Journalnummer: 2018-32-0232
Resume
Datatilsynet har den 25. oktober 2019 truffet afgørelse i en sag, hvor en borger klagede til Datatilsynet over, at Københavns Kommune havde abonneret på personoplysninger om vedkommende i Det Centrale Personregister, selv om vedkommende i årevis ikke havde haft bopæl i kommunen.
I det konkrete tilfælde slettede Københavns Kommune i første omgang abonneringen på borgerens CPR-oplysninger, efter borgeren havde rettet henvendelse herom til kommunen. Borgerens henvendelse til kommunen, hvori han anmodede om sletning, havde imidlertid udløst en ny abonnering på hans personoplysninger i CPR.
Københavns Kommune anførte over for Datatilsynet, at kommunen i forbindelse med borgerens henvendelse og anmodning om sletning havde oprettet en ny sag i borgerens navn, som aktualiserede behovet for entydig identifikation med henblik på at understøtte kommunens myndighedsudøvelse, herunder pligt til at kunne håndtere eventelle aktindsigtsanmodninger mv.
Datatilsynet fandt, at Københavns Kommunes abonnering på borgerens CPR-oplysninger med det formål at kunne håndtere eventuelle aktindsigtsanmodninger eller rettighedsanmodninger ikke kunne anses for nødvendigt efter databeskyttelsesforordningens artikel 6, stk. 1, litra e. Datatilsynet lagde særligt vægt på, at kommunen har mulighed for at foretage enkeltopslag i CPR, når der viser sig et aktuelt behov for ajourførte oplysninger om en borger.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor X (herefter klager) den 30. maj 2018 har klaget til tilsynet over, at Københavns Kommune har abonneret på personoplysninger om ham i Det Centrale Personregister.
Datatilsynet skal indledningsvis oplyse, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Denne afgørelse er derfor truffet efter reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Københavns Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager den 17. januar 2018 rettede henvendelse til Københavns Kommune og anmodede om en forklaring på, hvorfor kommunen havde behov for at behandle oplysninger om bl.a. hans personnummer i form af et personabonnement på oplysninger om ham i Det Centrale Personregister, idet klager ikke havde haft bopæl i Københavns Kommune siden den 1. februar 1999.
Samme dag bekræftede kommunen modtagelsen af klagers henvendelse og orienterede ham om, at der ville blive sendt en høringsskrivelse ud i kommunen for at afklare, hvorfor kommunen fortsat abonnerede på klagers personoplysninger i CPR, og at abonnementet ville blive opsagt, såfremt der ikke var en saglig og nødvendig grund til abonnementet.
Den 13. februar 2018 meddelte Københavns Kommune klager, at kommunen ikke havde behov for at behandle CPR-oplysningerne om ham, og at abonnementet derfor ville blive opsagt. Kommunen opsagde herefter abonnementet samme dag.
Efterfølgende viste det sig, at abonnementet på oplysninger om klager i CPR automatisk var blevet gentegnet, fordi der i kommunens journaliseringssystemet var registreret en aktuel sag vedrørende klager, som var blevet oprettet på baggrund af klagers henvendelse af 17. januar 2018 om kommunens abonnering af oplysninger om ham.
Den 12. april 2018 skrev Københavns Kommune til klager og meddelte, at hans henvendelse havde givet anledning til, at der var blevet oprettet en sag i kommunens journaliseringssystem, og at en sådan sagsoprettelse automatisk gentegnede et abonnement hos CPR.
Klager anmodede den 18. april 2018 Københavns Kommune om straks at slette abonnementet, hvilket Københavns Kommune den 9. maj 2018 afslog, idet kommunen meddelte ham, at man ikke kunne imødekomme hans ønske om varig sletning af abonnementet.
Den 30. maj 2018 klagede klager til Datatilsynet over Københavns Kommunes behandling af personoplysninger om ham.
Datatilsynet anmodede den 8. august 2018 Københavns Kommune om en udtalelse i sagen, som Datatilsynet modtog den 30. november 2018.
2.1. Klagers bemærkninger
Klager har overordnet anført, at han klager over, at Københavns Kommunes system ikke har taget højde for, at han fraflyttede kommunen i 1999.
Klager har videre anført, at han er utilfreds med, at Københavns Kommunes system automatisk genopretter et abonnement, når man som borger henvender sig til kommunen, også selv om kommunen i forbindelse med henvendelsen har konstateret ikke have nogen grund til at abonnere.
Klager har endvidere anført, at han i januar 2018 ligeledes rettede henvendelse til Høje-Taastrup Kommune, da han blev opmærksom på, at også denne kommune fortsat abonnerede på personoplysninger om ham i CPR, selv om han fraflyttede Høje-Taastrup Kommune i 2000. Høje-Taastrup Kommune besluttede på baggrund af hans henvendelse at slette kommunens personabonnement på ham i CPR, da kommunen vurderede ikke at have et sagligt behov for at opretholde abonnementet.
2.2. Københavns Kommunes bemærkninger
I sin udtalelse til Datatilsynet har Københavns Kommune oplyst, at kommunen abonnerer på CPR-oplysninger om klagers navn, personnummer, aktuelle adresse og familierelationer, og at kommunen også forud for klagers henvendelse af 17. januar 2018 abonnerede på disse oplysninger.
Københavns Kommune har anført, at kommunen behandler oplysninger om borgernes personnumre med hjemmel i databeskyttelseslovens § 11, stk. 1, med henblik på entydig identifikation og som journalnummer. For så vidt angår behandling af andre oplysninger end identifikationsoplysninger er hjemmelsgrundlaget almindeligvis og som altovervejende udgangspunkt databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Københavns Kommune har anført, at det er kommunens vurdering, at der således – både for så vidt angår nuværende samt tidligere borgere i kommunen – i almindelighed er hjemmel til at behandle de omtalte oplysninger.
I forbindelse med klagers henvendelse og anmodning om sletning oprettede kommunen imidlertid – som led i den almindelige journaliseringspligt – en sag i klagers navn, og kommunen har anført, at henvendelsen derfor aktualiserede behovet for entydig identifikation.
Københavns Kommune har oplyst, at eksistensen af aktuelle og nyligt afsluttede sager vedrørende en borger efter kommunens opfattelse forudsætter, at kommunen har retvisende og aktuelle identifikationsoplysninger om vedkommende borger bl.a. for at understøtte kommunens myndighedsudøvelse, herunder pligten til at kunne håndtere aktindsigtsanmodninger og henvendelser vedrørende rettigheder efter databeskyttelsesreglerne på en forsvarlig og sikker måde. Efter kommunens vurdering er sådanne anmodninger udtryk for, at borgere har et retskrav efter bl.a. offentlighedsloven, forvaltningsloven og databeskyttelsesreglerne.
På den baggrund er det kommunens opfattelse, at der i tilknytning til klagers henvendelse af 17. januar 2018 blev etableret et hjemmelsgrundlag for at indhente oplysninger om klager fra CPR-registret, jf. databeskyttelseslovens § 11, stk. 1, og at der ikke er grundlag for at imødekomme klagers anmodning af 18. april 2018 om fornyet opsigelse af abonnementet på klagers personoplysninger i CPR.
3. Begrundelse for Datatilsynets afgørelse
Det følger af CPR-lovens[2] § 32, at når en myndighed har brug for oplysninger, som er registreret i CPR, kan myndigheden indhente oplysningerne i CPR, jf. dog § 33, stk. 1.
Oplysninger indsamlet via CPR-abonnementet omfatter ikke-følsomme personoplysninger og fortrolige personoplysninger. Behandling af sådanne oplysninger skal ske i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a-f.
I medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e, er behandling af personoplysninger lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Datatilsynet lægger indledningsvis til grund, at Københavns Kommune uden den fornødne hjemmel har abonneret på CPR-oplysninger om klager i Det Centrale Personregister i en længere periode fra hans fraflytning i februar 1999 frem til hans henvendelse af 17. januar 2018, og at kommunen på den baggrund slettede abonneringen på hans personoplysninger i CPR.
Endvidere lægger Datatilsynet til grund, at klagers henvendelse til Københavns Kommune den 17. januar 2018 udløste en fornyet abonnering på hans personoplysninger i CPR, som efter Københavns Kommunes opfattelse kan ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e. Kommunen har således henvist til, at behandlingen sker for at sikre, at kommunen har retvisende og aktuelle identifikationsoplysninger om borgeren for bl.a. at kunne håndtere eventuelle aktindsigts- eller rettighedsanmodninger eller andre retskrav efter bl.a. offentlighedsloven, forvaltningsloven og databeskyttelsesreglerne.
Efter en gennemgang af sagen finder Datatilsynet anledning til at udtale kritik af såvel Københavns Kommunes abonnering af personoplysninger forud for den 17. januar 2018 som efter den 17. januar 2018, da behandlingen efter Datatilsynets opfattelse ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1.
Datatilsynet har herved lagt vægt på, at behandling af oplysninger med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, skal være nødvendig. Efter Datatilsynets opfattelse kan det af Københavns Kommune anførte om oprettelse af automatiske personabonnementer i CPR med det formål at kunne håndtere eventuelle aktindsigts- eller rettighedsanmodninger ikke anses for nødvendigt efter databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Datatilsynet har særligt lagt vægt på, at Københavns Kommune har mulighed for at foretage enkeltopslag i CPR, når der viser sig et aktuelt behov for ajourførte oplysninger om en borger, f.eks. i de tilfælde hvor der måtte komme en anmodning om aktindsigt eller rettighedsudøvelse i en afsluttet sag. Datatilsynet henviser i den forbindelse også til databeskyttelsesforordningens artikel 5, stk. 1, litra c, om dataminimering.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Bekendtgørelse af 2. juni 2017 om Det Centrale Personregister