Journalnummer: 2012-42-0397
1. Resumé
I henhold til persondatalovens § 48 har du den 5. juni og 23. juli 2012 på vegne af Etik Portalerne ApS anmeldt påtænkt behandling af personoplysninger til Datatilsynet samt ansøgt om tilladelse i henhold til § 50, stk. 1, nr. 1.
Efter telefoniske drøftelser mellem dig og Datatilsynet er anmeldelserne samlet til én anmeldelse, og tilsynet har efter aftale med dig foretaget enkelte rettelser i anmeldelsen.
Behandlingens formål er ifølge anmeldelsen at formidle information om forskellige brancher, herunder allerede offentliggjorte nævnsafgørelser, i forbindelse med valg af professionel assistance med henblik på at give brugerne en let og overskuelig adgang til disse oplysninger.
Det fremgår af den generelle beskrivelse af behandlingen, at der på Etik Portalerne ApS’ hjemmeside, ”Etik Portalen”, offentliggøres kontaktoplysninger til den enkelte virksomhed, herunder advokater, revisorer, banker mfl., og oplysninger om virksomhedernes specialeområder samt nævnsafgørelser (allerede offentliggjorte afgørelser i adfærds- og honorarklagesager).
Det fremgår, at der behandles oplysninger om advokater, revisorer, sundhedspersoner, ejendomsmæglere og forsikringsselskaber.
Om registrerede personer, herunder enkeltmandsejede virksomheder, behandles der oplysninger om arbejdsadresser, telefonnumre, mailadresser og specialeområde. Der behandles endvidere oplysninger om nævnsafgørelser, som kan indeholde oplysninger om strafbare forhold og andre rent private forhold.
Om sikkerhedsforanstaltningerne er det oplyst, at oplysningerne, der alene behandles elektronisk, er beskyttet med adgangskode, firewall og antivirusprogram. Oplysninger, der ikke findes på Etik Portalerne ApS’ officielle hjemmeside, er endvidere beskyttet med kryptering.
Om sletning er det oplyst, at oplysningerne senest slettes efter 36 måneder.
2. Datatilsynet skal – efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:
2.1. De oplysninger om advokater, revisorer, sundhedspersoner og ejendomsmæglere, herunder afgørelser i klage- og tilsynssager, som Etik Portalerne ApS offentliggør på sin hjemmeside, er omfattet af persondatalovens1 § 1, stk. 1.
Persondataloven gælder således ifølge § 1, stk. 1, bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling.
Det bemærkes særligt, at oplysninger vedrørende enkeltmandsejede virksomheder anses for personoplysninger omfattet af loven.
2.2. Persondataloven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10. Det fremgår af persondatalovens § 2, stk. 2.
Ved vurderingen af om personoplysninger må offentliggøres f.eks. på internettet, skal hensynet til informations- og ytringsfriheden således tages i betragtning. Der skal efter Datatilsynets opfattelse foretages en konkret afvejning af på den ene side hensynet til beskyttelsen af privatlivet og på den anden side hensynet til informations- og ytringsfriheden med henblik på at sikre, at persondatalovens regler ikke unødigt medfører indskrænkninger i disse frihedsrettigheder.
Under henvisning hertil og til bestemmelserne om interesseafvejning i persondatalovens § 6, stk. 1, nr. 7, og § 8, stk. 4 og 5, finder Datatilsynet, at Etik Portalerne ApS kan få tilladelse til at omtale allerede lovligt offentliggjorte afgørelser i klage- og tilsynssager vedrørende advokater, revisorer, sundhedspersoner og ejendomsmæglere under følgende forudsætninger og vilkår fastsat i henhold til persondatalovens § 50, stk. 5:
1. Offentliggørelse af de omhandlede afgørelser i klage- og tilsynssager kan kun ske på Etik Portalerne ApS’ hjemmeside ”Etik Portalen” i den periode, hvor de er tilgængelige på de kompetente myndigheders og klage-/ankenævns hjemmesider.
2. Det skal kontrolleres, at der ikke er fejl i gengivelsen af afgørelser eller kendelser. Fejl og lignende skal rettes eller slettes straks. Der henvises herved til persondatalovens § 5, stk. 4, hvorefter behandling af oplysninger skal tilrettes således, at der foretages den fornødne ajourføring af oplysningerne, og der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige og vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
3. Der skal etableres foranstaltninger mod, at der på hjemmesiden kan tilføjes eller manipuleres med data/oplysninger i de offentliggjorte klage- og tilsynssager.
4. Der skal være klar og tydelig information om, hvor de omhandlede afgørelser i klage- og tilsynssager gengives fra, herunder hvilken myndighed eller institution der er ansvarlig for den oprindelige offentliggørelse.
5. Etik Portalerne ApS skal overholde de i bilag 1 anførte regler om behandlingssikkerhed, som udfylder persondatalovens § 41, stk. 32.
2.3. For så vidt angår den tidsmæssige begrænsning for offentliggørelse, jf. vilkår 1, har Datatilsynet lagt vægt på, at der ved reglerne om offentliggørelse af afgørelser mv. i klage- og tilsynssager på de respektive områder er foretaget en afvejning af, i hvilke tilfælde der er en sådan samfundsinteresse i, at sagerne offentliggøres, at hensynet til den enkelte person må vige herfor. Offentliggørelsen på Etik Portalen kan derfor efter tilsynets opfattelse ikke udstrækkes ud over de perioder, som er fastsat i reguleringen på de pågældende områder.
Ovennævnte forudsætninger og vilkår er gældende indtil videre. Datatilsynet forbeholder sig ret til senere at tage disse op til revision, hvis der skulle vise sig behov for det.
2.4. De fastsatte forudsætninger og vilkår er supplerende i forhold til reglerne i persondataloven samt i visse tilfælde udtryk for en præcisering af lovens regler. Det skal derfor understreges, at reglerne i persondataloven i øvrigt finder anvendelse.
Datatilsynet skal særligt gøre opmærksom på, at registrerede personer har en række rettigheder efter persondatalovens §§ 28-29, § 31, § 35 og § 37. Datatilsynet kan i den forbindelse henvise til rettighedsvejledningen3.
Tilsynet gør endvidere opmærksom på, at persondataloven også finder anvendelse på den behandling, der finder sted forud for offentliggørelsen. Persondataloven finder f.eks. anvendelse på elektronisk behandling, der sker ved redigering af afgørelser, hvor persondatalovens sikkerhedsregler, herunder § 41, også skal iagttages.
2.5. Datatilsynet er indstillet på at meddele tilladelse på de anførte vilkår og under forudsætning af, at persondatalovens regler, jf. ovenfor, iagttages i forbindelse med Etik Portalerne ApS’ virksomhed.
3. Afsluttende bemærkninger
Eventuelle ændringer i de forhold, der er omfattet af anmeldelsen, skal meddeles Datatilsynet i overensstemmelse med persondatalovens § 51.
Datatilsynet gør opmærksom på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 24.
Beløbet bedes indbetalt til Danske Bank, Holmens Kanal 2-12, 1092 København K, registreringsnummer 0216 kontonummer 4069058132.
Der bedes i den forbindelse henvist til Datatilsynets journalnummer (se forsiden af dette brev), således at Datatilsynet kan identificere indbetalingen.
Endelig tilladelse vil blive udstedt, når Datatilsynet har modtaget betaling.
Datatilsynet kan afslutningsvis oplyse, at persondataloven med tilhørende bekendtgørelser og vejledninger kan læses/hentes på Datatilsynets hjemmeside www.datatilsynet.dk under punktet “Lovgivning”.
Bilag 1: Sikkerhedsregler for behandling af personoplysninger
1. Generelle sikkerhedsbestemmelser
1.1. Den dataansvarlige skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i virksomheden til uddybning af de regler, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i virksomheden.
1.2. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af punkt 1.1.
1.3. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.
1.4. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at persondatalovens § 41, stk. 3, overholdes.
2. Autorisation og adgangskontrol
2.1. Kun de personer, som autoriseres hertil, må have adgang til personoplysninger. Autorisationer til adgang til personoplysninger, der behandles ved hjælp af edb, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
2.2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.
2.3. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 2.1. og 2.2. Kontrol heraf skal foretages mindst en gang hvert halve år.
2.4. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
2.5. Der skal foretages registrering af alle afviste forsøg på adgang til edb-systemer med personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.
1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
3Vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger.
4Idet ansøgningen er indgivet før den 1. januar 2013.