Journalnummer: 2003-321-0240
IT- og Telestyrelsen har ved breve 18. og 27. juni 2003 rettet henvendelse til Datatilsynet. Ved møde den 14. juli 2003 mellem Datatilsynet og IT- og Telestyrelsen samt e-post af 5. september 2003 er styrelsen fremkommet med supplerende oplysninger i sagen.
I forbindelse med udviklingen af sundhedsportalen har IT- og Telestyrelsen forespurgt Datatilsynet om muligheden for, at konvertere løbenummeret i medarbejdercertifikater til personnumre. Styrelsen har i den forbindelse oplyst følgende:
“Der indføres en konvertering af løbenummeret i et medarbejdercertifikat til cpr.nr. Funktionen kendes fra personcertifikater, hvor det såkaldte PID-nummer kan konverteres til certifikatindehaverens cpr.nr.”
På den baggrund har Datatilsynet forstået IT- og Telestyrelsens henvendelse således, at der ved konverteringen af løbenummeret i et medarbejdercertifikat foretages et opslag af det tilhørende personnummer hos udstederen af certifikatet.
IT- og Telestyrelsen har endvidere redegjort for registrerings- og verificeringsproceduren for udstedelse af medarbejdercertifikater.
Datatilsynet skal herefter oplyse følgende:
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. § 1, stk. 2.
Behandling af personoplysninger skal i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Det følger af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge bemærkningerne til bestemmelsen, at behandlingen skal være rimelig og lovlig.
Af § 5, stk. 2, følger således, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Behandling af oplysninger om personnummer
Ifølge persondatalovens § 11, stk. 1, må offentlige myndigheder behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
Det følger endvidere af persondatalovens § 11, stk. 2, at private må bl.a behandle oplysninger om personnummer, hvis det følger af lov eller bestemmelser fastsat i henhold til lov, eller den registrerede har givet sit udtrykkelige samtykke hertil, eller behandlingen alene finder sted til videnskabelige eller statistiske formål. For videregivelse af oplysninger om personnumre gælder særlige regler, jf. § 11, stk. 2, nr. 3.
I øvrigt skal Datatilsynet bemærke, at der i CPR-lovens kap. 13 er fastsat nærmere bestemmelser om offentlige myndigheders behandling af personnumre. Spørgsmål herom kan rettes til Indenrigs- og Sundhedsministeriets 1. økonomiske kontor, Slotsholmsgade 10-12, 1216 København K.
Det er Datatilsynets umiddelbare vurdering, at offentlige myndigheder på baggrund af løbenumre i medarbejdercertifikater kan foretage opslag af de tilhørende personnumre, når dette sker med henblik på entydig identifikation.
Det er endvidere Datatilsynet umiddelbare vurdering, at private kan foretage sådanne opslag, når den registrerede har givet sit udtrykkelige samtykke dertil. Datatilsynet forudsætter herved, at behandlingen af oplysninger om personnumre sker til udtrykkeligt angivne og saglige formål.
Datatilsynet må imidlertid forbeholde sig sin stillingtagen i en eventuel konkret klagesag, ligesom tilsynet generelt må forbeholde sig sin stillingtagen, hvis der i praksis i relation til persondataloven skulle vise sig uhensigtsmæssigheder ved brugen af opslagsproceduren.
Kravene til samtykke
I persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som en enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.
Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.
Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.
Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.
Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.
Oplysningspligt
I persondatalovens §§ 28 og 29 findes reglerne om oplysningspligt. Efter disse bestemmelser påhviler det den dataansvarlige ved registreringen af oplysningerne at informere den registrerede om bl.a. udstrækningen af registreringen, formålet hermed, samt yderligere oplysninger, der er nødvendige for, at den registrerede kan varetage sine interesser.
Den dataansvarlige skal derfor i forbindelse med opslag af personnumre overveje, om der påhviler en oplysningspligt over for den registrerede i medfør af ovennævnte bestemmelser.
Indsigelsesret
Efter persondatalovens § 35, kan den registrerede til enhver tid gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Hvis indsigelsen er berettiget, må behandlingen ikke længere omfatte af de pågældende oplysninger, jf. stk. 2.
Datatilsynet har ingen bemærkninger til selve registrerings- og verificeringsproceduren.
Datatilsynet må dog forbeholde sig sin stillingtagen hertil, hvis der i praksis i relation til persondataloven skulle vise sig uhensigtsmæssigheder ved brugen af den skitserede procedure.
Datatilsynet håber hermed at have besvaret IT- og Telestyrelsens forespørgsel.
Hvis ovenstående måtte give anledning til yderligere spørgsmål, er styrelsen velkommen til at kontakte undertegnede, gerne telefonisk.