Journalnummer: 2010-631-0111
Datatilsynet er gennem en artikel i […] blevet opmærksom på, at der indhentes oplysninger om personnummer i forbindelse med køb af medlemskab på fitnesscenter F's hjemmeside xxx.dk såvel i forbindelse med køb af abonnement som ved kontantkøb.
Ved brev af 15. marts 2010 anmodede Datatilsynet fitnesscenter F om en udtalelse, herunder svar på en række konkrete spørgsmål.
Ved e-post af 12. maj 2010 er advokatfirma A på vegne af fitnesscenter F fremkommet med en udtalelse i sagen. Eftersom advokatfirma A pr. […] har fusioneret med advokatfirma B sendes denne udtalelse til advokatfirma B.
Advokatfirma A har på vegne af fitnesscenter F bl.a. oplyst:
- at fitnesscenter F er dataansvarlig for de oplysninger, der indsamles i forbindelse med indmeldelse via hjemmesiden xxx.dk,
- at fitnesscenter F indsamler oplysninger om personnummer i forbindelse med køb af abonnement og kontantkøb af 12 måneders medlemskab med henblik på en entydig identifikation af medlemmet, herunder identifikation af medlemmer, der tidligere har misligholdt deres medlemskontrakt med fitnesscenter F,
- at ved køb af abonnement såvel som ved kontantkøb af 12 måneders medlemskab, er der et løbende kontraktforhold mellem medlemmet og fitnesscenter F. Medlemmet er forpligtet til at overholde fitnesscenter F’s medlemsbetingelser og ordensreglement,
- at kontantkøb af 1 måneds medlemskab alene kan erhverves ved indmeldelse i centrene, og at fitnesscenter F fremadrettet ikke indsamler oplysninger om personnummer ved medlemskab af 1 måneds varighed,
- at fitnesscenter F behandler oplysninger om personnummer, når medlemmet har givet samtykke hertil, jf. persondatalovens § 11, stk. 2, nr. 2, samt at medlemmerne i forbindelse med indmeldelse fremadrettet vil modtage en meddelelse efter persondatalovens § 28,
- at ved køb af abonnement tilmeldes medlemmet PBS, og at fitnesscenter F videregiver personnummeret til PBS, hvilket fitnesscenter F oplyser over for medlemmet,
- at i forbindelse med indmeldelsen søger fitnesscenter F i medlemsregistret med henblik på at sikre en entydig identifikation af medlemmet og undgå oprettelse af dubletter, samt hindre at tidligere udelukkede medlemmer opnår medlemskab i fitnesscenter F.
Datatilsynet skal i den forbindelse udtale følgende:
Persondataloven1 gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Idet der er tale om elektronisk behandling af personoplysninger, finder Datatilsynet, at persondataloven finder anvendelse for fitnesscenter F’s behandling af oplysninger om personnummer.
Ifølge persondatalovens § 11, stk. 2, må private behandle oplysninger om personnummer, når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.
Ifølge persondatalovens § 3, nr. 8, er et samtykke enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv gøres til genstand for behandling.
Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Det følger af bemærkningerne til lovens § 5, stk. 2, at det bl.a. vil være sagligt at indsamle oplysninger til administrative formål, som ligger inden for den dataansvarliges virksomheds område at varetage.
Af persondatalovens § 5, stk. 3, fremgår, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Datatilsynet finder, at fitnesscenter F alene kan behandle oplysninger om personnummer med samtykke fra den registrerede, jf. persondatalovens § 11, stk. 2, nr. 2, og at samtykket skal opfylde kravene i persondatalovens § 3, stk. 8.
Datatilsynet finder på baggrund af det til sagen oplyste, at fitnesscenter F har et sagligt formål, jf. persondatalovens § 5, stk. 2, til behandling af oplysninger om personnummer i forbindelse med køb af abonnement og kontantkøb af 12 måneders medlemskab.
Datatilsynet lægger herved vægt på, at fitnesscenter F indsamler oplysninger om personnummer i forbindelse med køb af abonnement og kontantkøb af 12 måneders medlemskab med henblik på en entydig identifikation af medlemmet, herunder identifikation af medlemmer, der tidligere har misligholdt deres medlemskontrakt med fitnesscenter F, er blevet udelukket eller for at undgå oprettelse af dubletter samt det oplyste om, at ved køb af abonnement såvel som ved kontantkøb af 12 måneders medlemskab er der et løbende kontraktforhold mellem medlemmet og fitnesscenter F, idet medlemmet er forpligtet til at overholde fitnesscenter F’s medlemsbetingelser og ordensreglement.
Datatilsynet har noteret sig det oplyste om, at kontantkøb af 1 måneds medlemskab alene kan erhverves ved indmeldelse i centrene, og at fitnesscenter F fremadrettet ikke vil indsamle oplysninger om personnummer i den forbindelse.
Datatilsynet foretager sig ikke yderligere i sagen. Datatilsynet skal beklage den lange sagsbehandlingstid.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.