Behandling af personoplysninger hos Center for Seksuelt Misbrugte Øst - CSM Øst

Publiceret 18-12-2013
Historisk afgørelse

Journalnummer: 2013-42-0962

1. Anmeldelsen

Center for Seksuelt Misbrugte Øst (CSM Øst) – herefter CSMØ – har den 20. juni 2013 anmeldt behandlingen ”Sagsbehandlingssystem” til Datatilsynet.
Datatilsynet har tilrettet anmeldelsen efter aftale med CSMØ.

Det fremgår herefter af anmeldelsen, at formålet med behandlingen af personoplysninger er ”Behandling og rådgivning af voksne med senfølger efter seksuelle overgreb i barndommen samt rådgivning af pårørende til disse”.

Ifølge anmeldelsen behandler CSMØ oplysninger om følgende persongrupper i forbindelse med sine rådgivnings- og behandlingsydelser:

A) Voksne med senfølger efter seksuelle overgreb i barndommen (herefter krænkede): Identifikationsoplysninger samt oplysninger om seksuelle forhold, helbredsforhold, væsentlige sociale problemer og andre rent private forhold.

B) Pårørende1 til A (herefter pårørende): Oplysninger om helbredsforhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold samt eventuelt identifikationsoplysninger.

C) Personer, der har begået seksuelle overgreb mod A (herefter krænkere): Oplysninger om seksuelle forhold, helbredsforhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold.

Det fremgår videre, at oplysninger, der er indsamlet i forbindelse med centerets rådgivningsvirksomhed samt i forbindelse med støttende samtaler med pårørende, slettes senest 6 måneder efter registreringen. Oplysninger indsamlet i forbindelse med behandlingsforløb slettes senest 3 år efter seneste optegnelse. Dog kan oplysninger opbevares til udløbet af en lovbestemt opbevaringspligt, hvis en sådan er længere. Kommunikationen i chatrummet sker via en krypteret forbindelse. Chatsamtaler gemmes ikke.

Om sikkerhed er det anført, at oplysninger, der opbevares elektronisk, er beskyttet af adgangskode. Herudover er it-systemer beskyttet af firewalls og antivirusprogrammer. Papirudgaver af journaloptegnelser opbevares i aflåst brandskab, hvortil kun relevante medarbejdere har adgang. Chatsamtaler foregår i et lukket chatrum, hvortil kun den, der henvender sig, samt rådgiveren har adgang.

2. Datatilsynet skal – efter forelæggelse for Datarådet – udtale følgende

2. 1. Persondatalovens anvendelsesområde

Persondataloven2 gælder bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. Dette følger af lovens § 1, stk. 1.

Ved “personoplysninger” forstås enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. definitionen i lovens § 3, nr. 1.

Af forarbejderne til bestemmelsen fremgår, at udtrykket ”identificerbar person” skal forstås som en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, som f.eks. løbenummer.

Ved spørgsmålet om, hvorvidt der er tale om en personoplysning i bestemmelsens forstand, er det uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen.

Rådgivning
CSMØ har oplyst, at kontakten til centeret indledes telefonisk eller via chatfunktionen på centerets hjemmeside. Den pågældende rådgiver udfylder på baggrund af samtalen et kort, elektronisk journalark i centerets sagsbehandlingssystem, hvorpå bl.a. anføres oplysninger om kaldenavn (opgivet fornavn), alder, køn, kommune/region samt henvendelsesårsag.

Der sker ifølge CSMØ automatisk registrering af telefonnumre og ip-adresser ved centerets teleudbyder. I de tilfælde, hvor den krænkede eller en pårørende henvender sig til centeret via chatfunktionen og tilkendegiver sin relation til krænkeren eller den krænkede, kan oplysningerne således blive personhenførbare, i det omfang transmissionen af oplysninger sker ved brug en netværksenhed, som via ip-adressen kan kobles til den, der har henvendt sig.

Datatilsynet har på den baggrund vurderet, at der i forbindelse med rådgivningen behandles oplysninger om de krænkede, krænkere og pårørende i personhenførbar form, selv om centeret som udgangspunkt ikke er bekendt med disse personers fulde navne eller andre umiddelbare identifikationsoplysninger.

Behandlingsforløb
CSMØ tilbyder endvidere individuelle og gruppeterapeutiske behandlingsforløb til krænkede. Der er også mulighed for at deltage i selvhjælpsgrupper. Derudover tilbydes støttende samtaler til partnere eller andre nærtstående til de krænkede.

På baggrund af de individuelle behandlingsforløb registreres der ifølge CSMØ oplysninger i personhenførbar form om krænkede, krænkere og pårørende. Der er også her tale om oplysninger om personer, der kan være identificerbare alene i kraft af deres tilknytning til klienten. CSMØ har oplyst, at centeret ikke i forbindelse med journalføringen registrerer fulde navne eller andre identifikationsoplysninger om krænkere eller pårørende.

Der registreres ifølge CSMØ ikke oplysninger i personhenførbar form, der fremkommer under gruppeterapiforløb og i selvhjælpsgrupper.

Datatilsynet vurderer, at der i forbindelse med behandlingsforløb behandles oplysninger om de krænkede, krænkere og pårørende i personhenførbar form, selv om centeret for så vidt angår krænkere og pårørende som udgangspunkt ikke er bekendt med disse personers fulde navne eller andre umiddelbare identifikationsoplysninger.

2.2. Øvrige relevante regler i persondataloven

I bilag 1 er en beskrivelse af de øvrige regler i persondataloven, som Datatilsynet har vurderet sagen efter. Det gælder navnlig de grundlæggende principper for behandling af personoplysninger i lovens § 5, de materielle behandlingsregler i §§ 6-8 og reglerne om datasikkerhed i lovens § 41.

2.3. Behandling af følsomme oplysninger om krænkere og pårørende

2.3.1. Oplysninger omfattet af § 8, stk. 1

Private dataansvarlige kan i medfør af persondatalovens § 8, stk. 4, 1. pkt., registrere oplysninger om strafbare forhold, væsentlige sociale problemer og andre private forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske efter § 8, stk. 4, 2. pkt., hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Endvidere følger det af § 8, stk. 6, at privates behandling af sådanne oplysninger kan ske, hvis betingelserne i § 7 er opfyldt.

CSMØ har i forhold til behandling af oplysninger om pårørende oplyst, at behandlingen sker på baggrund af samtykke, i de tilfælde hvor pårørende selv henvender sig til centeret. Der behandles ifølge CSMØ også følsomme oplysninger om pårørende og krænkere uden samtykke.

Det er Datatilsynets vurdering, at der foreligger tungtvejende hensyn til de krænkede, som tilsiger, at CSMØ vil kunne behandle oplysninger om krænkeres og pårørendes strafbare forhold, væsentlige sociale problemer og andre rent private forhold efter interesseafvejningsreglen i persondatalovens § 8, stk. 4, 2. pkt. – det vil sige uden samtykke fra de registrerede – i forbindelse med rådgivning og behandling af de krænkede.

For så vidt angår oplysninger om strafbare forhold om personer, som ifølge de krænkede har begået overgrebene, er der efter Datatilsynets opfattelse imidlertid tale om oplysninger, som vanskeligt kan vurderes isoleret efter § 8, idet oplysningen om, at en person har begået overgreb, samtidig vil udgøre en oplysning om personens seksuelle forhold omfattet af persondatalovens § 7, stk. 1. Datatilsynet vurderer derfor, at sådanne oplysninger normalt ikke vil kunne behandles alene med hjemmel i interesseafvejningsreglen i § 8, stk. 4, 2. pkt., jf. i øvrigt nedenfor under punkt 2.3.2.

Der henvises til Datatilsynets vilkår for tilladelsen, jf. nedenfor punkt 4. 

2.3.2. Oplysninger omfattet af § 7, stk. 1

Efter persondatalovens § 7, stk. 2, nr. 1, kan der behandles oplysninger om bl.a. helbredsmæssige og seksuelle forhold, hvis den registrerede har givet sit udtrykkelige samtykke til en sådan behandling. Efter lovens § 7, stk. 7, kan disse oplysninger endvidere behandles, hvis behandlingen sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden (Datatilsynet) skal give tilladelse hertil og kan fastsætte nærmere vilkår for behandlingen. Hvor tilladelse meddeles, skal tilsynsmyndigheden give underretning herom til Europa-Kommis¬sionen.

Det er Datatilsynets vurdering, at der konkret er knyttet en så vigtig samfundsmæssig interesse til CSMØ’s virksomhed, at der bør gives tilladelse til, at centeret kan indsamle og registrere følsomme oplysninger om krænkeres og pårørendes helbredsmæssige og seksuelle forhold uden disses samtykke, i det omfang indsamlingen og registreringen er nødvendig for behandling og rådgivning af den krænkede.

Datatilsynet har herved bl.a. lagt vægt på, at behandlingen af sådanne oplysninger ifølge CSMØ er væsentlig i forhold til at kunne yde en effektiv rådgivning og behandling af de krænkede. Datatilsynet kan herunder umiddelbart tilslutte sig centerets vurdering af, at det normalt ikke vil være foreneligt med varetagelsen af rådgivnings- og behandlingsopgaven at stille krav om forudgående samtykke fra krænkere og pårørende efter lovens § 7, stk. 2, nr. 1, til behandling af oplysninger om dem. Endvidere er det Datatilsynets opfattelse, at den samfundsmæssige relevans understøttes af den finansielle opbakning med offentlige midler, der er til centerets virksomhed.

2.4. Behandling af følsomme oplysninger om de krænkede

CSMØ har oplyst, at behandlingen af følsomme oplysninger om de krænkede, der selv henvender sig til centeret, sker på grundlag af samtykke. CSMØ behandler imidlertid ifølge det oplyste – i et begrænset omfang – også følsomme oplysninger om de krænkede uden samtykke i forbindelse med rådgivning af og støttende samtaler med nærtstående.

Datatilsynet finder, at CSMØ’s behandling af oplysninger om væsentlige sociale problemer og andre rent private forhold vedrørende de krænkede som udgangspunkt kan behandles i medfør af interesseafvejningsregelen i § 8, stk. 4, 2. pkt. Det er herved bl.a. taget i betragtning, at behandlingen også må antages at ske i den registreredes interesse.

For så vidt angår oplysninger om de krænkedes seksuelle forhold og helbredsforhold har Datatilsynets vurderet, at der også er knyttet en sådan væsentlig samfundsmæssig interesse til CSMØ’s rådgivning af og støttende samtaler med pårørende, at der kan meddeles tilladelse efter § 7, stk. 7, til centerets behandling af disse oplysninger. Datatilsynet lægger herved vægt på, at rådgivning af og støttende samtaler med pårørende også må antages at ske i den krænkedes interesse.

Der henvises til Datatilsynets vilkår for tilladelsen, jf. nedenfor punkt 4. 

2.5. Saglighed og proportionalitet

Efter Datatilsynets opfattelse medfører persondatalovens § 5, stk. 2 og 3, om saglighed og proportionalitet i relation til oplysningerne hos CSMØ – herunder og i særdeleshed den behandling af følsomme oplysninger, som centeret foretager uden samtykke – en forpligtelse til at minimere indsamling og registrering til det absolut nødvendige. Oplysninger skal endvidere i videst muligt omfang anonymiseres eller gøres ikke umiddelbart personhenførbare.

Datatilsynet finder, at følsomme oplysninger om andre end de pårørende selv, der fremkommer i forbindelse med CSMØ’s rådgivning af pårørende (både telefonisk og via chat), ikke må opbevares i personhenførbar form. Det vil bl.a. sige, at chatkorrespondancer ikke må gemmes efter samtalernes afslutning, og at oplysningerne ikke noteres i journalark, hvis oplysningerne i arket kan henføres til andre end de pårørende selv.

Datatilsynet har noteret sig – og lægger vægt på – centerets oplysning om, at chatkorrespondancer ikke gemmes efter samtalens afslutning, og at arbejdsgangen i forbindelse med registrering af oplysninger i forlængelse af såvel telefon- som chatsamtaler vil blive tilrettelagt således, at der ikke bliver oprettet journalark i umiddelbar sammenhæng med modtagelsen af henvendelser til rådgivningen, ligesom det nøje skal overvejes, hvilke oplysninger rådgiveren nedskriver på baggrund af samtalerne.

Datatilsynet har desuden noteret sig – og lægger vægt på – centerets oplysning om, at de personer, der arbejder med rådgivning, ikke har adgang til klienternes behandlingsjournaler, og at behandling af personoplysninger i forbindelse med behandlingsforløb foretages af uddannede psykologer, der er underlagt lovbestemt tavshedspligt.

Datatilsynets skal påpege, at oplysninger, der alene er baseret på klientens udsagn, skal registreres hos CSMØ således, at det klart fremgår, at der er tale om et uverificeret udsagn fra en person og ikke en bekræftet kendsgerning.

Datatilsynet forudsætter, at centeret iagttager persondatalovens § 5 i forbindelse med behandling af oplysningerne. Tilsynet skal i den forbindelse understrege vigtigheden af, at alle centerets medarbejdere, herunder de frivillige, modtager grundig instruktion i, hvordan personoplysninger skal behandles.

Der henvises til Datatilsynets vilkår for tilladelsen, jf. nedenfor punkt 4. 

2.6. Videregivelse af oplysninger

Det følger af persondatalovens § 5, stk. 2, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Dette indebærer efter Datatilsynets opfattelse, at de følsomme oplysninger, som CSMØ indsamler og registrerer – under hensyntagen til karakteren af oplysningerne og til det ganske særlige formål, der begrunder behandlingen – ikke uden samtykke kan videregives eller behandles til andre formål end de, der varetages af centret. Dette gælder dog ikke i de tilfælde, hvor pligtmæssig videregivelse følger af lov.

3. De registreredes rettigheder

Ud over de regler i persondataloven, som er beskrevet i bilag 1, skal Datatilsynet generelt henlede opmærksomheden på persondatalovens kapitel 8-10 om de registreredes rettigheder, som er uddybet i rettighedsvejledningen3

Datatilsynet skal understrege, at persondatalovens regler om registreredes rettigheder skal iagttages i forbindelse med CSMØ’s virksomhed.

De nævnte regler omhandler bl.a. den dataansvarliges oplysningspligt over for den registrerede, den registreredes ret til indsigt og indsigelse samt den registreredes ret til at få berigtiget, slettet eller blokerer oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med loven.

Som nævnt ovenfor i afsnit 2.2. er det Datatilsynets vurdering, at CSMØ behandler personhenførbare oplysninger om krænkede, krænkere og pårørende omfattet af persondataloven, hvilket som udgangspunkt indebærer, at der udløses oplysningspligt i medfør af lovens §§ 28 og 29.

Der gælder i medfør af § 29, stk. 2, og § 30 en række undtagelser til oplysningspligten. Det afhænger af en konkret vurdering i hvert enkelt tilfælde, om en eller flere undtagelser kan finde anvendelse.

Det følger af lovens § 35, stk. 1, at den registrerede til enhver tid over for den dataansvarlige kan gøre indsigelse mod, at oplysninger om den pågældende gøres til genstand for behandling.

I de tilfælde, hvor den dataansvarlige finder, at en indsigelse mod behandling af oplysninger er berettiget, følger det af lovens § 35, stk. 2, at den iværksatte behandling ikke længere må finde sted for så vidt angår oplysninger om den registrerede.

Hvis den dataansvarlige derimod finder, at en indsigelse ikke skal imødekommes, kan den dataansvarlige fortsætte behandlingen indtil det tidspunkt, hvor Datatilsynet eventuelt måtte træffe afgørelse om, at indsigelsen var berettiget. Indsigelser skal i alle tilfælde noteres på sagen.

4. Vilkår

Idet Datatilsynet forudsætter, at CSMØ iagttager persondatalovens regler, jf. ovenfor punkt 2 og 3, er tilsynet herefter indstillet på at meddele tilladelse til behandlingen “Sagsbehandlingssystem”.

Tilladelse vil blive givet på følgende vilkår:

1. Indsamling, registrering og anden behandling af følsomme oplysninger om krænkede skal som udgangspunkt ske med den registreredes udtrykkelige samtykke. Samtykket skal opfylde persondatalovens krav, jf. persondatalovens § 7, stk. 2, nr. 1, og § 8, stk. 4, jf. § 3, nr. 8.

2. Indsamling og registrering af følsomme oplysninger om krænkede, krænkere og pårørende kan ske uden samtykke i det omfang, indsamlingen og registreringen er nødvendig af hensynet til rådgivningscenterets rådgivning og behandling af sine klienter, jf. persondatalovens § 7, stk. 7, og § 8, stk. 4, 2. pkt.

3. Databehandlingen af oplysningerne hos CSMØ skal minimeres til det absolut nødvendige, jf. persondatalovens § 5, stk. 2 og 3. I den forbindelse skal oplysningerne i videst muligt omfang gøres anonyme eller ikke umiddelbart personhenførbare. Oplysninger, der alene baseres på andres udsagn, skal registreres således, at det klart fremgår, at der er tale om et udsagn fra en person og ikke en bekræftet kendsgerning.

4. Følsomme oplysninger om andre end den pårørende selv, der registreres i forbindelse med rådgivning af pårørende via chat og telefon, må ikke opbevares hos CSMØ i personhenførbar form.
 
5. Videregivelse af følsomme oplysninger kan alene ske med den registreredes udtrykkeligt samtykke, eller hvis en pligtmæssig videregivelse følger af lov eller af bestemmelser fastsat i medfør af lov. Et samtykke skal opfylde persondatalovens krav.

6. Oplysninger, der er indsamlet i forbindelse med centerets rådgivningsvirksomhed samt i forbindelse med støttende samtaler med pårørende, skal slettes senest 6 måneder efter registreringen. Oplysninger indsamlet i forbindelse med behandlingsforløb skal slettes senest 3 år efter seneste optegnelse. Dog kan oplysninger opbevares til udløbet af en lovbestemt opbevaringspligt, hvis en sådan er længere.

7. Håndtering af følsomme oplysninger skal ske under iagttagelse af de i bilag 2 beskrevne sikkerhedsregler.

Ovenstående vilkår gælder indtil videre. Datatilsynet forbeholder sig ret til at tage vilkår op til revision, hvis der skulle vise sig behov for det.

Datatilsynet må endvidere forbeholde sig sin stillingtagen til CSMØ’s konkrete behandling af personoplysninger; f.eks. i tilfælde af en eventuel klagesag eller inspektion.

Eventuelle ændringer i de forhold, der er omfattet af anmeldelsen, skal meddeles Datatilsynet i overensstemmelse med persondatalovens §§ 46 og 51.

5. Afsluttende bemærkninger

Datatilsynet skal henlede opmærksomheden på, at gebyr for tilladelsen udgør 2.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2. Beløbet bedes indbetalt til Danske Bank, Holmens Kanal 2-12, 1092 København K, reg.nr. 0216 kontonummer 4069058132.  Der bedes i den forbindelse henvist til journalnummer 2013-42-0962, så Datatilsynet kan identificere indbetalingen.

Endelig tilladelse vil blive udstedt, når Datatilsynet har modtaget betaling.

Datatilsynet skal for god ordens skyld bemærke, at tilsynet i forbindelse med udstedelse af en endelig tilladelse i sagen vil underrette Europa-Kommis¬sion¬en herom, jf. persondatalovens § 7, stk. 7. Endvidere agter tilsynet at offentliggøre dette brev på sin hjemmeside.


Bilag 1: Beskrivelse af særligt relevante regler i persondataloven

1. Grundlæggende principper - krav om formålsbestemthed, saglighed og proportionalitet

Persondatalovens § 5 indeholder en række grundlæggende databeskyttelsesretlige principper for den dataansvarliges behandling af oplysninger, som altid skal iagttages.

Det fremgår således af lovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Af persondatalovens § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Persondatalovens § 5, stk. 2, 1. pkt., 2. led, medfører således, at de oplysninger om bl.a. pårørende, som centret indsamler og registrerer, under hensyntagen til karakteren af oplysningerne, og til det ganske særlige formål, der er begrundelsen for behandlingen, ikke kan behandles til andre formål end de, der varetages af rådgivningscentret. Herudover sætter persondatalovens øvrige regler grænser for, hvilken behandling oplysningerne kan undergives.

Persondatalovens § 5, stk. 2, er imidlertid ikke til hinder for, at oplysningerne senere behandles alene i historisk, statistisk eller videnskabeligt øjemed, jf. bestemmelsens sidste punktum.

Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Af § 5, stk. 4, følger endvidere, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Det følger endelig af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

2. Persondatalovens behandlingsregler

2.1. Almindelige, ikke-følsomme oplysninger

Efter § 6, stk. 1, nr. 1, må behandling af almindelige, ikke-følsomme oplysninger finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil. De nærmere krav til et sådant samtykke findes i lovens § 3, nr. 8, se nedenfor.

Efter lovens § 6, stk. 1, nr. 7, må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt.
Den dataansvarlige eller den tredjemand, til hvem oplysninger videregives, vil også kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.

Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling, der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives m.v. Der vil endvidere skulle henses til, hvilken type oplysninger, der er tale om.

2.2. Følsomme oplysninger

Ifølge lovens § 7, stk. 1, må der som udgangspunkt ikke behandles oplysninger om bl.a. helbredsmæssige forhold  dvs. en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug.

Efter § 7, stk. 2, må behandling af sådanne oplysninger dog bl.a. ske, hvis 

• den registrerede har givet sit udtrykkelige samtykke til en sådan behandling (§ 7, stk. 2, nr. 1),
• behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke (§ 7, stk. 2, nr. 2),
• hvis behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede (§ 7, stk. 2, nr. 3) eller
• hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares (§ 7, stk. 2, nr. 4).

Det følger endvidere af lovens § 7, stk. 5, at bestemmelsen i stk. 1 ikke finder anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Endelig fremgår det af § 7, stk. 7, at undtagelse fra bestemmelsen i stk. 1 endvidere kan gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til Europa-Kommissionen.

Desuden følger det af § 8, stk. 4, at private kun må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Efter § 8, stk. 6, kan behandling af oplysninger i de tilfælde, der er reguleret i § 8, stk. 1, 2, 4 og 5, i øvrigt finde sted, hvis betingelserne i § 7 er opfyldt.

3. Persondatalovens krav til samtykke

I persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.

Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.

Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.

Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.

Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.

4. Datasikkerhed

Lovens kapitel 11 indeholder regler om behandlingssikkerhed. I § 41, stk. 1, er det fastsat, at personer, virksomheder m.v., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.

Det følger desuden af § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Der skal således træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

Det indebærer bl.a. at kun de medarbejdere, der er beskæftiget med de formål, hvortil oplysningerne behandles, må have adgang til oplysningerne/journal¬erne. Andre uvedkommende personer – også øvrige medarbejdere hos den dataansvarlige virksomhed – må ikke have adgang til oplysningerne.

Persondatalovens § 41, stk. 3, indebærer desuden at medarbejdere, som udfører behandlingen, ved uddannelse, instruktion mv. skal bibringes den nødvendige viden. For at behandlingen kan ske sikkerhedsmæssigt korrekt, skal medarbejderne have kendskab til de gældende sikkerhedsregler.


Bilag 2: Sikkerhedsregler for behandling af personoplysninger

1. Generelle sikkerhedsbestemmelser

1.1. Den dataansvarlige skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i virksomheden til uddybning af de regler, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i virksomheden.

1.2. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af punkt 1.1.

1.3. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

1.4. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Transmission af følsomme personoplysninger over det åbne net skal altid ske krypteret.

1.5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at persondatalovens § 41, stk. 3, overholdes.

2. Autorisation og adgangskontrol

2.1. Kun de personer, som autoriseres hertil, må have adgang til personoplysninger. Autorisationer til adgang til personoplysninger, der behandles ved hjælp af edb, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.

2.2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.

2.3. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 2.1. og 2.2. Kontrol heraf skal foretages mindst en gang hvert halve år.

2.4. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.

2.5. Der skal foretages registrering af alle afviste forsøg på adgang til edb-systemer med personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.

 

1 Andre pårørende end krænkeren.
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
3Justitsministeriets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger