 |
|
IT-retten.dk  Indhold 13. Persondatabeskyttelse |
|
| Bogen IT-retten - Indholdsfortegnelse - Bilag og links - Tilføjelser mv. - Spørgsmål og svar - Bestil bogen Om denne side - Information - Kontakt |
Indholdsfortegnelse | Forrige kapitel | Næste kapitel Kapitel 13: Persondatabeskyttelse13.1. Problemstillingen13.1.a. BaggrundRetlig systematik Reglerne om persondatabeskyttelse er i familie med flere andre regelsystemer til beskyttelse af privatlivets fred. Det nærmeste slægtskab finder man i straffelovens regler om beskyttelse af privatlivets fred. Strfl. § 264d straffer således den, der "uberettiget videregiver meddelelser ... vedrørende en anden persons private forhold ... der med rimelighed kan forlanges unddraget offentligheden". I nær forbindelse hermed finder man regler om tavshedspligt i den offentlige forvaltning (forvaltningslovens kapitel 8, strfl. §§ 152c - 152f) og i særlovgivningen. Som anført nedenfor kan andre af persondatalovgivningens regler anskues som udtryk for den personlighedsret, der ligeledes kommer til udtryk i de ophavsretlige regler, ligesom dele af den ophavsretlige regelstruktur genfindes. Som retsområdet har udviklet sig, fremstår det som en omfattende og kompleks mængde af regler med ganske uklare strukturer og med en ikke ubetydelig indre inkonsistens. Persondatabeskyttelsen i dag omfatter andet og mere end den retlige beskyttelse mod kompromittering af såkaldt følsomme oplysninger. Lovgivningen sætter også grænser for, hvordan persondata behandles i forskellige henseender, og hvilken indsigtsret den berørte person har. I det omfang, databehandleren er en offentlig myndighed, får retsgrundlaget såvel berøring med forvaltningsrettens almindelige regler om god forvaltningsskik som med de særlige regler om parters og andres aktindsigt. Er databehandleren erhvervsdrivende, er den tilsvarende analogi reglerne om god markedsføringsskik. Udspring Selv om den lovgivning, der regulerer retsområdet, er ny, er selve retsområdet det ikke. Så tidligt som i 1890 fremlagde Samuel D. Warren og Louis D. Brandis i Harvard Law Review (s. 193-220) deres store afhandling "The right to privacy", der udnævnte to basale rettigheder for individet, nemlig dels "the right to be left alone", dels "the right to self-determination". Artiklen findes på <www.louisville.edu/library/law/brandeis/privacy.html>. En bredere interesse for problemerne vedrørende persondatabeskyttelse opstod dog først i efterkrigsårene, hvor George Orwells roman "1984" bidrog til at levendegøre de problemer, som kunne være forbundet med en ukontrolleret anvendelse af de nye informationsteknologier. Den danske lovgivningshistorie kan føres tilbage til 1970, hvor Justitsministeriet nedsatte et registerudvalg, hvis betænkninger (687/1973 om private registre og 767/1976 om offentlige myndigheders registre) dannede grundlag for registerlovene af 1978. Lovene gennemgik en gennemgribende revision i 1987. I 1994 fik vi en særlig lov om massemediers informationsdatabaser, nr. 430 af 1. juni. Loven, der fortsat er gældende (som ændret i 2000), har rod i betænkning 1233/1992. LBP Ved betænkning nr. 1345/1997 fremlagde Justitsministeriets Udvalg om Registerlovgivningen et forslag til en lov om behandling af personoplysninger mv. (i det følgende LBP), der senere er indført som lov nr. 429 af 31. maj 2000 om behandling af personoplysninger. Loven implementerer det EU-direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995 L 281/31), som Parlamentet og Rådet vedtog den 24. oktober 1995 (95/46/EF), og som ifølge art. 32 skulle være implementeret i national lovgivning senest den 24. oktober 1998. Dette skete ikke. I mellemperioden mellem dette tidspunkt og den 1. juli 2000, hvor LBP trådte i kraft, var direktivet derfor umiddelbart gældende i dansk ret. Ved siden af 1995-direktivet, der har generel anvendelse, dækker direktiv 97/66/EF om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren en række særlige spørgsmål, der gør sig gældende på teleområdet. Dette særdirektiv er implementeret i dansk ret ved lov nr. 442 af 31. maj 2000, se hertil afsnit 15.3.a., og ved bekendtgørelse nr. 1169 af 15. december 2000 om udbud af telenet og teletjenester, se hertil afsnit 15.2.c. Med Kommissionens forslag af 12. juli 2000 i KOM(2000) 385 endelig udg. er 1997-direktivet foreslået tilpasset og ajourført den tekniske udvikling, navnlig med sigte på nye Internet-baserede kommunikationsteknologier. Retsområdet Som allerede antydet har den retlige regulering af behandling af personoplysninger fået stadigt stigende betydning. - persondatas rolle For det første "behandles" der langt flere personoplysninger i dag end nogensinde før: Informationsteknologien anvendes overalt i samfundet, og en væsentlig del af de informationer, der behandles (f.eks. ved betjening af kunder, opbygning af databaser eller afvikling af forskellige driftsfunktioner), indebærer, at der registreres og behandles oplysninger om, hvad personer har foretaget sig i forskellige henseender. Denne samfundsmæssige udvikling er sket i takt med, at man i LBP har ladet det meget vide begreb "behandling" danne grundlaget for den retlige regulering af retten til at registrere, behandle, analysere, samkøre og videregive disse oplysninger. - persondata som aktiv For det andet knytter der sig i dag en langt større værdi til personoplysninger, end der gjorde tidligere. Forklaringen herpå er ligetil: I takt med automatiseringens indtog i såvel private som offentlige organisationer er det nødvendigt, at systemerne "ved" noget om de personer, virksomhederne til syvende og sidst har at gøre med - internt såvel som eksternt. Når en kundeorienteret privat virksomhed værdiansættes, f.eks. med henblik på salg, er det ikke mindst værdien af dens kundedatabase, der værdiansættes. Når der tales om effektivisering i den offentlige forvaltning (f.eks. i form af kontrol med "sort arbejde" og dobbeltudbetalinger) opstår konstant skismaer mellem effektivitet og retssikkerhed for de kontrollerede. - "personoplysning" Dertil kommer for det tredje, som en konsekvens af den gældende lovgivning, at selve begrebet "personoplysninger" er blevet ganske vidtspændende. Ifølge LBP § 3, nr. 1, der bygger på direktivets art. 2, litra a, omfatter begrebet "enhver form for information om en identificeret eller identificerbar fysisk person". I direktivet er dette begreb yderligere forklaret således, at det omfatter både den person, der kan identificeres direkte (f.eks. ved navn) og indirekte (f.eks. igennem identifikationsnummer eller igennem ét eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet). Dermed omfatter begrebet ikke alene de egentlige personoplysninger (f.eks. en persons navn, adresse, stilling, bopæl, alder, karriereforløb og familieforhold), men også det, man kan kalde uegentlige personoplysninger, der f.eks. blot efterlades som "elektroniske spor", når man anvender et betalingskort eller besøger en hjemmeside, hvis blot det er muligt at føre disse oplysninger tilbage til personen på grundlag af yderligere information. International udvikling Persondatabeskyttelse er ikke længere et rent nationalt anliggende. Allerede da Danmark i 1998 overskred fristen for implementering af 1995-direktivet, blev emneområdet EU-retligt, idet en stor del af direktivets bestemmelser herefter som sagt blev umiddelbart anvendelige i dansk ret i mellemperioden mellem 24. oktober 1998 og 1. juli 2000. Det er dog værd at mærke sig, at den EU-retlige dimension ikke udtømmer retsområdets internationale aspekter. Som følge af de regler, 1995-direktivet indeholder om eksport af persondata til tredjelande (se herved direktivets art. 25 og bemærkningerne herom i afsnit 13.9.), vil danske virksomheder, der behandler personoplysninger, ofte skulle forholde sig til reglerne om persondatabeskyttelse i tredjelande. Dette kan navnlig tænkes, hvis virksomheden ønsker at eksportere data hertil. Omvendt kan det europæiske regime have betydning for virksomheder i tredjelande. Dette kan f.eks. tænkes, hvis de pågældende virksomheder behandler oplysninger under benyttelse af hjælpemidler, der befinder sig i Danmark (medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område), eller hvis den udenlandske virksomhed indsamler oplysninger her med henblik på behandling i et tredjeland, jf. nærmere LBP § 4, stk. 3. USA 1974 En af de første lovgivninger på persondataområdet foreligger med den Privacy Act, som USA indførte i 1974. Loven tager dog kun sigte på at beskytte personoplysninger behandlet ved visse offentlige myndigheder. En række af de principper, der fandt udtryk heri, blev vedtaget af OECD's råd den 23. september 1980 som " Guidelines on the Protection on Privacy and Transborder Flows of Personal Data". Disse Privacy Guidelines fastslår en række principper for, hvorledes personoplysninger bør beskyttes, der efterfølgende er videreført af Europarådet i konventionen af 28. januar 1981 om Beskyttelse af det Enkelte Menneske i forbindelse med Elektronisk Databehandling af Personoplysninger. Hovedprincipperne i denne konvention er lagt til grund i EU-direktivet. OECD-retningsliniernes grundprincipper ligger fortsat til grund for moderne persondatalovgivning. De lyder som følger: The Collection Limitation Principle (There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject), the Data Quality Principle (Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date), The Purpose Specification Principle (The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose), The Use Limitation Principle (Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with [the purpose specification principle] except: with the consent of the data subject; or by the authority of law), The Security Safeguards Principles (Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data), The Openness Principle (There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller) og The Individual Participation Principle (An individual should have the right to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to him; to have communicated to him, data relating to him within a reasonable time, at a charge, if any, that is not excessive; in a reasonable manner; and in a form that is readily intelligible to him; to be given reasons if a request is denied, and to be able to challenge such denial; and to challenge data relating to him and, if the challenge is successful, to have the data erased, rectified, completed or amended.) 1978-lovene Frem til indførelsen af den nye lov om behandling af personoplysninger var hovedhjørnestenene i dansk lovgivning om persondatabeskyttelse de to love om private og offentlige myndigheders registre. Disse to love ophævedes i konsekvens af indførelsen af LBP. I dag er udgangspunktet, at der gælder fælles regler om behandling af personoplysninger hos såvel private virksomheder som i offentlige myndigheder. Ved siden af dette generelle system findes der et betydeligt antal særregler om personregistrering, jf. afsnit 13.1.c. Retskilder På grund af sit EU-retlige udspring, emneområdets bredde og retskildematerialets forholdsvis unge karakter, bør man i almindelighed være forsigtig med at udtale sig med bestemthed om gældende ret vedrørende behandling af personoplysninger. Der foreligger på nuværende tidspunkt endnu ingen afgørelser fra EF-domstolen om nogen af de centrale - og i mange henseender vage - grundbegreber, som direktivet bygger på. Ej heller når det gælder de dele af LBP, der repræsenterer rent national lovgivning, er der retspraksis at støtte sig til. I denne generelle præjudikat-mangel, kommer praksis fra Datatilsynet til at spille en særlig rolle, ligesom tilsynets mere generelle udtalelser må tillægges betydelig vægt. En særlig rolle spiller her de vejledninger, tilsynet har udarbejdet (herunder om registreredes rettigheder, datasikkerhed og anmeldelsesordningen), og som er tilgængelige fra tilsynets hjemmeside, <www.datatilsynet.dk>. Navnlig kan fremhæves vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i LBP kapitel 8-10. LBP er kommenteret af Peter Blume i en særskilt kommentarudgave (2000), og emneområdet bliver præsenteret med hovedvægt på det retspolitiske perspektiv af samme forfatter i bogen Databeskyttelsesret (2000). 13.1.b. Persondatabeskyttelse mellem jura og politikPå grund af sin berøring til de dele af tilværelsen, som de fleste har et meget personligt og privat forhold til, er lovgivningen om persondatabeskyttelse et af de områder af IT-retten, som har givet anledning til størst retspolitisk interesse. Interessen skyldes først og fremmest, at det risiko-billede, der kan opstå ved en udstrakt brug af informationsteknologi til registreringsformål, er forholdsvis letfatteligt (som klart udtrykt ved George Orwells roman "1984"): Det er forholdsvis enkelt at rejse en politisk "sag" i Folketinget, der tager udgangspunkt i et begivenhedsforløb, hvorved enkeltpersoner er blevet registreret på uforudsete måder, som man kan føle krænkende. Dernæst har emneområdet betydning for os alle, fordi intet menneske i det moderne samfund kan undgå i et eller andet omfang at blive genstand for registrering af personoplysninger. Beskrivelsesproblemet At lovgive på området har dog vist sig ret så kompliceret. Komplikationerne er selvsagt ikke blevet mindre, efter at teknologien har ændret sig fra sit oprindelige maskin-fikserede udgangspunkt til det netværksparadigme, der præger nutidens IT-anvendelse. Der er nemlig mangfoldige måder at beskrive det relevante retsfaktum på. Ved den lovgivning om private og offentlige myndigheders registre, der blev indført i 1978, tog man udgangspunkt i begrebet "register", der dengang viste hen til forholdsvis velkendte maskinelle funktioner. Betragtningen var, at en personoplysning som udgangspunkt befandt sig på et register i en lokaliserbar computer, hvorfra den i givet fald kunne flytte over i et register i en anden computer, evt. gennem såkaldt "samkøring". Denne betragtning er ikke længere dækkende, bl.a. fordi nutidens systemer i langt højere grad end før indebærer, at informationssystemerne opbygges og tilpasses med sigte på den enkelte bruger, og fordi databehandlingsopgaver (hvortil registrering og anden behandling af personoplysninger hører) ofte "deles" mellem flere computere. En oplysning, der ligger i et "register" (i edb-teknisk forstand), kan således ligge på forskellige computere. At oplysninger skal være til rådighed for et varierende antal brugere i varierende funktioner indebærer, at den enkelte bruger måske slet ikke ved, hvor de enkelte oplysninger ligger. Beskyttelsesinteressen Der har været gjort forskellige forsøg på at måle almenhedens sympati eller afsky for personregistrering. I det betænkningsarbejde, der førte til 1978-lovgivningen om private og offentlige myndigheders registre, lagde man uden videre til grund, at den stigende IT-anvendelse "... har skabt en frygt i befolkningen for registreringsaktiviteterne og for, at de indsamlede oplysninger udnyttes på en måde, der krænker den personlige fred og frihed" (betænkning 687/1973 s. 38). I forbindelse med udvalgsarbejdet om informationssamfundet år 2000 (se hertil rapporten Info-samfundet år 2000, 1994, s. 41) blev den på daværende tidspunkt 15 år gamle registerlovgivning udsat for et retspolitisk serviceeftersyn. Det blev bl.a. opstillet som et princip, at person- og databeskyttelse skulle "sikres gennem en tidssvarende lovgivning, som giver mulighed for registrering, samkøring og brug af data til alle lovlige forvaltningsmæssige formål uden bureaukratiske procedurer". Denne generelle anbefaling havde bl.a. rod i de forslag, en arbejdsgruppe under Finansministeriet havde stillet i rapporten "Effektiv edb i Staten" (1992), der bl.a. fremlagde en tanke om (s. 35 ff.), at det offentliges data skulle kunne udnyttes effektivt via "datafællesskaber på tværs af organisatoriske grænser - mellem offentlige myndigheder indbyrdes og i samspil med private interesser". Der er forskellige opfattelser af det berettigede i en sådan adgang til genanvendelse af data, jf. Blume: Databeskyttelsesret (2000), s. 131 ff., der generelt nærer skepsis mod sådanne løsninger, som "svækker borgernes muligheder for at kontrollere, hvad oplysningerne benyttes til og hvor de befinder sig". Den anførte betænkelighed rammer dog ikke det substantielle i forslagene om at opbygge datafællesskaber, nemlig at høste rationaliseringsgevinster gennem datagenbrug. Det kan således forholdsvis enkelt sikres, retligt såvel som teknisk, at der er den kontrol med brugen af de pågældende data, som skønnes fornøden. Undersøgelser Det har dog ikke altid være klart, hvilke mere specifikke ønsker til en lovgivning om persondatabeskyttelse almenheden har. En rapport fra 1993, afgivet af en arbejdsgruppe om registerlovgivningen nedsat af det daværende Teknologinævn, lagde f.eks. op til en - i forhold til tidligere - mere liberal registerregulering, der skelner mellem tre typer af personoplysninger: De almindelige (såsom navn, adresse og telefonnummer mv.), de fortrolige (herunder oplysninger om skat, kontoudtog og offentlige tilskud) og de rent private oplysninger (herunder om helbred, politiske og religiøse forhold). Gruppen foreslog fri adgang til at registrere almindelige oplysninger, specialregulering vedrørende fortrolige oplysninger samt en restriktiv adgang til registrering af private oplysninger. Dens forslag blev dog aldrig ført videre, idet forhandlingerne omkring det senere 1995-direktiv på dette tidspunkt allerede havde baseret sig på andre udgangspunkter. 1996-undersøgelsen I januar 1996 udsendte Institut for Fremtidsforskning en undersøgelse med titlen "Danskernes holdninger til informationsteknologi". Undersøgelsen, hvis hovedresultater er gengivet i bilagshæftet til betænkning 1345/1997, s. 161 ff., viser bl.a., at befolkningens skepsis overfor informationsteknologi i almindelighed og personregistrering i særdeleshed beror på, om de modsvarende fordele ved en sådan registrering lægges frem. 61% af de adspurgte svarer f.eks. nej til spørgsmålet om, hvorvidt det offentlige må få flere oplysninger (overfor 35%, der svarer ja), men 84% svarer ja til, at det offentlige må samkøre (dvs. kombinere oplysninger fra forskellige registre for at uddrage et nyt informationsindhold heraf) med henblik på afsløring af socialbedrageri (mod 14%, der svarer nej hertil). Retlig karakter Man kan diskutere, hvilken generel karakter reglerne om beskyttelse af personoplysninger har. Efter indførelsen af LBP er det gjort til et generelt - om end ikke ufravigeligt - krav, at den registrerede skal give sit udtrykkelige samtykke til behandling af personoplysninger, se herved LBP § 6, stk. 1, nr. 1. I det omfang dette samtykkekrav er gældende, er det nærliggende at drage paralleller mellem persondatabeskyttelseslovgivningen og ophavsretslovgivningen. Selv om udgangspunktet i disse to love er fundamentalt forskelligt, leder det gennemgående samtykkekrav til den fælles betragtning, at den, der kan give samtykke, for så vidt besidder råderetten ("ejendomsretten") til de pågældende oplysninger. Også andre betragtninger er fælles mellem de to lovsystemer: Som nævnt i afsnit 6.1.c. er den kontinentale ophavsret traditionelt baseret på en forestilling om, at rettighedshaveren besidder visse ideelle rettigheder, som netop har forbindelse med hensynet til rettighedshaverens personlighed. Ligeledes kan man i lovgivningen om persondatabeskyttelse finde undtagelser (begrundet i almenhedens interesse i at kunne genbruge information), som kan siges at have paralleller i de indskrænkninger i ophavsretten, der er omtalt i kap. 2 i ophavsretsloven. Også reglerne om privatkopiering/privat anvendelse af personoplysninger har lighedstræk. Når disse iagttagelser gøres, kan der dog være grund til at understrege, at de to lovsystemer i bund og grund tjener vidt forskellige hensyn, og at den retlige vurdering som følge heraf er struktureret grundlæggende forskelligt. Men iagttagelsen tjener til at illustrere, hvor vanskeligt det er at gennemføre lovgivninger om "ejerskab" til information, jf. herved mine bemærkninger i bilagshæftet til rapporten om Info-samfundet år 2000 (1994), s. 121 ff. En variant af denne tankegang er lagt frem af Julius C. S. Pinckaers i doktorafhandlingen "From Privacy towards a new Intellectual Property Right in Persona", Kluwer (1996), se navnlig s. 423 ff. Se ligeledes Volker Beuthien & Anton S. Schmölz: Persönlichkeitsschutz durch Persönlichkeitsgüterrechte (München, 1999). Se tilsvarende Blume: Databeskyttelsesret (2000), s. 30. 13.1.c. SærreglerNetop fordi lovgivningen om persondatabeskyttelse har givet anledning til så righoldige retspolitiske drøftelser er der gennem tiderne skabt en række særregler, der i mange henseender etablerer deres eget regime for persondatabeskyttelse. LBP tager højde herfor ved generelt i § 74 at give hjemmel for, at brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige, i samarbejde med Datatilsynet kan udarbejde "adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i denne lov". Bestemmelsen giver dog ikke hjemmel for at modificere eller fravige lovens almindelige regler, men kodekser af det nævnte indhold - som der endnu (juni 2001) ingen findes af - vil utvivlsomt kunne bidrage til at præcisere retsstillingen. I den følgende gennemgang præsenteres de undtagelser, der følger af særlige lovregler, i tilknytning til hvert enkelt reguleringstema. En kort oversigt kan dog være nyttig på dette sted, ikke mindst fordi omfanget og karakteren af disse fravigelser må forventes at smitte af på fortolkningen af de materielle regler i LBP. I et vist omfang gælder her loven om de forbundne kar: Det giver ikke mening at fastholde fortolkningen af et strengt og altomfattende regime under det generelle regelsæt side om side med massive undtagelsesregler, hvis eneste rationale er, at der er tale om lovgivning med en anden (ofte tilfældig) politisk og ressortmæssig forhistorie. Statstidende Ifølge § 1 i lov nr. om 419 af 31. maj 2000 om elektronisk statstidende er det bestemt, at forskningsministeren skal føre en database med de meddelelser, der optages i Statstidende, jf. forslaget herom i betænkning 1328/1997. Som udgiver af denne database har forskningsministeren udpeget Statens Information, jf. § 1 i bekendtgørelse nr. 799 af 24. august 2000. Som udgangspunkt offentliggøres samtlige oplysninger i denne database. For personoplysninger gælder dog den regel, at sådanne personoplysninger, der i anden sammenhæng må anses for fortrolige, efter et år fra offentliggørelsestidspunktet skal gøres usøgbare, for så vidt der søges på navn eller anden personidentifikation, jf. nærmere § 5, stk. 2. Eksempler herpå kan være oplysninger meddelt i forbindelse med konkurs, tvangsauktion eller gældssanering. De pågældende oplysninger skal dog fortsat ligge i basen. Personoplysninger må dog kun offentliggøres ved proklamaer i dødsboer (altså når personen er død). Masseudtryk kan dog finde sted i det omfang dette følger af anden lovgivning, jf. § 6, stk. 3. Massemedier Lov nr. 430 af 1. juni 1994 om massemediers informationsdatabaser (LMI) indeholder en sektorvis regulering af den behandling af personoplysninger, der sker i pressen. Det EU-retlige grundlag for denne særregulering findes i direktivets art. 9, der giver medlemsstaterne ret til at gøre indskrænkninger fra de centrale kapitler I, IV og VI. I overensstemmelse hermed bestemmer LBP § 2, stk. 6, at loven ikke finder anvendelse på informationsdatabaser, der er omfattet af lov om massemediers informationsdatabaser. Da denne lov, jf. § 1, stk. 2, ikke gælder for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer mv., fastslår LBP § 2, stk. 7, at det således udelukkede område (dog med forbehold for erstatnings- og sikkerhedsreglerne i §§ 41, 42 og 69) heller ikke reguleres af LBP. - sondringer LMI sondrer mellem redaktionelle informationsdatabaser, der indeholder data, som journalister og redaktionsmedarbejdere ved det pågældende medium (og kun de, jf. § 4, stk. 1) selv betjener (jf. nærmere LMI § 3) og de offentligt tilgængelige informationsdatabaser, som for at blive omfattet af loven skal være tilgængelige for enhver på almindelige forretningsvilkår, jf. LMI § 6, stk. 1. For at begge typer af informationsdatabaser kan blive omfattet af loven (og dermed ikke være omfattet af LBP) skal der foretages anmeldelse til Datatilsynet, jf. LMI § 3, stk. 1, og § 6, stk. 1. - redaktionelle I relation til de redaktionelle informationsdatabaser er lovens praktiske konsekvens, at journalisten ikke behøver at yde de retssikkerhedsgarantier overfor den registrerede (i form af f.eks. registerindsigt, samtykke til behandling og indsigelse mod behandling mv.), som følger af de almindelige regler i LBP. Selv om der utvivlsomt er et stort behov for at sikre den registreredes retssikkerhed imod netop pressen - som jo ofte vil kunne gøre ubodelig skade, når der trykkes "historier" om enkeltpersoner på et urigtigt grundlag - har man fra politisk hold følt, at denne pris måtte betales for at sikre pressens frie arbejdsvilkår. - offentligt tilgængelige I relation til de offentligt tilgængelige informationsdatabaser indeholder loven en regulering, der ligger tæt op af reglerne om berigtigelse mv. i medieansvarsloven. Tankegangen er, at den offentligt tilgængelige informationsdatabase skal betragtes som et massemedium, som alle har adgang til, som udgiveren derfor også bærer et vist ansvar for, men som til gengæld også må berigtige de fejl, der måtte opstå i informationsstrømmen. Sammenhængen ses bl.a. i LMI § 8, der fastslår, at en offentligt tilgængelig informationsdatabase ikke må indeholde informationer, der ikke lovligt kan offentliggøres i et massemedie (stk. 1), eller hvis offentliggørelse ville være i strid med god presseskik (stk. 2). Hertil føjer sig en berigtigelsesregel i § 9, hvorefter den, informationerne angår, kan forlange sletning, rettelse eller ajourføring, når de informationer, der offentliggøres i en sådan base, viser sig urigtige eller vildledende, eller når en tidligere omtalt retsafgørelse eller administrativ afgørelse er blevet ændret, eller strafforfølgning er afsluttet ved frifindelse eller påtaleopgivelse. I forlængelse heraf giver § 10 ret til genmæle. Slægtskabet med den presseretlige regulering understøttes i øvrigt af de administrative regler i LMI kapitel 4, der bl.a. henlægger administrationen af loven til Pressenævnet. Betalingsmidler Ifølge § 13 i lov om visse betalingsmidler (LVB) finder LBP anvendelse på sådanne midler med visse modifikationer. Udstederen skal for det første sikre, at brugerens CPR-nummer ikke kan aflæses fysisk eller elektronisk af andre end udstederen. Dernæst fastslår reglen, at oplysninger om, hvor brugeren har anvendt betalingsmidlet, og hvad han har købt, i mangel af særlig hjemmel kun må behandles til visse driftsmæssige formål eller i retshåndhævelsesøjemed. Dog har udstederen også mulighed for at behandle oplysninger om, hvor brugeren har anvendt betalingsmidlet, i rådgivningsøjemed og med sigte på systemtilpasninger. CPR-registeret Ved lov nr. 426 af 31. maj 2000 om Det Centrale Personregister er der givet særlige regler om tildeling af personnumre (CPR-nummer) og folkeregistrering. Ifølge lovens § 3 skal "enhver" have tildelt et personnummer, hvis vedkommende på grund af fødsel eller tilflytning (jf. nærmere lovens kap. 5) folkeregistreres her i landet, inddrages under ATP eller undergives skattesagsbehandling. Personnummeret er altså hverken udtryk for, at den pågældende har dansk statsborgerskab eller for, at der er gennemført en særlig identitetskontrol med vedkommende. Men personnummeret fungerer som indgangsnøgle til de oplysninger, som det offentlige registrerer om den pågældende, ligesom det knytter denne til en bopælsadresse (forstået som det sted, hvor vedkommende regelmæssigt sover uden for tilfælde af ferie, forretningsrejse, sygdom mv., jf. § 6, stk. 1.) Loven indeholder i øvrigt regler for, hvorledes oplysninger fra CPR-registeret kan videregives. Patienter Ved lov nr. 482 af 1. juli 1998 om patienters retsstilling er der bl.a. givet regler om en række af de retlige problemer, der kan opstå i forbindelse med patientbehandling. Ifølge lovens § 20 skal en patient, der fremsætter begæring herom, have meddelelse om, hvorvidt der behandles helbredsoplysninger om vedkommende indeholdt i patientjournaler mv. Behandles sådanne oplysninger, skal der på patientens begæring og på en let forståelig måde gives patienten meddelelse om, hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer. Lovens § 24, stk. 2, fastslår dernæst, at oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger i forbindelse med behandling af patienten kan videregives uden samtykke fra patienten, når det er nødvendigt af hensyn til et aktuelt behandlingsforløb for patienten og videregivelsen sker under hensyntagen til patientens interesse og behov, når videregivelsen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, sundhedspersonen eller andre eller når videregivelsen sker til patientens alment praktiserende læge fra en læge, der virker som stedfortræder for denne. Endelig indfører lovens § 26 en videregivelsesret uden samtykke i særligt kvalificerede tilfælde, hvor hensynet til almenvellet taler derfor. Helbredsoplysninger Ved lov nr. 286 af 26. april 1996 om brug af helbredsoplysninger mv. på arbejdsmarkedet er der givet særlige regler om brug af helbredsoplysninger i ansættelsesretlige relationer. Loven har til formål at sikre, at sådanne helbredsoplysninger ikke uberettiget anvendes til at begrænse lønmodtageres muligheder for at opnå eller bevare ansættelse, jf. § 1, stk. 1. Dette gælder uanset om oplysningerne hidrører fra genetiske undersøgelser, almindelige undersøgelser eller andre kilder. Hovedtemaet for lovens regulering er arbejdsgiverens adgang til at indhente oplysninger, jf. nærmere lovens kapitel II. Hovedreglen er her lovens § 2, stk. 1, der alene giver arbejdsgiver ret til at anmode den ansatte om helbredsoplysninger i forbindelse med ansættelse eller under ansættelse med det formål at få belyst, om lønmodtageren lider eller har lidt af en sygdom eller har eller har haft symptomer på en sygdom, når sygdommen vil have væsentlig betydning for lønmodtagerens arbejdsdygtighed ved det pågældende arbejde. Denne regel modificeres dog ved lovens §§ 3 - 6. Væsentlig er her lovens § 6, der pålægger lønmodtageren at meddele helbreds- eller symptomoplysninger af væsentlig betydning for det pågældende arbejde. Inden ansættelsen skal lønmodtageren meddele disse oplysninger af egen drift, og under ansættelsen udløses pligten af arbejdsgiverens spørgsmål. DNA-profil-registerloven Ved lov nr. 434 af 31. maj 2000 er der oprettet et centralt dna-profilregister, der tjener som internt arbejdsregister for politiet i forbindelse med identifikation af personer i forbindelse med efterforskning af straffesager. Registeret består af en persondel, der indeholder personidentificerede dna-profiler, og en spordel, der indeholder ikke-personidentificerede dna-profiler, jf. § 1, stk. 2. Loven giver nærmere oplysninger om, under hvilke omstændigheder disse oplysninger skal slettes. I lovens § 6 er indeholdt en særegen regel om egenaccess. Det fremgår heraf, at en registreret person ved personlig henvendelse til politiet kan få mundtlig underretning om de oplysninger, der er registreret om vedkommende selv. - persondel I registerets persondel optages dna-profiler af personer, som er eller har været sigtet for overtrædelse af en række grovere forbrydelser i straffeloven, jf. nærmere lovens § 2, stk. 2, nr. 1. Det kræves dog, at dna-analysen er udført i den pågældende sag efter retsplejelovens regler om legemsundersøgelser (kapitel 72). Oplysninger i registerets persondel skal straks slettes, når en sigtelse opgives som grundløs, når der er forløbet 10 år fra frifindelse mv., når den registrerede fylder 70 år, når oplysningerne hidrører fra et uhjemlet tvangsindgreb, eller når andre særlige grunde undtagelsesvis taler derfor, jf. nærmere lovens § 3. - spordel Registerets spordel indeholder ikke-personidentificerede dna-profiler af biologisk materiale, der er fundet på gerningssteder, eller på effekter, personer eller steder med tilknytning til en forbrydelse, jf. § 2, stk. 2, nr. 2. Oplysninger heri skal slettes, når sporfundet er personidentificeret, jf. § 4, nr. 1. Dette kan eventuelt ske i forbindelse med en overførelse til registerets persondel. Dette skyldes netop, at spordelen kun skal omfatte ikke-personidentificerbare dna-profiler. Ligeledes skal oplysninger udgå fra spordelen, når de ikke længere har politimæssig betydning, eller når andre særlige grunde undtagelsesvis taler derfor. Andre regler Den ovenfor givne oversigt over særlig lovgivning om persondatabeskyttelse er langt fra udtømmende. Navnlig findes der talrige særregler inden for det offentlige område, hvor man har lovgivet for at skabe hjemmel for en særlig databehandling. Et eksempel herpå er lov nr. 1203 af 27. december 1996 om Det Fælles Lønindeholdelsesregister, der har til formål at koordinere den indeholdelse i løn mv., der finder sted på grundlag af de afgørelser om lønindeholdelse, som offentlige myndigheder træffer i forbindelse med restanceinddrivelse. Intet tyder på, at denne fremvækst af ny lovgivning er for nedadgående, og med LBP (se navnlig § 2, stk. 1, og § 6, stk. 1, nr. 3) er det da også forudsat, at der kan være et generelt behov for en sådan særlig lovgivning. Når man afklarer retsstillingen på et specifikt samfundsområde må man derfor altid sikre sig, om sådanne særlige regler er gældende. Sådanne regler vil undertiden befinde sig på bekendtgørelsesniveau. Ved telestyrelsens bekendtgørelse om nummeroplysningsdatabaser, nr. 665 af 6. juli 2000, er der f.eks. givet regler om, hvilke oplysninger om abonnentnumre der kan sælges af en teleudbyder (i form af telefonbøger mv.). Bekendtgørelsen er udstedt i medfør af loven om konkurrence- og forbrugerforhold på telemarkedet. 13.2. Lovens afgrænsning13.2.a. UdgangspunktetGenerel anvendelse LBP har et meget bredt anvendelsesområde. Medmindre andet er bestemt gælder den for enhver behandling af personoplysninger inden for såvel privat erhvervsvirksomhed som i det offentlige. Ifølge lovens § 2 gælder der nogle særlige undtagelser fra anvendelsesområdet, jf. afsnit 13.2.b. Men er man uden for dem, gælder den for både private virksomheder, organisationer og offentlige myndigheder. Også den private borger må altså efterkomme lovens regler, medmindre der gælder en undtagelse herfor. En sådan findes i § 2, stk. 3, der lader loven vige for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter. Ligeledes er Folketinget og dets institutioner undtaget, jf. § 2, stk. 5. Domstolene Med LBP er domstolene (nu) omfattet af den registerretlige regulering. Lovens kapitel 8 (om oplysningspligt over for den registrerede), kapitel 9 (om den registreredes indsigtsret) og §§ 35-37 (ret til indsigelse og berigtigelse) og § 39 gælder dog ikke for behandlinger, ved domstolene inden for det strafferetlige område, jf. § 2, stk. 4, 1. pkt. En tilsvarende begrænsning af lovens anvendelse (dog ikke for så vidt angår indsigtsretten), er gjort for behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område, jf. § 2, stk. 4, 2. led. Edb-behandlinger Ifølge § 1 regulerer LBP en række former for "behandling" af "personoplysninger". Den praktisk vigtigste behandlingstype, der er omfattet af loven, er den, der helt eller delvis foretages ved hjælp af edb. Det er i den forbindelse uden betydning, om edb-behandlingen sker med det udtrykkelige og specifikke formål at behandle personoplysninger, eller om en sådan behandling blot opnås som en slags "sidegevinst" i forbindelse med anden databehandling. Transmission af oplysninger via Internet (f.eks. på en chat-side) er omfattet af begrebet "behandling". Det samme gælder den forudgående håndtering af de pågældende oplysninger, såvel som den efterfølgende bearbejdning (læsning, lagring mv.). Manuelle behandlinger Herudover omfatter loven tillige ikke-elektroniske behandlinger af personoplysninger, "der er eller vil blive indeholdt i et register". Sådanne behandlinger betegnes almindeligvis som manuelle, og afgørende for lovens afgrænsning i denne henseende er her begrebet "register". Dette begreb er defineret i lovens § 3, nr. 3, som "enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt geografisk grundlag". Hvis man indsamler oplysninger manuelt med henblik på at lægge dem i et papirbaseret kundekartotek, en kartotekskasse eller journalkortsystem, er man altså indenfor lovens behandlingsbegreb, selv om denne behandling ikke er baseret på IT. Til de fleste praktiske formål er det dog den IT-baserede behandling, der spiller en rolle. Blume: Databeskyttelsesret (2000), s. 126, antager, at kun enkeltstående manuelt behandlede data falder uden for lovens registerbegreb. I lovforslagsbemærkningerne til lovens § 3, nr. 3, antages det - med tvivlsomt føje - at manuelle akter, som indgår i konkret sagsbehandling eller samlinger af sådanne mapper, ikke er omfattet. Hvis sådanne oplysninger (f.eks. om partsnavne mv.) kan identificeres ved hjælp af det journalsystem, der anvendes, må det antages, at de indgår i et register. Før vedtagelsen af LBP udtalte det daværende Registertilsyn, at logning af medarbejderes Internet-anvendelse udgør et register, der var omfattet af lov om offentlige myndigheders registre, men at en sådan registrering ikke kunne anses for stridende mod loven i det omfang den har et sagligt formål. Se i øvrigt om arbejdspladsovervågning afsnit 14.1.d. og nedenfor s. 567 f. "Den registrerede" Registerbegrebet spiller kun en selvstændig rolle i LBP, for så vidt der er tale om sådanne manuelle behandlinger. At loven - talrige steder - taler om "den registrerede" indebærer altså ikke en afgrænsning til tilfælde, hvor en person er genstand for behandling i et register. Der er tale om et terminologisk levn fra tidligere lovgivning, og begrebet "den registrerede" kan således oversættes til "den, hvis oplysninger er genstand for behandling efter lovens regler". I den engelske udgave af direktivet tales om " the data subject". Anden systematisk behandling Ifølge § 1, stk. 2, gælder LBP tillige for anden ikke-elektronisk systematisk behandling i den private sektor, hvis denne omfatter oplysninger om personlige forhold, "som med rimelighed kan forlanges unddraget offentligheden", såsom oplysninger om personers private eller økonomiske forhold. Denne udvidelse af lovens område til visse behandlinger i privat regi vil bl.a. kunne omfatte manuelle databaser med oplysninger om enkeltpersoners politiske sindelag eller etniske herkomst. En del af disse behandlinger udgår dog af loven, jf. LBP § 2, stk. 3, hvis de har "rent privat karakter" (hvilket de næppe har, hvis behandlingen sker som led i politiske aktiviteter el.lign.). Ved sådanne systematiske behandlinger, der altså er omfattet af loven, har den registrerede dog ikke oplysnings- og indsigtsret efter de regler herom, der findes i LBP kapitel 8-9. 13.2.b. Undtagne behandlingerIfølge LBP §§ 1-2 finder loven ikke anvendelse på en række områder, der pga. deres særlige karakter undtages under ét. - private behandlinger I modsætning til 1978-loven om private registre gælder loven således ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter § 2, stk. 3. Som anført af Lindberg & Westman (1999), s. 115, må dette begreb tillægges et mere snævert indhold end begrebet "ikke-kommerciel virksomhed". Man kan således ikke påberåbe sig denne undtagelse som hjemmel for at udbyde en "ikke-kommerciel" Internet-hjemmeside, hvorfra man spreder personoplysninger til almenheden, som ellers ville være omfattet af lovens almindelige regler (herunder samtykkekravet). - kunst og litteratur I medfør af LBP § 2, stk. 10, gælder loven ikke for behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed. For sådanne behandlinger gælder alene reglerne om § 41 (behandlingssikkerhed) og § 42 (anmeldelsespligt), ligesom erstatningsreglen i LBP § 69 kan gøres gældende af den registrerede. I relation til journalistisk virksomhed gælder herudover reglerne i loven om massemediers informationsdatabaser (LMI), jf. bemærkningerne herom afsnit 13.1.c. Loven finder som nævnt ikke anvendelse på behandling af personoplysninger, der foretages fra Folketinget og institutioner med tilknytning hertil (f.eks. Folketingets Ombudsmand), jf. stk. 5. Dernæst afgrænser § 2, stk. 6-9, loven overfor de særlige regler om informationsdatabaser på medieområdet. 13.3. Grundlæggende begreber13.3.a. "Behandling"Som allerede nævnt er lovens centrale begreb "behandling". Dette begreb indgår i de almindelige regler i LBP. Ifølge lovens § 3, nr. 2, defineres behandling som "enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger [underforstået personoplysninger] gøres til genstand for". Definitionen svarer til direktivets art. 2, litra b, der som eksempler på sådanne behandlinger nævner "indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse". Sagt under ét omfatter behandlingsbegrebet altså stort set alt, hvad man ved hjælp af IT kan udsætte en personoplysning for. Det er uden betydning, hvor lang tid, behandlingen varer. Også en proces på ganske få sekunder anses omfattet af begrebet, jf. Lindberg & Westman (1999), s. 114. Behandlingen af personoplysninger er omfattet af lovens begreb, uanset om den er resultatet af en bevidst beslutning om at registrere. Dette subjektive krav har derimod betydning for, hvem der i givet fald kan gøres ansvarlig for en behandling, jf. bemærkningerne neden for om lovens § 3, nr. 3 og 4, der sondrer mellem pligtsubjekterne "dataansvarlig" og "databehandler". Som definitionen hermed er lagt fast, er selv enkeltstående operationer (f.eks. sletning af en oplysning) en "behandling", der som sådan falder indenfor lovens område. Som fremhævet i betænkning 1345/1997 s. 433 skal udtrykket dog i relation til flere af lovens bestemmelser - herunder anmeldelsesreglerne i lovens afsnit V - forstås således, at der sigtes til en række af behandlinger. Behandlingsbegrebet drøftes af Blume i U2000B.425 ff., hvor det med rette påpeges, at kravene til en behandlings lovlighed i relation til konkrete lovkrav må bero på de konkrete forhold vedrørende behandlingen, herunder dennes formål og varighed. 13.3.b. "Personoplysning"Det andet centrale begreb i lovteksten er "personoplysning", jf. de indledende bemærkninger herom under afsnit 13.1.a. Som her anført indbefatter dette begreb enhver oplysning, uanset hvor fragmentarisk den er, der kan henføres til en enkeltperson, f.eks. en persons navn, fødselsdato og adresse samt oplysninger om, at personens fætter er præst i Sønderjylland, og at han foretrækker det ene burgermærke frem for det andet. Også fotos kan betragtes som personoplysninger, hvis det er muligt at identificere den fotograferede, jf. RÅB 1997.87. Krypterede data anses også for personoplysninger i det omfang der er mulighed for at dekryptere disse oplysninger og dermed identificere de personer, dataene angår. Modifikationer Det er uden betydning for afgrænsningen af begrebet "personoplysninger", om de pågældende oplysninger er almindeligt kendt, eller om de kan skaffes til veje ved at man så at sige holder øjne og ører åbne. Man må dog nok stille krav om, at det skal være praktisk muligt - uden opøvelse af ekstreme ressourcer - at kombinere de foreliggende data med den person, der står bag. Har en for værten ukendt restaurationsgæst "efterladt" den personoplysning, der består i et fingeraftryk på et glas, kan disse data ikke betragtes som personoplysninger. Det kan de derimod, hvis værten gemmer dataene sammen med oplysninger (f.eks. fra et betalingskort) om, hvem gæsten er, jf. nærmere Jan Grijpink i 17 CLSR 3.154 ff. (2001). Loven indeholder nogle væsentlige modifikationer i denne brede afgrænsning. For det første følger det af § 2, stk. 7 - 8, at loven ikke finder anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr. 1 eller 2, henholdsvis § 1, nr. 3, eller dele heraf. Det er dog en betingelse, at der ikke er sket ændringer i sådanne basers indhold efter indlæggelsen. I sådanne tilfælde gælder dog fortsat reglerne i § 41 om behandlingssikkerhed og § 42 om anmeldelsespligt, ligesom erstatningsreglen i LBP § 69 kan gøres gældende af den registrerede. For det andet følger det af lovens § 7, stk. 2, nr. 3, at det er tilladt at behandle oplysninger, som er blevet offentliggjort af den registrerede, selv om der er tale om ellers følsomme oplysninger, herunder om den registreredes racemæssige eller etniske baggrund, hans politiske og fagforeningsmæssige tilhørsforhold eller hans helbredsmæssige og seksuelle forhold. Vurderinger Ifølge forarbejderne til den gældende lov anses også oplysninger om, hvorledes andre vurderer den registrerede (f.eks. i forbindelse med en kreditvurdering) for at være personoplysninger. Efter en stringent betragtning må man dog sondre mellem vurderingen og dens grundlag. En sådan sondring kan vel være vanskelig at gennemføre i tilfælde, hvor præmis (faktum) og konklusion (bedømmelse) er tæt forbundne: En udtalelse om, at NN ikke er kreditværdig, fordi han har afgivet insolvenserklæring, indebærer en vurdering, der er en umiddelbar følge af personoplysningen. Men forholdet stiller sig anderledes, hvis den manglende kreditvurdering af en person, der driver virksomhed inden for en bestemt branche, skyldes en nøje analyse af, at der på sigt ikke længere vil være nogen fremdrift i denne branche. En sådan vurdering kan ikke i sig selv siges at være en personoplysning, udover den information, der ligger i, at NN driver virksomhed inden for denne branche. Juridiske personer Udenfor begrebet falder bl.a. oplysninger om juridiske personer, medmindre der er tale om oplysninger om de enkeltpersoner, der fungerer som tegningsberettiget eller befuldmægtiget for den juridiske person. Visse af lovens regler kan dog også påberåbes af juridiske personer, således kapitel 5 om videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige og kapitel 6 om kreditoplysningsbureauer. At man har indført et så vidtspændende begreb skyldes dels omgåelsesbetragtninger (var det tilladt at foretage registrering af enkelte fragmenter af personoplysninger uanset lovens regler, ville der herved åbnes mulighed for vanskelige afgrænsninger, som kunne udnyttes til omgåelse), dels den praktiske betragtning, at man ved brug af informationsteknologi ofte kan sammenstykke hele mosaikbilleder af disse enkelte fragmenter af personoplysninger. Til illustration herom nævnes det eksempel, der benyttes i PA s. 627: En pater ankommer for sent til et selskab, hvor han over for de andre deltagere undskylder sig med, at han havde et langvarigt skriftemål fra en person, der tilstod et mord. Kort efter ankommer en anden deltager i selskabet, der beklager sin sene ankomst med, at han var i kirken for at skrifte.Denne mosaik-sammenhæng illustreres ved U 1999.560 H, hvor Højesteret fandt, at et dagblad kunne gøres ansvarlig for en injurierende omtale af en ikke navngiven direktør, om hvem det dog var oplyst, at han indtil midten af 1994 havde været ansat som underdirektør i en stor bank. Som følge af denne brede begrebsanvendelse indebærer LBP, at selv harmløse oplysninger, der transmitteres pr. e-mail via Internet, i princippet er omfattet af lovreguleringen, jf. Justitsministeriets notat af 28. oktober 1997 om personoplysninger på Internettet, optrykt i bilagshæftet til betænkning 1345/1997 s. 209 ff. (s. 213) samt generelt Lucas Bergkamp & Jan Dhont i 7 The EDI Law Review (2000), s. 71 ff. I de fleste tilfælde volder sådanne former for transmission dog ingen retlige problemer i relation til loven, bl.a. fordi parter, der vælger at kommunikere med hinanden via e-post, hermed også må antages at have afgivet det fornødne samtykke til denne gensidige informationsudveksling. Bipersoner LBP omfatter også de såkaldte " bipersoner". Herved forstås oplysninger om personer, der alene optræder i den pågældende behandling på grund af den registreredes tilknytning til en anden person - "hovedpersonen". I Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i LBP kapitel 8-10 (tilgængelig fra <www.datatilsynet.dk>) nævnes som eksempler herpå oplysninger om pårørende til den registrerede eller om vidner i en civil retssag, se pkt. 1.5. Som nævnt sammesteds vil oplysninger om en biperson ofte være registreret i tilknytning til oplysninger om en hovedperson. Dette indebærer, at der af tekniske grunde ofte kun kan fås oplysninger om bipersonen via hovedpersonens navn, adresse og lignende. Bipersoner har imidlertid som udgangspunkt samme rettigheder som andre registrerede personer, herunder i henseende til adgangen til at gøre indsigelse mod en databehandling. 13.3.c. PligtsubjektetI konsekvens af de afgrænsningsvanskeligheder, den moderne informationsteknologi har skabt i henseende til afgrænsningen af begreberne "registre" og "behandling", er det nødvendigt at få præciseret, hvilke parter der er genstand for de forpligtelser, LBP pålægger ved behandlingen af personoplysninger. Lovens § 3, nr. 4 og 5, sondrer her mellem to pligtsubjekter: Den dataansvarlige og databehandleren. - den dataansvarlige Som dataansvarlig (engelsk: "controller") anses ifølge § 3, nr. 4, den, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Den dataansvarlige er den person eller virksomhed, der bestemmer, hvad der skal ske med personoplysningerne. En dataansvarlig kan altså enten være en fysisk eller juridisk person, herunder en offentlig myndighed. Afgørende er, at den pågældende træffer de grundlæggende, til dels strategiske, beslutninger om, hvilke data der skal behandles, hvorfor og hvordan. Da disse strategiske valg således ligger i hænderne på den dataansvarlige, er det også denne, som står i centrum for lovens materielle forpligtelser, ligesom den dataansvarlige er genstand for det særlige erstatningsansvar i LBP § 69. - databehandler Databehandleren er derimod den - fysiske eller juridiske - person, der behandler oplysninger på den dataansvarliges vegne. Databehandleren træder dermed først frem på scenen i situationer, hvor den dataansvarlige ikke selv forestår driftsafviklingen af de IT-systemer mv., som personoplysningerne behandles i. Dette kan f.eks. tænkes, hvis den organisation, der anvender de pågældende data, har outsourcet sin IT-drift til en ekstern leverandør. Den eksterne leverandør bliver dermed "databehandler". Repræsentation Den registrerede kan som udgangspunkt give en anden fuldmagt til at udøve den kompetence, der efter loven tilkommer ham selv. Dette udgangspunkt modificeres dog på i hvert fald to punkter. I relation til afgivelsen af den pågældende fuldmagt må der for det første stilles visse krav om klarhed til den viljeserklæring, der ligger til grund for denne fuldmagt. Det er her nærliggende at skele til de krav til samtykkets karakter, der stilles jf. LBP § 6, stk. 1, nr. 1, og § 3, nr. 8. I relation til den medkontrahent, som dispositionen gøres gældende overfor, må der dernæst stilles visse krav om sikkerheden for, at der foreligger en fuldmagt, jf. nærmere afsnit 13.4.d. 13.4. Hvilke oplysninger må behandles?13.4.a. SamtykketilfældeProblemet LBP stiller forskelligartede betingelser for, at en personoplysning må behandles. I § 6 opstilles nogle almindelige betingelser, der er gældende for alle typer af personoplysninger. Disse betingelser suppleres med yderligere betingelser om de såkaldt følsomme oplysninger i § 7, og de næstfølgende bestemmelser (§§ 8-14) giver herudover særlige regler for visse typer af personoplysninger. Ved siden af disse oplysningsspecifikke regler foreskriver LBP § 5, hvordan oplysningerne skal behandles, jf. herom afsnit 13.1.e. Udgangspunktet LBP opstiller som en almindelig betingelse, at behandling af personoplysninger, der resulterer i en registrering, kræver den registreredes udtrykkelige samtykke, se LBP § 6, stk. 1, nr. 1. Bestemmelsen forudsætter, at der er tale om en personoplysning. En oplysning, der ikke - eller ikke uden en helt ekstraordinær indsats - kan føres tilbage til den registrerede, kan således indsamles uden samtykke. F.eks. er det tilladt, at et supermarked på grundlag af kasseapparaterne registrerer oplysninger om, hvilke varegrupper der købes på hvilke tidspunkter. Men hvis disse oplysninger kombineres med oplysninger om den enkelte forbrugers identitet (f.eks. baseret på det anvendte kreditkort), skal der indhentes samtykke (hvis ikke behandlingen kan støttes på andre regler). En sådan kombination kan tænkes, hvis de personoplysninger, supermarkedet behandler, gøres til genstand for såkaldt data mining. Ifølge § 3, nr. 8, foreligger der et samtykke fra den registrerede ved enhver frivillig specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Se i øvrigt om problemet Peter Blume i U2000B.77 ff., der på det retspolitiske plan stiller forslag om yderligere kvalificerede krav for at anse et samtykke for gyldigt. Udtrykkelighedskravet Selv om bestemmelsen stiller krav om, at samtykket skal foreligge "udtrykkeligt", må det antages, at betingelserne er opfyldte, hvis de almindelige krav for at anse en viljestilkendegivelse for et "samtykke" er opfyldte, jf. herved definitionen i lovens § 3, nr. 8, se således betænkning 1345/1997 s. 215 og 445. Også visse former for "konkludent adfærd" er således omfattet af begrebet, jf. tilsvarende Lindberg & Westman (1999), s. 123, hvorimod det er vanskeligere at statuere den fornødne "udtrykkelighed" i form af en forudsætning, der blot søges indlagt i en handlemåde. Som vejledning for bedømmelsen kan man skele til, om den pågældende viljeserklæring i et forbrugerforhold ville være tillagt aftalevirkninger, sml. i samme retning Blume Databeskyttelsesret (2000), s. 95. Småttrykte vilkår i omfattende aftaledokumenter vil således ikke nødvendigvis opfylde samtykkekravet - trods "udtrykkelighed" og skriftlighed - hvorimod stiltiende markeringer kan, hvis den pågældende behandling åbenbart sker i den registreredes interesse. Standardklausuler I praksis vil samtykkekravet nok hyppigst give anledning til tvivl i relation til fortrykte samtykke-klausuler, som den (senere) registrerede anmodes om at underskrive i forbindelse med indgangen til et kundeforhold, eller når der indgås aftale via en hjemmeside. I overensstemmelse med de principper, der gælder om vedtagelse af standardvilkår, se hertil Grundlæggende aftaleret (1997) s. 270 ff., må det derfor antages, at kravene til samtykkets styrke beror på, hvilke retsvirkninger samtykket tilsigter at godkende. Jo mere de pågældende oplysninger nærmer sig de tilfælde (jf. nærmere nedenfor), hvor samtykke er ufornødent, desto lavere krav må man stille til dets udtrykkelighed. Gælder samtykket derimod en helt atypisk anvendelse (f.eks. en tilladelse til at anvende oplysningerne til at tegne en nærgående personlighedsprofil), vil det i almindelighed ikke være tilstrækkeligt at henvise til en blandt talrige klausuler i et sæt forretningsbetingelser. LBP tager ikke stilling til betydningen af, at et samtykke meddeles mod betaling. Der er som udgangspunkt intet til hinder for, at den registrerede stiller krav om betaling (eller opnår særlige rabatydelser) som betingelse for at afgive sit samtykke, men sådanne betalingselementer gør ikke i sig selv samtykket mere eller mindre "udtrykkeligt". Tilbagekaldelse Et meddelt samtykke kan kaldes tilbage, jf. LBP § 38. Tilbagekaldelsen har i så fald kun virkning for fremtiden, men hvis der - som det ofte er tilfældet - er tale om en behandling, der har resulteret i, at den registrerede står anført i en database el.lign., er den nok så centrale virkning heraf, at den registrerede herefter må udgå af basen. Som følge af denne bestemmelse antages det at være i strid med god markedsføringsskik, jf. mfl. § 1, at en erhvervsdrivende betinger en aftale af, at forbrugeren giver samtykke til videregivelse af oplysninger til anvendelse uden for virksomheden. 13.4.b. AftaletilfældeIfølge LBP § 6, stk. 1, nr. 2, kan personoplysninger behandles, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i (eller med henblik på foranstaltninger truffet på den registreredes anmodning forud for aftaleindgåelsen). Bestemmelsen har stor praktisk betydning, fordi den legitimerer den anvendelse af personoplysninger, der sker i forbindelse med hovedparten af den kommercielle kommunikation med kunder og forretningsforbindelser mv. En virksomhed behøver altså ikke sikre sig sin kundes samtykke til, at der oprettes et kartotekskort på kunden i virksomhedens database. Med kravet om, at en sådan behandling skal være "nødvendig", er det ikke tilsigtet at forbyde enhver form for behandling, som strengt taget godt kunne udføres på anden måde. Det er nærliggende at læse bestemmelsen således, at nødvendighedskravet sættes i relation til databehandlerens mulighed for at drive virksomheden på en måde, der er sædvanlig for virksomheder af den pågældende type. Det har således aldrig været intentionen med en lovgivning om persondatabeskyttelse, at virksomheder og myndigheder skulle være afskåret fra at høste de rationaliseringsgevinster, en sædvanlig registrering og behandling af personoplysninger åbner mulighed for. 13.4.c. Retlig forpligtelseSelv om der hverken foreligger samtykke eller behandlingen understøtter et aftaleforhold, kan den være legitim som nødvendig "for at overholde en retlig forpligtelse, som påhviler den dataansvarlige", jf. § 6, nr. 3. Med "retlig forpligtelse" sigtes til sådanne forpligtelser, der følger af lovgivningen eller administrative forskrifter fastsat i medfør heraf, f.eks. en læges pligt til at notere navnene på de patienter, der udstedes recepter til. Forpligtelsen behøver dog ikke have hjemmel i en regel, der specifikt omtaler en sådan forpligtelse til at opbevare personoplysninger. Bevisregler Et praktisk vigtigt eksempel på en retlig forpligtelse er de bevisretlige regler. Interessen i at kunne føre bevis til godtgørelse af retskrav kan legitimere opbevaring af bilagsmateriale mv., der indeholder personoplysninger, hvis en sådan opbevaring er forudsætningen herfor. Et andet eksempel er pligten til at udlevere visse oplysninger til det offentlige i forbindelse med kriminel efterforskningsvirksomhed, se herved § 15 i lov nr. 418 af 31. maj 2000 om konkurrence- og forbrugerforhold på telemarkedet. Bestemmelsen har nær forbindelse med § 6, stk. 1, nr. 6, der legitimerer behandlinger, der er nødvendige af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt. 13.4.d. Andre tilfældeVitale interesser Ifølge § 6, stk. 1, nr. 4, er der hjemmel til at behandle personoplysninger, når behandlingen er nødvendig for at beskytte den registreredes "vitale interesser". Hermed menes, jf. betænkning 1345/1997, s. 446, interesser, som er af fundamental betydning for den registrerede. Da man i almindelighed må formode, at den registrerede selv vil være parat til at meddele samtykke til en sådan behandling - hvis han kunne - har bestemmelsen sit primære anvendelsesområde i tilfælde, hvor den registrerede pga. sygdom eller bortrejse er ude af stand til at meddele sit samtykke til en behandling. Samfundets interesse Behandling kan også ske uden samtykke, hvis den er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, LBP § 6, stk. 1, nr. 5. Når området for denne bestemmelse afgrænses, må det holdes for øje, at store dele af den samfundsmæssige interessevaretagelse, der sker i den offentlige forvaltning, som følge af det forvaltningsretlige legalitetsprincip vil være omfattet af § 6, stk. 1, nr. 3, om behandlinger, der har udslag af en (offentlig-)retlig forpligtelse. Som eksempler på opgaver i samfundets interesse, der ikke har denne lovbundne karakter, omtaler betænkning 1345/1997, s. 446, behandling i statistisk, historisk eller videnskabeligt øjemed samt i forbindelse med retsinformationssystemer. Det forhold, at behandling sker i et kommercielt øjemed, udelukker ikke, at den anses for at varetage almene interesser, jf. smst. s. 446 f. "Berettiget interesse" LBP § 6, stk. 1, nr. 7, indeholder en bredt formuleret afslutningsbestemmelse, hvorefter behandling kan finde sted, hvis denne er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, "kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse". Efter sin formulering rummer denne bestemmelse flere af de forudgående bestemmelser (herunder nr. 3, 4, 5, og 6), og dens funktion er da også at modvirke modsætningsslutninger fra disse forudgående bestemmelser. Følsomme oplysninger De foregående regler gælder for enhver oplysning, der har karakter af "personoplysning", uanset om den er banal, om den angår "personlige forhold" (jf. § 1, stk. 2) eller om den er af mere følsom karakter. Når det gælder de såkaldt følsomme (eller sensitive) oplysninger om "racemæssige eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold", opstiller LBP § 7 en række mere restriktive betingelser for behandlingen. Udgangspunktet er - som i øvrigt i loven - at en behandling af sådanne oplysninger ikke må finde sted; men spektret af undtagelser er mere begrænset end efter § 6. Vel kan den registrerede, jf. § 7, stk. 2, nr. 1, i alle tilfælde give sit udtrykkelige samtykke hertil; men hvis ikke der foreligger et sådant udtrykkeligt samtykke, er kun nogle af undtagelsesbestemmelserne anvendelige. I det omfang de er, er anvendeligheden begrænset i forskellige henseender. Når det gælder den registreredes vitale interesser, stilles som et yderligere krav, jf. § 7, stk. 2, nr. 2, at den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, og når det gælder efterkommelsen af retlige forpligtelser, skal behandlingen være nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, § 7, stk. 2, nr. 4. Foruden disse, almindelige regler, er det under forskellige omstændigheder tilladt at registrere bestemte typer af følsomme oplysninger, eksempelvis oplysninger, der allerede er offentliggjort af den registrerede (f.eks. en politikers markering af et standpunkt i den offentlige debat), jf. § 7, stk. 2, nr. 3. Dernæst bestemmer § 7, stk. 3, at oplysninger om fagforeningsmæssige tilhørsforhold kan behandles, hvis dette er nødvendigt for at opretholde den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder. Det erindres i den forbindelse, at behandling af almindelige oplysninger om medarbejderes forhold er lovlig efter reglerne i enten § 6, nr. 2 (aftaleopfyldelse) eller § 6, nr. 3 (retlig forpligtelse). De førnævnte regler kan betragtes som "indgangsbilletten" til at kunne foretage behandlinger af personoplysninger indenfor det område, LBP dækker. Men når det gælder den herpå følgende behandling af disse oplysninger, indeholder loven et kompliceret regelsæt, der dels indeholder visse generelle principper for, hvorledes behandling kan ske (§ 5), dels opstiller specielle krav om anmeldelse (lovens afsnit V), godkendelse (§ 50) samt om sikkerhedskrav (afsnit IV). 13.5. Hvordan skal oplysningerne behandles?13.5.a. Almene kravGod databehandlingsskik LBP § 5 opstiller en række generelle principper for, hvorledes behandling kan ske. Bestemmelsen er opbygget på grundlag af en bred retsstandard, jf. § 5, stk. 1, hvorefter oplysninger skal behandles i overensstemmelse med "god databehandlingsskik". Med denne formulering har Udvalget om Registerlovgivningen oversat ordene "fairly and lawfully" i direktivets art. 6, stk. 1, litra a, med en vending, der harmonerer med andre god skik-regler i dansk lovgivning (herunder god markedsføringsskik, god revisionsskik, god advokatskik, god værdipapirhandelsskik, god presseskik mv.). Når begrebet "god databehandlingsskik" skal udfyldes, kan man formentlig drage en parallel til reglerne om den legale programlicens i ophl. § 36. Således må det antages, at den dataansvarlige har ret til at foretage løbende sikkerhedskopiering af persondata i overensstemmelse med god sikkerhedspraksis. De således udførte kopier skal dog efterleve de sikkerhedsmæssige krav, loven opstiller, jf. nærmere § 41 og nærmere herom nedenfor. Ligesom det kendes fra regelstrukturen i mfl. § 1 opløser princippet om god databehandlingsskik sig i en række delprincipper, der udmøntes i de efterfølgende stykker af § 5. Disse delregler kan føres tilbage til OECD's førnævnte Data Protection Guidelines. Hertil hører det i § 5, stk. 2, nævnte " finalité"-princip, hvorefter indsamling og senere behandling af oplysninger skal ske til "udtrykkeligt angivne og saglige formål" samt det i stk. 3 nævnte bestemthedsprincip, hvorefter behandlede oplysninger skal være "relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves for opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles". Ligeledes indeholder stk. 4 et princip om datakvalitet, hvorefter der skal ske fornøden ajourføring samt kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger, samt sletning eller berigtigelse i fornødent omfang. Endelig indeholder stk. 5 en regel om, at oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i længere tidsrum end det, der er nødvendigt til de formål, hvortil oplysningerne behandles. Temaet er altså generelt det, at enhver behandling af personoplysninger skal være sagligt velbegrundet og må ikke gå videre, end dette saglige formål retfærdiggør. Reglerne illustreres ved Datatilsynets afgørelse af 19. september 2000 i en sag, hvor et forsikringsselskab ønskede at logge medarbejderes brug af IT-systemerne, herunder også Internet-brug. Således loggede man oplysninger om dato og klokkeslet for søgninger på Internet, IP-adresser, http-adresser samt fejlkoder. Formålet hermed var at finde årsager til fejl og driftsforstyrrelser eller manglende adgang til eksterne sites, ligesom loggen gav mulighed for at rekonstruere en eventuel hackers besøg. Kun ganske få medarbejdere med administratorrettigheder havde adgang til loggen, og disse havde strenge pålæg om ikke at følge loggen på fysiske arbejdsstationer. Det var således helt undtagelsesvis og kun efter forudgående advis, at loggen blev konsulteret. Efter i sin udtalelse at have slået fast, at de nævnte oplysninger har karakter af personoplysninger (idet de kan føres tilbage til den enkelte bruger) fandt Datatilsynet, at den pågældende logning af oplysninger måtte anses for at være indsamlet til "udtrykkeligt angivne og saglige formål" i overensstemmelse med § 5, stk. 2, i lov om beskyttelse af personoplysninger. Det forhold, at virksomheden gennemgik loggen i tilfælde, hvor der var mistanke om brug af Internet i strid med interne regler, fandt tilsynet heller ikke uforeneligt med de formål, til hvilke oplysningerne var indsamlet. Datatilsynet udtalte dog, at det var en forudsætning, at medarbejderne på forhånd på en klar og utvetydig måde var blevet informeret om logningen samt den eventuelle gennemgang heraf, jf. reglerne om oplysningspligt i den førnævnte lovs §§ 28 og 29. For så vidt angår e-post fandt Datatilsynet, at virksomhedens sikkerhedskopiering mv. var nødvendig for, at den kunne følge berettigede interesser, nemlig hensynet til drift, sikkerhed, genetablering af dokumentation samt hensynet til kontrol og brug. Også i så henseende var det dog en forudsætning, at de berørte medarbejdere på forhånd klart og utvetydigt var blevet informeret herom. Afslutningsvis bemærkede Datatilsynet, at den trufne afgørelse ikke indebærer nogen ret for virksomheden til at læse medarbejderes private post. 13.5.b. AnmeldelsespligtDet andet regelsystem for behandling af personoplysninger følger af LBP, afsnit V, der indeholder regler om anmeldelse af behandlinger, der foretages henholdsvis for den offentlige forvaltning (kapitel 12), for en privat dataansvarlig (kapitel 13) og for domstolene (kapitel 14). Efter disse regler skal der inden igangsættelse af en behandling foretages anmeldelse til Datatilsynet (§ 43 og § 48) medmindre behandlingen falder inden for en af de undtagelser, der er omtalt henholdsvis i § 44 og § 49. Tilsvarende gælder om ændringer i de pågældende oplysninger, jf. § 46 og § 51. Anmeldelsespligten er præciseret ved Justitsministeriets bekendtgørelse nr. 529 af 15. juni 2000, der gør undtagelse for visse behandlinger, der foretages for den offentlige forvaltning. Anmeldelsen skal angive navnet på den dataansvarlige, behandlingens betegnelse og formål, en generel beskrivelse af behandlingen og af de typer af oplysninger, der vedrører enkelte kategorier af registrerede, modtagere af oplysninger, påtænkt dataeksport til tredjelande, sikkerhedsforanstaltninger samt start og sluttidspunkt, jf. nærmere § 43, stk. 2, og henvisning hertil i § 48, stk. 2. Når det gælder private databehandlere, er en række oplysninger dog undtaget for anmeldelsespligten, jf. § 49, stk. 1. Dette gælder således visse, nødvendige, oplysninger om ansatte, kunder og leverandører samt behandlinger, der sker med henblik på udførelse af visse markedsundersøgelser. Ligeledes er behandlinger foretaget af foreninger (nr. 6), advokater (nr. 7) samt visse former for godkendt behandlingspersonale (nr. 8-9) undtaget. Se generelt om anmeldelsespligten, Datatilsynets vejledning nr. 125 af 10. juli 2000. 13.5.c. TilladelseskravDet tredje led i reguleringen af behandlingen findes i de særlige tilfælde, hvor en behandling forudsætter tilladelse fra Datatilsynet. Regler herom findes i § 50. Bestemmelsen knytter sig til anmeldelsespligten i LBP § 48 og gælder derfor kun så langt den rækker. Pligten gælder således kun for private dataansvarlige, men ikke i relation til behandlinger, der er undtaget fra anmeldelse i medfør af LBP § 49, jf. undtagelsesbekendtgørelsen hertil, nr. 534 af 15. juni 2000. Tilsynets tilladelse er således nødvendig, når behandlingen omfatter følsomme oplysninger (jf. henvisningen til § 7, stk. 1) og - for privatpersoners vedkommende - "strafbare forhold, væsentlige sociale problemer og andre rent private forhold" (jf. henvisningen til § 8, stk. 4). Dernæst gælder tilladelseskravet i relation til advarselsregistre (nr. 2), kreditoplysningsbureauer (nr. 3), headhunterfirmaer (nr. 4) samt retsinformationssystemer (nr. 5). Ligeledes gælder det generelt, at eksport af persondata forudsætter Datatilsynets tilladelse, jf. § 50, stk. 2. 13.5.d. IT-sikkerhedDet fjerde niveau af reguleringen er de regler om behandlingssikkerhed, der findes i LBP afsnit IV. § 41, stk. 3, opstiller her en generalklausul, hvorefter "den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven". Denne regel gælder ikke alene for den dataansvarlige, men også for medarbejdere og samarbejdspartnere, jf. §§ 41, stk. 1, og 42. Kravene hertil er præciseret i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Legitimationskrav En naturlig følge af kravet om oprettelse af en passende behandlingssikkerhed er kravet om, at den registeransvarlige ikke lader personoplysninger tilgå parter, der ikke er berettigede til at modtage dem pga. manglende kontrol med, hvem modtageren er. Efter den almindelige sikkerhedsregel i § 41, stk. 3, skal databehandleren sikre sig, at den, der meddeles oplysninger til, er rette person, så oplysninger om den registrerede ikke kommer til uvedkommendes kendskab. Dette antages i tilsynets praksis at indebære, at der kun må udleveres oplysninger, når vedkommende har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der f.eks. fremsætter en indsigtsbegæring, er identisk med den person, som oplysningerne vedrører. I Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i LBP kapitel 8-10, pkt. 1.3, siges det, at kravet om legitimation kan fraviges, når der på anden måde er skabt sikkerhed for, at den person, som f.eks. fremsætter en begæring om indsigt, er identisk med den person, oplysningerne vedrører. Herved tænkes navnlig på den situation, at den medarbejder hos den dataansvarlige, som modtager begæringen, i forvejen kender den person, der fremsætter begæringen. Når en henvendelse er fremsat skriftligt, og hvis navn og adresse i brevet er identisk med de oplysninger, som i forvejen fremgår af sagen, vil der i almindelighed ikke være grund til at foretage særlige undersøgelser, inden oplysningerne sendes til den registrerede på den angivne adresse. "Særligt gælder det, at der bør udvises forsigtighed med fremsendelse af fortrolige oplysninger til en c/o-adresse, som den registrerede ikke selv har oplyst." En generelt dækkende vejledning om etablering af tekniske og organisatoriske sikkerhedsforanstaltninger findes i DS 484: Norm for edb-sikkerhed. 13.6. Særlige behandlinger13.6.a. Almindelig karakteristikForuden disse almindelige regler om behandling af personoplysninger, indeholder LBP et virvar af særregler, som ud fra forskellige - ikke altid lige konsekvente - principper søger at tilgodese de særlige beskyttelseshensyn, der gør sig gældende på forskellige områder. 13.6.b. PersonnummerProblemstillingen Reglerne vedrørende registrering af personnumre (CPR-numre) har givet anledning til intens retspolitisk debat samt til en lovregulering, der frem til vedtagelsen af LBP indebar, at sådanne identifikationsoplysninger kun måtte registreres efter de, strenge, betingelser, der stilledes for registrering af følsomme oplysninger. At personnummeret har været betragtet som specielt sensitivt hænger sammen med, at det ofte håndteres som en slags indgangsnøgle til de oplysninger, der er registreret om enkeltpersoner i den offentlige forvaltnings registre. Mange forvaltningsmyndigheder, pengeinstitutter, forsikringsselskaber og andre institutioner, hvis datakvalitet baseres på personnummeret, følger den tvivlsomme og i almindelighed retsstridige praksis at udlevere følsomme personoplysninger over telefonen til en person, der angiver sig som den registrerede og giver oplysninger om "sit" CPR-nummer. En sådan praksis kan vel kritiseres af retlige grunde (eftersom resultatet er en uberettiget videregivelse af disse følsomme oplysninger), men at den undertiden følges, skyldes ikke mindst, at der i dag reelt ikke er andre alment udbredte identifikationsværktøjer til rådighed (f.eks. i form af digital signatur el.lign.). LBP Spørgsmålet gav ligeledes anledning til intens diskussion i Justitsministeriets Udvalg om Registerlovgivningen, se hertil betænkning 1345/1997, s. 259 ff., hvor et stort flertal gik ind for en liberalisering af de tidligere restriktive regler. Ifølge LBP § 11, stk. 1, har offentlige myndigheder nu generelt adgang til at anvende CPR-numre med henblik på entydig identifikation eller som journalnummer. For private gælder denne ret kun, når dette 1) følger i henhold til lov eller bestemmelser fastsat i henhold til lov, 2) når den registrerede har givet sit udtrykkelige samtykke hertil, eller 3) når behandlingen alene finder sted til videnskabelige eller statistiske formål. I tilknytning til den sidstnævnte bestemmelse er herudover indsat en bestemmelse om videregivelse af oplysninger om personnummer, som efter sin placering alene finder anvendelse i det omfang, der i øvrigt er ret til at behandle de pågældende oplysninger. En sådan videregivelse kan enten ske i tilfælde, hvor den er et naturligt led i den normale drift af virksomheder mv. af den pågældende art, og videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller i tilfælde hvor videregivelsen kræves af en offentlig myndighed (uden at dette i øvrigt er hjemlet, sml. stk. 2, nr. 1). I de tilfælde, der er omfattet af § 11, stk. 2, nr. 3, må der ikke ske offentliggørelse af personnumre uden udtrykkeligt samtykke, jf. § 11, stk. 3. 13.6.c. KundeoplysningerSom nævnt ovenfor kan man diskutere, om individets "ret" til sine personoplysninger kan karakteriseres som en ejendomsret. Uanset hvordan man forholder sig til denne diskussion ligger det klart, at der i mange henseender knytter sig væsentlige økonomiske interesser til en personoplysning, hvad enten den er følsom eller ikke. Dette gælder navnlig for oplysninger om en aktuel eller potentiel kundekreds. To situationer træder her frem: - virksomhedsoverdragelser I det omfang disse kunder er enkeltpersoner - og ikke andre erhvervsdrivende juridiske personer - er det centralt for køberen at kunne disponere over det foreliggende kundekartotek uden at komme i konflikt med LBP. Efter en formel betragtning ligger det fast, at en videregivelse af et kundekartotek må betragtes som en selvstændig behandling, der må opfylde de almindelige regler for at være lovlig. I overensstemmelse hermed antog Registertilsynet i RÅB 1991.117 ff., at en overførelse af kundeoplysningerne i et konkursramt motionscenter med henblik på, at køberen af centret kunne markedsføre sig overfor de hidtidige kunder, måtte anses som en videregivelse i medfør af § 4b i den tidligere lov om private registre, se nu LBP § 6, stk. 2. Man kan diskutere afgørelsens rimelighed: I de tilfælde - som det foreliggende - hvor kundens tilknytning til en virksomhed primært knytter sig til virksomhedens produkt, snarere end dens indehaver, forekommer det unødigt formelt at knytte afgrænsningen af begrebet "overdragelse" til den juridiske persons identitet, når der i øvrigt ikke forekommer omgåelsesforsøg el.lign. Forholdet ligner i så fald den situation, der vil foreligge, hvis virksomhedsoverdragelsen realiseres som en aktieoverdragelse, og altså uden nogen formel overdragelse af de pågældende data til en ny juridisk identitet. Direct marketing Et andet særligt problem opstår ved målrettet anvendelse af personoplysninger til brug for markedsføring i form af direct mail, dvs. henvendelser til grupper af forbrugere afgrænset efter kriterier, der formodes at korrespondere med særligt købelystne markedssegmenter for bestemte varer og tjenester. Jo mere specialiserede og nicheprægede produkter, en virksomhed afsætter, desto mere værdifuld er kendskabet til potentielle kunder, der i kraft af tidligere efterspørgsel efter lignende produkter har røbet interesse herfor. Men den salgsmæssige interesse i at opnå en så høj datakvalitet som muligt (i form af så præcis afgrænsning af markedssegmentet som muligt) kolliderer her med det ønske, mange mennesker har i ikke at blive genstand for sådanne "personprofiler" - f.eks. manifesteret i et særligt "personligt" tilbud om køb af en bogtitel, der umiddelbart har lighed med en tidligere købt bog. - den almindelige regel Ifølge LBP § 6, stk. 2, må en virksomhed ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. mfl. § 6 a Et sådant samtykke skal indhentes i overensstemmelse med mfl. § 6 a, som ændret ved lov nr. 442 af 31. maj 2000. Ifølge denne bestemmelses andet stykke må en erhvervsdrivende ikke rette henvendelse til en bestemt fysisk person ved brug af andre midler til fjernkommunikation end de i stk. 1 nævnte (e-post, automatiske opkaldssystemer eller telefax), hvis den pågældende over for den erhvervsdrivende har frabedt sig dette. For at understøtte denne adgang til at frabede sig reklamehenvendelser indfører § 6 a, stk. 2 en ordning, hvorefter fysiske personer kan optræde på en fortegnelse, som udarbejdes af Det Centrale Personregister. Første gang en erhvervsdrivende retter en sådan henvendelse til forbrugere, skal der gives tydelig oplysning om retten til at frabede sig henvendelser efter disse regler, jf. § 6 a, stk. 4. Som anført af Blume i U2001B.99 fører bestemmelsen til ganske vidtgående resultater, som det selv under opøvelse af stærke retspolitiske ønsker om persondatabeskyttelse kan være vanskeligt at retfærdiggøre. Den praktiske virkning er for det første, at en avis, der distribueres til sine læsere, kun må indlægge indstik i form af brochurer mv. fra andre virksomheder, hvis avisen på forhånd har efterset CPR-registeret og identificeret de af dens abonnenter, der har anmeldt sig som reklamefri. De pågældende abonnenters aviser skal herefter renses for reklamemateriale. Men dernæst indebærer indsigelsesreglen i LBP § 36, som nærmere omtalt i afsnit 13.7.c, at der forud for hver enkelt udsendelse skal foretages kontrol i CPR, samtidig med at abonnenterne skal gøres opmærksom på indsigelsesretten med en 14 dages frist til at gøre brug af den. - erhvervet Ifølge LBP § 12 må direct mail-virksomheder, der ikke har indsamlet deres oplysninger med den registreredes udtrykkelige samtykke, kun behandle oplysninger om navn, adresse, stilling, erhverv, e-post-adresse, telefon og telefaxnummer samt sådanne oplysninger, der indgår i erhvervsregistre eller i øvrigt er beregnet til at informere offentligheden. Direct mail-virksomheder må dog under ingen omstændigheder behandle oplysninger om enkeltpersoners rent private forhold, strafbare forhold, eller følsomme oplysninger, jf. § 12, stk. 2. 13.6.d. KreditoplysningsvirksomhedSom før nævnt skal den, der ønsker at drive virksomhed som kreditoplysningsbureau (defineret som "behandling af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse") indhente tilladelse fra Datatilsynet, inden behandlingen påbegyndes, jf. § 50, stk. 1, nr. 3, og § 19. Kreditoplysningsbureauer må kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed, LBP § 20. Følsomme oplysninger samt oplysninger om strafbare forhold må ikke behandles, jf. § 20, stk. 2, og kreditoplysninger, som er mere end 5 år gamle, må ikke behandles, medmindre det i enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for kreditvurderingen, § 20, stk. 3. Oplysninger om økonomisk soliditet og kreditværdighed må kun meddeles skriftligt. Summariske oplysninger kan dog meddeles mundtligt (eller på lignende måde), såfremt spørgerens navn og adresse noteres og opbevares i mindst 6 måneder, jf. § 23, stk. 1. 13.7. Den registreredes rettigheder13.7.a. OplysningspligtLBP opstiller en række retskrav for den registrerede, der tilgodeser dennes interesse i at få indseende med, hvilke oplysninger der behandles om den pågældende, samt i et vist omfang adgang til at modsætte sig videre registrering. Meddelelsespligt Ifølge LBP § 28 skal den dataansvarlige eller dennes repræsentant give den registrerede meddelelse, når der indsamles oplysninger hos den registrerede. I denne meddelelse skal den dataansvarlige give oplysning om sin identitet, hvad der er formålet med den pågældende behandling samt alle yderligere oplysninger, der må anses for nødvendige for, at den registrerede kan varetage sine interesser (herunder f.eks. hvem der vil modtage oplysningerne, om der er konsekvenser af ikke at besvare anmodningen, og hvilke regler der gælder om indsigt og berigtigelse af registrerede oplysninger). Efter sit pålydende fremstår denne oplysningsforpligtelse - der har rod i direktivets art. 10 - som ganske vidtgående, og reglen har da også givet anledning til betydelig retspolitisk debat, såvel i forbindelse med direktivforhandlingerne som under det efterfølgende danske udvalgsarbejde. En væsentlig modifikation af oplysningsforpligtelsen af stor praktisk betydning er imidlertid reglen i § 28, stk. 2, hvorefter oplysningsforpligtelsen ikke gælder, hvis den registrerede allerede er bekendt med de nævnte oplysninger. I praksis indebærer denne bestemmelse, at der ikke skal gives meddelelse om sådanne behandlinger, der sker i medfør af § 6, nr. 1 (samtykketilfælde), nr. 2 (gennemførelse af en aftale, som den registrerede er part i) og - alt efter reglernes indhold - også nr. 3 (overholdelse af en retlig forpligtelse, som påhviler den dataansvarlige). Det skal ligeledes fremhæves, at § 28 ikke opstiller noget krav om, at meddelelsen skal gives skriftligt eller under anvendelse af andre særlige formkrav. Vel kan den dataansvarlige have en egen interesse i at anvende bestemte former (herunder navnlig for efterfølgende at kunne dokumentere, at oplysningsforpligtelsen er overholdt), men i praksis er der intet til hinder for, at meddelelsen gives gennem tidligere opslag i forretningslokaler eller ved iøjnefaldende angivelse på en hjemmeside eller lignende. Situationen er selvsagt anderledes, hvis oplysninger ikke er indsamlet hos den registrerede. I disse tilfælde pålægger LBP § 29 den dataansvarlige - eller dennes repræsentant - at meddele de førnævnte oplysninger senest ved registreringen eller - hvor de indsamlede oplysninger er bestemt til videregivelse - senest ved videregivelsen. Også her fraviges meddelelsesforpligtelsen, hvis den registrerede allerede er bekendt med de nævnte oplysninger. Ligeledes gælder meddelelsesforpligtelsen ikke, hvis videregivelsen er udtrykkeligt fastsat ved lov eller underretning viser sig umulig eller uforholdsmæssigt vanskelig, jf. § 29, stk. 2-3. Undtagelser Ifølge LBP § 30 viger meddelelsesforpligtelsen i medfør af §§ 28-29 "hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv". Med denne bestemmelse, som supplerer de undtagelsesbestemmelser, der følger af § 28, stk. 2, § 29, stk. 2-3, skal der i givet fald foretages en nøje afvejning af de interesser og hensyn, der i det konkrete tilfælde kan tale for at gennemføre, henholdsvis undlade, meddelelsesforpligtelsen. De private interesser, som kan komme på tale, kan f.eks. være ønsket om at bevare erhvervshemmeligheder, efterforskningshensyn el.lign. Der er altså ikke med denne undtagelsesbestemmelse åbnet op for en bred fravigelse af meddelelsesforpligtelsen. 13.7.b. IndsigtsretUdgangspunkt Ifølge LBP § 31 skal den dataansvarlige, på begæring fra enhver, give meddelelse om, hvorvidt der behandles oplysninger om den pågældende. Der gælder for så vidt en almindelig behandlingsindsigt (tidligere: "registerindsigt"). Behandles der oplysninger om den registrerede, har denne ret til - på en let og forståelig måde - at få meddelelse om, hvilke oplysninger der behandles, behandlingens formål, hvem der kan modtage oplysningerne samt information om - hvis denne er tilgængelig - hvorfra oplysningerne stammer. Tidsfrister Begæringer af den nævnte art skal besvares inden 4 uger efter modtagelsen, jf. § 31, stk. 2. Har man modtaget meddelelse efter disse regler, har man ikke - medmindre der godtgøres en særlig interesse - krav på at få en ny meddelelse, før der er gået 6 måneder, jf. § 33. Retten til behandlingsindsigt - eller "egenaccess" - korresponderer i den offentlige forvaltning med de regler om aktindsigt, der følger af offentlighedslovens regler. For at sikre den fornødne korrespondens mellem de to regelsystemer fastslår § 32, stk. 2, at de undtagelser fra reglerne om dokument-offentlighed, der findes i offentlighedslovens § 2 samt §§ 7-11 samt 14, tilsvarende finder anvendelse, når den registrerede fremsætter begæring om indsigt, jf. § 31. Meddelelsen skal på begæring gives skriftligt (medmindre hensynet til den registrerede taler for, at den kan gives mundtligt) og der kan - i overensstemmelse med reglerne herom fastsat af Justitsministeriet - kræves betaling herfor, jf. § 34. Undtagelser Også indsigtsretten er underlagt visse undtagelser, jf. § 32. Den gælder således ikke, hvis hensynet til den registrerede viger for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. § 32, stk. 1, jf. § 30, stk. 1. For så vidt angår domstolenes behandling gælder den dernæst kun, hvis oplysningerne indgår i en tekst, som "foreligger i endelig form" (f.eks. som dom, beslutning eller kendelse), medmindre der er tale om oplysninger videregivet til tredjemand, jf. § 32, stk. 3. Indsigtsretten gælder heller ikke, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller med henblik på udarbejdelse af statistikker (§ 32, stk. 4). 13.7.c. IndsigelsesretUdgangspunktet Ifølge LBP § 35 kan den registrerede til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Bestemmelsen indfører en formel klageadgang og tager altså ikke stilling til, om den registrerede rent faktisk har ret til at modsætte sig den pågældende behandling. Den indebærer, at den dataansvarlige har en strafsanktioneret (jf. LBP § 70, stk. 1, nr. 1) pligt til at tage stilling til, om indsigelsen er berettiget og - hvis dette er tilfældet - at ændre behandlingen således, at denne ikke længere omfatter de pågældende oplysninger, jf. stk. 2. Dette kan f.eks. tænkes, hvis der er tale om urigtige eller vildledende oplysninger, jf. nærmere LBP § 37. Samtykketilbagekaldelse Derimod giver LBP § 38 den registrerede ret til at tilbagekalde det samtykke, som ellers legitimerer den pågældende behandling. Loven tager ikke stilling til, om adgangen hertil er præceptiv, eller om den registrerede kan på forhånd kan give afkald herpå. Dens kerneområde er de tilfælde, hvor samtykket meddeles uden nogen egentlig modydelse. I disse tilfælde må formodningen være for, at der hersker præceptivitet - hvis ikke, ville reguleringen nærmest savne sit formål. Indgår samtykket derimod i en aftaleregulering, hvor transaktionen er betinget af, at de pågældende oplysninger kan anvendes, vil der ikke være tale om et enkeltstående samtykke, men om en behandling, der er legitimeret efter kontraktsreglen i LBP § 6, stk. 1, nr. 2. Et sådant indirekte "samtykke" kan ikke uden videre kaldes tilbage. Grænsen mellem de enkeltstående samtykketilfælde og tilfælde, hvor samtykket indgår som en integreret bestanddel af en aftaleregulering, kan dog være flydende. Der er tale om en ganske vigtig undtagelse, givet de talrige bestemmelser i LBP, der betinger lovligheden af en behandling af den registreredes samtykke. Sådanne regler findes i LBP § 6, stk. 1, nr. 1 (den almindelige regel) og stk. 2 (videregivelse af oplysninger til markedsføringsformål), § 7, stk. 2, nr. 1 (følsomme oplysninger), og stk. 4 (videregivelse af følsomme oplysninger fra foreninger mv.), § 8, stk. 2, nr. 1 (videregivelse af semi-følsomme oplysninger fra den offentlige forvaltning), og stk. 4 og stk. 5 (privates behandling og videregivelse af oplysninger om strafbare forhold), § 11, stk. 2, nr. 2 og 3 (behandling af personnumre), § 12, stk. 1, nr. 3 (salg af adresseoplysninger med henblik på markedsføring) og § 27, stk. 2 (dataeksport til tredjelande). Markedsføringsformål En mere vidtgående indsigelsesret har den registrerede derimod, for så vidt angår oplysninger med henblik på markedsføring, jf. LBP § 36. Fremsætter en registreret person indsigelser herimod, må sådanne oplysninger ikke behandles, selv om de måtte være legitimeret på andet grundlag. Bestemmelsen er suppleret med en oplysningsforpligtelse, hvorefter den dataansvarlige "udtrykkeligt" skal give oplysninger om indsigelsesretten, inden der foretages markedsføring overfor den registrerede. Når det gælder oplysninger til brug for markedsføring, har den dataansvarlige i øvrigt pligt til at give forbrugere meddelelse, inden første videregivelse, jf. nærmere § 36, stk. 2. I meddelelsen skal der udtrykkeligt gives oplysning om retten til at gøre indsigelse. Adressebeskyttelse Ifølge CPR-lovens § 28 har enhver ret til at få navne- og adressebeskyttelse ved henvendelse til bopælskommunen. Denne beskyttelse indebærer, at vedkommendes navn og adresse i CPR-registeret som udgangspunkt ikke må videregives til private. Videregivelse kan dog ske, hvis der er særlig hjemmel dertil, eller hvis Indenrigsministeriet giver tilladelse, jf. CPR-lovens § 34. Ligeledes kan kreditoplysningbureauer, som er godkendt af Datatilsynet, få navn og adresse oplyst fra CPR, jf. CPR-lovens § 38, stk. 4. Endvidere kan visse institutter, der er undergivet den finansielle tilsynslovgivning, jf. CPR-lovens § 42, stk. 3-5, få oplysning om civilstand og slægtskabsforhold. Endelig kan der ske videregivelse af beskyttede navne og adresser til private, der har en retlig interesse heri, hvis den pågældende på forhånd kan identificere vedkommende. Generelt gælder det, at en persons navne- og adressebeskyttelse ikke kan opretholdes over for kreditorer, der agter at foretage skridt til opkrævning eller inddrivelse af en forfalden fordring, jf. CPR-lovens § 42, stk. 5. 13.7.d. BerigtigelseLBP § 5, stk. 4, opstiller en almindelig regel om datakvalitet, hvorefter behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring og med kontrol for, at der ikke behandles urigtige eller vildledende oplysninger. Denne bestemmelse pålægger også den dataansvarlige at slette eller berigtige oplysninger, der viser sig urigtige eller vildledende, snarest muligt. I tillæg til denne almindelige forpligtelse giver LBP § 37 enhver registreret person ret til at fremsætte anmodning om berigtigelse af sletning eller blokering af oplysninger, der viser sig urigtige eller vildledende eller på lignende måde retsstridige. Hvis de pågældende oplysninger forinden er videregivet i deres fejlagtige eller retsstridige form, skal den dataansvarlige underrette modtageren om, at de videregivne oplysninger er berigtiget eller slettet, jf. § 37. 13.8. Tilsyn og kontrolTilsynet med lovens overholdelse påhviler i medfør af LBP § 55 Datatilsynet (tidligere Registertilsynet), der består af et råd og et sekretariat. Dog fører Domstolsstyrelsen tilsyn med behandling og oplysninger, der foretages fra domstolene, jf. § 67. Datatilsynet er organisatorisk placeret som en styrelse under Justitsministeriet, men skal i medfør af § 56 udøve sine funktioner i fuld uafhængighed. Ifølge § 58 påser tilsynet af egen drift eller efter klage fra en registreret, at behandling finder sted i overensstemmelse med loven og regler udstedt i medfør af loven, og efter reglerne i § 59 kan tilsynet påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter loven samt berigtige dette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling. Foruden disse almindelige regler har tilsynet dispensationskompetence i medfør af lovens § 7, stk. 7 (følsomme oplysninger), § 10, stk. 3 (videregivelse af oplysninger fra videnskabelige og statistiske undersøgelser), § 13, stk. 1 (registrering af telefonnumre), § 27, stk. 4 og § 58, stk 2 (dataeksport). Herudover er der tillagt Datatilsynet afgørelseskompetence i medfør af reglerne om retsinformationssystemer (§ 9, stk. 3) samt om den registreredes rettigheder, jf. reglerne herom i del III (§§ 28-31, 32, stk. 1, 2 og 4 samt §§ 33-39). 13.9. Dataeksport13.9.a. ProblemstillingenDet er helt almindeligt i dag, at informationssystemer kobles sammen gennem nationale og internationale datanet. En sådan sammenkobling kan foregå bilateralt, f.eks. inden for en virksomhed eller koncern eller overfor virksomhedens samarbejdspartnere. Men den kan også forekomme i relation til en ubestemt flerhed af potentielle modtagere. Det er ganske få virksomheder - om overhovedet nogen - der kan eksistere i dag uden at behandle personoplysninger, således som dette begreb anvendes i direktivet. For visse brancher er en sådan dataeksport vitalt afgørende for virksomheden. Det gælder f.eks. inden for den finansielle sektor, i forsikringserhvervet og i relation til en række liberale erhverv. Men også for talrige andre virksomheder vil der ofte opstå behov for at kunne overføre personoplysninger på tværs af landegrænser. Behovet for at foretage en sådan dataudveksling kolliderer imidlertid med ønsket om at sikre et højt beskyttelsesniveau og undgå, at personoplysninger gøres til genstand for en ukontrolleret behandling i jurisdiktioner, der ikke har samme beskyttelsesniveau som herhjemme. Man befinder sig her i et klassisk skisma mellem på den ene side hensynet til effektivitet (som taler for at tillade dataeksport af personoplysninger) og individhensynet. På tværs af disse hensyn træder handelspolitiske hensyn ind. Vidtgående regler om databeskyttelse vil således indebære en slags tekniske handelshindringer, som reelt kan forhindre virksomheder fra tredjelande i at gøre sig gældende i konkurrencen. Netop denne betragtning var i sin tid en af hovedbegrundelserne for, at man valgte at harmonisere lovgivningen om persondatabeskyttelse. I LBP er dette spørgsmål - i overensstemmelse med reglerne i direktivets art. 25 - reguleret i kapitel 7. Kapitlet består kun af en enkelt bestemmelse, § 27, men den er til gengæld ikke så lidt kompliceret, og det er ikke helt forkert at sige, at reglerne om dataeksport til tredjelande udgør en indgribende overbygning til den almindelige persondataregulering af stor praktisk betydning. Ved et "tredjeland" forstås ifølge § 3, nr. 9, en stat, som ikke enten er EU-medlem eller har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til direktivets. Indtil aftaler af denne art er indgået, er man nødt til at gå frem efter direktivets almindelige regler. 13.9.b. UdgangspunktetSom reguleringen tegner sig, er udgangspunktet klart. Der må kun overføres personoplysninger til tredjelande, hvis det pågældende land sikrer et tilstrækkeligt beskyttelsesniveau, jf. § 27, stk. 1. Med denne retlige standard lægges der op til en afvejning, der involverer "samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet", jf. stk. 2. Det siger sig selv, at den dataeksportør, der under trussel om straf (jf. LBP § 70, stk. 1, nr. 1) i første række er overladt dette valg, vil være tilbageholdende med at medvirke til en sådan dataeksport. Bestemmelser, der hjemler straf for adfærd, der i en efterfølgende vurdering må antages omfattet af en retlig standard, er ikke i god harmoni med dansk strafferetlig tradition og bør generelt undgås eller i det mindste suppleres med mekanismer, der kan bibringe en form for afklaring af det essentielle skønselement, der indgår i standarden. 13.9.c. GodkendelsesordningerI direktivet er denne form for afklaring søgt gennemført ved den procedure, der er lagt fast i art. 25. Heri foreskrives dels et system, hvorefter lande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau kan blacklistes (stk. 3 - 4), dels et system, hvorefter lande, der på forhånd kan siges at være på det krævede niveau, godkendes efter den procedure, der er foreskrevet i direktivets art. 31, stk. 2 (høring af det særlige regeringsudvalg, der er nedsat ifølge art. 31, stk. 1). Befinder et land sig på en sådan liste, kan dataeksportøren uden videre betragte landets beskyttelsesniveau for "tilstrækkeligt", jf. LBP § 27, stk. 1. I skrivende stund (juni 2001) har Kommissionen truffet to beslutninger i henhold til disse regler. Ved sin beslutning af 26. juli 2000 (EFT 2000 L 215/1) er det besluttet, at Schweiz og Ungarn anses for at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives for Den Europæiske Union. Derudover har Kommissionen den 27. juli 2000 truffet en særlig beslutning vedrørende USA. 13.9.d. "Safe Harbor"I modsætning til Schweiz og Ungarn har USA ikke nogen generel lovgivning om persondatabeskyttelse, og trods langvarige forhandlinger mellem Kommissionen og Det Amerikanske Handelsministerium har det ikke været muligt at formå de amerikanske beslutningstagere til at udvirke en sådan lovgivning. Derfor er det vanskeligt at karakterisere USA - som tredjeland betragtet - som værende på et sådant "tilstrækkeligt" beskyttelsesniveau, at det kan anses for legitimt - uden videre - at eksportere persondata dertil. Det kompromis, der nødvendigvis måtte opnås i en sådan situation (som ellers ville have udløst en handelskrig af uoverskuelige dimensioner), indebar et særligt kunstgreb. EU Kommissionen og U.S. Department of Commerce har opstillet et sæt såkaldte "Safe Harbor Privacy Principles", jf. bilaget til kommissionsbeslutningen af 26. juli 2000 (EFT 2000 L 215/7) og generelt <www.export.gov/safeharbor>. Man er således enig om at anse disse regler for at sikre et tilstrækkeligt beskyttelsesniveau. Det retlige grundlag herfor ligger i LBP § 27, stk. 4, der hjemler en særlig form for tilladelse fra den relevante tilsynsmyndighed til, at der overføres oplysninger til tredjelande, som ikke opfylder de krav, der er indeholdt i § 27, stk. 1. Kravet hertil er, at den dataansvarlige yder "tilstrækkelige garantier" for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Safe Harbor-modellen fungerer således, at en virksomhed, der på forhånd tilslutter sig disse principper (ved at tegne sig på en liste, der siden 1. november 2000 har været ført af Department of Commerce), anses for at have opfyldt direktivets regler. Den pligt, virksomheden herved påtager sig, kan tænkes ført ud i livet gennem særlige mærkningsordninger, hvorved udbyderen af en hjemmeside eller et andet informationssystem på forhånd markerer, hvilke procedurer for persondatabeskyttelse man efterlever. Nærmere om disse mærkningsordninger afsnit 15.5. Se nærmere hertil generelt Blume: Personoplysningsloven (2000.107 ff.) og samme: Databeskyttelsesret (2000) s. 201 ff. Se tillige Blume i International Journal of Law and Information Technology, nr. 8, s. 65 ff. (2000) og Lee A. Bygrave i 16 CLSR 252 ff. (July-August 2000). Safe Harbor-løsningen har ikke været en succes. Til dato (juni 2001) har kun et begrænset antal virksomheder tegnet sig på listen (dog enkelte store, herunder Microsoft), muligvis fordi man føler, at man dermed påtager sig forpligtelser uden egentlig at få noget til gengæld. Indtil man kender indholdet af de kontrakter, der ventes udarbejdet med henblik på dataeksport, jf. straks nedenfor, vil der således være et vist incitament til at vælge en "wait and see"-attitude. 13.9.e. KontrakterI direktivets art. 26, stk. 2, siges det udtrykkeligt, at de garantier, der kræves for at kunne eksportere data til tredjelande, "især" kan fremgå af "passende kontraktsbestemmelser." Ifølge direktivets art. 26, stk. 4, kan sådanne vilkår godkendes af Kommissionen efter høring af det særlige udvalg om persondatabeskyttelse, der er nedsat i henhold til art. 31, stk. 1. Ifølge den nævnte bestemmelse indebærer godkendelsen, at de pågældende medlemsstater skal træffe "de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse", dvs. undlade at omgøre den pågældende godkendelse. På nuværende tidspunkt (juni 2001) foreligger et udkast til en sådan standardaftale, udarbejdet af Kommissionen efter et forarbejde fra ICC. Den seneste version til denne kontrakt er dateret 27. marts 2001, men (også) den er formentlig langt fra vedtagelse. Meningerne er delte. Det førnævnte udvalg har fundet, at en række bestemmelser ikke går langt nok i beskyttelsen af individet. Fra erhvervsside er udkastet blevet kritiseret for at gå videre end nødvendigt, herunder ved at pålægge et solidarisk erstatningsansvar for fejl begået af dataeksportøren eller dataimportøren. 13.9.f. TilbagefaldsreguleringenFinder ingen af de ovenfor anførte regler anvendelse, må dataeksportøren gå frem efter reglerne i LBP § 27, stk. 3, der i hovedsagen inkorporerer de krav, der stilles til nye behandlinger: Specifikt samtykke (nr. 1), aftaleopfyldelse (nr. 2), tilfælde, hvor den registrerede selv har interesse i dataeksporten (nr. 3), samfundsmæssig nødvendighed (nr. 4) og vitale interesser (nr. 5). Hertil føjes en række særlige undtagelsestilfælde, der knytter an til offentligretlig, efterforskningsmæssig eller efterretningsmæssig opgavevaretagelse (nr. 6-8). Supplerende litteraturEfter gennemførelsen af den nye lov om persondatabeskyttelse er der fremkommet flere fremstillinger af dette nye regime, således Peter Blumes lovkommentar Personoplysningsloven (2000) og den mere retspolitisk orienterede Databeskyttelsesret (2000). En kort, men instruktiv, oversigt over den nye lov samt tilgrænsende regler om beskyttelse af privatlivssfæren findes i Oluf Jørgensen: Persondataret (2000). Et andet vigtigt fortolkningsbidrag foreligger med de vejledninger, der er udarbejdet af Datatilsynet og som er tilgængelige fra tilsynets hjemmeside, <www.datatilsynet.dk>. Ligeledes indeholder årsberetningerne fra Datatilsynet (tidligere Registertilsynet) talrige fortolkningsbidrag samt løbende omtale af praksis fra denne centrale myndighed. Foruden den omtale af Safe Harbor-reguleringen, der findes på <www.export.gov/safeharbor> henvises til det materiale, der er tilgængeligt fra Federal Trade Commissions hjemmeside <www.ftc.gov/privacy/safeharbor/shp.htm>. Se ligeledes Gillian Bull i 17 CLSR 239 ff. (July/August 2001). Indholdsfortegnelse | Forrige kapitel | Næste kapitel |