Socialdemokraternes anvendelse af medlemsoplysninger

Publiceret 16-02-2004
Historisk afgørelse

Journalnummer: 2003-631-0106

Ved brev af 13. november 2003 har Socialdemokraterne anmodet Datatilsynet om at tage stilling til, hvorvidt organisationen vil kunne udsende markedsføringsmateriale på vegne af virksomheder og organisationer uden samtykke fra det enkelte medlem.

Socialdemokraterne har endvidere bedt Datatilsynet om at tage stilling til følgende supplerende spørgsmål:

  1. Er der forskel på menige medlemmer og medlemmer med valgte tillidsposter?
  2. Må Socialdemokraterne udlevere lister med navn og telefonnummer på valgte tillidsfolk, f.eks. formænd og hovedbestyrelsesmedlemmer, til f.eks. pressen?
  3. Hvilke tillidsmænd i Socialdemokraterne kan rekvirere lister over de medlemmer, der er relevante for deres organisationsled?
  4. Er det lovligt at fremsende adressefiler til postvæsenet for at få udbragt organisationens medlemsblad?

Socialdemokraterne har fremsendt organisationens love og vedtægter, hvoraf det bl.a. fremgår, at Socialdemokraternes formål er at virke for demokratiske socialistiske ideers udbredelse og anerkendelse i henhold til partiets programmer og at fremme økonomiske, kulturelle og politiske interesser i overensstemmelse med idegrundlaget.

Spørgsmålet om, hvorvidt Socialdemokraterne til sine medlemmer kan udsende markedsføringsmateriale på vegne af virksomheder og organisationer har været behandlet på et møde i Datarådet. Datatilsynet skal herefter udtale følgende:

Udsendelse af markedsføringsmateriale på vegne af

Oplysninger om navn og adresse på medlemmerne af en politisk forening må efter Datatilsynets opfattelse betragtes som oplysninger om det pågældende medlems politiske overbevisning.

Efter persondatalovens § 7, stk. 1, må der ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssig tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

I § 7, stk. 2-7, er der fastsat en række undtagelser til behandlingsforbudet i § 7, stk. 1. Efter persondatalovens § 7, stk. 4, 1. pkt., kan en stiftelse, forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne.

Af bemærkningerne til bestemmelsen fremgår bl.a., at i kravet om, at behandlingen af oplysninger skal ligge inden for rammerne af organisationens virksomhed, ligger, at der skal være tale om behandling af oplysninger, som ikke står i modstrid med organisationens formål, således som dette måtte fremgå af bl.a. organisationens vedtægter.

Behandlingen skal tillige opfylde betingelserne om god databehandlingsskik, jf. persondatalovens § 5. Efter § 5, stk. 2, skal indsamling af oplysninger ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål.

Det er som udgangspunkt Socialdemokraterne, der som dataansvarlig skal vurdere, om behandlingen af medlemmernes oplysninger ligger inden for organisationens virksomhed og formål.

Det er derfor Datatilsynets opfattelse, at Socialdemokraternes behandling af medlemsoplysninger til udsendelse af markedsføringsmateriale på vegne af virksomheder og organisationer kan ske efter persondatalovens § 7, stk. 4, 1. pkt., og § 5, stk. 2, hvis denne behandling vurderes at ligge inden for rammerne af organisationens formål. Dette gælder uanset, om der er tale om menige medlemmer eller medlemmer med valgte tillidsposter.

Om der i en given situation kan behandles medlemsoplysninger til udsendelse af markedsføringsmateriale, må således efter Datatilsynets opfattelse bero på en konkret vurdering af det pågældende markedsføringsmateriale sammenholdt med organisationens virksomhed og formål.

Datatilsynet skal i den forbindelse gøre opmærksom på, at det følger af persondatalovens § 35, stk. 1, at den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Hvis indsigelsen er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger, jf. § 35, stk. 2.

Det er den dataansvarlige, som skal foretage en konkret vurdering af, om en indsigelse må anses for berettiget.

Datatilsynet finder, at Socialdemokraterne bør informere sine medlemmer om retten til at gøre indsigelse efter persondatalovens § 35.

Det bemærkes, at Datatilsynet ikke har taget stilling til, om Socialdemokraternes udsendelse af markedsføringsmateriale til medlemmerne er reguleret af markedsføringslovens § 6a. Dette spørgsmål henhører under Forbrugerombudsmandens kompetence.

Videregivelse af medlemsoplysninger

Det følger af persondatalovens § 7, stk. 4, 2. pkt., at videregivelse af medlemsoplysninger kun kan finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil, eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3. Samtykket skal opfylde kravene i lovens § 3, nr. 8.

Videregivelse kan imidlertid ske uden samtykke, hvis behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, jf. lovens § 7, stk. 2, nr. 3. Af bemærkningerne til bestemmelsen fremgår, at offentliggørelse foreligger, hvis oplysningerne er bragt til kundskab hos en bredere kreds af personer. Det er endvidere en betingelse, at oplysningerne er offentliggjort på den registreredes foranledning.

Det er herefter Datatilsynets vurdering, at Socialdemokraterne alene kan videregive oplysninger om navne og telefonnumre på organisationens valgte tillidsfolk til f.eks. pressen, hvis det enkelte medlem har givet udtrykkeligt samtykke hertil, jf. § 7, stk. 4, 2. pkt. Videregivelse kan dog ske uden samtykke, hvis oplysningerne er blevet offentliggjort af den registrerede selv, jf. § 7, stk. 2, nr. 3.

Med hensyn til Socialdemokraternes videregivelse af medlemsoplysninger til organisationens valgte tillidsmænd finder Datatilsynet ikke på det foreliggende grundlag at kunne tage endelig stilling til, om en sådan videregivelse i hvert enkelt tilfælde kan ske i overensstemmelse med persondatalovens regler. Afgørende herfor er bl.a., hvilke oplysninger der ønskes videregivet samt til hvilke formål. Det beror på en konkret vurdering i hvert enkelt tilfælde.

Det kan således heller ikke udelukkes, at en videreformidling til tillidsmændene ikke skal betragtes som en videregivelse, men som en intern overladelse (brug) af oplysningerne. I så fald vil overladelsen i vidt omfang kunne finde sted. Om der er tale om en sådan intern brug af oplysningerne, afhænger af en konkret vurdering, hvorunder også organisationens love og vedtægter skal vurderes.

Datatilsynet er umiddelbart af den opfattelse, at der ofte vil kunne være tale om en intern overladelse, og at behandlingen derfor kan ske inden for rammerne af persondatalovens § 7, stk. 4, 1. pkt., men Socialdemokraterne må som dataansvarlig foretage en konkret vurdering i forhold til den ønskede brug af medlemsoplysningerne.

Overladelse af adressefiler til postvæsenet

Efter persondatalovens § 3, nr. 5, er en databehandler den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

En databehandler kan på vegne af den dataansvarlige behandle de samme personoplysninger, som den dataansvarlige, når det alene sker efter instruktion fra den dataansvarlige, og oplysningerne ikke behandles til egne selvstændige formål.

Datatilsynet finder, at der foreligger en situation, hvor postvæsenet må betragtes som databehandler for Socialdemokraterne i forbindelse med udsendelse af organisationens medlemsblad.

Socialdemokraterne kan i medfør af persondatalovens § 7, stk. 4, 1. pkt., behandle oplysninger om sine medlemmers navne og adresser i forbindelse med udsendelse af organisationens medlemsblad, og Socialdemokraterne kan derfor ligeledes overlade disse oplysninger til postvæsenet i forbindelse med, at postvæsenet varetager denne udsendelse på vegne af organisationen.

Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i persondatalovens § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker, jf. lovens § 42, stk. 1.

Det følger heraf, at Socialdemokraterne aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos postvæsenet.

Det fremgår endvidere af persondatalovens § 41, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.