Københavns Kommunes behandling af personoplysninger i forbindelse med advokatundersøgelse

Dato: 29-11-2022
Afgørelse Offentlige myndigheder Kritik Klage Behandlingsgrundlag Oplysningspligt Udøvelse af rettigheder

Datatilsynet har truffet afgørelse i to sager, som vedrørte samme advokatundersøgelse, hvor en person klagede over behandling af oplysninger om ham i forbindelse med iværksættelsen og gennemførelsen af en advokatundersøgelse.

Journalnummer: 2021-32-2463

Resume

I juli og august 2021 klagede klager over, at Københavns Kommune og Bech-Bruun Advokatpartnerselskab behandlede oplysninger om ham i en advokatundersøgelse.

Undersøgelsen blev gennemført af Bech-Bruun på vegne af Københavns Kommune med det formål at afdække, om der havde været udvist krænkende adfærd på uddannelsesinstitutionen Sankt Annæ Gymnasium, samt hvordan en sådan adfærd var blevet håndteret.

Københavns Kommunes behandling af oplysninger om klager

Datatilsynet har i den ene sag, som vedrørte Københavns Kommunes behandling af oplysninger om klager i forbindelse med advokatundersøgelsens iværksættelse, fundet, at Københavns Kommunes behandling af oplysninger om klager skete inden for rammerne af databeskyttelsesforordningen.

Datatilsynet har imidlertid fundet grundlag for at kritisere, at Københavns Kommune ikke i tilstrækkelig grad opfyldte den databeskyttelsesretlige oplysningspligt.

Bech-Bruuns behandling af oplysninger om klager

Datatilsynet har i den anden sag, som vedrørte Bech-Bruuns behandling af oplysninger om klager i forbindelse med advokatundersøgelsens gennemførelse, fundet, at Bech-Bruuns behandling af oplysninger om klager, herunder oplysninger om seksuelle forhold, skete inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

Datatilsynet har imidlertid fundet grundlag for at kritisere, at Bech-Bruun undlod at opfylde den databeskyttelsesretlige oplysningspligt.

Datatilsynet har endvidere fundet grundlag for at udtale alvorlig kritik af Bech-Bruuns håndtering af en indsigtsanmodning fra klager. I den forbindelse har Datatilsynet meddelt Bech-Bruun påbud om på ny at tage stilling til klagers indsigtsanmodning.

Det har Datatilsynet ikke forholdt sig til

Sagerne indgår – ligesom to af tilsynets tidligere afgørelser – i en debat, der rækker langt ud over det databeskyttelsesretlige. I vurderingen af sagerne har Datatilsynet udelukkende forholdt sig til det juridiske i forhold til indsamlingen og den videre behandling af oplysninger om klager.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor [X] (herefter klager) den 11. august 2021 har klaget til tilsynet over, at Københavns Kommune har behandlet oplysninger om ham i forbindelse med iværksættelse af en advokatundersøgelse, som blev gennemført af Bech-Bruun Advokatpartnerselskab.

Datatilsynet bemærker, at tilsynet med nærværende afgørelse alene har forholdt sig til Københavns Kommunes behandling af oplysninger om klager i forbindelse med iværksættelse af den pågældende advokatundersøgelse. Datatilsynet har således ikke forholdt sig til Bech-Bruun Advokatpartnerselskabs behandling af oplysninger om klager, som er særskilt behandlet i sagen med j. nr. 2021-31-5307.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Københavns Kommunes behandling af oplysninger om klager ikke kunne foretages med hjemmel i databeskyttelsesforordningens[1] artikel 6, stk. 1, litra c og d.

Datatilsynet finder imidlertid, at Københavns Kommunes behandling af oplysninger om klager er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.

Det er endelig Datatilsynets opfattelse, at Københavns Kommune ikke i tilstrækkelig grad har iagttaget databeskyttelsesforordningens artikel 14, jf. artikel 12, stk. 1, og Datatilsynet finder på baggrund heraf grundlag for at udtale kritik af Københavns Kommune.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at en række medier, herunder bl.a. Dagbladet Politikken, bragte artikler, som berettede om et ”grænseoverskridende og seksualiseret miljø” i Danmarks Radios pigekor.

Efterfølgende modtog Sankt Annæ Gymnasium henvendelser fra tidligere elever, som berettede om en lignende kultur i deres tid på Sankt Annæ Gymnasium tilbage i 1980’erne og 1990’erne, som især angik oplevelser i gymnasiets kor.

Sankt Annæ Gymnasium besluttede på den baggrund – i samarbejde med Børne- og Ungdomsforvaltningen i Københavns Kommune – at igangsætte en ekstern advokatundersøgelse, som Advokatfirmaet Bech-Bruun skulle forestå. Undersøgelsens formål var at afdække, om der har været udvist krænkende adfærd i relation til korene på Sankt Annæ Gymnasium, samt hvordan dette i givet fald blev håndteret.

Den 30. juni 2021 blev klager kontaktet telefonisk af Sankt Annæ Gymnasiums rektor, som orienterede klager om advokatundersøgelsens iværksættelse, og at gymnasiets elever, forældre og ansatte ville blive orienteret herom.

Samme dag udsendte Sankt Annæ Gymnasium et brev, hvoraf bl.a. følgende fremgik:

”Advokatundersøgelse af krænkelser på SAG

Til elever, forældre og ansatte

En række medier, bl.a. Dagbladet Politiken, har i den seneste tid omtalt, at der tidligere var et grænseoverskridende og seksualiseret miljø i DR’s pigekor. Tidligere pigekorssangere har berettet om stærkt kritisable forhold i koret.

Sankt Annæ Gymnasium har inden for den seneste uge modtaget et antal henvendelser fra tidligere elever, der har oplevet en lignende kultur i deres tid på Sankt Annæ Gymnasium tilbage i 1980’erne og 1990’erne. Henvendelserne drejer sig især om oplevelser i skolens kor.

De beretninger, vi har hørt, vidner om en grænseoverskridende kultur. Der nævnes eksempler på seksuelt krænkende adfærd og relationer, som slet ikke har været i orden.

Dette tager vi på Sankt Annæ Gymnasium meget alvorligt.

Derfor sætter vi sammen med Børne- og Ungdomsforvaltningen en ekstern advokatundersøgelse i gang. Den skal afdække, om der har været udvist krænkende adfærd i relation til korene på Sankt Annæ Gymnasium, samt hvordan dette er blevet håndteret.

Jeg vil gerne opfordre alle med viden om svigt eller krænkelser i relation til Sankt Annæ Gymnasium til at kontakte advokatfirmaet.

[…]”

Ud over brevet fra Sankt Annæ Gymnasium modtog klager samme dag et særskilt orienteringsbrev fra Københavns Kommune med overskriften Oplysningspligt – [X], hvoraf en række informationer om Københavns Kommunes behandling af oplysninger om klager fremgik.

Efterfølgende kontaktede klager den 5. juli 2021 Københavns Kommune og gjorde indsigelse mod enhver behandling af oplysninger om ham, som måtte foretages i forbindelse med den adviserede advokatundersøgelse.

Københavns Kommune besvarede den 23. juli 2021 klagers henvendelse. Følgende fremgik af kommunens svar:

”Herved skal GDPR-funktionen i Børne- og Ungdomsforvaltningen (Københavns Kommune) besvare din indsigelse af 5. juli 2021, som oprindeligt var sendt til kommunens databeskyttelsesrådgiver.

Først og fremmest skal det bemærkes, at advokatundersøgelsen på Sankt Annæ Gymnasium forestås af ekstern part (Bech Bruun), hvorfor vi som offentlig myndighed (forvaltning) ikke kan gå i dybden med detaljerne i sagen.

I stedet henvises der til Bech Bruuns svar af 7. juli 2021, hvori der mere dybdegående gives svar på din indsigelse. I brevet fra Bech Bruun fremgår det bl.a., at undersøgelsen er ”nødvendig for at beskytte vitale interesser hos nuværende og tidligere elever”, hvorfor et eventuelt samtykke fra registrerede parter ikke vil være påkrævet.

Advokatundersøgelsen foregår altså på helt legitim vis, og databeskyttelsesforordningens artikel 21 vil i den sammenhæng ikke være relevant eller mulig at påberåbe sig som registreret part.

[…]”

Københavns Kommune henviste i sit svar til Advokatfirmaet Bech-Bruuns brev af 7. juli 2021 til klager. Af brevet fra Bech-Bruun fremgik bl.a. følgende:

”[…]

Nedenfor gennemgår vi vores bemærkninger til din indsigelse.

Du har gjort gældende, at du ikke samtykker til behandling af dine personoplysninger, og at der efter din opfattelse heller ikke foreligger andre bestemmelser i databeskyttelseslovens artikel 6, stk. 1, som kan udgøre hjemmel til behandling af oplysninger om dig.

Hvis advokatundersøgelsen indebærer behandling af personoplysninger om dig, vil du blive ”registreret” i databeskyttelsesretlig forstand og dermed få de lovbestemte rettigheder, som tilkommer registrerede i den forbindelse (de findes særligt i databeskyttelsesforordningens kapitel III).

Bech-Bruun agerer databeskyttelsesretligt som selvstændig dataansvarlig i forbindelse med gennemførelse af undersøgelsen (inkl. indsamling og behandling af personoplysninger), men er bundet af de rammer for behandling af personoplysninger, som SAG er underlagt.

Reglerne om registreredes mulighed for at gøre indsigelse mod en dataansvarligs behandling af deres personoplysninger findes i databeskyttelsesforordningens artikel 21, stk. 1, hvoraf det følger, at du som registreret til enhver tid har ret til – af grunde der vedrører din særlige situation – at gøre indsigelse mod behandling af dine personoplysninger, hvis behandlingen er baseret på databeskyttelsesforordningens artikel 6, stk. 1, litra e eller f. De omtalte bestemmelser vedrører alene behandling af almindelige personoplysninger, som skal adskilles fra andre typer af oplysninger, fx om strafbare forhold, jf. yderligere nedenfor.

Din mulighed for at gøre indsigelse er derfor kun er relevant i forhold til behandling af personoplysninger om dig, som er baseret på de to nævnte bestemmelser, og du kan dermed ikke gøre indsigelse mod behandling af dine personoplysninger baseret på andre relevante bestemmelser i databeskyttelsesforordningen eller databeskyttelsesloven. Selv i den situation hvor en behandling af personoplysninger sker på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra e eller f, kan både SAG og Bech-Bruun som dataansvarlige fortsat behandle dine personoplysninger på trods af din indsigelse, hvis vi påviser vægtige legitime grunde til behandlingen, der går forud for dine interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Dette er tilfældet i forhold til undersøgelsen af mulig krænkende adfærd eller uønsket seksuel opmærksomhed overfor elever på SAG. Der er derfor både vægtige legitime grunde til behandlingen, som går forud for dine interesser samtidig med, at retskrav skal fastlægges, jf. yderligere nedenfor.

Vi kan yderligere oplyse, at advokatundersøgelsen efter vores vurdering er nødvendig for at overholde en retlig forpligtelse, der påhviler den dataansvarlige (SAG og Københavns Kommune), jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c. Undersøgelsen gennemføres for at belyse, om der er eller har været et chikanøst miljø på gymnasiet (og dermed ikke et chikanefrit miljø). Den er ikke specifikt rettet mod dig, mod andre lærere eller ansatte eller mod koret. Undersøgelsen vedrører eleverne på gymnasiet i almindelighed.

Pligten til at sikre et chikanefrit miljø følger af ligebehandlingsloven § 4. ”Lige arbejdsvilkår” omfatter også forbud mod sexchikane, jf. § 4, stk. 2. Det fremgår af forarbejderne til § 4, at ”bestemmelsen også̊ indebærer en pligt for arbejdsgiveren til at stille et chikanefrit miljø til rådighed, og arbejdsgiveren er forpligtet til i rimeligt omfang at sikre sine ansatte mod chikane”. I denne relation gælder loven også for offentlige myndigheder. Offentlige myndigheder skal således inden for deres område arbejde for ligestilling og indarbejde ligestilling i al planlægning og forvaltning på de områder, ligebehandlingsloven omhandler, jf. lovens § 1a.

Desuden er undersøgelsen nødvendig for at beskytte vitale interesser hos nuværende og tidligere elever, der har været eller mener sig udsat for krænkelser, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra d og nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. databeskyttelsesforordningen artikel 9, stk. 2, litra f. Seksuel chikane kan berettige til en godtgørelse, og et seksuelt forhold mellem en lærer og en elev kan være en strafbar handling, jf. straffelovens § 222 (seksuelt forhold til et barn under 15 år) og § 223 (seksuelt forhold til en elev under 18 år), evt. § 232 (blufærdighedskrænkelse). I den forbindelse kan der være opstået et erstatningskrav for de elever, som har været udsat for krænkelser.

SAG og Københavns Kommune har en forpligtelse til at beskytte elever mod overgreb, og dette gælder også for overgreb, der ligger langt tilbage i tiden. Det følger af straffelovens § 93b, at overtrædelser af bl.a. §§ 222 og 223 ikke forældes, ligesom der gælder særlige forældelsesregler for overtrædelser af § 232 i relation til børn.

Hvis det i løbet af undersøgelsen viser sig, at nogen af ovenstående forhold har fundet sted, vil den databeskyttelsesretlige hjemmel for behandling af de pågældende oplysninger være databeskyttelsesloven § 8, stk. 1 og 2, nr. 2, fordi en evt. behandling vil være nødvendig for varetagelsen af myndighedens opgaver, eller fordi en evt. videregivelse sker til varetagelse af private eller offentlige interesser, udgør hensyn, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, som oplysningerne angår.

For en ordens skyld kan vi oplyse, at det på nuværende tidspunkt ikke kan udelukkes, at en del af de almindelige personoplysninger, som indsamles og behandles i forbindelse med advokatundersøgelsen kommer til at ske på baggrund af databeskyttelsesforordningen artikel 6, stk. 1, litra e (SAG) og litra f (Bech-Bruun), men a, sagens karakter og hensynet til de berørte personer ikke medfører, at en indsigelse vedr. behandling af dine personoplysninger skal tages til efterretning, jf. ovenfor vedr. databeskyttelsesforordningens artikel 21.

[…] 

Efter vores vurdering er der ikke nogen af disse hensyn, der med vægt taler imod, at SAG og Københavns Kommune via advokatundersøgelsen kan vælge at forsøge at afdække, om der har foregået krænkede eller strafbare handlinger overfor eleverne. Undersøgelsen er ikke sat i gang på baggrund af rygter, men fordi SAG og Københavns Kommune har modtaget konkrete indberetninger om forhold, der kan være i strid med

lovgivningen.

[…]”

Den 11. august 2021 rettede klager henvendelse til Datatilsynet og klagede over Københavns Kommunes behandling af oplysninger om ham.

Datatilsynet sendte den 30. august 2021 klagers klage i høring og anmodede Københavns Kommune om en udtalelse til sagen.

Københavns Kommune fremsendte den 4. oktober 2021 en udtalelse til sagen, hvorefter Datatilsynet den 6. oktober 2021 anmodede om en supplerende udtalelse.

Københavns Kommune fremkom den 29. oktober 2021 med en supplerende udtalelse, hvorefter tilsynet sendte kommunens udtalelser til klager den 1. november 2021.

Klager fremsendte sine bemærkninger til udtalelserne den 15. november 2021.

2.1. Klagers bemærkninger

Klager har forklaret, at han var tilknyttet Sankt Annæ Gymnasium i perioden 1979 til 2000, hvor han i de første år var timelærer, mens han fra 1984 blev fastansat som adjunkt. Klager har derfor ikke været ansat ved Sankt Annæ Gymnasium siden år 2000.

Det er derfor overordnet klagers opfattelse, at der hverken er hjemmel i databeskyttelsesforordningen eller databeskyttelsesloven til at indsamle eller behandle oplysninger om ham som led i advokatundersøgelsen, som Københavns Kommune iværksatte.

Klager har ikke givet samtykke til, at der kunne behandles oplysninger om ham, og de øvrige behandlingsgrundlag i databeskyttelsesforordningens artikel 6, stk. 1, litra b-f, kunne efter klagers opfattelse ikke danne grundlaget for behandling af oplysninger om ham.

For så vidt angår databeskyttelsesforordningens artikel 6, stk. 1, litra f, har klager uddybet, at bestemmelsen umuligt kan begrunde, at der blev indhentet oplysninger, herunder følsomme oplysninger og oplysninger om potentielt ærerørige forhold, som fandt sted for 20-40 år siden, og om hvilke det i øvrigt på forhånd måtte anses for særdeles vanskeligt at føre entydige beviser for.

Klager bemærker i den forbindelse, at der på intet tidspunkt har været klagesager mod ham om den type forhold, som advokatundersøgelsen søgte afdækket.

Iværksættelse og gennemførelse af en undersøgelse som den pågældende strider i øvrigt efter klagers opfattelse imod Sankt Annæ Gymnasiums persondatapolitik, som ikke omtaler, at tidligere medarbejdere kan gøres til genstand for undersøgelser af den art.

2.2. København Kommunes bemærkninger

Københavns Kommune har overordnet anført, at Sankt Annæ Gymnasium og Københavns Kommune på baggrund af medieomtalen samt et antal henvendelser fra tidligere elever besluttede at igangsætte en undersøgelse af, om der i perioden, hvor bl.a. klager var korleder, fandt krænkende og seksualiseret adfærd sted.

Københavns Kommune indgik derfor et samarbejde med Advokatfirmaet Bech-Bruun, hvorefter Bech-Bruun – som ekstern, uvildig og objektiv part på vegne af kommunen – skulle forestå iværksættelse og gennemførelse af den pågældende undersøgelse.

Københavns Kommune har oplyst, at kommunens behandling af oplysninger om klager i forbindelse med den pågældende advokatundersøgelse alene er pågået i tiden, indtil advokatundersøgelsen blev igangsat af Bech-Bruun.

Behandling af oplysninger om klager har haft til formål at afdække omfanget af eventuelle krænkelser af tidligere elever på Sankt Annæ Gymnasium, idet gymnasiet modtog flere henvendelser fra tidligere kormedlemmer, som berettede om krænkende forhold i deres tid på gymnasiet.

Oplysningerne om klager begrænsede sig til det, som tidligere elever og ansatte har beskrevet i deres henvendelser til Københavns Kommune. Oplysningerne udgjorde derfor ifølge kommunen hovedsageligt oplysninger om klagers navn, kontaktoplysninger samt klagers tidligere ansættelsesforhold.

Københavns Kommunes har derfor alene behandlet oplysninger om klager, som er omfattet af databeskyttelsesforordningens artikel 6.

Behandlingsgrundlaget er databeskyttelsesforordningens artikel 6, stk. 1, litra c, d og e, og klagers samtykke har derfor ikke været nødvendigt, bl.a. fordi undersøgelsen var nødvendig for at beskytte vitale interesser hos nuværende og tidligere elever.

Københavns Kommune har uddybende forklaret, at behandlingsgrundlaget udspringer af Københavns Kommunes forpligtelse til at bekæmpe seksuel chikane, jf. ligebehandlingslovens § 4 og undervisningsmiljølovens § 1.

Endvidere har Københavns Kommune anført, at Københavns Kommune efter § 58 i lov om institutioner for almen-gymnasiale uddannelser og almen voksenuddannelses og §§ 2 og 36 i folkeskoleloven driver gymnasial uddannelse og folkeskole på Sankt Annæ Gymnasium. Københavns Kommune er som følge heraf af den opfattelse, at kommunen kan behandle oplysninger fra tidligere elever om, at ansatte på Sankt Annæ Gymnasium skulle have optrådt krænkende over for eleverne.

For så vidt angår oplysningspligten har Københavns Kommune anført, at klager den 30. juni 2021 særskilt blev orienteret om den påtænkte advokatundersøgelse. Af brevet fremgik de oplysninger, som Københavns Kommune efter databeskyttelsesforordningens artikel 14 er forpligtet til at give klager, og det er på den baggrund Københavns Kommunes opfattelse, at oplysningspligten er iagttaget.

3. Begrundelse for Datatilsynets afgørelse

3.1. Københavns Kommunes behandling af personoplysninger

3.1.1. Anvendelse af databeskyttelsesforordningens artikel 6, stk. 1, litra c og d

3.1.1.1. Databeskyttelsesforordningens artikel 6, stk. 1, litra c

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra c, at behandling af personoplysninger kan ske, hvis behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

Af præambelbetragtning nr. 41 til databeskyttelsesforordningen fremgår, at:

”Når denne forordning henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. Et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra Den Europæiske Unions Domstol (»Domstolen«) og Den Europæiske Menneskerettighedsdomstol.”

Af præambelbetragtning nr. 45 til databeskyttelsesforordningen fremgår endvidere, at:

”Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse.”

Af betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 117 fremgår følgende om bestemmelsen:

”Registerudvalget har i betænkning nr. 1345 udtalt, at udtrykket retlig forpligtelse efter en ren ordlydsfortolkning dækker over enhver form for retlig forpligtelse. Udvalget anfører endvidere, at uanset dette, kan det næppe antages, at udtrykket skal forstås således, at det omfatter alle former for retlige forpligtelser.

Det følger af bemærkningerne til persondataloven, at udtrykket retlig forpligtelse omfatter forpligtelser, der følger af lovgivningen eller af administrative forskrifter, der er fastsat i medfør heraf. Omfattet af udtrykket er endvidere forpligtelser, der følger af internationale regler, herunder EU-retlige regler. Ligesom forpligtelser, der følger af en domstolsafgørelse eller af en afgørelse, der er truffet af en administrativ myndighed, også er omfattet.”

Endvidere fremgår følgende af betænkningen, side 130:

”Der kan i den forbindelse dog være grund til at overveje, om arbejdsmarkedets parter i kollektive overenskomster kan skabe en ”retlig forpligtelse” i den forstand, hvori udtrykket er anvendt i forordningens artikel 6, stk. 1, litra c. Som nævnt ovenfor har Datatilsynet udtalt, at bestemmelser i overenskomster ikke kan anses for omfattet af reglen i persondatalovens § 6, stk. 1, nr. 3, jf. tilsynets j.nr.: 2011-313-0474.                  

Det fremgår dog af databeskyttelsesforordningens præambelbetragtning nr. 41, at når forordningen henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. Et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid, fremgår det af præambelbetragtningen, være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol.

Kollektive overenskomster og det fagretlige konfliktløsningssystem udgør en helt central, retligt bindende ramme for organiseringen af det danske arbejdsmarked. Kollektive overenskomster er også på europæisk plan anerkendt for sin særlige status. EU’s charter for grundlæggende rettigheder anerkender således i artikel 28 arbejdsmarkedets parters forhandlingsret og ret til kollektive skridt. Samtidigt ligger det fast, at EU-direktiver kan gennemføres via kollektive overenskomster for lønmodtagergrupper, der er omfattet af overenskomsten.

Det synes på den baggrund ikke på forhånd at kunne udelukkes, at kollektive overenskomster muligvis kan statuere en ”retlig forpligtelse” i den forstand, hvori udtrykket er anvendt i forordningens artikel 6, stk. 1, litra c, jf. i den forbindelse også Peter Blume og Jens Kristiansen: Persondataret i ansættelsesforhold, 1. udgave, 2011, s. 189.

Det må endelig antages, at artikel 6, stk. 1, litra c, er direkte anvendelig som behandlingsgrundlag, når blot den retlige forpligtelse følger af f.eks. national ret. Brugen af artikel 6, stk. 1, litra c, som behandlingsgrundlag forudsætter således ikke en national, implementerende hjemmelslovgivning om selve den konkrete behandling af personoplysninger i forbindelse med fastlæggelsen af en retlig forpligtelse. Der henvises til afsnit 3.4. om forordningens artikel 6, stk. 2-3.”

Det fremgår således af præambelbetragtningerne og betænkning nr. 1565/2017, at en retlig forpligtelse i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra c, bl.a. bør være klar og præcis, ligesom den bør være forudsigelig for personer, der er omfattet af dens anvendelsesområde.

Københavns Kommune har anført, at behandling af oplysninger om klager, som er foretaget med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra c, skete som følge af retlige forpligtelser, som Københavns Kommune er pålagt i medfør af ligebehandlingsloven, undervisningsmiljøloven, lov om institutioner for almen-gymnasiale uddannelser og almen voksenuddannelse og folkeskoleloven.

Det er Datatilsynets opfattelse, at Københavns Kommunes behandling af personoplysninger ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra c.

Datatilsynet har ved vurderingen lagt vægt på, at de retlige forpligtelser, som udspringer af det lovgrundlag, Københavns Kommune har henvist til, herunder særligt ligebehandlingsloven og undervisningsmiljøloven, efter tilsynets opfattelse ikke fremstår tilstrækkeligt klare og præcise til i den foreliggende sag at kunne anvendes som behandlingsgrundlag efter artikel 6, stk. 1, litra c.

Det er således Datatilsynets vurdering, at den foretagne behandling af oplysninger om klager ikke kunne ske på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra c.

3.1.1.2. Databeskyttelsesforordningens artikel 6, stk. 1, litra d

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra d, at behandling af personoplysninger kan ske, hvis behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

Følgende fremgår af præambelbetragtning nr. 46 til databeskyttelsesforordningen om artikel 6, stk. 1, litra d:

”Behandling af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.”

Af betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 131, fremgår endvidere følgende om bestemmelsen:

”Det fremgår af forordningens artikel 6, stk. 1, litra d, at behandling er lovlig, hvis behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

Bestemmelsen i forordningens artikel 6, stk. 1, litra d, svarer efter ordlyden til bestemmelsen i databeskyttelsesdirektivets artikel 7, litra d, og persondatalovens § 6, stk. 1, nr. 4.

Dog er der i forordningens artikel 6, stk. 1, litra d, nu en tilføjelse, hvoraf det følger, at også nødvendigheden af en behandling for at beskytte en anden fysisk persons vitale interesser vil kunne gøre en behandling lovlig.

Som et eksempel på hvornår det vil være lovligt at behandle en oplysning om en person af hensyn til en anden fysisk persons vitale interesser, kan nævnes den situation, at det ikke er muligt for et hospital at komme i kontakt med en patient, som venter på et nyt organ på det tidspunkt, hvor hospitalet kommer i besiddelse af organet, hvorfor hospitalet er nødt til at behandle personoplysninger om patientens kæreste for at komme i kontakt med patienten.

Vedrørende forordningens artikel 6, stk. 1, litra d, fremgår det af præambelbetragtning nr. 46, at behandling af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv, ligeledes bør anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

Fortolkningsbidraget i betragtningen ses at være i overensstemmelse med, hvad der følger af gældende ret.

Forordningens artikel 6, stk. 1, litra d, er således i overensstemmelse med, hvad der følger af gældende ret – dog vil artikel 6, stk. 1, litra d, fremover også finde anvendelse i forbindelse med en anden persons vitale interesser, hvilket er en ændring i forhold til gældende ret.”

Københavns Kommune har til sagen oplyst, at behandling af oplysninger om klager, som er foretaget med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra d, skete, da undersøgelsen var nødvendig for at beskytte vitale interesser hos nuværende og tidligere elever.

Det er Datatilsynets opfattelse, at Københavns Kommunes behandling af personoplysninger ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra d.

Datatilsynet har ved vurderingen lagt vægt på, at anvendelsen af databeskyttelsesforordningens artikel 6, stk. 1, litra d, – som det fremgår af præambelbetragtning nr. 46 og betænkning nr. 1565/2017 – ikke tager sigte på den behandling af personoplysninger, som Københavns Kommune i den foreliggende sag har foretaget.

Det fremgår, at bestemmelsen i princippet alene bør finde anvendelse, hvis behandlingen tydeligvis ikke kan finde sted på et andet retsgrundlag. Bestemmelsen har således karakter af en undtagelsesbestemmelse/sikkerhedsventil, og den bør (og kan) derfor alene anvendes i situationer, hvor behandling af personoplysninger er (livs)nødvendig – som det f.eks. kan være tilfældet inden for hospitalsvæsnet og/eller af humanitære årsager.

Det er ikke tilfældet for så vidt angår den konkrete behandling af oplysninger om klager, og det er derfor Datatilsynets vurdering, at den foretagne behandling af oplysninger om klager ikke kunne ske på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra d.

3.1.2. Anvendelse af databeskyttelsesforordningens artikel 6, stk. 1, litra e

Efter forordningens artikel 6, stk. 1, litra e, kan behandling af personoplysninger foretages, hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

Af præambelbetragtning nr. 45 til databeskyttelsesforordningen fremgår det om bestemmelsen, at:

”Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse. Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at fastlægge formålet med behandlingen. Endvidere kan dette retsgrundlag præcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke enheder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling. Det bør ligeledes henhøre under EU-retten eller medlemsstaternes nationale ret at afgøre, om den dataansvarlige, der udfører en opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse, skal være en offentlig myndighed eller en anden fysisk eller juridisk person, der er omfattet af offentlig ret, eller, hvis dette er i samfundets interesse, herunder sundhedsformål, såsom folkesundhed og social sikring samt forvaltning af sundhedsydelser, af privatret som f.eks. en erhvervssammenslutning.”

Om bestemmelsen fremgår endvidere bl.a. følgende af betænkning nr. 1565/2017, side 132:

”Efter en ordlydsfortolkning er bestemmelsen i forordningens artikel 6, stk. 1, litra e, overordnet i overensstemmelse med gældende ret, jf. beskrivelsen ovenfor. Se dog vedrørende videregivelse til tredjemand, som har fået pålagt myndighedsudøvelse og samkøring i kontroløjemed i særskilte afsnit herom.

Det må i den forbindelse antages, at artikel 6, stk. 1, litra e, er direkte anvendelig som behandlingsgrundlag, så længe den dataansvarlige udfører en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Brugen af artikel 6, stk. 1, litra e, som behandlingsgrundlag forudsætter således ikke en national, implementerende hjemmelslovgivning om selve behandlingen af personoplysninger i forbindelse med udførelse af opgaver i samfundets interesse eller som led i offentlig myndighedsudøvelse.

Brugen af artikel 6, stk. 1, litra e, kræver heller ikke nødvendigvis, at opgaven, som kræver behandling af personoplysninger, udtrykkeligt i lovgivningen er pålagt myndigheden. […]”

Af ovennævnte fremgår det således, at behandling af oplysninger efter databeskyttelsesforordningens artikel 6, stk. 1, litra e, skal have retsgrundlag i EU-retten eller medlemsstaternes nationale ret.

Det medfører imidlertid ikke, at der kræves specifik lov til enhver enkelt behandling, og det vil dermed være tilstrækkeligt med en lov, som grundlag for adskillige behandlingsaktiviteter – i det omfang behandlingen er nødvendig for at udføre en opgave i samfundets interesse.

Datatilsynet lægger på baggrund af sagens oplysninger til grund, at Københavns Kommune alene har behandlet oplysninger om klager, som er omfattet af databeskyttelsesforordningens artikel 6.

Datatilsynet finder, at Københavns Kommunes behandling af oplysninger om klager er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.

Ved vurderingen har Datatilsynet lagt vægt på, at Københavns Kommune og Sankt Annæ Gymnasium efter reglerne om uddannelsesinstitutionens virke, herunder regler i lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse m.v., folkeskoleloven og undervisningsmiljøloven, har en generel forpligtelse til at sikre et godt undervisningsmiljø, således at undervisningen kan foregå sikkerheds- og sundhedsmæssigt fuldt forsvarligt.

Datatilsynet har som følge heraf ikke fundet grundlag for at tilsidesætte Københavns Kommunes vurdering af nødvendigheden af – på baggrund af medieomtalen og de konkrete henvendelser og med indsamling af nødvendige personoplysninger om bl.a. klager – nærmere at undersøge undervisningsmiljøet på Sankt Annæ Gymnasium nu og tilbage i tid med henblik på at undersøge, hvorvidt der er eller har været en (seksuelt) grænseoverskridende kultur på gymnasiet, og i givet fald omfanget af denne kultur.

Det er på den baggrund Datatilsynets vurdering, at Københavns Kommune kunne behandle oplysninger om klager med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e.

3.2. Københavns Kommunes iagttagelse af oplysningspligten

3.2.1. De generelle principper for behandling af personoplysninger, som fremgår af databeskyttelsesforordningens artikel 5, skal i alle tilfælde iagttages, når der behandles personoplysninger. Det betyder bl.a., at behandlingen skal være lovlig, rimelig og gennemsigtig, jf. artikel 5, stk. 1, litra a.

Det følger af databeskyttelsesforordningens artikel 14, stk. 1, at den dataansvarlige skal give den registrerede følgende oplysninger, hvis personoplysninger ikke er indsamlet hos den registrerede selv:

  1.  identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
  2. kontaktoplysninger for en eventuel databeskyttelsesrådgiver
  3. formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen
  4. de berørte kategorier af personoplysninger
  5. eventuelle modtagere eller kategorier af modtagere af personoplysningerne
  6. hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

Ud over oplysningerne efter stk. 1, skal den dataansvarlige efter databeskyttelsesforordningens artikel 14, stk. 2, give den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

  1. det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
  2. de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
  3. retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet
  4. når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
  5. retten til at indgive en klage til en tilsynsmyndighed
  6. hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder
  7. forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Dataansvarlige skal efter databeskyttelsesforordningens artikel 12, stk. 1, træffe passende foranstaltning til bl.a. at give enhver oplysning som omhandlet i artikel 13 og 14 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

3.2.2. Københavns Kommune sendte den 30. juni 2021 et særskilt orienteringsbrev til klager, som indeholdt information om Københavns Kommunes behandling af oplysninger om klager. Om behandlingens retsgrundlag fremgik følgende af brevet:

”Retsgrundlaget for vores behandling af dine personoplysninger følger af:

Lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse m.v. (LBK nr. 1246 af 17/08/2020).

Folkeskoleloven (LBK nr. 1396 af 28/09/2020).”

Datatilsynet bemærker generelt, at behandling af personoplysninger, som det er tilfældet i nærværende sag, efter tilsynets opfattelse – henset til behandlingens omfang, indgribende karakter og oplysningernes alder – stiller skærpede krav til klarheden og gennemsigtigheden af de oplysninger, som dataansvarlige efter databeskyttelsesforordningens artikel 14 er forpligtet til at give registrerede.

Datatilsynet finder, at Københavns Kommune ikke har iagttaget databeskyttelsesforordningens artikel 14, jf. artikel 12, stk. 1.

Datatilsynet har ved vurderingen lagt vægt på, at klager modtog utilstrækkelige og uklare oplysninger om retsgrundlaget, som lå til grund for Københavns Kommunes behandling af oplysninger om ham.

Det er efter Datatilsynets opfattelse utilstrækkeligt, at Københavns Kommune – henset til behandlingens omfang, indgribende karakter og personoplysningernes alder – henviser overordnet til lov om institutioner for almengymnasiale uddannelser og almen voksenuddannelse m.v. samt til folkeskoleloven.

Datatilsynet har herudover lagt vægt på, at Københavns Kommunes brev af 30. juni 2021 – sammenholdt med kommunens svar af 23. juli 2021 – gav klager anledning til at tro, at behandlingen af oplysninger om ham skete ud fra en retlig forpligtelse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c og d, og ikke – som gennemgået i pkt. 3.1. – af hensyn til udførelsen af en opgave i samfundets interesse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.

Det medførte, at klager – som en følgevirkning af oplysningerne om det uklare retsgrundlag – blev oplyst, at retten til at gøre indsigelse ikke fandt anvendelse, og at klagers ret efter databeskyttelsesforordningens artikel 21 derved blev afskåret.

Samlet finder Datatilsynet, at Københavns Kommune ikke i tilstrækkelig grad har iagttaget databeskyttelsesforordningens artikel 14, jf. artikel 12, stk. 1, og Datatilsynet finder derfor grundlag for at udtale kritik af Københavns Kommune.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).