Af Kristine Mølgaard Mogensen

CPR-nummer er en almindelig personoplysning i Persondataforordningens forstand. Der er i Danmark vedtaget særregler om behandling af CPR-nummer i Databeskyttelsesloven, som trådte i kraft samtidig med Persondataforordningen.

I Databeskyttelsesloven skelnes mellem offentlige myndigheders og privates behandling af personnummer. Privates behandling omfatter i den forbindelse fysiske og juridiske personers behandling, med undtagelse af behandling, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Foreninger er som en juridisk person omfattet af reglerne om privates behandling af CPR-nummer.

Af Databeskyttelseslovens § 11, stk. 2 fremgår det om privates behandling af CPR-nummer:

”Stk. 2. Private må behandle oplysninger om personnummer, når
1)  det følger af lovgivningen,
2)  den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
3)  behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om  personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
4)  betingelserne i § 7 er opfyldt.”

Hvis det er muligt, er det mest hensigtsmæssigt at anvende mulighederne i nr. 1 og 3, da mulighed 2 om samtykke dels skal indhentes, og dels kan trækkes tilbage  (Læs mere om samtykke til behandling af personoplysninger her)

Såfremt foreningen i medfør af f.eks. skattelovgivning må behandle CPR-nummer om medlemmer eller andre, der giver gaver eller bidrag, er det retlige grundlag for behandlingen af CPR-nummer, at det følger af lovgivningen, jf. Databeskyttelseslovens § 11, stk. 2, nr. 1.

Forudsat at foreningen er en godkendt, velgørende forening, hvor en indbetaler kan opnå fradrag for gaver eller bidrag, er den relevante lovgivning Ligningslovens § 12, stk. 2 om fradrag for gaver og bidrag til velgørende foreninger, der hænger sammen med Skattekontrollovens § 8 Æ om indberetning. Af Skattekontrollovens § 8 Æ fremgår det, at indberetningen skal indeholde oplysninger til identifikation af indbetaler. Da CPR-nummer anvendes til identifikation af indbetaler over for SKAT, er det retlige grundlag for behandling af CPR-nummer, at det følger af lovgivningen, som her er Skattekontrollovens § 8 Æ.

En forening godkendt som velgørende forening kan dermed behandle CPR-nummer til brug for indberetningen. Foreningen kan således modtage gaver og bidrag samtidig med, at bidragsydere automatisk kan opnå fradrag som følge af foreningens indberetning.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for nærmere information

Af Kristine Mølgaard Mogensen

Et billede af en genkendelig person udgør en personoplysning. Derfor skal du være opmærksom, hvis du offentliggør billeder, hvor en eller flere personer er identificerbare. Handler du i udelukkende privat henseende, vil deling af billeder af genkendelige personer ikke være omfattet af de databeskyttelsesretlige regler. Det vil det til gengæld i situationer der ikke er rent personlige eller familiemæssige, fx hvis man handler som myndighed, privat virksomhed, forening eller lignende, i så fald er man dataansvarlig.

Hidtil har praksis været, at man skelner mellem portrætbilleder og situationsbilleder, hvor situationsbilleder i udgangspunktet kunne behandles uden den registreredes samtykke.
Idet man ofte kan identificere personer på situationsbilleder, og idet grænsen for hvornår der er tale om et portrætbillede kan være svær at trække, har Datatilsynet ændret sin praksis, således at den omfatter billeder, hvor man kan identificere fysiske personer og der deles således ikke op i forskellige kategorier.

På denne baggrund skal man ved offentliggørelse af billeder med identificerbare personer iagttage de persondataretlige regler, uanset om der er tale om et portrætbillede eller et situationsbillede.
Den dataansvarlige, som offentliggør et billede, er således forpligtet til at sikre, dels at der er et juridisk grundlag for offentliggørelse, og dels at de personer, som fremgår af billedet, er oplyste om, at offentliggørelsen finder sted.

Hvornår er man dataansvarlig?

En fysisk eller juridisk person, offentlig myndighed, institution eller lignende er dataansvarlig, hvis denne beslutter hvorfor og hvordan, der skal behandles personoplysninger. Hvis man som underleverandør, fx af et system, blot foretager offentliggørelsen på den ansvarliges vegne, er man databehandler.

Hvornår må man offentliggøre billeder (behandlingshjemmel)?

Man må offentliggøre billeder af identificerbare personer på internettet, når man har en behandlingshjemmel til det. I forhold til billeder på internettet vil det oftest betyde, at man enten skal have personens samtykke, eller man skal sikre sig, at man har en legitim interesse i at offentliggøre billederne, og at denne interesse ikke overskrider personens (den registreredes) interesse eller rettigheder.

Når man skal vurdere om ens interesse i at offentliggøre billedet overskrider personens interesse, skal man bl.a. lægge vægt på, om personen kan føle sig krænket, hvorvidt der er tale om børn (som skal have ekstra beskyttelse) samt eventuelle andre elementer, som kan påvirke personen. Man vil typisk kunne offentliggøre billeder af publikummer til en koncert, besøgende i en forlystelsespark eller idrætsudøvere i en sportsklub uden at skulle indhente hver enkeltes samtykke. Til gengæld kan man ikke bare offentliggøre billeder fra en natklub eller bar, ligesom man ikke kan offentliggøre billeder fra et besøg hos lægen eller banken uden samtykke.

Udover at skulle have en behandlingshjemmel, skal man også sikre sig, at de personer, der optræder på billederne, er oplyst om, at offentliggørelsen finder sted (oplysningspligt).

Kan personen modsætte sig offentliggørelsen?

Hvis den person, der fremgår af billedet, er utilfreds med offentliggørelsen, har vedkommende ret til at gøre indsigelse. Det kan ske, før billedet er blevet offentliggjort eller på et senere tidspunkt. Personen skal i så fald oplyse, hvilket billede der ønskes slettet og hvorfor. Hvis den eller de personer, der er på billedet, ikke ønsker at have billedet liggende på internettet, bør du umiddelbart fjerne det.

Styr på persondataforordningen? Book et gratis møde

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk,
hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

Af Kristine Mølgaard Mogensen

Hvordan skal man forholde sig, hvis ens virksomhed alene behandler oplysninger vedrørende ikke EU-borgere? Og er virksomheder uden for EU omfattet af GDPR?

Databeskyttelsesforordningens artikel 3 udstikker det territoriale anvendelsesområde for forordningen. Det territoriale anvendelsesområde henviser til, hvor reglerne finder anvendelse.

Virksomheder i EU, der behandler personoplysninger om ikke EU-borgere

Af artikel 3 fremgår, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen.

Med andre ord, vil en virksomhed, der er etableret i Danmark eller EU, være omfattet af databeskyttelsesforordningen, også selv om virksomheden alene behandler personoplysninger for eksempelvis amerikanske borgere.

Virksomhedens retlige form er ikke afgørende, og der kan derfor være tale om en filial, et datterselskab eller noget helt tredje. Det følger af retspraksis, at begrebet ”etableret” omfatter selv en minimal, reel og faktisk aktivitet, der udøves via en permanent struktur.

Man bør som virksomhed hermed være opmærksom på, at der skal meget lidt til, for at man betragtes som etableret i EU, og at man dermed forpligtes til at give ikke EU- borgere den samme beskyttelse som EU-borgere inden for rammerne af GDPR – uanset hvor i verden borgerne befinder sig.

Virksomheder uden for EU

Databeskyttelsesforordningens indfører en ændring i forhold til de tidligere regler ved, at forordningen finder anvendelse på behandlinger, der har virkning for fysiske personer, som befinder sig inden for EU’s grænser. Det er dermed ikke længere en betingelse, at behandlingen af personoplysninger sker med hjælpemidler inden for EU.

Anvendelsesområdet for virksomheder, der ikke er etableret i EU, er dog afgrænset til at omfatte behandlingsaktiviteter:

• der vedrører udbud af varer eller tjenester til registrerede i EU, uanset om varen eller tjenesten kræver betaling, og
• overvågning af registreredes adfærd, for så vidt deres adfærd finder sted i EU.

Idet borgere via internettet i høj grad kan tilgå varer og tjenester fra mange forskellige lande, er det centralt at undersøge, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde sine varer eller tjenesteydelser til registrerede i EU.

I denne vurdering kan bl.a. lægges vægt på, om udbyderen henvender sig konkret til EU-borgere, fx ved at tilbyde information på sprog, der overvejende benyttes i EU eller med EU-valuta. Desuden kan omtale af kunder og brugere, der befinder sig i EU tydeliggøre, at den dataansvarlige eller databehandleren henvender sig til denne målgruppe.

Det forhold, at EU-borgere har adgang til udbyderens websted, mailadresse eller andre kontaktoplysninger, eller at der anvendes et sprog, der også almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er i sig selv utilstrækkeligt til at fastslå, at den dataansvarlige eller databehandleren henvender sig til EU-kunder.

Behandling af personoplysninger vedrørende registreredes adfærd i EU er også omfattet af forordningen. Det afgørende for, hvorvidt der er tale om en overvågning er, om fysiske personer spores på internettet, fx via indsamling af IP-adresser, herunder at der benyttes teknikker til profilering, navnlig med det formål at træffe beslutning om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger. Dette forekommer eksempelvis ved online markedsføring.

Virksomheder uden for EU er dermed omfattet af GDPR i det omfang, de konkret udbyder varer eller tjenesteydelser til EU-borgere eller foretager overvågning af EU-borgere, fx med henblik på online markedsføring.

Kontakt

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.
hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

Af Kristine Mølgaard Mogensen

Samtykke benyttes i vidt omfang til behandling af personoplysninger.

I maj 2021 opdaterede Datatilsynet sin vejledning om samtykke.

Samtykke er et af flere ligestillede retlige grundlag, som en dataansvarlig kan bruge til at behandle personoplysninger. Andre retlige grundlag omfatter:

• at behandlingen af personoplysninger er nødvendig for opfyldelse af en kontrakt eller foranstaltninger der træffes forud for indgåelsen af en kontrakt
• at behandlingen er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse
• at behandlingen er nødvendig for at beskytte den registreredes eller andre fysiske personers vitale interesser
• at behandlingen er nødvendig for at udføre en opgave i samfundet interesser, herunder myndighedsudøvelse
• at behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse.

Samtykke bør alene benyttes, når den dataansvarlige ikke har et andet retlig grundlag. Årsagen hertil er, at den dataansvarlige ikke vil kunne støtte sin behandling på et andet retlig grundlag ved tilbagetrækning af et samtykke fra den registrerede.

Der er forskellige krav til et samtykke.

Tidspunkt for indhentelse af et samtykke

Et samtykke skal indhentes, inden den dataansvarlige påbegynder sin behandling af de personoplysninger, som samtykket angår.

Mundtligt eller skriftligt?

Et samtykke kan både afgives mundtligt, skriftligt eller digitalt. Det afgørende er, at den registreredes handling tydeligt tilkendegiver den registreredes hensigt, og samtykket kan derfor ikke gives stiltiende eller ved passivitet.

Det er desuden den dataansvarliges ansvar at bevise, at der er givet et gyldigt samtykke. Af denne årsag er det tilrådeligt så vidt muligt at benytte skriftlige eller digitale samtykker.

Et samtykke skal være frivilligt

Formålet med at indhente et samtykke til behandling af personoplysninger er at give den registrerede et frit valg over behandlingen. Et samtykke anses ikke for at være afgivet frivilligt, hvis det er afgivet under tvang eller en anden form for pres.

Enhver form for upassende pres eller påvirkning af den registreredes frie vilje vil derfor medføre, at samtykket ikke er gyldigt.

Man skal som dataansvarlig være særligt opmærksom på, at et samtykke afgives frivilligt, hvis der er et ulige forhold mellem parterne. Dette forekommer eksempelvis i ansættelsesforholdet, hvor den ansatte kan have en frygt for væsentlige, negative konsekvenser ved afgivelse af samtykket.

Derfor skal en arbejdsgiver undlade at indhente samtykke samtidig med, at en ny medarbejder underskriver sin ansættelseskontrakt, da det kan skabe usikkerhed omkring, hvorvidt ansættelsesforholdet er betinget af afgivelse af samtykket.

På samme måde skal man som dataansvarlig være opmærksom på, at en kontrakt, fx ved køb af en vare eller en serviceydelse, ikke gøres afhængig af et samtykke, hvis samtykket ikke er nødvendigt for købet. Dette kunne eksempelvis forekomme ved, at den dataansvarlige forudsætter, at køberen giver samtykke til at modtage et nyhedsbrev eller andre tilbud, for at købet kan gennemføres. Eller at varen bliver dyrere, hvis køberen ikke giver sit samtykke. Man må dog anse det som acceptabelt, at den dataansvarlige motiverer sine købere til at give et samtykke til fordelsprogrammer eller lignende ved at tilbyde en rabat ved afgivelse af samtykke til disse formål.

Kan man indhente oplysninger til flere formål i et samlet samtykke?

Et samtykke skal være specifikt. Dette betyder bl.a., at der skal indhentes et særskilt samtykke til hvert formål, som man ønsker at behandle personoplysningerne til. Dette følger forordningens grundlæggende princip om formålsbegrænsning og skaber gennemsigtighed for den registrerede.

Hvis man ønsker at indhente samtykke til flere formål, kan man eksempelvis opdele sit samlede samtykke, således at den registrerede får mulighed for at afkrydse hvert formål separat, fx ved brug af tjekbokse.

Desuden skal et samtykke klart kunne adskilles fra andre forhold, fx handelsbetingelser og almindelige vilkår.

Ønskes personoplysningerne efterfølgende brugt til et andet formål end det indhentede, skal der indhentes et nyt samtykke hertil.

Et samtykke skal være informeret

At et samtykke er informeret betyder, at den registrerede skal være klar over, hvad der gives samtykke til.

Det skal tydeligt fremgå af samtykketeksten:

• hvem den dataansvarlige er
• hvad formålet med behandlingen er
• hvilke oplysninger der behandles
• at den registrerede til enhver tid har ret til at trække samtykket tilbage, og hvordan dette kan gøres.

Desuden skal det meddeles, hvis oplysningerne anvendes til automatiske afgørelser, fx profilering samt om eventuelle risici ved dataoverførsel til usikre tredjelande, hvis der skal ske overførsel af persondata.

Hvad betyder det, at et samtykke ikke må afgives stiltiende eller passivt?

Et samtykke skal meddeles i form af en utvetydig tilkendegivelse. Det betyder, at der ikke må være tvivl om, hvorvidt den registrerede har givet sit samtykke.

En utvetydig tilkendegivelse kan fx ske ved, at den registrerede underskriver en samtykkeerklæring eller sætter kryds i et felt ved besøg på en hjemmeside. Generel accept af almindelige betingelser og vilkår kan ikke opfattes som en klar bekræftelse, hvorved den registrerede giver samtykke til behandling af personoplysninger.

Det kan dog godt være tilstrækkeligt, at den registrerede accepterer en forudformuleret erklæring om samtykke ved en aktiv handling. Dette kan for eksempel forekomme ved, at en person tydeligt oplyses om, at når der fx trykkes ”send” ved besvarelse af en spørgeskemaundersøgelse gives samtykke til behandling af personoplysningerne. Samtykkets gyldighed forudsætter, at den registrerede har modtaget de på-krævede oplysninger, for at samtykket kan leve op til kravet om at være informeret.

Tilbagekaldelse af samtykke

Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage.

Tilbagetrækning af samtykket skal være lige så nemt, som det var at afgive samtykket, og bør kunne ske ved brug af samme løsning som benyttet ved afgivelsen af samtykket. Desuden må der ikke være udgifter eller andre ulemper forbundet med tilbagetrækning af samtykket.

Udgangspunktet er, at den dataansvarlige skal ophøre med at behandle personoplysninger så hurtigt som muligt, efter et samtykket er tilbagekaldt. Herunder ophøre med at opbevare personoplysningerne, hvis den dataansvarlige ikke har en særlig forpligtelse hertil. Tilbagekaldelse af et samtykke berører ikke lovligheden af den behandling, der er baseret på samtykket inden tilbagekaldelsen.

Ved tilbagekaldelse af et samtykke bør den dataansvarlige vurdere, hvordan sletning af de omhandlede personoplysninger kan finde sted. Dels fordi den dataansvarlige ikke længere har et retlig grundlag for opbevaring, dels fordi den registrerede har ret til at få de personoplysninger slettet, som behandles på grundlag af det tilbagetrukne samtykke.

Der er særlige krav til indhentelse af samtykke fra børn, herunder børns samtykke indhentet i forbindelse med informationssamfundstjenester. Dette indlæg omhandler ikke disse krav.

Opsamling

• Samtykke skal alene bruges som behandlingsgrundlag for personoplysninger, hvis ikke andre ligestillede behandlingsgrundlag kan benyttes.
• En samtykkeanmodning skal være tydelig og adskilt fra øvrig tekst og vilkår.
• Et samtykke skal altid indhentes ved et aktivt tilvalg fra den samtykkendes side, og må dermed aldrig baseres på forudafkrydsede samtykkefelter eller anden vis, der baserer sig på passivitet.
• Samtykket skal være formuleret i et klart og enkelt sprog.
• Samtykket skal specificere formålet med den påtænkte behandling af person-oplysninger.
• Der skal indhentes separate samtykker til forskellige formål.
• Navnet på den dataansvarlige skal fremgå af samtykketeksten.
• Det skal tydeligt fremgå af samtykketeksten, at samtykket til enhver tid kan trækkes tilbage.
• Samtykket må aldrig afgives under tvang eller pres, herunder direkte eller indirekte.
• Samtykket må ikke være en betingelse for levering af en vare eller serviceydelse.
• Der er særlige krav til indhentelse af samtykke fra børn

Læs mere i Datatilsynets vejledning om samtykke fra maj 2021. Her findes bl.a. en tjekliste til om et samtykke er gyldigt og relevant praksis fra tilsynet.

Book et gratis møde

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk, hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

Læs også vores artikel om cookieløsninger