Journalnummer: 2006-43-0210
1. Anmeldelse af advarselsregister for Rejsekort A/S
1.1. Datatilsynet har den 8. november 2006 modtaget Rejsekort A/S’ anmeldelse/ansøgning om tilladelse til behandling af personoplysninger med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret.
Datatilsynet har forud for anmeldelsen – i breve af henholdsvis 11. juni og 13. september 2006 – modtaget Rejsekort A/S’ beskrivelse af projektet, hvori Rejsekort A/S nærmere forklarer baggrunden for ønsket om tilladelse til at oprette et advarselsregister.
Yderligere fremsendte Rejsekort A/S ved brev af 13. december 2006 en beskrivelse af et såkaldt check-ud register. Dette register, som skal indgå i advarselsregister-anmeldelsen, skal omfatte oplysninger om rejsende, der glemmer at checke ud. Dette skyldes, at Rejsekort-systemet ikke kan udregne prisen for rejsen, hvis kunden glemmer at foretage check-ud.
1.2. På baggrund af det fremsendte blev der den 20. december 2006 afholdt møde mellem repræsentanter for Rejsekort A/S og Datatilsynet. På mødet blev det drøftet, på hvilke punkter de vilkår, som Rejsekort A/S ønsker, adskiller sig fra de standardvilkår, som Datatilsynet tager udgangspunkt i. På mødet blev det aftalt, at Rejsekort A/S skulle udarbejde en redegørelse, hvor de særlige hensyn, der gør sig gældende for Rejsekort A/S, blev belyst.
1.3. Ved e-post af 19. januar 2007 er Rejsekort A/S fremkommet med en udtalelse, hvoraf Rejsekort A/S’ holdning til de punkter, hvorom der er tvivl, er beskrevet.
2. Rejsekort A/S’ anmodning
2.1. Rejsekort A/S ønsker at oprette et kort, som er et kombineret betalingsmiddel og rejsehjemmel. Rejsekortet skal kunne anvendes til køb af rejser hos de tilsluttede trafikselskaber. Herudover skal rejsekortet også kunne anvendes som betaling for pladsbilletter.
Rejsekortet vil blive udstedt som et anonymt kort eller som et persontilknyttet kort med eller uden foto.
Kunden vil have mulighed for at indgå en betalingsaftale med et trafikselskab om, at kortet enten automatisk genoplades med et fast månedligt beløb, eller automatisk genoplades, når saldoen kommer under et aftalt niveau. Rejsekort A/S vil udarbejde udkast til forskellige typer af betalingsaftaler, henholdsvis godkende trafikselskabernes betalingsaftaler. Trafikselskabet fastsætter i etalingsaftalen et individuelt loft for den maksimale saldo på det persontilknyttede rejsekort. Saldoen på et kort med aftale om automatisk genopladning vil aldrig kunne overstige DKK 2.200.
Herudover åbner Rejsekort-systemet mulighed for, at kunden kan vælge at indgå en kreditaftale med et af de tilsluttede trafikselskaber. Kort med kreditaftale indebærer, at kunden rejser "efter regning" og betaler for sit rejseforbrug efter periodens udløb.
Trafikselskabet fastsætter betingelserne, vilkår og prisen for kreditten samt foretager kreditvurdering af kortbetaleren. Udgangspunktet er, at det månedlige kreditmaksimum ikke kan overstige DKK 2.000, men at trafikselskabet efter anmodning fra kunden kan fastsætte et højere månedligt kreditmaksimum.
2.2. Rejsekort A/S har oplyst, at formålet med advarselsregisteret er et sagligt ønske hos Rejsekort A/S og de tilsluttede trafikselskaber om at undgå tab i forbindelse med indgåelse af betalingsaftaler med kunder, der skylder Rejsekort A/S eller de tilsluttede trafikselskaber penge, eller som ikke overholder reglerne for check-ud.
Det er desuden hensigten, at advarselsregisteret ligeledes skal indeholde oplysninger om optagelse på advarselslisten i forbindelse med manglende checkud.
Rejsekort A/S har anført, at advarselsregisteret ikke vil få karakter af et egentligt udelukkelsesregister, men vil blive et register, som trafikselskaberne kan checke samtidig med, at de checker RKI's register, og som kan indgå i en samlet bedømmelse hos trafikselskaberne af, om de ønsker at indgå en betalingsaftale med en kunde, f.eks. aftale om automatisk genopladning.
2.3. Rejsekort A/S er fremkommet med argumenter til støtte for, at der i denne sag er grundlag for at fravige de vilkår, som Datatilsynet standardmæssigt anvender. Rejsekort A/S lægger vægt på, at det fremgår af forarbejderne til persondataloven, at det ikke er et ubetinget krav, at vilkårene for kreditoplysningsbureauer finder anvendelse på advarselsregistre, kun at vilkårene bør "tage udgangspunkt heri" eller "normalt har store ligheder med".
Rejsekort A/S finder således, at Datatilsynets standardvilkår må kunne fraviges i særlige tilfælde. Ifølge Rejsekort A/S’ forslag skal der kunne ske optagelse i registeret, hvis de har et forfaldent krav på 500 kr., hvis fordringen ikke er bestridt, eller Rejsekort A/S har erhvervet kundens erkendelse af gælden, eller har indledt retslige skridt.
Rejsekort A/S ønsker således ikke, at det stilles som et ubetinget krav, at der skal være indledt retslige skridt mod den pågældende, før registrering kan ske, hvis der ikke foreligger en skriftlig erkendelse af skylden. I stedet vil Rejsekort A/S sikre, at der følges en procedure gående på, at der efter overskridelsen af betalingsfristen sendes 2 rykkere med mindst 1 uge mellem, og i rykker nr. 2 anføres betalingsfrist på 7 dage, hvorefter indberetning vil blive foretaget.
Rejsekort A/S har i sin beskrivelse af systemet lagt vægt på, at formålet med tilladelse til registrering i advarselsregisteret af beløb på 500 kr. ikke er at begrænse udbredelsen af rejsekortet eller at udelukke nogle kunder fra at kunne erhverve et rejsekort.
Rejsekort A/S har yderligere lagt vægt på, at det ikke har store konsekvenser for forbrugeren at blive optaget i advarselsregisteret, idet eneste konsekvens af registreringen vil være, at de tilsluttede trafikselskaber kan lade de registrerede oplysninger indgå som et element blandt flere i en samlet bedømmelse af, om trafikselskabet vil tilbyde kunden en betalingsaftale tilknyttet et rejsekort.
En forbruger, der er optaget i registeret, vil som udgangspunkt ikke kunne få et personligt rejsekort, men kan i så fald rejse på et anonymt kort. På denne baggrund mener Rejsekort A/S, at det beskyttelseshensyn, som er baggrunden for 1.000 kr.-reglen i persondatalovens § 23, stk. 3, ikke er relevant i forhold til det af Rejsekort A/S anmeldte advarselsregister, da optagelse i registeret ikke vil få indgribende konsekvenser for de registrerede eller forhindre de registrerede i at anskaffe almindelige forbrugsgoder på kredit.
Som argument for, at Datatilsynet bør fravige sit standardvilkår vedrørende retslige skridt, har Rejsekort A/S gjort gældende, at det vil være urimeligt byrdefuldt i forhold til Rejsekort A/S’ advarselsregister, da der er tale om mange små krav, hvor det vil være alt for omkostningstungt at indlede retslige skridt for hvert enkelt lille krav.
Rejsekort A/S påpeger i denne forbindelse, at hvis optagelse i registeret kræver indledning af retslige skridt, vil det betyde, at advarselsregisteret ikke vil opfylde sit saglige formål om at undgå tab.
Rejsekort A/S er yderligere fremkommet med argumenter for fravigelse af det almindelige vilkår om sletning efter 2 år. Rejsekort A/S har herunder foreslået, at vilkåret formuleres, så oplysninger vil blive slettet i advarselsregisteret, når gælden er betalt, og for så vidt angår check-ud registeret, senest efter 3 år.
Rejsekort A/S har oplyst, at hvis Datatilsynet ønsker at fastsætte en frist for, hvornår oplysninger om gælden senest skal slettes, mener Rejsekort A/S, at slettefristen skal være 5 år, svarende til slettefristen i sagen om FDB's advarselsregister over bortviste medarbejdere.
Rejsekort A/S har endeligt anført, at beskyttelseshensynet over for de registrerede kunder i forhold til en kortere slettefrist ikke tilsiger, at fristen nødvendigvis skal være på 2 år, som der ellers standardmæssigt gives tilladelse til, idet kunderne i den periode hvor de er registreret, ikke er afskåret fra at kunne anvende andre typer af rejsekort. Rejsekort A/S mener derfor ikke, at registreringen er indgribende over for forbrugerne.
2.4. Rejsekort A/S har desuden fremsat ønske om at få mulighed for at registrere personnumre i advarselsregisteret. Rejsekort A/S har herunder fremført, at registrering af personnumre vil give en helt unik identifikationsnøgle, der vil øge beskyttelsen mod uberettiget registrering, som nødvendiggøres bl.a. af den store udbredelse, som rejsekortet forventes at få, og som øger risikoen for navnesammenfald.
Rejsekort A/S har fremhævet, at personnumre kun vil blive registreret på baggrund af et udtrykkeligt samtykke fra de kunder, der indgår betalingsaftaler med et trafikselskab eller et udtrykkeligt samtykke i forbindelse med køb af et personligt forudbetalt rejsekort. Det vil således udtrykkeligt fremgå af betalingsaftalen/samtykkeerklæringen, at personnummeret vil blive registreret i et advarselsregister, hvis kunden ikke overholder betalingsaftlen/samtykkeerklæringen eller gentagne gange ikke følger reglerne for check-ud, og at personnummeret vil blive videregivet til de tilsluttede trafikselskaber.
Rejsekort A/S har ligeledes oplyst, at de er opmærksomme på, at samtykket til enhver tid kan tilbagekaldes i medfør af persondatalovens § 38, og at dette medfører, at oplysninger om personnummeret ikke fremover må behandles, herunder videregives.
3. Datatilsynet, som har behandlet sagen på et møde i Datarådet, skal herefter udtale følgende:
3.1. Ifølge persondatalovens § 50, stk. 1, nr. 2, er der i den private sektor krav om tilladelse fra Datatilsynet, inden iværksættelse af en behandling af oplysninger med henblik på at advare andre mod forretningsforbindelse med en registreret.
Når behandlingen er omfattet af kravet om tilladelse til advarselsregistre (§ 50, stk. 1, nr. 2), finder persondataloven anvendelse, uanset om der behandles oplysninger om personer eller virksomheder, jf. lovens § 1, stk. 3.
I forbindelse med en sådan tilladelse kan tilsynet fastsætte nærmere vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv, jf. lovens § 50, stk. 5.
3.2. Undtagelsen i persondatalovens § 49, stk. 1, nr. 4
Datatilsynet har overvejet, om undtagelsesbestemmelsen i persondatalovens § 49, stk. 1, nr. 4, har betydning for sagens behandling. Kravet om indhentelse af tilladelse fra Datatilsynet gælder kun i det omfang, de pågældende behandlinger ikke er undtaget fra anmeldelseskravet i § 48 i medfør af bl.a. § 49, stk. 1. Der henvises herved til den kommenterede persondatalov (Waaben & Korfits Nielsen, 2001) side 403, sidste afsnit.
Ifølge § 49, stk. 1, nr. 4, er behandling af oplysninger undtaget fra reglerne i § 48 (anmeldelsespligten), når behandlingen omfatter oplysninger om kunder, leverandører eller andre forretningsforbindelser, i det omfang behandlingen ikke omfattet oplysninger som nævnt i § 7, stk. 1, og § 8, stk. 4, eller i det omfang, der ikke er tale om behandlinger som omtalt i § 50, stk. 1, nr. 4 (stillingsbesættende virksomhed/headhunter).
Det er imidlertid Datatilsynets opfattelse, at undtagelsen i § 49, stk. 1, nr. 4, må fortolkes i overensstemmelse med formålet, bestemmelsens forarbejder og tilsynets hidtidige praksis til alene at vedrøre sædvanlige kunderegistre. Det fører efter Datatilsynets opfattelse til, at alene almindelig behandling af kundeoplysninger er undtaget fra anmeldelsespligten. En systematisk udveksling af oplysninger mellem flere i princippet uafhængige virksomheder med henblik på at advare mod forretningsforbindelser finder Datatilsynet derfor ikke kan antages at være undtaget fra kravet om anmeldelse til og tilladelse fra Datatilsynet.
3.3. Betingelserne for optagelse i advarselsregisteret
Det fremgår af bemærkningerne til persondatalovens § 50, stk. 5, at det ved fastsættelsen af vilkår for advarselsregistre forudsættes, at der tages udgangspunkt i de vilkår, som indtil persondatalovens ikrafttræden blev stillet efter lov om private registre § 3, stk. 7. Det fremgår endvidere, at vilkårene herudover kan udformes som en nærmere beskrivelse af lovens krav samt indskærpelse af kravene til sikkerhedsforanstaltninger.
Datatilsynet anvender en række standardvilkår for tilladelser til bl.a. advarselsregistre. Når et advarselsregister ønskes oprettet med henblik på at advare mod ”dårlige betalere”, meddeler Datatilsynet altid et vilkår med følgende ordlyd:
”Der må alene ske behandling af (indberettede) oplysninger om personer og/eller virksomheder, hvis oplysningerne vedrører skyldforhold til samme kreditor på mere end 1.000 kr., og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld eller har foretaget retlige skridt mod den pågældende.”
Datatilsynet finder, at de af Rejsekort A/S anførte grunde ikke kan begrunde fravigelse af Datatilsynets faste praksis på dette område.
Datatilsynet lægger herved vægt på, at tilsynets vilkår om 1.000 kr. og retslige skridt eller skylderkendelse meddeles til alle advarselsregistre, der kan sidestilles med kreditoplysningsbureauer, samt at Rejsekort A/S’ advarselsregister for så vidt angår personer, der opbygger gæld, falder i denne kategori. Efter Datatilsynets opfattelse er der i forhold til Rejsekort A/S ikke mindre grund til at sikre, at der ikke registreres bagatelagtige forhold end for så vidt angår andre advarselsregistre.
På denne baggrund påtænker Datatilsynet at formulere vilkåret for registrering af personer, der opbygger gæld, som følger:
”Der må kun ske behandling af (indberettede) oplysninger om personer og/eller virksomheder, hvis oplysningerne vedrører skyldforhold til samme kreditor/trafikselskab på mere end 1.000 kr., og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld eller har foretaget retslige skridt mod den pågældende.”
Ved indberetning på dette grundlag forudsætter Datatilsynet, at det er det enkelte selskab, der selvstændigt har et skyldforhold på mere end 1.000 kr. mod den pågældende.
Datatilsynet vil yderligere fastsætte et særligt vilkår for de tilfælde, hvor en person gentagne gange glemmer at foretage check-ud.
Efter en afvejning af Rejsekort A/S’ ønsker i forhold til hensynet til de registrerede finder Datatilsynet, at vilkåret vil kunne fastsættes som følger:
”Der må behandles oplysninger om en kunde, der har glemt at foretage checkud, såfremt denne inden for en periode på et år har glemt at foretage check-ud mindst tre gange, og kunden ved hvert tilfælde er blevet advaret om, at vedkommende vil blive optaget i registeret tredje gang, han eller hun glemmer at foretage check-ud inden for en periode på et år.”
3.4. Sletning fra advarselsregisteret
Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt.
Det følger endvidere af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det fremgår af bemærkningerne til persondatalovens § 50, stk. 5, at det ved fastsættelsen af vilkår for advarselsregistre forudsættes, at der tages udgangspunkt i de vilkår, som hidtil er blevet stillet efter lov om private registre § 3, stk. 7. Det fremgår endvidere, at vilkårene herudover kan udformes som en nærmere beskrivelse af lovens krav samt indskærpelse af kravene til sikkerhedsforanstaltninger.
Af persondatalovens § 20, stk. 3, følger, at oplysninger om forhold, der taler imod kreditværdighed, og som er mere end 5 år gamle, ikke må behandles, medmindre det i det enkelte tilfælde er åbenbart, at forholdet er af afgørende betydning for bedømmelsen af den pågældendes økonomiske soliditet og kreditværdighed.
Datatilsynets tilladelser til advarselsregistre indeholder som standard følgende vilkår:
”Oplysninger om en registreret skal slettes senest 2 år efter, at registrering er sket.”
Taget i betragtning, at mange af de, der vil blive registreret i advarselsregisteret, vil være forbrugere, finder Datatilsynet ikke, at der i denne sag bør ske en forlængelse af fristen i forhold til, hvad der standardmæssigt bliver givet tilladelse til.
Datatilsynet finder tillige ikke, at denne sag kan sammenlignes med sagen om FDB’s advarselsregistre over bortviste medarbejdere, med den konsekvens, at der som anført af Rejsekort A/S skal gælde samme sletningsfrist. FDB’s advarselsregister vedrører således ikke registrering på grund af manglende betaling.
Datatilsynet finder herefter, at der ikke er grundlag for at fravige de standardvilkår, der normalt anvendes.
Vilkåret vedrørende sletning fra registeret kan således fastsættes til:
”Oplysninger om en registreret slettes, når gælden er betalt, eller senest 2 år efter, at registrering er sket.”
For så vidt angår tilfælde af manglende check-ud har Rejsekort A/S i sit brev af 13. december 2006 anført, at oplysningen f.eks. vil kunne slettes efter tre år. Dette er efter Datatilsynets opfattelse en for lang registreringsperiode forholdets karakter taget i betragtning.
Det er således tilsynets opfattelse, at manglende check-ud ikke kan begrunde optagelse i et advarselsregister i længere tid end ét år. Vilkåret vil således blive fastsat som:
”Oplysninger om en registrering i check-ud-registeret skal slettes senest 1 år efter den handling, der har begrundet registreringen.”
3.5. Brug af personnumre til identifikation i advarselsregisteret
I medfør af persondatalovens § 11, stk. 2, kan private bl.a. behandle oplysninger om personnumre, når den registrerede har givet sit udtrykkelige samtykke hertil.
Ved behandling af personnummer på grundlag af udtrykkeligt samtykke, jf. § 11, stk. 2, nr. 2, skal saglighedskriteriet i persondatalovens § 5, stk. 2, tillige iagttages.
Datatilsynet finder, at Rejsekort A/S inden for rammerne af persondatalovens § 11, stk. 2, nr. 2, og § 5, stk. 2, vil kunne behandle oplysninger om personnumre, såfremt der foreligger udtrykkeligt samtykke til behandlingen.
Datatilsynet har herved lagt vægt på, at der er tale om løbende mellemværender mellem en privat forretningsdrivende og en forbruger, hvor praktiske og/eller administrative hensyn taler for at behandle oplysninger om personnumre.
Datatilsynet har endvidere lagt vægt på, at rejsekort formodes at skulle udstedes til en stor del af befolkningen, hvorfor der vil kunne opstå navnesammenfald mellem kunderne.
Samtykket skal leve op til kravene i persondatalovens § 3, nr. 8. I medfør af persondatalovens § 38 vil samtykket altid kunne kaldes tilbage.
4. Tilladelse til førelse af advarselsregister
4.1. Datatilsynet skal sammenfattende meddele, at tilsynet i henhold til persondatalovens § 50, stk. 1, nr. 2, og § 50, stk. 5, er indstillet på at meddele Rejsekort A/S tilladelse til behandling af personoplysninger med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret. Tilladelsen vil blive meddelt på følgende vilkår:
Optagelse i advarselsregisteret
1. Der må ikke ske behandling af en fordring på en person eller virksomhed, hvis fordringen er bestridt.
2. Der må kun ske behandling af (indberettede) oplysninger om personer og/eller virksomheder, hvis oplysningerne vedrører skyldforhold til samme kreditor/trafikselskab på mere end 1.000 kr., og kreditor enten har erhvervet den registreredes skriftlige erkendelse af en forfalden gæld eller har foretaget retslige skridt mod den pågældende.
3. Der må behandles oplysninger om en kunde, der har glemt at foretage check-ud, såfremt denne inden for en periode på et år har glemt at foretage check-ud mindst tre gange, og kunden ved hvert tilfælde er blevet advaret om, at kunden vil blive optaget i registeret tredje gang inden for en periode på et år, vedkommende glemmer at foretage check-ud.
4. Registeret kan baseres på anvendelse af personnumre, såfremt der forinden registreringen er indhentet udtrykkeligt samtykke til behandlingen heraf. Ved indhentelse af samtykket skal det oplyses overfor kunden, at samtykket i medfør at persondatalovens § 38 altid kan kaldes tilbage.
Oplysningspligt
5. Der skal, senest 4 uger efter registrering af oplysningerne finder sted, altid gives den registrerede meddelelse om navn og adresse på Rejsekort A/S, formålet med behandlingen, hvem (dvs. hvilken deltager i ordningen) der har indberettet oplysningen, kategorierne af modtagerne, om adgangen til indsigt, jf. vilkår 6, om adgangen til berigtigelse af de oplysninger, der vedrører den registrerede, jf. vilkår 10, samt om adgangen til at klage til Datatilsynet, jf. vilkår 13.
Indsigtsret
6. Rejsekort A/S skal til enhver tid på begæring af den registrerede inden 4 uger på en let forståelig måde meddele denne indholdet af de oplysninger, som på tidspunktet for begæringens fremsættelse er blevet videregivet om den pågældende inden for de seneste 6 måneder. Rejsekort A/S skal endvidere give oplysning om, hvilke oplysninger der i øvrigt behandles, formålet hermed, kategorien af modtagere af oplysningerne samt tilgængelig information om, hvorfra oplysningerne stammer.
Godtgørelse af behandlingen
7. Det påhviler Rejsekort A/S at godtgøre behandlingens berettigelse, når der af en registreret rejses tvivl om dens rigtighed.
Betalte fordringer
8. De enkelte deltagere i ordningen skal straks give meddelelse til Rejsekort A/S, når en fordring, for hvilken en person eller virksomhed er registreret, er betalt. Rejsekort A/S skal herefter foretage sletning af den registrerede.
Urigtige/vildledende oplysninger
9. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
10. Videregivne oplysninger, der viser sig urigtige eller vildledende, eller som er videregivet i strid med disse vilkår, skal af Rejsekort A/S straks berigtiges skriftligt over for de deltagere i ordningen, der har modtaget oplysningen. Desuden skal der berigtiges over for den registrerede, som skal have oplyst, hvilke deltagere i ordningen der har modtaget berigtigelsen efter 1. pkt., og hvorfra oplysningen stammer.
Berigtigelse skal ske på en af følgende måder:
- a) Den registrerede oplyser på forespørgsel fra Rejsekort A/S eller i forbindelse med en klagesag på foranledning af Datatilsynet, over for hvem berigtigelse ønskes, eller at berigtigelse ikke ønskes. Rejsekort A/S foretager herefter berigtigelse i overensstemmelse hermed. Hvis den registrerede angiver en betalingsmodtager, der kan udelukkes som modtager af oplysningerne, skal Rejsekort A/S oplyse den registrerede herom.
- b) Den registrerede oplyser på forespørgsel fra Rejsekort A/S eller i forbindelse med en klagesag på foranledning af Datatilsynet, at berigtigelse ønskes, men det oplyses ikke, over for hvem berigtigelse ønskes. Rejsekort A/S foretager herefter berigtigelse over for de betalingsmodtagere, som ifølge Rejsekort A/S’ log over online-transaktioner har modtaget oplysningerne, samt over for alle de betalingsmodtagere, som foretager offline-transaktioner.
Sletning af oplysninger
11. Oplysninger om en registreret slettes, når gælden er betalt, eller senest 2 år efter, at registrering er sket.
12. Oplysninger om en registrering i check-ud-registeret skal slettes senest 1 år efter den handling, der har begrundet registreringen.
Klageadgang
13. Henvendelser fra en registreret om sletning, berigtigelse eller blokering af oplysninger, der angives at være urigtige eller vildledende, eller om sletning af oplysninger, der ikke må behandles, jf. vilkår nr. 1 til 4, skal snarest og inden 4 uger efter modtagelsen besvares skriftligt af Rejsekort A/S.
Nægter Rejsekort A/S at foretage den begærede sletning, berigtigelse eller blokering, kan den registrerede indbringe spørgsmålet for Datatilsynet, hvilket skal oplyses over for den registrerede.
Sikkerhed
14. Oplysningerne skal ajourføres løbende. Hvis der udsendes advarselslister i papirform, skal disse udsendes mindst hver 4. uge. Straks efter modtagelsen, skal deltageren i ordningen destruere tidligere modtagne lister el. lign., hvilket skal angives af Rejsekort A/S i forbindelse med udsendelsen. Kravet om destruktion af tidligere lister gælder også lister i elektronisk form, der er hentet fra en hjemmeside, eller som medlemmet/deltageren i ordningen har modtaget via e-post, CD-rom eller diskette.
15. Der skal hos Rejsekort A/S og deltagerne i ordningen træffes de fornødne sikkerhedsforanstaltninger til sikring af, at oplysninger i registeret ikke misbruges eller kommer til uvedkommendes kendskab.
16. Hvis der anvendes advarselslister i papirform, skal disse opbevares aflåst, når de ikke benyttes. Det samme gælder lister i elektronisk form, der er hentet fra en hjemmeside, eller som deltageren i ordningen har modtaget via e-post, CD-rom eller diskette.
17. Udsendelse af lister i elektronisk form ved brug af e-post over det åbne internet må alene ske i forsvarlig krypteret form.
18. Hvis der gives deltagerne i ordningen adgang til oplysningerne via en hjemmeside, må dette alene ske efter indtastning af en adgangskode (password). Hvis oplysningerne gøres tilgængelige over det åbne internet, skal oplysningerne sendes i forsvarlig krypteret form.
Ændringer/ophør
19. Inden iværksættelse af ændringer i de oplysninger, der er meddelt Datatilsynet i forbindelse med udstedelsen af tilladelse, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal dog kun anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.
20. Ophør af førelsen af advarselsregisteret skal straks meddeles til Datatilsynet.
De ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig senere at tage vilkårene op til revision, hvis der skulle vise sig behov for det. Endvidere er vilkårene supplerende i forhold til reglerne i persondataloven samt i visse tilfælde udtryk for en præcisering af lovens regler. Det skal derfor understreges, at reglerne i persondataloven finder anvendelse i det omfang, der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.
Vedrørende begrebet ”retslige skridt” som nævnt i vilkår nr. 2 skal Datatilsynet oplyse, at det er tilsynets opfattelse, at begrebet indebærer, at der i tilfælde, hvor der ikke er strid om fordringen – men hvor det af andre årsager ikke har været muligt at indgå frivilligt forlig – må være udtaget stævning, fremsat anmodning om tvangsfuldbyrdelse over for en fogedret, indgivet konkursbegæring el.lign. Hvis fordringen er bestridt, må registrering ikke ske, før der foreligger en endelig retslig afgørelse, eksempelvis en dom.
4.2. Datatilsynet skal herefter anmode Rejsekort A/S om at tilkendegive, hvorvidt Rejsekort A/S er interesseret i en sådan tilladelse – gerne telefonisk.
Datatilsynet skal afslutningsvis henlede opmærksomheden på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2. Beløbet bedes indbetalt til Jyske Bank, Vesterbrogade 9, 1780 København, reg.nr. 8109, kontonummer 1009563. Rejsekort A/S bedes i den forbindelse henvise til Datatilsynets journalnummer (se forsiden af dette brev), således at Datatilsynet kan identificere indbetalingen.
Datatilsynet afventer herefter svar fra Rejsekort A/S.