Journalnummer: 2021-212-2937
Herning Kommune har den 23. juli 2021 rettet henvendelse til Datatilsynet om det retlige grundlag (hjemmel) for behandling af oplysninger om pårørende til ansatte i forbindelse med krisebreve og om oplysningspligten i den henseende.
Datatilsynet lægger til grund, at der med krisebreve henvises til en notits på den ansattes personalesag eller lignende, f.eks. en liste, hvor Herning Kommunes ansatte kan indføre – eller få indført – en pårørendes telefonnummer med henblik på, at den pårørende kan kontaktes (af kommunen), hvis der skulle ske et uheld involverende den ansatte.
Datatilsynet lægger endvidere til grund, at Herning Kommune er dataansvarlig for behandlingen af oplysninger om den ansattes pårørende, dvs. at kommunen fastlægger formål og hjælpemidler, og at der derfor ikke er tale om en behandling, som (udelukkende) sker på foranledning af – og til formål bestemt af – kommunens ansatte[1].
De oplysninger, som vil blive behandlet om den ansattes pårørende i denne kontekst, kan ikke antages at have en sådan karakter, at oplysningerne vil være omfattet af databeskyttelsesforordningens artikel 9.
Det følger af databeskyttelsesforordningens artikel 6, at behandling af personoplysninger kun er lovlig, hvis mindst ét af følgende forhold i bestemmelsens stk. 1, litra a-f, gør sig gældende:
- Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
- Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
- Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
- Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
- Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
- Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Artikel 6, stk. 1, litra f, gælder ikke for behandlinger, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
I forhold til valget af behandlingsgrundlag skal den dataansvarlige altid – i lyset af den kontekst hvori personoplysninger behandles - forud for påbegyndelsen af behandlingen gøre sig klart, hvilket behandlingsgrundlag i databeskyttelsesforordningens artikel 6, der er det mest passende.
Herning Kommune har oplyst, at kommunen vurderer, at den pårørendes samtykke i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a, er det mest passende behandlingsgrundlag. Herning Kommune nævner dog, at indhentelsen af et samtykke synes meget bureaukratisk, når der henses til, at der alene behandles oplysninger om den pårørendes telefonnummer.
Datatilsynet er enige i, at Herning Kommune efter omstændighederne vil kunne behandle oplysninger om den pårørendes telefonnummer på grundlag af den pårørendes samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Det er imidlertid samtidig Datatilsynets vurdering, hvilket Herning Kommune også har henvist til, at det vil indebære visse vanskeligheder, herunder at Herning Kommune – i det omfang kommunen forestår indhentelsen af samtykke – skal have et retligt grundlag for at behandle de oplysninger, som er nødvendige for at kunne kontakte den pårørende og bede om vedkommendes samtykke. Endvidere er der den risiko, at den ansatte – såfremt denne forestår indhentelsen af samtykke – aldrig får indhentet (forudgående) samtykke fra sin pårørende, f.eks. fordi det er for besværligt.
Da samtykke således næppe er en reel mulighed i praksis, kan Herning Kommune derfor overveje databeskyttelsesforordningens artikel 6, stk. 1, litra e og f.
Artikel 6, stk. 1, litra f, gælder som tidligere nævnt ikke for behandlinger, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
Om denne begrænsning i offentlige myndigheders anvendelse af databeskyttelsesforordningens artikel 6, stk. 1, litra f, fremgår af forordningens betragtning 47:
”…Eftersom det er op til lovgiver ved lov at fastsætte retsgrundlaget for offentlige myndigheders behandling af personoplysninger, bør dette retsgrundlag ikke gælde for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver...”
Begrænsningen i offentlige myndigheders mulighed for at foretage behandling af personoplysninger på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra f, skal således ses i sammenhæng med, at offentlige myndigheder som regel kun bør behandle personoplysninger som led i udførelsen af deres opgaver, hvis de ved lov har fået tildelt de fornødne beføjelser dertil, i hvilke tilfælde behandlingen kan ske på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Det er imidlertid Datatilsynets opfattelse, at der er et snævert rum for, at offentlige myndigheder kan behandle personoplysninger på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Dette vil være tilfældet, hvor behandlingen ikke vedrører den offentlige myndigheds opgavevaretagelse, men hvor behandlingen ikke desto mindre er nødvendig af hensyn til, at myndigheden kan fungere på en tilfredsstillende og hensigtsmæssig måde, herunder i forhold til den daglige drift af myndigheden, og aktiviteten, som foranlediger behandling af personoplysninger, i øvrigt er både saglig og lovlig for myndigheden at udføre.
Herning Kommunes behandling af oplysninger om kommunens ansattes pårørende ses ikke at være nødvendig for Herning Kommunes varetagelse af sine opgaver som offentlig myndighed, idet kommunen – uanset om oplysningerne behandles – vil kunne udføre sine opgaver på den måde, som er tiltænkt med den lovgivning, der regulerer kommunens virke.
Behandlingen kan derfor ikke ske på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Det er imidlertid Datatilsynets opfattelse, at Herning Kommunes behandling af oplysninger om kommunens ansattes pårørende i den foreliggende situation er lovlig, saglig og må karakterises som en (behandlings) aktivitet, der – uanset at den ikke er nødvendig for kommunens opgavevaretagelse – kan anses for nødvendig for, at Herning Kommune på en hensigtsmæssig måde kan fungere som offentlig myndighed, herunder med henblik på at varetage sine ansattes interesser.
Det er således Datatilsynets opfattelse, at Herning Kommunes behandling af oplysninger om kommunens ansattes pårørende i den foreliggende situation vil kunne ske på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Datatilsynet bemærker i den forbindelse, at anvendelsen af databeskyttelsesforordningens artikel 6, stk. 1, litra f, vil give den pårørende mulighed for at anmode Herning Kommune om at slette oplysningerne, jf. databeskyttelsesforordningens artikel 17, hvilket i teorien ikke vil være tilfældet, hvis behandlingen sker på grundlag af forordningens artikel 6, stk. 1, litra e, idet retten til sletning efter forordningens artikel 17 ikke finder anvendelse, hvis behandling er nødvendig bl.a. for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. forordningens artikel 17, stk. 3, litra b.
Datatilsynet henleder for god ordens skyld Herning Kommunes opmærksomhed på, at enhver behandling af personoplysninger – foruden at have hjemmel – skal ske i overensstemmelse med principperne for behandling af personoplysninger i databeskyttelsesforordningens artikel 5. Det betyder, at personoplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
- indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
- være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«)
- behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
I forhold til oplysningspligten, som Herning Kommune også har spurgt ind til, vil der være tale om en situation omfattet af databeskyttelsesforordningens artikel 14, idet oplysningerne ikke indsamles hos den registrerede (den pårørende). Som udgangspunkt skal Herning Kommune derfor inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned, give de oplysninger, som fremgår af databeskyttelsesforordningens artikel 14, stk. 1 og 2.
Herning Kommune kan imidlertid konkret overveje, når der henses til formålet med behandlingen og den begrænsede mængde personoplysninger, der behandles om den pårørende, om det vil kræve en uforholdsmæssigt stor indsats at iagttage oplysningspligten, således at dette kan undlades i henhold til databeskyttelsesforordningens artikel 14, stk. 5, litra b.
Datatilsynet anser hermed Herning Kommunes henvendelse for besvaret.
[1] En sådan liste – f.eks. en kage- eller morgenmadsliste – vil falde uden for databeskyttelsesforordningens anvendelsesområde, jf. artikel 2, stk. 2, litra c.