Journalnummer: 2009-219-0303
1. Datatilsynet fremsender hermed i henhold til telefonisk aftale af 5. maj 2009 supplerende oplysninger til brug for [udeladt] Politis verserende sag omhandlende offentliggørelse på internettet af de sidste fire cifre i Forurettet F's personnummer samt offentliggørelse på internettet af oplysninger om, at F modtager dagpenge.
2. Sagens baggrund
2.1. Ved e-post af 7. april 2009 har F rettet henvendelse til Datatilsynet og oplyst, at han har indgivet politianmeldelse mod Person P, fordi P har offentliggjort de sidste fire cifre af F's personnummer samt oplysninger om hans nuværende situation som arbejdsløs. Kopi af e-posten vedlægges til orientering.
Det fremgår af F's henvendelse, at oplysninger om de sidste fire cifre af hans personnummer samt oplysninger om, at han modtager dagpenge er blevet offentliggjort på hjemmesiden [udeladt].
Datatilsynet har den 17. april 2009 telefonisk drøftet sagen med F, hvor F oplyste, at han havde orienteret Databehandler D om sagen samt indgivet politianmeldelse. Kopi af telefonnotat vedlægges til orientering.
Ved e-post af 4. maj 2009, som vedlægges i kopi, har SKAT fremsendt en redegørelse fra D om sagens forløb og orienteret Datatilsynet om, at D, som drifter en række af SKATs skattesystemer, har oplyst, at en af selskabets medarbejdere har anvendt sin adgang til skattesystemerne uden et tjenstligt begrundet behov.
Det fremgår af redegørelsen fra D, at en medarbejder på [udeladt]opgaven hos D begik et alvorligt sikkerhedsbrud den [udeladt] i arbejdstiden. Den pågældende medarbejder benyttede sin arbejdsmæssige systemadgang til Skattesystemet til - ud fra helt private formål - at gå ind og gennemse skatteoplysninger på en anden person, som D's medarbejder forinden havde haft en kontrovers med i et diskussionsforum på internettet.
D har oplyst, at den pågældende medarbejder benyttede sin adgang til System 38 til at gennemse R75-skatteoplysningerne om den anden person. Om aftenen lagde medarbejderen personlige skatteoplysninger om den anden person i form af de sidste fire cifre i pågældendes personnummer ud på det pågældende diskussionsforum.
D har endvidere oplyst, at D på baggrund af forurettedes henvendelse og efter aftale med SKAT iværksatte en undersøgelse af logningen på Skattesystemerne, som bekræftede, at der var begået et sikkerhedsbrud. Den pågældende medarbejder hos D blev ifølge det oplyste omgående bortvist, da han kom tilbage fra ferie den [udeladt].
3. Retlig vurdering
3.1. Det fremgår af straffelovens § 152, stk. 1, at den, som virker eller har virket i offentlig tjeneste eller erhverv, og som uberettiget videregiver eller udnytter fortrolige oplysninger, hvortil den pågældende i den forbindelse har fået kendskab, straffes med bøde eller fængsel indtil 6 måneder.
Begås det i stk. 1 nævnte forhold med forsæt til at skaffe sig eller andre uberettiget vinding, eller foreligger der i øvrigt særligt skærpende omstændigheder, kan straffen stige til fængsel indtil 2 år. Som særligt skærpende omstændighed anses navnlig tilfælde, hvor videregivelsen eller udnyttelsen er sket under sådanne omstændigheder, at det påfører andre en betydelig skade eller indebærer en særlig risiko herfor, jf. § 152, stk. 2.
Efter § 152, stk. 3, er en oplysning fortrolig, når den ved lov eller anden gyldig bestemmelse er betegnet som sådan, eller når det i øvrigt er nødvendigt at hemmeligholde den for at varetage væsentlige hensyn til offentlige eller private interesser.
Efter straffelovens § 152a finder bestemmelsen i § 152 tilsvarende anvendelse på den, som i øvrigt er eller har været beskæftiget med opgaver, der udføres efter aftale med en offentlig myndighed. Det samme gælder den, som virker eller har virket ved telefonanlæg, der er anerkendt af det offentlige.
Datatilsynet finder, at der ud fra de foreliggende oplysninger er en formodning for, at straffelovens § 152a, jf. § 152, er overtrådt, og at dette bør undersøges nærmere. Efter det oplyste har P som ansat hos D været beskæftiget med opgaver, der udføres efter aftale med SKAT, og P har i forbindelse med sin ansættelse uberettiget skaffet sig kendskab til fortrolige oplysninger om F og uberettiget videregivet disse oplysninger via internettet.
3.2. Hvis det vurderes, at der ikke foreligger en overtrædelse af straffeloven, skal Datatilsynet gøre opmærksom på, at behandling af fortrolige oplysninger, herunder f.eks. skatteoplysninger, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.Categorization
Efter persondatalovens § 11, stk. 2, må private behandle oplysninger om personnummer, når 1) det følger af lov eller bestemmelser fastsat i henhold til lov, 2) den registrerede har givet sit udtrykkelige samtykke hertil eller 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.
Uanset bestemmelsen i § 11, stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke, jf. persondatalovens § 11, stk. 3.
Som sagen foreligger oplyst til Datatilsynet, er det Datatilsynets vurdering, at P ikke har haft den fornødne hjemmel i persondatalovens § 6, stk. 1, nr. 1-7, til at indhente og offentliggøre oplysninger om, at F modtager dagpenge. Det er endvidere Datatilsynets vurdering, at P ikke har haft den fornødne hjemmel i persondatalovens § 11, stk. 2 og 3, til at indhente og offentliggøre de sidste fire cifre i F's personnummer.
Der foreligger således efter Datatilsynets opfattelse en klar overtrædelse af persondatalovens §§ 6 og 11.
Af persondatalovens § 70, stk. 1, nr. 1, fremgår, at den, der i forbindelse med en behandling, som udføres for private, overtræder persondatalovens § 6 og/eller § 11, stk. 2 og 3, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Øvrige bemærkninger
Datatilsynet skal afslutningsvist anmode om at blive underrettet om sagens videre forløb, og tilsynet bistår gerne i øvrigt med at afklare eventuelle spørgsmål vedrørende persondatalovens regler.
…………………………………………………………………………
Sagen blev siden rejst af politiet som en straffesag, og P blev dømt i retten.