende i forbindelse
med den behandling af
personoplysninger, som den
dataansvarlige foretager. Dette
vil bl.a. være tilfældet, hvis
f.eks. en dataansvarlig kommune
indhenter oplysninger om en
person og i samme forbindelse
anmoder vedkommende om
oplysninger om andre personer,
f.eks. familiens læge, angivet
med navn og tjenesteadresse,
personens hjemmehjælper eller
lignende personer. Nævnes kan
endvidere det tilfælde, at
pårørende optræder som
bipersoner, f.eks. ved ansøgning
om optagelse i daginstitution,
ved ansøgning om
adoptionstilskud eller ved
ansøgning om offentlige ydelser
eller offentlig service. For
alle disse situationer gælder
det, at behandlingen ikke vil
have konsekvenser for
vedkommende biperson, hvorfor
der normalt ikke vil skulle
gives underretning efter lovens
§ 29, stk. 1.
Indgår i
sagen oplysninger om bipersoners
rent private forhold, jf. lovens
§ 7, stk. 1, og § 8, stk. 1 og
4, kan dette efter
omstændighederne tale for nogen
tilbageholdenhed med at anvende
undtagelsen.
Hvis der
foretages en behandling af
oplysninger i statistisk
øjemed eller til
historiske eller videnskabelige
forskningsformål, vil
afvejningen af på den ene side
styrken af den registreredes
interesse i at modtage
underretning om indsamlingen, og
på den anden side den
arbejdsindsats, som i givet fald
vil påhvile den dataansvarlige,
føre til, at der kun i særdeles
begrænset omfang påhviler den
dataansvarlige en
oplysningspligt over for de
personer, som berøres af
behandlingen. Det bemærkes i den
forbindelse, at det vil være
særdeles vanskeligt og til tider
endog umuligt at opfylde en
oplysningspligt i relation til
de mange
databehandlingssystemer, der
ikke er indrettet på at udskrive
personoplysninger, idet kendskab
til navn og adresse på
deltagerne i forskningsprojekter
ikke har været nødvendig. Det
skal endvidere nævnes, at der i
lovens § 10 er fastsat regler
om, at oplysninger, som alene
behandles med henblik på at
udføre statistiske eller
videnskabelige undersøgelser,
ikke senere må behandles i andet
end statistisk eller
videnskabeligt øjemed, jf. § 10,
stk. 2. Den registreredes
interesse i at modtage
underretning om en eventuel
indsamling af personoplysninger
om den pågældende til brug for
forskning og statistik må derfor
anses for at være meget
beskeden.
Også med
hensyn til behandling af
oplysninger i private eller
offentlige
retsinformationssystemer vil
der kun i særdeles begrænset
omfang påhvile de dataansvarlige
en pligt til at oplyse den
registrerede om, at der
behandles oplysninger om
vedkommende i systemerne. I
mange situationer vil det være
umuligt for den dataansvarlige
at give en sådan underretning,
idet det ikke foreligger oplyst,
hvilke personer der berøres af
de indlagte domme m.v. Hertil
kommer, at oplysninger, som
behandles i et
retsinformationssystem, ikke
senere må behandles i andet
øjemed, jf. lovens § 9, stk. 2.
De registrerede personer vil
derfor kun i meget ringe omfang
blive berørt af, at der
behandles oplysninger om dem.
Endelig kan
det nævnes, at hvis der er tale
om en almindelig opdatering
af forskellige stamoplysninger
om den registrerede, f.eks.
opdatering af adresseoplysninger
m.v. gennem Det Centrale
Personregister, vil der i
almindelighed heller ikke bestå
en pligt til at oplyse den
registrerede herom.
2.3.4.
Yderligere undtagelser fra
oplysningspligten
I lovens § 30
er fastsat yderligere regler om,
i hvilket omfang den
dataansvarlige kan gøre
undtagelse fra
oplysningspligten. Bestemmelsen
har kun betydning, hvis
underretning af den registrerede
ikke kan undlades efter lovens §
28, stk. 2, og § 29, stk. 2 og
3, jf. oven for under pkt.
2.3.1.-2.3.3.
Af lovens §
30, stk. 1, følger, at den
dataansvarlige er fritaget fra
oplysningspligten efter lovens §
28, stk. 1, og § 29, stk. 1,
hvis den registreredes interesse
i at få kendskab til
oplysningerne findes at burde
vige for afgørende hensyn til
private interesser, herunder
hensynet til den pågældende
selv.
Undtagelse
pga. afgørende hensyn til
private interesser kan efter
omstændighederne gøres af hensyn
til forretningshemmeligheder
eller af hensyn til beskyttelse
af andre personer, som indgår i
behandlingen.
Anvendelse af
undtagelsen af hensyn til
vedkommende selv vil formentlig
kun komme på tale i ganske få
tilfælde. Der vil kun sjældent
være grundlag for at antage, at
selve underretningen om, at
oplysningerne behandles af
vedkommende dataansvarlig, vil
være til væsentlig skade for
vedkommende. Det kan dog tænkes,
f.eks. inden for det
psykiatriske område, hvor
underretningen om relevante
forhold for patienten i givet
fald må formidles på andre
måder.
Undtagelse
kan endvidere gøres, hvis den
registreredes interesse i at få
kendskab til oplysningerne i
lovens § 28, stk. 1, og § 29,
stk. 1, findes at burde vige for
afgørende hensyn til
offentlige interesser,
herundernavnlig hensynet til 1)
statens sikkerhed, 2)
forsvaret, 3) den offentlige
sikkerhed, 4) forebyggelse,
efterforskning, afsløring og
retsforfølgning i straffesager
eller i forbindelse med brud på
etiske regler for lovregulerede
erhverv, 5) væsentlige
økonomiske eller finansielle
interesser hos en medlemsstat
eller Den Europæiske Union,
herunder valuta-, budget- og
skatteanliggender, og 6)
kontrol-, tilsyns- eller
reguleringsopgaver, herunder
opgaver af midlertidig karakter,
der er et led i den offentlige
myndighedsudøvelse på de i nr.
3-5, nævnte områder, jf. lovens
§ 30, stk. 2.
Indskrænkning
i den dataansvarliges
oplysningspligt kræver efter
begge de nævnte bestemmelser i
lovens § 30 en konkret afvejning
af de modstående interesser, som
er anført. Afvejningen må
foretages for hver enkelt
oplysning for sig med den
virkning, at der, såfremt
sådanne hensyn kun gør sig
gældende for en del af de i
lovens § 28, stk. 1, og § 29,
stk. 1, nævnte oplysninger, skal
gives den registrerede
meddelelse om de øvrige
oplysninger. I visse tilfælde
kan selve det forhold, at der er
indsamlet oplysninger om den
registrerede, dog være af en
sådan fortrolig karakter, at der
ikke påhviler den dataansvarlige
en pligt til at give
underretning om nogen af de i §
29, stk. 1, nævnte oplysninger,
idet den registrerede i givet
fald vil få kendskab til, at der
er indsamlet oplysninger om den
pågældende hos tredjemand.
I afvejningen
efter bestemmelserne i lovens §
30 indgår som nævnt på den ene
side den registreredes interesse
i at få kendskab til de i lovens
§ 28, stk. 1, og § 29, stk. 1,
nævnte oplysninger. Heroverfor
står hensynet til offentlige og
private interesser, herunder
hensynet til den registrerede
selv. De interesser, der kan
beskyttes, er både den
dataansvarliges og tredjemands
interesser, herunder bl.a.
private
forretningshemmeligheder, den
professionelle tavshedspligt,
som læger og advokater skal
iagttage, retten til at
forberede sit eget forsvar i
retssager samt beskyttelse af
menneskerettighederne.
Med udtrykket
»afgørende hensyn« er det
tilkendegivet, at undtagelse fra
oplysningspligten kun kan gøres,
hvor der er nærliggende fare
for, at privates eller
offentliges interesser vil lide
skade af væsentlig betydning.
Bevisbyrden herfor påhviler den
dataansvarlige.
3. Den
registreredes indsigtsret
Reglerne om
den registreredes indsigtsret
(egenacces) er fastsat i lovens
kapitel 9 (§§ 31-34). Reglerne,
der gælder for både offentlige
myndigheder og private
virksomheder m.v., er kun i
begrænset omfang ændret i
forhold til reglerne om
registerindsigt i den tidligere
gældende registerlovgivning.
Ændringerne er navnlig foretaget
for at sikre en korrekt
gennemførelse af bestemmelserne
i artikel 12, litra a, og
artikel 13 i EF-direktivet om
behandling af personoplysninger.
Udgangspunktet efter
persondataloven er, at den
registrerede har ret til indsigt
i en række forhold vedrørende
behandlingen af oplysninger om
den pågældende, jf. lovens § 31.
Indsigtsretten er dog undergivet
begrænsninger på en række
punkter, jf. lovens § 32. I den
forbindelse skal det endvidere
nævnes, at indsigtsretten - som
nævnt oven for under pkt. 1.2. -
ikke gælder med hensyn til
ikke-elektronisk behandling af
en række personoplysninger, der
foretages for private
virksomheder m.v., jf. lovens §
1, stk. 2.
I lovens §§
33-34 er der fastsat regler om
den registreredes adgang til at
anmode om fornyet indsigt i
behandlingen af oplysninger om
den pågældende samt regler om
den registreredes adgang til at
kræve skriftlig
indsigtsmeddelelse og om den
dataansvarliges mulighed for i
givet fald at kræve betaling
herfor.
Lovens
regulering af spørgsmålet om den
registreredes indsigtsret
beskrives i det følgende under
pkt. 3.1.-3.6.
3.1.
Særlige krav til
indsigtsbegæringen
Hovedreglen
om indsigtsret er efter lovens §
31, stk. 1, at enhver person,
som fremsætter begæring herom,
har ret til at få meddelelse om
en række forhold, herunder bl.a.
om der behandles oplysninger om
den pågældende, og i givet fald
hvilke oplysninger der
behandles. Efter bestemmelsen
kan der ikke stilles særlige
krav til en begæring om indsigt
(egenacces), men der vil
alligevel kunne opstå en række
spørgsmål om begæringen og dens
indhold. Disse spørgsmål omtales
i det følgende.
3.1.1.
Krav om identifikation af de
behandlinger, som begæringen
retter sig imod?
En begæring
om indsigt skal rettes til den
dataansvarlige. Dataansvarlig
er: »Den fysiske eller juridiske
person, offentlige myndighed,
institution eller ethvert andet
organ, der alene eller sammen
med andre afgør, til hvilket
formål og med hvilke
hjælpemidler der må foretages
behandling af oplysninger«, jf.
lovens § 3, nr. 4, der også er
omtalt oven for under pkt. 1.2.
Man kan rejse
det spørgsmål, om den person,
som fremsætter en begæring om
indsigt, skal kunne give en
præcis angivelse af de
behandlinger, som vedkommende
ønsker indsigt i. Et sådant krav
kan ikke stilles, og en begæring
om indsigtsret kan derfor
principielt vedrøre alle de
behandlinger, som måtte blive
foretaget for den
dataansvarlige. I sådanne
tilfælde vil der imidlertid ikke
være noget til hinder for, at
den dataansvarlige oplyser
vedkommende om, hvilke
behandlinger af oplysninger der
foretages, herunder om
vedkommende kan være registreret
i manuelle registre, med henblik
på en afklaring af, hvilke
nærmere behandlinger der ønskes
indsigt i. Denne fremgangsmåde
må i praksis også antages at
være i den registreredes
interesse, idet der i så fald
hurtigere kan tages stilling
til, om de ønskede oplysninger
kan udleveres, ligesom den
registreredes eventuelle
betalingsforpligtelse begrænses.
I den forbindelse kan det også
nævnes, at en dataansvarlig
myndighed, virksomhed m.v., der
foretager flere behandlinger,
herunder fører manuelle
registre, efter anmodning skal
give information om, hvilke
behandlinger der foretages på
den dataansvarliges vegne, jf.
herved lovens § 54, stk. 2.
Såfremt den dataansvarlige eller
en registreret person ikke kan
få det nævnte
identifikationsspørgsmål løst på
tilfredsstillende måde, vil
løsningen eventuelt kunne findes
i den offentligt tilgængelige
fortegnelse over anmeldte
behandlinger, som Datatilsynet
skal føre i henhold til lovens §
54, stk. 1. Fortegnelsen
offentliggøres via Internettet
under Datatilsynets hjemmeside
(www.datatilsynet.dk).
3.1.2.
Særligt om kommunale forhold
Efter
Datatilsynets opfattelse er der
ikke noget til hinder for, at en
registrerets begæring om indsigt
i samtlige en myndigheds
forvaltningsgrenes oplysninger
imødekommes ved indhentelse af
bidrag fra de relevante
forvaltningsgrene med henblik på
en samlet gennemførelse af den
registreredes indsigtsret.
Den kommunale
forvaltning er en
enhedsforvaltning. En række
nævn, kommissioner m.v., der
udgør selvstændige myndigheder,
sekretariatsbetjenes af den
kommunale forvaltning. Dette
gælder for eksempel børn og
unge-udvalget,
folkeoplysningsudvalget,
skolebestyrelser, huslejenævn og
skatteankenævn. I det omfang
sekretariatsbetjeningen af et
sådant nævn m.v. indebærer
behandling af oplysninger sker
dette på vegne af det pågældende
nævn m.v., og ikke som led i den
kommunale enhedsforvaltnings
virksomhed.
Hvis en
begæring om indsigt i
oplysninger, som behandles af
den kommunale enhedsforvaltning,
også omfatter oplysninger, der
behandles som led i
sekretariatsbetjening af en
anden forvaltningsmyndighed,
skal afgørelse om den
registreredes indsigtsret
træffes af den pågældende
forvaltningsmyndighed. Dette
hindrer dog ikke, at den
registreredes indsigtsret rent
faktisk samlet gennemføres af
den kommunale forvaltning.
Rækkevidden
af særlige
tavshedspligtsbestemmelser
kan give anledning til tvivl om,
hvorvidt der er begrænsninger i
adgangen til samlet
gennemførelse af registreredes
indsigtsret, i det omfang
personer, der ikke deltager i
sekretariatsbetjeningen af
særlige forvaltningsmyndigheder,
derved får kendskab til
oplysninger om den registrerede.
I sådanne tilfælde kan den
særlige forvaltningsmyndigheds
sekretariat give de pågældende
oplysninger til den kommunale
enhedsforvaltning i en lukket
kuvert med henblik på aflevering
til den registrerede.
3.1.3.
Formkrav
Det helt
klare udgangspunkt er, at der
ikke kan stilles særlige
formkrav til indsigtsbegæringen.
Begæringen kan fremsættes både
mundtligt, skriftligt og gennem
en e-post.
Med henblik
på at kontrollere 6-måneders
fristen efter lovens § 33, jf.
neden for under pkt. 3.6.5.,
samt med henblik på at sikre sig
dokumentation for, hvilken
person der har fremsat
indsigtsbegæringen, vil den
dataansvarlige i tilfælde, hvor
begæringen ikke fremsættes
skriftligt - i et brev eller ved
e-post - i almindelighed være
berettiget til at forlange, at
den pågældende underskriver en
begæring om indsigt. Såfremt
begæringen ikke fremsættes
skriftligt, og den
dataansvarlige benytter en
særlig blanket i forbindelse med
begæringer om indsigt, kan det
ikke kræves, at vedkommende
person selv udfylder blanketten.
Derimod kan det i almindelighed
kræves, at personen daterer og
underskriver blanketten,
hvorefter den dataansvarlige på
grundlag af vedkommendes
mundtlige oplysninger, f.eks. om
betegnelsen for behandlingen af
oplysninger, selv må udfylde
resten af blanketten. Fremsættes
den mundtlige begæring ikke ved
personligt fremmøde, men
telefonisk, vil den
dataansvarlige eventuelt kunne
fremsende blanketten med henblik
på at opnå vedkommendes
underskrift herpå. Blankettens
øvrige rubrikker bør da i
forvejen så vidt muligt udfyldes
af den dataansvarlige på
grundlag af personens
telefoniske oplysninger.
Den ovenfor
beskrevne ordning vedrørende
mundtlige - herunder telefoniske
- anmodninger om indsigt, har
ikke til hensigt at udelukke, at
den dataansvarlige accepterer en
telefonisk begæring som
tilstrækkeligt grundlag for
indsigten, såfremt vedkommende
dataansvarlige - eventuelt efter
foretaget kontrolopringning -
finder en sådan fremgangsmåde
forsvarlig. Der henvises i denne
forbindelse til det, som er
anført oven for under pkt. 1.3.
vedrørende
kravene til legitimation.
3.1.4.
Indsigt i oplysninger om børn og
unge under 18 år
For så vidt
angår behandling af oplysninger
vedrørende børn (f.eks.
ventelister til
daginstitutioner) kan
forældremyndighedens indehaver
begære indsigt på barnets vegne.
Det kan derimod ikke uden videre
antages, at kun
forældremyndighedens indehaver
kan kræve indsigt, når der er
tale om behandling af
oplysninger vedrørende større
børn. Dette skyldes, at der ikke
i persondataloven er fastsat en
bestemt aldersgrænse. Loven
bygger således på et individuelt
modenhedskriterium. Der kan også
forekomme tilfælde, hvor kun det
barn, hvis oplysninger
behandles, men ikke forældrene,
bør kunne begære indsigt.
Det vil ofte
være ubetænkeligt at give
indsigt til personer under 18
år. Det vil dog næppe være
muligt at opstille generelle
regler for, hvilken nederste
aldersgrænse der kan accepteres,
idet det må bero på en konkret
bedømmelse af vedkommendes
modenhed, hvorvidt der bør gives
indsigt. Som regel må unge fra
ca. 15 år antages selvstændigt
at kunne fremsætte en
indsigtsbegæring.
Det forhold,
at man imødekommer
indsigtsbegæringer fra
registrerede personer under 18
år, bevirker imidlertid ikke
uden videre, at
forældremyndighedens indehaver
udelukkes fra at anmode om
indsigt på barnets vegne. Det
vil ofte være således, at såvel
barnet som forældremyndighedens
indehaver har ret til indsigt
med hensyn til de oplysninger,
der behandles om barnet. I disse
situationer bør lovens § 33
administreres således, at
forældremyndighedens indehaver
kan få indsigt på barnets vegne,
uanset barnet inden for en
6-måneders periode har fået
indsigt og omvendt.
Der findes
dog enkelte behandlinger, hvor
der ikke uden videre kan gives
forældremyndighedens indehaver
indsigt i de registrerede
oplysninger om børn under 18 år.
F.eks. bør forældremyndighedens
indehaver ikke ubetinget have
indsigt i Sundhedsstyrelsens
register over legalt provokerede
aborter. Her bør normalt kun
begæringer fra kvinden selv
imødekommes, uanset hendes
alder. Baggrunden herfor er
navnlig, at oplysninger om, at
kvinden har fået foretaget legal
abort, er af så privat og
personlig karakter, at det ikke
forekommer, rimeligt at
forældremyndighedens indehaver,
som måske ikke i forvejen er
bekendt hermed, ved at udnytte
reglerne om indsigtsretten kan
få kendskab til disse
oplysninger. Hvis aborten er
gennemført med
forældremyndighedsindehaverens
samtykke, er det naturligvis
ubetænkeligt at give såvel kvinden
som forældrene indsigt.
3.2.
Indsigtsretten efter lovens §
31, stk. 1
3.2.1.
Hvilke oplysninger skal
meddeles?
Det følger af
lovens § 31, stk. 1, 1. pkt., at
en person, der fremsætter
begæring herom, skal have
meddelelse fra den
dataansvarlige om, hvorvidt der
behandles oplysninger om den
pågældende.
Hvis der
behandles oplysninger om
vedkommende, skal der på en let
forståelig måde gives den
pågældende meddelelse om en
række forhold, jf. bestemmelsens
2. pkt., nr. 1-4.
Efter nr. 1
skal der gives den registrerede
meddelelse om, hvilke
oplysninger om den pågældende
der behandles. De
oplysninger, der efter
bestemmelsen skal meddeles den
registrerede, er de oplysninger,
som behandles på tidspunktet for
begæringen, samt oplysninger der
er kommet til i perioden frem
til begæringen ekspederes.
Endvidere
skal der efter nr. 2 gives
meddelelse om behandlingens
formål. Heri ligger ikke en
forpligtelse for den
dataansvarlige til at meddele,
hvad oplysningerne nøjagtigt
skal bruges til. En generel
angivelse af, hvad formålet med
behandlingen er, vil være
tilstrækkeligt. For så vidt
angår den nærmere rækkevidde af
kravet om formålsangivelse
henvises i øvrigt til det, som
er anført oven for under pkt.
2.1.3. (om den dataansvarliges
oplysningspligt over for den
registrerede).
Herudover
skal der gives meddelelse om
kategorierne af modtagere af
oplysningerne, jf. nr. 3. Der
henvises i øvrigt til det, som
er anført oven for under pkt.
2.1.3.
Endelig skal
der gives den registrerede
tilgængelig information om,
hvorfra de oplysninger, der
behandles, stammer, jf. nr.
4. Denne pligt gælder kun, hvis
oplysningerne om, hvorfra de
registrerede oplysninger
stammer, rent faktisk
foreligger. Det påhviler således
ikke den dataansvarlige at
tilvejebringe og opbevare
sådanne oplysninger. For den
offentlige forvaltnings
vedkommende må det i hvert fald
for så vidt angår den digitale
behandling af afgørelsessager
imidlertid antages, at
myndigheden som følge af
reglerne om notatpligt med
hensyn til væsentlige
sagsbehandlingsskridt oftest vil
være i besiddelse af information
om, hvorfra oplysningerne i
sagen stammer.
3.2.2.
Kun oplysninger om den
pågældende selv
(hovedperson/bipersonspørgsmålet)
Ifølge lovens
§ 31, stk. 1, har alle
registrerede personer adgang til
oplysninger om sig selv. Retten
til indsigt omfatter både
hovedpersoner og bipersoner. For
så vidt angår spørgsmålet om
betydningen af begreberne
»hovedperson« og »biperson«
henvises til det, som er anført
oven for under pkt. 1.5.
Det er ikke
en forudsætning for at få
indsigt i den dataansvarliges
behandlinger, at den
registrerede person er søgbar i
den dataansvarliges edb-system.
Det forhold, at mange
edb-systemer ofte er indrettet
således, at der kun kan fås
oplysninger om bipersoner via
navn, adresse m.v. på en
hovedperson, indebærer med andre
ord ikke, at bipersoner ikke har
adgang til indsigt i
behandlingen af oplysninger i
edb-systemet. Heri ligger dog
ikke, at den dataansvarlige - i
de tilfælde, hvor det ikke er
muligt at søge på andre end
hovedpersonerne for behandlingen
af oplysninger - ikke vil være
berettiget til at anmode en
biperson om at fremkomme med de
fornødne oplysninger til, at den
dataansvarlige kan finde frem
til eventuelle behandlinger af
oplysninger om bipersonen.
Tilsvarende vil i almindelighed
gælde, hvis en identifikation af
bipersonen ikke er mulig uden en
fuldstændig gennemgang af en
betydelig mængde behandlinger
(registre). Er mængden af
oplysninger, der opbevares,
derimod så beskeden, at det vil
være relativt let at finde frem
til den enkelte, eller er det
ved hjælp af en kombination med
andre behandlede oplysninger
muligt med stor sikkerhed at
finde oplysninger om bipersoner
frem, vil den dataansvarlige
være forpligtet til at finde
oplysningerne om bipersonen frem
og meddele indsigt heri i
overensstemmelse med lovens
regler.
Et særligt
spørgsmål er, om den
dataansvarlige kan stille krav
om, at en biperson oplyser
hovedpersonens personnummer. Et
sådant krav kan - uanset hvor
vanskeligt det måtte være at
udfinde oplysninger om
bipersonen - ikke stilles. I de
tilfælde, hvor der kun kan søges
i den dataansvarliges edb-system
via personnummeret på
hovedpersoner, vil det således
være tilstrækkeligt, at
vedkommende biperson oplyser
hovedpersonens navn og adresse,
hvorefter den dataansvarlige
selv må finde frem til
vedkommendes personnummer, for
offentlige myndigheder f.eks.
via onlineadgang til Det
Centrale Personregister (CPR).
Indsigtsretten er normalt
begrænset til at omfatte de
oplysninger, der vedrører den
pågældende person.
Udgangspunktet er således, at en
hovedperson har krav på at få
meddelelse om de behandlinger,
som vedrører den pågældende, men
ikke behandlinger, som vedrører
bipersonen. Tilsvarende har en
biperson normalt også kun krav
på at få oplysninger om de
behandlinger, der vedrører den
pågældende, men ikke oplysninger
om behandlinger vedrørende
hovedpersonen. I forbindelse med
visse behandlinger må det dog
antages, at enkelte personer har
krav på at få oplysninger om
behandlinger, som har relation
til andre personer. F.eks. må en
person, der er registreret i Det
Centrale Personregister (CPR),
have krav på at få oplyst,
hvilke personer (børn,
ægtefælle, forældre) der er
henvist til i registeret under
personen selv. Ligesom en
ansøger om boligstøtte har en
interesse i at kende
boligstøtteberegningsgrundlaget,
herunder bipersoners indkomst,
når denne indgår i
beregningsgrundlaget.
Der vil ofte
være et særligt
interessefællesskab mellem
hoved- og bipersoner, ligesom
hovedpersonen ofte vil have en
retlig interesse i at få
samtlige oplysninger om sig selv
og bipersonerne. Det kan i
sådanne situationer for så vidt
være ubetænkeligt at meddele
hovedpersonen alle
oplysningerne, uanset de
vedrører en biperson. Udlevering
af oplysninger til hovedpersonen
om bipersonen bør imidlertid i
almindelighed kun finde sted,
såfremt der foreligger fuldmagt
fra den pågældende, eller der
foreligger samtykke i
overensstemmelse med lovens
regler herom.
3.3.
Hvor hurtigt skal begæringer om
indsigt besvares?
Af lovens §
31, stk. 2, 1. pkt., følger, at
den dataansvarlige snarest
skal besvare modtagne begæringer
om indsigt. Den tid, der vil
hengå med at ekspedere en
anmodning om indsigt, vil kunne
variere afhængig af, hvilken
form for behandling der er tale
om. I mange tilfælde vil den
dataansvarlige først kunne
besvare indsigtsbegæringen, når
oplysningerne er rekvireret hos
en databehandler.
Ekspeditionstidens længde vil
endvidere være afhængig af den
tekniske indretning af det
system, hvori oplysningerne
behandles. Der er derfor ikke
fastsat nogen absolut frist. I
stedet er der i bestemmelsens 2.
pkt. indsat en regel, hvorefter
en dataansvarlig, hvis det
undtagelsesvis tager længere tid
end 4 uger at besvare en
begæring om indsigt, skal
underrette den registrerede
herom. Underretningen af den
registrerede skal indeholde
oplysninger om grunden til, at
der ikke kan træffes afgørelse
inden for 4 ugers fristen, samt
om hvornår afgørelsen kan
forventes at foreligge.
Det anførte
betyder bl.a., at det i de
tilfælde, hvor der er tale om
behandlinger, der ajourføres
løbende, og hvor udtræk sker i
forbindelse med sådanne
ajourføringer, normalt vil være
i overensstemmelse med lovens §
31, stk. 2, at udtrække
oplysningerne i forbindelse med
den førstkommende ajourføring af
de behandlede oplysninger,
såfremt ajourføringen sker
månedligt eller med kortere
mellemrum. Hvis behandlingerne
derimod f.eks. kun ajourføres
kvartalsvis, vil en længere
svarfrist end 4 uger kun efter
omstændighederne være acceptabel
i en overgangsperiode, indtil
registeret bliver indrettet til
en hyppigere ajourføring. Det
bemærkes, at den dataansvarlige
i begge de nævnte situationer
skal give den registrerede
underretning efter bestemmelsens
2. pkt., hvis der ikke kan
træffes afgørelse om indsigt
inden for 4 uger efter
modtagelsen af begæringen.
Det
ovennævnte betyder endvidere, at
mindre og ukomplicerede
indsigtsbegæringer skal besvares
hurtigt (snarest muligt), og den
dataansvarlige vil således ikke
blot kunne vente til udløbet af
4 ugers fristen med at besvare
en sådan begæring. Omvendt vil
fristen for besvarelse af
omfattende begæringer om indsigt
skulle fastsættes under rimelig
hensyntagen hertil. Den tid, der
går med at besvare begæringer om
indsigt, må dog aldrig gå ud
over den tidsmæssige ramme i
artikel 12, litra a, i
EF-direktivet om behandling af
personoplysninger. Af den nævnte
bestemmelse i direktivet følger,
at indsigtsbegæringer skal
besvares »uden større ventetid«.
Det bemærkes,
at den dataansvarlige altid har
mulighed for - men ikke pligt
til - at besvare modtagne
begæringer om indsigt løbende
(successiv indsigt) - dvs. at
oplysningerne udleveres til den
begærende i takt med, at de
tilvejebringes hos den
dataansvarlige. En mulighed, der
ikke mindst med fordel vil kunne
tænkes anvendt af de
dataansvarlige, hos hvem en
person kan være genstand for
omfattende behandlinger,
eksempelvis en kommune.
3.4.
Meddelelsens form
I lovens §
34, stk. 1, foreskrives det, at
indsigt efter lovens § 31, stk.
1, som udgangspunkt skal gives
skriftligt, hvis den
registrerede anmoder herom. I
tilfælde, hvor den registrerede
møder personligt op hos den
dataansvarlige, bør det søges
klarlagt, om den registrerede
ønsker skriftligt svar eller en
mundtlig underretning om
indholdet af oplysningerne.
Kravet om
skriftlighed indebærer, at
oplysningerne skal fremtræde i
en sådan form, at de kan læses
umiddelbart og uden brug af
tekniske hjælpemidler. Heraf
følger, at skriftlige
meddelelser normalt bør
foreligge i form af en maskinel
udskrift af behandlingerne.
Meddelelsen må ikke indeholde
koder m.v., som ikke er
umiddelbart forståelige.
I de
tilfælde, hvor hensynet til den
registrerede taler derfor, kan
meddelelse af indsigt ske i form
af en mundtlig underretning om
indholdet af oplysningerne.
Dette vil bl.a. kunne være
tilfældet med hensyn til
oplysninger om den registreredes
helbredsforhold.
3.5.
Betaling for skriftlige
meddelelser om indsigt
I lovens §
34, stk. 2, er fastsat, at
justitsministeren kan fastsætte
regler om betaling for
indsigtsmeddelelser, som gives
skriftligt af private
virksomheder m.v.
I medfør af
bestemmelsen har
justitsministeren ved
bekendtgørelse nr.
533 af 15. juni 2000
fastsat bestemmelser om betaling
for private dataansvarliges
skriftlige meddelelse om
indsigt. Af bekendtgørelsen
følger bl.a., at gebyret for
meddelelse om indsigt udgør 10
kr. for hver påbegyndt side, dog
således at betalingen ikke kan
overstige 200 kr. Reglerne om
betaling for meddelelse om
indsigt i den private sektor er
optrykt som bilag 2 til
vejledningen, hvortil der i
øvrigt henvises.
Hvis en
person, der begærer indsigt
efter lovens § 31, stk. 1, ikke
har begæret et skriftligt svar,
vil virksomheden ikke kunne
kræve betaling, selvom indsigten
gives i skriftlig form.
3.6.
Begrænsninger i indsigtsretten
3.6.1.
Afgørende hensyn til offentlige
eller private interesser
I lovens §
32, stk. 1, fastsættes det, at
den registrerede ikke har krav
på indsigt, hvis vedkommendes
interesse i at få kendskab til
oplysningerne findes at burde
vige for afgørende hensyn til
private interesser, herunder
hensynet til den pågældende
selv, jf. henvisningen til
lovens § 30, stk. 1. Efter en
konkret vurdering vil det være
muligt at nægte indsigt i
oplysninger, hvis dette ville
medføre, at virksomhedens
forretningsgrundlag,
forretningspraksis eller
know-how derved ville lide
væsentlig skade. Det vil
endvidere efter en konkret
vurdering være muligt at nægte
indsigt i interne vurderinger
af, hvorvidt virksomheden på
basis af foreliggende
oplysninger vil indgå et
kontraktforhold, ændre et
bestående kontraktforhold,
stille vilkår for fortsættelse,
eventuelt helt opsige et
kontraktforhold og lignende
tilfælde. På samme måde vil det
efter omstændighederne være
muligt at nægte indsigt i f.eks.
et notat, der vurderer, hvorvidt
der er udsigt til, at en bestemt
retssag mod en kunde kan vindes,
eller et internt notat i en sag,
der påpeger mulige tegn på, at
en kunde har forsøgt at udøve
forsikringssvig over for et
forsikringsselskab eller forsøgt
at unddrage sig forpligtelser i
medfør af f.eks. en
lånekontrakt. Der henvises i
øvrigt til det, som er anført
oven for under pkt. 2.3.4.
vedrørende undtagelserne i
lovens § 30 til
oplysningspligten.
Undtagelse
til indsigtsretten kan endvidere
gøres af hensyn til
offentlige interesser,
herunder navnlig til statens
sikkerhed, forsvaret, den
offentlige sikkerhed,
forebyggelse, efterforskning,
afsløring og retsforfølgning i
straffesager eller i forbindelse
med brud på etiske regler for
lovregulerede erhverv,
væsentlige økonomiske eller
finansielle interesser hos en
medlemsstat eller Den Europæiske
Union, herunder valuta-, budget-
og skatteanliggender, og
kontrol-, tilsyns-, eller
reguleringsopgaver, herunder
opgaver af midlertidig karakter,
der er et led i den offentlige
myndighedsudøvelse på de nævnte
områder, jf. henvisningen til
lovens § 30, stk. 2.
Indskrænkningen i den
registreredes adgang til at få
indsigt efter lovens § 31, stk.
1, kan efter bestemmelsen kun
ske på grundlag af en konkret
afvejning af de modstående
interesser. I afvejningen indgår
på den ene side den
registreredes interesse i at få
kendskab til oplysningerne, og
på den anden side de nævnte
afgørende hensyn til offentlige
eller private interesser,
herunder til den pågældende
selv. Med udtrykket »den
registreredes interesse i at få
kendskab til oplysningerne«
sigtes ikke blot til interessen
i at få kendskab til
oplysningerne i forbindelse med
overvejelser om indbringelse af
en sag, hvori de indsamlede
oplysninger indgår, for
domstolene, højere administrativ
myndighed, Datatilsynet eller
Folketingets Ombudsmand, men
også til den registreredes
interesse i at kunne kontrollere
oplysningernes rigtighed i
forbindelse med den
dataansvarliges anvendelse af
oplysningerne eller med henblik
på berigtigelse efter reglerne i
lovens kapitel 10. De private og
offentlige interesser, som kan
beskyttes efter bestemmelsen, er
såvel den dataansvarliges som
tredjemands interesser. Det
bemærkes, at indsigt kun kan
nægtes, hvis der er nærliggende
fare for, at de private eller
det offentliges interesser vil
lide skade af væsentlig
betydning.
Selve
afvejningen af de modstående
interesser må foretages for hver
enkelt oplysning for sig med den
virkning, at den registrerede,
såfremt afgørende hensyn til
private eller offentlige
interesser kun gør sig gældende
for en del af oplysningerne, som
behandles hos den
dataansvarlige, skal gøres
bekendt med de øvrige
oplysninger. Der er ikke efter
bestemmelsen adgang til generelt
at undtage bestemte former for
behandlinger af oplysninger fra
indsigtsretten.
Det bemærkes,
at hvor afvejningen af de
forskellige interesser allerede
er foretaget i lovgivningen,
f.eks. ved at der er fastsat
særlige
tavshedspligtsbestemmelser med
henblik på at tilgodese nærmere
bestemte private eller
offentlige interesser, vil der
normalt kunne gøres undtagelse
fra indsigtsretten. Der må dog
foretages en konkret fortolkning
af den enkelte
tavshedspligtsbestemmelse,
herunder bestemmelsens baggrund.
Specielt for så vidt angår
særlige
tavshedspligtsbestemmelser i
lovgivningen, som har en
fællesskabsretlig baggrund, må
gælde, at disse regler går forud
for de generelle indsigtsregler
i persondataloven. Dette gælder
eksempelvis direktiver,
hvorefter der påhviler
finansielle tilsyn i
medlemslandene tavshedspligt ved
udøvelse af deres
tilsynsvirksomhed.
3.6.2.
Særligt om den offentlige
forvaltning
I lovens §
32, stk. 2, er fastsat, at
oplysninger, der behandles for
den offentlige forvaltning som
led i administrativ
sagsbehandling, kan undtages i
samme omfang fra indsigtsretten
som efter reglerne i
offentlighedslovens § 2 samt §§
7-11 og § 14.
Bestemmelsen
er indsat for at sikre, at
forvaltningsmyndigheders
behandling af oplysninger kan
undtages fra den registreredes
ret til indsigt i samme
udstrækning som efter
offentlighedslovens regler om
egenacces, jf.
offentlighedslovens § 4, stk. 2.
Bestemmelsen indebærer bl.a., at
det forhold, at oplysninger
undergives elektronisk
databehandling i et
tekstbehandlingssystem med
henblik på udarbejdelse af
f.eks. et internt notat m.v.,
ikke fører til, at registrerede
personer kan opnå indsigt heri i
videre udstrækning end, hvad der
følger af offentlighedslovens
regler om egenacces.
Bestemmelsen
i § 32, stk. 2, forudsættes også
at kunne anvendes på offentlige
forvaltningsmyndigheder, som
ikke er undergivet
offentlighedsloven, når disse
myndigheder udfører
administrativ sagsbehandling.
Bestemmelsen omfatter således
også f.eks. Post Danmark.
Det skal
understreges, at der ikke med
indsigtsreglerne i
persondataloven tilsigtes at
gøre indskrænkninger i de
rettigheder, som en registreret
person har efter
offentlighedsloven og
forvaltningsloven. Loven bygger
således - i de tilfælde, hvor en
person kan støtte ret på både
persondataloven og
offentlighedsloven/forvaltningsloven
- på den forudsætning, at
vedkommende
forvaltningsmyndighed må træffe
afgørelse på det for den
pågældende gunstigste
retsgrundlag.
En myndighed
er i forbindelse med en
indsigtsbegæring forpligtet til
at følge forvaltningslovens §
11, såfremt begæringen om
indsigt fremsættes af en person,
der er part i en sag, som
myndigheden har under
behandling. Det følger heraf, at
myndigheden som udgangspunkt
skal udsætte sagens afgørelse,
indtil der er givet parten (den
registrerede) adgang til at gøre
sig bekendt med dokumenterne (de
registrerede oplysninger).
3.6.3.
Behandlinger til brug for
videnskabelige undersøgelser
eller statistik
Af lovens §
32, stk. 4, følger, at der ikke
er ret til indsigt i
oplysninger, der udelukkende
behandles med videnskabelig
forskning for øje. Reglen er ny
i forhold til den tidligere
gældende regulering af
offentlige forskningsprojekter,
hvorimod reglen svarer til den
tidligere gældende regulering af
private forskningsprojekter.
Også
behandling af personoplysninger
i statistisk øjemed er efter
bestemmelsen undtaget fra retten
til indsigt. En betingelse
herfor er dog, at oplysningerne
kun opbevares i form af
personoplysninger i det tidsrum,
som kræves for at udarbejde
statistikker. Bestemmelsen
viderefører den tidligere
gældende retstilstand efter
registerlovgivningen.
3.6.4.
Generel undtagelsesmulighed
Af lovens §
32, stk. 5, følger, at for
behandling af oplysninger på det
strafferetlige område, der
foretages for offentlige
myndigheder, kan
justitsministeren fastsætte
undtagelser fra retten til at få
oplysninger efter lovens § 31,
stk. 1, for så vidt bestemmelsen
i lovens § 32, stk. 1, jf.
herved § 30, må antages at
medføre, at begæringer om ret
til indsigt i almindelighed må
afslås.
Bestemmelsen
betyder, at justitsministeren
kan træffe bestemmelse om, at
der generelt gøres undtagelse
fra retten til indsigt i
oplysninger, der behandles af
offentlige myndigheder på det
strafferetlige område.
Fastsættes der en generel
undtagelse som nævnt i
bestemmelsen, behøver den
offentlige myndighed ikke
foretage en konkret vurdering
af, om der er grundlag for at
give afslag på indsigt. En sådan
generel undtagelse kan dog alene
fastsættes, hvis reglen i lovens
§ 32, stk. 1, i almindelighed
vil føre til, at der skal gives
afslag. Bestemmelsen vil bl.a.
muliggøre, at dele af Det
Centrale Kriminalregister
fortsat vil kunne undtages fra
den registreredes ret til
indsigt.
3.6.5.
Tidsmæssig begrænsning
Efter lovens
§ 33 har en registreret person,
der har fået meddelelse efter
lovens § 31, stk. 1, ikke krav
på ny meddelelse før 6 måneder
efter sidste meddelelse,
medmindre der godtgøres en
særlig interesse heri.
Den
registrerede har således
mulighed for, uanset fristen, at
få indsigt f.eks. i tilfælde,
hvor den pågældende kan
godtgøre, at der siden en
tidligere meddelelse om, at der
ikke behandles oplysninger om
vedkommende, foreligger
omstændigheder, der tyder på, at
der nu behandles oplysninger om
den pågældende. Nævnes kan også
den situation, at der er sket
væsentlige ændringer i de
oplysninger, som behandles,
eller af de forhold der
behandles oplysninger om.
Bestemmelsen
i lovens § 33 er naturligvis
ikke til hinder for, at den
dataansvarlige imødekommer
indsigtsbegæringer inden 6
måneder efter en tidligere
meddelelse.
4. Den
registreredes øvrige rettigheder
Med reglerne
i lovens kapitel 10 (§§ 35-40)
sikres den registrerede en række
øvrige rettigheder i forbindelse
med, at der behandles
oplysninger om den pågældende.
Det drejer
sig om regler om, at den
registrerede i en række tilfælde
har ret til at gøre indsigelse
mod behandling af oplysninger om
den pågældende (lovens §§ 35-36
og § 39), en regel om den
registreredes ret til at få
berigtiget, slettet eller
blokeret oplysninger, der er
vildledende eller urigtige, samt
i den forbindelse at forlange,
at en tredjemand, hvortil
oplysningerne om vedkommende er
videregivet, underrettes herom
(lovens § 37), samt regler om
tilbagekaldelse af samtykke og
om retten til at klage til
vedkommende tilsynsmyndighed
(lovens §§ 38 og 40).
Bestemmelserne i §§ 35-37 og §
39 finder - som nævnt oven for
under pkt. 1.2. - bl.a. ikke
anvendelse på behandlinger, der
foretages for politi og
anklagemyndighed inden for det
strafferetlige område, jf.
lovens § 2, stk. 4, 2. pkt.
4.1.
Indsigelsesret over for
behandlinger
Det følger af
lovens § 35, stk. 1, at den
registrerede til enhver tid over
for den dataansvarlige kan gøre
indsigelse mod, at oplysninger
om den pågældende gøres til
genstand for behandling.
I de
tilfælde, hvor den
dataansvarlige finder, at en
indsigelse mod behandling af
oplysninger er berettiget,
følger det af bestemmelsen i
lovens § 35, stk. 2, at den
iværksatte behandling ikke
længere må finde sted for så
vidt angår oplysninger om den
registrerede. Hvis den
dataansvarlige derimod træffer
afgørelse om, at en indsigelse
ikke skal imødekommes, kan den
dataansvarlige fortsætte
behandlingen indtil det
tidspunkt, hvor Datatilsynet
eventuelt måtte træffe afgørelse
om, at indsigelsen var
berettiget.
En indsigelse
mod en behandling af
personoplysninger vil
naturligvis være berettiget,
hvis behandlingen ikke er
lovlig, dvs. finder sted i strid
med reglerne i persondataloven
eller anden lovgivning.
En indsigelse
vil imidlertid også kunne anses
for berettiget, selvom
behandlingen i øvrigt er lovlig.
Dette vil være tilfældet, hvis
den registrerede har anført
tungtvejende grunde til støtte
for, at behandlingen pga. den
registreredes særlige,
individuelle situation ikke bør
finde sted. Den dataansvarlige
skal altså foretage en konkret
vurdering af, om der foreligger
sådanne særlige omstændigheder
omkring netop denne registrerede
person, at behandlingen af
oplysninger om den pågældende
bør indskrænkes eller helt
indstilles. Dette vil efter
omstændighederne f.eks. kunne
være tilfældet for en
medarbejder i en myndighed eller
virksomhed, som pga. chikane fra
en tidligere ægtefælle ikke
ønsker sit navn anført i en
medarbejderfortegnelse på en
hjemmeside på Internettet.
En indsigelse
skal bl.a. ikke tages til følge,
hvis behandlingen af oplysninger
om den registrerede er
foreskrevet i lovgivningen. Hvis
der er tale om behandling i
statistisk eller videnskabeligt
øjemed skal en indsigelse som
altovervejende hovedregel heller
ikke tages til følge.
Det er i
første række den dataansvarlige,
som skal foretage en vurdering
af, om en indsigelse mod
behandling af oplysninger er
berettiget. Opstår der uenighed
om berettigelsen af den
registreredes indsigelse, kan
spørgsmålet efterfølgende
indbringes for Datatilsynet, der
så træffer afgørelse om,
hvorvidt indsigelsen mod
behandlingen er berettiget, jf.
lovens § 58, stk. 1 (private
virksomheder m.v.), og § 60,
stk. 1 (offentlige myndigheder).
Der henvises i øvrigt til pkt. 5
nedenfor.
For så vidt
angår offentlige myndigheder
(forvaltningsmyndigheder) skal
man være opmærksom på, at
myndighedens beslutning om,
hvorvidt en indsigelse skal
imødekommes, er en »afgørelse«
efter forvaltningsloven.
Myndigheden skal derfor
overholde forvaltningslovens
regler om begrundelse,
klagevejledning m.v.
4.2. Ret
til indsigelse mod videregivelse
af oplysninger med henblik på
markedsføring
Efter lovens
§ 6, stk. 1, nr. 7, og stk. 2-4,
kan der i et vist omfang ske
videregivelse af generelle
kundeoplysninger til en anden
virksomhed til brug for
markedsføring, ligesom
oplysningerne kan anvendes på
vegne af en anden virksomhed i
dette øjemed, jf. nærmere neden
for under pkt. 4.2.1. I sådanne
tilfælde skal reglerne i lovens
§ 36 iagttages.
Reglerne i
lovens § 36 giver en forbruger
mulighed for at forhindre, at
der videregives oplysninger om
den pågældende til brug for
markedsføring.
Reglerne i §
36 gælder ikke kun i den
situation, hvor en virksomhed
ønsker at videregive
oplysninger om en forbruger
til en anden virksomhed med
henblik på markedsføring.
Reglerne gælder også, hvis
virksomheden i stedet for at
videregive oplysningerne
anvender dem på vegne af en
anden virksomhed med henblik
på markedsføring. Denne
situation vil typisk foreligge,
når en virksomhed fra en anden
virksomhed modtager
markedsføringsmateriale i form
af »direct mails« eller lignende
og derefter udsender materialet
til sine egne kunder, eventuelt
selektivt ud fra de oplysninger
om de enkelte kunders
forbrugsvaner og -mønstre, som
virksomheden er i besiddelse af.
Det er kun
registrerede personer, der er
forbrugere, der er beskyttet
af reglerne om indsigelsesret i
§ 36. Uden for begrebet
»forbrugere« falder oplysninger
om leverandører, andre
forretningsforbindelser eller
erhvervsdrivende.
§ 36 gælder
også for adresserings- og
kuverteringsbureauer, jf. § 12.
En registreret person vil
således altid kunne fremsætte
indsigelse mod, at et
adresserings- og
kuverteringsbureau behandler
oplysninger om den pågældende
med henblik på markedsføring,
herunder salg, kuvertering eller
udsendelse, jf. lovens § 36,
stk. 1, ligesom bureauet skal
følge proceduren i § 36.
Reglerne i §
6 og § 36 gælder også, når
videregivelsen eller anvendelsen
til markedsføring skal finde
sted inden for koncernforbundne
selskaber. Reglerne gælder
derimod ikke udveksling af
oplysninger mellem filialer
eller lignende, hvor der ikke er
tale om forskellige juridiske
enheder.
4.2.1.
Hvornår kan personoplysninger
videregives med henblik på
markedsføring?
Det fremgår
af lovens § 6, stk. 2, at en
virksomhed ikke må videregive
oplysninger om forbrugere til
andre virksomheder til brug ved
markedsføring eller anvende
oplysningerne på vegne af en
anden virksomhed i dette øjemed,
medmindre forbrugeren har givet
sit udtrykkelige samtykke
hertil.
Denne
hovedregel om forbud mod
videregivelse m.v. af
forbrugeroplysninger til brug
for markedsføring modificeres
imidlertid af reglen i § 6, stk.
3. Det følger af denne regel, at
den nævnte videregivelse og
anvendelse kan ske uden
samtykke, hvis der er tale om
generelle kundeoplysninger,
der danner grundlag for
inddeling i kundekategorier, og
hvis betingelserne i § 6, stk.
1, nr. 7, er opfyldt.
Det fremgår
af lovens forarbejder, at den
interesseafvejning, der skal
foretages efter reglen i § 6,
stk. 1, nr. 7, kun
undtagelsesvis vil være til
hinder for, at oplysningerne
videregives.
Hvorvidt
videregivelse og anvendelse til
brug for markedsføring kan finde
sted uden samtykke, vil derfor
navnlig afhænge af, om der er
tale om »generelle
kundeoplysninger, der danner
grundlag for inddeling i
kundekategorier«.
Som eksempler
på oplysninger, der vil kunne
videregives uden samtykke, kan
nævnes oplysninger om
forbrugerens (kundens) navn,
adresse, køn og alder. Det samme
gælder generelle oplysninger som
f.eks., at kunden er husejer,
bilejer, computerejer og
lignende. Tilsvarende gælder
f.eks. oplysninger om, at der er
tale om en kunde til
fritidsartikler, til baby- og
småbørnsartikler, til økologiske
varer, til vin- og spiritus
eller andre generelt afgrænsede
varegrupper.
Derimod vil
det ikke være muligt uden
samtykke at videregive
oplysninger, som afslører rent
private forhold hos kunden,
f.eks. spiritusmisbrug. Det vil
heller ikke være muligt at
videregive mere detaljerede
kundeoplysninger eller
forbrugsvaner uden kundens
samtykke. Der må således f.eks.
ikke videregives oplysninger om,
hvorvidt kundens bil er købt på
kredit, og i givet fald
oplysninger om vilkårene for
kreditten. Der må heller ikke
videregives oplysninger om,
hvilken mængde vin kunden køber.
Det gælder, selv om dette ikke i
sig selv afslører, at kunden har
et spiritusmisbrug. Der må
heller ikke videregives mere
detaljerede oplysninger om,
hvilken slags vin kunden køber.
For at undgå
enhver tvivl herom, angives det
udtrykkeligt i lovens § 6, stk.
4, at der ikke uden forbrugerens
samtykke må videregives
oplysninger om forbrugerens rent
private forhold til andre
virksomheder til brug ved
markedsføring. Det angives
endvidere i bestemmelsen, at
justitsministeren ved
bekendtgørelse vil kunne
begrænse adgangen til efter stk.
3 at videregive andre typer af
oplysninger til brug ved
markedsføring. Baggrunden for
bestemmelsen er, at det ikke på
forhånd kan udelukkes, at der
vil kunne vise sig et behov for,
at visse typer oplysninger, som
ikke angår forbrugerens rent
private forhold, ikke skal kunne
videregives uden forbrugerens
udtrykkelige samtykke.
4.2.2.
Indsigelsesretten
I de
tilfælde, hvor videregivelse
eller anvendelse efter reglerne
i lovens § 6, stk. 1, nr. 7, og
stk. 2-4, kan ske uden den
registrerede forbrugers
(kundens) samtykke, skal
virksomheden (den
dataansvarlige) overholde de
procedureregler, der er fastlagt
i § 36.
Proceduren i
§ 36 går ud på følgende :
For det
første gælder det generelt, at
virksomheden ikke må videregive
oplysninger om en forbruger
(kunde) til andre virksomheder
med henblik på markedsføring
eller anvende oplysningerne på
vegne af en anden virksomhed i
dette øjemed, hvis kunden har
gjort indsigelse imod det, jf. §
36, stk. 1.
Der er tale
om en ubetinget
indsigelsesret, som kan
gøres gældende direkte over for
den dataansvarlige virksomhed på
et hvilket som helst tidspunkt.
Indsigelsen kan omfatte al
videregivelse eller begrænses
til videregivelse til bestemte
virksomheder eller kategorier af
virksomheder. Hvis intet andet
angives i indsigelsen, må den
almindeligvis forstås som en
generel indsigelse mod al
videregivelse og anvendelse på
vegne af andre, der foretages
med henblik på markedsføring.
Der er ingen
formkrav til indsigelsen, og den
kan derfor fremsættes såvel
mundtligt som skriftligt eller
via elektronisk post.
Virksomheden bør notere og gemme
modtagne indsigelser, ligesom
den bør tjekke sine optegnelser,
hver gang den ønsker at
videregive kundeoplysninger til
brug for markedsføring.
For det andet
gælder det, at hvis forbrugeren
(kunden) ikke har gjort
indsigelse direkte over for
virksomheden, skal virksomheden
- hver gang den ønsker at
videregive kundeoplysninger til
andre virksomheder med henblik
på markedsføring eller anvende
oplysninger på vegne af en anden
virksomhed i dette øjemed -
tjekke i CPR, om kunden efter §
29, stk. 3, i lov om Det
Centrale Personregister (CPR)
over for bopælskommunen har
frabedt sig henvendelser i
markedsføringsøjemed, jf. §
36, stk. 2, 1. pkt. I
bekræftende fald må
oplysningerne ikke videregives
til dette formål.
For det
tredje gælder det, at den
dataansvarlige virksomhed i de
tilfælde, hvor kunden hverken
direkte over for virksomheden
eller gennem en registrering i
CPR har gjort indsigelse mod
videregivelse og anvendelse i
markedsføringsøjemed eller
frabedt sig sådanne
henvendelser, skal oplyse
kunden om retten til at gøre
indsigelse, jf. § 36, stk.
2, 2. pkt. Dette skal ske
hver gang virksomheden
ønsker at videregive eller på
andres vegne anvende oplysninger
i markedsføringsøjemed.
Virksomheden skal, inden
oplysningerne videregives eller
anvendes til markedsføring, jf.
ovenfor, tydeligt og på en
forståelig måde oplyse om
indsigelsesretten. Det vil i den
forbindelse ikke være
tilstrækkeligt at beskrive
retten til at gøre indsigelse i
de almindelige
forretningsbetingelser, som
måtte blive udleveret til den
pågældende forbruger. Oplysning
om indsigelsesretten skal i
stedet gives som en individuel
meddelelse til kunden, uden at
dette dog udelukker, at
meddelelsen tillige indeholder
andre oplysninger.
Virksomheden
skal give forbrugeren adgang til
på en nem måde og med en frist
på to uger at gøre indsigelse.
Det kan f.eks. ske ved, at
virksomheden medsender en kupon
til forbrugeren, hvor der kan
krydses »nej« til
videregivelsen/anvendelsen.
Virksomheden må naturligvis ikke
videregive eller anvende
oplysningerne til markedsføring,
før det ved udløbet af fristen
på to uger er konstateret, at
forbrugeren ikke har gjort
indsigelse.
Heller ikke i
denne situation gælder der nogen
formkrav til indsigelsen, jf.
ovenfor.
Når den
dataansvarlige virksomhed retter
henvendelse til forbrugeren med
oplysning om indsigelsesretten,
jf. § 36, stk. 2, 2. pkt., skal
det ske i overensstemmelse med
reglerne i markedsføringslovens
§ 6 a og eventuelle regler
udstedt i medfør af
markedsføringslovens § 6 a, stk.
6, jf. persondataloven § 36,
stk. 3. Dette indebærer, at
henvendelsen ikke må ske ved
brug af elektronisk post,
automatisk (telefon-)
opkaldssystem eller telefax, jf.
forbuddet mod sådanne uanmodede
henvendelser i
markedsføringsøjemed i
markedsføringslovens § 6 a, stk.
1.
Som en
konsekvens heraf kan en
virksomhed, der kun kender
forbrugerens e-post adresse, kun
videregive eller anvende
oplysningerne til brug for
markedsføring, hvis forbrugeren
har givet sit samtykke hertil
efter persondataloven § 6, stk.
2.
En virksomhed
kan ikke kræve betaling for
behandling af en indsigelse, jf.
§ 36, stk. 4. Dette gælder,
uanset hvornår og hvordan
indsigelsen fremsættes.
En indsigelse
- uanset hvornår den fremkommer,
og uanset om det er ved
registrering i CPR - indebærer
ikke nødvendigvis, at
virksomheden skal slette
oplysningerne om den pågældende
person. Som udgangspunkt skal
der blot ske en blokering af
oplysningerne, så de ikke
(længere) benyttes eller
videregives med henblik på
markedsføring. En blokering kan
f.eks. ske ved at indsætte en
markering heraf i et register
eller ved at overføre
oplysningerne til et særligt
»passivt« register. Hvis
formålet med registreringen
alene er markedsføring, kan en
generel indsigelse mod al
behandling med henblik på
markedsføring indebære, at
registreringen ikke længere
tjener noget formål. I en sådan
situation vil der efter
omstændighederne skulle ske
sletning, da betingelserne i § 6
for behandling af oplysningerne
så ikke vil være opfyldt, jf.
herved også reglen i § 5, stk.
5.
4.3.
Berigtigelse, sletning eller
blokering af urigtige
oplysninger
4.3.1.
Ret til berigtigelse, sletning
eller blokering af oplysninger,
der viser sig urigtige m.v.
Efter lovens
§ 37, stk. 1, skal den
dataansvarlige berigtige, slette
eller blokere oplysninger, der
viser sig urigtige eller
vildledende eller på lignende
måde er behandlet i strid med
lov eller bestemmelser udstedt i
medfør af lov, hvis en
registreret person fremsætter
anmodning herom.
En anmodning
om berigtigelse, sletning eller
blokering skal komme fra den
registrerede selv eller dennes
fuldmægtig. Anmodningen skal
angå oplysninger om den
registrerede selv. Den
dataansvarlige er ikke - efter
persondataloven - forpligtet til
at foretage berigtigelse m.v. af
oplysninger om andre personer.
Dog vil det efter
omstændighederne påhvile den
dataansvarlige at undersøge
rigtigheden af sådanne
henvendelser, jf. lovens § 5,
stk. 4, hvorefter der skal
foretages den fornødne kontrol
for at sikre, at der ikke
behandles urigtige eller
vildledende oplysninger. For så
vidt angår offentlige
myndigheder kan det imidlertid
følge af begrebet »god
forvaltningsskik«, at
myndigheden er forpligtet til
efter anmodning at foretage
berigtigelse m.v. af oplysninger
om andre personer.
Der gælder
ingen formkrav til den
registreredes anmodning, der
således kan fremsættes såvel
mundtligt som skriftligt. Hvis
anmodning fremsættes, påhviler
det den dataansvarlige - eller
dennes repræsentant - snarest
muligt at tage stilling til, om
begæringen kan imødekommes, og i
givet fald at foretage sletning,
berigtigelse eller blokering af
oplysningerne. Nægter den
dataansvarlige at imødekomme
begæringen, og er den
registrerede utilfreds med denne
beslutning, kan den registrerede
klage til Datatilsynet, jf. også
neden for under pkt. 4.5. og 5.
Om oplysninger, der viser sig
urigtige eller vildledende eller
på lignende måde er behandlet i
strid med lovgivningen, skal
berigtiges, slettes eller
blokeres, afgøres som
udgangspunkt af den
dataansvarlige ud fra de
konkrete omstændigheder. Det kan
dog i visse tilfælde fremgå af
lovgivningen, at der skal
anvendes en bestemt
korrigeringsmetode. Det
forudsættes, at sådanne særlige
regler går forud for
bestemmelsen i lovens § 37, stk.
1, og der er således ikke pligt
til at foretage berigtigelse,
sletning eller blokering efter
denne bestemmelse i de tilfælde,
hvor andet - udfra særlige
hensyn - er fastsat i
lovgivningen i øvrigt.
Korrigeringsmetoden blokering
er ny i forhold til den
tidligere gældende
registerlovgivning. Blokering af
oplysninger indebærer, at det
fortsat er tilladt at opbevare
de indsamlede oplysningerne,
hvorimod det ikke er tilladt at
bruge oplysningerne, herunder
navnlig videregive dem til
tredjemand. En blokering kan dog
være begrænset til kun at gælde
i forhold til en bestemt,
afgrænset brug af oplysningerne.
Oplysninger, som er blokeret,
skal være forsynet med en sådan
markering, at en bruger
informeres om blokeringen.
En blokering
er dog ikke til hinder for, at
dataansvarlige foretager den
behandling af oplysningerne, som
er nødvendig for at opfylde en
oplysningspligt. F.eks. vil den
omstændighed, at oplysninger er
blokeret, ikke være til hinder
for, at en forvaltningsmyndighed
i medfør af reglerne i
offentlighedsloven meddeler
tredjemand aktindsigt i de
blokerede oplysninger. I givet
fald forudsættes det, at
tredjemand informeres om, at der
er tale om oplysninger, som er
blokeret, og om hvorfor dette er
sket.
4.3.2.
Underretning af tredjemand,
hvortil oplysninger, der senere
er blevet korrigeret, er blevet
videregivet
Af lovens §
37, stk. 2, følger, at den
registrerede kan kræve, at den
dataansvarlige underretter den
tredjemand, hvortil
oplysningerne måtte være
videregivet, om, at de
videregivne oplysninger er
berigtiget, slettet eller
blokeret i henhold til
bestemmelsen i lovens § 37, stk.
1. Om denne del af bestemmelsen
henvises til pkt. 4.3.1.
ovenfor.
En anmodning
om underretning af tredjemand
skal komme fra den registrerede
selv eller dennes fuldmægtig.
Anmodningen, der kan fremsættes
formløst, skal angå oplysninger
om den registrerede selv. Den
dataansvarlige er ikke - efter
persondataloven - forpligtet til
efter anmodning at foretage
underretning af tredjemand, hvis
der er tale om oplysninger om
andre personer. For så vidt
angår offentlige myndigheder kan
en sådan pligt følge af begrebet
»god forvaltningsskik«. Hvis
anmodning fremsættes, påhviler
det den dataansvarlige eller
dennes repræsentant snarest
muligt at tage stilling til, om
begæringen kan imødekommes og i
givet fald at underrette de
tredjemænd, hvortil oplysninger
om den registrerede er
videregivet.
Der gælder
ikke formkrav til den
dataansvarliges underretning.
Derimod stilles der krav om, at
det i underretningen angives,
hvilken korrigeringsmetode den
dataansvarlige har anvendt for
at imødekomme en berettiget
anmodning fra den registrerede.
Heri ligger endvidere, at der
skal gives tredjemand
underretning om anledningen til,
at berigtigelse, sletning eller
blokering har fundet sted. I de
tilfælde, hvor der er sket en
berigtigelse af f.eks. urigtige
eller vildledende oplysninger,
vil det oftest være nødvendigt,
at underretningen omfatter såvel
de tidligere afgivne, fejlagtige
oplysninger som de nye, rigtige
oplysninger. Hvis der
eksempelvis er tale om, at
videregivne oplysninger er
fejlagtige med hensyn til den
oplysning, som modtageren
anvender som søgenøgle, f.eks.
navn eller personnummer, vil det
være nødvendigt, at også den
oprindelige - fejlagtige -
oplysning angives, hvorved
modtageren af underretningen i
praksis kan foretage
berigtigelse m.v. af
oplysningerne.
Pligten til
underretning af de tredjemænd,
hvortil korrigerede oplysninger
er videregivet, gælder ikke,
hvis underretningen viser sig
umulig eller er uforholdsmæssigt
vanskelig. I hvilket omfang,
dette vil være tilfældet, vil
bero på en afvejning af på den
ene side betydningen af
underretningen for den
registrerede, og på den anden
side den arbejdsindsats hos den
dataansvarlige, som vil være
forbundet med en sådan
underretning. Der skal foretages
en afvejning i hvert enkelt
tilfælde af alle de momenter,
som kan tillægges vægt i
vurderingen af de nævnte
modsatrettede hensyn. Under
hensyntagen til at den
registrerede selv skal anmode
om, at der gives underretning
til de tredjemænd, som har
modtaget urigtige eller
vildledende oplysninger om
vedkommende, vil det i
almindelighed skulle lægges til
grund, at det er af stor
betydning for den registrerede,
at sådan underretning gives. Da
det endvidere oftest ikke vil
være forbundet med store
arbejdsmæssige eller
ressourcemæssige belastninger
for den dataansvarlige at
foretage underretning, vil
underretning derfor som
hovedregel skulle gives. Der
skal med andre ord anføres
tungtvejende argumenter for, at
den dataansvarlige kan undlade
at give underretning. Om
betydningen af udtrykket »umulig
eller er uforholdsmæssigt
vanskelig« henvises i øvrigt til
det, som
er anført oven for under pkt.
2.3.3.
4.4. Ret
til at tilbagekalde et samtykke
Ifølge lovens
§ 38 kan den registrerede
tilbagekalde et samtykke.
Tilbagekaldelse kan ske på et
hvilket som helst tidspunkt, dog
ikke med »tilbagevirkende«
kraft. Virkningen af, at den
registrerede tilbagekalder sit
samtykke, vil ifølge
bemærkningerne til bestemmelsen
være, at den behandling af
oplysninger, som den
registrerede har meddelt sit
samtykke til, »normalt ikke må
finde sted fremover«.
Det fremgår
ikke af forarbejderne til loven,
i hvilke situationer denne
hovedregel kan fraviges. Hvis
der imidlertid i en anden af
behandlingsreglerne i lovens §§
6-8 er hjemmel til, at
behandlingen kan fortsætte, må
det antages, at kravet om, at
behandlingen skal indstilles,
ikke gælder. Dette må i hvert
fald gælde i de situationer,
hvor behandlingen oprindeligt
kunne være iværksat på grundlag
af en anden behandlingsregel end
den registreredes samtykke, dvs.
i situationer, hvor indhentelsen
af den registreredes samtykke
for så vidt var unødvendigt.
I de tilfælde
hvor tilbagekaldelse af et
samtykke medfører, at
behandlingen ikke må finde sted
fremover, må det afgøres ud fra
en konkret vurdering i hvert
enkelt tilfælde, om
oplysningerne i så fald skal
slettes eller blokeres, jf.
lovens § 37. Spørgsmålet kan
påklages til Datatilsynet.
4.5. Ret
til at gøre indsigelse mod
edb-behandlede individuelle
afgørelser
I lovens §
39, stk. 1, fastsættes det, at
hvis en registreret person
fremsætter indsigelse herimod,
kan den dataansvarlige ikke
foranstalte, at den registrerede
undergives afgørelser, der har
retsvirkninger for eller i
øvrigt berører den pågældende i
væsentlig grad. Det gælder dog
kun, hvis afgørelsen alene
er truffet på grundlag af
elektronisk databehandling af
oplysninger, der er bestemt til
at vurdere bestemte personlige
forhold.
Bestemmelsen
omfatter alene visse
edb-behandlede individuelle
afgørelser. Der skal for det
første være tale om
afgørelser, der kan gøres
gældende over for den
registrerede, og som har
konsekvenser for den pågældende.
Den omstændighed, at der f.eks.
udsendes materiale af oplysende
karakter til en række personer,
der står opført på en edb-liste,
vil ikke udgøre en afgørelse i
bestemmelsens forstand.
Der skal
endvidere være tale om
afgørelser, der alene er
truffet på grundlag af en
edb-behandling. Bestemmelsen
omhandler dermed kun den
situation, at der uden videre
gøres brug af resultater, som et
edb-system leverer. Edb må
således efter bestemmelsen være
en hjælp ved
beslutningstagningen, hvorimod
edb-behandling af oplysningerne
ikke må udgøre det eneste
grundlag for en beslutning, hvor
den menneskelige vurdering bør
spille ind. Som eksempel herpå
kan anføres, at en arbejdsgiver
ikke må afvise en jobansøger på
grundlag af resultatet af en
psykologisk prøve, der alene
behandles på edb, eller på
baggrund af lister, som er
udarbejdet under anvendelse af
vurderingsprogrammel, og som på
grundlag af en personlighedstest
af jobansøgere indeholder en
bedømmelse af de pågældende,
herunder en opstilling af dem i
rangorden.
Endelig skal
der være tale om edb-behandling
af oplysninger, der er
bestemt til at vurdere bestemte
personlige forhold. Dette
kan f.eks. være oplysninger om
en persons erhvervsevne,
kreditværdighed, pålidelighed,
adfærd m.v. Omfattet af
bestemmelsen er behandlinger,
hvorved der gøres brug af
variabler, der fastsætter en
typisk personlighedsprofil. Som
et muligt eksempel herpå kan
nævnes individuelle afgørelser
om afslag på en låneansøgning,
der alene bygger på en
edb-behandlet kreditvurdering.
På samme måde må det antages, at
en edb-baseret kreditrating af
den registrerede
(kreditscoringssystem) vil kunne
anfægtes i medfør af
bestemmelsen. Den omstændighed,
at en person f.eks. ikke kan
hæve et ønsket beløb i en
pengeautomat, fordi der ikke er
dækning for beløbet, falder
derimod uden for bestemmelsen.
Tilsvarende gælder for så vidt
angår told- og
skattemyndighedernes
edb-automatiserede
ligningsarbejde.
Den nævnte
indsigelsesret efter stk. 1
gælder ikke ubetinget. Efter
lovens § 39, stk. 2, gælder
indsigelsesretten ikke, hvor
afgørelsen træffes som led i
indgåelsen eller opfyldelsen af
en aftale eller kontrakt,
såfremt den registreredes
anmodning om indgåelse eller
opfyldelse af kontrakten er
blevet efterkommet, eller der
findes passende foranstaltninger
til at beskytte den
registreredes berettigede
interesser, jf. nr. 1. Sådanne
passende foranstaltninger vil
bl.a. kunne følge af en lov, en
anmeldelsesprocedure eller af
interne foranstaltninger truffet
af den dataansvarlige. Derudover
gælder indsigelsesretten ikke,
hvor afgørelsen er hjemlet i en
lov, der indeholder bestemmelser
til beskyttelse af den
registreredes berettigede
interesser, jf. nr. 2.
Endelig
følger det af bestemmelsen i
lovens § 39, stk. 3, at den
registrerede har ret til hos den
dataansvarlige snarest muligt og
uden ugrundet ophold at få at
vide, hvilke beslutningsregler
der ligger bag en edb-baseret
afgørelse, som er truffet over
for den pågældende efter
bestemmelsen i stk. 1. Denne ret
til information indebærer, at
den dataansvarlige skal oplyse
den registrerede om, hvorledes
det edb-system, som har været
anvendt til behandlingen af
oplysningerne, er nået frem til
afgørelsen. Den registreredes
ret efter bestemmelsen fører dog
ikke til, at den dataansvarlige
er forpligtet til at udlevere
oplysninger, som må anses for at
være forretningshemmeligheder,
eller som er beskyttet efter den
immaterielle lovgivning,
herunder ophavsretsloven, jf.
henvisningen i bestemmelsen til
lovens § 30.
4.6. Ret
til at klage til Datatilsynet
Ifølge lovens
§ 40 kan den registrerede klage
til Datatilsynet over behandling
af personoplysninger vedrørende
den pågældende.
Bestemmelsen
har alene informativ karakter.
Hvilke regler der gælder for
Datatilsynets virksomhed, skal
afgøres efter bestemmelserne i
lovens kapitel 16, jf. neden for
under pkt. 5.
5.
Datatilsynets kompetence
Af lovens §
58, stk. 1, fremgår, at
Datatilsynet af egen drift eller
efter klage fra en registreret
påser, at behandlingen finder
sted i overensstemmelse med
loven og regler udstedt i medfør
af loven.
Bestemmelsen
indebærer, for så vidt angår den
private sektor, at Datatilsynet
træffer bindende afgørelser om,
hvorvidt virksomheder m.v. har
givet en registreret person de
rettigheder, som tilkommer den
pågældende efter reglerne i
lovens §§ 28-39, jf. herved også
lovens § 59.
Også for så
vidt angår behandling af
personoplysninger, der foretages
for den offentlige forvaltning,
er lovens ordning den, at
Datatilsynet træffer bindende
afgørelse om overholdelse af
reglerne om den registreredes
rettigheder, jf. lovens § 60,
stk. 1. Dette gælder dog ikke
afgørelser i relation til § 38
om tilbagekaldelse af samtykke,
hvor Datatilsynet alene afgiver
en (vejledende) udtalelse, jf. §
60, stk. 2.
Det er den
dataansvarlige myndighed,
virksomhed m.v., der i første
række skal tage stilling til, om
anmodninger, indsigelser m.v.
fra den registrerede efter
reglerne i lovens §§ 28-39 kan
imødekommes. Dette udelukker for
så vidt angår den offentlige
forvaltning ikke sædvanlig
forvaltningsmæssig delegation.
Afgørelser
truffet af den dataansvarlige
vedrørende den registreredes
rettigheder kan indbringes for
Datatilsynet til endelig
administrativ afgørelse, jf.
lovens § 61, hvorefter
Datatilsynets afgørelser efter
loven ikke kan indbringes for
anden administrativ myndighed.
Derimod vil afgørelserne -
ligesom tilsynets øvrige
virksomhed - kunne efterprøves
af domstolene, jf. grundlovens §
63, hvorefter domstolene er
berettiget til at påkende
ethvert spørgsmål om
øvrighedsmyndighedens grænser.
Herudover vil
Datatilsynets afgørelser kunne
indbringes for Folketingets
Ombudsmand, jf. lov om
Folketingets Ombudsmand § 7,
stk. 1.
Datatilsynet, den 10. juli
2000
Hugo
Wendler Pedersen
/Henrik
Waaben
Bilag 1
Uddrag af
lov nr. 429 af 31. maj 2000
om behandling af
personoplysninger
Afsnit
III
Registreredes rettigheder
Kapitel 8
Oplysningspligt over for den
registrerede
§ 28.
Ved
indsamling af oplysninger
hos den registrerede skal
den dataansvarlige eller
dennes repræsentant give den
registrerede meddelelse om
følgende:
1)
Den dataansvarliges og
dennes repræsentants
identitet.
2)
Formålene med den
behandling, hvortil
oplysningerne er
bestemt.
3)
Alle yderligere
oplysninger, der under
hensyn til de særlige
omstændigheder,
hvorunder oplysningerne
er indsamlet, er
nødvendige for, at den
registrerede kan
varetage sine
interesser, som f.eks.:
a) Kategorierne af
modtagere.
b) Om det er
obligatorisk eller
frivilligt at
besvare stillede
spørgsmål samt
mulige følger af
ikke at svare.
c) Om reglerne om
indsigt i og om
berigtigelse af de
oplysninger, der
vedrører den
registrerede.
Stk.
2. Bestemmelsen i stk. 1
gælder ikke, hvis den
registrerede allerede er
bekendt med de i nr. 1-3
nævnte oplysninger.
§ 29.
Hvor
oplysninger ikke er
indsamlet hos den
registrerede, påhviler det
den dataansvarlige eller
dennes repræsentant ved
registreringen, eller hvor
de indsamlede oplysninger er
bestemt til videregivelse
til tredjemand, senest når
videregivelsen af
oplysningerne finder sted,
at give den registrerede
meddelelse om følgende:
1)
Den dataansvarliges og
dennes repræsentants
identitet.
2)
Formålene med den
behandling, hvortil
oplysningerne er
bestemt.
3)
Alle yderligere
oplysninger, der under
hensyn til de særlige
omstændigheder,
hvorunder oplysningerne
er indsamlet, er
nødvendige for, at den
registrerede kan
varetage sine
interesser, som f.eks.:
a) Hvilken type
oplysninger det
drejer sig om.
b) Kategorierne af
modtagere.
c) Om reglerne om
indsigt i og om
berigtigelse af de
oplysninger, der
vedrører den
registrerede.
Stk.
2. Bestemmelsen i stk. 1
gælder ikke, hvis den
registrerede allerede er
bekendt med de i nr. 1-3
nævnte oplysninger, eller
hvis registreringen eller
videregivelsen udtrykkeligt
er fastsat ved lov eller
bestemmelser fastsat i
henhold til lov.
Stk.
3. Bestemmelsen i stk. 1
gælder heller ikke, hvis
underretning af den
registrerede viser sig
umulig eller er
uforholdsmæssigt vanskelig.
§ 30.
Bestemmelserne i § 28, stk.
1, og § 29, stk. 1, gælder
ikke, hvis den registreredes
interesse i at få kendskab
til oplysningerne findes at
burde vige for afgørende
hensyn til private
interesser, herunder
hensynet til den pågældende
selv.
Stk.
2. Undtagelse fra
bestemmelserne i § 28, stk.
1, og § 29, stk. 1, kan
tillige gøres, hvis den
registreredes interesse i at
få kendskab til
oplysningerne findes at
burde vige for afgørende
hensyn til offentlige
interesser, herunder navnlig
til
1)
statens sikkerhed,
2)
forsvaret,
3)
den offentlige
sikkerhed,
4)
forebyggelse,
efterforskning,
afsløring og
retsforfølgning i
straffesager eller i
forbindelse med brud på
etiske regler for
lovregulerede erhverv,
5)
væsentlige økonomiske
eller finansielle
interesser hos en
medlemsstat eller Den
Europæiske Union,
herunder valuta-,
budget- og
skatteanliggender, og
6)
kontrol-, tilsyns- eller
reguleringsopgaver,
herunder opgaver af
midlertidig karakter,
der er et led i den
offentlige
myndighedsudøvelse på de
i nr. 3-5 nævnte
områder.
Kapitel 9
Den
registreredes indsigtsret
§ 31.
Fremsætter en person
begæring herom, skal den
dataansvarlige give den
pågældende meddelelse om,
hvorvidt der behandles
oplysninger om vedkommende.
Behandles sådanne
oplysninger, skal der på en
let forståelig måde gives
den registrerede meddelelse
om,
1)
hvilke oplysninger der
behandles,
2)
behandlingens formål,
3)
kategorierne af
modtagere af
oplysningerne og
4)
tilgængelig information
om, hvorfra disse
oplysninger stammer.
Stk.
2. Den dataansvarlige
skal snarest besvare
begæringer som nævnt i stk.
1. Er begæringen ikke
besvaret inden 4 uger efter
modtagelsen, skal den
dataansvarlige underrette
den pågældende om grunden
hertil, samt om, hvornår
afgørelsen kan forventes at
foreligge.
§ 32.
Bestemmelserne i § 30 finder
tilsvarende anvendelse.
Stk.
2. Oplysninger, der
behandles for den offentlige
forvaltning som led i
administrativ
sagsbehandling, kan undtages
fra indsigtsretten i samme
omfang som efter reglerne i
offentlighedslovens § 2 samt
§§ 7-11 og 14.
Stk.
3. Der er ikke ret til
indsigt i oplysninger, der
behandles for domstolene,
hvis oplysningerne indgår i
tekst, som ikke foreligger i
endelig form. Dette gælder
dog ikke, hvis oplysningerne
er videregivet til en
tredjemand. Der er ikke ret
til indsigt i
voteringsprotokoller og
andre referater af
domstolenes rådslagning samt
materiale udarbejdet af
domstolene til brug for
rådslagningen.
Stk.
4. Bestemmelsen i § 31,
stk. 1, finder ikke
anvendelse, hvis
oplysningerne udelukkende
behandles i videnskabeligt
øjemed, eller hvor
oplysningerne kun opbevares
i form af personoplysninger
i det tidsrum, som kræves
for at udarbejde
statistikker.
Stk.
5. For behandling af
oplysninger på det
strafferetlige område, der
foretages for den offentlige
forvaltning, kan
justitsministeren fastsætte
undtagelser fra retten til
at få oplysninger efter §
31, stk. 1, for så vidt
bestemmelsen i § 32, stk. 1,
jf. herved § 30, må antages
at medføre, at begæringer om
ret til indsigt i
almindelighed må afslås.
§ 33.
En
registreret person, der har
fået meddelelse efter § 31,
stk. 1, har ikke krav på ny
meddelelse før 6 måneder
efter sidste meddelelse,
medmindre der godtgøres en
særlig interesse heri.
§ 34.
Meddelelser i henhold til §
31, stk. 1, skal på begæring
gives skriftligt. I
tilfælde, hvor hensynet til
den registrerede taler
derfor, kan meddelelse dog
gives i form af en mundtlig
underretning om indholdet af
oplysningerne.
Stk.
2. Justitsministeren kan
fastsætte regler om betaling
for meddelelser, som gives
skriftligt af private
virksomheder m.v.
Kapitel
10
Øvrige
rettigheder
§ 35.
Den
registrerede kan til enhver
tid over for den
dataansvarlige gøre
indsigelse mod, at
oplysninger om vedkommende
gøres til genstand for
behandling.
Stk.
2. Hvis indsigelsen
efter stk. 1 er berettiget,
må behandlingen ikke længere
omfatte de pågældende
oplysninger.
§ 36.
Fremsætter en forbruger
indsigelse herimod, må en
virksomhed ikke videregive
oplysninger om den
pågældende til en anden
virksomhed med henblik på
markedsføring eller anvende
oplysningerne på vegne af en
anden virksomhed i dette
øjemed.
Stk.
2.
Inden
virksomheden videregiver
oplysninger om en forbruger
til en anden virksomhed med
henblik på markedsføring
eller anvender oplysningerne
på vegne af en anden
virksomhed i dette øjemed,
skal den undersøge i CPR, om
forbrugeren har frabedt sig
henvendelser i
markedsføringsøjemed. Inden
oplysninger om en forbruger,
der ikke i CPR har frabedt
sig sådanne henvendelser,
videregives eller anvendes
som nævnt i 1. pkt., skal
virksomheden tydeligt og på
en forståelig måde oplyse om
retten til at gøre
indsigelse efter stk. 1.
Forbrugeren skal samtidig
gives adgang til på en nem
måde inden for to uger at
gøre sådan indsigelse.
Oplysningerne må ikke
videregives, inden fristen
til at gøre indsigelse er
udløbet.
Stk.
3.
Henvendelse til forbrugeren
efter stk. 2 skal i øvrigt
ske i overensstemmelse med
reglerne i
markedsføringslovens § 6 a
og regler udstedt i medfør
af markedsføringslovens § 6
a, stk. 6.
Stk.
4.
Virksomheden kan ikke kræve
betaling for behandlingen af
en indsigelse.
§ 37.
Den
dataansvarlige skal
berigtige, slette eller
blokere oplysninger, der
viser sig urigtige eller
vildledende eller på
lignende måde er behandlet i
strid med lov eller
bestemmelser udstedt i
medfør af lov, hvis en
registreret person
fremsætter anmodning herom.
Stk.
2. Den dataansvarlige
skal underrette den
tredjemand, hvortil
oplysningerne er
videregivet, om, at de
videregivne oplysninger er
berigtiget, slettet eller
blokeret i henhold til stk.
1, hvis en registreret
person fremsætter anmodning
herom. Dette gælder dog
ikke, hvis underretningen
viser sig umulig eller er
uforholdsmæssigt vanskelig.
§ 38.
Den
registrerede kan
tilbagekalde et samtykke.
§ 39.
Fremsætter en registreret
person indsigelse herimod,
kan den dataansvarlige ikke
foranstalte, at den
registrerede undergives
afgørelser, der har
retsvirkninger for eller i
øvrigt berører den
pågældende i væsentlig grad,
og som alene er truffet på
grundlag af elektronisk
databehandling af
oplysninger, der er bestemt
til at vurdere bestemte
personlige forhold.
Stk.
2. Bestemmelsen i stk. 1
gælder ikke, hvis
1)
den pågældende afgørelse
træffes som led i
indgåelsen eller
opfyldelsen af en
aftale, såfremt den
registreredes anmodning
om indgåelse eller
opfyldelse af aftalen er
blevet efterkommet eller
der findes passende
foranstaltninger til at
beskytte den
registreredes
berettigede interesser
eller
2)
den pågældende afgørelse
er hjemlet i en lov, der
indeholder bestemmelser
til beskyttelse af den
registreredes
berettigede interesser.
Stk.
3. Den registrerede har
ret til hos den
dataansvarlige snarest
muligt og uden ugrundet
ophold at få at vide, hvilke
beslutningsregler der ligger
bag en afgørelse som nævnt i
stk. 1. § 30 finder
tilsvarende anvendelse.
§ 40.
Den
registrerede kan klage til
vedkommende tilsynsmyndighed
over behandling af
oplysninger vedrørende den
pågældende.
Bilag 2
Bekendtgørelse om betaling
for private dataansvarliges
skriftlige meddelelser om
indsigt
I
medfør af § 34, stk. 2, og §
70, stk. 4 og 5, i lov nr.
429 af 31. maj 2000 om
behandling af
personoplysninger
fastsættes:
§ 1.
Har en
registreret person forlangt,
at en privat dataansvarlig
giver skriftlig meddelelse
som nævnt i § 31, stk. 1, i
lov om behandling af
personoplysninger, kan den
private dataansvarlige som
betaling herfor kræve 10 kr.
for hver påbegyndt side.
Betalingen kan dog ikke
overstige 200 kr.
Stk.
2. Har en person
forlangt, at en privat
dataansvarlig giver
skriftlig meddelelse om, at
der ikke behandles
oplysninger om den
pågældende person, kan den
private dataansvarlige som
betaling herfor kræve 10 kr.
Stk.
3. De i stk. 1-2 nævnte
beløb omfatter
merværdiafgift,
forsendelsesomkostninger og
lignende.
§ 2.
Har
den registrerede person ikke
forlangt, at meddelelsen
eller besvarelsen af en
henvendelse skal være
skriftlig, kan den private
dataansvarlige ikke kræve
betaling herfor.
§ 3.
Den,
der fremsætter krav om
betaling i strid med
bestemmelserne i §§ 1-2,
straffes med bøde.
Stk.
2. Der kan pålægges
selskaber m.v. (juridiske
personer) strafansvar efter
reglerne i straffelovens 5.
kapitel.
§ 4.
Bekendtgørelsen træder i
kraft den 1. juli 2000.
Indholdsfortegnelse
1. Indledning |
|
1.1. Lovgrundlaget |
|
1.2. Lovens
anvendelsesområde,
definitioner |
|
1.3.
Legitimationskrav |
|
1.4. Adgangen til at
lade sig
repræsentere af
andre |
|
1.5.
Hovedpersoner/bipersoner |
|
|
2. Den
dataansvarliges
oplysningspligt over
for den registrerede |
|
2.1. Oplysningspligt
ved indsamling af
oplysninger hos den
registrerede |
|
|
2.1.1. På hvilket
tidspunkt skal
oplysningspligten
opfyldes? |
|
|
2.1.2. Formkrav |
|
|
2.1.3. Hvilke
oplysninger skal
meddeles? |
|
2.2. Oplysningspligt
ved indsamling af
oplysninger hos
andre end den
registrerede |
|
|
2.2.1. På hvilket
tidspunkt skal
oplysningspligten
opfyldes? |
|
|
2.2.2. Formkrav |
|
|
2.2.3. Hvilke
oplysninger skal
meddeles? |
|
2.3. Undtagelser fra
oplysningspligten |
|
|
2.3.1. Den
registrerede er
allerede bekendt med
oplysningerne |
|
|
|
2.3.1.1. Indsamling
hos den registrerede
selv |
|
|
|
2.3.1.2. Indsamling
hos andre end den
registrerede |
|
|
2.3.2.
Registreringen eller
videregivelsen
følger af lov |
|
|
2.3.3. Underretning
viser sig umulig
eller
uforholdsmæssig
vanskelig |
|
|
2.3.4. Yderligere
undtagelser fra
oplysningspligten |
|
|
|
3. Den registreredes
indsigtsret |
|
3.1. Særlige krav
til
indsigtsbegæringen |
|
|
3.1.1. Krav om
identifikation af de
behandlinger, som
begæringen retter
sig imod? |
|
|
3.1.2. Særligt om
kommunale forhold |
|
|
3.1.3. Formkrav |
|
|
3.1.4. Indsigt i
oplysninger om børn
og unge under 18 år |
|
3.2. Indsigtsretten
efter lovens § 31,
stk. 1 |
|
|
3.2.1. Hvilke
oplysninger skal
meddeles? |
|
|
3.2.2. Kun
oplysninger om den
pågældende selv
(hovedperson/bipersonspørgsmålet) |
|
3.3. Hvor hurtigt
skal begæringer om
indsigt besvares? |
|
3.4. Meddelelsens
form |
|
3.5. Betaling for
skriftlige
meddelelser om
indsigt |
|
3.6. Begrænsninger i
indsigtsretten |
|
|
3.6.1. Afgørende
hensyn til
offentlige eller
private interesser |
|
|
3.6.2. Særligt om
den offentlige
forvaltning |
|
|
3.6.3. Behandlinger
til brug for
videnskabelige
undersøgelser eller
statistik |
|
|
3.6.4. Generel
undtagelsesmulighed |
|
|
3.6.5. Tidsmæssig
begrænsning |
|
|
|
4. Den registreredes
øvrige rettigheder |
|
4.1. Indsigelsesret
over for
behandlinger |
|
4.2. Ret til
indsigelse mod
videregivelse af
oplysninger med
henblik på
markedsføring |
|
|
4.2.1. Hvornår kan
personoplysninger
videregives med
henblik på
markedsføring? |
|
|
4.2.2.
Indsigelsesretten |
|
4.3. Berigtigelse,
sletning eller
blokering af
urigtige oplysninger |
|
|
4.3.1. Ret til
berigtigelse,
sletning eller
blokering af
oplysninger, der
viser sig urigtige
m.v. |
|
|
4.3.2. Underretning
af tredjemand,
hvortil oplysninger,
der senere er blevet
korrigeret, er
blevet videregivet |
|
4.4. Ret til at
tilbagekalde et
samtykke |
|
4.5. Ret til at gøre
indsigelse mod
edb-behandlede
individuelle
afgørelser |
|
4.6. Ret til at
klage til
Datatilsynet |
|
|
5. Datatilsynets
kompetence |
|
Bilag 1: |
Afsnit III (kap.
8-10) i lov om
behandling af
personoplysninger |
Bilag 2: |
Bekendtgørelse nr.
533 af 15. juni 2000
om betaling for
private
dataansvarliges
skriftlige
meddelelser om
indsigt |