Forælders brug af Orienteringsret.dk

Dato: 04-03-2021
Afgørelse Private virksomheder Ingen kritik Klage Behandlingssikkerhed Børn

Datatilsynet har modtaget en række henvendelser og klager om hjemmesiden Orienteringsret.dk. Datatilsynet har nu truffet afgørelse i den første klagesag, hvor tilsynet bl.a. fandt, at en forælders brug af hjemmesiden skete som led i en rent personlig aktivitet.

Journalnummer: 2020-31-4131

Resume

Hjemmesiden Orienteringsret.dk gør det muligt for en forælder, som ikke har forældremyndigheden, at udsende anmodninger om orientering om barnets forhold til skoler, institutioner, myndigheder mv. Dette kan ske jf. forældreansvarsloven.

I en sag, hvor faren til to børn havde anvendt Orienteringsret.dk, klagede børnenes mor efterfølgende til Datatilsynet over, at Orienteringsret.dk videregav oplysninger om forældremyndighed

og personnummer til en lang række af skoler, myndigheder, institutioner mv. Moderen anførte bl.a., at hjemmesiden på en række områder ikke levede op til kravene om passende sikkerhed.

Datatilsynet fandt indledningsvist, at farens anmodning om orientering skete som led i en rent personlig eller familiemæssig aktivitet, hvorfor reglerne for databeskyttelse ikke fandt anvendelse for hans behandling af oplysninger om børnene.

Det var imidlertid Datatilsynets vurdering, at Orienteringsret.dk skulle leve op til reglerne i databeskyttelsesforordningen. Tilsynet lagde i den forbindelse vægt på, at det fremgår af forordningens indledende betragtninger, at forordningen gælder for den, som tilvejebringer midlerne til behandling af personoplysninger til personlige eller familiemæssige aktiviteter.

Klagen gav således Datatilsynet anledning til at vurdere en række sikkerhedsmæssige forhold vedrørende den behandling af personoplysninger, som blev foretaget af Orienteringsret.dk.

Datatilsynet fandt imidlertid ikke grundlag for at konstatere, at Orienteringsret.dk ikke havde fastsat passende sikkerhedsforanstaltninger.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor en borger den 22. oktober 2020 har klaget over den behandling af oplysninger om hendes børn, der sker via hjemmesiden www.orienteringsret.dk.

Det fremgår af sagen, at hjemmesiden er oprettet og drevet af en gruppe forældre, der på hjemmesiden identificerer sig under navnet ’Orienteringsret.dk’. Datatilsynet har forstået borgerens henvendelse, som en klage over:

  • at Orienteringsret.dk har videregivet hendes børns fortrolige oplysninger, herunder oplysninger om forældremyndighed og personnummer,
  • at Orienteringsret.dk benytter en usikker hjemmesideadresse (http),
  • at Orienteringsret.dk fremsender fortrolige oplysninger ukrypteret og opfordrer til at svare på almindelig usikker mail,
  • at Orienteringsret.dk har en uautoriseret adgang til cpr-systemet eller lignende,
  • at Orienteringsret.dk ikke sikrer identiteten på personen, der benytter tjenesten, og
  • at de udsendte e-mails fra Orienteringsret.dk kan give indtryk af, at de er afsendt af Familieretshuset.

Datatilsynet har endvidere noteret sig, at klager har henledt opmærksomheden på, at hjemmesiden anvendes til chikanøs adfærd, og at hjemmesiden – gennem udelukkelsesmetoden –  omgår beskyttelsen af de børn, som måtte leve under skjulte forhold.

1. Afgørelse

Datatilsynet skal indledningsvis bemærke, at for den behandling af personoplysninger, som er iværksat af børnenes far, er det tilsynets opfattelse, at databeskyttelsesforordningen[1] ikke finder anvendelse jf. forordningens artikel 2, stk. 2, litra c, idet den omhandlede behandling af oplysninger om klagers børn må anses for en behandling foretaget som led i rent personlige eller familiemæssige aktiviteter.

Det er imidlertid Datatilsynets opfattelse, at Orienteringsret.dk er omfattet af databeskyttelsesforordningens anvendelsesområde, da Orienteringsret.dk tilvejebringer midlerne til behandling af personoplysninger til personlige eller familiemæssige aktiviteter, hvorfor Orienteringsret.dk skal iagttage reglerne om bl.a. databeskyttelse.

Datatilsynet har dog ikke fundet grundlag for at kunne konstatere, at Orienteringsret.dk ikke har fastsat passende sikkerhedsforanstaltninger, jf. databeskyttelsesforordningens artikel 32, i forbindelse med den behandling af oplysninger, der sker som led i, at Orienteringsret.dk tilvejebringer midlerne for anmodninger på vegne af forældre, jf. forældreansvarslovens § 23.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1.

Det fremgår af sagen, at hjemmesiden www.orienteringsret.dk er en gratis privatdrevet service uden vinding, indtjening eller erhvervsrettede formål i øvrigt, som forældre uden forældremyndighed kan gøre brug af til at kontakte omkring 4.000 myndigheder, regioner, kommuner, skoler mv. for at få oplysninger om deres børn i medfør af forældreansvarslovens § 23. Forældrene skal i så fald indtaste en række oplysninger, herunder navn, adresse, e-mailadresse og barnets fulde navn i en formular på hjemmesiden, hvorefter der via hjemmesiden sendes e-mails til de modtagere, som den pågældende forælder har valgt.

Det fremgår også af hjemmesiden, at myndigheder og institutioner er forpligtet til at afgive en orientering om barnets forhold, jf. forældreansvarslovens § 23, men kun hvis forældre aktivt selv henvender sig. Forældre er derfor pålagt selv at skulle rette henvendelse til hver enkelt institution, myndighed, skole mv. for at undersøge, om barnet eventuelt skulle have haft kontakt til de enkelte steder og for at modtage en status på, hvordan barnet trives det pågældende sted. I forlængelse heraf fremgår det af hjemmesiden, at det hurtigt bliver en uoverskuelig – og umulig – opgave, når forældre ikke ved, om barnet overhovedet har haft kontakt til stedet.

Endelig fremgår det af hjemmesiden, at de indtastede oplysninger alene anvendes i forbindelse med fremsendelsen af anmodningen, jf. forældreansvarsloven. I den forbindelse fremgår det bl.a. af hjemmesiden, at Orienteringsret.dk alene anvender forældrenes oplysninger til fremsendelse til de respektive myndigheder, og at Orienteringsret.dk sletter alle oplysninger, når de respektive e-mails er blevet udsendt.

2.2.

I klagers henvendelse til Datatilsynet, har klager vedhæftet en e-mail sendt af Orienteringsret.dk. Af e-mailen fremgår det, at den er fremsendt på foranledning af børnenes far, og at der i medfør af forældreansvarslovens § 23 anmodes om, at der afgives en orientering vedrørende et af deres fælles børn. Orienteringen bedes fremsendt til forælderen via e-mail eller e-Boks. E-mailen er ”underskrevet” af Orienteringsret.dk. I forlængelse af selve anmodningen i e-mailen følger et forklarende tekstafsnit, hvor der oplyses om baggrunden for forsendelsen af e-mailen, herunder at e-mailen varetager hensynet til en ensartet anmodning på tværs af myndigheder og institutioner. Afslutningsvis henvises der i e-mailen til Familieretshuset med hensyn til spørgsmål om lovhjemmel og rettigheder.

Klager har bl.a. anført, at Orienteringsret.dk har fremsendt hendes børns fortrolige oplysninger, herunder oplysninger om forældremyndighed og personnummer til tusinder af irrelevante administrative instanser og privatpraktiserende behandlere m.fl., og at tjenesten udsender usikre beskeder i strid med databeskyttelseslovgivningen.

Klager har endvidere anført, at Orienteringsret.dk har en uautoriseret adgang til cpr-systemet eller lignende, da ansøgeren ikke taster andet end navn og adresse, men tjenesten fremskaffer alligevel personnummer på både forælder og barn.

Endvidere har klager i sin klage anført, at Orienteringsret.dk ikke sikrer identiteten på den person, der udfylder formularen på www.orienteringsret.dk.

I klagers henvendelse til Datatilsynet har klager tillige anført, at e-mailen fra Orienteringsret.dk kan give indtryk af, at være afsendt af Familieretshuset.

Herudover har klager anført, at tjenesten anvendes til chikanøs adfærd, der intet har med ønsket om den legitime ret til orientering at gøre. I klagers eget tilfælde er faren bekendt med, hvor børnene befinder sig, og hvilken skole de går på. Han kunne således selv have rettet henvendelse til den konkrete skole, men benyttede i stedet muligheden for at lave mest muligt uro omkring børnene.

3. Begrundelse

3.1.

Datatilsynet lægger på baggrund af sagens oplysninger til grund, at den behandling af oplysninger om klagers børn, der er sket via hjemmesiden www.orienteringsret.dk, er faciliteret af børnenes far. Det må i den forbindelse antages, at han også har bestemt, hvem der skal modtage de indtastede oplysninger.

Databeskyttelsesforordningen finder ifølge artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Databeskyttelsesforordningen finder imidlertid ikke anvendelse for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter, jf. artikel 2, stk. 2, litra c.

Det afgørende for, om privatpersoners behandling af personoplysninger falder uden for databeskyttelsesreglernes anvendelsesområde, er, om der foretages behandlinger med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter. Der skal være tale om sædvanlige og legitime private interesser. Et eksempel på en sådan behandlingsaktivitet, der udgør en personlig aktivitet, er bl.a. en privatpersons henvendelse til en offentlig myndighed i en sag, som vedrører den pågældende selv eller dennes familie.

Det er Datatilsynets vurdering, at farens behandling af de omhandlede oplysninger om deres fælles børn er foretaget som led i en rent personlig og familiemæssig aktivitet, og at databeskyttelsesreglerne derfor ikke finder anvendelse. Det er i den forbindelse Datatilsynets vurdering, at den behandling, der er sket via hjemmesiden www.orienteringsret.dk, er igangsat af faren og alene er sket på vegne af faren.

Datatilsynet har herved også lagt vægt på, at det efter tilsynets opfattelse må stå faren frit for at vælge, hvordan han vil sende sin anmodning efter forældreansvarsloven, herunder om han vil anvende en tredjepart, f.eks. Orienteringsret.dk, til at forestå kommunikationen med de respektive myndigheder.

Datatilsynet finder i forlængelse heraf, at Orienteringsret.dk alene har tilvejebragt midlerne for den behandlingsaktivitet, der består i, at faren har taget kontakt til myndigheder, skoler, institutioner mv.

3.2.

Det fremgår af databeskyttelsesforordningens præambelbetragtning nr. 18, at forordningen også gælder for dataansvarlige eller databehandlere, som tilvejebringer midlerne til behandling af personoplysninger til personlige eller familiemæssige aktiviteter. Det er i den forbindelse Datatilsynets opfattelse, at Orienteringsret.dk er omfattet af databeskyttelsesforordningens anvendelsesområde, hvorfor Orienteringsret.dk skal iagttage reglerne om bl.a. databeskyttelse.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at dataansvarlige og databehandlere, under hensyntagen til bl.a. behandlingens karakter, omfang, sammenhæng, formål og de risici, som behandlingen udgør, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Heri ligger bl.a. et krav om, at den dataansvarlige skal sikre, at personoplysninger ikke kommer til uvedkommendes kendskab.

Datatilsynet har i forlængelse heraf valgt, af egen drift, at undersøge en række sikkerhedsmæssige forhold vedrørende hjemmesiden www.orienteringsret.dk.

Datatilsynet kan til orientering oplyse, at tilsynet i den forbindelse har konstateret, at hjemmesiden anvender protokollen ”https”, altså en krypteret udgave af ”http”, hvorfor hjemmesiden ikke umiddelbart forekommer usikker. Datatilsynet har endvidere kunnet konstatere, at www.orienteringsret.dk understøtter TLS-kryptering under transmission af oplysninger.

For så vidt angår spørgsmålet om en eventuel uautoriseret adgang til cpr-registret, har Datatilsynet ikke fundet grundlag for at antage, at Orienteringsret.dk skulle have en sådan adgang. Datatilsynet bemærker i den forbindelse, at det tidligere har været muligt at oplyse personnumre ved udfyldning af formularen på hjemmesiden, men at dette ikke længere er muligt.

Datatilsynet har på baggrund af det af klager i sin henvendelse til tilsynet anførte om, at  Orienteringsret.dk ikke sikrer identiteten på den person, der udfylder formularen på www.orienteringsret.dk, fundet anledning til at vurdere, om dette i sig selv indebærer en unødig risiko for, at oplysninger udleveres til uvedkommende, herunder Orienteringsret.dk. Tilsynet har imidlertid noteret sig, at det fremgår af den e-mail, som er sendt af Orienteringsret.dk, at svar på anmodningen skal sendes til forælderens e-mail eller e-Boks. Tilsynet skal ligeledes bemærke, at såvel offentlige myndigheder som private virksomheder og institutioner har et selvstændigt ansvar for at sikre, at oplysninger ikke sendes til en forkert modtager.

Klager har som nævnt ovenfor i klagers henvendelse til Datatilsynet endvidere anført, at e-mailen fra Orienteringsret.dk kan give indtryk af, at være afsendt af Familieretshuset. Efter en samlet vurdering af den pågældende e-mail finder Datatilsynet imidlertid ikke, at den indeholdte henvisning til Familieretshuset indebærer en unødig risiko for, at oplysninger kan komme til uvedkommendes kendskab. Datatilsynet har i den forbindelse bl.a. lagt vægt på, at anmodningen i henhold til forældreansvarsloven er ”underskrevet” af Orienteringret.dk, at det klart fremgår af e-mailen, at den er sendt på foranledning af faren, og at henvisningen til Familieretshuset ikke fremgår af selve ”hovedteksten” i e-mailen, men alene af en tilknyttet følgetekst, der efter Datatilsynets opfattelse mere har karakter af en meningstilkendegivelse, og som er medtaget for bl.a. at henlede modtagerens opmærksomhed på, at information om relevante retsregler kan fås ved henvendelse til Familieretshuset.

Datatilsynet har således ikke kunnet konstatere, at Orienteringsret.dk ikke har fastsat passende sikkerhedsforanstaltninger, jf. databeskyttelsesforordningens artikel 32, i forbindelse med den behandling af oplysninger, der sker som led i, at Orienteringsret.dk tilvejebringer midlerne for anmodninger, jf. forældreansvarslovens § 23, på vegne af forældre.

3.3.

For så vidt angår klagers bemærkninger om, at tjenesten anvendes til chikanøs adfærd, og at tjenesten – gennem udelukkelsesmetoden – omgår beskyttelsen af de børn, som måtte leve under skjulte forhold, er det Datatilsynets vurdering, at disse forhold – i den konkrete sag – ikke har en sådan databeskyttelsesretlig karakter, at tilsynet kan tage nærmere stilling til spørgsmålene.

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 2, stk. 1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Stk. 2. Denne forordning gælder ikke for behandling af personoplysninger:

[…]

  1. som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

[…]

Artikel 4. I denne forordning forstås ved:

  • »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
  • »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

  • »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
  • »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

[…]

Artikel 32. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

  1. pseudonymisering og kryptering af personoplysninger
  2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
  3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
  4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Stk. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Stk. 3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Stk. 4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).