Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder
efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger

 

1. Indledning

 

1.1. Lovgrundlaget

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (i det følgende: »persondataloven«) indeholder en række regler, som giver den enkelte borger (»den registrerede«) forskellige rettigheder over for myndigheder, virksomheder, foreninger m.v. (»den dataansvarlige«), som behandler oplysninger om den pågældende. Reglerne har til formål at styrke den enkelte borgers retsstilling, bl.a. ved at skabe åbenhed omkring behandlingen af oplysninger og ved at give registrerede personer adgang til at gøre indsigelse over for nærmere bestemte former for behandling af oplysninger.

Denne vejledning er først og fremmest en vejledning til de dataansvarlige om borgernes rettigheder efter den nye lov, og om hvordan reglerne skal håndteres. Vejledningen indeholder også svar på en række spørgsmål, som borgere, myndigheder, virksomheder, foreninger m.v. kan have brug for i forbindelse med den praktiske gennemførelse af reglerne. I den forbindelse skal det dog nævnes, at vejledningen ikke retter sig mod domstolenes behandling af oplysninger, idet Datatilsynet ikke fører tilsyn med domstolene, jf. lovens kapitel 17.

Reglerne om den registreredes rettigheder er indeholdt i lovens afsnit III (kapitel 8-10).

Her er der fastsat bestemmelser om den dataansvarliges oplysningspligt over for den registrerede, om den registreredes indsigtsret og om en række øvrige rettigheder, som tilkommer den registrerede, jf. nærmere nedenfor. Enkelte af reglerne indebærer en videreførelse af de tidligere gældende regler i lov om private registre og lov om offentlige myndigheders registre, men der er i vidt omfang tale om nye regler. Det skal i den forbindelse nævnes, at reglerne skal ses på baggrund af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Den registreredes rettigheder efter loven kan - i oversigtsform - beskrives på følgende måde:

- Oplysningspligt over for den registrerede (lovens §§ 28-30).

- Den registreredes indsigtsret (lovens §§ 31-34).

- Indsigelsesret over for behandlinger (lovens § 35).

- Ret til indsigelse mod og oplysning om visse behandlinger med henblik på markedsføring (lovens § 36).

- Ret til berigtigelse, sletning eller blokering af oplysninger, der er urigtige m.v. (lovens § 37, stk. 1).

- Ret til underretning af tredjemand, som har modtaget oplysninger, der er berigtiget, m.v. (lovens § 37, stk. 2).

- Ret til at tilbagekalde et samtykke (lovens § 38).

- Ret til indsigelse mod visse automatiserede afgørelser, samt ret til oplysning om beslutningsgrundlaget (lovens § 39).

- Den registreredes ret til at klage til Datatilsynet(lovens § 40).

Lovens afsnit III om registreredes rettigheder er optrykt som bilag 1 til vejledningen.

Med ikrafttrædelsen af persondataloven den 1. juli 2000 ophævedes lov om private registre og lov om offentlige myndigheders registre, henholdsvis lovbekendtgørelse nr. 622 af 2. oktober 1987 og lovbekendtgørelse nr. 654 af 20. september 1991, begge med senere ændringer. Samtidig ophævedes de administrative retsforskrifter, der er udstedt i henhold til de nævnte love, herunder de registerforskrifter, som offentlige myndigheder har udstedt med hjemmel i lov om offentlige myndigheders registre.

Også Registertilsynets vejledning nr. 137 af 23. juli 1980 om registerindsigt (egenacces) i henhold til kapitel 4 i lov om offentlige myndigheders registre er bortfaldet.

1.2. Lovens anvendelsesområde, definitioner

Til forskel fra den tidligere gældende registerlovgivning bygger persondataloven ikke på en organisatorisk afgrænsning. Principielt er såvel enhver privat som offentlig behandling af personoplysninger omfattet af loven.

Loven gælder først og fremmest for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling (edb). Det er uden betydning, om personoplysninger indgår i et edb-register. Loven omfatter også en række andre behandlinger, herunder navnlig ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (manuelle registre), jf. lovens § 1, stk. 1.

Hvad der skal forstås ved begreberne »personoplysninger«, »behandling« og »register« er fastsat i lovens § 3, nr. 1-3.

Ifølge lovens § 3, nr. 1, skal der ved personoplysninger forstås: »Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).« Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om det forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Det er uden betydning, om identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Hvad særligt angår spørgsmålet om bipersoner henvises til pkt. 1.5. nedenfor.

Ved behandling forstås ifølge lovens § 3, nr. 2: »Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.« Begrebet behandling omfatter ikke blot - som efter den tidligere gældende registerlovgivning - registrering, opbevaring og videregivelse af oplysninger, men derimod enhver form for håndtering af oplysninger. Begrebet dækker således bl.a. over indsamling, registrering, opbevaring, brug, videregivelse, samkøring, blokering og sletning.

Ifølge lovens § 3, nr. 3, defineres begrebet register som: »Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.« Omfattet af bestemmelsens registerbegreb er manuelle registre, såsom fortegnelser, kartoteker, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de indeholdte personoplysninger. Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet.

Det skal dog i den forbindelse nævnes, at lovens anvendelsesområde for så vidt angår den private sektor ikke er begrænset til kun at gælde for manuelle registre. Ligesom efter den tidligere gældende lov om private registre gælder loven tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. lovens § 1, stk. 2. Dette indebærer bl.a., at en privat dataansvarligs behandling af personoplysninger i en struktureret samling af aktmapper (manuelle »papirsager«) falder inden for lovens område. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9 om henholdsvis den dataansvarliges oplysningspligt over for den registrerede og om den registreredes indsigtsret, jf. lovens § 1, stk. 2, 2. pkt.

Uden for lovens anvendelsesområde falder en række nærmere angivne behandlinger. Det drejer sig bl.a. om behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter, jf. lovens § 2, stk. 3, samt behandlinger der foretages for politiets og forsvarets efterretningstjenester, jf. lovens § 2, stk. 11.

Behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område, er ikke fuldt ud omfattet af lovens regulering. Sådanne behandlinger er undtaget fra reglerne i lovens kapitel 8 (om den dataansvarliges oplysningspligt over for den registrerede) og §§ 35-37 og § 39 (om den registreredes øvrige rettigheder), dog gælder reglerne i § 38 og § 40 om tilbagekaldelse af samtykke og om klageadgang til Datatilsynet. Ligeledes finder reglerne i lovens kapitel 9 (om den registreredes indsigtsret) anvendelse på behandlinger for politi og anklagemyndighed, jf. lovens § 2, stk. 4, 2. pkt.

I lovens § 3, nr. 4-9, er fastsat yderligere definitioner af en række centrale databeskyttelsesretlige begreber. Det drejer sig bl.a. om begrebet den dataansvarlige, hvorved forstås »den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysninger«, jf. lovens § 3, nr. 4. Nævnes kan endvidere begrebet databehandleren, der defineres som »den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne«, jf. lovens § 3, nr. 5.

 

1.3. Legitimationskrav

Persondataloven skal bl.a. sikre, at den enkelte borgers retsbeskyttelse og integritet ikke krænkes i forbindelse med den dataansvarliges behandling af personoplysninger. I overensstemmelse hermed er det fastsat i lovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Den dataansvarlige - og en eventuel databehandler - skal derfor sikre sig, at den, der meddeles oplysninger til, er rette person, så oplysninger om den registrerede ikke kommer til uvedkommendes kendskab. Der må kun udleveres oplysninger, når vedkommende har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der f.eks. fremsætter en indsigtsbegæring, er identisk med den person, som oplysningerne vedrører.

Der gælder ikke specifikke regler for, hvorledes dette skal sikres, men sædvanlige legitimationspapirer, såsom pas, kørekort eller ID-kort m.v., vil kunne kræves forevist. Navnlig i forbindelse med udlevering af fortrolige oplysninger, herunder særligt oplysninger om rent private forhold (f.eks. oplysninger om strafbare forhold samt oplysninger om helbredsforhold og væsentlige sociale problemer), er det vigtigt at sikre, at oplysningerne ikke udleveres til uvedkommende.

Kravet om legitimation kan fraviges, når der på anden måde er skabt sikkerhed for, at den person, som f.eks. fremsætter en begæring om indsigt, er identisk med den person, oplysningerne vedrører. Herved tænkes navnlig på den situation, at den medarbejder hos den dataansvarlige, som modtager begæringen, i forvejen kender den person, der fremsætter begæringen. Når en henvendelse er fremsat skriftligt, og hvis navn og adresse i brevet er identisk med de oplysninger, som i forvejen fremgår af sagen, vil der i almindelighed ikke være grund til at foretage særlige undersøgelser, inden oplysningerne sendes til den registrerede på den angivne adresse. Er dette derimod ikke tilfældet, bør forholdet undersøges nærmere, f.eks. ved at der rettes henvendelse til den person, der har fremsat begæringen eller til folkeregisteret, evt. via onlineadgang til Det Centrale Personregister (CPR). Særligt gælder det, at der bør udvises forsigtighed med fremsendelse af fortrolige oplysninger til en c/o-adresse, som den registrerede ikke selv har oplyst.

For så vidt angår elektroniske henvendelser, f.eks. i form af en e-post, der er forsynet med en elektronisk signatur med tilhørende kvalificeret certifikat, må disse kunne antages at kunne sidestilles med skriftlige henvendelser, såfremt den elektroniske signatur og det medfølgende kvalificerede certifikat opfylder kravene i lov nr. 417 af 31. maj 2000 om elektronisk signatur. Der vil således heller ikke her - i tilfælde hvor navn og adresse i den elektroniske henvendelse er identisk med de oplysninger, som i forvejen fremgår af sagen - i almindelighed være grund til at foretage særlige undersøgelser, inden oplysningerne sendes til den registrerede på den angivne postadresse.

Ved telefoniske henvendelser og ved elektroniske henvendelser i form af en e-post, der ikke er forsynet med elektronisk signatur med tilhørende kvalificeret certifikat, skal der ligeledes træffes de fornødne sikkerhedsforanstaltninger for, at der kun udleveres oplysninger til de rette personer. Det kan f.eks. være nødvendigt at foretage en kontrolopringning.

I en række offentlige registre vil de registrerede personer ikke være identificeret ved navn og adresse, men ved personnummer, ligesom personnummeret ofte vil være »indgangsnøgle« til registeret. I disse tilfælde kan personen opfordres til at oplyse sit personnummer tillige med navn og adresse. Såfremt vedkommende ikke ønsker at oplyse personnummeret, vil dette imidlertid ikke i sig selv være tilstrækkeligt grundlag for at meddele afslag på f.eks. en indsigtsbegæring. Hvis det af praktiske grunde er nødvendigt for myndigheden at søge det oplyst, må myndigheden i sådanne tilfælde søge personnummeret oplyst på anden måde, f.eks. via onlineadgang til Det Centrale Personregister (CPR).

Omvendt er det ikke tilstrækkelig legitimation, at en person ved personligt fremmøde eller ved telefonisk henvendelse er i stand til at oplyse en registreret persons personnummer. Her skal det på anden måde sikres, at den pågældende er identisk med den registrerede eller på andet grundlag, f.eks. en fuldmagt, har lovlig adkomst til oplysningerne. Det gælder med andre ord, at hverken offentlige myndigheder eller private virksomheder m.v. må basere sin datasikkerhed på personnummeret som en form for adgangskode (password).

Hvis den dataansvarlige har etableret adgang til at søge indsigt i behandlede oplysninger gennem et elektronisk selvbetjeningssystem, f.eks. via en hjemmeside, påhviler der den dataansvarlige en pligt til at sikre, at uvedkommende ikke kan få adgang til oplysningerne. Også her gælder det naturligvis, at adgangen til indsigt i oplysninger om den enkelte ikke må baseres på personnummeret som adgangskode (password).

 

1.4. Adgangen til at lade sig repræsentere af andre

Der er i lov om behandling af personoplysninger ikke fastsat regler om, hvem der kan repræsentere eller bistå en registreret person. Det står derfor den registrerede frit at lade sig repræsentere eller bistå af såvel sagkyndige, såsom advokater, revisorer m.v., som af andre, f.eks. en ægtefælle, en samlever eller en bekendt. Også juridiske personer, f.eks. en forening eller en interesseorganisation, kan repræsentere eller bistå en registreret person. Det vil normalt kunne kræves, at den, der repræsenterer en registreret person, er myndig. Derimod vil der som regel ikke være noget til hinder for, at mindreårige, der har den fornødne modenhed, bistår en registreret person, f.eks. med tolkning og lignende.

Hvis en repræsentant for en registreret person retter henvendelse til en dataansvarlig, påhviler det denne at sikre sig, at den pågældende er berettiget til at handle på vegne af den registrerede.

Det er den dataansvarlige, som afgør, hvorledes repræsentanten skal godtgøre, at den pågældende er berettiget til at optræde som repræsentant for den, om hvem oplysninger behandles. Er repræsentanten advokat, revisor, eller optræder den pågældende i øvrigt typisk som repræsentant inden for det pågældende område, vil der i almindelighed ikke være grund til at forlange dokumentation for et fuldmagtsforhold, medmindre det er særligt begrundet i sagens karakter eller omstændighederne i øvrigt. Der kan navnlig være grund til at forlange dokumentation for fuldmagtsforholdet i de tilfælde, hvor den dataansvarlige ikke i forvejen eller i løbet af sagsbehandlingen er kommet i kontakt med den person, om hvem der behandles personoplysninger, eller hvor det ikke på anden måde kan konstateres, om den pågældende er indforstået med fuldmagtsforholdet.

Om spørgsmålet om adgangen til at lade sig repræsentere eller bistå over for dataansvarlige forvaltningsmyndigheder henvises i øvrigt til reglerne i forvaltningslovens § 8.

 

1.5. Hovedpersoner/bipersoner

Spørgsmålet om, hvem der faktisk kan anses som »den person, der behandles oplysninger om«, navnlig set i forhold til oplysningspligten og indsigtsretten, må afgøres konkret af den dataansvarlige.

Et særligt spørgsmål er, hvordan reglerne om registreredes rettigheder skal anvendes over for såkaldte bipersoner. Herved forstås oplysninger om personer, der ikke er den egentlige genstand for behandlingen, men derimod alene optræder accessorisk i tilknytning til oplysninger om den registrerede. Det kan f.eks. dreje sig om pårørende til den registrerede eller om vidner i en civil retssag.

Oplysninger om en biperson vil ofte være registreret i tilknytning til oplysninger om en hovedperson, og mange edb-systemer er formentlig stadig indrettet således, at der kun kan fås oplysninger om bipersonen via hovedpersonens navn, adresse og lignende.

Efter den tidligere gældende registerlovgivning blev oplysninger om bipersoner i praksis kun i begrænset omfang anset for omfattet af lovgivningen. Denne praksis kan imidlertid ikke opretholdes efter persondataloven, som også beskytter oplysninger om bipersoner. Bipersoner har derfor nu som udgangspunkt samme rettigheder som andre registrerede personer.

Om betydningen af reglerne om oplysningspligt (lovens kapitel 8) i relation til behandling af oplysninger om bipersoner henvises i øvrigt nærmere til pkt. 2.3.3. nedenfor. Det tilsvarende spørgsmål i forhold til reglerne om indsigtsret (lovens kapitel 9) er omtalt under pkt. 3.2.2.

 

2. Den dataansvarliges oplysningspligt over for den registrerede

Persondataloven indeholder såvel specielle som generelle regler om dataansvarliges oplysningspligt - på de dataansvarliges eget initiativ - over for registrerede personer i forbindelse med behandling af oplysninger.

De specielle regler om oplysningspligt vedrører navnlig kreditoplysningsområdet. Af lovens § 17, stk. 1, følger således, at offentlige myndigheder har pligt til at give skriftlig meddelelse til skyldneren, inden der sker videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige. Endvidere følger det af lovens § 21, at kreditoplysningsbureauer har en ubetinget oplysningspligt over for den registrerede i forbindelse med behandling af oplysninger. Disse regler om oplysningspligt inden for kreditoplysningsområdet omtales ikke i vejledningen. Det gør derimod særreglen i lovens § 36 vedrørende dataansvarlige virksomheders oplysningspligt over for registrerede personer i forbindelse med behandling af oplysninger i markedsføringsøjemed, jf. neden for under pkt. 4.2.

De generelle regler om dataansvarliges oplysningspligt over for registrerede personer er fastsat i lovens kapitel 8 (§§ 28-30). Reglerne, der er fælles for offentlige myndigheder og private virksomheder m.v., er nye i forhold til den tidligere gældende registerlovgivning. Med reglerne gennemføres bestemmelserne i artikel 10-11 og 13 i EF-direktivet om behandling af personoplysninger.

Formålet med reglerne er dels at sikre, at den registreredes beslutning om at afgive oplysninger om sig selv træffes på et pålideligt faktuelt grundlag med hensyn til en række nærmere beskrevne forhold, dels at skabe større gennemsigtighed og overblik vedrørende personregistreringer. Der tages dog samtidig hensyn til, at de dataansvarlige ikke bør pålægges for vidtgående byrder.

Systematisk er reglerne opbygget på den måde, at spørgsmålet om den dataansvarliges oplysningspligt over for den registrerede i forbindelse med indsamling af oplysninger hos den registrerede selv er reguleret i lovens § 28, medens spørgsmålet om den dataansvarliges oplysningspligt ved indsamling af oplysninger hos andre end den registrerede selv er reguleret i lovens § 29. Herudover er der i lovens § 30 fastsat en række undtagelser, der knytter sig til den dataansvarliges oplysningspligt over for den registrerede i begge de nævnte situationer.

Bestemmelserne i lovens §§ 28-30 beskrives i det følgende under pkt. 2.1.-2.3.

Foreløbigt skal det alene bemærkes, at der efter både § 28 og § 29 i loven påhviler den dataansvarlige (eller dennes repræsentant) en pligt til af egen drift at give den registrerede meddelelse om en række forhold ved indsamling af oplysninger om den pågældende. Der er altså ikke tale om regler, der kun skal opfyldes, hvis den registrerede fremsætter begæring herom.

Det skal endvidere fremhæves, at reglerne om oplysningspligt - som også nævnt oven for under pkt. 1.2. - ikke gælder for visse manuelle behandlinger, der udføres for private dataansvarlige (lovens § 1, stk. 2), ligesom bl.a. også behandlinger, der udføres for politi og anklagemyndighed inden for det strafferetlige område, er undtaget fra reglerne (lovens § 2, stk. 4).

For så vidt angår allerede etablerede kundeforhold eller for andre personer, der inden lovens ikrafttrædelse den 1. juli 2000 er blevet indsamlet oplysninger om - enten hos den registrerede selv eller hos andre end den registrerede - gælder, at første gang den dataansvarlige efter den 1. juli 2000 indsamler oplysninger om vedkommende, vil den dataansvarlige skulle iagttage reglerne om bl.a. oplysningspligten. Det er i den forbindelse uden betydning, om oplysningerne indsamles hos den registrerede selv (lovens § 28) eller hos andre (lovens § 29).

 

2.1. Oplysningspligt ved indsamling af oplysninger hos den registrerede

2.1.1. På hvilket tidspunkt skal oplysningspligten opfyldes?

Efter lovens § 28, stk. 1, indtræder den dataansvarliges oplysningspligt over for den registrerede ved indsamlingen af oplysninger.

Begrebet indsamling, der er én blandt andre behandlingsformer, jf. lovens § 3, nr. 2, dækker ikke blot over den form for behandling, der finder sted, når den dataansvarlige ved personlig eller telefonisk henvendelse eller gennem spørgeskemaer, ansøgningsformularer og lignende aktivt indsamler oplysninger hos den registrerede. Indsamling foreligger også, når den registrerede, evt. uopfordret, henvender sig til den dataansvarlige, hvadenten dette sker ved personligt fremmøde, telefonisk, skriftligt eller på anden måde, når blot den dataansvarlige modtager oplysningerne og derefter undergiver dem en eller anden form for behandling, f.eks. registrering eller opbevaring.

Den registrerede skal som udgangspunkt have meddelelse om de i § 28 nævnte forhold samtidig med indsamlingen af oplysninger hos den registrerede.

I de tilfælde, hvor oplysninger indsamles i forbindelse med, at den registrerede f.eks. skal indlevere en ansøgning, blanket eller lignende til den dataansvarlige, kan oplysningspligten opfyldes ved, at de fornødne informationer er fortrykt på ansøgningen, blanketten m.v. Det gælder også, hvis oplysningerne indsamles elektronisk gennem en hjemmeside på Internettet.

Hvis den registrerede selv henvender sig til den dataansvarlige uden brug af en fortrykt ansøgningsformular eller lignende, f.eks. i et almindeligt brev, skal den dataansvarlige opfylde sin oplysningspligt snarest muligt, hvilket i almindelighed vil sige inden for 10 dage. I praksis må det dog forventes, at oplysningspligten ofte ikke gælder i disse situationer, jf. nærmere herom neden for under pkt. 2.3.1.

Den dataansvarlige er alene forpligtet til at give meddelelse til den registrerede én gang.

Dette gælder såvel ved enkeltstående indsamlinger som ved løbende indsamling af oplysninger hos den registrerede. Ved indsamling af oplysninger i samme sag, er en gentagelse af oplysningerne til opfyldelse af oplysningspligten således ikke nødvendig. En betingelse for at undlade at underrette den registrerede, hver gang der indsamles oplysninger, er dog, at de efterfølgende indsamlinger ikke går ud over rammerne for den meddelelse, som er givet til den registrerede i forbindelse med den første indsamling.

2.1.2. Formkrav

Der gælder ingen formkrav til meddelelsen til den registrerede. Fremgår de nævnte oplysninger af den dataansvarliges henvendelse som sådan, f.eks. en høringsskrivelse eller et ansøgningsskema, er særskilt underretning ikke nødvendig. Der er heller ikke noget krav om, at oplysningerne skal opstilles på en speciel måde, at de skal fremhæves særligt eller på anden vis skal gives særskilt i forhold til henvendelsen i øvrigt. Da det imidlertid er den dataansvarlige, som - i tilfælde af uenighed om, hvorvidt der er givet den fornødne underretning til den registrerede - skal kunne dokumentere, at oplysningspligten er opfyldt, bør underretningen gives skriftligt eller eventuelt elektronisk, jf. straks nedenfor. Meddelelsen skal være både klar og entydig.

Hvis indsamlingen af oplysninger sker elektronisk, f.eks. gennem udfyldelse af en elektronisk formular på den dataansvarliges hjemmeside, skal den dataansvarlige også kunne dokumentere, at oplysningspligten er blevet overholdt. Beviset for, at oplysningspligten er blevet overholdt, kan i sådanne tilfælde føres ved f.eks. at gemme en udskrift af den side, hvorpå oplysningerne gives.

I tilfælde, hvor offentlige myndigheder indhenter oplysningerne mundtligt, f.eks. under møder med den pågældende, i forbindelse med interview, ved rapportoptagning eller ved samtidig oprettelse af og tilførsel til en journal eller lignende, kan det godt tænkes, at myndigheden vil kunne dokumentere, at oplysningspligten er iagttaget, når det af rapporten, journalen m.v. fremgår, at oplysningerne er afgivet mundtligt til den pågældende. Den, der noterer sådanne oplysninger på sagen, har typisk ingen personlig interesse i sagens realitet og foretager notatet under det tjenstlige og strafferetlige ansvar, hvorunder alle offentligt ansatte virker, og notatet må derfor kunne tillægges betydelig bevismæssig værdi.

Det bemærkes, at en offentlig myndighed, som mundtligt modtager oplysninger vedrørende en sags faktiske omstændigheder, der er af betydning for sagens afgørelse, eller som på anden måde er bekendt med sådanne oplysninger, skal gøre notat om indholdet af oplysningerne, jf. lov om offentlighed i forvaltningen (offentlighedsloven) § 6. Pligten gælder dog ikke, hvis oplysningerne i øvrigt fremgår af sagens dokumenter, eller hvis der er tale om andet end afgørelsessager. Det følger imidlertid af begrebet »god forvaltningsskik«, at en myndighed - uanset om der er tale om en afgørelsessag eller ej - skal sørge for, at der gøres skriftlige notater om ekspeditioner af væsentlig betydning for behandlingen af en sag, hvis de ikke fremgår af sagens dokumenter i øvrigt.

 

2.1.3. Hvilke oplysninger skal meddeles?

Det, der skal gives den registrerede meddelelse om, er for det første den dataansvarliges og dennes eventuelle repræsentants identitet, jf. lovens § 28, stk. 1, nr. 1. Dette kan opfyldes ved meddelelse om navn og adresse. Hvis den dataansvarlige indhenter oplysningerne skriftligt eller via en hjemmeside, vil det typisk fremgå af selve skrivelsen eller hjemmesiden, at det er vedkommende dataansvarlige, der forestår behandlingen af de personoplysninger, der indhentes. I andre tilfælde skal oplysning om, hvem der står bag henvendelsen, gives. Det gælder f.eks. hvis der er tradition for, at oplysningerne indsamles af den enkelte ansatte hos den dataansvarlige, og indhentelsen fremstår som iværksat af den pågældende, f.eks. inden for forskning. Indsamler en dataansvarlig oplysningerne på en anden dataansvarligs vegne, vil det ikke være tilstrækkeligt at give oplysning om, hvem der repræsenterer den dataansvarlige. Indhenter politiet således oplysninger for en anden myndighed, f.eks. et statsamt som led i behandlingen af en sag om samvær eller faderskab, skal der gives oplysning om, at det er statsamtet og ikke politiet, der er den dataansvarlige.

Endvidere skal der gives meddelelse om formålene med den behandling, hvortil oplysningerne er bestemt, jf. lovens § 28, stk. 1, nr. 2. I kravet om formålsangivelse ligger, at der skal gives den registrerede tilstrækkelig information til, at den pågældende bliver klar over, hvad der er baggrunden for, at der indsamles oplysninger om den pågældende. Hvilke krav der i det enkelte tilfælde skal stilles til formålsangivelsen, vil bero på en vurdering af de konkrete omstændigheder omkring behandlingen af oplysningerne. Da hensigten med bestemmelsen - som nævnt oven for under pkt. 2 - er at skabe åbenhed omkring behandlingen af oplysninger, må det dog kræves, at den dataansvarlige - som minimum - underretter den registrerede om, hvad de indsamlede oplysninger skal bruges til eller påtænkes brugt til på indsamlingstidspunktet. Indsamlede oplysninger kan herefter i den periode, som er nødvendig hertil, behandles i disse øjemed. Oplysningerne vil endvidere i almindelighed kunne behandles (benyttes) til andre, efterfølgende saglige formål, uden at den dataansvarlige på ny skal give den registrerede meddelelse, hvis behandlingen ikke er uforenelig med det eller de formål, som oprindeligt er oplyst til den registrerede i forbindelse med opfyldelsen af oplysningspligten. Kun i særlige tilfælde vil der påhvile den dataansvarlige en pligt til efterfølgende at oplyse om (nye) behandlingsformål, som ikke er omfattet af den oprindelige meddelelse, og som aktualiseres efter tidspunktet for indsamlingen af oplysninger.

Endelig skal der gives meddelelse om alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, jf. lovens § 28, stk. 1, nr. 3. Efter bestemmelsen vil der bl.a. kunne blive tale om, at den registrerede skal have meddelelse om kategorierne af modtagere af de indsamlede oplysninger, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål, om mulige følger af ikke at svare, samt vejledning om reglerne om indsigt i og berigtigelse af de oplysninger, der vedrører den registrerede, jf. litra a-c.

Opregningen i litra a-c er ikke udtømmende. Der vil derfor efter omstændighederne kunne påhvile den dataansvarlige en pligt til at give den registrerede anden information end de oplysninger, som følger af bestemmelserne i litra a-c. Om der skal gives den registrerede anden (yderligere) information beror - ligesom med hensyn til bestemmelserne i litra a-c - på en konkret vurdering af, om dette er nødvendigt for, at den registrerede kan varetage sine interesser i det enkelte tilfælde. Der skal endvidere tages hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet. Oplysningspligten omfatter som udgangspunkt alene oplysninger, som på indsamlingstidspunktet må anses for nødvendige i bestemmelsens forstand. Efter omstændighederne kan der dog påhvile den dataansvarlige en pligt til også at oplyse om (nye) forhold, som ikke er omfattet af den oprindelige meddelelse, og som først aktualiseres efter tidspunktet for indsamlingen af oplysningerne.

Hvad særligt angår de situationer, hvor der i medfør af lovens § 28, stk. 1, nr. 3, litra a, skal oplyses om kategorierne af modtagere, gælder det selvsagt, at der ikke skal gives den registrerede fornyet meddelelse, hver gang indsamlede oplysninger om den pågældende meddeles til en ny modtager, der falder ind under de kategorier af modtagere, som oprindeligt er oplyst til den registrerede. Det bemærkes, at begrebet »modtager« defineres som: »Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtager«, jf. lovens § 3, nr. 7. Heraf følger, at hvor indsamlede oplysninger skal anvendes internt i forskellige afdelinger og lignende inden for samme myndighed (f.eks. en kommune) eller virksomhed, forening m.v., er der ikke tale om overførsel af oplysninger til en modtager, og der vil derfor ikke i sådanne tilfælde påhvile den dataansvarlige en pligt til at underrette den registrerede herom.

I de situationer, hvor der derimod er tale om, at indsamlede oplysninger meddeles til en modtager (f.eks. en anden myndighed, virksomhed m.v.), påhviler det modtageren - i det omfang denne foretager videre behandling af oplysningerne og således er at anse for ny dataansvarlig for oplysningerne - at underrette den registrerede om den foretagne indsamling af oplysninger, jf. lovens § 29 om oplysningspligt ved indsamling af oplysninger hos andre end den registrerede selv. Om meddelelse skal gives vil bl.a. afhænge af, om den registrerede allerede må antages at være bekendt med forholdet, f.eks. gennem den oprindelige meddelelse, som den registrerede fik i forbindelse med afgivelsen af oplysninger til den oprindelige dataansvarlige, jf. nærmere neden for under pkt. 2.2.-2.3.

Ofte vil det også være et naturligt led i opfyldelsen af oplysningspligten efter nr. 3, litra b, at den dataansvarlige i forbindelse med indsamlingen informerer den registrerede om, hvorvidt der er pligt til at svare på spørgsmål, herunder om evt. strafansvar for ikke at besvare en henvendelse om at få oplysningerne eller på anden måde give indberetning og om konsekvenserne af ikke at svare.

Hvad angår nr. 3, litra c, om indsigt og berigtigelse vil der i de tilfælde, hvor den registrerede retter uopfordret henvendelse til den dataansvarlige med oplysninger om sig selv, f.eks. i et almindeligt brev, i almindelighed ikke være behov for at oplyse herom. Hvis indsamlingen af oplysninger sker gennem en blanket, et ansøgningsskema eller lignende, vil den dataansvarlige dog uden større udgift kunne give oplysningerne gennem en fortrykt, generel vejledning på blanketten m.v.

2.2. Oplysningspligt ved indsamling af oplysninger hos andre end den registrerede

2.2.1. På hvilket tidspunkt skal oplysningspligten opfyldes?

Oplysningspligten over for den registrerede i forbindelse med indsamling af oplysninger om den pågældende hos andre end den registrerede selv indtræder som udgangspunkt ved registreringen af de indsamlede oplysninger. I de tilfælde, hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, indtræder oplysningspligten dog senest, når videregivelse af de indsamlede oplysninger finder sted, jf. lovens § 29, stk. 1.

Hvilken tidsfrist, der kan indlægges i begrebet »ved registreringen«, afhænger af sagens nærmere omstændigheder. Den dataansvarlige skal dog altid - vurderet i forhold til den indsats der kræves fra den dataansvarliges side for at opfylde oplysningspligten - give den registrerede meddelelse så tidligt som muligt. Hvis den dataansvarlige allerede på selve registreringstidspunktet ved, at der i løbet af ganske kort tid herefter skal rettes henvendelse til den registrerede, f.eks. fordi den dataansvarlige skal forelægge sagens dokumenter for den registrerede, eller der skal foretages andre sagsbehandlingsskridt, vil oplysningspligten som altovervejende hovedregel kunne opfyldes samtidig med denne senere henvendelse. I øvrigt vil oplysningspligten i almindelighed skulle opfyldes inden for 10 dage efter registreringen.

I de tilfælde, hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, vil den dataansvarlige kunne vente med at opfylde oplysningspligten til det tidspunkt, hvor videregivelsen finder sted. Det skal dog på tidspunktet for indsamlingen være klart, at oplysningerne skal videregives til tredjemand. Endvidere er det en betingelse, at videregivelsen skal ske inden for en forholdsvis snæver periode. Oplysningspligten indtræder i givet fald, når videregivelsen til tredjemand første gang finder sted.

Den dataansvarlige er - uafhængigt af hvornår oplysningspligten indtræder - alene forpligtet til at give meddelelse til den registrerede én gang. Dette gælder såvel ved enkeltstående indsamlinger som ved løbende indsamling af oplysninger. Ved indhentelse af yderligere oplysninger i samme sag, er en gentagelse af oplysningspligten således ikke nødvendig. En betingelse for at undlade at underrette den registrerede hver gang, der indsamles oplysninger hos andre end den registrerede, er dog, at de efterfølgende indsamlinger ikke går ud over rammerne for den meddelelse, som er givet til den registrerede i forbindelse med den første indsamling eller videregivelse. Til eksempel kan nævnes de tilfælde, hvor et pengeinstitut med henblik på at udarbejde kontooversigter for sine kunder løbende indsamler oplysninger om de betalingstransaktioner, som kunderne foretager i forretninger, andre pengeinstitutter m.v. Her vil oplysningspligten således kunne opfyldes én gang for alle ved kundeforholdets begyndelse. Hvis en offentlig myndighed løbende behandler henvendelser fra en borger, hvor der ikke er tale om det samme forhold (sagsgenstand), f.eks. ansøgninger om forskellige ydelser, skal hver henvendelse behandles særskilt i forhold til reglerne om oplysningspligt.

2.2.2. Formkrav

Der gælder ingen formkrav til meddelelsen til den registrerede. Da det imidlertid er den dataansvarlige, som - i tilfælde af uenighed om, hvorvidt der er givet den fornødne underretning til den registrerede - skal kunne dokumentere, at oplysningspligten er opfyldt, bør underretningen gives skriftligt. Meddelelsen skal være både klar og entydig. Se i øvrigt oven for under pkt. 2.1.2.

 

2.2.3. Hvilke oplysninger skal meddeles?

Hvis de indsamlede oplysninger ikke er indsamlet hos den registrerede selv, skal der gives den registrerede meddelelse om den dataansvarlige og dennes eventuelle repræsentants identitet, samt formålene med den behandling, hvortil oplysningerne er bestemt, jf. lovens § 29, stk. 1, nr. 1 og 2. For så vidt angår det nærmere indhold af disse bestemmelser henvises til det, som er anført oven for under pkt. 2.1.3.

Herudover skal der gives den registrerede alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, jf. § 29, stk. 1, nr. 3. Dette kan bl.a. være oplysninger om typen af oplysninger, som er indsamlet, om eventuelle kategorier af modtagere, samt vejledning om reglerne for indsigt i og berigtigelse af de indsamlede oplysninger, jf. litra a-c.

Opregningen i litra a-c er ikke udtømmende. Der vil derfor efter omstændighederne kunne påhvile den dataansvarlige en pligt til at give den registrerede anden information end de oplysninger, som følger af bestemmelserne i litra a-c. Om der skal gives den registrerede anden (yderligere) information beror - ligesom med hensyn til bestemmelserne i litra a-c - på en konkret vurdering af, om dette er nødvendigt for, at den registrerede kan varetage sine interesser i det enkelte tilfælde. Der skal endvidere tages hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet. Oplysningspligten omfatter som udgangspunkt alene oplysninger, som på indsamlingstidspunktet må anses for nødvendige i bestemmelsens forstand. Efter omstændighederne kan der dog påhvile den dataansvarlige en pligt til også at oplyse om (nye) forhold, som ikke er omfattet af den oprindelige meddelelse, og som først aktualiseres efter tidspunktet for indsamlingen eller videregivelsen af oplysningerne. Om det nærmere indhold af bestemmelsen i lovens § 29, stk. 1, nr. 3, henvises i øvrigt til det, som er anført oven for under pkt. 2.1.3.

I de situationer, hvor der i medfør af lovens § 29, stk. 1, nr. 3, litra a, skal gives den registrerede meddelelse om typen af oplysninger, som er indsamlet, påhviler der ikke den dataansvarlige en forpligtelse til at oplyse den registrerede om, hvilke konkrete oplysninger der er indsamlet om den pågældende, jf. herved også lovens § 29, stk. 1, nr. 3, litra c. Ønsker den registrerede at få oplyst, hvilke konkrete oplysninger, der er indsamlet om vedkommende, må den registrerede i stedet anmode om indsigt heri efter reglerne i lovens kapitel 9 (se herom neden for under pkt. 3).

Endelig skal det fremhæves, at behovet for at give den registrerede oplysninger efter nr. 3, litra c, om reglerne om indsigt i og berigtigelse af indsamlede oplysninger generelt vil være større i de situationer, hvor oplysningerne ikke er indsamlet direkte hos den registrerede selv.

 

2.3. Undtagelser fra oplysningspligten

Som anført oven for under pkt. 2.1.-2.2. påhviler der den dataansvarlige en pligt til at underrette den registrerede om en række forhold i forbindelse med indsamling af oplysninger hos såvel den registrerede selv som hos andre end den registrerede, jf. lovens § 28, stk. 1, og § 29, stk. 1.

Denne oplysningspligt gælder imidlertid ikke ubetinget. Efter lovens § 28, stk. 2, § 29, stk. 2-3, og § 30, kan der gøres undtagelse fra oplysningspligten i en række tilfælde, jf. herom neden for under pkt. 2.3.1.-2.3.4. De nævnte undtagelsesbestemmelser har navnlig deres baggrund i, at en ubetinget oplysningspligt ville være for vidtgående i forhold til den dataansvarlige, der ville blive påført betydelige omkostninger, som ikke i alle tilfælde ville stå mål med det udbytte, en registreret person har af at modtage underretning om, at der indsamles oplysninger om vedkommende.

2.3.1. Den registrerede er allerede bekendt med oplysningerne

2.3.1.1. Indsamling hos den registrerede selv

Efter lovens § 28, stk. 2, kan der i de situationer, hvor der indsamles oplysninger hos den registrerede selv, gøres undtagelse fra oplysningspligten, hvis den registrerede allerede er bekendt med de oplysninger, som er omfattet af oplysningspligten. Om dette er tilfældet, vil bero på en konkret vurdering af omstændighederne omkring indsamlingen af oplysningerne.

I de tilfælde, hvor indsamlingen af oplysninger sker ved, at den registrerede selv, eventuelt uopfordret, har rettet henvendelse til den dataansvarlige, vil det dog i almindelighed kunne lægges til grund, at den registrerede allerede er bekendt med de oplysninger, der efter lovens § 28, stk. 1, skal gives den pågældende. Den registrerede vil således som altovervejende hovedregel være bekendt med den dataansvarliges identitet, samt formålene med den behandling, hvortil oplysningerne er bestemt, jf. lovens § 28, stk. 1, nr. 1 og 2. Endvidere vil det i almindelighed ikke - under hensyn til de omstændigheder, hvorunder oplysningerne er indsamlet - være nødvendigt at give den registrerede yderligere oplysninger for, at den pågældende kan varetage sine interesser, jf. § 28, stk. 1, nr. 3.

Også i de situationer, hvor den dataansvarlige aktivt indsamler oplysninger hos den registrerede (f.eks. gennem en ansøgningsblanket), vil det i mange tilfælde kunne lægges til grund, at den registrerede allerede er bekendt med de i lovens § 28, stk. 1, nr. 1 og 2, anførte oplysninger.

I begge de nævnte situationer gælder det dog, at lovens § 28, stk. 2, bygger på den forudsætning, at den dataansvarlige skal opfylde sin oplysningspligt, hvis den dataansvarlige er i tvivl om, hvorvidt den registrerede allerede er bekendt med de i stk. 1, nr. 1-3, anførte oplysninger.

2.3.1.2. Indsamling hos andre end den registrerede

Af lovens § 29, stk. 2, 1. led, følger, at der i de tilfælde, hvor de indsamlede oplysninger ikke stammer fra den registrerede selv, kan gøres undtagelse fra oplysningspligten, hvis den registrerede allerede er bekendt med de oplysninger, som efter bestemmelsens stk. 1 er omfattet af oplysningspligten.

Om dette er tilfældet, vil bero på en konkret vurdering af omstændighederne omkring indsamlingen af oplysningerne. I modsætning til hvad der gælder efter undtagelsesbestemmelsen i lovens § 28, stk. 2, jf. oven for under pkt. 2.3.1.1., vil den dataansvarlige ofte ikke kunne lægge til grund, at den registrerede allerede er bekendt med de oplysninger, som den dataansvarlige er forpligtet til at give meddelelse om. Navnlig spørgsmålet om, hvorvidt den registrerede skal have meddelelse om de i § 29, stk. 1, nr. 3, anførte oplysninger, må forventes at være svært at vurdere i praksis. Dette skal endvidere ses i lyset af, at lovens § 29, stk. 2, 1. led, bygger på den forudsætning, at den dataansvarlige skal give den registrerede meddelelse i overensstemmelse med stk. 1, hvis den dataansvarlige er i tvivl om, hvorvidt den registrerede allerede er bekendt med de i stk. 1, nr. 1-3, nævnte oplysninger.

Det anførte betyder bl.a., at hvis en dataansvarlig, der har indsamlet oplysninger hos den registrerede og i den forbindelse har opfyldt sin oplysningspligt efter lovens § 28, efterfølgende videregiver de indsamlede oplysninger til en anden dataansvarlig, skal denne nye dataansvarlige som udgangspunkt opfylde oplysningspligten efter lovens § 29. Den nye dataansvarlige vil således alene kunne undlade at give den registrerede meddelelse i overensstemmelse med lovens § 29, stk. 1, hvis den oprindelige dataansvarlige enten allerede har givet de fornødne oplysninger til den registrerede, jf. lovens § 29, stk. 2, 1. led, eller hvis en af de øvrige undtagelsesbestemmelser er opfyldt, jf. nedenfor.

 

2.3.2. Registreringen eller videregivelsen følger af lov

Efter lovens § 29, stk. 2, 2. led, gælder oplysningspligten ikke, hvis registreringen eller videregivelsen er udtrykkeligt fastsat ved lov eller bestemmelser fastsat i henhold til lov.

Heraf følger, at oplysningspligten efter lovens § 29, stk. 1, ikke gælder, hvis det er udtrykkeligt fastsat i lovgivningen, at der skal ske registrering eller videregivelse af oplysninger. Pligten eller retten til at registrere eller videregive indsamlede oplysninger kan for det første følge af lov i formel forstand, f.eks. regler i skattekontrolloven og i lov om Det Centrale Personregister (CPR). Endvidere kan pligten eller retten til at registrere eller videregive oplysninger følge af administrative forskrifter, såsom anordninger og bekendtgørelser.

I kravet om udtrykkelighed ligger, at det ikke må give anledning til tvivl, hvorvidt det i lovgivningen er fastsat, at den dataansvarlige skal foretage registrering eller videregivelse af de indsamlede oplysninger.

 

2.3.3. Underretning viser sig umulig eller uforholdsmæssig vanskelig

Oplysningspligten efter lovens § 29, stk. 1, gælder ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig, jf. § 29, stk. 3.

Med udtrykket uforholdsmæssigt vanskelig fastsættes det, at der gælder et proportionalitetsprincip ved vurderingen af, om meddelelse, som foreskrevet i lovens § 29, stk. 1, skal gives. Der skal ske en afvejning af på den ene side betydningen af en sådan underretning for den registrerede, og på den anden side den arbejdsindsats hos den dataansvarlige, der vil være forbundet med en sådan underretning. I hvilket omfang, underretning af registrerede personer er uforholdsmæssigt vanskelig eller endog umulig, skal afgøres i den enkelte situation. Der skal i den forbindelse bl.a. lægges vægt på antallet af registrerede, som skal have meddelelse, oplysningernes alder, samt de kompensatoriske foranstaltninger, f.eks. offentlige oplysningskampagner, der eventuelt måtte blive truffet af den dataansvarlige i forbindelse med indsamlingen. Endvidere må det tillægges betydning, hvor betydelige de interesser er, af hensyn til hvilke oplysningerne behandles, og hvor indgribende det er for den enkelte, at der foretages behandling af oplysninger om vedkommende. Det vil herunder være af betydning, om behandlingen af oplysninger foretages som led i enkeltsagsbehandling, eller om behandlingen foretages i en række identiske sager. Er der tale om enkeltsagsbehandling, vil der være en formodning for, at det ikke vil være uforholdsmæssigt vanskeligt at opfylde oplysningspligten, navnlig ikke hvis opfyldelsen heraf kan ske i forbindelse med iværksættelsen af andre sagsbehandlingsskridt m.v. over for den registrerede. Er der tale om et større antal identiske sager, vil det derimod ofte kunne være uforholdsmæssigt vanskelig at opfylde oplysningspligten. Der må dog stilles krav om et meget betydeligt antal sager, førend forholdet kan begrunde, at oplysningspligten ikke skal opfyldes, og der skal under alle omstændigheder foretages en afvejning over for den registreredes interesse i, at oplysningspligten bliver efterlevet, jf. nedenfor.

Det anførte skal ses i sammenhæng med, hvor indgribende behandlingen af de indsamlede oplysninger er for den enkelte borger. Jo større betydning databehandlingen må antages at have for den enkelte, jo mere taler for, at den dataansvarlige skal opfylde sin oplysningspligt. Omvendt i de tilfælde, hvor den registreredes interesse i at modtage underretning om indsamlingen af oplysninger må anses for at være begrænset. Dette vil bl.a. kunne være tilfældet med hensyn til eventuelle bipersoner, om hvem der behandles personoplysninger.

Uanset at bipersoner som udgangspunkt har de samme rettigheder efter persondataloven, som andre registrerede personer, jf. oven for under pkt. 1.5., skal der - på baggrund af de ovennævnte momenter - for hver enkelt behandling af oplysninger om bipersoner tages stilling til, om oplysningspligten skal opfyldes over for den pågældende. En sådan vurdering vil i almindelighed falde ud til, at eventuelle indsamlede eller registrerede oplysninger om bipersoner er uden betydning for de pågældende i forbindelse med den behandling af personoplysninger, som den dataansvarlige foretager. Dette vil bl.a. være tilfældet, hvis f.eks. en dataansvarlig kommune indhenter oplysninger om en person og i samme forbindelse anmoder vedkommende om oplysninger om andre personer, f.eks. familiens læge, angivet med navn og tjenesteadresse, personens hjemmehjælper eller lignende personer. Nævnes kan endvidere det tilfælde, at pårørende optræder som bipersoner, f.eks. ved ansøgning om optagelse i daginstitution, ved ansøgning om adoptionstilskud eller ved ansøgning om offentlige ydelser eller offentlig service. For alle disse situationer gælder det, at behandlingen ikke vil have konsekvenser for vedkommende biperson, hvorfor der normalt ikke vil skulle gives underretning efter lovens § 29, stk. 1.

Indgår i sagen oplysninger om bipersoners rent private forhold, jf. lovens § 7, stk. 1, og § 8, stk. 1 og 4, kan dette efter omstændighederne tale for nogen tilbageholdenhed med at anvende undtagelsen.

Hvis der foretages en behandling af oplysninger i statistisk øjemed eller til historiske eller videnskabelige forskningsformål, vil afvejningen af på den ene side styrken af den registreredes interesse i at modtage underretning om indsamlingen, og på den anden side den arbejdsindsats, som i givet fald vil påhvile den dataansvarlige, føre til, at der kun i særdeles begrænset omfang påhviler den dataansvarlige en oplysningspligt over for de personer, som berøres af behandlingen. Det bemærkes i den forbindelse, at det vil være særdeles vanskeligt og til tider endog umuligt at opfylde en oplysningspligt i relation til de mange databehandlingssystemer, der ikke er indrettet på at udskrive personoplysninger, idet kendskab til navn og adresse på deltagerne i forskningsprojekter ikke har været nødvendig. Det skal endvidere nævnes, at der i lovens § 10 er fastsat regler om, at oplysninger, som alene behandles med henblik på at udføre statistiske eller videnskabelige undersøgelser, ikke senere må behandles i andet end statistisk eller videnskabeligt øjemed, jf. § 10, stk. 2. Den registreredes interesse i at modtage underretning om en eventuel indsamling af personoplysninger om den pågældende til brug for forskning og statistik må derfor anses for at være meget beskeden.

Også med hensyn til behandling af oplysninger i private eller offentlige retsinformationssystemer vil der kun i særdeles begrænset omfang påhvile de dataansvarlige en pligt til at oplyse den registrerede om, at der behandles oplysninger om vedkommende i systemerne. I mange situationer vil det være umuligt for den dataansvarlige at give en sådan underretning, idet det ikke foreligger oplyst, hvilke personer der berøres af de indlagte domme m.v. Hertil kommer, at oplysninger, som behandles i et retsinformationssystem, ikke senere må behandles i andet øjemed, jf. lovens § 9, stk. 2. De registrerede personer vil derfor kun i meget ringe omfang blive berørt af, at der behandles oplysninger om dem.

Endelig kan det nævnes, at hvis der er tale om en almindelig opdatering af forskellige stamoplysninger om den registrerede, f.eks. opdatering af adresseoplysninger m.v. gennem Det Centrale Personregister, vil der i almindelighed heller ikke bestå en pligt til at oplyse den registrerede herom.

 

2.3.4. Yderligere undtagelser fra oplysningspligten

I lovens § 30 er fastsat yderligere regler om, i hvilket omfang den dataansvarlige kan gøre undtagelse fra oplysningspligten. Bestemmelsen har kun betydning, hvis underretning af den registrerede ikke kan undlades efter lovens § 28, stk. 2, og § 29, stk. 2 og 3, jf. oven for under pkt. 2.3.1.-2.3.3.

Af lovens § 30, stk. 1, følger, at den dataansvarlige er fritaget fra oplysningspligten efter lovens § 28, stk. 1, og § 29, stk. 1, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Undtagelse pga. afgørende hensyn til private interesser kan efter omstændighederne gøres af hensyn til forretningshemmeligheder eller af hensyn til beskyttelse af andre personer, som indgår i behandlingen.

Anvendelse af undtagelsen af hensyn til vedkommende selv vil formentlig kun komme på tale i ganske få tilfælde. Der vil kun sjældent være grundlag for at antage, at selve underretningen om, at oplysningerne behandles af vedkommende dataansvarlig, vil være til væsentlig skade for vedkommende. Det kan dog tænkes, f.eks. inden for det psykiatriske område, hvor underretningen om relevante forhold for patienten i givet fald må formidles på andre måder.

Undtagelse kan endvidere gøres, hvis den registreredes interesse i at få kendskab til oplysningerne i lovens § 28, stk. 1, og § 29, stk. 1, findes at burde vige for afgørende hensyn til offentlige interesser, herundernavnlig hensynet til 1) statens sikkerhed, 2) forsvaret, 3) den offentlige sikkerhed, 4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, 5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og 6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5, nævnte områder, jf. lovens § 30, stk. 2.

Indskrænkning i den dataansvarliges oplysningspligt kræver efter begge de nævnte bestemmelser i lovens § 30 en konkret afvejning af de modstående interesser, som er anført. Afvejningen må foretages for hver enkelt oplysning for sig med den virkning, at der, såfremt sådanne hensyn kun gør sig gældende for en del af de i lovens § 28, stk. 1, og § 29, stk. 1, nævnte oplysninger, skal gives den registrerede meddelelse om de øvrige oplysninger. I visse tilfælde kan selve det forhold, at der er indsamlet oplysninger om den registrerede, dog være af en sådan fortrolig karakter, at der ikke påhviler den dataansvarlige en pligt til at give underretning om nogen af de i § 29, stk. 1, nævnte oplysninger, idet den registrerede i givet fald vil få kendskab til, at der er indsamlet oplysninger om den pågældende hos tredjemand.

I afvejningen efter bestemmelserne i lovens § 30 indgår som nævnt på den ene side den registreredes interesse i at få kendskab til de i lovens § 28, stk. 1, og § 29, stk. 1, nævnte oplysninger. Heroverfor står hensynet til offentlige og private interesser, herunder hensynet til den registrerede selv. De interesser, der kan beskyttes, er både den dataansvarliges og tredjemands interesser, herunder bl.a. private forretningshemmeligheder, den professionelle tavshedspligt, som læger og advokater skal iagttage, retten til at forberede sit eget forsvar i retssager samt beskyttelse af menneskerettighederne.

Med udtrykket »afgørende hensyn« er det tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at privates eller offentliges interesser vil lide skade af væsentlig betydning. Bevisbyrden herfor påhviler den dataansvarlige.

3. Den registreredes indsigtsret

Reglerne om den registreredes indsigtsret (egenacces) er fastsat i lovens kapitel 9 (§§ 31-34). Reglerne, der gælder for både offentlige myndigheder og private virksomheder m.v., er kun i begrænset omfang ændret i forhold til reglerne om registerindsigt i den tidligere gældende registerlovgivning. Ændringerne er navnlig foretaget for at sikre en korrekt gennemførelse af bestemmelserne i artikel 12, litra a, og artikel 13 i EF-direktivet om behandling af personoplysninger.

Udgangspunktet efter persondataloven er, at den registrerede har ret til indsigt i en række forhold vedrørende behandlingen af oplysninger om den pågældende, jf. lovens § 31.

Indsigtsretten er dog undergivet begrænsninger på en række punkter, jf. lovens § 32. I den forbindelse skal det endvidere nævnes, at indsigtsretten - som nævnt oven for under pkt. 1.2. - ikke gælder med hensyn til ikke-elektronisk behandling af en række personoplysninger, der foretages for private virksomheder m.v., jf. lovens § 1, stk. 2.

I lovens §§ 33-34 er der fastsat regler om den registreredes adgang til at anmode om fornyet indsigt i behandlingen af oplysninger om den pågældende samt regler om den registreredes adgang til at kræve skriftlig indsigtsmeddelelse og om den dataansvarliges mulighed for i givet fald at kræve betaling herfor.

Lovens regulering af spørgsmålet om den registreredes indsigtsret beskrives i det følgende under pkt. 3.1.-3.6.

3.1. Særlige krav til indsigtsbegæringen

Hovedreglen om indsigtsret er efter lovens § 31, stk. 1, at enhver person, som fremsætter begæring herom, har ret til at få meddelelse om en række forhold, herunder bl.a. om der behandles oplysninger om den pågældende, og i givet fald hvilke oplysninger der behandles. Efter bestemmelsen kan der ikke stilles særlige krav til en begæring om indsigt (egenacces), men der vil alligevel kunne opstå en række spørgsmål om begæringen og dens indhold. Disse spørgsmål omtales i det følgende.

3.1.1. Krav om identifikation af de behandlinger, som begæringen retter sig imod?

En begæring om indsigt skal rettes til den dataansvarlige. Dataansvarlig er: »Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger«, jf. lovens § 3, nr. 4, der også er omtalt oven for under pkt. 1.2.

Man kan rejse det spørgsmål, om den person, som fremsætter en begæring om indsigt, skal kunne give en præcis angivelse af de behandlinger, som vedkommende ønsker indsigt i. Et sådant krav kan ikke stilles, og en begæring om indsigtsret kan derfor principielt vedrøre alle de behandlinger, som måtte blive foretaget for den dataansvarlige. I sådanne tilfælde vil der imidlertid ikke være noget til hinder for, at den dataansvarlige oplyser vedkommende om, hvilke behandlinger af oplysninger der foretages, herunder om vedkommende kan være registreret i manuelle registre, med henblik på en afklaring af, hvilke nærmere behandlinger der ønskes indsigt i. Denne fremgangsmåde må i praksis også antages at være i den registreredes interesse, idet der i så fald hurtigere kan tages stilling til, om de ønskede oplysninger kan udleveres, ligesom den registreredes eventuelle betalingsforpligtelse begrænses. I den forbindelse kan det også nævnes, at en dataansvarlig myndighed, virksomhed m.v., der foretager flere behandlinger, herunder fører manuelle registre, efter anmodning skal give information om, hvilke behandlinger der foretages på den dataansvarliges vegne, jf. herved lovens § 54, stk. 2. Såfremt den dataansvarlige eller en registreret person ikke kan få det nævnte identifikationsspørgsmål løst på tilfredsstillende måde, vil løsningen eventuelt kunne findes i den offentligt tilgængelige fortegnelse over anmeldte behandlinger, som Datatilsynet skal føre i henhold til lovens § 54, stk. 1. Fortegnelsen offentliggøres via Internettet under Datatilsynets hjemmeside (www.datatilsynet.dk).

 

3.1.2. Særligt om kommunale forhold

Efter Datatilsynets opfattelse er der ikke noget til hinder for, at en registrerets begæring om indsigt i samtlige en myndigheds forvaltningsgrenes oplysninger imødekommes ved indhentelse af bidrag fra de relevante forvaltningsgrene med henblik på en samlet gennemførelse af den registreredes indsigtsret.

Den kommunale forvaltning er en enhedsforvaltning. En række nævn, kommissioner m.v., der udgør selvstændige myndigheder, sekretariatsbetjenes af den kommunale forvaltning. Dette gælder for eksempel børn og unge-udvalget, folkeoplysningsudvalget, skolebestyrelser, huslejenævn og skatteankenævn. I det omfang sekretariatsbetjeningen af et sådant nævn m.v. indebærer behandling af oplysninger sker dette på vegne af det pågældende nævn m.v., og ikke som led i den kommunale enhedsforvaltnings virksomhed.

Hvis en begæring om indsigt i oplysninger, som behandles af den kommunale enhedsforvaltning, også omfatter oplysninger, der behandles som led i sekretariatsbetjening af en anden forvaltningsmyndighed, skal afgørelse om den registreredes indsigtsret træffes af den pågældende forvaltningsmyndighed. Dette hindrer dog ikke, at den registreredes indsigtsret rent faktisk samlet gennemføres af den kommunale forvaltning.

Rækkevidden af særlige tavshedspligtsbestemmelser kan give anledning til tvivl om, hvorvidt der er begrænsninger i adgangen til samlet gennemførelse af registreredes indsigtsret, i det omfang personer, der ikke deltager i sekretariatsbetjeningen af særlige forvaltningsmyndigheder, derved får kendskab til oplysninger om den registrerede. I sådanne tilfælde kan den særlige forvaltningsmyndigheds sekretariat give de pågældende oplysninger til den kommunale enhedsforvaltning i en lukket kuvert med henblik på aflevering til den registrerede.

 

3.1.3. Formkrav

Det helt klare udgangspunkt er, at der ikke kan stilles særlige formkrav til indsigtsbegæringen. Begæringen kan fremsættes både mundtligt, skriftligt og gennem en e-post.

Med henblik på at kontrollere 6-måneders fristen efter lovens § 33, jf. neden for under pkt. 3.6.5., samt med henblik på at sikre sig dokumentation for, hvilken person der har fremsat indsigtsbegæringen, vil den dataansvarlige i tilfælde, hvor begæringen ikke fremsættes skriftligt - i et brev eller ved e-post - i almindelighed være berettiget til at forlange, at den pågældende underskriver en begæring om indsigt. Såfremt begæringen ikke fremsættes skriftligt, og den dataansvarlige benytter en særlig blanket i forbindelse med begæringer om indsigt, kan det ikke kræves, at vedkommende person selv udfylder blanketten. Derimod kan det i almindelighed kræves, at personen daterer og underskriver blanketten, hvorefter den dataansvarlige på grundlag af vedkommendes mundtlige oplysninger, f.eks. om betegnelsen for behandlingen af oplysninger, selv må udfylde resten af blanketten. Fremsættes den mundtlige begæring ikke ved personligt fremmøde, men telefonisk, vil den dataansvarlige eventuelt kunne fremsende blanketten med henblik på at opnå vedkommendes underskrift herpå. Blankettens øvrige rubrikker bør da i forvejen så vidt muligt udfyldes af den dataansvarlige på grundlag af personens telefoniske oplysninger.

Den ovenfor beskrevne ordning vedrørende mundtlige - herunder telefoniske - anmodninger om indsigt, har ikke til hensigt at udelukke, at den dataansvarlige accepterer en telefonisk begæring som tilstrækkeligt grundlag for indsigten, såfremt vedkommende dataansvarlige - eventuelt efter foretaget kontrolopringning - finder en sådan fremgangsmåde forsvarlig. Der henvises i denne forbindelse til det, som er anført oven for under pkt. 1.3. vedrørende kravene til legitimation.

 

3.1.4. Indsigt i oplysninger om børn og unge under 18 år

For så vidt angår behandling af oplysninger vedrørende børn (f.eks. ventelister til daginstitutioner) kan forældremyndighedens indehaver begære indsigt på barnets vegne. Det kan derimod ikke uden videre antages, at kun forældremyndighedens indehaver kan kræve indsigt, når der er tale om behandling af oplysninger vedrørende større børn. Dette skyldes, at der ikke i persondataloven er fastsat en bestemt aldersgrænse. Loven bygger således på et individuelt modenhedskriterium. Der kan også forekomme tilfælde, hvor kun det barn, hvis oplysninger behandles, men ikke forældrene, bør kunne begære indsigt.

Det vil ofte være ubetænkeligt at give indsigt til personer under 18 år. Det vil dog næppe være muligt at opstille generelle regler for, hvilken nederste aldersgrænse der kan accepteres, idet det må bero på en konkret bedømmelse af vedkommendes modenhed, hvorvidt der bør gives indsigt. Som regel må unge fra ca. 15 år antages selvstændigt at kunne fremsætte en indsigtsbegæring.

Det forhold, at man imødekommer indsigtsbegæringer fra registrerede personer under 18 år, bevirker imidlertid ikke uden videre, at forældremyndighedens indehaver udelukkes fra at anmode om indsigt på barnets vegne. Det vil ofte være således, at såvel barnet som forældremyndighedens indehaver har ret til indsigt med hensyn til de oplysninger, der behandles om barnet. I disse situationer bør lovens § 33 administreres således, at forældremyndighedens indehaver kan få indsigt på barnets vegne, uanset barnet inden for en 6-måneders periode har fået indsigt og omvendt.

Der findes dog enkelte behandlinger, hvor der ikke uden videre kan gives forældremyndighedens indehaver indsigt i de registrerede oplysninger om børn under 18 år. F.eks. bør forældremyndighedens indehaver ikke ubetinget have indsigt i Sundhedsstyrelsens register over legalt provokerede aborter. Her bør normalt kun begæringer fra kvinden selv imødekommes, uanset hendes alder. Baggrunden herfor er navnlig, at oplysninger om, at kvinden har fået foretaget legal abort, er af så privat og personlig karakter, at det ikke forekommer, rimeligt at forældremyndighedens indehaver, som måske ikke i forvejen er bekendt hermed, ved at udnytte reglerne om indsigtsretten kan få kendskab til disse oplysninger. Hvis aborten er gennemført med forældremyndighedsindehaverens samtykke, er det naturligvis ubetænkeligt at give såvel kvinden som forældrene indsigt.

 

3.2. Indsigtsretten efter lovens § 31, stk. 1

3.2.1. Hvilke oplysninger skal meddeles?

Det følger af lovens § 31, stk. 1, 1. pkt., at en person, der fremsætter begæring herom, skal have meddelelse fra den dataansvarlige om, hvorvidt der behandles oplysninger om den pågældende.

Hvis der behandles oplysninger om vedkommende, skal der på en let forståelig måde gives den pågældende meddelelse om en række forhold, jf. bestemmelsens 2. pkt., nr. 1-4.

Efter nr. 1 skal der gives den registrerede meddelelse om, hvilke oplysninger om den pågældende der behandles. De oplysninger, der efter bestemmelsen skal meddeles den registrerede, er de oplysninger, som behandles på tidspunktet for begæringen, samt oplysninger der er kommet til i perioden frem til begæringen ekspederes.

Endvidere skal der efter nr. 2 gives meddelelse om behandlingens formål. Heri ligger ikke en forpligtelse for den dataansvarlige til at meddele, hvad oplysningerne nøjagtigt skal bruges til. En generel angivelse af, hvad formålet med behandlingen er, vil være tilstrækkeligt. For så vidt angår den nærmere rækkevidde af kravet om formålsangivelse henvises i øvrigt til det, som er anført oven for under pkt. 2.1.3. (om den dataansvarliges oplysningspligt over for den registrerede).

Herudover skal der gives meddelelse om kategorierne af modtagere af oplysningerne, jf. nr. 3. Der henvises i øvrigt til det, som er anført oven for under pkt. 2.1.3.

Endelig skal der gives den registrerede tilgængelig information om, hvorfra de oplysninger, der behandles, stammer, jf. nr. 4. Denne pligt gælder kun, hvis oplysningerne om, hvorfra de registrerede oplysninger stammer, rent faktisk foreligger. Det påhviler således ikke den dataansvarlige at tilvejebringe og opbevare sådanne oplysninger. For den offentlige forvaltnings vedkommende må det i hvert fald for så vidt angår den digitale behandling af afgørelsessager imidlertid antages, at myndigheden som følge af reglerne om notatpligt med hensyn til væsentlige sagsbehandlingsskridt oftest vil være i besiddelse af information om, hvorfra oplysningerne i sagen stammer.

3.2.2. Kun oplysninger om den pågældende selv (hovedperson/bipersonspørgsmålet)

Ifølge lovens § 31, stk. 1, har alle registrerede personer adgang til oplysninger om sig selv. Retten til indsigt omfatter både hovedpersoner og bipersoner. For så vidt angår spørgsmålet om betydningen af begreberne »hovedperson« og »biperson« henvises til det, som er anført oven for under pkt. 1.5.

Det er ikke en forudsætning for at få indsigt i den dataansvarliges behandlinger, at den registrerede person er søgbar i den dataansvarliges edb-system. Det forhold, at mange edb-systemer ofte er indrettet således, at der kun kan fås oplysninger om bipersoner via navn, adresse m.v. på en hovedperson, indebærer med andre ord ikke, at bipersoner ikke har adgang til indsigt i behandlingen af oplysninger i edb-systemet. Heri ligger dog ikke, at den dataansvarlige - i de tilfælde, hvor det ikke er muligt at søge på andre end hovedpersonerne for behandlingen af oplysninger - ikke vil være berettiget til at anmode en biperson om at fremkomme med de fornødne oplysninger til, at den dataansvarlige kan finde frem til eventuelle behandlinger af oplysninger om bipersonen. Tilsvarende vil i almindelighed gælde, hvis en identifikation af bipersonen ikke er mulig uden en fuldstændig gennemgang af en betydelig mængde behandlinger (registre). Er mængden af oplysninger, der opbevares, derimod så beskeden, at det vil være relativt let at finde frem til den enkelte, eller er det ved hjælp af en kombination med andre behandlede oplysninger muligt med stor sikkerhed at finde oplysninger om bipersoner frem, vil den dataansvarlige være forpligtet til at finde oplysningerne om bipersonen frem og meddele indsigt heri i overensstemmelse med lovens regler.

Et særligt spørgsmål er, om den dataansvarlige kan stille krav om, at en biperson oplyser hovedpersonens personnummer. Et sådant krav kan - uanset hvor vanskeligt det måtte være at udfinde oplysninger om bipersonen - ikke stilles. I de tilfælde, hvor der kun kan søges i den dataansvarliges edb-system via personnummeret på hovedpersoner, vil det således være tilstrækkeligt, at vedkommende biperson oplyser hovedpersonens navn og adresse, hvorefter den dataansvarlige selv må finde frem til vedkommendes personnummer, for offentlige myndigheder f.eks. via onlineadgang til Det Centrale Personregister (CPR).

Indsigtsretten er normalt begrænset til at omfatte de oplysninger, der vedrører den pågældende person. Udgangspunktet er således, at en hovedperson har krav på at få meddelelse om de behandlinger, som vedrører den pågældende, men ikke behandlinger, som vedrører bipersonen. Tilsvarende har en biperson normalt også kun krav på at få oplysninger om de behandlinger, der vedrører den pågældende, men ikke oplysninger om behandlinger vedrørende hovedpersonen. I forbindelse med visse behandlinger må det dog antages, at enkelte personer har krav på at få oplysninger om behandlinger, som har relation til andre personer. F.eks. må en person, der er registreret i Det Centrale Personregister (CPR), have krav på at få oplyst, hvilke personer (børn, ægtefælle, forældre) der er henvist til i registeret under personen selv. Ligesom en ansøger om boligstøtte har en interesse i at kende boligstøtteberegningsgrundlaget, herunder bipersoners indkomst, når denne indgår i beregningsgrundlaget.

Der vil ofte være et særligt interessefællesskab mellem hoved- og bipersoner, ligesom hovedpersonen ofte vil have en retlig interesse i at få samtlige oplysninger om sig selv og bipersonerne. Det kan i sådanne situationer for så vidt være ubetænkeligt at meddele hovedpersonen alle oplysningerne, uanset de vedrører en biperson. Udlevering af oplysninger til hovedpersonen om bipersonen bør imidlertid i almindelighed kun finde sted, såfremt der foreligger fuldmagt fra den pågældende, eller der foreligger samtykke i overensstemmelse med lovens regler herom.

 

3.3. Hvor hurtigt skal begæringer om indsigt besvares?

Af lovens § 31, stk. 2, 1. pkt., følger, at den dataansvarlige snarest skal besvare modtagne begæringer om indsigt. Den tid, der vil hengå med at ekspedere en anmodning om indsigt, vil kunne variere afhængig af, hvilken form for behandling der er tale om. I mange tilfælde vil den dataansvarlige først kunne besvare indsigtsbegæringen, når oplysningerne er rekvireret hos en databehandler. Ekspeditionstidens længde vil endvidere være afhængig af den tekniske indretning af det system, hvori oplysningerne behandles. Der er derfor ikke fastsat nogen absolut frist. I stedet er der i bestemmelsens 2. pkt. indsat en regel, hvorefter en dataansvarlig, hvis det undtagelsesvis tager længere tid end 4 uger at besvare en begæring om indsigt, skal underrette den registrerede herom. Underretningen af den registrerede skal indeholde oplysninger om grunden til, at der ikke kan træffes afgørelse inden for 4 ugers fristen, samt om hvornår afgørelsen kan forventes at foreligge.

Det anførte betyder bl.a., at det i de tilfælde, hvor der er tale om behandlinger, der ajourføres løbende, og hvor udtræk sker i forbindelse med sådanne ajourføringer, normalt vil være i overensstemmelse med lovens § 31, stk. 2, at udtrække oplysningerne i forbindelse med den førstkommende ajourføring af de behandlede oplysninger, såfremt ajourføringen sker månedligt eller med kortere mellemrum. Hvis behandlingerne derimod f.eks. kun ajourføres kvartalsvis, vil en længere svarfrist end 4 uger kun efter omstændighederne være acceptabel i en overgangsperiode, indtil registeret bliver indrettet til en hyppigere ajourføring. Det bemærkes, at den dataansvarlige i begge de nævnte situationer skal give den registrerede underretning efter bestemmelsens 2. pkt., hvis der ikke kan træffes afgørelse om indsigt inden for 4 uger efter modtagelsen af begæringen.

Det ovennævnte betyder endvidere, at mindre og ukomplicerede indsigtsbegæringer skal besvares hurtigt (snarest muligt), og den dataansvarlige vil således ikke blot kunne vente til udløbet af 4 ugers fristen med at besvare en sådan begæring. Omvendt vil fristen for besvarelse af omfattende begæringer om indsigt skulle fastsættes under rimelig hensyntagen hertil. Den tid, der går med at besvare begæringer om indsigt, må dog aldrig gå ud over den tidsmæssige ramme i artikel 12, litra a, i EF-direktivet om behandling af personoplysninger. Af den nævnte bestemmelse i direktivet følger, at indsigtsbegæringer skal besvares »uden større ventetid«.

Det bemærkes, at den dataansvarlige altid har mulighed for - men ikke pligt til - at besvare modtagne begæringer om indsigt løbende (successiv indsigt) - dvs. at oplysningerne udleveres til den begærende i takt med, at de tilvejebringes hos den dataansvarlige. En mulighed, der ikke mindst med fordel vil kunne tænkes anvendt af de dataansvarlige, hos hvem en person kan være genstand for omfattende behandlinger, eksempelvis en kommune.

3.4. Meddelelsens form

I lovens § 34, stk. 1, foreskrives det, at indsigt efter lovens § 31, stk. 1, som udgangspunkt skal gives skriftligt, hvis den registrerede anmoder herom. I tilfælde, hvor den registrerede møder personligt op hos den dataansvarlige, bør det søges klarlagt, om den registrerede ønsker skriftligt svar eller en mundtlig underretning om indholdet af oplysningerne.

Kravet om skriftlighed indebærer, at oplysningerne skal fremtræde i en sådan form, at de kan læses umiddelbart og uden brug af tekniske hjælpemidler. Heraf følger, at skriftlige meddelelser normalt bør foreligge i form af en maskinel udskrift af behandlingerne. Meddelelsen må ikke indeholde koder m.v., som ikke er umiddelbart forståelige.

I de tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse af indsigt ske i form af en mundtlig underretning om indholdet af oplysningerne. Dette vil bl.a. kunne være tilfældet med hensyn til oplysninger om den registreredes helbredsforhold.

3.5. Betaling for skriftlige meddelelser om indsigt

I lovens § 34, stk. 2, er fastsat, at justitsministeren kan fastsætte regler om betaling for indsigtsmeddelelser, som gives skriftligt af private virksomheder m.v.

I medfør af bestemmelsen har justitsministeren ved bekendtgørelse nr. 533 af 15. juni 2000 fastsat bestemmelser om betaling for private dataansvarliges skriftlige meddelelse om indsigt. Af bekendtgørelsen følger bl.a., at gebyret for meddelelse om indsigt udgør 10 kr. for hver påbegyndt side, dog således at betalingen ikke kan overstige 200 kr. Reglerne om betaling for meddelelse om indsigt i den private sektor er optrykt som bilag 2 til vejledningen, hvortil der i øvrigt henvises.

Hvis en person, der begærer indsigt efter lovens § 31, stk. 1, ikke har begæret et skriftligt svar, vil virksomheden ikke kunne kræve betaling, selvom indsigten gives i skriftlig form.

3.6. Begrænsninger i indsigtsretten

3.6.1. Afgørende hensyn til offentlige eller private interesser

I lovens § 32, stk. 1, fastsættes det, at den registrerede ikke har krav på indsigt, hvis vedkommendes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. henvisningen til lovens § 30, stk. 1. Efter en konkret vurdering vil det være muligt at nægte indsigt i oplysninger, hvis dette ville medføre, at virksomhedens forretningsgrundlag, forretningspraksis eller know-how derved ville lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at nægte indsigt i interne vurderinger af, hvorvidt virksomheden på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at nægte indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en kunde kan vindes, eller et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelser i medfør af f.eks. en lånekontrakt. Der henvises i øvrigt til det, som er anført oven for under pkt. 2.3.4. vedrørende undtagelserne i lovens § 30 til oplysningspligten.

Undtagelse til indsigtsretten kan endvidere gøres af hensyn til offentlige interesser, herunder navnlig til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og kontrol-, tilsyns-, eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de nævnte områder, jf. henvisningen til lovens § 30, stk. 2.

Indskrænkningen i den registreredes adgang til at få indsigt efter lovens § 31, stk. 1, kan efter bestemmelsen kun ske på grundlag af en konkret afvejning af de modstående interesser. I afvejningen indgår på den ene side den registreredes interesse i at få kendskab til oplysningerne, og på den anden side de nævnte afgørende hensyn til offentlige eller private interesser, herunder til den pågældende selv. Med udtrykket »den registreredes interesse i at få kendskab til oplysningerne« sigtes ikke blot til interessen i at få kendskab til oplysningerne i forbindelse med overvejelser om indbringelse af en sag, hvori de indsamlede oplysninger indgår, for domstolene, højere administrativ myndighed, Datatilsynet eller Folketingets Ombudsmand, men også til den registreredes interesse i at kunne kontrollere oplysningernes rigtighed i forbindelse med den dataansvarliges anvendelse af oplysningerne eller med henblik på berigtigelse efter reglerne i lovens kapitel 10. De private og offentlige interesser, som kan beskyttes efter bestemmelsen, er såvel den dataansvarliges som tredjemands interesser. Det bemærkes, at indsigt kun kan nægtes, hvis der er nærliggende fare for, at de private eller det offentliges interesser vil lide skade af væsentlig betydning.

Selve afvejningen af de modstående interesser må foretages for hver enkelt oplysning for sig med den virkning, at den registrerede, såfremt afgørende hensyn til private eller offentlige interesser kun gør sig gældende for en del af oplysningerne, som behandles hos den dataansvarlige, skal gøres bekendt med de øvrige oplysninger. Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte former for behandlinger af oplysninger fra indsigtsretten.

Det bemærkes, at hvor afvejningen af de forskellige interesser allerede er foretaget i lovgivningen, f.eks. ved at der er fastsat særlige tavshedspligtsbestemmelser med henblik på at tilgodese nærmere bestemte private eller offentlige interesser, vil der normalt kunne gøres undtagelse fra indsigtsretten. Der må dog foretages en konkret fortolkning af den enkelte tavshedspligtsbestemmelse, herunder bestemmelsens baggrund. Specielt for så vidt angår særlige tavshedspligtsbestemmelser i lovgivningen, som har en fællesskabsretlig baggrund, må gælde, at disse regler går forud for de generelle indsigtsregler i persondataloven. Dette gælder eksempelvis direktiver, hvorefter der påhviler finansielle tilsyn i medlemslandene tavshedspligt ved udøvelse af deres tilsynsvirksomhed.

3.6.2. Særligt om den offentlige forvaltning

I lovens § 32, stk. 2, er fastsat, at oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages i samme omfang fra indsigtsretten som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og § 14.

Bestemmelsen er indsat for at sikre, at forvaltningsmyndigheders behandling af oplysninger kan undtages fra den registreredes ret til indsigt i samme udstrækning som efter offentlighedslovens regler om egenacces, jf. offentlighedslovens § 4, stk. 2. Bestemmelsen indebærer bl.a., at det forhold, at oplysninger undergives elektronisk databehandling i et tekstbehandlingssystem med henblik på udarbejdelse af f.eks. et internt notat m.v., ikke fører til, at registrerede personer kan opnå indsigt heri i videre udstrækning end, hvad der følger af offentlighedslovens regler om egenacces.

Bestemmelsen i § 32, stk. 2, forudsættes også at kunne anvendes på offentlige forvaltningsmyndigheder, som ikke er undergivet offentlighedsloven, når disse myndigheder udfører administrativ sagsbehandling. Bestemmelsen omfatter således også f.eks. Post Danmark.

Det skal understreges, at der ikke med indsigtsreglerne i persondataloven tilsigtes at gøre indskrænkninger i de rettigheder, som en registreret person har efter offentlighedsloven og forvaltningsloven. Loven bygger således - i de tilfælde, hvor en person kan støtte ret på både persondataloven og offentlighedsloven/forvaltningsloven - på den forudsætning, at vedkommende forvaltningsmyndighed må træffe afgørelse på det for den pågældende gunstigste retsgrundlag.

En myndighed er i forbindelse med en indsigtsbegæring forpligtet til at følge forvaltningslovens § 11, såfremt begæringen om indsigt fremsættes af en person, der er part i en sag, som myndigheden har under behandling. Det følger heraf, at myndigheden som udgangspunkt skal udsætte sagens afgørelse, indtil der er givet parten (den registrerede) adgang til at gøre sig bekendt med dokumenterne (de registrerede oplysninger).

3.6.3. Behandlinger til brug for videnskabelige undersøgelser eller statistik

Af lovens § 32, stk. 4, følger, at der ikke er ret til indsigt i oplysninger, der udelukkende behandles med videnskabelig forskning for øje. Reglen er ny i forhold til den tidligere gældende regulering af offentlige forskningsprojekter, hvorimod reglen svarer til den tidligere gældende regulering af private forskningsprojekter.

Også behandling af personoplysninger i statistisk øjemed er efter bestemmelsen undtaget fra retten til indsigt. En betingelse herfor er dog, at oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker. Bestemmelsen viderefører den tidligere gældende retstilstand efter registerlovgivningen.

3.6.4. Generel undtagelsesmulighed

Af lovens § 32, stk. 5, følger, at for behandling af oplysninger på det strafferetlige område, der foretages for offentlige myndigheder, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter lovens § 31, stk. 1, for så vidt bestemmelsen i lovens § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.

Bestemmelsen betyder, at justitsministeren kan træffe bestemmelse om, at der generelt gøres undtagelse fra retten til indsigt i oplysninger, der behandles af offentlige myndigheder på det strafferetlige område. Fastsættes der en generel undtagelse som nævnt i bestemmelsen, behøver den offentlige myndighed ikke foretage en konkret vurdering af, om der er grundlag for at give afslag på indsigt. En sådan generel undtagelse kan dog alene fastsættes, hvis reglen i lovens § 32, stk. 1, i almindelighed vil føre til, at der skal gives afslag. Bestemmelsen vil bl.a. muliggøre, at dele af Det Centrale Kriminalregister fortsat vil kunne undtages fra den registreredes ret til indsigt.

3.6.5. Tidsmæssig begrænsning

Efter lovens § 33 har en registreret person, der har fået meddelelse efter lovens § 31, stk. 1, ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

Den registrerede har således mulighed for, uanset fristen, at få indsigt f.eks. i tilfælde, hvor den pågældende kan godtgøre, at der siden en tidligere meddelelse om, at der ikke behandles oplysninger om vedkommende, foreligger omstændigheder, der tyder på, at der nu behandles oplysninger om den pågældende. Nævnes kan også den situation, at der er sket væsentlige ændringer i de oplysninger, som behandles, eller af de forhold der behandles oplysninger om.

Bestemmelsen i lovens § 33 er naturligvis ikke til hinder for, at den dataansvarlige imødekommer indsigtsbegæringer inden 6 måneder efter en tidligere meddelelse.

4. Den registreredes øvrige rettigheder

Med reglerne i lovens kapitel 10 (§§ 35-40) sikres den registrerede en række øvrige rettigheder i forbindelse med, at der behandles oplysninger om den pågældende.

Det drejer sig om regler om, at den registrerede i en række tilfælde har ret til at gøre indsigelse mod behandling af oplysninger om den pågældende (lovens §§ 35-36 og § 39), en regel om den registreredes ret til at få berigtiget, slettet eller blokeret oplysninger, der er vildledende eller urigtige, samt i den forbindelse at forlange, at en tredjemand, hvortil oplysningerne om vedkommende er videregivet, underrettes herom (lovens § 37), samt regler om tilbagekaldelse af samtykke og om retten til at klage til vedkommende tilsynsmyndighed (lovens §§ 38 og 40).

Bestemmelserne i §§ 35-37 og § 39 finder - som nævnt oven for under pkt. 1.2. - bl.a. ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område, jf. lovens § 2, stk. 4, 2. pkt.

4.1. Indsigelsesret over for behandlinger

Det følger af lovens § 35, stk. 1, at den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om den pågældende gøres til genstand for behandling.

I de tilfælde, hvor den dataansvarlige finder, at en indsigelse mod behandling af oplysninger er berettiget, følger det af bestemmelsen i lovens § 35, stk. 2, at den iværksatte behandling ikke længere må finde sted for så vidt angår oplysninger om den registrerede. Hvis den dataansvarlige derimod træffer afgørelse om, at en indsigelse ikke skal imødekommes, kan den dataansvarlige fortsætte behandlingen indtil det tidspunkt, hvor Datatilsynet eventuelt måtte træffe afgørelse om, at indsigelsen var berettiget.

En indsigelse mod en behandling af personoplysninger vil naturligvis være berettiget, hvis behandlingen ikke er lovlig, dvs. finder sted i strid med reglerne i persondataloven eller anden lovgivning.

En indsigelse vil imidlertid også kunne anses for berettiget, selvom behandlingen i øvrigt er lovlig. Dette vil være tilfældet, hvis den registrerede har anført tungtvejende grunde til støtte for, at behandlingen pga. den registreredes særlige, individuelle situation ikke bør finde sted. Den dataansvarlige skal altså foretage en konkret vurdering af, om der foreligger sådanne særlige omstændigheder omkring netop denne registrerede person, at behandlingen af oplysninger om den pågældende bør indskrænkes eller helt indstilles. Dette vil efter omstændighederne f.eks. kunne være tilfældet for en medarbejder i en myndighed eller virksomhed, som pga. chikane fra en tidligere ægtefælle ikke ønsker sit navn anført i en medarbejderfortegnelse på en hjemmeside på Internettet.

En indsigelse skal bl.a. ikke tages til følge, hvis behandlingen af oplysninger om den registrerede er foreskrevet i lovgivningen. Hvis der er tale om behandling i statistisk eller videnskabeligt øjemed skal en indsigelse som altovervejende hovedregel heller ikke tages til følge.

Det er i første række den dataansvarlige, som skal foretage en vurdering af, om en indsigelse mod behandling af oplysninger er berettiget. Opstår der uenighed om berettigelsen af den registreredes indsigelse, kan spørgsmålet efterfølgende indbringes for Datatilsynet, der så træffer afgørelse om, hvorvidt indsigelsen mod behandlingen er berettiget, jf. lovens § 58, stk. 1 (private virksomheder m.v.), og § 60, stk. 1 (offentlige myndigheder). Der henvises i øvrigt til pkt. 5 nedenfor.

For så vidt angår offentlige myndigheder (forvaltningsmyndigheder) skal man være opmærksom på, at myndighedens beslutning om, hvorvidt en indsigelse skal imødekommes, er en »afgørelse« efter forvaltningsloven. Myndigheden skal derfor overholde forvaltningslovens regler om begrundelse, klagevejledning m.v.

4.2. Ret til indsigelse mod videregivelse af oplysninger med henblik på markedsføring

Efter lovens § 6, stk. 1, nr. 7, og stk. 2-4, kan der i et vist omfang ske videregivelse af generelle kundeoplysninger til en anden virksomhed til brug for markedsføring, ligesom oplysningerne kan anvendes på vegne af en anden virksomhed i dette øjemed, jf. nærmere neden for under pkt. 4.2.1. I sådanne tilfælde skal reglerne i lovens § 36 iagttages.

Reglerne i lovens § 36 giver en forbruger mulighed for at forhindre, at der videregives oplysninger om den pågældende til brug for markedsføring.

Reglerne i § 36 gælder ikke kun i den situation, hvor en virksomhed ønsker at videregive oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring. Reglerne gælder også, hvis virksomheden i stedet for at videregive oplysningerne anvender dem på vegne af en anden virksomhed med henblik på markedsføring. Denne situation vil typisk foreligge, når en virksomhed fra en anden virksomhed modtager markedsføringsmateriale i form af »direct mails« eller lignende og derefter udsender materialet til sine egne kunder, eventuelt selektivt ud fra de oplysninger om de enkelte kunders forbrugsvaner og -mønstre, som virksomheden er i besiddelse af.

Det er kun registrerede personer, der er forbrugere, der er beskyttet af reglerne om indsigelsesret i § 36. Uden for begrebet »forbrugere« falder oplysninger om leverandører, andre forretningsforbindelser eller erhvervsdrivende.

§ 36 gælder også for adresserings- og kuverteringsbureauer, jf. § 12. En registreret person vil således altid kunne fremsætte indsigelse mod, at et adresserings- og kuverteringsbureau behandler oplysninger om den pågældende med henblik på markedsføring, herunder salg, kuvertering eller udsendelse, jf. lovens § 36, stk. 1, ligesom bureauet skal følge proceduren i § 36.

Reglerne i § 6 og § 36 gælder også, når videregivelsen eller anvendelsen til markedsføring skal finde sted inden for koncernforbundne selskaber. Reglerne gælder derimod ikke udveksling af oplysninger mellem filialer eller lignende, hvor der ikke er tale om forskellige juridiske enheder.

4.2.1. Hvornår kan personoplysninger videregives med henblik på markedsføring?

Det fremgår af lovens § 6, stk. 2, at en virksomhed ikke må videregive oplysninger om forbrugere til andre virksomheder til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil.

Denne hovedregel om forbud mod videregivelse m.v. af forbrugeroplysninger til brug for markedsføring modificeres imidlertid af reglen i § 6, stk. 3. Det følger af denne regel, at den nævnte videregivelse og anvendelse kan ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i § 6, stk. 1, nr. 7, er opfyldt.

Det fremgår af lovens forarbejder, at den interesseafvejning, der skal foretages efter reglen i § 6, stk. 1, nr. 7, kun undtagelsesvis vil være til hinder for, at oplysningerne videregives.

Hvorvidt videregivelse og anvendelse til brug for markedsføring kan finde sted uden samtykke, vil derfor navnlig afhænge af, om der er tale om »generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier«.

Som eksempler på oplysninger, der vil kunne videregives uden samtykke, kan nævnes oplysninger om forbrugerens (kundens) navn, adresse, køn og alder. Det samme gælder generelle oplysninger som f.eks., at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og småbørnsartikler, til økologiske varer, til vin- og spiritus eller andre generelt afgrænsede varegrupper.

Derimod vil det ikke være muligt uden samtykke at videregive oplysninger, som afslører rent private forhold hos kunden, f.eks. spiritusmisbrug. Det vil heller ikke være muligt at videregive mere detaljerede kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der må således f.eks. ikke videregives oplysninger om, hvorvidt kundens bil er købt på kredit, og i givet fald oplysninger om vilkårene for kreditten. Der må heller ikke videregives oplysninger om, hvilken mængde vin kunden køber. Det gælder, selv om dette ikke i sig selv afslører, at kunden har et spiritusmisbrug. Der må heller ikke videregives mere detaljerede oplysninger om, hvilken slags vin kunden køber.

For at undgå enhver tvivl herom, angives det udtrykkeligt i lovens § 6, stk. 4, at der ikke uden forbrugerens samtykke må videregives oplysninger om forbrugerens rent private forhold til andre virksomheder til brug ved markedsføring. Det angives endvidere i bestemmelsen, at justitsministeren ved bekendtgørelse vil kunne begrænse adgangen til efter stk. 3 at videregive andre typer af oplysninger til brug ved markedsføring. Baggrunden for bestemmelsen er, at det ikke på forhånd kan udelukkes, at der vil kunne vise sig et behov for, at visse typer oplysninger, som ikke angår forbrugerens rent private forhold, ikke skal kunne videregives uden forbrugerens udtrykkelige samtykke.

4.2.2. Indsigelsesretten

I de tilfælde, hvor videregivelse eller anvendelse efter reglerne i lovens § 6, stk. 1, nr. 7, og stk. 2-4, kan ske uden den registrerede forbrugers (kundens) samtykke, skal virksomheden (den dataansvarlige) overholde de procedureregler, der er fastlagt i § 36.

Proceduren i § 36 går ud på følgende :

For det første gælder det generelt, at virksomheden ikke må videregive oplysninger om en forbruger (kunde) til andre virksomheder med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, hvis kunden har gjort indsigelse imod det, jf. § 36, stk. 1.

Der er tale om en ubetinget indsigelsesret, som kan gøres gældende direkte over for den dataansvarlige virksomhed på et hvilket som helst tidspunkt. Indsigelsen kan omfatte al videregivelse eller begrænses til videregivelse til bestemte virksomheder eller kategorier af virksomheder. Hvis intet andet angives i indsigelsen, må den almindeligvis forstås som en generel indsigelse mod al videregivelse og anvendelse på vegne af andre, der foretages med henblik på markedsføring.

Der er ingen formkrav til indsigelsen, og den kan derfor fremsættes såvel mundtligt som skriftligt eller via elektronisk post. Virksomheden bør notere og gemme modtagne indsigelser, ligesom den bør tjekke sine optegnelser, hver gang den ønsker at videregive kundeoplysninger til brug for markedsføring.

For det andet gælder det, at hvis forbrugeren (kunden) ikke har gjort indsigelse direkte over for virksomheden, skal virksomheden - hver gang den ønsker at videregive kundeoplysninger til andre virksomheder med henblik på markedsføring eller anvende oplysninger på vegne af en anden virksomhed i dette øjemed - tjekke i CPR, om kunden efter § 29, stk. 3, i lov om Det Centrale Personregister (CPR) over for bopælskommunen har frabedt sig henvendelser i markedsføringsøjemed, jf. § 36, stk. 2, 1. pkt. I bekræftende fald må oplysningerne ikke videregives til dette formål.

For det tredje gælder det, at den dataansvarlige virksomhed i de tilfælde, hvor kunden hverken direkte over for virksomheden eller gennem en registrering i CPR har gjort indsigelse mod videregivelse og anvendelse i markedsføringsøjemed eller frabedt sig sådanne henvendelser, skal oplyse kunden om retten til at gøre indsigelse, jf. § 36, stk. 2, 2. pkt. Dette skal ske hver gang virksomheden ønsker at videregive eller på andres vegne anvende oplysninger i markedsføringsøjemed. Virksomheden skal, inden oplysningerne videregives eller anvendes til markedsføring, jf. ovenfor, tydeligt og på en forståelig måde oplyse om indsigelsesretten. Det vil i den forbindelse ikke være tilstrækkeligt at beskrive retten til at gøre indsigelse i de almindelige forretningsbetingelser, som måtte blive udleveret til den pågældende forbruger. Oplysning om indsigelsesretten skal i stedet gives som en individuel meddelelse til kunden, uden at dette dog udelukker, at meddelelsen tillige indeholder andre oplysninger.

Virksomheden skal give forbrugeren adgang til på en nem måde og med en frist på to uger at gøre indsigelse. Det kan f.eks. ske ved, at virksomheden medsender en kupon til forbrugeren, hvor der kan krydses »nej« til videregivelsen/anvendelsen. Virksomheden må naturligvis ikke videregive eller anvende oplysningerne til markedsføring, før det ved udløbet af fristen på to uger er konstateret, at forbrugeren ikke har gjort indsigelse.

Heller ikke i denne situation gælder der nogen formkrav til indsigelsen, jf. ovenfor.

Når den dataansvarlige virksomhed retter henvendelse til forbrugeren med oplysning om indsigelsesretten, jf. § 36, stk. 2, 2. pkt., skal det ske i overensstemmelse med reglerne i markedsføringslovens § 6 a og eventuelle regler udstedt i medfør af markedsføringslovens § 6 a, stk. 6, jf. persondataloven § 36, stk. 3. Dette indebærer, at henvendelsen ikke må ske ved brug af elektronisk post, automatisk (telefon-) opkaldssystem eller telefax, jf. forbuddet mod sådanne uanmodede henvendelser i markedsføringsøjemed i markedsføringslovens § 6 a, stk. 1.

Som en konsekvens heraf kan en virksomhed, der kun kender forbrugerens e-post adresse, kun videregive eller anvende oplysningerne til brug for markedsføring, hvis forbrugeren har givet sit samtykke hertil efter persondataloven § 6, stk. 2.

En virksomhed kan ikke kræve betaling for behandling af en indsigelse, jf. § 36, stk. 4. Dette gælder, uanset hvornår og hvordan indsigelsen fremsættes.

En indsigelse - uanset hvornår den fremkommer, og uanset om det er ved registrering i CPR - indebærer ikke nødvendigvis, at virksomheden skal slette oplysningerne om den pågældende person. Som udgangspunkt skal der blot ske en blokering af oplysningerne, så de ikke (længere) benyttes eller videregives med henblik på markedsføring. En blokering kan f.eks. ske ved at indsætte en markering heraf i et register eller ved at overføre oplysningerne til et særligt »passivt« register. Hvis formålet med registreringen alene er markedsføring, kan en generel indsigelse mod al behandling med henblik på markedsføring indebære, at registreringen ikke længere tjener noget formål. I en sådan situation vil der efter omstændighederne skulle ske sletning, da betingelserne i § 6 for behandling af oplysningerne så ikke vil være opfyldt, jf. herved også reglen i § 5, stk. 5.

4.3. Berigtigelse, sletning eller blokering af urigtige oplysninger

4.3.1. Ret til berigtigelse, sletning eller blokering af oplysninger, der viser sig urigtige m.v.

Efter lovens § 37, stk. 1, skal den dataansvarlige berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

En anmodning om berigtigelse, sletning eller blokering skal komme fra den registrerede selv eller dennes fuldmægtig. Anmodningen skal angå oplysninger om den registrerede selv. Den dataansvarlige er ikke - efter persondataloven - forpligtet til at foretage berigtigelse m.v. af oplysninger om andre personer. Dog vil det efter omstændighederne påhvile den dataansvarlige at undersøge rigtigheden af sådanne henvendelser, jf. lovens § 5, stk. 4, hvorefter der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. For så vidt angår offentlige myndigheder kan det imidlertid følge af begrebet »god forvaltningsskik«, at myndigheden er forpligtet til efter anmodning at foretage berigtigelse m.v. af oplysninger om andre personer.

Der gælder ingen formkrav til den registreredes anmodning, der således kan fremsættes såvel mundtligt som skriftligt. Hvis anmodning fremsættes, påhviler det den dataansvarlige - eller dennes repræsentant - snarest muligt at tage stilling til, om begæringen kan imødekommes, og i givet fald at foretage sletning, berigtigelse eller blokering af oplysningerne. Nægter den dataansvarlige at imødekomme begæringen, og er den registrerede utilfreds med denne beslutning, kan den registrerede klage til Datatilsynet, jf. også neden for under pkt. 4.5. og 5. Om oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lovgivningen, skal berigtiges, slettes eller blokeres, afgøres som udgangspunkt af den dataansvarlige ud fra de konkrete omstændigheder. Det kan dog i visse tilfælde fremgå af lovgivningen, at der skal anvendes en bestemt korrigeringsmetode. Det forudsættes, at sådanne særlige regler går forud for bestemmelsen i lovens § 37, stk. 1, og der er således ikke pligt til at foretage berigtigelse, sletning eller blokering efter denne bestemmelse i de tilfælde, hvor andet - udfra særlige hensyn - er fastsat i lovgivningen i øvrigt.

Korrigeringsmetoden blokering er ny i forhold til den tidligere gældende registerlovgivning. Blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare de indsamlede oplysningerne, hvorimod det ikke er tilladt at bruge oplysningerne, herunder navnlig videregive dem til tredjemand. En blokering kan dog være begrænset til kun at gælde i forhold til en bestemt, afgrænset brug af oplysningerne. Oplysninger, som er blokeret, skal være forsynet med en sådan markering, at en bruger informeres om blokeringen.

En blokering er dog ikke til hinder for, at dataansvarlige foretager den behandling af oplysningerne, som er nødvendig for at opfylde en oplysningspligt. F.eks. vil den omstændighed, at oplysninger er blokeret, ikke være til hinder for, at en forvaltningsmyndighed i medfør af reglerne i offentlighedsloven meddeler tredjemand aktindsigt i de blokerede oplysninger. I givet fald forudsættes det, at tredjemand informeres om, at der er tale om oplysninger, som er blokeret, og om hvorfor dette er sket.

4.3.2. Underretning af tredjemand, hvortil oplysninger, der senere er blevet korrigeret, er blevet videregivet

Af lovens § 37, stk. 2, følger, at den registrerede kan kræve, at den dataansvarlige underretter den tredjemand, hvortil oplysningerne måtte være videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til bestemmelsen i lovens § 37, stk. 1. Om denne del af bestemmelsen henvises til pkt. 4.3.1. ovenfor.

En anmodning om underretning af tredjemand skal komme fra den registrerede selv eller dennes fuldmægtig. Anmodningen, der kan fremsættes formløst, skal angå oplysninger om den registrerede selv. Den dataansvarlige er ikke - efter persondataloven - forpligtet til efter anmodning at foretage underretning af tredjemand, hvis der er tale om oplysninger om andre personer. For så vidt angår offentlige myndigheder kan en sådan pligt følge af begrebet »god forvaltningsskik«. Hvis anmodning fremsættes, påhviler det den dataansvarlige eller dennes repræsentant snarest muligt at tage stilling til, om begæringen kan imødekommes og i givet fald at underrette de tredjemænd, hvortil oplysninger om den registrerede er videregivet.

Der gælder ikke formkrav til den dataansvarliges underretning. Derimod stilles der krav om, at det i underretningen angives, hvilken korrigeringsmetode den dataansvarlige har anvendt for at imødekomme en berettiget anmodning fra den registrerede. Heri ligger endvidere, at der skal gives tredjemand underretning om anledningen til, at berigtigelse, sletning eller blokering har fundet sted. I de tilfælde, hvor der er sket en berigtigelse af f.eks. urigtige eller vildledende oplysninger, vil det oftest være nødvendigt, at underretningen omfatter såvel de tidligere afgivne, fejlagtige oplysninger som de nye, rigtige oplysninger. Hvis der eksempelvis er tale om, at videregivne oplysninger er fejlagtige med hensyn til den oplysning, som modtageren anvender som søgenøgle, f.eks. navn eller personnummer, vil det være nødvendigt, at også den oprindelige - fejlagtige - oplysning angives, hvorved modtageren af underretningen i praksis kan foretage berigtigelse m.v. af oplysningerne.

Pligten til underretning af de tredjemænd, hvortil korrigerede oplysninger er videregivet, gælder ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig. I hvilket omfang, dette vil være tilfældet, vil bero på en afvejning af på den ene side betydningen af underretningen for den registrerede, og på den anden side den arbejdsindsats hos den dataansvarlige, som vil være forbundet med en sådan underretning. Der skal foretages en afvejning i hvert enkelt tilfælde af alle de momenter, som kan tillægges vægt i vurderingen af de nævnte modsatrettede hensyn. Under hensyntagen til at den registrerede selv skal anmode om, at der gives underretning til de tredjemænd, som har modtaget urigtige eller vildledende oplysninger om vedkommende, vil det i almindelighed skulle lægges til grund, at det er af stor betydning for den registrerede, at sådan underretning gives. Da det endvidere oftest ikke vil være forbundet med store arbejdsmæssige eller ressourcemæssige belastninger for den dataansvarlige at foretage underretning, vil underretning derfor som hovedregel skulle gives. Der skal med andre ord anføres tungtvejende argumenter for, at den dataansvarlige kan undlade at give underretning. Om betydningen af udtrykket »umulig eller er uforholdsmæssigt vanskelig« henvises i øvrigt til det, som er anført oven for under pkt. 2.3.3.

 

4.4. Ret til at tilbagekalde et samtykke

Ifølge lovens § 38 kan den registrerede tilbagekalde et samtykke.

Tilbagekaldelse kan ske på et hvilket som helst tidspunkt, dog ikke med »tilbagevirkende« kraft. Virkningen af, at den registrerede tilbagekalder sit samtykke, vil ifølge bemærkningerne til bestemmelsen være, at den behandling af oplysninger, som den registrerede har meddelt sit samtykke til, »normalt ikke må finde sted fremover«.

Det fremgår ikke af forarbejderne til loven, i hvilke situationer denne hovedregel kan fraviges. Hvis der imidlertid i en anden af behandlingsreglerne i lovens §§ 6-8 er hjemmel til, at behandlingen kan fortsætte, må det antages, at kravet om, at behandlingen skal indstilles, ikke gælder. Dette må i hvert fald gælde i de situationer, hvor behandlingen oprindeligt kunne være iværksat på grundlag af en anden behandlingsregel end den registreredes samtykke, dvs. i situationer, hvor indhentelsen af den registreredes samtykke for så vidt var unødvendigt.

I de tilfælde hvor tilbagekaldelse af et samtykke medfører, at behandlingen ikke må finde sted fremover, må det afgøres ud fra en konkret vurdering i hvert enkelt tilfælde, om oplysningerne i så fald skal slettes eller blokeres, jf. lovens § 37. Spørgsmålet kan påklages til Datatilsynet.

4.5. Ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser

I lovens § 39, stk. 1, fastsættes det, at hvis en registreret person fremsætter indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad. Det gælder dog kun, hvis afgørelsen alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

Bestemmelsen omfatter alene visse edb-behandlede individuelle afgørelser. Der skal for det første være tale om afgørelser, der kan gøres gældende over for den registrerede, og som har konsekvenser for den pågældende. Den omstændighed, at der f.eks. udsendes materiale af oplysende karakter til en række personer, der står opført på en edb-liste, vil ikke udgøre en afgørelse i bestemmelsens forstand.

Der skal endvidere være tale om afgørelser, der alene er truffet på grundlag af en edb-behandling. Bestemmelsen omhandler dermed kun den situation, at der uden videre gøres brug af resultater, som et edb-system leverer. Edb må således efter bestemmelsen være en hjælp ved beslutningstagningen, hvorimod edb-behandling af oplysningerne ikke må udgøre det eneste grundlag for en beslutning, hvor den menneskelige vurdering bør spille ind. Som eksempel herpå kan anføres, at en arbejdsgiver ikke må afvise en jobansøger på grundlag af resultatet af en psykologisk prøve, der alene behandles på edb, eller på baggrund af lister, som er udarbejdet under anvendelse af vurderingsprogrammel, og som på grundlag af en personlighedstest af jobansøgere indeholder en bedømmelse af de pågældende, herunder en opstilling af dem i rangorden.

Endelig skal der være tale om edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold. Dette kan f.eks. være oplysninger om en persons erhvervsevne, kreditværdighed, pålidelighed, adfærd m.v. Omfattet af bestemmelsen er behandlinger, hvorved der gøres brug af variabler, der fastsætter en typisk personlighedsprofil. Som et muligt eksempel herpå kan nævnes individuelle afgørelser om afslag på en låneansøgning, der alene bygger på en edb-behandlet kreditvurdering. På samme måde må det antages, at en edb-baseret kreditrating af den registrerede (kreditscoringssystem) vil kunne anfægtes i medfør af bestemmelsen. Den omstændighed, at en person f.eks. ikke kan hæve et ønsket beløb i en pengeautomat, fordi der ikke er dækning for beløbet, falder derimod uden for bestemmelsen. Tilsvarende gælder for så vidt angår told- og skattemyndighedernes edb-automatiserede ligningsarbejde.

Den nævnte indsigelsesret efter stk. 1 gælder ikke ubetinget. Efter lovens § 39, stk. 2, gælder indsigelsesretten ikke, hvor afgørelsen træffes som led i indgåelsen eller opfyldelsen af en aftale eller kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser, jf. nr. 1. Sådanne passende foranstaltninger vil bl.a. kunne følge af en lov, en anmeldelsesprocedure eller af interne foranstaltninger truffet af den dataansvarlige. Derudover gælder indsigelsesretten ikke, hvor afgørelsen er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser, jf. nr. 2.

Endelig følger det af bestemmelsen i lovens § 39, stk. 3, at den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en edb-baseret afgørelse, som er truffet over for den pågældende efter bestemmelsen i stk. 1. Denne ret til information indebærer, at den dataansvarlige skal oplyse den registrerede om, hvorledes det edb-system, som har været anvendt til behandlingen af oplysningerne, er nået frem til afgørelsen. Den registreredes ret efter bestemmelsen fører dog ikke til, at den dataansvarlige er forpligtet til at udlevere oplysninger, som må anses for at være forretningshemmeligheder, eller som er beskyttet efter den immaterielle lovgivning, herunder ophavsretsloven, jf. henvisningen i bestemmelsen til lovens § 30.

4.6. Ret til at klage til Datatilsynet

Ifølge lovens § 40 kan den registrerede klage til Datatilsynet over behandling af personoplysninger vedrørende den pågældende.

Bestemmelsen har alene informativ karakter. Hvilke regler der gælder for Datatilsynets virksomhed, skal afgøres efter bestemmelserne i lovens kapitel 16, jf. neden for under pkt. 5.

5. Datatilsynets kompetence

Af lovens § 58, stk. 1, fremgår, at Datatilsynet af egen drift eller efter klage fra en registreret påser, at behandlingen finder sted i overensstemmelse med loven og regler udstedt i medfør af loven.

Bestemmelsen indebærer, for så vidt angår den private sektor, at Datatilsynet træffer bindende afgørelser om, hvorvidt virksomheder m.v. har givet en registreret person de rettigheder, som tilkommer den pågældende efter reglerne i lovens §§ 28-39, jf. herved også lovens § 59.

Også for så vidt angår behandling af personoplysninger, der foretages for den offentlige forvaltning, er lovens ordning den, at Datatilsynet træffer bindende afgørelse om overholdelse af reglerne om den registreredes rettigheder, jf. lovens § 60, stk. 1. Dette gælder dog ikke afgørelser i relation til § 38 om tilbagekaldelse af samtykke, hvor Datatilsynet alene afgiver en (vejledende) udtalelse, jf. § 60, stk. 2.

Det er den dataansvarlige myndighed, virksomhed m.v., der i første række skal tage stilling til, om anmodninger, indsigelser m.v. fra den registrerede efter reglerne i lovens §§ 28-39 kan imødekommes. Dette udelukker for så vidt angår den offentlige forvaltning ikke sædvanlig forvaltningsmæssig delegation.

Afgørelser truffet af den dataansvarlige vedrørende den registreredes rettigheder kan indbringes for Datatilsynet til endelig administrativ afgørelse, jf. lovens § 61, hvorefter Datatilsynets afgørelser efter loven ikke kan indbringes for anden administrativ myndighed. Derimod vil afgørelserne - ligesom tilsynets øvrige virksomhed - kunne efterprøves af domstolene, jf. grundlovens § 63, hvorefter domstolene er berettiget til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser.

Herudover vil Datatilsynets afgørelser kunne indbringes for Folketingets Ombudsmand, jf. lov om Folketingets Ombudsmand § 7, stk. 1.

Datatilsynet, den 10. juli 2000

Hugo Wendler Pedersen

/Henrik Waaben


Bilag 1

Uddrag af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger

Afsnit III

Registreredes rettigheder

Kapitel 8

Oplysningspligt over for den registrerede

§ 28.

Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Kategorierne af modtagere.

b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.

§ 29.

Hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.

2) Formålene med den behandling, hvortil oplysningerne er bestemt.

3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

a) Hvilken type oplysninger det drejer sig om.

b) Kategorierne af modtagere.

c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov.

Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 30.

Bestemmelserne i § 28, stk. 1, og § 29, stk. 1, gælder ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,

5) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og

6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder.

Kapitel 9

Den registreredes indsigtsret

§ 31.

Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,

1) hvilke oplysninger der behandles,

2) behandlingens formål,

3) kategorierne af modtagere af oplysningerne og

4) tilgængelig information om, hvorfra disse oplysninger stammer.

Stk. 2. Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.

§ 32.

Bestemmelserne i § 30 finder tilsvarende anvendelse.

Stk. 2. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra indsigtsretten i samme omfang som efter reglerne i offentlighedslovens § 2 samt §§ 7-11 og 14.

Stk. 3. Der er ikke ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en tredjemand. Der er ikke ret til indsigt i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen.

Stk. 4. Bestemmelsen i § 31, stk. 1, finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

Stk. 5. For behandling af oplysninger på det strafferetlige område, der foretages for den offentlige forvaltning, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.

§ 33.

En registreret person, der har fået meddelelse efter § 31, stk. 1, har ikke krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.

§ 34.

Meddelelser i henhold til § 31, stk. 1, skal på begæring gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne.

Stk. 2. Justitsministeren kan fastsætte regler om betaling for meddelelser, som gives skriftligt af private virksomheder m.v.

Kapitel 10

Øvrige rettigheder

§ 35.

Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

§ 36.

Fremsætter en forbruger indsigelse herimod, må en virksomhed ikke videregive oplysninger om den pågældende til en anden virksomhed med henblik på markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

Stk. 2.

Inden virksomheden videregiver oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Inden oplysninger om en forbruger, der ikke i CPR har frabedt sig sådanne henvendelser, videregives eller anvendes som nævnt i 1. pkt., skal virksomheden tydeligt og på en forståelig måde oplyse om retten til at gøre indsigelse efter stk. 1. Forbrugeren skal samtidig gives adgang til på en nem måde inden for to uger at gøre sådan indsigelse. Oplysningerne må ikke videregives, inden fristen til at gøre indsigelse er udløbet.

Stk. 3.

Henvendelse til forbrugeren efter stk. 2 skal i øvrigt ske i overensstemmelse med reglerne i markedsføringslovens § 6 a og regler udstedt i medfør af markedsføringslovens § 6 a, stk. 6.

Stk. 4.

Virksomheden kan ikke kræve betaling for behandlingen af en indsigelse.

§ 37.

Den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Stk. 2. Den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

§ 38.

Den registrerede kan tilbagekalde et samtykke.

§ 39.

Fremsætter en registreret person indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.

Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis

1) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en aftale, såfremt den registreredes anmodning om indgåelse eller opfyldelse af aftalen er blevet efterkommet eller der findes passende foranstaltninger til at beskytte den registreredes berettigede interesser eller

2) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes berettigede interesser.

Stk. 3. Den registrerede har ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. § 30 finder tilsvarende anvendelse.

§ 40.

Den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.


Bilag 2

Bekendtgørelse om betaling for private dataansvarliges skriftlige meddelelser om indsigt

I medfør af § 34, stk. 2, og § 70, stk. 4 og 5, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger fastsættes:

§ 1.

Har en registreret person forlangt, at en privat dataansvarlig giver skriftlig meddelelse som nævnt i § 31, stk. 1, i lov om behandling af personoplysninger, kan den private dataansvarlige som betaling herfor kræve 10 kr. for hver påbegyndt side. Betalingen kan dog ikke overstige 200 kr.

Stk. 2. Har en person forlangt, at en privat dataansvarlig giver skriftlig meddelelse om, at der ikke behandles oplysninger om den pågældende person, kan den private dataansvarlige som betaling herfor kræve 10 kr.

Stk. 3. De i stk. 1-2 nævnte beløb omfatter merværdiafgift, forsendelsesomkostninger og lignende.

§ 2.

Har den registrerede person ikke forlangt, at meddelelsen eller besvarelsen af en henvendelse skal være skriftlig, kan den private dataansvarlige ikke kræve betaling herfor.

§ 3.

Den, der fremsætter krav om betaling i strid med bestemmelserne i §§ 1-2, straffes med bøde.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 4.

Bekendtgørelsen træder i kraft den 1. juli 2000.

Indholdsfortegnelse

1. Indledning

 

  1.1. Lovgrundlaget
  1.2. Lovens anvendelsesområde, definitioner
  1.3. Legitimationskrav
  1.4. Adgangen til at lade sig repræsentere af andre
  1.5. Hovedpersoner/bipersoner
   
2. Den dataansvarliges oplysningspligt over for den registrerede

 

  2.1. Oplysningspligt ved indsamling af oplysninger hos den registrerede
    2.1.1. På hvilket tidspunkt skal oplysningspligten opfyldes?
    2.1.2. Formkrav
    2.1.3. Hvilke oplysninger skal meddeles?
  2.2. Oplysningspligt ved indsamling af oplysninger hos andre end den registrerede
    2.2.1. På hvilket tidspunkt skal oplysningspligten opfyldes?
    2.2.2. Formkrav
    2.2.3. Hvilke oplysninger skal meddeles?
  2.3. Undtagelser fra oplysningspligten
    2.3.1. Den registrerede er allerede bekendt med oplysningerne
      2.3.1.1. Indsamling hos den registrerede selv
      2.3.1.2. Indsamling hos andre end den registrerede
    2.3.2. Registreringen eller videregivelsen følger af lov
    2.3.3. Underretning viser sig umulig eller uforholdsmæssig vanskelig
    2.3.4. Yderligere undtagelser fra oplysningspligten
     
3. Den registreredes indsigtsret

 

  3.1. Særlige krav til indsigtsbegæringen
    3.1.1. Krav om identifikation af de behandlinger, som begæringen retter sig imod?
    3.1.2. Særligt om kommunale forhold
    3.1.3. Formkrav
    3.1.4. Indsigt i oplysninger om børn og unge under 18 år
  3.2. Indsigtsretten efter lovens § 31, stk. 1
    3.2.1. Hvilke oplysninger skal meddeles?
    3.2.2. Kun oplysninger om den pågældende selv (hovedperson/bipersonspørgsmålet)
  3.3. Hvor hurtigt skal begæringer om indsigt besvares?
  3.4. Meddelelsens form
  3.5. Betaling for skriftlige meddelelser om indsigt
  3.6. Begrænsninger i indsigtsretten
    3.6.1. Afgørende hensyn til offentlige eller private interesser
    3.6.2. Særligt om den offentlige forvaltning
    3.6.3. Behandlinger til brug for videnskabelige undersøgelser eller statistik
    3.6.4. Generel undtagelsesmulighed
    3.6.5. Tidsmæssig begrænsning
     
4. Den registreredes øvrige rettigheder

 

  4.1. Indsigelsesret over for behandlinger
  4.2. Ret til indsigelse mod videregivelse af oplysninger med henblik på markedsføring
    4.2.1. Hvornår kan personoplysninger videregives med henblik på markedsføring?
    4.2.2. Indsigelsesretten
  4.3. Berigtigelse, sletning eller blokering af urigtige oplysninger
    4.3.1. Ret til berigtigelse, sletning eller blokering af oplysninger, der viser sig urigtige m.v.
    4.3.2. Underretning af tredjemand, hvortil oplysninger, der senere er blevet korrigeret, er blevet videregivet
  4.4. Ret til at tilbagekalde et samtykke
  4.5. Ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser
  4.6. Ret til at klage til Datatilsynet
   
5. Datatilsynets kompetence

 

 
Bilag 1: Afsnit III (kap. 8-10) i lov om behandling af personoplysninger
Bilag 2: Bekendtgørelse nr. 533 af 15. juni 2000 om betaling for private dataansvarliges skriftlige meddelelser om indsigt