Nuuday får alvorlig kritik for uberettiget indsamling af personnummer

Dato: 16-02-2022

Datatilsynet har udtalt alvorlig kritik af Nuuday A/S, fordi virksomheden uberettiget indsamlede oplysninger om CPR-nummer og besvarede en indsigtsanmodning for sent.

Journalnummer: 2020-31-4333

Resume

I forbindelse med behandlingen af en klagesag har Datatilsynet udtalt alvorlig kritik af Nuuday A/S (herefter ’Nuuday’), fordi virksomheden uberettiget indsamlede oplysninger om klagers personnummer, og endvidere besvarede en indsigtsanmodning fra klager for sent i henhold til databeskyttelsesforordningens frister.

Klager havde ringet til Nuuday for at høre, om det var muligt at få bredbånd på sin adresse. I den forbindelse blev klager bedt om at oplyse sit personnummer. Efterfølgende kontaktede klager Nuuday ved e-mail og anmodede om svar på, hvorfor og på hvilket grundlag virksomheden havde indsamlet klagers personnummer. I samme ombæring anmodede klager om indsigt i de oplysninger, som virksomheden behandlede om klager. Klager modtog først en endelig besvarelse af hans indsigtsanmodning godt et halvt år efter at have fremsat anmodningen. Ifølge databeskyttelsesforordningen skal dataansvarlige besvare en ukompliceret anmodning om eksempelvis indsigt senest en måned efter, de har modtaget anmodningen.

Nuuday erkendte i forbindelse med Datatilsynets undersøgelse af sagen, at virksomheden hverken havde et formål eller hjemmel til at indsamle klagers personnummer, og at klager endvidere ikke havde fået rettidig indsigt. Årsagen til, at klager blev bedt om at oplyse sit personnummer, var en fejl hos en medarbejder hos Nuuday.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [klager] (herefter ’klager’) den 5. december 2020 har klaget til tilsynet over Nuuday A/S’ (herefter ’Nuuday’) behandling af personoplysninger om ham.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Nuuday’s behandling af personoplysninger om klager ikke er sket i overensstemmelse med reglerne i databeskyttelseslovens[1] § 11, stk. 2, og databeskyttelsesforordningens[2] artikel 12, stk. 3, og artikel 15.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager den 4. december 2020 ringede til Nuuday for at høre, om det var muligt at få bredbånd på sin adresse. I den forbindelse blev klager bedt om at oplyse sit personnummer.

Klager kontaktede samme dag Nuuday ved e-mail og anmodede om svar på, hvorfor og på hvilket grundlag Nuuday indsamlede klagers personnummer. Klager anmodede endvidere om indsigt i samtlige oplysninger, som Nuuday behandlede om ham.

Nuuday svarede klager den 5. december 2020, og oplyste, at årsagen til, at klager var blevet bedt om at oplyse sit personnummer, var, at Nuuday skulle lave en kreditvurdering af klager.

I forhold til klagers indsigtsanmodning besvarede Nuuday denne den 3. maj 2021.

2.1. Klagers bemærkninger

Klager har overordnet anført, at Nuuday hverken har haft hjemmel til at registrere hans personnummer ved telefonsamtale af 4. december 2020, eller har besvaret hans indsigtsanmodning i overensstemmelse med de databeskyttelsesretlige regler.

Klager har anført, at Nuuday’s anmodning om at få oplyst klagers personnummer har haft karakter af at være rutinemæssig, og at oplysningen ikke var relevant set i forhold til, at klagers forespørgsel gik på, om han kunne få et internetabonnement til ca. 300 kr. om måneden. På den baggrund er det vanskeligt at se, hvordan de databeskyttelsesretlige principper er blevet iagttaget ved Nuuday rutinemæssige indsamling og brug af personnumre.

For så vidt angår Nuuday’s besvarelse af klagers indsigtsanmodning den 3. maj 2021 (se nedenfor), har klager anført, at besvarelsen var vanskelig at finde rundt i, og i øvrigt bestod af en masse excelark. Besvarelsen inkluderede endvidere ikke oplysninger om klagers kundeforhold, herunder klagers e-mail hos Nuuday. Desuden fremgik der heller ikke oplysninger om, hvad klagers personnummer konkret blev anvendt til, samt hvilke systemer oplysningen blev registreret i.

Klager har endvidere gjort gældende, at han ønsker at få oplyst, hvornår hans personnummer blev slettet, samt hvor længe Nuuday opbevarede oplysningen. Klager har i den forbindelse anført, at hvis Nuuday havde besvaret klagers anmodning inden for fristen, havde han formentlig fået de oplysninger, han havde bedt om. Som følge af at klager ikke har modtaget disse oplysninger, har klager ikke mulighed for at efterprøve Nuuday’s forklaring om, at hans personnummer blev indsamlet, fordi hans kundeforhold skulle berettige det.

Klager har i øvrigt forholdt sig kritisk til Nuuday’s påstand om, at klagers personnummer ikke er registreret i nogen af YouSee’s (tilhørende Nuuday) systemer, og at Nuuday ikke kan konstatere, om personnummeret på noget tidspunkt har været registreret hos YouSee. Klager har hertil anført, at det må være muligt for Nuuday at se, hvad klagers personnummer er blevet brugt til.

2.2. Nuuday’s bemærkninger

Nuuday har overordnet anført, at selskabet hverken havde et formål eller hjemmel til at behandle klagers personnummer, og at klager ikke har fået rettidig indsigt i, hvilke personoplysninger YouSee behandlede om ham.

Nuuday har over for Datatilsynet oplyst, at selskabet den 3. maj 2021 gav klager indsigt i de oplysninger, som selskabet behandlede om ham, og som vedrørte YouSees bredbåndsprodukt. I forlængelse af klagers bemærkninger om, at besvarelsen ikke var tilstrækkelig, har Nuuday kunnet konstatere, at selskabet behandlede yderligere oplysninger om klager i forbindelse med klagers brug af et andet produkt i form af en TDC/YouSee-mail samt andre oplysninger i forbindelse med det nu lukkede brand Fullrate. Nuuday har efterfølgende sendt disse yderligere oplysninger til klager som svar på hans indsigtsanmodning.

Nuuday har forklaret, at selskabet indsamler og behandler abonnenters personnumre, når der indgås en abonnementsaftale med en kunde. Personnumre behandles efter kundens samtykke, som afgives i forbindelse med indgåelsen af abonnementsaftalen. Formålet med behandlingen er for det første at sikre betaling af kreditaftaler og for det andet at sikre, at udstyr, som eventuelt udleveres i forbindelse med abonnementet, f.eks. routere mv., tilbageleveres ved abonnementets ophør. Selvom mange abonnementer i dag er forudbetalte, er det i forbindelse med mange tjenester muligt at forbruge tillægsydelser, som udlandstelefoni, indholdstakserede tjenester mv., som først opkræves efterfølgende, hvorved der opstår et kreditforhold.

I nærværende sag havde klager oprindeligt et bredbåndsabonnement hos Nuuday-brandet Fullrate, som ikke behandlede deres abonnenters personnumre. Fullrate blev nedlagt i 2019, og alle kunder blev i løbet af 2020 som udgangspunkt overført til YouSee. Klagers stamoplysninger blev i den forbindelse overført til YouSee, men klager oprettede ikke et YouSee-abonnement.

For så vidt angår Nuuday’s opkrævning af klagers personnummer ved telefonsamtalen den 4. december 2020, har Nuuday anført, at den pågældende medarbejder fejlagtigt var af den opfattelse, at der på grund af klagers webmail-konto hos YouSee allerede eksisterede et abonnementsforhold, som kunne begrunde en behandling af klagers personnummer i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 5, stk. 1, litra b og c. Nuuday har beklaget denne fejl.

3. Begrundelse for Datatilsynets afgørelse

3.1.

Det følger af databeskyttelseslovens § 11, stk. 2, at private må behandle oplysninger om personnummer, når:

  • det følger af lovgivningen,
  • den registrerede har givet samtykke til behandlingen,
  • behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder mv. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
  • betingelserne i databeskyttelseslovens § 7 er opfyldt.

Endvidere følger det af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til oplysningerne samt en række yderligere informationer. Den dataansvarlige skal i den forbindelse udlevere en kopi af de personoplysninger, der behandles, jf. forordningens artikel 15, stk. 3.

Den dataansvarlige skal desuden uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af en anmodning om f.eks. indsigt oplyse den registrerede om foranstaltninger, der træffes på baggrund af anmodningen. Perioden kan forlænges med to måneder, hvis det er nødvendigt under hensyntagen til anmodningernes kompleksitet og antal, jf. databeskyttelsesforordningens artikel 12, stk. 3.

3.2.

Datatilsynet lægger på baggrund af det i sagen oplyste til grund, at Nuuday ikke havde hjemmel til at indsamle klagers personnummer ved klagers telefonopringning den 4. december 2020, idet Nuuday selv har erkendt dette.

Datatilsynet finder derfor, at Nuuday’s behandling af klagers personnummer har været i strid med databeskyttelseslovens § 11, stk. 2.

Datatilsynet lægger herefter til grund, at Nuuday besvarede klagers indsigtsanmodning af 5. december 2020 den 3. maj 2021. Besvarelsen indeholdt imidlertid ikke samtlige oplysninger om klager, idet Nuuday i forlængelse af klagers bemærkninger i sagen kunne konstatere, at selskabet behandlede yderligere oplysninger om klager i form af en TDC/YouSee-mail samt oplysninger stammende fra det nu lukkede brand Fullrate. Disse yderligere oplysninger blev herefter fremsendt til klager som svar på indsigtsanmodningen.

Datatilsynet finder på den baggrund, at Nuuday’s besvarelse af klagers indsigtsanmodning hverken er sket i overensstemmelse med databeskyttelsesforordningen artikel 12, stk. 3, eller artikel 15.

Samlet set finder Datatilsynet anledning til at udtale alvorlig kritik af Nuuday’s behandling af oplysninger om klager.

For så vidt angår klagers bemærkninger om, at det må være muligt for Nuuday at se, hvad klagers personnummer er blevet brugt til, lægger Datatilsynet til grund, at der i sagen foreligger modstridende oplysninger, idet Nuuday omvendt har anført, at dette ikke er muligt. Datatilsynet kan ikke foretage en egentlig bevisvurdering, hvis der er uenighed mellem parterne om det faktisk grundlag, hvorfor Datatilsynet ikke foretager sig yderligere i forhold dette.

Den endelige vurdering af bevismæssige spørgsmål vil i stedet kunne foretages i forbindelse med en sags behandling ved domstolene, hvor der er mulighed for at belyse omtvistede forhold nærmere, herunder ved afhøring af vidner.

 

[1]    Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelseslovens).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).