Journalnummer: 2012-311-0073
1. Datatilsynet vender hermed tilbage til sagen, hvor De i brev af 9. juli 2010 på vegne af K har klaget til Datatilsynet over, at SKAT har behandlet oplysninger om ham, herunder at myndigheden ikke har opfyldt oplysningspligten overfor ham.
Efter anmodning fra Datatilsynet er SKAT kommet med udtalelser, som De tidligere har fået fremsendt og er kommet med kommentarer til.
Datatilsynet må lægge det af SKAT oplyste til grund, herunder at materialet, som SKAT modtog fra politiet, bl.a. omfattede over 1.000 patientjournaler oprettet i årene 1999-2006 samt to sæt aftalekalendere, at der var tale om bilagsmateriale, som blev anvendt i forbindelse med kontrol af K’s [behandlers] skatteforhold, at journalerne (efter SKATs formodning) var affattet på [sprog], at de oplysninger, som en ikke-[sprog] kyndig kunne udlede af journalerne, var navn, fødselsdato, adresse og telefonnummer samt en dato, som SKAT formoder var datoen for journalens oprettelse, samt at SKATs sæt af patientjournaler er makuleret.
2. For så vidt angår patientjournalerne finder Datatilsynet at måtte lægge til grund, at behandlingen hos SKAT af oplysningerne om K foregik manuelt og ikke ved hjælp af elektronisk databehandling, samt at patientjournalerne var manuelle akter, som indgik i SKATs konkrete sagsbehandling og i en manuel sag hos SKAT.
Idet oplysningerne i journalen hverken blev behandlet elektronisk eller indgik i et manuelt register, var SKATs behandling af oplysninger om K efter Datatilsynets opfattelse ikke omfattet af persondataloven, jf. lovens § 1, stk. 1.
Da Datatilsynets kompetenceområde er behandlinger omfattet af persondataloven, foretager tilsynet sig herefter ikke yderligere vedrørende de patientjournaler, der er tale om i denne sag.
3. For så vidt angår regnearket har SKAT bl.a. oplyst, at SKATs kopier af aftalekalenderne blev sorteret kronologisk, at registreringerne i de to aftalekalendersæt blev lagt ind i et Excel regneark, at disse registreringer blev afstemt med oprettelsesdatoerne på patientjournalerne, at de oplysninger, der fremgik af regnearket, var følgende: ”Postnr.” – udgør en fortløbende nummerering, ”Dato” – datoen for de dage, hvor der har været registreret konsultationer i kalenderne, ”Tidspunkt” – klokkeslæt for konsultationen, ”Navn” – navn på patienten fra kalenderen, ”Beløb” – honorar for konsultationen, ”Bemærkning i stor kalender” – hvad [behandleren] selv havde anført ud for det pågældende navn, ”I lille kalender” – er i regnearket angivet med ”ja” eller ”nej” alt efter om den pågældende aftale også var registreret i den lille kalender, ”SKAT bemærker” – SKATs egne skattekontrolrelevante bemærkninger til det af [behandleren] registrerede, samt at der om K fremgår følgende oplysninger under de ovenfor nævnte kategorier: 672, [dato], 16.30, [navn], 500, Ny, Ja og Ja.
3.1. Datatilsynet lægger til grund, at oplysningerne i regnearket hos SKAT om K udgør personoplysninger. Tilsynet finder således, at K kan identificeres.
Datatilsynet finder endvidere, at SKATs behandling af oplysningerne om K i regnearket er omfattet af persondataloven, idet oplysningerne deri er undergivet elektronisk databehandling.
4. Oplysningerne i regnearket om K udgør efter Datatilsynets opfattelse såkaldte ikke-følsomme oplysninger omfattet af persondatalovens § 6. Efter tilsynets opfattelse indgår der således ikke oplysninger af følsom karakter om f.eks. helbredsforhold.
Datatilsynet bemærker i den forbindelse, at oplysning om, at man har fået behandling hos en [behandler], efter tilsynets opfattelse ikke i sig selv udgør en oplysning om helbredsmæssige forhold.
4.1. SKAT har bl.a. anført, at myndigheden har skønnet, at oplysningerne i patientjournalerne mv. var nødvendige i forbindelse med sagens behandling for at efterprøve, om de til SKAT opgivne oplysninger var rigtige. SKAT har desuden henvist til, at det er almindelig praksis, at SKAT indhenter oplysninger om andre end skattesubjektet i forbindelse med SKATs sagsbehandling. Dette kan – som i denne sag – være et godt redskab til at fastslå et skattesubjekts indtægt. Endelig har SKAT anført, at de eventuelle helbredsoplysninger i patientjournaler ikke er blevet anvendt i sagsbehandlingen. Det er kun oplysningerne om antallet af patientjournaler og oprettelsestidspunkt.
SKAT har endvidere oplyst, at myndigheden udelukkende har anvendt opgørelsen i regnearket til opgørelse af omsætningen af K’s [behandlers] virksomhed. Intet af det, som måtte kunne udledes af opgørelsen, er på nogen måde anvendt i skattemæssig sammenhæng mod de personer, som er med i opgørelsen. Eller i nogen som helst andre sammenhænge i øvrigt.
4.2. Datatilsynet finder ikke grundlag for at tilsidesætte SKATs vurdering af, at behandlingen af oplysningerne i den omhandlede sag har været nødvendig af hensyn til udførelsen af SKATs myndighedsopgaver. Tilsynet må således konkludere, at behandlingen lå inden for rammerne af persondatalovens § 6, stk. 1, nr. 6.
Datatilsynet lægger herved vægt på, at det fremgår af skatteforvaltningsloven, at told- og skatteforvaltningen udøver forvaltningen af lovgivning om skatter. Tilsynet lægger desuden vægt på det oplyste om, at oplysningerne er anvendt til opgørelse af omsætningen i K’s [behandlers] virksomhed.
5. SKAT har ikke underrettet K og de andre personer, som indgår i regnearket.
5.1. SKAT har bl.a. anført, at 1.084 personer med rimelighed kan identificeres (ud af 11.350 registreringer), at der er tale om bipersoner, og at intet af det, som måtte kunne udledes af opgørelsen (regnearket), på nogen måde er anvendt i skattemæssig sammenhæng mod de personer, som er med i opgørelsen, eller i nogen som helst andre sammenhænge i øvrigt, at registreringerne alene omfatter dato for besøg og betaling, at SKAT ikke ville kunne oplyse om, hvad det er personerne har besøgt, da dette i givet fald ville være et brud på SKATs tavshedspligt, at opgørelsen er et låst dokument i SKATs sagsstyringssystem, som alene en kreds af ansatte hos SKAT har adgang til – stort set identisk med den kreds af medarbejdere hos SKAT, som har adgang til eksempelvis R75, at SKAT har foretaget en afvejning af på den ene side betydningen af en sådan underretning for den registrerede og på den anden side den arbejdsindsats hos SKAT, som en sådan underretning vil være forbundet med, samt at SKAT er af den opfattelse, at underretning af de registrerede samlet set er umulig eller uforholdsmæssig vanskelig, hvorved undtagelsesbestemmelsen i lovens § 29, stk. 3, finder anvendelse.
5.2. De har med henvisning til et notat udformet af N bl.a. anført, at afgørelser1 fra Datatilsynet viser, at det kun yderst sjældent vil blive betragtet som uforholdsmæssigt vanskeligt at foretage underretning, at det i den konkrete sag skal tillægges vægt, at der er tale om helbredsoplysninger om de pågældende, og at der er tale om oplysninger omfattet af fortrolighedsforholdet mellem læge og patient, og som (efter Deres opfattelse) er videregivet i strid med loven, at det yderligere skal tillægges vægt, at både SKAT og Landsskatteretten har været i besiddelse af originaler eller kopier af patientjournalerne, hvoraf bl.a. navn og adresse fremgik, hvorfor det ville være let at identificere den enkelte, at den behandling, som er foretaget af SKAT, er uoverensstemmende med det oprindelige behandlingsformål, samt at de registrerede ikke kan betragtes som bipersoner i et persondataretligt perspektiv, fordi der ikke foregår nogen primær behandling af personoplysninger, som behandlingen af patientjournaler er sekundær i forhold til, at det i øvrigt ingen betydning har, om en person karakteriseres som hoved- eller biperson i forbindelse med behandling af personoplysninger, idet bipersoner som udgangspunkt har de samme rettigheder som hovedpersonen.
5.3. Da SKATs håndtering af patientjournalerne som nævnt ovenfor under pkt. 2 efter Datatilsynets opfattelse ikke var omfattet af persondataloven, fandt lovens regler om oplysningspligt ikke anvendelse i den forbindelse.
Hvad angår oplysningerne i regnearket finder Datatilsynet i denne konkrete sag ikke grundlag for at tilsidesætte SKATs vurdering af, at det var uforholdsmæssigt vanskeligt at underrette de registrerede, herunder K, om behandlingen af oplysninger om dem i regnearket, jf. § 29, stk. 3, i persondataloven.
Datatilsynet lægger herved vægt på, at SKATs behandling af oplysninger om de omhandlede personer ifølge det oplyste ikke har skattemæssige eller andre materielle konsekvenser for dem, at der er tale om ikke-følsomme oplysninger omfattet af persondatalovens § 6, at der ifølge det oplyste er tale om mere end 1.000 patienter, som i givet fald ville skulle have underretning, samt at der i regnearket kun står identifikationsoplysninger i form af navn på de registrerede.
6. Relevante regler i persondataloven og skatteforvaltningsloven
Persondataloven2 gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Ved ”personoplysninger” skal der efter persondatalovens § 3, nr. 1, forstås enhver form for information en identificeret eller identificerbar fysisk person (den registrerede).
Det fremgår af bemærkningerne til bestemmelsen, at der ved udtrykket ”identificerbar person” skal forstås en person, der direkte eller indirekte kan identificeres. Omfattet af begrebet personoplysninger er oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer.
Det er uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt, at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, f.eks. medlemsnummer eller journalnummer. Er f.eks. navn eller adresse erstattet af en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigværk være tale om en personoplysning.
Ifølge persondatalovens § 3, nr. 3, skal der ved et register forstås enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.
Af lovforslagets3 bemærkninger til persondatalovens § 3, nr. 3, fremgår
følgende om begrebet ”et manuelt register”:
”Manuelle registre, såsom fortegnelser, kartotekskasser, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de indeholdte personoplysninger er omfattet af bestemmelsens registerbegreb. Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet.”
Af persondatalovens § 6, stk. 1, nr. 3, fremgår, at behandling af (ikke-følsomme) oplysninger må finde sted, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
Ifølge persondatalovens § 6, stk. 1, nr. 6, må behandling af (ikke-følsomme) oplysninger desuden finde sted, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt.
Det fremgår af skatteforvaltningslovens4 § 1, at told- og skatteforvaltningen udøver forvaltningen af bl.a. lovgivning om skatter.
Det fremgår af persondatalovens § 29, stk. 1, at hvis oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller denne repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:
a) Hvilken type oplysninger det drejer sig om.
b) Kategorierne af modtagere.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Bestemmelsen i stk. 1 gælder ikke, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig, jf. § 29, stk. 3.
Af Datatilsynets rettighedsvejledning fremgår bl.a. følgende:
”Med udtrykket uforholdsmæssigt vanskelig fastsættes det, at der gælder et proportionalitetsprincip ved vurderingen af, om meddelelse, som foreskrevet i lovens § 29, stk. 1, skal gives. Der skal ske en afvejning af på den ene side betydningen af en sådan underretning for den registrerede, og på den anden side den arbejdsindsats hos den dataansvarlige, der vil være forbundet med en sådan underretning. I hvilket omfang, underretning af registrerede personer er uforholdsmæssigt vanskelig eller endog umulig, skal afgøres i den enkelte situation. Der skal i den forbindelse bl.a. lægges vægt på antallet af registrerede, som skal have meddelelse, oplysningernes alder, samt de kompensatoriske foranstaltninger, f.eks. offentlige oplysningskampagner, der eventuelt måtte blive truffet af den dataansvarlige i forbindelse med indsamlingen. Endvidere må det tillægges betydning, hvor betydelige de interesser er, af hensyn til hvilke oplysningerne behandles, og hvor indgribende det er for den enkelte, at der foretages behandling af oplysninger om vedkommende. Det vil herunder være af betydning, om behandlingen af oplysninger foretages som led i enkeltsagsbehandling, eller om behandlingen foretages i en række identiske sager. Er der tale om enkeltsagsbehandling, vil der være en formodning for, at det ikke vil være uforholdsmæssigt vanskeligt at opfylde oplysningspligten, navnlig ikke hvis opfyldelsen heraf kan ske i forbindelse med iværksættelsen af andre sagsbehandlingsskridt m.v. over for den registrerede. Er der tale om et større antal identiske sager, vil det derimod ofte kunne være uforholdsmæssigt vanskelig at opfylde oplysningspligten. Der må dog stilles krav om et meget betydeligt antal sager, førend forholdet kan begrunde, at oplysningspligten ikke skal opfyldes, og der skal under alle omstændigheder foretages en afvejning over for den registreredes interesse i, at oplysningspligten bliver efterlevet, jf. nedenfor.
Det anførte skal ses i sammenhæng med, hvor indgribende behandlingen af de indsamlede oplysninger er for den enkelte borger. Jo større betydning databehandlingen må antages at have for den enkelte, jo mere taler for, at den dataansvarlige skal opfylde sin oplysningspligt. Omvendt i de tilfælde, hvor den registreredes interesse i at modtage underretning om indsamlingen af oplysninger må anses for at være begrænset. Dette vil bl.a. kunne være tilfældet med hensyn til eventuelle bipersoner, om hvem der behandles personoplysninger.
Uanset at bipersoner som udgangspunkt har de samme rettigheder efter persondataloven, som andre registrerede personer, jf. oven for under pkt. 1.5., skal der - på baggrund af de ovennævnte momenter - for hver enkelt behandling af oplysninger om bipersoner tages stilling til, om oplysningspligten skal opfyldes over for den pågældende. En sådan vurdering vil i almindelighed falde ud til, at eventuelle indsamlede eller registrerede oplysninger om bipersoner er uden betydning for de pågældende i forbindelse med den behandling af personoplysninger, som den dataansvarlige foretager. Dette vil bl.a. være tilfældet, hvis f.eks. en dataansvarlig kommune indhenter oplysninger om en person og i samme forbindelse anmoder vedkommende om oplysninger om andre personer, f.eks. familiens læge, angivet med navn og tjenesteadresse, personens hjemmehjælper eller lignende personer. Nævnes kan endvidere det tilfælde, at pårørende optræder som bipersoner, f.eks. ved ansøgning om optagelse i daginstitution, ved ansøgning om adoptionstilskud eller ved ansøgning om offentlige ydelser eller offentlig service. For alle disse situationer gælder det, at behandlingen ikke vil have konsekvenser for vedkommende biperson, hvorfor der normalt ikke vil skulle gives underretning efter lovens § 29, stk. 1.
Indgår i sagen oplysninger om bipersoners rent private forhold, jf. lovens § 7, stk. 1, og § 8, stk. 1 og 4, kan dette efter omstændighederne tale for nogen tilbageholdenhed med at anvende undtagelsen.”
7. Afsluttende bemærkninger
Dette brev vedrører SKATs behandling af oplysninger om K. Landsskatterettens behandling af oplysninger om K behandles i et selvstændigt brev.
Datatilsynet betragter herefter sagen som afsluttet og foretager sig således ikke yderligere i sagen.
For god ordens skyld skal det bemærkes, at dette brev eventuelt vil blive offentliggjort på Datatilsynets hjemmeside i anonymiseret form.
Datatilsynet beklager den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.
1N har i sit notat bl.a. henvist til to sager fra Datatilsynets praksis – 2004-54-1396 vedrørende digital tilmelding til og ansøgning om optagelse på uddannelser og 2007-632-0016 om offentliggørelse af personoplysninger på Aalborg Universitets hjemmeside
2Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
3Lovforslag L 147 Forslag til lov om behandling af personoplysninger, s. 90f
4Lovbekendtgørelse nr. 175 af 23. februar 2011, tidligere lovbekendtgørelse nr. 907 af 28. august 2006