Journalnummer: 2020-212-2099
Resume
På foranledning af et spørgsmål fra Familieretshuset tog Datatilsynet – efter forelæggelse Datarådet – bl.a. stilling til, om en oplysning om, at to personer af samme køn har ansøgt om at indgå ægteskab i Danmark, skulle anses for at være en følsom personoplysning omfattet af artikel 9 i databeskyttelsesforordningen.
Spørgsmålet udsprang af Familieretshusets vurdering af, om den selvbetjeningsløsning, som Familieretshuset stiller til rådighed for ansøgere, var tilstrækkelig sikker, hvis oplysninger om, at to personer af samme køn har ansøgt om at indgå ægteskab, skulle anses for at være følsomme personoplysninger.
Datatilsynet fandt, at sådanne oplysninger som udgangspunkt skulle anses for at være ikke-følsomme personoplysninger, der alene er omfattet af databeskyttelsesforordningens artikel 6, men at der altid skulle foretages en konkret vurdering.
Datatilsynet kunne i den forbindelse ikke udelukke, at det i nogle tilfælde – eksempelvis i lande, hvor ægteskab mellem personer af samme køn er forbudt ved lov eller socialt fordømt – kan være forbundet med en høj risiko for registrerede, hvis oplysninger om, at personen har ansøgt om at indgå ægteskab med en person af samme køn kom til uvedkommendes kendskab.
På den baggrund var det Datatilsynets vurdering, at Familieretshuset skulle overveje, om der skulle implementeres en række yderligere sikkerhedsforanstaltninger i selvbetjeningsløsningen, herunder begrænsning af oplysningerne i automatiske kvitteringsskrivelser fra selvbetjeningsløsningen og muligheden for at fravælge at modtage en kvitteringsskrivelse.
Udtalelse
1.
Familieretshuset har i en henvendelse af 10. september 2020 anmodet om Datatilsynets stillingtagen til, hvorvidt ansøgninger om indgåelse af ægteskab mellem to personer af samme køn skal anses for at udgøre en behandling af oplysninger om fysiske personers seksuelle orientering, databeskyttelsesforordningens (1) artikel 9, stk. 1, og om der ved den tilknyttede forsendelse af e-mails med kvitteringsskrivelser skal ske kryptering, jf. artikel 32, stk. 1.
2.
Det fremgår af sagen, at Familieretshuset anvender en selvbetjeningsløsning til brug for indgivelse af ansøgninger om indgåelse af ægteskab i Danmark for internationale par, og at der i forbindelse med indgivelsen af ansøgningen automatisk sendes en kvitteringsskrivelse til ansøgerne og deres eventuelle repræsentanter.
Familieretshuset har i den forbindelse oplyst, at der i selvbetjeningsløsningen bl.a. registreres oplysninger om ansøgernes navne og adresser, og at der i løsningen er et udfyldningsfelt, hvor ansøgerne skal angive deres køn. Oplysningerne om køn anvendes til at verificere, hvorvidt der er overensstemmelse mellem oplysningerne i ansøgningen og oplysningen i ansøgernes pas, hvor kønsangivelsen ligeledes fremgår.
Oplysningen om ansøgernes køn anvendes ifølge Familieretshuset ikke til andre formål, og selvbetjeningsløsningen differentierer således ikke mellem, hvorvidt ansøgere er af samme el- ler forskelligt køn. Familieretshuset har endvidere oplyst, at der ikke i øvrigt registreres oplysninger om ansøgernes seksuelle orientering.
Endvidere har Familieretshuset oplyst, at der ikke foretages kontrol af, om navnene er korrekte eller stavet korrekt, ligesom der ingen integration er mellem selvbetjeningsløsningen og CPR-registeret blandt andet henset til, at ansøgerne typisk ikke har et dansk personnummer.
For så vidt angår den kvitteringsskrivelse, der sendes til ansøgerne i forbindelse med indgivelse af ansøgningen, har Familieretshuset oplyst, at skrivelsen indeholder oplysninger om Familieretshusets sagsnummer, navn og adresse på ansøgerne og oplysning om, at kvitteringen vedrører ansøgning om prøvelsesattester med henblik på at indgå ægteskab i Danmark. Oplysninger om ansøgernes køn fremgår ikke af kvitteringsskrivelsen.
Familieretshuset har endvidere oplyst, at de fleste ansøgere ikke har NemID, og at kvitteringen i disse tilfælde sendes ukrypteret til de mailadresser, som ansøgerne har indtastet, ofte i form af Gmail-, Outlook- eller tilsvarende e-mailadresser.
3.
For så vidt angår de oplysninger, der sendes med automatisk genererede kvitteringsskrivelser, er det Familieretshusets vurdering, at er tale om personoplysninger, som alene er omfattet af databeskyttelsesforordningens artikel.
Det er ligeledes Familieretshusets vurdering, at det kun vil være muligt at udlede oplysninger om ansøgernes seksuelle orientering, hvis oplysningerne i kvitteringskrivelsen sammenholdes med yderligere oplysninger – eksempelvis viden om, hvorvidt ansøgernes navne i deres bopælslande er kvinde- eller mandenavne. Det er i den forbindelse Familieretshusets opfattelse, at risikoen for, at en udefra- og uvedkommende person med ulovlige midler skaffer sig adgang til netop den begrænsede målgruppes mailkonti og ved hjælp af oplysninger i kvitteringsbrevet i kombination med andre oplysninger udleder oplysninger om ansøgernes seksuelle orientering og med ulovlige hensigter gør brug af denne viden, er meget lav.
Familieretshuset finder således, at det er usandsynligt, at fremsendelsen af kvitteringsskrivelser til de opgivne e-mailadresser indebærer nogen særlig risiko for negative konsekvenser for de registreredes rettigheder, herunder frihedsrettigheder.
4.
Datatilsynet finder – efter at sagen har været forelagt Datarådet – at oplysninger om, at to personer af samme køn har indgivet ansøgning om indgåelse af ægteskab i Danmark, som udgangspunkt skal anses for at være oplysninger, der alene er omfattet af databeskyttelses- forordningens artikel 6. Det er dog Datatilsynets opfattelse, at sådanne oplysninger altid må vurderes i lyset af formålet med den pågældende behandling af oplysninger og den kontekst, som oplysningerne i øvrigt indgår
Som sagen er oplyst, er Datatilsynet imidlertid enig med Familieretshuset i, at den pågældende behandling af oplysninger om bl.a. køn i selvbetjeningsløsning ikke kan anses for at være en behandling af oplysninger om fysiske personers seksuelle forhold eller seksuelle orientering, jf. databeskyttelsesforordningens artikel 9, stk. 1. Datatilsynet har herved bl.a. lagt vægt på, at formålet med behandlingen af oplysningerne ikke er at behandle oplysninger om ansøgernes seksuelle forhold mv., ligesom at oplysningerne om køn alene anvendes til at verificere, hvorvidt der er overensstemmelse mellem oplysningerne i ansøgningen og oplysningen i ansøgernes pas.
5.
Det følger af databeskyttelsesforordningens artikel 32, at den dataansvarlige og databehandleren – under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder – gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse
Datatilsynet har i flere sammenhænge tidligere udtalt, at det følger af kravet om passende sikkerhed, jf. artikel 32, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger over netværk, som den dataansvarlige ikke har kontrol over.
Dette udelukker imidlertid ikke, at den dataansvarlige altid skal foretage en konkret vurdering af, hvad der vil være passende sikkerhed ved transmission af oplysninger over sådanne net- værk – det vil sige også i situationer, hvor der sker transmission af oplysninger, der ikke er af fortrolig eller følsom karakter. Denne konkrete vurdering indebærer bl.a., at den dataansvarlige altid skal identificere og forholde sig til relevante risici for de registreredes rettigheder, og at den dataansvarlige i forlængelse heraf skal gennemføre passende sikkerhedsforanstaltninger for at beskytte disse rettigheder.
Det er i den forbindelse Datatilsynets opfattelse, at transmission af personoplysninger over netværk, som den dataansvarlige ikke har kontrol over, generelt indebærer en relativ høj risiko for, at oplysningerne kommer til uvedkommendes kendskab.
For så vidt angår transmission af de i denne sag omhandlede kvitteringsskrivelser, skal Datatilsynet indledningsvis bemærke, at tilsynet ikke har kendskab til i hvilke lande ansøgerne er bosat, og at tilsynet derfor heller ikke kan foretage en konkret vurdering af risiciene for de på- gældende ansøgeres rettigheder.
I en række lande – såvel inden for som uden for EU – kan det imidlertid være forbundet med betydelige risici, hvis det kommer til uvedkommende kendskab, at der er indgået ægteskab – eller indgivet ansøgning herom – mellem to personer af samme køn. Datatilsynet lægger her- ved bl.a. vægt på, at ægteskaber mellem personer af samme køn i nogle lande kan være for- budt ved lov eller forbundet med en sådan social fordømmelse, at det kan medføre betydelige risici for de registreredes rettigheder.
Datatilsynet kan derfor ikke udelukke, at det kan være forbundet med høj risiko for de registre- rede, hvis ukrypterede kvitteringsskrivelser kommer til uvedkommende kendskab, hvad enten dette sker under transporten eller ved opbevaring på mailserverne. Tilsynet har i den forbindelse noteret sig, at der af kvitteringsskrivelser – ud over ansøgernes navne – ligeledes frem- går oplysninger om ansøgernes adresser, hvilket potentielt kan øge risikoen for de registrerede.
Idet Datatilsynet skal understrege, at der med nærværende udtalelse ikke er tale om en fravigelse af udgangspunktet, hvorefter det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet, skal tilsynet opfordre Familieretshuset til at overveje, hvorvidt der for nogle registrerede kan være en så høj risiko, at ukrypteret transmission af oplysninger ikke afspejler et passende sikkerhedsniveau.
I bekræftende fald er det Datatilsynets vurdering, at Familieretshuset bør overveje, hvilke sikkerhedsforanstaltninger, der vil kunne være passende, herunder f.eks. at oplysningerne i kvitteringsskrivelser begrænses i et sådant omfang, at det ikke er muligt at vurdere den nærmere karakter af ansøgningerne (dataminimering), at de registrerede kan fravælge muligheden for at få tilsendt en kvitteringsskrivelse og/eller at der etableres en løsning, hvor oplysningerne forbliver på Familieretshusets serversite og alene kan downloades eller tilgås via et link og en yderligere autentificeringsfaktor på en HTTPS-forbindelse med certifikat.
1) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)