Vedrørende sletning i CPR

Publiceret 18-05-2005
Historisk afgørelse

Journalnummer: 2004-311-0406

Ved brev af 12. august 2004 har De klaget til Datatilsynet dels over, at CPR-kontoret ikke efter Deres anmodning herom har slettet bank B, teleselskab T1 og teleselskab T2 fra Deres registrering i CPR, og dels over, at de pågældende virksomheder ikke har slettet sig selv fra Deres registrering i CPR.

Ved breve af 26. august, 2. september, 21. september og 22. september 2004 er henholdsvis Indenrigs- og Sundhedsministeriet, CPR-kontoret, T1, B og T2 fremkommet med udtalelser i sagen.

De er ved brev af 29. september 2004 fremkommet med bemærkninger hertil.

Ved breve af 4. november, 5. november og 23. november 2004 er henholdsvis T2, Indenrigs- og Sundhedsministeriet, CPR-kontoret, og T1 fremkommet med supplerende udtalelser, hvilke De har kommenteret ved e-post af 11. december 2004.

De har ved e-post af 26. april 2005 til Datatilsynet fremsendt kopi af brev af samme dato til T1.

Bank B:

Det fremgår af sagen, at B har abonneret på Deres personnummer i CPR i anledning af, at De har været registreret som fuldmagtshaver til [udeladt] tilhørende foreningen [udeladt]. Foreningens konto blev ophævet den 12. november 2002, mens [udeladt] fortsat har været registreret som aktiv.

B har oplyst, at banken med øjeblikkelig virkning har slettet netbankaftalen og herved samtidig Dem som fuldmagtshaver. B’s abonnement i CPR på Dem blev slettet i oktober 2004.

B har endvidere oplyst, at bankens abonnement i CPR på kunder ophører efter indeværende år + 4 måneder, når alle registrerede kunde-/kontoforhold er ophævet. Er en kunde registeret uden at have en konto, for eksempel som fuldmagtshaver eller værge, bliver bankens abonnement slettet den 3. weekend i efterfølgende måned ved kundeforholdets ophør.

B har beklaget, at Deres kundeforhold ikke tidligere er slettet.

De har oplyst, at De anser sagen i forhold til B for afsluttet.

Teleselskab T2:

Det fremgår af sagen, at De tidligere har været kunde hos T2, og at T2 for nuværende og tidligere kunder i op til 5 år modtager oplysninger om adresseændringer fra CPR.

T2 har oplyst, at T2 principielt kan blive mødt med regningsklager i op til 5 år efter seneste faktura, hvilket er baggrunden for, at kunderne ikke slettes straks efter kundeophør. T2 har ikke særlige sletningsrutiner, men har taget initiativ til at få belyst og fastlagt interne rutiner.

De har bl.a. bemærket, at det står T2 frit for at opbevare regningsoplysninger mm. i 5 år, men at det ikke er nødvendigt til det formål, at T2 får besked om, hvornår De flytter.

T2 har hertil oplyst, at T2 abonnerer på en service fra CPR og i den anledning modtager oplysninger, som nogle gange er nyttige i forbindelse med at skulle skrive til nuværende eller tidligere kunder og nogle gange unødvendige, og at T2 ikke på forhånd har mulighed for at sondre mellem de 2 typer af oplysninger.

T2 har i øvrigt oplyst, at T2 går ud fra, at de oplysninger, som T2 modtager fra CPR-kontoret, er lovlige.

Teleselskab T1:

Det fremgår af sagen, at De er tidligere kunde hos T1, der er en filial af [udeladt] Sverige.

T1 har bl.a. oplyst, at T1 opbevarer data vedrørende Deres kontraktsmæssige og betalingsmæssige forhold både i medfør af gældende regler om opbevaring af dokumentation for regnskab og bogføring (5 år) og som dokumentation for faktureringens retsmæssighed i tilfælde af, at kunden eller anden berettiget skulle rejse indsigelse og/eller tilbagebetalingskrav vedrørende forholdet.

T1 har endvidere oplyst, at De efter markedsføringslovens § 6a har frabedt Dem markedsføring fra T1, og at T1 derfor har følt sig både berettiget og forpligtet til at opretholde fornøden opdatering af Deres adressedata gennem CPR for at sikre, at man i forbindelse med direct mail marketing kan eliminere Dem fra den adressedatabase, man anvender i det konkrete tilfælde.

T1 har oplyst, at hvis De vil afskære T1 fra denne mulighed, har T1 ingen mulighed for at for at vide, om de anvender relevante adressedata, og T1 kan dermed ikke gardere sig mod at markedsføre sig direkte over for Dem.

T1 har endelig oplyst, at de sletter registreringen i CPR, når T1 ikke længere har brug for oplysningen for at overholde markedsføringslovens § 6a.

De har hertil bl.a. oplyst, at der er tale om en cirkulær logisk fejlslutning, hvorefter enhver virksomhed for at undgå at kontakte kunder, der har frabedt sig markedsføring, nødvendigvis må modtage besked, hver gang disse kunder flytter. De har endvidere henvist til, at man i henhold til CPR-lovens § 39, stk. 3, kan frabede sig markedsføring, hvilket De har gjort.

De fastholder, at T1 skal slette abonnementet på Deres adresseoplysninger hos CPR, og at T1 er velkommen til at fjerne den registrering, de har i deres interne systemer om, at De ikke ønsker markedsføring, idet markedsføringsbeskyttelsen hos CPR giver Dem fuld beskyttelse mod T1, og at det derfor er ”dobbeltkonfekt” i forhold til Deres situation, at T1 opretholder en egen intern liste.

T1 har herefter oplyst, at T1 vil slette sin registrering af Dem.

De har ved e-post af 26. april 2005 oplyst, at T1 fortsat abonnerer på oplysninger om Dem i CPR.

Indenrigs- og Sundhedsministeriet, CPR-kontoret:

Indenrigs- og Sundhedsministeriet, CPR-kontoret, har bl.a. oplyst, at private virksomheder efter CPR-lovens § 38, stk. 1, har ret til at få leveret bl.a. aktuelle og navne- og adresseoplysninger om en større kreds af personer, som virksomheden forud har identificeret enkeltvis.

Af punkt 14 i bilag 1 til CPR-loven følger, at dataindholdet i CPR omfatter eventuelle markeringer af abonnement på personoplysninger. Behandlingen af oplysningen om abonnement er således foreskrevet i CPR-loven, hvorfor Indenrigs- og Sundhedsministeriet ikke foretager sletning af abonnement efter anmodning fra den abonnementssatte person.

Leveringen af oplysninger efter § 38, stk. 1, er betinget af, at virksomheden efter lov om behandling af personoplysninger er berettiget til at behandle oplysningerne, jf. § 38, stk. 6.

Det er således op til den enkelte virksomhed at sikre, at virksomhedens registrering af personoplysninger er i overensstemmelse med lov om behandling af personoplysninger, og at virksomheden herefter i medfør af CPR-loven kan modtage oplysninger fra CPR. Såfremt en borger finder, at en virksomhed uberettiget modtager oplysninger om borgerens personoplysninger fra CPR, må borgeren derfor selv kontakte virksomheden, som herefter selv må dokumentere, at behandlingen af oplysningerne er i overensstemmelse med lov om behandling af personoplysninger.

Det er endvidere oplyst, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, ikke finder, at ministeriet i medfør af persondataloven har pligt til at undersøge og træffe beslutning om, hvorvidt en virksomheds behandling af en borgers navne- og adresseoplysninger er i overensstemmelse med persondataloven. Denne forpligtelse påhviler efter Indenrigs- og Sundhedsministeriets opfattelse virksomheden, ligesom spørgsmålet vil kunne indbringes for Datatilsynet af borgeren.

Det er endvidere oplyst, at Indenrigs- og Sundhedsministeriet, CPR-kontoret, ikke ses at have besvaret en henvendelse fra Dem skriftligt.

De har bl.a. anført, at CPR-kontoret efter Deres opfattelse efter reglerne om god databehandlingsskik i lov om behandling af personoplysninger har en pligt til at påse, at CPR-lovens § 38, stk. 6, overholdes, og at CPR-kontoret dermed har en pligt til at undersøge sagen, såfremt en borger henvender sig og anmoder om, at en virksomhed ikke længere skal modtage oplysninger om borgeren fra CPR.

Det er endvidere Deres opfattelse, at CPR-kontoret har en pligt til at træffe beslutning om afmelding eller opretholdelse af et abonnement på adresseændringer, hvis en borger fremsætter begæring herom.

Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:

1. Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et register.

Ved “personoplysninger” forstås ifølge lovens § 3, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

Ved “behandling” forstås ifølge lovens § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysningerne gøres til genstand for. Omfattet af begrebet er f.eks. indsamling, registrering, videregivelse og opbevaring.

Behandling af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om navn og adresse, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5, om bl.a. om god databehandlingsskik, saglighed, proportionalitet og sletning.

CPR-loven indeholder i kapitel 10 bestemmelser om Indenrigs- og Sundhedsministeriets videregivelse af oplysninger til private. Efter reglen i lovens § 38, stk. 1, har aktieselskaber, anpartsselskaber, fonde, virksomheder og andre juridiske personer samt fysiske personer, der driver erhvervsvirksomhed, ret til (efter bestemmelserne i § 38 og § 40) at få leveret oplysninger i CPR om en større afgrænset kreds af personer, som de pågældende forud har identificeret enkeltvis.

Ifølge § 38, stk. 6, er det en betingelse for levering af oplysninger, at modtageren efter lov om behandling af personoplysninger er berettiget til at behandle oplysningerne.

Vedrørende bank B:

Datatilsynet har noteret sig, at B har slettet abonnementet på Dem i CPR, og at banken har beklaget, at dette ikke er sket tidligere i overensstemmelse med bankens sletterutiner.

B’s oplysninger om bankens sletterutiner giver ikke Datatilsynet anledning til bemærkninger.

Datatilsynet foretager sig på denne baggrund ikke yderligere over for B.

Vedrørende teleselskab T2:

T2 har bl.a. henvist til, at virksomheden principielt kan blive mødt med regningsklager i op til 5 år efter seneste faktura, hvilket er baggrunden for, at kunderne ikke slettes straks efter kundeophør. T2 har desuden oplyst, at virksomheden abonnerer på en service fra CPR og i den anledning modtager oplysninger, som nogle gange er nyttige i forbindelse med, at virksomheden skal skrive til nuværende eller tidligere kunder, og nogle gange unødvendige. T2 har anført, at virksomheden ikke har mulighed for at sondre mellem de to typer af oplysninger.

Det fremgår af bogføringslovens § 10, stk. 1, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Pligten for en virksomhed til efter bogføringsloven at opbevare regnskabsmateriale er begrundet i behovet for at kunne dokumentere virksomhedens økonomiske aktivitet.

T2 kan altså med hjemmel i bl.a. bogføringsloven opbevare oplysninger om tidligere kunder i op til 5 år.

Den omstændighed, at T2 efter bogføringsloven har pligt til at opbevare oplysninger om Dem i form af regnskabsmateriale, berettiger imidlertid ikke i sig selv T2 til at indsamle oplysninger fra CPR om Dem.

Datatilsynet finder, at T2 bør tilrettelægge sin indsamling af oplysninger fra CPR således, at den i videst muligt omfang sker med respekt af grundreglen i persondatalovens § 5, stk. 3, hvorefter oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og hvortil oplysningerne senere behandles.

Det er således Datatilsynets opfattelse, at T2 ikke er berettiget til at indsamle CPR-oplysninger om Dem, som er unødvendige for virksomheden.

Hvis T2 i opbevaringsperioden får behov for at kontakte Dem, vil T2 på dette tidspunkt efter Datatilsynets opfattelse være berettiget – og formentlig også forpligtet i henhold til persondatalovens § 5, stk. 4 – til at ajourføre oplysningerne, inden der rettes henvendelse til Dem.

Vedrørende T2’s henvisning til, at T2 principielt kan blive mødt med fremtidige regningsklager, er det Datatilsynets opfattelse, at det ikke er i overensstemmelse med sagligheds- og proportionalitetskravene i persondatalovens § 5, stk. 2 og 3, at T2 løbende indsamler CPR-oplysninger om tidligere kunder til brug for eventuelle fremtidige klagesager.

Datatilsynet har herved lagt vægt på, at oplysningerne vil kunne indhentes i forbindelse med en eventuel klage enten fra den klagende selv eller ved, at T2 konkret indhenter de pågældende oplysninger fra CPR.

Datatilsynet har derfor i et brev af dags dato anmodet T2 om at ophøre med at abonnere på oplysninger om Dem i CPR. Kopi af brevet vedlægges til orientering.

Vedrørende teleselskab T1:

Med hensyn til T1’s mulighed for efter persondataloven at opbevare oplysninger om Dem som tidligere kunde hos T1 henvises til det oven for anførte.

T1 har imidlertid oplyst, at opdateringen af Deres adressedata gennem CPR er begrundet i, at De efter markedsføringslovens § 6a har frabedt Dem markedsføring fra T1, og at T1 derfor har følt sig både berettiget og forpligtet til at opretholde fornøden opdatering af Deres adressedata gennem CPR for at sikre, at man i forbindelse med direct mail marketing kan eliminere Dem fra den adressedatabase, man anvender i det konkrete tilfælde.

Det følger af markedsføringslovens4 § 6a, stk. 3, at en erhvervsdrivende ikke må rette henvendelse til en bestemt fysisk person ved brug af andre midler5 til fjernkommunikation med henblik på afsætning som nævnt i stk. 1, hvis den pågældende over for den erhvervsdrivende har frabedt sig dette, hvis det fremgår af en fortegnelse, som udarbejdes af Det Centrale Personregister (CPR) hvert kvartal, at den pågældende har frabedt sig henvendelser, der sker i sådant markedsføringsøjemed, eller hvis den erhvervsdrivende ved undersøgelse i CPR er blevet bekendt med, at den pågældende har frabedt sig sådanne henvendelser. Ved telefonisk henvendelse til forbrugere gælder endvidere reglerne om uanmodet henvendelse i lov om visse forbrugeraftaler.

Efter markedsføringslovens § 22, stk. 3, straffes overtrædelse af bestemmelsen i § 6a med bøde, medmindre højere straf er forskyldt efter anden lovgivning.

Det følger af CPR-lovens § 29, stk. 3, 1. pkt., jf. lovens bilag 1, nr. 10, jf. § 4, at enhver har ret til ved henvendelse til sin bopælskommune at få indsat en markering i CPR om, at den pågældende frabeder sig henvendelser, der sker i markedsføringsøjemed.

Der udarbejdes hvert kvartal en fortegnelse (”Robinsonlisten”) over samtlige personer (bortset fra personer med navne- og adressebeskyttelse), der har en markering efter § 29, stk. 3, jf. § 40, stk. 4, og de relevante virksomheder kan efter § 40, stk. 5, abonnere på denne fortegnelse til kostpris.

I den foreliggende sag har De dels frabedt Dem markedsføring direkte over for T1 dels fået indsat en markering i CPR om, at De ikke ønsker henvendelser i markedsføringsøjemed.

Det er Datatilsynets opfattelse, at det i tilfælde, hvor en person over for en virksomhed har frabedt sig markedsføringshenvendelser, som udgangspunkt er nødvendigt for virksomheden dels at registrere dette dels løbende at gøre sig bekendt med, når og hvis personen skifter adresse eller navn, for derved at kunne opfylde sin pligt efter markedsføringsloven til ikke at markedsføre sig over for personen.

At den pågældende person tillige opretter en CPR-markering, indebærer efter Datatilsynets opfattelse ikke i sig selv, at virksomheden har pligt til at slette registreringen af, at vedkommende ikke ønsker henvendelser i markedsføringsøjemed. Datatilsynet har herved lagt vægt på, at det ikke kan antages, at den konkrete indsigelse over for virksomheden automatisk bortfalder i forbindelse med, at personen opretter en markering i CPR, idet virksomhedens forpligtelse til at undlade markedsføring over for vedkommende fortsat må antages at bestå, hvis personen efterfølgende sletter sin markering i CPR.

Det er endvidere Datatilsynets vurdering, at virksomheden i den forbindelse fortsat kan abonnere på CPR-oplysninger om den pågældende. Datatilsynet har herved bl.a. lagt vægt på, at det kan anses for uforholdsmæssigt byrdefuldt for en virksomhed, hvis den af egen drift løbende skal ophøre med at abonnere på oplysninger om en person, når denne opretter en CPR-markering, samt på ny påbegynde abonnementet, når vedkommendes CPR-markering ophører.

Datatilsynet har endvidere lagt vægt på, at det ikke kan udelukkes, at en virksomhed kan have et sagligt behov for fortsat at opdatere oplysningerne, eksempelvis såfremt en registreret person skifter navn i den periode, hvor vedkommende har en CPR-registrering.

I tilfælde, hvor en person, der har CPR-markering, anmoder en virksomhed om at slette registreringen af, at vedkommende over for virksomheden har frabedt sig markedsføring, er det imidlertid Datatilsynets opfattelse, at virksomheden bør slette registreringen heraf samt i den forbindelse ophøre med at abonnere på vedkommendes CPR-oplysninger.

Datatilsynet har derfor i brev af dags dato anmodet T1 om at slette registreringen af, at De ikke ønsker henvendelser i markedsføringsøjemed, og som følge heraf ophøre med at abonnere på oplysninger om Dem i CPR. Kopi af brevet vedlægges til orientering.

Vedrørende Indenrigs- og Sundhedsministeriet, CPR-kontoret:

Det følger af CPR-lovens § 38, stk. 1, at private virksomheder har ret til at få leveret bl.a. aktuelle og navne- og adresseoplysninger om en større kreds af personer, som virksomheden forud har identificeret enkeltvis.

Af punkt 14 i bilag 1 til CPR-loven følger, at dataindholdet i CPR omfatter eventuelle markeringer af abonnement på personoplysninger. Behandlingen af oplysningen om abonnement er således foreskrevet i CPR-loven.

Det følger af CPR-lovens § 38, stk. 6, at det er en betingelse for CPR-kon-torets levering af oplysninger efter § 38, stk. 1 - 4, at modtageren efter lov om behandling af personoplysninger er berettiget til at behandle oplysningerne.

Indenrigs- og Sundhedsministeriet, CPR-kontoret, er dataansvarlig for CPR. Dette indebærer bl.a., at Indenrigs- og Sundhedsministeriet, CPR-kontoret, efter indsigelse fra en registreret mod videregivelse af CPR-oplysninger har en pligt til at vurdere og træffe afgørelse om indsigelsens berettigelse. Der henvises herved til persondatalovens § 35, hvorefter den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Ved behandlingen af en indsigelse må Indenrigs- og Sundhedsministeriet, CPRkontoret efter Datatilsynets opfattelse vurdere videregivelsen af CPRoplysningerne i forhold til bestemmelserne i CPR-lovens § 38, herunder at modtageren efter lov om behandling af personoplysninger skal være berettiget til at behandle oplysningerne, jf. § 38, stk. 6.

Det tilføjes, at Datatilsynet i flere sager har givet udtryk for den opfattelse, at det ikke er i overensstemmelse med grundreglen om god databehandlingsskik, hvis en dataansvarlig videregiver oplysninger til en modtager, som ikke er berettiget til at indsamle og viderebehandle oplysningerne.

Datatilsynet har på denne baggrund i brev af dags dato præciseret over for Indenrigs- og Sundhedsministeriet, CPR-kontoret, at der i forbindelse med indsigelser mod videregivelse af oplysninger fra CPR må foretages en vurdering og træffes afgørelse om indsigelsens berettigelse. Kopi af brevet vedlægges til Deres orientering.

Kopi af dette brev er sendt til CPR-kontoret.