Journalnummer: 2014-221-0301
Datatilsynet vender hermed tilbage til sagen, hvor klager K (navn og adresse udeladt) den 4. juli 2014 har klaget til Datatilsynet over advokatfirma A.
Sammenfatning af tilsynets konklusioner:
- Efter Datatilsynets opfattelse indebærer advokatfirma A’s brug af Datavagten ikke, at der i forhold til persondataloven er tale om videregivelse af oplysninger til Experian Servicebureau A/S. Der er derimod tale om en overladelse af oplysninger til en databehandler.
- Efter Datatilsynets opfattelse havde advokatfirma A et relevant og sagligt formål med at abonnere på CPR-oplysninger vedrørende klager K med henblik på fremtidig korrespondance og en eventuel vidneindkaldelse. Datatilsynets finder således, at advokatfirma A ’s tilmelding af oplysninger om klager K’s navn og adresse til abonnement på oplysninger fra CPR (via Datavagten) levede op til persondatalovens grundregler om saglighed og proportionalitet.
- Datatilsynet finder, at abonnementet burde have været bragt til ende, da retssagen var afsluttet, eller inden for en kortere frist herefter.
- Datatilsynet finder det beklageligt, at advokatfirma A lod abonnementet fortsatte, når det ikke længere var nødvendigt.
- Da abonnementet i denne sag alene vedrører CPR-oplysninger, finder Datatilsynet ikke at kunne konkludere, at der som følge af reglen om god databehandlingsskik skulle være givet forudgående information.
- Herudover bemærker Datatilsynet for god ordens skyld, at tegning af abonnement på CPR-oplysninger (via Datavagten) alene med det formål at undgå dubletter i et advokatfirmas it-system efter tilsynets umiddelbare vurdering forekommer vidtgående i forhold til persondatalovens grundlæggende krav om saglighed og proportionalitet.
Nedenfor følger en gennemgang af sagen.
I breve af 9. december 2014 og 19. marts 2015 er advokatfirma A kommet med udtalelser til sagen. Kopi af disse er fremsendt til klager K med undtagelse af oplysninger, hvor tilsynet i en selvstændig afgørelse af 27. april 2015 har vurderet, at afgørende hensyn til såvel offentlige som private interesser gør hemmeligholdelse af oplysningerne påkrævet.
Klager K kom med kommentarer til sagen i e-mail af 18. januar 2015, som tidligere er fremsendt til advokatfirma A. Klager K er endvidere kommet med yderligere kommentarer i e-mails af 8. og 29. april og 6. maj 2015, som vedlægges i kopi til orientering.
Det fremgår af sagen, at advokatfirma A i juni og juli 2009 korresponderede med klager K i forbindelse med en retssag. Advokatfirma A har oplyst, at i den forbindelse blev klager K’s navn, adresse og mailadresse den 3. juli 2009 indtastet i navnekartoteket i advokatfirma A’s it-system navnlig med henblik på fletning af mail og breve til klager K. Registreringen skete endvidere blandt andet med henblik på sikring af den løbende håndtering af advokatfirma A’s forpligtelser i forhold til interessekonflikter mv. Samme dag blev klager K’s navn og adresse tilmeldt den såkaldte Datavagt. Dette skete i umiddelbar forbindelse med indtastningen i advokatfirma A’s it-systems navneregister.
Det er endvidere oplyst, at tilmeldingen af klager K’s navn og adresse til Datavagten skete rutinemæssigt og navnlig med henblik på at sikre, at advokatfirma A havde de korrekte og aktuelle (ajourførte) navn- og adresseoplysninger. Samtidig skete tilmeldingen også for at sikre, at advokatfirma A fremadrettet kunne blive automatisk opdateret ved navn- og/eller adresseændringer.
Herudover er det oplyst, at tilmeldingen mere generelt skete med henblik på at sikre, at klager K’s navn og adresse ikke var indtastet flere gange i navnekartoteket, eller med andre ord at undgå såkaldte dubletter mfl. i navnekartoteket, idet IT-systemets datavagt netop kan opdage og håndtere sådanne dubletter.
I forbindelse med advokat B’s forberedelser og overvejelser med henblik på retssagens forestående hovedforhandling, herunder om klager K skulle indkaldes til afgive vidneforklaring for retten, først frameldte han klager K fra Datavagten og umiddelbart herefter gentilmeldte han klager K til Datavagten. Såvel framelding som gentilmelding skete mandag den 18. april 2011. Advokatfirma A ved advokat B har oplyst, at frameldingen sandsynligvis mest er udtryk for hans skiftende overvejelser og lidt forhastede klik i IT -systemet, og gentilmeldingen er således mest udtryk for hans genetablering af Datavagtens fordele.
Det fremgår endvidere af sagen, at klager K ikke blev indkaldt til at afgive forklaring i retten. Advokatfirma A ved advokat B skriver herom i et brev af 1. juli 2004 til klager K:
”Som bekendt blev du ikke indkaldt til at afgive forklaring i retten. Efter grundige overvejelser besluttede jeg således, at der ikke var tilstrækkeligt grundlag for at ulejlige og indkalde dig til at afgive forklaring. Først og fremmest fordi sagens erstatningsretlige omdrejningspunkt efter min opfattelse var tilstrækkelig beskrevet i sagens bilag.”
Det fremgår af sagen, at der var hovedforhandling i den omtalte retssag ved Retten i Aarhus i maj 2011.
Om framelding i Datavagten har advokatfirma A ved advokat B anført følgende i brevet af 1. juli 2014 til dig:
”Min deltagelse i sagens førelse, herunder altså også tilmeldingen af dit navn og din adresse i den såkaldte datavagt, omfattede alene selve hovedforhandlingen af retssagen ved Retten i Aarhus. Jeg havde ikke deltaget i hele den forudgående forberedelse af retssagen. Og jeg deltog altså heller ikke i den efterfølgende førelse af sagen, herunder ikke overvejelserne om at indanke dommen.
Med andre ord deltog jeg ikke længere i sagens førelse på tidspunktet for afslutningen af retssagens førelse. Det er med helt overvejende sandsynlighed baggrunden for, at dit navn og din adresse ikke på helt sædvanlig og rutinemæssig måde er frameldt datavagten ved sagens afslutning. Det beklager og undskylder jeg.”
Det fremgår endvidere af sagen, at advokatfirma A afmeldte klager K fra Datavagten den 18. juni 2014.
Klager K’s argumenter
Klager K har gjort gældende, at han har været udsat for usaglig tilmelding til Datavagten, som er sket uden hans viden eller accept. Endvidere har han anført, at han aldrig har været part i sagen mellem virksomhed V og kommune C, hverken som sagsøger, sagsøgte eller vidne, men alene som kilde til dokumenter og bilag i sagen. Han anser det endvidere for urimeligt, at han efter at have bistået advokatfirma A under en retssag blev tilmeldt Datavagten.
Klager K har desuden anført, at han har registerbeskyttelse i CPR.
Herudover har han anført, at han finder det krænkende, at oplysninger om ham er blevet sendt til tredjepart (Experian Servicebureau A/S) uden, at der har været grundlag herfor.
Klager K er desuden utilfreds med, at advokatfirma A ikke frameldte han fra Datavagten, før hans henvendelse herom.
Advokatfirma A’s argumenter
Advokatfirma A har gjort gældende, at behandlingen af klager K’s navne- og adresseoplysninger er sket i behørig overensstemmelse med persondataloven §§ 5-6 om behandling af oplysninger.
Advokatfirma A har i den forbindelse anført, at det for advokatfirmaer samt sammenlignelige firmaer er både nødvendigt og berettiget at håndtere relevante personers navne- og adresseoplysninger på en moderne og ajourførende måde.
Datatilsynets udtalelse
Datavagten
Datavagten er en løsning, hvor virksomheder kan abonnere på CPR-oplysninger via Experian Servicebureau A/S.
Ved brug af løsningen er det stadig virksomheden, der er dataansvarlig1 for oplysningerne. Experian Servicebureau A/S er databehandler og må alene håndtere personoplysningerne i løsningen på vegne af den dataansvarlige.
Efter Datatilsynets opfattelse indebærer advokatfirma A’s brug af Datavagten således ikke, at der i forhold til persondataloven er tale om videregivelse af oplysninger til Experian Servicebureau A/S. Der er derimod tale om en overladelse af oplysninger til en databehandler.
De oplysninger, som virksomheder må indhente fra CPR via en databehandler, omfatter ikke mere end, hvad virksomhederne selv må indhente ved et direkte abonnement hos CPR-administrationen, hvor det også er muligt at abonnere på CPR-oplysninger.
Begrænsninger i CPR-loven
Uanset om en virksomhed abonnerer på CPR-oplysninger direkte eller via en databehandler, sætter CPR-loven grænser for, hvad CPR-administrationen må videregive. Loven indebærer bl.a. begrænsninger, når personer har navne- og adressebeskyttelse i CPR.
Datatilsynet må konstatere, at der ikke foreligger oplysninger om, at advokatfirma A rent faktisk har modtaget opdateringer eller ændringer til oplysningerne om klager K’s navn og adresse som følge af abonnementet på CPR-oplysninger via Datavagten.
Begrænsninger i persondataloven
Herudover sætter persondataloven – såvel ved indhentning direkte som via en databehandler – grænser for, hvornår en virksomhed må indhente oplysninger via et abonnement på CPR-oplysninger 2.
Behandling – herunder indsamling – af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om navn og adresse, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5, om bl.a. om god databehandlingsskik, saglighed, proportionalitet og sletning.
Dette indebærer efter Datatilsynets opfattelse, at advokatfirma A må tilrettelægge indsamlingen af oplysninger fra CPR (via Datavagten) således, at den sker med respekt af grundreglen i persondatalovens § 5, stk. 3, hvorefter oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og hvortil oplysningerne senere behandles. Heri ligger også, at den tidsmæssige udstrækning af et abonnement ikke bør være længere, end formålet tilsiger.
Datatilsynet må lægge til grund, at advokatfirma A har ført en korrespondance med klager K i forbindelse med forberedelserne til en retssag og i den forbindelse er kommet i besiddelse af oplysninger om klager K’s navn og adresse.
Tilsynet lægger endvidere til grund, at advokatfirma A har tilmeldt klager K’s navn og adresse til abonnement på CPR-oplysninger via Datavagten bl.a. med henblik på at sikre, at advokatkontoret blev opdateret ved navn- og/eller adresseændringer, og fordi klager K evt. skulle indkaldes som vidne under retssagen.
På denne baggrund er det Datatilsynets opfattelse, at advokatfirma A havde et relevant og sagligt formål med at abonnere på CPR-oplysninger vedrørende klager K med henblik på fremtidig korrespondance og en eventuel vidneindkaldelse. Datatilsynets finder således, at advokatfirma A’s tilmelding af oplysninger om klager K’s navn og adresse til abonnement på oplysninger fra CPR (via Datavagten) levede op til persondatalovens grundregler om saglighed og proportionalitet.
Datatilsynet har herved lagt vægt på, at advokatfirmaet førte en korrespondance med klager K forud for en retssag. Dermed havde advokatkontoret efter tilsynets opfattelse et aktuelt behov for at abonnere på CPR-oplysninger vedrørende klager K. Datatilsynet har endvidere lagt vægt på, at adgangen til at få oplysninger holdt ajour via abonnement på CPR-oplysninger bygger på regler i CPR-loven.
Det forhold, at klager K eventuelt havde navne- og adressebeskyttelse i CPR, var efter tilsynets umiddelbare vurdering ikke til hindrer for, at der blev opsat et abonnement. Abonnementet ville imidlertid reelt være uvirksomt, så længe en eventuel navne- og adressebeskyttelse forhindrede CPR i at videregive oplysninger.
Efter Datatilsynets opfattelse kan det oplyste om den kortvarige framelding og gentilmelding samme dag i april 2011 ikke føre til andet resultat. Tværtimod kan dette efter tilsynets opfattelse tages som udtryk for, at man på advokatkontoret har forholdt sig til, om abonnementet fortsat var aktuelt, hvilket er i tråd med persondatalovens krav som beskrevet ovenfor.
Datatilsynet finder, at abonnementet burde have været bragt til ende, da retssagen var afsluttet eller inden for en kortere frist herefter. Tilsynet kan således tilslutte sig, at advokatfirma A – som firmaet selv anfører – burde have slettet tilmeldingen i januar 2012.
Datatilsynet finder det beklageligt, at advokatfirma A lod abonnementet fortsætte, når det ikke længere var nødvendigt. Datatilsynet har noteret sig, at advokatfirma A har beklaget og undskyldt den manglende framelding overfor klager K.
Brug af Datavagten til at undgå dubletter
Datatilsynet bemærker, at advokatfirma A i sagen har oplyst, at tilmelding til Datavagten også mere generelt skete med henblik på at sikre, at klager A’s navn og adresse ikke var indtastet flere gange i navnekartoteket, eller med andre ord at undgå såkaldte dubletter mfl. i navnekartoteket, idet IT-systemets datavagt netop kan opdage og håndtere sådanne dubletter.
Hertil bemærker Datatilsynet for god ordens skyld, at tegning af abonnement på CPR-oplysninger (via Datavagten) alene med det formål at undgå dubletter i et advokatfirmas it-system efter tilsynets umiddelbare vurdering forekommer vidtgående i forhold til persondatalovens grundlæggende krav om saglighed og proportionalitet. Såfremt dette måtte forekomme på advokatkontoret, finder Datatilsynet, at advokatfirma A bør tage praksis op til overvejelse og sikre, at der fremover kun tegnes abonnement, når der i det enkelte tilfælde er i overensstemmelse med persondatalovens grundbetingelser om saglighed og proportionalitet.
Klagen over manglende information
Klager K har overordnet gjort gældende, at han ikke har været orienteret om advokatfirma A’s overvågning af ham via Datavagten.
Advokatfirma A har anført, at behandlingen af klager K’s navne- og adresseoplysninger er sket i behørig overensstemmelse med persondataloven §§ 28 og 29 vedrørende oplysningspligt.
Datatilsynet må som nævnt ovenfor konstatere, at der ikke foreligger oplysninger om, at advokatfirma A rent faktisk har modtaget opdateringer eller ændringer til oplysningerne om klager K’s navn og adresse som følge af CPR-abonnementet via Datavagten.
Datatilsynet finder således ikke at kunne konkludere, at der via abonnementet er modtaget oplysninger om klager K og dermed opstået en situation, hvor der eventuelt kunne være oplysningspligt efter persondatalovens § 293. Det bemærkes herved, at oplysningspligten indtræder ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted. Det bliver herefter ikke relevant at vurdere, hvorvidt en af undtagelserne til oplysningspligten eventuelt kunne finde anvendelse.
Datatilsynet bemærker, at tilsynet i forhold til tjenesterne Kreditvagten og Aktiv Kreditsikring, som også udbydes af Experian A/S, har udtalt sig om forudgående information i medfør af persondatalovens § 5, stk. 1, om god databehandlingsskik. Datatilsynet har således udtalt, at abonnenterne ved brug af de to tjenester skal give hver enkelt kunde (debitor) forudgående klar og udtrykkelig information om, at abonnenten anvender Experian A/S’s produkter Kreditvagten og/eller Aktiv Kreditsikring, og at virksomheden herved overvåger, om den pågældende kunde bliver registreret i Experian A/S med en betalingsanmærkning.
Da abonnementet i denne sag alene vedrører CPR-oplysninger (og altså ikke betalingsanmærkninger), finder Datatilsynet ikke at kunne konkludere, at der som følge af reglen om god databehandlingsskik skulle være givet forudgående information.
Datatilsynet lægger herved vægt på karakteren af de oplysninger, som kan fås fra CPR, samt at adgangen til at modtage oplysninger fra CPR er reguleret i CPR-lovgivningen4. Endelig lægger Datatilsynet vægt på, at et af formålene med CPR-loven netop er, at oplysningerne i CPR på en hensigtsmæssig måde kan videregives til offentlige myndigheder og private med en berettiget interesse heri5.
Afsluttende bemærkninger
Kopi af dette brev er dags dato sendt til klager K og Folketingets Ombudsmand.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på Datatilsynets hjemmeside i anonymiseret form.
1 I lovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
I lovens § 3, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
2 Datatilsynet behandlede i 2005 flere spørgsmål om private virksomheders muligheder for at abonnere på CPR-oplysninger. Se evt. www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/videregivelse-af-oplysninger-fra-cpr-til-private-virksomheder-i/ og www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-sletning-i-cpr/.
3 I tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, følger det af lovens § 29, stk. 1, at det påhviler den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted, at give den registrerede meddelelse om den dataansvarliges eller dennes repræsentants identitet samt formålet med behandlingen. Den dataansvarlige skal endvidere give meddelelse om alle yderligere oplysninger, der efter forholdets særlige omstændigheder er nødvendige for, at den registrerede kan varetage sine interesser, herunder f.eks. indsamlede oplysningstyper og kategorier af eventuelle modtagere af oplysningerne.
4 CPR-lovens § 38 indeholder en udtømmende regulering af, hvilke oplysninger i CPR private firmaer må få adgang til.
5 Jf. CPR-lovens § 1, nr. 4.