Journalnummer: 2005-632-0077
Datatilsynet har nu afsluttet den undersøgelse af Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse af oplysninger fra Det Centrale Personregister (CPR), som tilsynet på eget initiativ indledte i marts 2005.
Datatilsynet – som har behandlet sagen i Datarådet – har navnlig undersøgt:
- Indenrigs- og Sundhedsministeriet, CPR-kontorets generelle videregivelse af CPR-oplysninger om en større kreds af personer (masseudtræk) til private dataansvarlige, jf. CPR-lovens § 38, samt
- Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse af sådanne oplysninger til private dataansvarlige via databehandlere.
Ud over de spørgsmål om videregivelse i form af masseudtræk, som behandles i dette brev, har Datatilsynet – bl.a. på baggrund af et spørgsmål fra Folketingets Retsudvalg til justitsministeren – spørgsmål om produktet CPR Søg, jf. CPR-lovens § 39, under behandling. Tilsynet forventer at kunne afgive en udtalelse herom medio juni 2005.
Datatilsynet har tillige fundet anledning til at anmode Experian A/S om en redegørelse om produkterne ”KreditVagten” og ”AktivKreditSikring”, som der ligeledes er rejst spørgsmål om. Tilsynet forventer tidligst at kunne afgive udtalelse i denne sag medio juni 2005.
Efter anmodning fra Datatilsynet har Indenrigs- og Sundhedsministeriet, CPRkontoret, i breve af 30. marts 2005 og 18. april 2005 samt telefonisk den 6. og 8. april 2005 redegjort for, hvordan videregivelserne af oplysninger fra CPR sker.
Datatilsynet skal udtale:
1. Indenrigs- og Sundhedsministeriet, CPR-kontorets generelle videregivelse af CPR-oplysninger om en større kreds af personer (masseudtræk) til private dataansvarlige
1.1. CPR blev oprettet i 1968 i henhold til en bemyndigelse i folkeregisterloven, og registeret er i dag reguleret i CPR-loven.
Af bestemmelsen i § 1 i CPR-loven fremgår, at CPR indeholder grundlæggende personoplysninger om enhver, der har et personnummer. Det fremgår desuden, at et af lovens formål er at sikre, at oplysningerne i CPR på hensigtsmæssig måde kan videregives til offentlige myndigheder og private med en berettiget interesse heri.
CPR-loven indeholder regler om kommunalbestyrelsernes og Indenrigs- og Sundhedsministeriets videregivelse af oplysninger til offentlige myndigheder og private. Denne sag omhandler videregivelse, der sker i henhold til CPR-lovens kapitel 10 (§§ 38 - 40) om Indenrigs- og Sundhedsministeriets videregivelse af oplysninger til private.
CPR-lovens § 38 omhandler levering af CPR-oplysninger om en større afgrænset kreds af personer, som den private modtager af oplysningerne forud har identificeret enkeltvis.
Af bestemmelsens stk. 2 fremgår, hvilke oplysninger der normalt kan videregives til virksomheder mv. Efter bestemmelsen i stk. 2 er der eksempelvis ikke adgang til at udlevere oplysninger om personnumre og beskyttede navne og adresser.
Af § 38, stk. 4, fremgår, hvordan modtageren skal have identificeret de personer, der rekvireres oplysninger om.
Ifølge CPR-lovens § 38, stk. 6, er det en betingelse for levering af CPRoplysninger til private efter § 38, at modtageren efter persondataloven er berettiget til at behandle oplysningerne.
Indenrigs- og Sundhedsministeriet, CPR-kontorets levering af CPR-oplysninger til private efter CPR-lovens § 38 sker på Indenrigs- og Sundhedsministeriets ”Standardvilkår for dataleverancer fra CPR til private”. Det fremgår heraf, bl.a. at
”Når en anmodning er modtaget, tager CPR-kontoret stilling til, hvilke personer samt hvilke oplysninger i CPR der vil blive omfattet af dataleverancen. Dette sker for at sikre, at der ikke videregives flere oplysninger end nødvendigt for den konkrete opgave, og at leverancen er i overensstemmelse med CPR-loven og persondataloven.”
Når en virksomhed anmoder om at modtage CPR-oplysninger, tager Indenrigsog Sundhedsministeriet, CPR-kontoret, ud fra det oplyste formål stilling til, hvorvidt virksomheden efter persondataloven er berettiget til at behandle oplysningerne.Kontoret fører dog almindeligvis ikke nærmere kontrol med oplysningerne om formålet eller med oplysningerne om virksomhedens relation til de personer, der ønskes CPR-oplysninger om. Hvis kontoret imidlertid ud fra det, som ansøgeren har skrevet, umiddelbart finder det tvivlsomt, om modtageren er berettiget til at behandle oplysningerne, anmoder kontoret ifølge det oplyste om en nærmere redegørelse, før der træffes afgørelse om levering.
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har anført, at det er op til den enkelte virksomhed at sikre, at virksomhedens registrering af personoplysninger er i overensstemmelse med persondataloven, og at virksomheden herefter i medfør af CPR-loven kan modtage personoplysninger fra CPR.
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har endvidere oplyst, at kontoret i en dataleverancekontrakts løbetid ikke fører kontrol med, om den virksomhed, som løbende modtager CPR-oplysninger (i forbindelse med abonnement), efter persondataloven (fortsat) er berettiget til at behandle oplysningerne.
For så vidt angår besvarelse af indsigelser fra de registrerede, har Indenrigs- og Sundhedsministeriet, CPR-kontoret, oplyst, at kontoret ikke foretager sletning af abonnement efter anmodning fra den abonnementssatte person. Indenrigs- og Sundhedsministeriet, CPR-kontoret, finder endvidere ikke, at kontoret har pligt til at undersøge og træffe beslutning om, hvorvidt en virksomheds behandling af en borgers navne- og adresseoplysninger er i overensstemmelse med persondataloven. Denne forpligtelse påhviler efter Indenrigs- og Sundhedsministeriet, CPR-kontorets opfattelse virksomheden, ligesom spørgsmålet vil kunne indbringes for Datatilsynet af borgeren.
1.2. Datatilsynets bemærkninger
For så vidt angår den omhandlede videregivelse i form af masseudtræk fra CPR, er det Datatilsynets opfattelse, at Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse først og fremmest er reguleret i CPR-loven, som fastsætter, hvilke oplysninger der kan videregives til hvem, og under hvilke betingelser videregivelse kan ske.
Herudover indeholder persondataloven imidlertid i § 5 en række grundlæggende regler om bl.a. god databehandlingsskik, saglighed, proportionalitet og ajourføring, som efter Datatilsynets opfattelse skal iagttages ved siden af CPR-loven.
Datatilsynet finder således, at CPR-lovens § 38 ikke kan antages at fratage Indenrigs- og Sundhedsministeriet, CPR-kontoret, ansvaret for, at de videregivelser af CPR-oplysninger, der sker i forbindelse med virksomheders abonnementer, er i overensstemmelse med persondataloven, herunder grundprincipperne om saglighed og proportionalitet i lovens § 5.
I den forbindelse er det samtidig Datatilsynets opfattelse, at det ikke er i overensstemmelse med grundreglen om god databehandlingsskik i persondatalovens § 5, stk. 1, hvis en dataansvarlig videregiver oplysninger til en modtager, der ikke er berettiget til at indsamle og viderebehandle oplysningerne.
Datatilsynet finder derfor, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, ikke er berettiget til at videregive CPR-oplysninger, hvis der foreligger omstændigheder, som gør, at en virksomhed mv. ikke er berettiget til at behandle, herunder modtage/indsamle, de pågældende oplysninger.
Det følger heraf, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, som dataansvarlig for CPR har pligt til i et vist omfang at påse, at en virksomhed mv., som anmoder om at modtage, eller som modtager CPR-oplysninger, efter persondataloven er berettiget til at behandle oplysningerne.
Ifølge CPR-lovens § 38, stk. 6, er det som nævnt en betingelse for videregivelsen, at modtageren efter persondataloven er berettiget til at behandle oplysningerne.
De typer af CPR-oplysninger, som indhentes af virksomheder mv. efter CPRlovens § 38, er almindelige ikke-følsomme oplysninger.
Behandling af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om navn og adresse, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, jf. § 6, stk. 1, nr. 2, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Den behandling af CPR-oplysninger, som virksomhederne mv. foretager, skal endvidere leve op til de nævnte krav i persondatalovens § 5 om saglighed, proportionalitet og ajourføring.
Ved vurderingen af, om en virksomhed mv. er berettiget til at indhente oplysninger fra CPR, må det bl.a. tages i betragtning, at der kun videregives oplysninger om personer, som virksomheden mv. allerede har registreret og kan identificere over for Indenrigs- og Sundhedsministeriet, CPR-kontoret.
Hertil kommer, at indhentelsen giver virksomhederne mv. mulighed for at få kunderegistre o.lign. holdt ajour på en effektiv og sikker måde. Når en person har meldt flytning til folkeregisteret, sker der således automatisk opdatering, af vedkommendes adresse hos alle de virksomheder mv., som har den pågældende registreret, og som abonnerer på dennes CPR-oplysninger. Da den registrerede herved undgår selv at skulle melde adresseændring til hver enkelt virksomhed mv., er det Datatilsynets opfattelse, at ordningen almindeligvis opleves som en fordel for den registrerede, og at indhentelsen af de pågældende oplysninger også derfor vil være berettiget.
1.2.1. Indenrigs- og Sundhedsministeriet, CPR-kontorets forpligtelser ved modtagelsen af en anmodning om at få leveret CPR-oplysninger
Indenrigs- og Sundhedsministeriet, CPR-kontoret, foretager ifølge det oplyste ikke en egentlig prøvelse/kontrol af, om den anmodende virksomhed efter persondataloven er berettiget til at behandle oplysningerne. Indenrigs- og Sundhedsministeriet, CPR-kontoret, vurderer imidlertid ud fra det af virksomheden oplyste, om virksomheden efter persondataloven er berettiget til at behandle oplysningerne. Hvis kontoret ud fra det oplyste umiddelbart finder det tvivlsomt, om modtageren er berettiget til at behandle oplysningerne, anmoder kontoret om en nærmere redegørelse, før der træffes afgørelse om levering.
Hertil kommer, at det efter Indenrigs- og Sundhedsministeriet, CPR-kontorets standardvilkår er en del af aftalegrundlaget, at virksomheden efter persondataloven er berettiget til at behandle oplysningerne.
Det er Datatilsynets vurdering, at den stillingtagen, som Indenrigs- og Sundhedsministeriet, CPR-kontoret, foretager i forbindelse med en virksomheds anmodning om at modtage CPR-oplysninger, normalt må anses for tilstrækkelig, og at kontoret derved lever op til sine forpligtelser som dataansvarlig for videregivelsen.
Datatilsynet lægger herved til grund, at det almindeligvis ud fra en beskrivelse af relationen mellem den modtagende virksomhed mv. og de personer, der ønskes oplysninger om, er muligt at foretage en vurdering af, hvorvidt modtageren efter persondataloven er berettiget til at modtage CPR-oplysninger om de pågældende.
Efter Datatilsynets opfattelse vil det dog være hensigtsmæssigt, at det i standardvilkårene for dataleverancer fra CPR til private uddybes, hvad persondatalovens krav indebærer. Datatilsynet finder, at det eksempelvis kunne præciseres, at lovens krav om saglighed og proportionalitet medfører, at den omstændighed, at en virksomhed efter f.eks. bogføringsreglerne er berettiget/forpligtet til at opbevare oplysninger om en person, ikke i sig selv berettiger virksomheden til fortsat at opdatere personens navne- og adresseoplysninger.
Den nærmere uddybning af standardvilkårene kan eventuelt drøftes mellem Indenrigs- og Sundhedsministeriet, CPR-kontoret, og Datatilsynet.
1.2.2. Indenrigs- og Sundhedsministeriet, CPR-kontorets forpligtelser i en dataleverancekontrakts løbetid
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har oplyst, at kontoret i en dataleverancekontrakts løbetid ikke fører kontrol med, om den virksomhed, som løbende modtager CPR-oplysninger (i forbindelse med abonnement), efter persondataloven (fortsat) er berettiget til at behandle oplysningerne.
Det er Datatilsynets opfattelse, at de omhandlede CPR-oplysninger ikke er af en sådan karakter, at der i almindelighed er behov for en løbende kontrol fra CPR-kontorets side.
Datatilsynet finder imidlertid, at Indenrigs- og Sundhedsministeriet, CPRkontoret, er forpligtet til af egen drift at undersøge og vurdere forholdet nærmere, ikke alene i den situation, hvor en registreret gør indsigelse, jf. nedenfor under punkt , men også hvis der på anden måde kommer omstændigheder til kontorets kendskab, som giver grundlag for at rejse spørgsmål om modtagerens berettigelse til at modtage CPR-oplysninger.
1.2.3. Indenrigs- og Sundhedsministeriet, CPR-kontorets forpligtelser ved modtagelse af en indsigelse el.lign. fra en registreret
Med hensyn til besvarelse af indsigelser fra de registrerede har Indenrigs- og Sundhedsministeriet, CPR-kontoret, oplyst, at kontoret ikke foretager sletning af abonnement efter anmodning fra den abonnementssatte person. CPR-kontoret finder endvidere ikke, at kontoret har pligt til at undersøge og træffe beslutning om, hvorvidt en virksomheds behandling af en borgers navne- og adresseoplysninger er i overensstemmelse med persondataloven. Denne forpligtelse påhviler efter Indenrigs- og Sundhedsministeriet, CPR-kontorets opfattelse virksomheden, ligesom spørgsmålet vil kunne indbringes for Datatilsynet af borgeren.
Persondatalovens § 35 vedrører den registreredes indsigelsesret:
”§ 35. Den registrerede kan til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.
Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.”
I forarbejderne til persondatalovens § 353 hedder det:
”[…] Det er den dataansvarlige, som træffer afgørelse om berettigelsen af den registreredes indsigelse, og afgørelsen vil kunne indbringes for vedkommende tilsynsmyndighed, jf. § 40, § 58, stk. 1, og § 67.
Det skal i den forbindelse bemærkes, at den indsigelsesret, der efter stk. 1 tilkommer den registrerede, har den virkning, at en forvaltningsmyndigheds beslutning om, hvorvidt indsigelsen skal imødekommes, har karakter af en ’afgørelse’ efter forvaltningsloven4. Det indebærer, at den pågældende myndighed skal overholde forvaltningslovens regler om begrundelse, klagevejledning m.v.”
Datatilsynet finder på denne baggrund, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, som dataansvarlig forvaltningsmyndighed har en pligt til at vurdere indsigelsens berettigelse, hvis en registreret over for kontoret gør indsigelse imod en abonnementsmarkering i CPR og kontorets videregivelse af CPRoplysninger om vedkommende.
Det er således Datatilsynets opfattelse, at det ikke vil være i overensstemmelse med persondatalovens regler, hvis Indenrigs- og Sundhedsministeriet, CPRkontoret, helt afviser at tage stilling til en indsigelse imod videregivelsen af oplysninger fra CPR og alene henviser den registrerede til at gøre indsigelsen gældende over for modtagerens indsamling.
2. Indenrigs- og Sundhedsministeriet, CPR-kontorets generelle videregivelse af CPR-oplysninger om en større kreds af personer (masseudtræk) til private dataansvarlige via databehandlere
2.1. Den aktuelle sag om videregivelse af CPR-oplysninger er rejst på baggrund af medieomtale af, at Experian A/S som databehandler står angivet i 2,5 mio. personers CPR-registrering som abonnent på de pågældendes CPRoplysninger. Ud over at drive virksomhed som edb-service-bureau, dvs. som databehandler for andre, driver Experian A/S bl.a. to kreditoplysningsbureauer (som dataansvarlig) under navnene RKI Kredit Information A/S og KOB A/S.
I forbindelse med, at Experian A/S og andre edb-service-bureauer modtager CPR-oplysninger, har Datatilsynet erfaret, bl.a. ved klager til tilsynet, at de registrerede i almindelighed ikke har mulighed for at få oplyst, på hvis vegne en databehandler modtager CPR-oplysninger, idet Indenrigs- og Sundhedsministeriet, CPR-kontoret, ikke har kendskab hertil, og idet databehandleren ikke udleverer oplysningen.
I eksemplet med Experian A/S er der tale om, at en virksomhed, som har tilmeldt sine kunder til ”KreditVagten” eller ”AktivKreditSikring”, overlader sit kunderegister til Experian A/S, som så foretager periodiske (daglige) kontroller af, om kunderne bliver nyregistreret mv. som dårlige betalere hos Experian A/S (ved udtræk fra Experian A/S’ egne databaser), og om kunderne ændrer navne eller adresser (ved CPR-udtræk). Dette sker på vegne af virksomheden, der således er dataansvarlig for behandlingen, mens Experian A/S alene er databehandler.
Aftalen om abonnementer på CPR-oplysninger er indgået mellem Experian A/S og Indenrigs- og Sundhedsministeriet, CPR-kontoret, og altså ikke med den enkelte dataansvarlige virksomhed.
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har oplyst, at dataansvarlige og databehandlere er underlagt de samme standardvilkår, og at kontoret foretager den samme vurdering ud fra det af databehandleren oplyste om den dataansvarliges formål mv., som når der er tale om et kontraktforhold direkte med den dataansvarlige virksomhed.
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har endvidere oplyst følgende:
”Fremsættes anmodningen [om levering af CPR-oplysninger] af en databehandler, skal denne oplyse, hvilke dataansvarlige der tænkes serviceret samt relationen mellem den dataansvarlige og de personer, der ønskes oplysninger om. Oplysningerne danner grundlag for CPR-kontorets vurdering af, hvorvidt den dataansvarlige umiddelbart er berettiget til at behandle oplysningerne efter persondataloven.”
Desuden har kontoret anført:
”For så vidt angår RKI’s anmodning om brug af CPR i produktet AKS (Aktiv Kredit Sikring) modtog CPR-kontoret sammen med RKI’s brev af 30. oktober 2000 en længere konceptbeskrivelse af produktet.
Af konceptbeskrivelsen fremgår, at AKS indebærer, at pengeinstitutter, finansieringsselskaber, kontokortselskaber, benzin- og olieselskaber og telefonselskaber m.v. kan overlade sine kunderegistre til RKI med henblik på ajourføring af betalingsanmærkninger, dvs. banken får automatisk besked, hvis en af bankens debitorer bliver registreret som dårlig betaler i RKI. RKI optræder således som databehandler (edb-servicebureau) på vegne af sine kunder, som fortsat er dataansvarlige for deres kunderegistre.
Af beskrivelsen fremgår endvidere, at de juridiske aspekter af AKS har været forelagt Datatilsynet af RKI, og at Datatilsynet har godkendt produktet.
Bl.a. på denne baggrund har CPR-kontoret kunnet lægge til grund, at behandlingen af navne- og adresseoplysninger m.v. i AKS er i overensstemmelse med persondataloven.
[…]
Den 13. august 2001 meddelte CPR-kontoret derfor RKI, at RKI’s adgang til CPR tillige kunne bruges i forbindelse med produktet AKS, således at RKI kan stå for vedligeholdelse af de kunderegistre, som pengeinstitutter, finansieringsselskaber, kontokortselskaber, benzin- og olieselskaber og telefonselskaber har overladt til RKI, som databehandler (edb-servicebureau), med data fra CPR, dvs. navne og adresseoplysninger m.v. inden for rammerne af CPR-lovens kapitel 10.
Det skal i den forbindelse nævnes, at de nævnte pengeinstitutter m.v. hver for sig som dataansvarlig har en ret til at få udleveret de samme oplysninger direkte fra CPR, jf. CPRlovens § 38, stk. 1.
CPR-kontoret meddelte samtidig den 13. august 2001, at Indenrigs- og Sundhedsministeriets standardvilkår gælder for såvel RKI som RKI’s kunder, og at CPR-kontoret efter fast praksis kræver, at edb-servicebureauer (RKI) oplyser CPR-kontoret, hvilke kunder bureauet servicerer.”
Når en registreret anmoder Indenrigs- og Sundhedsministeriet, CPR-kontoret, om indsigt i CPR, får vedkommende oplysninger om dataindholdet i CPR vedrørende sig selv, herunder hvem der abonnerer på CPR-oplysninger om den pågældende. Om forholdet mellem CPR-lovens bilag 1, punkt 14, og lovens § 38, stk. 6, har Indenrigs- og Sundhedsministeriet, CPR-kontoret, oplyst:
”For så vidt angår forholdet mellem CPR-lovens bilag 1, punkt 14, og lovens § 38 skal CPR-kontoret oplyse, at indgåelse af aftaler med edb-servicebureauer samt registrering af sådanne i CPR’s dataindhold som datamodtagere stort set er foregået siden CPRsystemet[s] oprettelse i 1968. At edb-servicebureauer registreres i CPR’s dataindhold, ændrer ikke ved det forhold, at modtageren af oplysningerne skal være berettiget til at behandle oplysningerne efter persondataloven, jf. § 38, stk. 6, og Indenrigs- og Sundhedsministeriets standardvilkår for dataleverancer fra CPR til private.”
Indenrigs- og Sundhedsministeriet, CPR-kontoret, har endvidere oplyst, at kontoret leverer oplysninger om beskyttede navne og adresser til Experian A/S i forbindelse med ”KreditVagten” og AKS, men at Experian A/S ikke videreformidler disse oplysninger til sine kunder. Experian A/S modtager et samlet udtræk for sin virksomhed som kreditoplysningsbureau henholdsvis edb-servicebureau, hvorefter firmaet selv forestår den videre distribution af de modtagne oplysninger.
2.2. Datatilsynets bemærkninger
2.2.1. Efter persondatalovens § 3, nr. 5, defineres en ”databehandler” som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
En databehandler har ikke efter persondataloven en selvstændig hjemmel til at behandle personoplysninger. Behandlingen kan alene ske på vegne af den dataansvarlige. Videregivelsen af oplysninger fra Indenrigs- og Sundhedsministeriet, CPR-kontoret, må således forudsætte, at den enkelte dataansvarlige, som databehandleren handler på vegne af, har et grundlag i persondataloven for at behandle oplysningerne.
Spørgsmålet om, hvorvidt en dataansvarlig virksomhed mv. er berettiget til at indhente CPR-oplysninger om en person, skal bedømmes efter persondatalovens § 6, jf. afsnit ovenfor. Endvidere skal Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse ske under iagttagelse af grundreglerne i persondatalovens § 5, hvilket som anført i afsnit bl.a. medfører, at kontoret har pligt til i et vist omfang at påse, at en virksomhed mv., som anmoder om at modtage, eller som modtager CPR-oplysninger, efter persondataloven er berettiget til at behandle oplysningerne.
Det er på denne baggrund Datatilsynets vurdering, at det materiale, som Experian A/S i forbindelse med virksomhedens anmodning om at modtage oplysninger fra CPR forelagde Indenrigs- og Sundhedsministeriet, CPR-kontoret, som udgangspunkt må anses for tilstrækkeligt til, at kontoret har kunnet lægge til grund, at de enkelte dataansvarlige virksomheder efter persondataloven var berettigede til at behandle oplysningerne, jf. herved CPR-lovens § 38, stk. 6.
Experian A/S henviser således dels i AKS-konceptbeskrivelsen og dels i ansøgningsbrevet af 25. juni 2001 til Indenrigs- og Sundhedsministeriet, CPRkontoret, til, at der er tale om kunder hos de dataansvarlige, ligesom Experian A/S i henhold til standardvilkårene må formodes på de dataansvarliges vegne at stå inde for, at de dataansvarlige er berettigede til at behandle oplysningerne.
Som ovenfor nævnt har Indenrigs- og Sundhedsministeriet, CPR-kontoret, oplyst, at kontoret den 13. august 2001 meddelte Experian A/S, at Indenrigs- og Sundhedsministeriets standardvilkår gælder for såvel RKI som RKI's kunder.
Det er således Datatilsynets vurdering, at det ud fra fyldestgørende oplysninger om formålet med modtagerens indsamling og relationen mellem modtageren og de personer, der ønskes oplysninger om, er muligt for Indenrigs- og Sundhedsministeriet, CPR-kontoret, at påse i nødvendigt omfang, at kontorets videregivelser af CPR-oplysninger til dataansvarlige modtagere via databehandlere er berettiget efter persondataloven.
Datatilsynet finder derfor, at den omstændighed, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, ikke har konkret kendskab til, hvilke dataansvarlige der modtager oplysninger om hvilke personer, ikke i sig selv medfører, at persondatalovens grundregel om god databehandlingsskik i § 5, stk. 1, er tilsidesat ved den beskrevne levering af CPR-oplysninger via Experian A/S. Indenrigs- og Sundhedsministeriet, CPR-kontorets vurdering af den dataansvarliges berettigelse efter persondataloven til at behandle oplysningerne synes således ikke at ske på et andet grundlag end i forbindelse med levering af oplysninger direkte til den dataansvarlige.
Datatilsynet finder følgelig, at der generelt bør være mulighed for videregivelse af CPR-oplysninger via databehandlere, men at det er en betingelse i det konkrete tilfælde, at videregivelsen sker i overensstemmelse med persondatalovens regler.
Datatilsynet anbefaler derfor, at det også i standardvilkårene for dataleverancer fra CPR til private via databehandlere uddybes, hvad persondatalovens krav indebærer.
2.2.2. Gennemsigtighed for de registrerede
Konsekvensen af, at det er databehandleren og ikke den dataansvarlige modtager af oplysningerne, der i CPR er registreret som abonnent, er, at det i praksis har vist sig vanskeligt eller umuligt for de registrerede at få oplyst, hvilke virksomheder der abonnerer på oplysninger om dem.
En registreret har i denne situation således ingen mulighed for at varetage sine interesser, herunder at gøre sine rettigheder efter persondataloven gældende over for den dataansvarlige, idet vedkommende ikke har og ikke kan få kendskab til, hvem henvendelse skal ske til.
Datatilsynet har vurderet denne problemstilling i forhold til persondatalovens regler, navnlig det grundlæggende princip i lovens § 5, stk. 1. I denne bestemmelse fastsættes, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Dette indebærer ifølge forarbejderne bl.a., at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens. Det må ifølge forarbejderne overlades til tilsynsmyndighederne (Datatilsynet) at udfylde den retlige standard ”god databehandlingsskik”.
Det bemærkes i den forbindelse, at Datatilsynet er enig i Indenrigs- og Sundhedsministeriet, CPR-kontorets beskrivelse af, at der er tale om en langvarig praksis for at videregive CPR-oplysninger gennem databehandlere og at registrere databehandleren som abonnent i CPR.
Det er imidlertid Datatilsynets opfattelse, at det vil være bedst stemmende med persondatalovens princip om god databehandlingsskik, at de registrerede fremover sikres mulighed for at få kendskab til, hvilke dataansvarlige virksomheder mv., der abonnerer på CPR-oplysninger om dem. Datatilsynet skal således henstille, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, tager initiativ til at sikre de registrerede denne mulighed.
Datatilsynet kan umiddelbart foreslå Indenrigs- og Sundhedsministeriet, CPRkontoret, to alternative modeller for, hvorledes de registrerede sikres denne mulighed ved videregivelse af CPR-oplysninger.
For det første kunne det indgå i dataindholdet i CPR, hvilken dataansvarlig der abonnerer på oplysningerne, selv om disse i praksis leveres via en databehandler. Hvis en registreret søger indsigt i CPR, vil den pågældende således umiddelbart kunne se, hvilke modtagere der aktuelt er.
En anden løsning kunne være, at databehandleren over for Indenrigs- og Sundhedsministeriet, CPR-kontoret – i forbindelse med kontorets vilkår for levering af CPR-oplysninger – indestår for, at der mellem databehandleren og de dataansvarlige modtagere er truffet aftaler/foranstaltninger, som sikrer, at de registrerede har mulighed for at gøre deres rettigheder efter persondataloven gældende, heriblandt de rettigheder, som forudsætter kendskab til en dataansvarligs identitet.
2.2.3. Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse af oplysninger om beskyttede navne og adresser
Efter CPR-lovens § 38, stk. 4, har kreditoplysningsbureauer, som Datatilsynet har meddelt tilladelse til kreditoplysningsvirksomhed, ret til at få oplyst navn og adresse fra CPR, uanset om disse er beskyttede efter § 28.
Experian A/S har Datatilsynets tilladelse til at drive kreditoplysningsvirksomhed og driver som nævnt kreditoplysningsbureauer under navnene RKI Kredit Information A/S og KOB A/S.
I forbindelse med Experian A/S’ tjenester ”KreditVagten” og ”AktivKreditSikring” indsamler virksomheden imidlertid ikke oplysninger fra CPR som kreditoplysningsbureau, men som edb-service-bureau (databehandler for de kundevirksomheder, der benytter ”KreditVagten” og/eller ”AktivKreditSikring”).
Hvis Experian A/S modtager CPR-oplysninger om beskyttede navne og adresser på personer, som virksomheden ikke behandler oplysninger om i forbindelse med virksomhedens kreditoplysningsaktiviteter, finder Datatilsynet, at dette er i strid med CPR-lovens § 38, stk. 4. Det er endvidere tilsynets opfattelse, at heller ikke persondatalovens betingelser er opfyldt, idet Experian A/S ikke har et sagligt formål med at indsamle oplysningerne, eftersom virksomheden som servicebureau ikke må anvende oplysningerne i forbindelse med betjeningen af sine kunder.
Datatilsynet henstiller derfor, at Indenrigs- og Sundhedsministeriet, CPRkontoret, omgående bringer eventuelle videregivelser af oplysninger om beskyttede navne og adresser, der ikke skal bruges af Experian A/S som kreditoplysningsbureau, til ophør.
3. Som indledningsvis nævnt har Datatilsynet endnu ikke afsluttet behandlingen af spørgsmål i relation til CPR Søg, jf. CPR-lovens § 39. Tilsynet vender tilbage over for Indenrigs- og Sundhedsministeriet, CPR-kontoret, når sagen har været behandlet i Datarådet.