Behandling af personnummer i bank i markedsføringsøjemed

Publiceret 03-12-2004
Historisk afgørelse

Journalnummer: 2003-212-0166

Ved brev af 29. januar 2004 tog Datatilsynet stilling til en konkret klagesag vedrørende B’s brug af personnummer i forbindelse med en forudfyldt låneansøgning, som i markedsføringsøjemed blev fremsendt til en kunde.

Datatilsynet udtalte bl.a., at B hverken havde kundens samtykke eller hjemmel i lov til at behandle personnummeret i forbindelse med udsendelse af markedsføringsmateriale. Tilsynet fandt derfor, at Bs fremsendelse af markedsføringsmateriale i form at et lånetilbud påført personnummer ikke var i overensstemmelse med persondataloven.

De har som advokat for B anmodet Datatilsynet om at genoptage behandlingen af sagen, idet De ikke mener, at tilsynets afgørelse er korrekt. De er således uenig i, at B alene kan behandle oplysningerne med samtykke, eller i det omfang det følger af skattekontrollovens regler.

De har over for Datatilsynet bl.a. gjort gældende, at B med hjemmel i lov om finansiel virksomhed kan anvende personnumre som entydig identifikation på breve mv. De har endvidere anført, at der ikke er tale om videregivelse af oplysninger, når oplysningerne meddeles til den registrerede selv, samt at betingelserne i persondatalovens § 11, stk. 2, nr. 3, er opfyldt.

Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:

Lov om finansiel virksomhed

Datatilsynet har indledningsvis foretaget en vurdering af, om den skete anvendelse af personnummeret er reguleret af lov om finansiel virksomhed.

Det følger af § 117, stk. 1, i lov om finansiel virksomhed, at bestyrelsesmedlemmer, medlemmer af lokale bestyrelser og lignende, medlemmer af repræsentantskabet i en finansiel virksomhed, der ikke er en sparekasse, revisorer og granskningsmænd samt deres suppleanter, stiftere, vurderingsmænd, likvidatorer, direktører, ansvarshavende aktuarer, generalagenter og administratorer i et forsikringsselskab samt øvrigt ansatte ikke uberettiget må videregive eller udnytte fortrolige oplysninger, som de under udøvelsen af deres hverv er bekendt med. Bestemmelsen finder tilsvarende anvendelse for finansielle holdingvirksomheder.

Af samme lovs § 118, stk. 1, følger, at sædvanlige oplysninger om kundeforhold kan videregives til brug for varetagelse af administrative opgaver.

Det er i bekendtgørelse nr. 1075 af 17. december 2001 om sædvanlige kundeoplysninger i finansielle virksomheder fastsat, at en oplysning om personnummer er en sædvanlig kundeoplysning.

Det følger af forarbejderne til § 118, stk. 1, at administrative opgaver skal forstås bredt. Der nævnes eksempelvis fælles udfærdigelse og udsendelse af kontomeddelelser eller forsikringsoversigter samt indberetning af andre virksomheders oplysninger til skattevæsen mv. Begrebet kan ifølge bemærkningerne afgrænses negativt, idet oplysningerne ikke må videregives til brug for markedsføring eller rådgivning.

Oplysningerne må derfor ikke være tilgængelige for kundeekspederende medarbejdere, der ikke varetager administrative opgaver, bortset fra medarbejderne i det selskab, hvorfra oplysningerne hidrører. Det følger endvidere af forarbejderne til lov om finansiel virksomhed, at lovens regler på nogle områder supplerer reglerne i persondataloven.

I lovens § 118, stk. 1, er der således hjemmel til at videregive bl.a. oplysninger om personnumre til brug for administrative opgaver. Bestemmelsen i lov om finansiel virksomhed ses ikke at omhandle registrering eller internt brug af personnumre og kan dermed efter Datatilsynets vurdering ikke siges at indeholde den fornødne hjemmel til, at en finansiel virksomhed internt i virksomheden benytter oplysninger om kunders personnumre i forbindelse med markedsføring over for kunderne eller som adgangskode i en netbank.

I den foreliggende sag er det således Datatilsynets opfattelse, at den skete behandling af personnummeret alene skal vurderes i forhold til persondataloven.

Persondataloven

Persondatalovens § 11, stk. 2, indeholder nærmere regler for, i hvilket omfang private virksomheder mv. må behandle oplysninger om personnumre. Ifølge bestemmelsen må der ske behandling af oplysninger om personnummer, når det følger af lov eller bestemmelser fastsat i henhold til lov, jf. stk. 2, nr. 1, hvis den registrerede har givet sit udtrykkelige samtykke, jf. stk. 2, nr. 2, eller hvis behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller videregivelsen kræves af en offentlig myndighed, jf. stk. 2, nr. 3.

Persondataloven indeholder endvidere i § 5 en række grundlæggende principper for den dataansvarliges behandling af oplysninger. Disse krav skal altid være opfyldt og gælder i tillæg til behandlingsreglerne i bl.a. § 11.

Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.

Det følger af bemærkningerne til § 5, stk. 2, at det bl.a. vil være sagligt at indsamle oplysninger til administrative formål, som det ligger inden for den dataansvarliges virksomheds område at varetage.

Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

De har anført, at betingelserne i lovens § 11, stk. 2, nr. 3, efter Deres opfattelse er opfyldt i forhold til B’s behandling.

§ 11, stk. 2, nr. 3, indeholder hjemmel til behandling af oplysninger til videnskabelige eller statistiske formål og til videregivelse, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller videregivelsen kræves af en offentlig myndighed.

Da der ikke er tale om forskning eller statistik, er den relevante del af bestemmelse 2. led, som alene regulerer videregivelse af oplysninger.

Persondataloven indeholder ikke en definition af begrebet ”Videregivelse” men derimod af begreberne ”Tredjemand” (§ 3, nr. 6) og ”Modtagere” (§ 3, nr. 7). Det anføres i kommentaren til persondataloven (s. 98), at der forligger videregivelse, når oplysningerne meddeles en tredjemand, som herefter har en selvstændig ret til at behandle oplysningerne. Når oplysningerne anvendes i forhold til den registrerede selv, foreligger der ikke videregivelse.

Datatilsynet deler denne opfattelse og skal i øvrigt henvise til bemærkningerne i forslaget til persondataloven om opretholdelsen af den hidtidige adgang til at foretage samkøring i den finansielle sektor. Hensigten med § 11, stk. 2, nr. 3, kan derimod efter tilsynets opfattelse ikke antages at være, at en virksomhed – i eller uden for en koncern – skal kunne foretage en selvstændig registrering af oplysninger om personnumre, blot fordi det er af afgørende betydning for en entydig identifikation af den registrerede.

Datatilsynet må derfor fastholde, at § 11, stk. 2, nr. 3, 2. led, alene er en videregivelsesregel, hvilket medfører, at det alene er reglerne i § 11, stk. 2, nr. 1 og 2, der er relevante for den skete behandling af personnummeret i forbindelse med fremsendelse af markedsføringsmateriale.

Da der efter det oplyste ikke er givet samtykke, skal der herefter tages stilling til, hvorvidt hjemlen i særlovgivningen kan udstrækkes til at omfatte brugen af personnummeret i forbindelse med markedsføring.

Hvis en virksomhed, forening mv. kan behandle oplysninger om personnumre på grundlag af en særlig hjemmel i lovgivningen, kan virksomheden mv. efter Datatilsynets praksis tillige anvende oplysningerne internt til administrative formål, der har en sammenhæng med den behandling, som der er hjemmel til.

Det afgørende er således, om der kan siges at være en sådan sammenhæng mellem det formål, der har hjemmel i lovgivningen og det andet formål, som oplysningerne ønskes behandlet til.

Det er Datatilsynets opfattelse, at anvendelse af personnummer ved udsendelse af markedsføringsmateriale – herunder et lånetilbud, der fremsendes uopfordret - ikke udgør et administrativt formål, der har en sådan sammenhæng med indberetningspligten, at behandlingen af personnummeret kan ske med hjemmel i lovgivningen om indberetningspligt til det offentlige.

Datatilsynet lægger herved navnlig vægt på, af et lånetilbud ikke i sig selv medfører nogen indberetningspligt. I de tilfælde, hvor personen ønsker at acceptere tilbuddet, vil personen selv kunne påføre sit personnummer.

Datatilsynet fastholder således sin afgørelse i den konkrete sag og foretager sig herefter ikke yderligere.

Tilsynet har hermed ikke taget stilling til, om personnummeret kan forudfyldes på et lånetilbud, der fremsendes efter aftale med den registrerede.

Kopi af dette brev er dags dato sendt til …. til orientering.