Klage over udsendelse af hjemkaldelsesmeddelelser på åbne postkort

Dato: 01-04-2008

Journalnummer: 2007-313-0035

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor De fra X Kommunes Biblioteker har modtaget en hjemkaldelse sendt på et åbent postkort.

Datatilsynet finder, at der ikke er grundlag for at stille krav om kuvertering, når biblioteker sender hjemkaldelser og lignende til deres lånere. Datatilsynet har herved navnlig lagt vægt på, at der ikke er tale om videregivelse af personoplysninger, og at en postbefordrer har tavshedspligt. Endvidere er der tale om en udbredt, mangeårig ordning, som i praksis ikke har givet anledning til problemer.

En nærmere gennemgang af sagen følger nedenfor.

Sagsfremstilling

Ved brev af 24. juni 2007 med bilag har De rettet henvendelse til Datatilsynet i anledning af, at De fra X Kommunes Biblioteker har modtaget en hjemkaldelse sendt på et åbent postkort. De har anmodet om Datatilsynets vurdering af, om dette er i overensstemmelse med persondataloven.

Datatilsynet har forstået Deres henvendelse som en klage over bibliotekets fremgangsmåde.

Ved brev af 3. september 2007 er X Kommune fremkommet med en udtalelse, som De har kommenteret ved e-post af 13. september 2007.

De har fremsendt den modtagne hjemkaldelsesmeddelelse til Datatilsynet. Denne har karakter af et åbent postkort stilet til Dem. Overskriften er med store bogstaver ”Hjemkaldelse”. Herudover er anført en række bøger, som biblioteket mangler, samt oplysning om, hvor materialet er lånt, og hvornår det skulle have været afleveret.

De har henvist til Henrik Waaben og Kristian Korfits Nielsen, Lov om behandling af personoplysninger med kommentarer, s. 147, hvor det er anført, at oplysninger om, hvilke bøger den enkelte borger låner på biblioteket, som altovervejende hovedregel ikke vil kunne videregives til hverken private personer, virksomheder mv. eller til andre offentlige myndigheder.

De har anført, at det er vanskeligt for Dem at se, at X Kommunes
Bibliotekers praksis med hensyn til fremsendelse af åbne rykkerskrivelser skulle være i overensstemmelse med dette.

X Kommunes udtalelse

X Kommune har oplyst, at den hjemkaldelse, som De har modtaget, er printet ud fra bibliotekssystemet, og at der ikke findes en manuel sag i tilknytning til hjemkaldelsen. X Kommune har videre oplyst, at der p.t. ikke er truffet sikkerhedsforanstaltninger for at undgå, at postvæsenet ser oplysningerne på brevkortet. Det kunne være en mulighed at kuvertere brevkortene.

I sit høringssvar har X Kommune desuden orienteret Datatilsynet om, at kommunens biblioteker i 2006 indførte den praksis at udsende hjemkomst- og hjemkaldelsesmeddelelser på åbne brevkort.

Da stort set samtlige landets folkebiblioteker ifølge kommunen anvender samme praksis, indhentede kommunen i maj 2007 en udtalelse fra Biblioteksstyrelsen. Styrelsen afviste at gå videre i sagen og henviste X Kommune til eventuelt selv at rejse sagen over for Datatilsynet med henblik på tilsynets vurdering af sagen.

Biblioteksstyrelsens udtalelse

På Datatilsynets forespørgsel har Biblioteksstyrelsen den 22. januar 2008 afgivet en udtalelse i sagen, som De har kommenteret ved brev af 15. februar 2008. 

Biblioteksstyrelsen har bl.a. anført en række argumenter for, at Datatilsynet accepterer ordningen med åbne postkort fra bibliotekerne. Følgende kan fremhæves:

  • der er tale om en almindelig udbredt praksis gennem mere end 50 år
  • det er et spørgsmål om tid, før ordningen er afviklet, da flere og flere ønsker e-post
  • det vil være meget byrdefuldt for bibliotekerne at ændre ordningen
  • styrelsen mener, at Datatilsynet tidligere har givet udtryk for, at åbne postkort ikke er omfattet af persondatalovens anvendelsesområde (udtalelse fra 2003)
  • styrelsen mener ikke, at det kan have været hensigten med persondataloven, at den skulle finde anvendelse på denne ordning
  • hvis Datatilsynet mener, at forholdet er omfattet af persondataloven, finder styrelsen, at tilsynet bør dispensere for evt. sikkerhedskrav af de anførte grunde. 

Deres argumenter

De har i den anledning anført, at det synspunkt, at Biblioteksstyrelsen henviser til, at der er tale om en almindelig og udbredt praksis gennem 50 år, vil føre til, at myndigheder såvel som private i meget stor udstrækning ved persondatalovens indførelse har været berettiget til at bibeholde deres hidtidige praksis med hensyn til behandling af personhenførbare oplysninger, selv om denne praksis måtte være i strid med persondataloven mv.

De har endvidere anført, at Biblioteksstyrelsen selv beskriver forskellige måder, som efter Deres opfattelse fuldt ud vil kunne tilgodese krav om anonymitet på området. De anbefaler, at en eller flere af disse anonymiserede ordninger indføres (på ny).

De har afslutningsvis anført, at De har svært ved at forstå Biblioteksstyrelsens argumentation, hvorefter det ”vil være en serviceforringelse for brugerne …”, hvis ikke også alle andre end låneren selv har mulighed for via et åbent postkort at se, hvilke bøger der lånes.

I den anledning skal Datatilsynet, som har drøftet sagen på et møde i Datarådet, udtale følgende:

X Kommunes fremsendelse af hjemkaldelsesmeddelelsen til Dem udgør efter Datatilsynets opfattelse en behandling omfattet af persondatalovens regler, jf. lovens § 1, stk. 1. Datatilsynet lægger herved vægt på, at meddelelsen er printet ud fra et elektronisk system og ikke indgår i en manuel sag.

Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

På en række områder er der fastsat nærmere krav til offentlige myndigheders sikkerhedsforanstaltninger. Disse fremgår af en bekendtgørelse  med en tilhørende vejledning.

Der er ikke fastsat præcise krav med hensyn til postforsendelse af såkaldt uddatamateriale, som der er tale om i det aktuelle tilfælde med en hjemkaldelsesmeddelelse fra biblioteket. 

Efter en gennemgang af sagen har Datatilsynet besluttet, at tilsynet ikke har grundlag for at stille krav om kuvertering af de omhandlede meddelelser fra biblioteket.

Datatilsynet har herved navnlig lagt vægt på, at der i den omhandlede situation, hvor materiale gives til en postbefordrer, ikke er tale om en ”videregivelse af personoplysninger” i persondatalovens forstand. Datatilsynet bemærker herved, at postvirksomheden alene udfører en postbefordringsfunktion, og at den, der virker i en postvirksomhed, efter lovgivningen har tavshedspligt og ikke må give uvedkommende nogen underretning om andres benyttelse af postbefordring eller lejlighed til selv at skaffe sig sådan oplysning.

Datatilsynet har også tillagt det betydning, at der er tale om en udbredt, mangeårig ordning, som i praksis ikke har givet anledning til problemer.

Det tilføjes, at Datatilsynet herved alene har taget stilling til den foreliggende sag om forsendelse af bibliotekers hjemkaldelsesmeddelelser.

Datatilsynet foretager herefter ikke yderligere i anledning af Deres klage.

Kopi af dette brev er dags dato sendt til X Kommune og Biblioteksstyrelsen til orientering.

Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside. Deres navn vil blive udeladt af den udgave, der offentliggøres.

Historisk afgørelse

Dette er en historisk afgørelse truffet efter persondataloven, som ikke længere er gældende i Danmark. Datatilsynet har ikke taget stilling til, hvordan de historiske afgørelser ville være faldet ud, hvis de var truffet efter de nuværende regler, ligesom der kan være enkelte af de historiske afgørelser, som senere er blevet præciseret eller omgjort.

Se nye afgørelser

Læs om lovgivning