Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Overdragelse af oplysninger

Det danske Datatilsyn har både under den nugældende persondatalov, der gennemfører direktiv 95/46/EF, og den tidligere gældende registerlovgivning taget stilling til spørgsmål om overdragelse af oplysninger ved virksomhedsoverdragelser.

I praksis efter den gamle registerlov kunne en virksomhed skifte ejer, uden at det blev betragtet som videregivelse af de oplysninger, som virksomheden var registeransvarlig for. Synspunktet var, at oplysningerne blev i virksomheden og overgik til den nye ejer. Den tidligere ejer havde efter overdragelsen ikke længere adgang til oplysningerne. Virksomhedsoverdragelsen blev således betragtet som en succession, hvor den nye ejer indtrådte i den tidligere ejers rettigheder og forpligtelser i forhold til registerloven.

Datatilsynet har i flere udtalelser efter den nugældende lov fulgt denne linie. Herudover har tilsynet haft grund til at forholde sig til mere nuancerede problemstillinger.

Det er navnlig ved en fuldstændig virksomhedsoverdragelse, det kan være relevant at tale om succession. Det gælder f.eks. i en situation, hvor alle aktierne i et selskab overdrages, og virksomheden videreføres af den nye ejer. Her er det virksomheden, der skifter indehaver, mens oplysningerne bliver i virksomheden. Tilsynet har i generelle udtalelser givet udtryk for, at der ved sådanne virksomhedsoverdragelser ikke er tale om behandling af personoplysninger. Begrebet behandling er i den danske lov defineret ligesom i direktiv 95/46/EF artikel 2 (b).

Om der ved en virksomhedsoverdragelse kan siges at foreligge en behandling - typisk en videregivelse - må dog i den sidste ende afhænge af den konkrete situation. Man kan f.eks. også tænke sig situationer, hvor en virksomhed bliver splittet op, og de forskellige dele sælges, f.eks. i forbindelse med konkurs.

I de fleste sager, hvor Datatilsynet har udtalt sig om virksomhedsoverdragelser, har der været tale om, at en del af en virksomheds aktiviteter med tilhørende kundedatabaser eller personaleregistre er blevet overdraget. Dette har Datatilsynet anset for en behandling i form af videregivelse.

I det følgende gennemgås forskellige spørgsmål, som det danske tilsyn har taget stilling til. For overskuelighedens skyld henvises der ikke til paragrafnumre på de regler i den danske lov, som tilsynet har brugt, men til de tilsvarende regler i direktiv 95/46/EF.

Datatilsynets udtalelser er ofte givet som svar på spørgsmål fra forskellige advokater. Spørgsmålene har navnlig drejet sig om to situationer. I den ene situation sælges aktierne i et selskab, således at selskabet forbliver den samme juridiske person, mens alene ejerkredsen udskiftes. I den anden situation sælges en virksomheds aktiver - eller en del af disse - til en køber, herunder den relevante kundedatabase, som vedrører de overdragne aktiver.

Eksempel 1. Overdragelse af en virksomhed

Datatilsynet har i sine generelle svar udtalt, at hvis der er tale om salg (overdragelse) af samtlige aktier i et selskab, og hvis selskabet forbliver den samme juridiske person, dvs. virksomheden videreføres af den nye ejer, er der efter tilsynets opfattelse ikke tale om en overdragelse af personoplysninger, som falder ind under definitionen på en behandling.

Datatilsynet henviste til, at det i Registertilsynets praksis efter lov om private registre blev lagt til grund, at virksomhedsoverdragelser ikke medførte, at der skete videregivelse af personoplysninger. Forholdet blev betragtet som en succession. Datatilsynet gav udtryk for, at denne praksis så vidt muligt bør videreføres.

Det skal her tilføjes, at tilsynet formentlig vil vælge samme løsning, hvis en såkaldt enkeltmandsejet virksomhed overdrages til en ny indehaver, der viderefører virksomheden. Ligeledes ved et delvist ejerskifte, f.eks. ved salg af en aktiepost, eller hvis en interessent i et interessentskab skiftes ud. Dette vil formentlig heller ikke ville blive betragtet som en videregivelse af oplysningerne i virksomheden.

Eksempel 2. En virksomhed sælger eller overdrager en del af sine aktiver

Der er tale om en anden situation, hvis en virksomhed sælger eller overdrager en del af sine aktiver. Hvis en kundedatabase selvstændigt overdrages sammen med andre aktiver, f.eks. fast ejendom, produktionsmaskiner m.v., og køber herefter viderefører driften, har Datatilsynet i vejledende udtalelser antaget, at overdragelsen skal betragtes som en videregivelse. Denne videregivelse skal have hjemmel i persondataloven.

Et salg af en kundedatabase, der alene indeholder ufølsomme personoplysninger, skal bedømmes efter reglerne i artikel 7 i direktiv 95/46/EF. De relevante regler er reglen om behandling med samtykke i artikel 7 (a) og interesseafvejningsreglen i artikel 7 (f).

Når Datatilsynet giver vejledende udtalelser om interesseafvejningsreglen, pointeres det, at det i første række er den dataansvarlige, der selv skal afgøre, om interesseafvejningen falder ud til fordel for de interesser, der ønskes forfulgt med behandlingen. Denne afgørelse skal træffes ud fra en konkret vurdering i den enkelte situation.

Ved interesseafvejningen i forbindelse med en virksomhedsoverdragelse skal der lægges vægt på forskellige forhold. På den ene side bør kunden ikke forvente, at oplysninger om vedkommende gøres til genstand for salg mellem virksomheder. På den anden side har virksomhederne et legitimt forretningsmæssigt formål med at overdrage oplysningerne.

Vurderingen afhænger også af, hvilke oplysninger der fremgår af kundedatabasen. Fremgår der alene oplysninger om, at den pågældende er kunde (inklusiv almindelige identitetsoplysninger, herunder e-postadresse) i det pågældende selskab, men ikke oplysninger om tidligere køb (historik), er det tilsynets opfattelse, at videregivelsen - efter omstændighederne - vil være lovlig efter direktivets artikel 7 (f). Hvis der derimod indgår andre oplysninger i databasen - f.eks. oplysninger om køb, mængder af køb eller lignende - har Datatilsynet i vejledende udtalelser givet udtryk for den opfattelse, at interesseafvejningen i almindelighed vil falde ud til fordel for den registrerede (kunden). Her skal man igen være opmærksom på, at der skal foretages en konkret vurdering i den enkelte situation. Omstændighederne kan være af en sådan karakter, at også visse købsoplysninger kan følge med, når en aktivitet overdrages. Dette kan endda tænkes i nogle situationer at være i kundernes interesse.

Mht. de tilfælde, hvor videregivelse kan finde sted i overensstemmelse med artikel 7 (f), har Datatilsynet også rejst spørgsmålet om, hvorvidt de særlige regler i den danske persondatalov om videregivelse til brug for markedsføring skal følges. Det er sandsynligt, at den købende virksomhed vil bruge oplysningerne i den nye database til at rette henvendelse til de nye kunder i markedsføringsøjemed. Imidlertid er det fortsættelsen af aktiviteten og ikke markedsføringen i sig selv, der har været formålet med overdragelsen. I konkrete tilfælde har Datatilsynet derfor fundet, at de særlige markedsføringsregler ikke finder anvendelse i en situation, hvor en virksomhed sælger sit produktionsapparat m.v. med tilhørende kundedatabase og i øvrigt ikke beholder en kopi af databasen for selvstændigt at gøre brug af denne.

I sådanne generelle udtalelser pointerer tilsynet, at svarene kun er vejledende. Tilsynet tager desuden forbehold for sin endelige stillingtagen til spørgsmålene, f.eks. i forbindelse med en eventuel klagesag.

Eksempel 3. En klagesag om videregivelse i forbindelse med en virksomhedsoverdragelse

En person klagede til Datatilsynet over, at en dansk virksomhed havde videregivet oplysninger om den pågældende til en virksomhed med hovedsæde i England. Det viste sig, at oplysningerne var videregivet som led i en virksomhedsoverdragelse. Forud for overdragelsen havde den danske virksomhed skrevet til sine kunder og informeret om, hvilke forandringer der ville finde sted. Hvis en person ikke længere ønskede at være kunde, skulle vedkommende kontakte den danske virksomhed, som i så fald ville sørge for, at den pågældende blev slettet fra databasen. Det må lægges til grund, at den engelske virksomhed var en anden juridisk enhed end den danske virksomhed.

Datatilsynet vurderede sagen som en videregivelse af ufølsomme oplysninger. Tilsynet fandt endvidere, at den danske virksomhed efter den danske regel, der svarer til direktivets artikel 7 (f), havde været berettiget til at videregive oplysninger om klageren i forbindelse med, at den engelske virksomhed overtog den danske virksomhed og dens kundeoplysninger. Datatilsynet lagde vægt på, at klager forudgående var blevet orienteret om videregivelsen med mulighed for at blive slettet af kundedatabasen, at der alene var tale om videregivelse af ufølsomme oplysninger, såsom klagers navn, fakturaadresse, e-postadresse og kontakttelefonnummer, samt at de to virksomheder havde et naturligt forretningsmæssigt formål med at overdrage oplysningerne, idet den engelske virksomhed herved fik mulighed for at videreføre de aktiviteter, som den danske virksomhed tidligere varetog.

Eksempel 4. Arbejdsgivers videregivelse af oplysninger om ansatte personer

Datatilsynet har i forbindelse med sager om overdragelse af personaleoplysninger ved virksomhedsoverdragelser også taget de særlige regler, der gælder i den særlige lovgivning om lønmodtageres retsstilling ved virksomhedsoverdragelse (virksomhedsover-dragelsesloven) i betragtning. I den danske lov om dette er fastsat, at hvis en virksomhed eller en del heraf overdrages, indtræder erhververen umiddelbart i de rettigheder og forpligtelser, der bestod på ansættelsestidspunktet i henhold til bestemte former for aftaler eller kollektiv overenskomst m.v.

Datatilsynet har i en konkret sag givet udtryk for den umiddelbare vurdering, at en sket videregivelse var i overensstemmelse med den regel i den danske lov, der svarer til direktivets artikel 7 (f). Dette baserede Datatilsynet bl.a. på, at de foretagne behandlinger – som sagen var oplyst – måtte siges at være sket i såvel lønmodtagernes som virksomhedernes interesse, og at medarbejdernes ansættelse i de omfattede virksomheder efter principperne i virksomhedsoverdragelsesloven skal betragtes som ét ansættelsesforhold.

Eksempel 5. Due diligence og virksomhedsoverdragelse

I forbindelse med forhandlinger om salg af en virksomhed eller en del heraf er det almindeligt at gennemføre en såkaldt due diligence undersøgelse. Det centrale i en sådan undersøgelse er, at den interesserede købers rådgivere, f.eks. en advokat, får lejlighed til at gennemgå forskelligt materiale om virksomheden med henblik på fra købers side at få et så fuldstændigt billede af virksomheden som muligt, i såvel juridisk, økonomisk som kommerciel henseende. Due diligence processen vil typisk være delt op i flere tempi, startende med en overfladisk gennemgang og senere - hvis forhandlingerne fortsætter - en mere dybtgående gennemgang. Under processen vil repræsentanterne for den mulige køber kunne få adgang til personoplysninger, f.eks. om nøglemedarbejdere og ledende medarbejdere.

Datatilsynet har vurderet, at udleveringen af oplysninger fra sælger til den mulige købers rådgivere skal betragtes som en behandling af personoplysninger. Udleveringen skal således have hjemmel i persondataloven.

Det er tilsynets opfattelse, at almindelige, ikke-følsomme oplysninger normalt kan behandles herunder videregives, som led i en due diligence undersøgelse i medfør af interesseafvejningsreglen - direktivets artikel 7 (f). Dette gælder f.eks. almindelige identitetsoplysninger, lønoplysninger, oplysninger om uddannelse eller arbejdsområde.

Ved den vurdering har Datatilsynet lagt vægt på, at sælger og den mulige køber har en berettiget interesse i behandlingen, samt at hensynet til den registrerede ikke taler imod, navnlig set i forhold til oplysningernes karakter. Tilsynet har i denne forbindelse også forudsat, at udleveringen af oplysninger betinges af fortrolighed.

Samtidig har Datatilsynet for god ordens skyld peget på, at den registreredes samtykke kan danne baggrund for udleveringen, jf. direktivets artikel 7 (a).

Udlevering af sensitive oplysninger kan efter Datatilsynets opfattelse normalt kun ske med de registreredes samtykke, jf. direktivets artikel 8 (2) (a).

Ligeledes vil udlevering af oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold normalt kræve den registreredes samtykke. Der kan dog tænkes situationer, hvor videregivelse af sådanne oplysninger vil kunne ske uden samtykke fra den registrerede. Afgørelsen heraf vil bero på en konkret vurdering i den enkelte situation.

Datatilsynet har i øvrigt anbefalet, at følsomme oplysninger i videst muligt omfang anonymiseres inden udleveringen, samt at der i øvrigt udvises tilbageholdenhed med udlevering af sådanne oplysninger. Tilsynet har i den forbindelse peget på reglen i direktivets artikel 6 (1) (c) om, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Der er naturligvis intet til hindrer for, at der som led i due diligence undersøgelsen videregives anonyme oplysninger af enhver karakter til køber.

Due diligence rapporter

Så vidt tilsynet er orienteret, vil købers rådgivere typisk udarbejde en rapport om den udførte due diligence undersøgelse. Køberen kan selvsagt anvende rapportens oplysninger og konklusioner ved vurderingen af den pågældende virksomhed i forbindelse med købsforhandlingerne.

Derimod vil en senere anvendelse af rapporten til andre formål eller f.eks. videreoverdragelse til andre efter Datatilsynets opfattelse som altovervejende hovedregel være i strid med reglen i direktivets artikel 6 (1) (b) ligesom behandlingsreglerne i artiklerne 7 og 8 ikke vil kunne anses for opfyldt.

Eksempel 6. Dagblads salg af kundedatabase

De 5 første eksempler viser alle tilfælde, hvor videregivelse under en eller anden form kunne ske. Datatilsynet ser selvfølgelig også sager, hvor videregivelse ikke kan ske, eller kun kan ske med respekt af en “opt out-procedure”, der gælder for videregivelser med henblik på markedsføring.

Den største sag af denne slags, som Datatilsynet indtil nu har set, handlede om et dagblad, der stod overfor lukning, og som i sit kunderegister havde et større antal abonnenter, som fremover ville være nødt til at se sig om efter en anden leverandør. Dagbladet gav mod klækkelig betaling et andet dagblad mulighed for at markedsføre sig i et brev til abonnenterne, og videregav derefter hele kundedatabasen til dette dagblad. Kunderne blev orienteret, men persondatalovens “opt out-procedure” blev ikke fulgt. Det lå fast, at det dagblad, som kunderne abonnerede på, ikke længere skulle udkomme. Der var altså ikke tale om en videreførsel af aktiviterne i det modtagende dagblad, men derimod at modtageren gerne ville have kunderne til at skifte til et abonnement på sin egen avis.

Datatilsynet gik ind i sagen på eget initiativ, og da omstændighederne var klarlagt, indgav tilsynet politianmeldelse mod det blad, der havde videregivet oplysningerne. Dagbladet vedtog udenretligt et bødeforlæg på 25.000 danske kroner svarende til ca. 3.300 euro. Det skal understreges, at politisagen alene handlede om den manglende iagttagelse af markedsføringsreglerne.

Opsummering

I Datatilsynets udtalelser er virksomhedsoverdragelser, hvor en virksomhed skifter indehaver, i visse tilfælde blevet anset for slet ikke at være en behandling af personoplysninger. I disse tilfælde kommer man overhovedet ikke ind i en diskussion af, om behandlingsbetingelserne er opfyldt. Det skal her tilføjes, at selv om man i stedet havde anskuet overdragelsen som en behandling, havde det ikke betydet, at den ikke måtte finde sted. Som eksemplerne viser, giver behandlingsreglerne alt efter omstændighederne mulighed for at videregive oplysninger.

En virksomheds salg af aktiviteter med samtidig overdragelse af databaser betragtes som en behandling i form af en videregivelse. En sådan videregivelse kan afhængigt af omstændighederne ske uden samtykke, hvis virksomheden har et legitimt forretningsmæssigt formål med at overdrage oplysningerne. Hvis der er tale om videregivelse til brug for markedsføring, skal de særlige regler om dette iagttages.

Ovenstående tekst dannede grundlag for Datatilsynets kontorchef Lena Andersens indlæg på Europa-Kommissionens konference om direktiv 95/46/EF.