Kritik af Det Konservative Folkepartis manglende opfyldelse af oplysningspligten

Dato: 22-12-2021
Afgørelse Private virksomheder Kritik Tilsyn / egendriftssag Oplysningspligt Behandlingsgrundlag

Datatilsynet har vurderet, at Det Konservative Folkeparti ikke opfyldte sin oplysningspligt ved indsamling af personoplysninger om potentielle vælgere.

Journalnummer: 2019-431-0031

Resumé

Datatilsynet har truffet afgørelse i en sag, hvor tilsynet efter en række konkrete henvendelser i 2019 blev opmærksom på Det Konservative Folkepartis behandling af personoplysninger i forbindelse med, at partiet sendte breve til udvalgte husstande angående valget til Europa-Parlamentet 2019 og Folketingsvalget 2019. Datatilsynet besluttede derfor at undersøge sagen nærmere af egen drift.

Det Konservative Folkeparti havde indsamlet navn og adresse på udvalgte modtagere med henblik på at sende breve om partiets mærkesager. Det Konservative Folkeparti havde som begrundelse for ikke at give oplysninger til de registrerede – brevmodtagerne – anført, at opfyldelse af oplysningspligten kunne undlades, fordi indsamlingen af navn og adresse med henblik på at sende et brev, udgør en udtrykkelig fastsat rettighed efter dansk praksis, som ikke tilsidesætter hensynet til den registrerede.

Datatilsynet fandt, at Det Konservative Folkeparti ikke havde opfyldt sin oplysningspligt efter databeskyttelsesforordningen og udtalte kritik af partiet, idet tilsynet ikke fandt, at der var grundlag for at undlade at opfylde oplysningspligten.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Det Konservative Folkepartis behandling af personoplysninger er sket inden for rammerne af databeskyttelsesforordningens[1]artikel 6, stk. 1.

Datatilsynet finder dog samtidig, at der er grundlag for at udtale kritik af, at Det Konservative Folkepartis behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i forordningens artikel 14.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Det Konservative Folkeparti op til valgene til Europa-Parlamentet og Folketinget i maj/juni 2019 udsendte en række breve til private borgere om partiets mærkesager.

2.1. Det Konservative Folkepartis bemærkninger

NJORD Advokatpartnerselskab (herefter ”Njord”) har på vegne af Det Konservative Folkeparti anført, at sagen er stort set identisk med en tidligere sag, som Datatilsynet traf afgørelse i den 8. juni 2016 (Datatilsynets j.nr. 2014-219-0516)[2]. Ligesom i den tidligere sag har Det Konservative Folkeparti samarbejdet med datadistributøren Geomatic A/S.

Njord har oplyst, at der i forbindelse med valget til Europa-Parlamentet blev sendt breve til 130.210 personer, og at der i forbindelse med valget til Folketinget blev sendt breve til 149.339 personer. Det vides ikke med sikkerhed om og i hvilket omfang, der var personsammenfald for modtagelsen af breve i de to kampagner. Det er sandsynligt, at der i nogen udstrækning har været personsammenfald.

Njord har overordnet anført, at afsendelsen af brevene fandt sted ved en almindelig anerkendt metode til fremsendelse af politiske budskaber.

Det Konservative Folkeparti indgik samarbejdet med Geomatic med henblik på at føre en såkaldt ”direct mail-kampagne”. Kampagnen gik ud på at sende breve til potentielle vælgere med en præsentation af partiets politiske mærkesager. Brevene blev omdelt via trykkeriet Degn Grafisk A/S

Modtagerne af brevene blev udvalgt på baggrund af en segmentering foretaget af Geomatic. Segmenteringen blev skabt ud fra statistiske data fra Danmarks Statistik, offentligt tilgængelige data fra bl.a. valgstedsdata, BBR og CVR, geografiske variabler om befolkningstæthed samt produktet conzoom®.

Produktet conzoom® er en datadrevet segmentering, der afdækker træk eller tendenser i befolkningen og består af segmentering af ni grupper og 36 typer.

De konkrete navne og adresser, der blev anvendt til direct mail-kampagnen, blev på baggrund af udvalgte geografiske områder fra segmenteringen identificeret via Geomatics ”beslutningstagervariabel”.

Beslutningstagervariablen er et produkt, som Geomatic leverer i kraft af sin status som distributør af teledata (www.118.dk), hvor de via en distributøraftale med TDC A/S modtager og validerer navne, adresser og telefonnumre til efterfølgende distribution til bl.a. direct mail-kampagner.

Valideringen foretages ved hjælp af et CPR-kviktjek og de offentligt tilgængelige data fra teleoplysningen med henblik på at sandsynliggøre, hvilken person der på en given adresse åbner breve i hjemmet.

Beslutningstagervariablen skal sikre, at breve ikke stiles til afdøde personer eller børn. Det er en helt sædvanlig fremgangsmåde inden for direct mail-kampagner.

Det Konservative Folkeparti var dataansvarlig for behandlingen af navn og adresse på privatpersoner i forbindelse med afsendelsen af breve med oplysning om partiets politiske mærkesager. Det Konservative Folkeparti betragter Geomatic som selvstændig dataansvarlig for virksomhedens egne behandlinger af oplysninger fra teleoplysningen. Det samme gælder Degn Grafisk A/S, der håndterede tryk og postomdeling af brevene.

Oplysningerne om navn og adresse blev indsamlet fra teleoplysningen af Geomatic som teledistributør og videregivet til Det Konservative Folkeparti med henblik på partiets afsendelse af brevene.

Behandlingsgrundlaget var databeskyttelsesforordningens artikel 6, stk. 1, litra f. Det Konservative Folkepartis interesse i at sprede sine politiske budskaber op til parlamentsvalget var ikke egnet til at krænke brevmodtagernes grundlæggende rettigheder og frihedsrettigheder. I den forbindelse henvises til, at det er lovligt at sende breve til beboere på privatadresser med brug af navn og adresse.

På denne baggrund blev princippet om lovlighed, rimelighed og gennemsigtighed i forordningens artikel 5, stk. 1, litra a, opfyldt.

Njord har bemærket om opfyldelsen af oplysningspligten i forbindelse med afsendelsen af brevene, at Det Konservative Folkeparti holdt sig inden for best pratice i direct mail-kampagner. Det er således ikke sædvanligt at medsende en privatlivspolitik med opfyldelsen af oplysningspligten i databeskyttelsesforordningens artikel 13 udelukkende for den aktivitet, der drejer sig om afsendelsen af et brev. Undladelsen af oplysningspligten er begrundet i undtagelsen i forordningens artikel 14, stk. 5, litra c, ud fra den betragtning, at indsamlingen af navn og adresse med henblik på afsendelse af et brev, udgør en udtrykkelig fastsat rettighed efter dansk praksis, som ikke tilsidesætter hensynet til den registrerede (brevmodtageren) selv.

Efter afsendelsen af brevene kom der en række henvendelser fra borgere til Det Konservative Folkeparti, og Jyllands-Posten skrev en artikel med omtale af brevene. Dette afstedkom, at Det Konservative Folkeparti offentliggjorde en informationsside om brevene på sin hjemmeside. Informationssiden er tilgængelig på https://konservative.dk/brev-fra-os/ og er udtryk for en generel forklaring af brevenes funktion og ikke en privatlivspolitik til opfyldelse af databeskyttelsesforordningens artikel 13 eller 14.

Njord har oplyst, at alle oplysninger om modtagerne af brevene er blevet slettet i umiddelbar forlængelse af afsendelsen af brevene i hver kampagne.

Det Konservative Folkeparti har ikke i praksis haft adgang til personoplysningerne (navn og adresse) på modtagerne af brevene. Geomatic leverede en liste over brevmodtagere til Det Konservative Folkeparti. Listen blev efter aftale med partiet sendt direkte fra Geomatic til Degn Grafiks A/S. Degn Grafisk A/S slettede listen straks efter tryk og udsendelse af brevene, da de ikke længere havde brug for data. Der har ikke været tale om en instruks, som begrebet anvendes i databeskyttelsesreglerne over for en databehandler.

Det Konservative Folkeparti og Geomatic har som led i den samlede aftale for levering af ydelser tillige indgået en databehandleraftale. Databehandleraftalen regulerer imidlertid ikke behandling af personoplysninger i forbindelse med udsendelse af breve til udvalgte husstande. Njord har fremsendt en kopi af databehandleraftalen til Datatilsynet.

Njord har fremsendt et breveksempel fra Europa-Parlamentskampagnen og fra Folketingsvalgskampagnen til Datatilsynet. Breveksemplerne indeholdt ikke oplysninger om brevmodtagere.

3. Begrundelse for Datatilsynets afgørelse

3.1.

Det fremgår af sagen, at Det Konservative Folkeparti til brug for udsendelse af brevene med partiets mærkesager havde indsamlet adresseoplysninger fra Geomatic, der forud for videregivelsen af oplysningerne til Det Konservative Folkeparti havde foretaget en segmentering på baggrund af oplysninger fra Danmarks Statistik, offentligt tilgængelige oplysninger bl.a. fra BBR og valgstedsdata og ved anvendelsen af produktet conzoom®.

Under henvisning til Datatilsynets tidligere sag om Det Konservative Folkepartis udsendelse af valgmateriale[3] har tilsynet ikke fundet grundlag for at inddrage Geomatics indsamling og videregivelse af adresseoplysninger til Det Konservative Folkeparti under sagens behandling.

Datatilsynet har ved afgørelse af nærværende sag lagt til grund, at Geomatic var dataansvarlig for behandling af oplysninger fra teleoplysningen i form af navne og adresser på privatpersoner.

Endvidere har Datatilsynet lagt til grund, at Det Konservative Folkeparti var dataansvarlig for behandlingen af navn og adresse på privatpersoner i forbindelse med indsamlingen af disse oplysninger og afsendelsen af breve med information om partiets politiske mærkesager.

3.2. Behandling af personoplysninger i forbindelse med markedsføring

I databeskyttelseslovens[4] § 13, stk. 1-7, er der fastsat nærmere betingelser for behandling af personoplysninger i forbindelse med markedsføring.  

En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens[5] § 10, jf. databeskyttelseslovens § 13, stk. 1.

Efter Datatilsynets praksis[6] kan Det Konservative Folkeparti ikke opfattes som en erhvervsdrivende, der har indsamlet de registreredes oplysninger med henblik på at afsætte varer eller tjenesteydelser til de registrerede. Den i sagen omhandlede behandling af personoplysninger er derfor ikke omfattet af databeskyttelseslovens § 13. Afgørelsen skal herefter træffes efter databeskyttelsesforordningens artikel 6.

3.3. Behandlingshjemmel for personoplysninger

I forbindelse med Det Konservative Folkepartis udsendelse af breve til potentielle vælgere har partiet behandlet oplysninger omfattet af databeskyttelsesforordningens artikel 6 i form af navn og adresse på modtagerne, der er indsamlet fra Geomatic.

Behandling af personoplysninger omfattet af artikel 6 kan bl.a. finde sted, når behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Datatilsynet finder, at Det Konservative Folkepartis behandling af personoplysning er sket inden for rammerne af artikel 6, stk. 1, litra f.

Datatilsynet har lagt vægt på, at den behandling af personoplysninger, som fandt sted i forbindelse med udsendelse af brevene var nødvendig for, at Det Konservative Folkeparti kunne forfølge en legitim interesse i at informere om partiets mærkesager til potentielle vælgere op til valg.

Datatilsynet har endvidere tillagt det betydning, at oplysningerne om navn og adresse som udgangspunkt er offentligt tilgængelige oplysninger, og at behandlingen heraf i forbindelse med fremsendelse af breve ikke kan anses som indgribende for de registrerede. De registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går derfor efter Datatilsynets opfattelse ikke forud for Det Konservative Folkepartis behandling af de registreredes personoplysninger.

3.4. Oplysningspligt hvis oplysningerne ikke er indsamlet hos den registrerede

Det fremgår af sagen, at Det Konservative Folkeparti har indsamlet personoplysninger til brug for afsendelse af breve, og at oplysningerne ikke er indsamlet hos de registrerede selv.

Hvis personoplysningerne ikke er indsamlet hos den registrerede, skal den dataansvarlige af egen drift give den registrerede en række oplysninger, som er oplistet i databeskyttelsesforordningens artikel 14, stk. 1. Ud over de oplysninger, der er omhandlet i stk. 1, skal den dataansvarlige give den registrerede en række oplysninger efter artikel 14, stk. 2, som er nødvendige for at sikre en rimelig og gennemsigtig behandling.

Den dataansvarlige skal give de oplysninger, der er omhandlet i stk. 1 og 2, inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under, jf. artikel 14, stk. 3, litra a. Den maksimale frist, inden for hvilken oplysningerne skal gives til den registrerede, er under alle omstændigheder én måned.

Databeskyttelsesforordningens artikel 14, stk. 1-4, finder ikke anvendelse, hvis og i det omfang, indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, jf. artikel 14, stk. 5, litra c.

Det følger af den tidligere Artikel 29-Gruppes retningslinjer for gennemsigtighed i henhold til forordning 2016/679[7] at:

”Artikel 14, stk. 5, litra c), giver mulighed for en ophævelse af oplysningskravene i artikel 14, stk. 1, 2 og 4, for så vidt som indsamlingen eller videregivelsen af personoplysninger "udtrykkelig [er] fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt". Denne undtagelse er betinget af, at den pågældende lovgivning fastsætter "passende foranstaltninger til beskyttelse af den registreredes legitime interesser". En sådan lovgivning skal være rettet direkte mod den dataansvarlige, og den pågældende indsamling eller videregivelse skal være obligatorisk for denne. Den dataansvarlige skal i overensstemmelse hermed kunne påvise, hvordan den pågældende lovgivning finder anvendelse på dem og forpligter dem til enten at indsamle eller videregive de omhandlede personoplysninger.”

Efter Datatilsynets opfattelse finder forordningens artikel 14, stk. 5, litra c, ikke anvendelse, idet behandlingen af oplysninger i forbindelse med udsendelse af breve om partiets mærkesager ikke er udtrykkeligt fastsat i lovgivningen.

Det er endvidere Datatilsynets opfattelse, at offentliggørelse af en tekst på Det Konservative Folkepartis hjemmeside med information om udsendelse af brevene ikke opfylder betingelserne i databeskyttelsesforordningens artikel 14, idet informationerne hverken opfylder kravene til indholdet som angivet i artikel 14, stk. 2, eller kan anses som ”givet” til den registrerede, idet vedkommende selv skal finde oplysningerne på partiets hjemmeside.

Da der i øvrigt ikke ses være hjemmel til at undlade at opfylde oplysningspligten i artikel 14 eller i databeskyttelseslovens § 22, finder Datatilsynet grundlag for at udtale kritik af Det Konservative Folkeparti, idet partiet ikke har opfyldt sin oplysningspligt efter databeskyttelsesforordningens artikel 14.

 

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 4. I denne forordning forstås ved:

  • »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
  • »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

  • »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
  • »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

[…]

Artikel 6. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

  1. Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
  2. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
  3. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
  4. Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
  5. Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
  6. Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

Artikel 14. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

  1. identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
  2. kontaktoplysninger for en eventuel databeskyttelsesrådgiver
  3. formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen
  4. de berørte kategorier af personoplysninger
  5. eventuelle modtagere eller kategorier af modtagere af personoplysningerne
  6. hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

Stk. 2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

  1. det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
  2. de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
  3. retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet
  4. når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
  5. retten til at indgive en klage til en tilsynsmyndighed
  6. hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder
  7. forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Stk. 3. Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:

  1. inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,
  2. hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller
  3. hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang.

Stk. 4. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

Stk. 5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

  1. den registrerede allerede er bekendt med oplysningerne
  2. meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål underlagt de betingelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige
  3. indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller
  4. personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt.

Uddrag af lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

  • 13. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 10.

Stk. 2. Videregivelse og anvendelse som nævnt i stk. 1 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er opfyldt.

Stk. 3. Der kan efter stk. 2 ikke videregives eller anvendes oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.

Stk. 4. Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

Stk. 5. Dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle

1) oplysninger om navn, adresse, stilling, erhverv, e-mailadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, og

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.

Stk. 6. Et samtykke efter stk. 5 skal indhentes i overensstemmelse med markedsføringslovens § 10.

Stk. 7. Behandling af oplysninger som nævnt i stk. 5 må ikke omfatte oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.

Stk. 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 2.

Stk. 9. Justitsministeren kan fastsætte yderligere begrænsninger end de i stk. 7 nævnte i adgangen til at behandle bestemte typer af oplysninger.

  • 22. Bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 gælder ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Stk. 2. Undtagelse fra bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 kan tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed,

5) andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, navnlig Den Europæiske Unions eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed,

6) beskyttelse af retsvæsenets uafhængighed og retssager,

7) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv,

8) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i nr. 1-5 og 7,

9) beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og

10) håndhævelse af civilretlige krav.

Stk. 3. Oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed i forvaltningen.

Stk. 4. Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse på behandling af personoplysninger, der foretages for domstolene, når disse handler i deres egenskab af domstol.

Stk. 5. Databeskyttelsesforordningens artikel 15, 16, 18 og 21 finder ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt eller statistisk øjemed.

Stk. 6. Databeskyttelsesforordningens artikel 34 gælder ikke, så længe underretning af registrerede konkret må antages at vanskeliggøre efterforskningen af strafbare forhold. Anvendelse af 1. pkt. kan alene besluttes af politiet.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] I sagen havde Det Konservative Folkeparti i forbindelse med valget til Europa Parlamentet i maj 2014 fremsendt et brev til en registreret om, at dennes adresse var i risikozonen for indbrud. Partiet havde sendt lignende breve til en række andre udvalgte adresser i områder med forhøjet statistisk risiko for indbrud. Partiet havde modtaget oplysninger om navne og adresser fra Geomatic A/S. Datatilsynet vurderede dels bl.a., at Det Konservative Folkeparti ikke kunne anses som en erhvervsdrivende, der havde indsamlet den registreredes personoplysninger med henblik på at afsætte varer eller tjenesteydelser, og dels at Geomatic A/S videregivelse af personoplysninger ikke var sket med henblik på markedsføring, hvorfor videregivelsen ikke var omfattet af de dagældende bestemmelser i persondatalovens § 6, stk. 2-4, og § 36 om markedsføring.

[3] I sagen 2014-219-0516 – tillige omtalt i note 2 – tog Datatilsynet stilling til, at der forud for udsendelse af breve med Det Konservative Folkepartis mærkesager, var foretaget en segmentering af Geomatic A/S ved anvendelse af statistiske oplysninger, offentligt tilgængelige oplysninger samt ved brugen af conzoom®.

[4] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[5] Lov nr. 426 af 3. maj 2017 om markedsføring med senere ændringer (markedsføringsloven).

[6] Datatilsynet udtalte i j.nr. 2000-139-0002, at begrebet ”markedsføring” i persondatalovens §§ 6, stk. 2-4, og 36, generelt skal forstås som en erhvervsdrivendes henvendelse til en forbruger med henblik på afsætning af varer eller tjenesteydelser.

[7] Artikel 29-Gruppen vedrørende databeskyttelse, WP 260 rev. 01, retningslinjer for gennemsigtighed i henhold til forordning 2016/679, vedtaget den 29. november 2017, senest revideret og vedtaget den 11. april 2018, s. 35 (dansk sproget version). Det Europæiske Databeskyttelsesråd har på sit første møde den 25. maj 2018 bekræftet, at dette også er et udtryk for rådets holdning.