Ansøgning om tilladelse til ”Brug af bodycams i forbindelse med udøvelse af vagtvirksomhed"

Dato: 16-01-2017
Historisk afgørelse Private virksomheder

Journalnummer: 2016-42-2903

1. G4S Security Services A/S (herefter: G4S) har efter persondatalovens  § 48 den 1. marts 2016 søgt Datatilsynet om tilladelse til ovennævnte behandling af personoplysninger.

Datatilsynet har efter aftale med A foretaget enkelte rettelser i anmeldelsen.

Datatilsynet skal – efter forelæggelse for Datarådet – udtale følgende:

Datatilsynet er indstillet på at meddele G4S tilladelse til den ansøgte behandling af personoplysninger, jf. persondatalovens § 50, stk. 1, nr. 1, under forudsætning af

  • at G4S overholder persondatalovens regler, jf. nedenfor under pkt. 4, og
  • at vilkårene om datasikkerhed, jf. bilag 1, iagttages ved behandlingen af oplysninger om rent private forhold.

Tilladelsen gælder i 3 år fra behandlingens påbegyndelse. Senest ved behandlingens afslutning skal G4S indsende en redegørelse til Datatilsynet om indvundne erfaringer, herunder hvorvidt der er dokumenteret en præventiv effekt ved brugen af bodycams.

2. Gebyr

Datatilsynets endelige tilladelse gives, når der er indbetalt gebyr på 2.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2.

Beløbet skal indbetales til Danske Bank, Holmens Kanal 2-12, 1092 København K, reg.nr. 0216, kontonr. 4069058132. Der bedes i den forbindelse henvist til Datatilsynets journalnummer, som fremgår af dette brev, så tilsynet kan identificere indbetalingen.

3. Anmeldelsen

3.1. Baggrund for anmeldelsen

G4S har oplyst, at virksomheden har konstateret en stigende tendens til almen uro, voldelige episoder samt andre verbale og fysiske episoder over for vagtpersonalet i forbindelse med udøvelse af vagtvirksomhed. I 2013 noterede G4S således 1778 episoder af forskellig karakter. Antallet steg i 2014 til 3180 episoder. G4S har endvidere oplyst, at der i 2015 blev noteret 2833 episoder alene angående Strøget i København. G4S anslår, at ca. 50 % af alle episoder angår vold, trusler om vold eller på anden måde upassende, krænkende eller ulovlig adfærd over for vagtpersonalet.

For at imødegå denne tendens ønsker G4S at udstyre særligt udsat vagtpersonale med såkaldte bodycams med henblik på at forebygge og dokumentere de omhandlede episoder.

3.2. Bodycams

G4S har oplyst, at virksomheden ønsker at anvende bodycams på steder, hvor vagtpersonalet vurderes at være særlig udsat, dvs. især i forbindelse med såkaldte ”strøgopgaver”. Det overvejes endvidere at forsyne temporære vagter på stadions, bodyguards samt vagter ved koncerter og festivaler med det omhandlede udstyr.

Et bodycam er et lille kamera, som monteres synligt på vagternes uniform. Kameraet optager både billede og lyd. Såvel kamera som mikrofon vil være rettet mod den person, som står over for vagten. Billed- og lydkvaliteten vil være høj, hvilket sikrer en nøjagtig gengivelse af et hændelsesforløb. G4S har oplyst, at almindelig ”udenomssnak” ikke umiddelbart vil kunne høres på optagelserne.

Kameraet indeholder en knap, der ved aktivering starter lagring af billed- og lydoptagelserne, og det er alene den enkelte vagt, der vurderer, om en optagelse skal påbegyndes. Såfremt en optagelse påbegyndes, vil det foregående minuts hændelser ligeledes blive lagret. G4S har til sagen anført, at det foregående minut, inden en optagelse påbegyndes, vil have væsentlig betydning for bevisførelsen i en eventuel efterfølgende straffesag.

Kameraet er herudover udstyret med en GPS-funktion. Denne vil efter det oplyste ikke være slået til, idet vagterne i forvejen via deres radioer er udstyret med GPS.

Når en vagt afslutter sin arbejdsdag, placeres kameraet i en ”oplader”, hvorfra data lagret på enheden automatisk vil blive overført til en lukket server hos G4S. Optagelser lagret på enheden vil ikke være tilgængelige for vagten, da optagelserne er beskyttet af en kode, som alene forefindes hos særligt autoriseret personale hos G4S. Endvidere har kameraet ikke en tilhørende skærm, hvorfor det ikke vil være muligt for vagten eller andre at se – eller i øvrigt tilgå – optagelserne direkte fra kameraet. Vagten har heller ikke mulighed for efterfølgende at slette en optagelse.

3.3. Formål med anvendelse af bodycams

G4S har oplyst, at formålet med brugen af bodycams er at opnå en kriminalpræventiv effekt, at styrke arbejdsmiljøet ved at sænke antallet af ”nær-ved hændelser” og overfald på vagter, at kunne bistå med oplysninger til efterforskningsarbejdet vedrørende forhold, der er anmeldt til politiet, samt at tilvejebringe dokumentation for hændelsesforløb, hvor en vagt f.eks. beskyldes for at have optrådt voldeligt.

3.3.1. Kriminalitetsforebyggelse og arbejdsmiljø

Som beskrevet under pkt. 3.1. har G4S i de senere år oplevet en stigende tendens til hændelser, hvor vagter bliver forulempet, direkte angrebet eller beskyldt for overtrædelser af straffeloven i forbindelse med udførelsen af deres arbejde. Denne tendens har efter det oplyste medført, at medarbejdergruppen generelt føler sig utryg. Det er forventningen hos G4S, at indførelse af bodycams vil have en præventiv effekt og dermed medføre et fald i antallet episoder, hvilket også vil have en gunstig effekt på vagtpersonalets arbejdsmiljø.

3.3.2. Kriminalitetsopklarende

I de tilfælde, hvor det vurderes, at der er begået noget strafbart såsom vold eller trusler om vold, kan lagrede optagelser udleveres til politiet med henblik på dokumentation af episoden. 

3.4. Opbevaring og sletning

Som beskrevet under pkt. 3.2. vil lagrede optagelser efter en afsluttet vagt automatisk blive overført til en lukket server hos G4S. G4S har endvidere oplyst, at alle optagelser mv. vil blive opbevaret og håndteret i overensstemmelse med, hvad der følger af sikkerhedsbekendtgørelsen2. Alene særligt autoriseret personale hos G4S vil have adgang til optagelserne.

G4S har ved brev af 11. oktober 2016 oplyst, at G4S er indforstået med, at slettefristen fastsættes til 14 dage.

3.5. Oplysningspligt

Det fremgår af anmeldelsen, at alle medarbejdere, der kan optræde på optagelser, vil blive varslet i overensstemmelse med de ansættelsesretlige regler.

Endvidere fremgår det, at vagterne vil være udstyret med klar mærkning om, at der foretages videoovervågning. De personer, der vil blive optaget, vil så vidt muligt, inden kameraet tændes, blive adviseret om, at optagelse påbegyndes. Det vil endvidere fremgå af G4S’ hjemmeside, at vagterne er udstyret med videoovervågning, og meddelelsen vil efter det oplyste indeholde de i persondatalovens § 29 angivne oplysninger. Det er G4S’ opfattelse, at det i praksis ikke vil være muligt i de konkrete tilfælde at underrette eventuelle forbipasserende.

3.6. Medarbejderinstruks

G4S har udarbejdet en medarbejderinstruks, som vil blive udleveret til de medarbejdergrupper, der bliver udstyret med bodycams. Medarbejderinstruksen indeholder retningslinjer for brug af bodycams, herunder hvornår kameraet må aktiveres, oplysningspligt, politianmeldelse og indsigt efter persondataloven.

4. Datatilsynets vurdering af den påtænkte behandling

4.1. Behandlingsgrundlag

Under forudsætning af, at G4S i forbindelse med den påtænkte brug af bodycams udelukkende registrerer oplysninger om rent private forhold i det omfang, som fremgår af anmeldelsen, og at de anførte korte slettefrister nøje overholdes, finder Datatilsynet efter en konkret vurdering, at den anmeldte behandling af personoplysninger i forbindelse med udøvelse af vagtvirksomhed kan finde sted i medfør af persondatalovens § 8, stk. 4, 2. pkt.

Endvidere finder Datatilsynet, at de omhandlede oplysninger kan videregives efter persondatalovens § 8, stk. 5, 2. pkt., i forbindelse med anmeldelse til politiet.

Datatilsynet har herved lagt vægt på det oplyste om, at G4S har konstateret en stigende tendens til almen uro, voldelige episoder og andre verbale og fysiske episoder over for vagtpersonalet ved gennemførelse af vagtvirksomheden, hvorfor der i visse patruljeringsområder består et væsentligt behov for at forbedre arbejdsmiljøet for vagtpersonalet hos G4S.

Datatilsynet har endvidere lagt vægt på, at bodycams alene vil blive anvendt i de tilfælde, hvor G4S finder det særlig gavnligt og effektivt og vurderer, at det har en præventiv effekt, samt at den omhandlede vagtvirksomhed generelt har betydning for opretholdelse af ro, orden og tryghed de pågældende steder og således også varetager en samfundsmæssig interesse.

Det er en særlig forudsætning for Datatilsynets tilladelse, at der udelukkende foretages optagelse til de anførte formål, som er beskrevet under pkt. 3.3. Der må således ikke ved brug af brug af bodycams ske optagelse – eller i det hele taget behandles af personoplysninger – til andre formål som f.eks. opklaring af sager om butikstyveri o. lign.

Datatilsynet gør endvidere opmærksom på, at det følger af persondatalovens krav om god databehandlingsskik, at medarbejderne – herunder nyansatte – skal informeres om samtlige formål med brugen af bodycams, og at denne information skal gives forudgående.

Det er G4S, der har ansvaret for, at der ikke behandles personoplysninger i strid med persondataloven. Det er i den forbindelse vigtigt, at optagelse af uvedkommende personer så vidt muligt undgås.

Datatilsynet forudsætter i øvrigt, at G4S indretter behandlingen således, at der ikke sker lydoptagelser i strid med straffelovens § 263, stk. 1, nr. 3.

4.2. De registreredes rettigheder

Datatilsynet skal generelt henlede opmærksomheden på persondatalovens kapitel 8-10 om de registreredes rettigheder, som nærmere er uddybet i rettighedsvejledningen3.  

De nævnte regler omhandler bl.a. den dataansvarliges oplysningspligt over for den registrerede, den registreredes ret til indsigt og indsigelse samt den registreredes ret til at få berigtiget, slettet eller blokeret oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med loven. 

Tilsynet skal særligt påpege, at behandling af personhenførbare oplysninger i forbindelse med optagelse ved brug af bodycams som udgangspunkt indebærer, at der udløses oplysningspligt i medfør af persondatalovens §§ 28 og 29.

Om der kan gøres undtagelse fra oplysningspligten afhænger af en konkret vurdering i hvert enkelt tilfælde. Der henvises i øvrigt til Datatilsynets rettighedsvejledning.

Datatilsynet forudsætter, at reglerne om oplysningspligt iagttages i forbindelse med indsamling af personoplysninger, f.eks. i form af orientering på G4S’ hjemmeside og andre relevante steder. 

4.3. Datasikkerhed

Persondatalovens kapitel 11 indeholder regler om behandlingssikkerhed. I § 41, stk. 1, er det fastsat, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

Det følger desuden af § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Der skal således træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

Det indebærer bl.a., at kun de medarbejdere, der er beskæftiget med de formål, hvortil oplysningerne behandles, må have adgang til oplysningerne. Andre uvedkommende personer – herunder øvrige medarbejdere hos den dataansvarlige virksomhed – må ikke have adgang til oplysningerne. 

Persondatalovens § 41, stk. 3, indebærer endvidere, at medarbejdere – herunder nyansatte – som udfører behandlingen, ved uddannelse, instruktion mv. skal bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler.

Der henvises i øvrigt til de i bilag 1 fastsatte sikkerhedsregler.

4.4. Tidsmæssig begrænsning

Datatilsynets tilladelse er gældende i 3 år fra det tidspunkt, hvor ordningen påbegyndes. G4S skal give meddelelse til Datatilsynet, når behandlingen påbegyndes. Senest ved behandlingens afslutning skal G4S indsende en redegørelse til Datatilsynet om indvundne erfaringer, herunder hvorvidt der er dokumenteret en præventiv effekt ved brugen af bodycams.

5. Beskrivelse af persondatalovens regler

I vedlagte bilag 2 findes en nærmere gennemgang af de regler i persondataloven, som er særligt relevante for den anmeldte behandling af personoplysninger, og som ovenstående vurdering er foretaget på grundlag af.

Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.    


Bilag 1: Krav om datasikkerhed i forbindelse med anmeldelsespligtige behandlinger

Bilag 2:  Særligt relevante regler i persondataloven i forbindelse med anmeldelsespligtige behandlinger    


Bilag 1 - Krav om datasikkerhed i forbindelse med anmeldelsespligtige behandlinger

Persondataloven stiller krav om, at personoplysninger skal behandles sikkerhedsmæssigt forsvarligt.

Det betyder bl.a., at der skal være de nødvendige tekniske og fysiske foranstaltninger imod, at oplysningerne kommer til uvedkommendes kendskab eller misbruges.

I forbindelse med den anmeldte behandling af personoplysninger skal nedenstående specifikke minimumskrav om datasikkerhed iagttages:

  1. Beskriv hvordan følsomme personoplysninger beskyttes, og hvordan nedenstående punkter i praksis er implementeret. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne.
  2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
  3. Medarbejdere – herunder nyansatte – der håndterer personoplysninger i forbindelse med brug af bodycams, skal have grundig instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte disse.
  4. Personoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.

  5. Når dokumenter (papirer, kartotekskort mv.) med personoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.

  6. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode.

    De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den.

  7. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.

  8. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.

  9. Hvis følsomme personoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af følsomme personoplysninger på andre bærbare datamedier.

  10. Pc’er og andet computerudstyr, som kan blive koblet til internettet, skal være beskyttet af en opdateret firewall og viruskontrol.

  11. Hvis der benyttes hjemmesideformularer, hvor følsomme personoplysninger og/eller personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

  12. Hvis følsomme personoplysninger og/eller personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.

  13. Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarliges lokaliteter, skal den dataansvarlige fastsætte særlige retningslinjer herfor, så det sikres, at de fastsatte vilkår iagttages.

  14. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Udtagelige lagringsmedier, sikkerhedskopier af data mv. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne.

  15. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

  16. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv.

    Autorisation og adgangskontrol

  17. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles ved hjælp af edb. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.

  18. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.

  19. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 16 og 17. Kontrol heraf skal foretages mindst en gang hvert halve år.

  20. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, som behandles ved hjælp af edb, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.

    Logning

  21. I edb-registre skal der foretages maskinel registrering (logning) af alle anvendelser af følsomme personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes.



Bilag 2 - Særligt relevante regler i persondataloven i forbindelse med anmeldelsespligtige behandlinger

Datatilsynet skal overordnet bemærke, at den dataansvarlige har ansvaret for, at enhver form for behandling af personoplysninger, herunder indsamling, registrering og videregivelse, finder sted i overensstemmelse med persondataloven eller anden lovgivning. Den dataansvarlige skal således bl.a. ved hver enkelt behandling af personoplysninger vurdere, om der er den fornødne hjemmel.

1. Persondatalovens behandlingsregler

Behandling af almindelige ikke-følsomme oplysninger

Persondatalovens § 6, stk. 1, indeholder forskellige regler for, hvornår registrering, videregivelse og anden behandling af ikke-følsomme oplysninger såsom navn, adresse og skatteoplysninger må ske.

Efter § 6, stk. 1, nr. 1, må behandling finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil. De nærmere krav til et sådant samtykke findes i lovens § 3, nr. 8, se nedenfor.

Behandling af oplysninger må endvidere finde sted, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en aftale, jf. § 6, stk. 1, nr. 2.

Efter § 6, stk. 1, nr. 3, må behandling endvidere finde sted, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

Endelig må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt. Den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, vil også kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.

Behandling af personnummer

Oplysninger om personnummer må efter persondatalovens § 11, stk. 2, nr. 1 og 2, behandles, når det følger af lov eller bestemmelser fastsat i henhold til lov, eller når den registrerede har givet sit udtrykkelige samtykke hertil. Videregivelse af oplysninger om personnummer er reguleret i lovens § 11, stk. 2, nr. 3, sidste del.

Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5, se nedenfor.

Behandling af følsomme personoplysninger

Reglerne for, hvornår behandling af følsomme oplysninger må finde sted, fremgår af persondatalovens §§ 7 og 8.

Oplysninger om helbredsmæssige forhold - dvs. en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug og misbrug af narkotika og lignende nydelsesmidler – samt andre følsomme oplysninger, som f.eks. oplysninger om politisk tilhørsforhold eller seksuelle forhold, må efter lovens § 7, stk. 1, som udgangspunkt ikke behandles.

Efter § 7, stk. 2, nr. 1, må behandling af sådanne følsomme oplysninger dog blandt andet ske, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen. Oplysningerne kan endvidere behandles, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.

Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte må behandles af private, hvis den registrerede har givet sit udtrykkelige samtykke hertil, jf. § 8, stk. 4. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Det følger endvidere af § 8, stk. 6, at behandling af oplysninger omfattet af § 8, stk. 4, i øvrigt kan finde sted, hvis betingelserne i § 7 er opfyldt.

Generelle behandlingsbetingelser

Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.

Heraf følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål, jf. § 5, stk. 2.

Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles, jf. § 5, stk. 3.

Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal foretages en fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges, jf. § 5, stk. 4.

Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles, jf. § 5, stk. 5.

2. Persondatalovens krav til samtykke

I persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.

Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.

I kravet om, at samtykket skal være specifikt, ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.

Desuden skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.

Herudover skal et samtykke ifølge lovens behandlingsregler være udtrykkeligt. Det vil ifølge lovbemærkningerne sige, at den dataansvarlige ikke vil kunne opnå stiltiende eller indirekte tilslutning til behandling af oplysninger.

Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. persondatalovens § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.

3. Den registreredes rettigheder

I persondatalovens §§ 28 og 29 findes reglerne om oplysningspligt. Efter disse bestemmelser påhviler det den dataansvarlige ved registreringen af oplysninger at informere den registrerede om bl.a. udstrækningen af registreringen, formålet hermed samt yderligere oplysninger, der er nødvendige for, at den registrerede kan varetage sine interesser. Man skal som virksomhed derfor være opmærksom på, at der er en oplysningspligt over for den registrerede i medfør af ovennævnte bestemmelser, når der registreres oplysninger om vedkommende.

Ifølge lovens § 31, stk. 1, skal den dataansvarlige efter begæring fra en person give meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives meddelelse om, hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer.

Der kan i øvrigt henvises til Datatilsynets rettighedsvejledning4.

4. Datasikkerhed

Der henvises til bilag 1.
 

 

_______________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 

2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning
3 Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger
4 Rettighedsvejledningen (vejledning nr. 126 af 10. juli 2000) kan findes på Datatilsynets hjemmeside, www.datatilsynet.dk, under punktet ”Lovgivning”.

Historisk afgørelse

Dette er en historisk afgørelse truffet efter persondataloven, som ikke længere er gældende i Danmark. Datatilsynet har ikke taget stilling til, hvordan de historiske afgørelser ville være faldet ud, hvis de var truffet efter de nuværende regler, ligesom der kan være enkelte af de historiske afgørelser, som senere er blevet præciseret eller omgjort.

Se nye afgørelser

Læs om lovgivning