Journalnummer: 2007-42-0480
1.
Rådgivnings og Forskningscentret Børn, Unge & Sorg (herefter rådgivningscentret) anmeldte den 12. december 2007 behandlingen "Behandling og rådgivning af unge" til Datatilsynet.
Af anmeldelsen fremgik, at formålet med behandlingen er "Behandling af oplysninger i forbindelse med behandling og rådgivning af børn og unge mennesker, hvis forældre eller søskende er alvorligt syge eller døde, gennem terapeutiske samtaler og via brevkassen og chatten på Børn, Unge & Sorgs hjemmeside. Oplysningerne anvendes endvidere til statistik og forskning, blandt andet for at opnå viden om, hvad der bidrager til at forebygge udviklingsforstyrrelser hos børn og unge som følge af forældres/søskendes sygdom og død, herunder viden om effekten af rådgivningsindsatser."
Efter drøftelser mellem rådgivningscentret og Datatilsynet er anmeldelsen blevet opdelt i to anmeldelser vedrørende behandlingsdelen og forskningsdelen. Dette brev vedrører alene anmeldelsen af behandlingsdelen. Forskningsdelen er behandlet særskilt (Datatilsynets j.nr. 2007-41-1610).
Der er indhentet supplerende oplysninger til brug for sagens behandling, senest i e-mail af 11. juli 2011.
Ifølge anmeldelsen behandler rådgivningscentret følgende oplysninger om børn og unge op til 28 år, der søger hjælp i rådgivningen: Identifikationsoplysninger, herunder navn, alder, adresse, telefonnummer og e-mail-adresse. Der behandles endvidere oplysninger om racemæssig og etnisk baggrund, religiøs overbevisning, helbredsforhold, seksuelle forhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold.
Om de pårørende til børn og unge, der søger hjælp i rådgivningen, behandles ifølge anmeldelsen oplysninger om helbredsmæssige forhold.
Om børn og unge (fra 13 år og op til 28 år), der søger rådgivning gennem brevkassen og chatten, behandles - ifølge anmeldelsen - følgende oplysninger: Alder, køn, landsdel/region, problemområde og ip-adresse.
For så vidt angår de sikkerhedsmæssige aspekter fremgår det af anmeldelsen, at de elektroniske journaler er beskyttet af adgangskontrol. Herudover er systemet beskyttet af firewall og antivirus-program. Papir-udgaver af journalerne opbevares i et aflåst skab, hvortil kun relevante medarbejdere har adgang. Chatten foregår i et lukket chatrum, hvortil kun den unge samt rådgiveren har adgang. Kommunikationen i chatten sker via en krypteret linje.
2. Datatilsynet skal - efter at sagen har været behandlet på et møde i Datarådet - udtale følgende:
2.1. Anvendelse af persondatalovens regler
Persondataloven1 gælder bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. Det fremgår af lovens § 1, stk. 1.
Ved "personoplysninger" forstås enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. lovens § 3, nr. 1.
Af forarbejderne til lovens § 3, nr. 1, fremgår, at udtrykket "identificerbar person" skal forstås som en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, som f.eks. løbenummer.
Ved spørgsmålet om, hvorvidt der er tale om en personoplysning i bestemmelsens forstand, er det uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen.
Rådgivningscentret har oplyst, at oplysninger, som indsamles i forbindelse med behandling og rådgivning gennem individuelle samtaler med en af rådgivningscentrets medarbejdere, noteres i en journal, som kun relevante medarbejdere hos rådgivningscentret har adgang til.
Rådgivningscentret har desuden oplyst, at der ikke registreres personhenførbare oplysninger i forbindelse med den telefoniske rådgivning.
Rådgivningscentret har tillige oplyst, at centret, i forbindelse med at børn og unge henvender sig til rådgivningscentret via hjemmesiden, registrerer ip-adresse samt de oplysninger, barnet/den unge selv afgiver.
Det er på denne baggrund Datatilsynets opfattelse, at den rådgivning, der gives til børn og unge mennesker via brevkassen og chatten, som udgangspunkt vil omfatte personoplysninger.
Det er ligeledes tilsynets opfattelse, at de fortællinger, der findes på rådgivningscentrets hjemmeside fra børn/unge og frivillige, udgør personoplysninger i hvert fald i de tilfælde, hvor fortællingerne er ledsaget af navn på og billede af fortælleren.
Datatilsynet har herved lagt vægt på, at det ved hjælp af oplysninger om f.eks. billede eller fornavn samt alder, køn og problem vil være muligt at genkende barnet/den unge.
Datatilsynet finder endvidere, at oplysninger om identificerbare børn og unge menneskers pårørende som udgangspunkt må anses for personoplysninger, selv om rådgivningscentret ikke i alle tilfælde er bekendt med navnet eller andre umiddelbare identifikationsoplysninger på den pårørende.
Tilsynet har herved lagt vægt på, at det, når der er tale om personoplysninger om barnet eller den unge, jf. ovenfor, er muligt også at finde frem til den pårørendes identitet, f.eks. hvis barnet/den unge har anført, at det er dennes mor, som er syg.
Med hensyn til oplysninger om afdøde personer er det på baggrund af persondatalovens forarbejder Datatilsynets praksis, at oplysninger efter personens død fortsat vil være omfattet af loven - i hvert fald en vis tid - hvis der ud fra en konkret vurdering fortsat er et beskyttelsesbehov. Det indebærer bl.a., at indsamling og efterfølgende behandling af oplysninger om afdøde personer skal opfylde lovens betingelser, hvis der foreligger et særligt beskyttelsesbehov - hvilket navnlig vil være tilfældet for behandling af følsomme oplysninger om afdøde personer.
Det er således Datatilsynets vurdering, at der som udgangspunkt ikke skal sondres imellem oplysninger om nulevende og afdøde pårørendes sygdom mv.
2.2. De relevante regler
I bilag 1 til denne udtalelse er de regler i persondataloven, som Datatilsynet har vurderet sagen i forhold til, nærmere beskrevet. Det gælder navnlig de grundlæggende principper for behandling af personoplysninger i lovens § 5 og behandlingsreglerne i §§ 6-8.
2.3. Behandling af oplysninger om børn og unge mennesker, der søger behandling og rådgivning (klienter)
Det er Datatilsynets vurdering, at de oplysninger, som den registrerede person afgiver om sig selv til rådgivningscentret, og som ikke er af følsom karakter, normalt må behandles af rådgivningscentret i medfør af lovens § 6, stk. 1, nr. 7. Det er eksempelvis identifikationsoplysninger og oplysninger om skole- og uddannelsesforhold. Behandlingen af disse oplysninger vil også kunne ske på grundlag af et udtrykkeligt samtykke, jf. § 6, stk. 1, nr. 1.
Derimod vil behandling af følsomme oplysninger kun kunne ske med udtrykkeligt samtykke, jf. § 7, stk. 2, nr. 1, og § 8, stk. 4. Det er for eksempel oplysninger om helbredsforhold og væsentlige sociale problemer.
Videregivelse, herunder offentliggørelse på hjemmeside, af oplysninger omfattet af persondatalovens §§ 6, 7 og 8 om rådgivningscentrets klienter (dvs. oplysninger, som ikke er blevet gjort anonyme), kan efter Datatilsynets opfattelse udelukkende ske, når klienten har givet sit udtrykkelige samtykke hertil, jf. § 6, stk. 1, nr. 1, § 7, stk. 2, nr. 1, og § 8, stk. 5.
At samtykket skal være udtrykkeligt betyder, at rådgivningscentret ikke vil kunne opnå stiltiende eller indirekte tilslutning til behandling af oplysningerne.
Det er Datatilsynets umiddelbare vurdering, at et barn, der er i stand til selv at søge råd og behandling hos rådgivningscentret og i denne forbindelse selv afgiver oplysninger, som udgangspunkt normalt også gyldigt kan samtykke til den omhandlede databehandling.
Datatilsynet skal imidlertid gøre opmærksom på, at den registrerede kan tilbagekalde sit samtykke på et hvilket som helst tidspunkt. Virkningen heraf vil være, at den behandling af oplysninger, som den registrerede har meddelt sit samtykke til, normalt ikke må ske fremover.
Det bemærkes, at rådgivningscentret har oplyst, at der indhentes samtykke fra forældremyndighedsindehaveren til behandling af børn og unge under 18 år.
2.4. Indsamling og registrering af helbredsoplysninger om børn og unges pårørende (klienters pårørende)
Som nævnt under punkt 2.1. gælder persondataloven normalt også for de oplysninger, som rådgivningscentret indsamler og registrerer om børnenes og de unges pårørende.
Behandling, herunder videregivelse, af oplysninger, som den registrerede person ikke selv har afgivet til rådgivningscentret, kan normalt kun ske med udtrykkeligt samtykke fra den person, oplysningerne vedrører.
I situationer, hvor det ikke er muligt at indhente samtykke fra den registrerede, f.eks. i tilfælde af, at den pågældende er afgået ved døden, og ikke forinden sin død har afgivet et udtrykkeligt samtykke til databehandlingen, vil rådgivningscentret således normalt ikke kunne behandle oplysninger om helbredsmæssige forhold omfattet af lovens § 7. Behandlingen kan dog finde sted, hvis den vedrører oplysninger, som er blevet offentliggjort af den registrerede forinden sin død, jf. § 7, stk. 2, nr. 3.
Af forarbejderne til lovens § 7, stk. 2, nr. 3, fremgår, at offentliggørelse i bestemmelsens forstand foreligger, hvis oplysningerne er bragt til kundskab hos en bredere kreds af personer. Dette vil f.eks. være tilfældet, hvis oplysningerne viderebringes gennem tv, aviser og lignende landsdækkende medier. Det vil således ikke være tilstrækkeligt, at den registrerede har sagt det til sin familie eller omgangskreds. Også andre former for videregivelse af oplysninger vil kunne anses for offentliggørelse i bestemmelsens forstand. Det er en betingelse, at oplysningerne er offentliggjort på den registreredes foranledning. Oplysninger, som andre, f.eks. pressen, af egen drift har offentliggjort, er således ikke omfattet.
Efter Datatilsynets opfattelse vil der også kunne være tale om offentliggørelse i bestemmelsens forstand, hvis den pågældende selv eller andre med den pågældendes tilladelse har offentliggjort oplysningerne på internettet eller udgivet bøger, som indeholder sådanne oplysninger om den pågældende.
Datatilsynet lægger til grund, at det ikke vil være praktisk muligt for rådgivningscentret i alle tilfælde at stille krav om udtrykkeligt samtykke fra klienternes pårørende efter lovens § 7, stk. 2, nr. 1. Tilsynet er imidlertid indstillet på at give tilladelse til indsamling og registrering af oplysninger om helbredsmæssige forhold om rådgivningscentrets klienters pårørende efter den særlige bestemmelse i persondatalovens § 7, stk. 7.
Datatilsynet finder således, at der i dette konkrete tilfælde er knyttet en så vigtig samfundsmæssig interesse til rådgivningscentrets virksomhed, at der bør gives tilladelse til, at rådgivningscentret kan indsamle og registrere oplysninger om klienternes pårørendes helbredsmæssige forhold i det omfang, indsamlingen og registreringen er nødvendig for behandling og rådgivning af barnet eller den unge.
Datatilsynet har herved lagt vægt på formålet med og indholdet af rådgivningscentrets virksomhed og på det oplyste om, at oplysninger om forælderens/søskendes sygdomsforløb, som det bliver oplevet af barnet/den unge, er af helt afgørende betydning for at kunne foretage en faglig vurdering af, hvilken behandling der skal iværksættes. Rådgivningscentret har videre anført, at det er rådgivningscentrets erfaring, at det er nødvendigt med en vis detaljeringsgrad i forhold til dokumentationen af sygdomsforløbet, og at det ikke er tilstrækkeligt blot at skelne mellem, om barnets/den unges forælder er syg eller død.
2.5. Saglighed og proportionalitet
Efter Datatilsynets opfattelse medfører persondatalovens § 5, stk. 2 og 3, om saglighed og proportionalitet i relation til oplysningerne hos rådgivningscentret, herunder i særdeleshed oplysningerne om pårørende, en forpligtelse til at minimere oplysningerne til det absolut nødvendige. I den forbindelse bør det efter tilsynets opfattelse tilstræbes, at oplysningerne i videst muligt omfang gøres anonyme eller ikke umiddelbart personhenførbare.
Datatilsynet skal påpege, at oplysninger om pårørende alene baseret på klientens udsagn bør registreres således, at det klart fremgår, at der er tale om et udsagn fra en person, og ikke en bekræftet kendsgerning.
Datatilsynet forudsætter, at rådgivningscentret iagttager persondatalovens § 5 i forbindelse med behandling af oplysningerne. Tilsynet skal understrege vigtigheden af, at centrets medarbejdere, herunder navnlig de frivillige, modtager grundig instruktion i, hvordan personoplysninger skal behandles. Datatilsynet har desuden noteret sig det oplyste om, at de frivillige ikke har adgang til rådgivningscentrets systemer eller klienternes journaler. Der henvises i den forbindelse til bilag 2.
2.6. Videregivelse af helbredsoplysninger om børn og unge menneskers pårørende (klienters pårørende)
Rådgivningscentret kan udelukkende videregive personhenførbare oplysninger om helbredsmæssige forhold om klienters pårørende, herunder i fortællingerne på rådgivningscentrets hjemmeside, i det omfang, oplysningerne er offentliggjort af den registrerede, jf. § 7, stk. 2, nr. 3, eller den registrerede har givet sit udtrykkelige samtykke til videregivelsen, jf. § 7, stk. 2, nr. 1.
Datatilsynet finder således, at videregivelse i form af offentliggørelse af oplysninger om pårørende på hjemmesiden ikke udgør en vigtig samfundsmæssig interesse, der overstiger hensynet til den person, oplysningerne omhandler. Tilsynet kan derfor ikke give tilladelse hertil efter persondatalovens § 7, stk. 7.
Datatilsynet har vurderet, om offentliggørelse af oplysninger om helbredsmæssige forhold vedrørende pårørende via rådgivningscentrets hjemmeside kan ske i medfør af andre regler i § 7, stk. 2. Tilsynets opfattelse er, at der ikke kan siges at være tale om en behandling, der er nødvendig for at beskytte den registreredes eller andre vitale interesser, jf. § 7, stk. 2, nr. 2. Der er endvidere ikke tale om, at behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4. Bestemmelserne kan således ikke finde anvendelse i den foreliggende situation.
I det omfang, oplysningerne ikke er offentliggjort af den registrerede, eller der ikke foreligger et samtykke fra den registrerede, skal oplysningerne således enten anonymiseres eller fjernes fra hjemmesiden.
Det er Datatilsynets umiddelbare vurdering, at fortællingerne på rådgivningscentrets hjemmeside i mange tilfælde kan anonymiseres tilstrækkeligt ved, at billederne af fortællerne enten fjernes eller erstattes af modelbilleder.
3. De registreredes rettigheder
Ud over de særligt relevante bestemmelser i persondataloven, som fremgår af bilag 1, skal Datatilsynet generelt henlede opmærksomheden på persondatalovens kapitel 8-10 om de registreredes rettigheder, som nærmere er uddybet i rettighedsvejledningen2.
De nævnte regler omhandler bl.a. den dataansvarliges oplysningspligt over for den registrerede, den registreredes ret til indsigt og indsigelse samt den registreredes ret til at få berigtiget, slettet eller blokerer oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med loven.
Som ovenfor nævnt er det Datatilsynets vurdering, at rådgivningscentret behandler personhenførbare oplysninger om børn, unge og pårørende omfattet af persondataloven, hvilket som udgangspunkt indebærer, at der udløses oplysningspligt i medfør af persondatalovens §§ 28 og 29.
Om der kan gøres undtagelse fra oplysningspligten, afhænger af en konkret vurdering i hvert enkelt tilfælde. Der henvises i øvrigt til Datatilsynets rettighedsvejledning.
Datatilsynet forudsætter, at reglerne om oplysningspligt iagttages i forbindelse med indsamling af oplysninger om pårørende.
Det følger af lovens § 35, stk. 1, at den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om den pågældende gøres til genstand for behandling.
I de tilfælde, hvor den dataansvarlige finder, at en indsigelse mod behandling af oplysninger er berettiget, følger det af bestemmelsen i lovens § 35, stk. 2, at den iværksatte behandling ikke længere må finde sted for så vidt angår oplysninger om den registrerede.
Hvis den dataansvarlige derimod træffer afgørelse om, at en indsigelse ikke skal imødekommes, kan den dataansvarlige fortsætte behandlingen indtil det tidspunkt, hvor Datatilsynet eventuelt måtte træffe afgørelse om, at indsigelsen var berettiget.
Pårørendes indsigelser skal i alle tilfælde noteres på sagen.
Datatilsynet forudsætter, at reglerne om den registreredes indsigelse iagttages i forbindelse med behandling af oplysninger om pårørende.
4. Vilkår
Idet Datatilsynet forudsætter, at rådgivningscentret iagttager persondatalovens regler, jf. ovenfor punkt 2 og 3, er tilsynet herefter indstillet på at meddele tilladelse til behandlingen "Behandling og rådgivning af unge".
Tilladelse vil blive givet på følgende vilkår:
- Indsamling, registrering og anden behandling af følsomme oplysninger om klienter må alene ske med den registreredes udtrykkelige samtykke. Samtykket skal opfylde persondatalovens krav, jf. § 7, stk. 2, nr. 1, og § 8, stk. 4, jf. § 3, nr. 8.
- Indsamling og registrering af følsomme oplysninger om klienters pårørende kan ske uden sam-tykke i det omfang, indsamlingen og registreringen er nødvendig af hensynet til rådgivningscentrets rådgivning og behandling af sine klienter, jf. § 7, stk. 7.
- Databehandlingen af oplysningerne hos rådgivningscentret, herunder i særdeleshed oplysningerne om pårørende, skal minimeres til det absolut nødvendige, jf. § 5, stk. 2 og 3. I den forbindelse bør det tilstræbes, at oplysningerne i videst muligt omfang gøres anonyme eller ikke umiddelbart personhenførbare, og at oplysninger om pårørende, der alene baseres på klientens udsagn, registreres således, at det klart fremgår, at der er tale om et udsagn fra en person, og ikke en bekræftet kendsgerning.
- Videregivelse, herunder offentliggørelse på hjemmesiden, af oplysninger om helbredsmæssige forhold om rådgivningscentrets klienters pårørende kan alene ske med udtrykkeligt samtykke, eller når oplysningerne er offentliggjort af den registrerede, jf. § 7, stk. 2, nr. 1 og 3. Samtykket skal opfylde persondatalovens krav. Alternativt kan oplysningerne offentliggøres i anonymiseret form, således at enkeltpersoner ikke umiddelbart kan genkendes, jf. ovenfor under punkt 2.6.
- Behandlingen skal ske under iagttagelse af reglerne om registreredes rettigheder, jf. persondatalovens kapitel 8-10.
- Behandlingen af følsomme personoplysninger skal ske under iagttagelse af de i bilag 2 beskrevne sikkerhedsregler.
Ovenstående vilkår vil gælde indtil videre. Datatilsynet forbeholder sig ret til senere at tage vilkår op til revision, hvis der skulle vise sig behov for det.
Datatilsynet må endvidere forbeholde sig sin stillingtagen i tilfælde af en eventuel konkret klagesag.
Eventuelle ændringer i de forhold, der er omfattet af anmeldelsen, skal meddeles Datatilsynet i overensstemmelse med persondatalovens §§ 46 og 51.
Datatilsynet skal henlede opmærksomheden på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2. Beløbet bedes indbetalt til Danske Bank, Holmens Kanal 2-12, 1092 København K, reg.nr. 0216 kontonummer 4069058132. Der bedes i den forbindelse henvist til Datatilsynets journalnummer (2007-42-0480), således at Datatilsynet kan identificere indbetalingen.
Endelig tilladelse vil blive udstedt, når Datatilsynet har modtaget betaling.
5. Afsluttende bemærkninger om den indsendte anmeldelse
Afslutningsvist skal Datatilsynet beklage den meget lange sagsbehandlingstid, der skyldes stor travlhed i tilsynet, sagsbehandlerskift og sagens karakter.
Datatilsynet skal desuden for god ordens skyld bemærke, at tilsynet i forbindelse med udstedelse af endelig tilladelse vil underrette EuropaKommissionen om tilladelsen, jf. persondatalovens § 7, stk. 7.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Justitsministeriets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger
Bilag 1: Beskrivelse af særligt relevante bestemmelser i persondataloven
1. Grundlæggende principper - krav om formålsbestemthed, saglighed og proportionalitet
Persondatalovens § 5 indeholder en række grundlæggende databeskyttelsesretlige principper for den dataansvarliges behandling af oplysninger, som altid skal iagttages.
Det fremgår således af lovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
Af persondatalovens § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.
Persondatalovens § 5, stk. 2, 1. pkt., 2. led, medfører således, at de oplysninger om bl.a. pårørende, som centret indsamler og registrerer, under hensyntagen til karakteren af oplysningerne, og til det ganske særlige formål, der er begrundelsen for behandlingen, ikke kan behandles til andre formål end de, der varetages af rådgivningscentret. Herudover sætter persondatalovens øvrige regler grænser for, hvilken behandling oplysningerne kan undergives.
Persondatalovens § 5, stk. 2, er imidlertid ikke til hinder for, at oplysningerne senere behandles alene i historisk, statistisk eller videnskabeligt øjemed, jf. bestemmelsens sidste punktum.
Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Af § 5, stk. 4, følger endvidere, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Det følger endelig af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hen-syn til de formål, hvortil oplysningerne behandles.
2. Persondatalovens behandlingsregler
2.1. Almindelige, ikke-følsomme oplysninger
Efter § 6, stk. 1, nr. 1, må behandling af almindelige, ikke-følsomme oplysninger finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil. De nærmere krav til et sådant samtykke findes i lovens § 3, nr. 8, se nedenfor.
Efter lovens § 6, stk. 1, nr. 7, må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.
En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt.
Den dataansvarlige eller den tredjemand, til hvem oplysninger videregives, vil også kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.
Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling, der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives m.v. Der vil endvidere skulle henses til, hvilken type oplysninger, der er tale om.
2.2. Følsomme oplysninger
Ifølge lovens § 7, stk. 1, må der som udgangspunkt ikke behandles oplysninger om bl.a. helbredsmæssige forhold dvs. en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug.
Efter § 7, stk. 2, må behandling af sådanne oplysninger dog bl.a. ske, hvis
- den registrerede har givet sit udtrykkelige samtykke til en sådan behandling (§ 7, stk. 2, nr. 1),
- behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke (§ 7, stk. 2, nr. 2),
- hvis behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede (§ 7, stk. 2, nr. 3) eller
- hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares (§ 7, stk. 2, nr. 4).
Det følger endvidere af lovens § 7, stk. 5, at bestemmelsen i stk. 1 ikke finder anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.
Endelig fremgår det af § 7, stk. 7, at undtagelse fra bestemmelsen i stk. 1 endvidere kan gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til EuropaKommissionen.
Desuden følger det af § 8, stk. 4, at private kun må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.
Efter § 8, stk. 6, kan behandling af oplysninger i de tilfælde, der er reguleret i § 8, stk. 1, 2, 4 og 5, i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt.
3. Persondatalovens krav til samtykke
I persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.
Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.
Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.
Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.
Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.
4. Datasikkerhed
Lovens kapitel 11 indeholder regler om behandlingssikkerhed. I § 41, stk. 1, er det fastsat, at personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.
Det følger desuden af § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Der skal således træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.
Det indebærer bl.a. at kun de medarbejdere, der er beskæftiget med de formål, hvortil oplysningerne behandles, må have adgang til oplysningerne/journalerne. Andre uvedkommende personer - også øvrige medarbejdere hos den dataansvarlige virksomhed - må ikke have adgang til oplysningerne.
Persondatalovens § 41, stk. 3, indebærer desuden at medarbejdere, som udfører behandlingen, ved uddannelse, instruktion mv. skal bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler.
Bilag 2: Sikkerhedsregler for behandling af personoplysninger
1. Generelle sikkerhedsbestemmelser
1.1. Den dataansvarlige skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i virksomheden til uddybning af de regler, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i virksomheden.
1.2. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af punkt 2.1.
1.3. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.
1.4. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Transmission af følsomme personoplysninger over det åbne net skal altid ske krypteret.
1.5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at per-sondatalovens § 41, stk. 3, overholdes.
2. Autorisation og adgangskontrol
2.1. Kun de personer, som autoriseres hertil, må have adgang til personoplysninger. Autorisationer til adgang til personoplysninger, der behandles ved hjælp af edb, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
2.2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
2.3. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 2.1. og 2.2. Kontrol heraf skal foretages mindst en gang hvert halve år.
2.4. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
2.5. Der skal foretages registrering af alle afviste forsøg på adgang til edb-systemer med personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.