Klage over Lasso X ApS’ behandling af oplysninger

Publiceret 13-08-2018
Afgørelse Private virksomheder

Afgørelsen fastslår, at oplysninger indhentet fra offentligt tilgængelige registre som udgangspunkt lovligt kan offentliggøres.

Resume

Datatilsynet har behandlet en klage over, at der på virksomheden Lassos hjemmesiden www.lasso.dk offentliggøres oplysninger indhentet fra Det Centrale Virksomhedsregister (CVR). Virksomheden havde afvist at imødekomme en indsigelse fra klager mod, at klagers tidligere tilknytning til en række virksomheder fremgår af lasso.dk, når der søges på klagers navn.

Datatilsynet traf den 13. august 2018 afgørelse i sagen. Datatilsynet fandt, at oplysningerne, der var indhentet fra CVR, lovligt kan offentliggøres. Datatilsynet fandt endvidere, at der ikke var grundlag for at imødekomme klagers indsigelse mod den ellers lovlige behandling, da klager ikke havde anført grunde, der vedrører dennes særlige situation.

Afgørelse

1. Datatilsynet vender hermed tilbage til sagen, hvor du har rettet henvendelse til tilsynet vedrørende Lasso X ApS’ (herefter Lasso) behandling af oplysninger om dig.

Datatilsynet har forstået din henvendelse som en klage over, at Lasso har afvist at imødekomme din indsigelse mod, at din tidligere tilknytning til en række virksomheder fremgår af lasso.dk, når der søges på dit navn, [klager].

Datatilsynet finder efter en samlet vurdering, at der ikke er grundlag for at kritisere Lasso for deres manglende imødekommelse af din indsigelse. 

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1. Ved e-mail af […] har du klaget over, at din tidligere tilknytning til en række virksomheder fremgår af lasso.dk, når der søges på dit navn, [Klager].

Ved e-mails af […] er Lasso fremkommet med en udtalelse til brug for sagen, som du har kommenteret ved e-mail af […].

2.2. Dine bemærkninger

Du har anført, at din tidligere tilknytning til en række virksomheder ikke bør kunne søges frem alene ved en søgning på dit navn, og at Lasso ikke har nogen ret til at udstille dine personlige oplysninger på internettet. Søgeresultaterne bør derfor kun være tilgængelige, hvis der søges på de enkelte virksomheder, som du har været tilknyttet.

2.3. Lassos bemærkninger

Lasso har anført, at formålet med deres service er at give offentligheden mulighed for at få indsigt i dansk erhvervsliv og alle danske firmaer, herunder hvilke ledende personer der er tilknyttet disse virksomheder. Når der søges på lasso.dk vises oplysninger, der hentes i real tid fra CVR-registeret (CVR), og der er dermed ikke tale om oplysninger, som lagres hos Lasso.

Lasso har endvidere anført, at de ikke behandler personoplysninger om dig, idet der alene caches oplysninger i en midlertidig transaktion ved generering af et dynamisk script-baseret website. Hvis Datatilsynet måtte være af den opfattelse, at Lasso behandler oplysning om dig, er det imidlertid Lassos opfattelse, at oplysningerne er almindelige personoplysninger omfattet af den dagældende persondatalovs § 6, og at behandlingsgrundlaget for behandlingerne er § 6, stk. 1, nr. 5 og § 6, stk. 1, nr. 7.

Som begrundelse for at behandlingen kan finde sted inden for rammerne heraf, har Lasso bl.a. anført, at oplysningerne, der behandles i Lasso servicen, alle er oplysninger, som i henhold til bekendtgørelse af lov om Det Centrale Virksomhedsregister skal indeholdes i et centralt register, og at det af samme lovbekendtgørelses § 18 fremgår, at enhver kan få adgang til disse grunddata. Lasso er derfor af den opfattelse, at der ikke kan være hensyn i interesseafvejningen, som gør at denne falder ud til fordel for den registrerede. I denne vurdering er det også inddraget, at der i Lasso servicen ikke vises andre data end de data, der er offentligt tilgængelige gennem CVR, der sker ikke nogen berigelse af disse data, og oplysningerne anvendes ikke i anden kontekst end den, der allerede findes i CVR.

3. Datatilsynets afgørelse

3.1. Persondataloven er pr. 25. maj 2018 blevet afløst af nye databeskyttelsesregler i form af en generel forordning fra EU om beskyttelse af personoplysninger, som gælder i både den private og offentlige sektor[1], og databeskyttelsesloven[2], der supplerer reglerne i forordningen.

Databeskyttelsesforordningen gælder for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. forordningens artikel 2, stk. 1.

Ved en “dataansvarlig” forstås ifølge databeskyttelsesforordningens artikel 4, nr. 7, en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Behandling af almindelige, ikke-følsomme oplysninger må finde sted, hvis én af betingelserne i forordningens artikel 6, stk. 1, litra a-f, er opfyldt.

Behandling kan herefter bl.a. ske, hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. forordningens artikel 6, stk. 1. litra e, eller hvis behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn, jf. forordningens artikel 6, stk. 1, litra f.

Det er Datatilsynets opfattelse – hvilket i øvrigt er i overensstemmelse med tilsynets tidligere praksis efter persondataloven - at en (privat) dataansvarlig inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f, som udgangspunkt lovligt kan behandle, herunder indsamle, registrere, bearbejde og videregive, personoplysninger, der er indhentet fra offentligt tilgængelige registre som eksempelvis CVR.

Efter databeskyttelsesforordningens artikel 21, stk. 1, har den registrerede til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

3.2. Da Lasso elektronisk bl.a. indsamler, videreformidler, og i visse tilfælde bearbejder oplysninger i form af artikler[3], er det Datatilsynets opfattelse, at Lasso er dataansvarlig for behandlingen af de omhandlede oplysninger om dig på lasso.dk, og at behandlingen er omfattet af databeskyttelsesforordningens anvendelsesområde.

Datatilsynet finder endvidere, at behandlingen af de omhandlede oplysninger om dig er lovlig, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f, herunder at oplysningerne kan fremsøges ved at søge på dit navn, idet Lasso efter tilsynets opfattelse har en berettiget interesse i at behandle oplysninger om dansk erhvervsliv, herunder hvilke ledende personer der er eller har været tilknyttet danske virksomheder, og at denne interesse går forud for din interesse i, at oplysningerne ikke behandles.

Datatilsynet har herved lagt vægt på, at oplysningerne er offentligt tilgængelige på cvr.dk, og at det på cvr.dk ligeledes er muligt at fremsøge oplysninger om din tidligere tilknytning til en række virksomheder ved søgning på dit navn, [Klager], eller ved søgning på ”[Klager]*”.

En indsigelse efter databeskyttelsesforordningens artikel 21, stk. 1, kan imidlertid være berettiget, selvom behandlingen i øvrigt er lovlig. Det vil være tilfældet, hvis vægtige grunde, der vedrører den registreredes særlige situation, taler for, at indsigelsen skal imødekommes.

Da du ikke har anført grunde, der vedrører din særlige situation, men alene anført, at oplysningerne ikke bør kunne søges frem ved en søgning på dit navn, hvilket efter Datatilsynets opfattelse er en lovlig behandling, finder tilsynet, at du ikke er fremkommet med særlige grunde til, at din indsigelse bør imødekommes.

Idet din indsigelse ikke er berettiget, finder Datatilsynet, at der ikke er grundlag for at tage stilling til spørgsmålet om sletning (ophør) af den pågældende søgemulighed.

4. Afsluttende bemærkninger

Lasso er dags dato orienteret om denne afgørelse.

Datatilsynet foretager sig herefter ikke yderligere i sagen, og beklager i øvrigt den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]f.eks: ”[Udeladt]”