Persondata - og hvad så?

Transkript

1

2 Persondata - og hvad så? Oktober 2005

3 Persondata og hvad så? Persondata og hvad så? Henvendelse om publikationen kan ske til: Personalestyrelsen Frederiksholms Kanal København K Tlf Elektronisk publikation: ISBN: Publikationen kan hentes på Personalestyrelsens hjemmeside

4 Indhold Persondata og hvad så? Lovens overordnede ramme for databehandling Behandling af personoplysninger før ansættelsen Ansøgningerne er modtaget...10 Indhentning af supplerende oplysninger fra ansøger...11 Indhentning af supplerende oplysninger fra andre...12 Stillingen er besat hvad med resten af ansøgerne? Behandling af personoplysninger under ansættelsen Indhentning af supplerende oplysninger fra den ansatte...14 Aflønning af ansatte...14 Fravær...15 Registreringssystemer...16 Andre registreringer af ansatte...17 Indhentning af supplerende oplysninger fra andre...17 Offentliggørelse af oplysninger Behandling af personoplysninger efter ansættelsens ophør Behandlingssikkerhed Oversigt over den ansattes rettigheder Arbejdsgiverens oplysningspligt Anmeldelse til Datatilsynet Hvad skal anmeldes?...27 Hvordan anmelder man? Definitioner Her kan du læse mere Bilag: Persondataloven... 33

5 Persondata og hvad så? Persondata og hvad så? Loven om behandling af personoplysninger, persondataloven, gælder i alle tilfælde, hvor offentlige myndigheder behandler oplysninger om enkeltpersoner elektronisk, eller hvor disse oplysninger indgår i et papirbaseret register. Loven har derfor betydning i forbindelse med den overvejende del af sagsbehandlingen i en offentlig personaleadministration. Hvis oplysningerne er anonyme og dermed ikke, selv om de kombineres med andre oplysninger, kan henføres til bestemte personer, finder loven ikke anvendelse. Persondataloven omhandler ikke direkte forholdet mellem arbejdsgiver og ansat, men har til hensigt at beskytte det enkelte individ i alle situationer, hvor behandling af personoplysninger finder sted. Lovens regler kan derfor umiddelbart være vanskelige at omsætte til konkrete situationer i et ansættelsesforhold. Denne pjece er tænkt som en hjælp hertil. Pjecen henvender sig til personaleadministrative medarbejdere i staten og inddrager derfor kun de regler fra persondataloven, der gælder for offentlige myndigheder, og som samtidig er relevante for en personaleadministration. Fokus rettes i den forbindelse mod håndtering af personaleoplysninger i nogle typiske situationer før, under og efter ansættelse af medarbejdere. Spørgsmål om arbejdsgiveres adgang til forskellige former for overvågning af ansatte bliver ikke behandlet i denne pjece. Vedrørende dette emne henvises til Datatilsynets Værd at vide - tekster herom, se 5

6 Persondata og hvad så? Denne pjece supplerer Finansministeriets personaleadministrative vejledning (kapitel 9) og Datatilsynets vejledninger, Værd at vide - tekster, praksis mv. Definitioner af lovens vigtigste begreber findes bagerst i pjecen.

7 Lovens overordnede ramme 1. Lovens overordnede ramme for databehandling (se definitioner i afsnit 9) Når du håndterer personoplysninger, skal du først gøre dig klart, om du overhovedet må behandle dem. For at du må behandle personoplysninger, skal der være et specifikt sagligt formål med behandlingen, og oplysningerne skal være nødvendige og relevante for formålet. Derudover skal yderligere nogle betingelser være opfyldt, alt afhængig af hvilken type oplysninger der er tale om. Loven omtaler tre typer personoplysninger: Ikke-følsomme oplysninger, følsomme oplysninger og oplysninger om andre rent private forhold. Forudsat, at behandlingen er saglig og nødvendig, kan alle tre typer oplysninger behandles, hvis den registrerede (typisk den ansatte) har givet sit udtrykkelige samtykke. Alle tre typer oplysninger kan ligeledes typisk behandles, hvis den registrerede selv har offentliggjort oplysningen, dvs. har gjort en bredere kreds af personer bekendt med oplysningen, f.eks. gennem tv, aviser el.lign. Hvis den registrerede ikke har givet sit samtykke eller på eget initiativ offentliggjort oplysningen, er udgangspunktet, at du ikke må behandle følsomme oplysninger. 7

8 Persondata og hvad så? Du kan dog behandle denne type oplysninger, hvis behandlingen er nødvendig for, at det kan fastlægges, om du som arbejdsgiver eller den ansatte har et retskrav, eller hvis behandlingen er nødvendig for at opfylde anden lovgivning. Oplysninger om fagforeningsmæssige forhold kan du herudover behandle, hvis det er nødvendigt for at overholde en arbejdsretlig forpligtelse, f.eks. som følge af overenskomst/organisationsaftale eller en individuel kontrakt. Hvis den registrerede ikke har givet sit samtykke eller på eget initiativ offentliggjort oplysningen, er udgangspunktet tilsvarende, at du ikke må behandle oplysninger om andre rent private forhold. Som noget særligt for den offentlige forvaltning gælder imidlertid, at du uden samtykke fra den ansatte må behandle sådanne oplysninger, hvis det er nødvendigt for varetagelsen af myndighedens opgaver. Det er i den forbindelse vigtigt at være opmærksom på, at behandling af blandt andet følsomme oplysninger og oplysninger om andre rent private forhold skal anmeldes til Datatilsynet, jf. afsnit 8. De ikke-følsomme personoplysninger må i videre omfang end følsomme oplysninger og oplysninger om andre rent private forhold behandles, selv om den ansatte ikke har givet sit samtykke. Du kan således behandle ikke-følsomme oplysninger, når det er nødvendigt for at overholde en retlig forpligtelse, der påhviler dig som arbejdsgiver i medfør af lov eller bekendtgørelse, eller når det er nødvendigt for, at du som arbejdsgiver kan opfylde en aftale, som den ansatte er part i. Endelig må du behandle sådanne oplysninger, når det er nødvendigt for, at du som arbejdsgiver eller den, som du

9 Lovens overordnede ramme eventuelt videregiver oplysningerne til, kan forfølge en berettiget interesse, og hensynet til den ansatte ikke overstiger denne interesse. Som et eksempel på behandling (videregivelse af oplysninger) som følge af en forpligtelse pålagt ved lov kan nævnes bestemmelsen i tjenestemandsloven om, at ansøgere til en tjenestemandsstilling og organisationer, hvis medlemmer er naturlige ansøgere til stillingen, med visse undtagelser kan få udleveret en liste med oplysning om ansøgernes navne og eventuelt tillige andre personlige data (dog ikke personnummer), der er nødvendige for at identificere de enkelte ansøgere. Persondatalovens forhold til anden lovgivning Det er vigtigt at være opmærksom på, at regler om behandling af personoplysninger i andre love, som giver den registrerede en bedre retsstilling end persondataloven, går forud for reglerne i persondataloven. Som eksempler på love, der regulerer spørgsmålet om behandling af personoplysninger, og som har betydning for ansættelsesforhold i det offentlige, kan nævnes helbredsoplysningsloven, forvaltningsloven og loven om det fælles lønindeholdelsesregister. 9

10 Persondata og hvad så? 2. Behandling af personoplysninger før ansættelsen Ansøgningerne er modtaget I forbindelse med en ansættelse får en arbejdsgiver kendskab til mange oplysninger om de enkelte ansøgere. Der vil typisk være tale om ikke-følsomme oplysninger, såsom navn, adresse og uddannelse mv. (for så vidt angår personnummer se under afsnit 3). Derudover vil arbejdsgiveren i nogle tilfælde få kendskab til visse følsomme oplysninger, f.eks. om ansøgerens helbredsmæssige forhold. I en normal ansættelsessituation vil det altid have et specifikt sagligt formål, at arbejdsgiveren behandler de personoplysninger, som fremgår af ansøgningerne, og disse oplysninger vil som regel være både nødvendige og relevante for, at arbejdsgiveren kan bedømme, om ansøgeren er egnet til jobbet. Du vil derfor kunne behandle disse oplysninger. Ansøgningerne kan således journaliseres eventuelt på en samlet sag og de personer, der medvirker i ansættelsesproceduren for den eller de stillinger, ansøgningen vedrører, kan behandle oplysningerne. Oplysningerne må ikke uden samtykke fra ansøgeren behandles af personer i institutionen, som ikke medvirker i ansættelsesproceduren, da persondataloven også gælder for den interne behandling af personoplysninger (se om behandlingssikkerhed i afsnit 5).

11 Før ansættelsen Indhentning af supplerende oplysninger fra ansøger Som arbejdsgiver kan du have behov for at indhente yderligere oplysninger om en ansøger. I de fleste tilfælde vil det være mest nærliggende, at sådanne oplysninger indhentes fra den pågældende ansøger selv, eventuelt i forbindelse med ansættelsesinterviewet. Oplysninger indhentet i denne situation vil blive omfattet af loven, hvis de behandles elektronisk, f.eks. i tilfælde af en senere renskrivning af noter på computer, eller hvis de indgår i et register, f.eks. en sammenskrevet oversigt over ansøgerne. Disse oplysninger vil kunne behandles i forbindelse med ansættelsesproceduren. Du kan også indhente supplerende oplysninger om ansøgerne ved hjælp af tests. Ofte vil disse tests skulle udfyldes og gennemføres på computer eller via internettet. I så fald er de omfattet af persondataloven. På baggrund af et samtykke kan en ansøger deltage i en sådan test. Du skal i den forbindelse være opmærksom på, at samtykket også skal omfatte den videre behandling, f.eks. bedømmelse af en erhvervspsykolog. Også i en test må der kun stilles spørgsmål vedrørende forhold, som er relevante og nødvendige i henseende til det saglige formål altså ansættelsen. Du skal i den forbindelse være opmærksom på, at anvendelse af tests ofte vil indebære behandling af følsomme oplysninger. 11

12 Persondata og hvad så? Indhentning af supplerende oplysninger fra andre Forvaltningslovens regler om sager, der rejses ved ansøgning, gælder forud for persondataloven ved indhentning af supplerende oplysninger fra andre om en stillingsansøger. Det betyder, at du, bortset fra særlige situationer, ikke uden et samtykke vil kunne indhente oplysninger om ansøgerens rent private forhold fra andre forvaltningsmyndigheder, f.eks. om helbredsforhold eller misbrug af nydelsesmidler. For så vidt angår oplysninger om strafbare forhold, er det vigtigt at gøre sig klart, om en indsamling er saglig og nødvendig. En eventuel indsamling af sådanne oplysninger er reguleret i bekendtgørelsen om behandling af personoplysninger i Kriminalregistret. Det gælder som altovervejende hovedregel, at der kræves samtykke for at få oplysninger videregivet fra Kriminalregistret. For så vidt angår indhentning af andre oplysninger, som ikke er omfattet af anden lovgivning, gælder persondatalovens regler. Vær i øvrigt altid opmærksom på, at selv om der indhentes oplysninger efter anden lovgivning, skal den videre behandling af oplysningerne altid ske efter persondatalovens regler, herunder reglerne om oplysningspligt.

13 Før ansættelsen Stillingen er besat hvad med resten af ansøgerne? Hvis du som arbejdsgiver, efter at stillingen er besat, ønsker at beholde nogle af de ikke-valgte ansøgeres oplysninger med henblik på straks eller senere at kunne kontakte dem vedrørende andre ledige stillinger, er dette et sagligt formål, til hvis opfyldelse behandlingen (opbevaring) er nødvendig og relevant. Det kan dog efter omstændighederne være nødvendigt at indhente et samtykke fra ansøgerne til at opbevare deres oplysninger (ansøgning med tilhørende bilag) med dette nye formål for øje. 13

14 Persondata og hvad så? 3. Behandling af personoplysninger under ansættelsen Som arbejdsgiver kan du også under ansættelsen have behov for at behandle herunder indsamle oplysninger om de ansatte. Afgørende for, i hvilket omfang dette kan ske, er som sædvanlig først og fremmest, om der er et specifikt sagligt formål med behandlingen, og om de ønskede oplysninger er nødvendige og relevante for dette formål. Dernæst må du se på, hvilken kategori den ønskede oplysning tilhører. Indhentning af supplerende oplysninger fra den ansatte Også under ansættelsen vil det være mest nærliggende at indhente de ønskede oplysninger direkte fra den ansatte. Nogle af de oftest forekommende tilfælde omtales i det følgende. Aflønning af ansatte Kontonummer, skatteoplysninger mv. Udbetaling af løn er en tilbagevendende begivenhed i et ansættelsesforhold, og det vil derfor være sagligt, at du indhenter og opbevarer oplysninger om f.eks. de ansattes kontonumre og skatteoplysninger, så længe opbevaringen sker i personale- eller lønafdelingen. Det samme gælder for andre oplysninger af betydning for lønberegningen. Personnummer Behandling herunder indsamling og opbevaring af ansattes personnumre kan ske med henblik på en entydig identifikation eller som journalnummer. Oplysninger om personnummer vil f.eks.

15 Under ansættelsen kunne behandles herunder opbevares - i lønafdelingen med henblik på skatteindeholdelse. Fravær Sygdom Oplysninger om omfanget af de ansattes sygefravær er ikke helbredsoplysninger og kan derfor behandles som ikke-følsomme oplysninger. Det er dog en forudsætning, at sygdommens art ikke nævnes i den forbindelse. Dette svarer typisk til de sygefraværsoversigter, en arbejdsgiver ofte fører for sine ansatte. Som arbejdsgiver har du altid ret til at få oplyst, om fravær skyldes sygdom, men du har ikke dermed krav på at blive informeret om sygdommens art. En arbejdsgiver kan dog efter helbredsoplysningsloven have ret til at modtage oplysninger om sygdommens karakter fra den ansatte eller dennes læge, og efter dagpengeloven kan en arbejdsgiver, hvis det skønnes nødvendigt, forlange en lægeerklæring fra den sygemeldte, der indeholder oplysninger om, hvilke arbejdsfunktioner den pågældende ikke kan udføre. I de situationer, hvor en ansat har pligt til at oplyse om sygdom og symptomer, vil du som arbejdsgiver som udgangspunkt også have ret til at behandle oplysningerne. Graviditet, barsel og adoption En ansats oplysninger om graviditet, fødselstidspunkt, barsel og adoption kan behandles til brug for konstatering af den pågældendes rettigheder og pligter og for indgåelse af eventuelle aftaler i 15

16 Persondata og hvad så? forbindelse med placering af orlov mv. Dette gælder også, når oplysningerne vedrører den af forældrene, der ikke er ansat. Oplysningerne vil kunne videregives, f.eks. til kommunen og Barselsfonden, når dette er en forudsætning for, at du som arbejdsgiver kan gøre et retskrav gældende, herunder f.eks. krav om refusion. Omsorgsdage Oplysninger om omsorgsdage kan tilsvarende behandles, i det omfang dette er nødvendigt af hensyn til de rettigheder og pligter, der følger af barselsaftalen mv. Registreringssystemer Tidsregistrering Selv om et tidsregistreringssystem indeholder personoplysninger i form af informationer om arbejdsindsatsen for forskellige ansatte, er disse oplysninger af ikke-følsom karakter, og du har som arbejdsgiver en berettiget driftsmæssig interesse i systemet. I nogle tidsregistreringssystemer registreres også fravær som en særlig post. Dette er der heller intet til hinder for, da der alene er tale om almindelige, ikke-følsomme oplysninger. Fremgår det imidlertid af tidsregistreringssystemet, hvad årsagen til de enkelte ansattes fravær er, såsom f.eks. graviditetsbetinget sygefravær, er der tale om følsomme oplysninger.

17 Under ansættelsen Kompetenceregistrering Fører arbejdspladsen et kompetenceregistreringssystem, hvor alle kurser, konferencer og seminarer mv., som ansatte har deltaget i, registreres under den enkelte ansattes navn, vil dette typisk være sagligt. Formålet hermed er nemlig sædvanligvis at lette adgangen til hurtigt at kunne vurdere, hvilke ansatte der har de nødvendige kompetencer til løsningen af en bestemt opgave. Oplysninger om, at en ansat har deltaget i forskellige kurser, vil normalt være almindelige, ikke-følsomme oplysninger. Andre registreringer af ansatte Du kan foretage andre saglige og nødvendige registreringer af oplysninger om ansatte end de ovenfor nævnte, eksempelvis i forbindelse med etablering af kantineordninger, massageordninger mv. Lister over hvilke ansatte, der er tilmeldt sådanne ordninger, bør ikke indeholde følsomme oplysninger. Hvis det undtagelsesvis er nødvendigt at registrere følsomme oplysninger i denne forbindelse, må der indhentes udtrykkeligt samtykke fra den ansatte. Indhentning af supplerende oplysninger fra andre Under ansættelsen kan du have brug for at indhente oplysninger om en ansat uden den pågældendes medvirken. I den forbindelse må du først og fremmest gøre dig de sædvanlige overvejelser om, hvorvidt der er et specifikt sagligt formål med 17

18 Persondata og hvad så? behandlingen, og om oplysningerne er nødvendige og relevante for dette formål. Dernæst må du se på, hvilken kategori den ønskede oplysning tilhører. Ligesom i ansættelsessituationen er det under ansættelsen udgangspunktet, at du som arbejdsgiver ikke må behandle følsomme oplysninger eller andre oplysninger om rent private forhold. Undtagelse kan dog gøres, hvis den ansatte har givet sit samtykke, eller det er nødvendigt for, at et retskrav kan gøres gældende eller fastlægges. Dette vil f.eks. kunne være tilfældet i forbindelse med krav om refusion af sygedagpenge under en ansats sygdom eller krav opstået i tilknytning til en ansats afskedigelse på grund af sygdom. Grundlaget for at behandle almindelige, ikke-følsomme personoplysninger om ansatte kan, i tilfælde hvor der ikke er givet samtykke, eventuelt følge af ansættelseskontrakten. Dette vil være tilfældet, hvis behandlingen er nødvendig af hensyn til opfyldelsen af denne. Behandlingsgrundlaget kan også følge af hensynet til din berettigede interesse i at hente og registrere oplysninger om de ansatte, eller af det forhold, at behandlingen er nødvendig for at overholde en retlig forpligtelse. De oplysninger, som du kan indhente uden samtykke under ansættelsen, er først og fremmest oplysninger til brug for personaleadministrationen, herunder lønudbetaling mv. Eksempelvis kan du hos en tidligere arbejdsgiver indhente oplysninger, som er relevante for at fastlægge en ansats lønanciennitet.

19 Under ansættelsen Disciplinære forhold Oplysninger vedrørende disciplinære forhold vil som oftest være af ikke-følsom art. F.eks. er det en ikke-følsom oplysning, at en ansat ikke har efterkommet tjenstlige ordrer. En sådan oplysning kan derfor behandles herunder registreres af f.eks. den ansattes chef eller af personalekontoret, til brug for en eventuel senere afskedigelsessag eller lignende. Indeholder en disciplinærsag følsomme oplysninger, f.eks. oplysninger om strafbare forhold, eller oplysninger om andre rent private forhold, f.eks. at den ansatte er bortvist på grund af en grov tilsidesættelse af ansættelsesforholdet, kan disse oplysninger behandles i denne specifikke sammenhæng. Det er som sædvanlig en forudsætning, at behandlingen har et specifikt, sagligt formål, og at oplysningerne er nødvendige og relevante. Du kan desuden behandle oplysningerne, hvis det følger af anden lovgivning, herunder tjenestemandslovgivningen. Offentliggørelse af oplysninger Mange myndigheder og institutioner vil gerne offentliggøre kontaktoplysninger om deres ansatte, f.eks. på hjemmesiden. Det vil typisk dreje sig om oplysninger om navn, stilling, arbejdstelefonnummer og arbejds- . Et eksempel på en sådan offentliggørelse er Ministeriernes Telefonbog. Datatilsynet har fastslået, at netop disse oplysninger gerne må offentliggøres, idet de udgør relevant information for myndighedens eller institutionens kunder. En indsigelse fra en ansat mod offentliggørelse af kontaktoplysninger om den pågældende kan dog medføre, at oplysningerne vil skulle 19

20 Persondata og hvad så? slettes. Dette vil efter omstændighederne f.eks. kunne være tilfældet, hvor en ansat på grund af chikane fra en tidligere ægtefælle ikke ønsker sit navn anført i en medarbejderfortegnelse på hjemmesiden. Drejer det sig derimod om den ansattes private kontaktoplysninger, herunder privatadresse og privat telefonnummer, eller om et billede af den ansatte, er offentliggørelse heraf ikke tilladt, med mindre den enkelte ansatte har givet sit udtrykkelige samtykke hertil. Mange myndigheder vil ligeledes gerne offentliggøre oplysninger om de ansatte på intranettet. En sådan offentliggørelse kan ske i videre omfang end på hjemmesiden og vil f.eks. kunne indeholde private kontaktoplysninger og billeder. Som det er tilfældet med oplysninger på hjemmesiden, vil en indsigelse fra en ansat mod offentliggørelse efter en konkret vurdering kunne medføre, at oplysninger om den pågældende bør slettes.

21 Efter ansættelsens ophør 4. Behandling af personoplysninger efter ansættelsens ophør Det vil som regel være nødvendigt, at en arbejdsgiver gemmer fratrådte ansattes personalesager i en periode efter fratrædelsen. Også her må du som sædvanligt sikre dig, at der er et specifikt sagligt formål med at opbevare oplysningerne, og at de oplysninger, der opbevares, alle er nødvendige og relevante for dette formål. For så vidt angår ikke-følsomme oplysninger vil disse kunne opbevares, hvis det f.eks. er nødvendigt for, at du som arbejdsgiver kan leve op til de retlige forpligtelser, der påhviler en arbejdsgiver. Eksempler på sådanne oplysninger kan være sygefravær, sygdomsperioder, andet arbejdsfravær, pension, kildeskat, kontonummer, lønindeholdelse (bortset fra begrundelsen) og fratrædelsesgrunden. For så vidt angår følsomme oplysninger og oplysninger om andre rent private forhold vil disse f.eks. kunne opbevares med henblik på fastlæggelse af et retskrav. En sådan situation kunne være, at der verserer en sag eller er udsigt til en sag om berettigelsen af den fratrådte ansattes bortvisning eller afsked. Du skal være opmærksom på, at visse personalesager er omfattet af regler om pligtmæssig opbevaring efter arkivlovgivningen. 21

22 Persondata og hvad så? 5. Behandlingssikkerhed Det er et krav, at persondatabehandling sker på en forsvarlig måde. Dette følger af persondataloven, hvor det hedder: Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Loven indeholder ikke nogen nærmere uddybning af, hvordan disse sikkerhedsforanstaltninger skal gennemføres, men sikkerhedskravene for den offentlige forvaltning er uddybet i en sikkerhedsbekendtgørelse med tilhørende vejledning, der findes på Datatilsynets hjemmeside Målsætningen om forsvarlig persondatabehandling sikres i praksis ved, at den dataansvarlige (typisk arbejdsgiveren) sørger for at gennemføre tre forskellige former for sikkerhed: Den fysiske sikkerhed, den systemmæssige sikkerhed og den organisatoriske sikkerhed. Som eksempel på fysisk sikkerhed kan nævnes opbevaring af personoplysninger på et aflåst, brandsikret sted med adgang for en begrænset og relevant personkreds. Som eksempel på systemmæssig sikkerhed, som især er relevant for oplysninger, der er lagret i digital form, kan nævnes adgangskontrol

23 Behandlingssikkerhed (f.eks. bruger-id og password), kryptering, logning og sikring mod uautoriseret benyttelse og hacking (f.eks. firewalls). Den organisatoriske sikkerhed sikres ved, at arbejdsgiveren har fastsat uddybende sikkerhedsregler (regler, procedurer og lignende) for, hvem der har adgang til personoplysningerne, og at disse navngivne personer modtager den nødvendige instruktion og uddannelse i persondataanvendelse. 23

24 Persondata og hvad så? 6. Oversigt over den ansattes rettigheder Den ansatte har en række rettigheder, når personoplysninger om ham/hende behandles. Det overordnede formål med disse rettigheder er, at den ansatte skal være orienteret om den igangværende behandling og have mulighed for at varetage sine rettigheder i den forbindelse. Dette får den ansatte mulighed for dels gennem den information, som den pågældende skal have på arbejdsgiverens egen foranledning, når oplysninger indsamles, jf. afsnit 7, dels gennem retten til at kræve indsigt i, hvilke oplysninger der behandles. Herudover har den ansatte en ret til efter anmodning at få urigtige eller vildledende oplysninger korrigeret eller slettet samt en ret til at gøre indsigelse mod en behandling. Datatilsynet har udsendt en vejledning om den registreredes rettigheder, se

25 Arbejdsgiverens oplysningspligt 7. Arbejdsgiverens oplysningspligt Det er vigtigt for en arbejdsgiver at være opmærksom på den ansattes ret til at blive informeret, når der indsamles oplysninger om vedkommende. Grunden hertil er, at denne ret ikke forudsætter, at den pågældende selv anmoder om informationen. Der er derfor tale om en oplysningspligt for arbejdsgiveren, som gælder, når denne indsamler oplysninger om den ansatte. Oplysningspligten gælder, uanset om personoplysningerne indsamles gennem den ansatte selv eller gennem andre. Den er dog ikke aktuel, hvis den ansatte allerede er bekendt med de oplysninger, som er omfattet af pligten. I så fald er særskilt underretning unødvendig. Ved indsamling af oplysninger hos den ansatte selv vil det formentlig i mange almindeligt forekommende situationer kunne lægges til grund, at den ansatte allerede er bekendt med de oplysninger, som følger af oplysningspligten. Tilsvarende gælder i ansøgningssituationen. Men er du som arbejdsgiver i tvivl om, hvorvidt en ansat/ansøger f.eks. kender formålet med behandlingen af oplysningerne eller mangler andre oplysninger, som kan være nødvendige for, at den ansatte/ansøgeren kan varetage sine interesser, skal du oplyse om disse forhold. Ved indsamling af oplysninger hos andre end den ansatte selv skal du som arbejdsgiver give den ansatte oplysning om indsamlingen, når du modtager oplysningerne. Hvis oplysningerne er bestemt til at 25

26 Persondata og hvad så? blive videregivet, skal du dog senest på videregivelsestidspunktet oplyse den ansatte om de oplysninger, som er omfattet af oplysningspligten. Det vil ikke i samme omfang, som hvor oplysningerne indhentes hos den ansatte/ansøgeren selv, kunne lægges til grund, at den pågældende allerede er bekendt med alle de relevante oplysninger. En nærmere gennemgang af oplysningspligten findes i Datatilsynets rettighedsvejledning, se

27 Anmeldelse til Datatilsynet 8. Anmeldelse til Datatilsynet Hvad skal anmeldes? Efter persondataloven skal offentlige myndigheder i en række tilfælde anmelde deres behandling af personoplysninger til Datatilsynet. Som svar på anmeldelsen vil man endvidere ofte skulle have en udtalelse fra Datatilsynet. Sædvanlige personaleregistre uden fortrolige oplysninger kan føres uden anmeldelse til Datatilsynet. Behandlingen kan uden anmeldelse tillige omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed. Herudover kan der behandles de nedenfor opregnede fortrolige oplysninger om personer, der virker eller har virket i offentlig tjeneste eller hverv, uden at det udløser anmeldelsespligt: 1) Oplysninger om sygefravær og sygdomsperioder. 2) Oplysninger om begrundelsen for andet fravær fra arbejdet. 3) Pensionsforhold. 4) Kildeskatteoplysninger. 5) Oplysninger om kontonummer, hvortil løn skal anvises. 6) Lønindeholdelse, bortset fra oplysninger om begrundelsen for indeholdelsen. 7) Oplysninger om fratrædelsesgrund. Hvis der derudover behandles fortrolige oplysninger, eller hvis der behandles følsomme oplysninger og oplysninger om andre rent private forhold, er der anmeldelsespligt til Datatilsynet. 27

28 Persondata og hvad så? Hvordan anmelder man? Anmeldelse sker, ved at man udfylder en anmeldelsesblanket. På Datatilsynets hjemmeside kan man få hjælp til, hvordan man udfylder anmeldelsesblanketten elektronisk og sender den elektronisk til Datatilsynet. Alternativt kan man udskrive en papirblanket fra hjemmesiden, udfylde den i hånden og sende den med almindelig post.

29 Definitioner 9. Definitioner En personoplysning er enhver oplysning om en identificerbar fysisk person, f.eks. en ansøger eller en ansat. Også oplysninger om andre (bi-)personer, som f.eks. den ansattes ægtefælle eller børn, er personoplysninger. Ved behandling forstås enhver form for håndtering af personoplysninger, herunder indsamling, registrering, systematisering, opbevaring, tilpasning/ændring, videregivelse, samkøring, formidling, søgning, brug, blokering, sletning og tilintetgørelse. Den registrerede er den, som personoplysningerne vedrører typisk ansøgeren eller den ansatte. Den dataansvarlige er den, som afgør, hvornår og til hvilket formål der må ske behandling af oplysninger typisk vil dette være arbejdsgiveren. Ved samtykke forstås en * frivillig (ikke afgivet under tvang eller utilbørligt pres), * specifik (det skal være klart, hvilken form for behandling af hvilke oplysninger, der er tale om), * informeret (den, der modtager samtykket, skal sikre sig, at den, der afgiver det, ved, hvad der gives samtykke til) viljestilkendegivelse fra en ansøger/ansat, hvorved arbejdsgiveren får tilladelse til den pågældende behandling af personoplysninger. 29

30 Persondata og hvad så? Følsomme personoplysninger er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og helbredsmæssige eller seksuelle forhold. Listen er udtømmende. Ved helbredsmæssige forhold forstås f.eks. sygdomsarten (diagnosen), men derimod ikke selve oplysningen om, at der foreligger sygdom. Andre oplysninger om rent private forhold er oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de, der er opregnet under følsomme personoplysninger. Det kan f.eks. være foreningsmæssige tilhørsforhold, familiestridigheder, separations- og skilsmissebegæringer samt adoptionsforhold. Det kan også være oplysninger om, at en medarbejder er bortvist på grund af en grov tilsidesættelse af ansættelsesforholdet. Ikke-følsomme personoplysninger er restgruppen af personoplysninger, herunder fortrolige oplysninger, dvs. alle de personoplysninger, som hverken hører under følsomme oplysninger eller oplysninger om andre rent private forhold. Eksempler herpå kan være udtalelser eller oplysninger om nær familie, uddannelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider og andre tjenstlige forhold, skat, pensionsforhold, kildeskat, kontonummer og omfanget af (men ikke årsagen til) fravær fra arbejdet, f.eks. på grund af sygdom.

31 Her kan du læse mere 10. Her kan du læse mere: Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, med senere ændringer Bekendtgørelse nr. 529 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for den offentlige forvaltning Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kap i lov om behandling af personoplysninger (rettighedsvejledningen) Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsvejledningen) Datatilsynets vejledning nr. 125 af 10. juli 2000 om anmeldelse i henhold til kapitel 12 i lov om behandling af personoplysninger Datatilsynets hjemmeside Databeskyttelse på arbejdsmarkedet af Peter Blume og Jens Kristiansen Finansministeriets personaleadministrative vejledning, kapitel 9 31

32 Persondata og hvad så?

33 Bilag Bilag Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger Uddrag af lov nr. 280 af 25. april 2001 om ændring af straffeloven, lov om international fuldbyrdelse af straf m.v., lov om samarbejde med Finland, Island, Norge og Sverige angående fuldbyrdelse af straf m.v. og lov om udlevering af lovovertrædere samt forskellige andre love Uddrag af lov nr. 552 af 24. juni 2005 om ændring af retsplejeloven og forskellige andre love 33

34 Persondata og hvad så? Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende bestemmelser Kapitel 1 Lovens område 1. Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Stk. 2. Loven gælder tillige for anden ikke- elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9. Stk. 3. Loven gælder endvidere for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer. Tilsvarende gælder for så vidt angår behandlinger, som er omfattet af 50, stk. 1, nr. 2. Stk. 4. Kapitel 5 gælder også for behandling af oplysninger om virksomheder m.v., jf. stk. 1. Stk. 5. Uden for de i stk. 3 nævnte tilfælde kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for private. Stk. 6. Uden for de i stk. 4 nævnte tilfælde kan vedkommende minister bestemme, at lovens regler helt eller delvis skal finde anvendelse på behandling af oplysninger om virksomheder m.v., som udføres for den offentlige forvaltning. 2. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i denne lov. Stk. 2. Loven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10. Stk. 3. Loven gælder ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter.

35 Bilag Stk. 4. Bestemmelserne i lovens kapitel 8 og 9 og og 39 finder ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Bestemmelserne i lovens kapitel 8 og og 39 finder heller ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område. Stk. 5. Loven finder ikke anvendelse på behandling af oplysninger, der foretages for Folketinget og institutioner med tilknytning dertil. Stk. 6. Loven finder ikke anvendelse på behandlinger, der er omfattet af lov om massemediers informationsdatabaser. Stk. 7. Loven finder ikke anvendelse på informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er omfattet af medieansvarslovens 1, nr. 1 eller 2, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens 41, 42 og 69. Stk. 8. Loven gælder endvidere ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede offentliggjorte tekster, billeder og lydprogrammer, der omfattes af medieansvarslovens 1, nr. 3, eller dele heraf, når indlæggelsen i informationsdatabasen er sket uændret i forhold til offentliggørelsen. Dog gælder bestemmelserne i lovens 41, 42 og 69. Stk. 9. Loven finder ikke anvendelse på manuelle arkiver over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i journalistisk øjemed. Dog gælder bestemmelserne i lovens 41, 42 og 69. Stk. 10. For behandling af oplysninger, som i øvrigt udelukkende finder sted i journalistisk øjemed, gælder alene bestemmelserne i lovens 41, 42 og 69. Det samme gælder for behandling af oplysninger, som udelukkende sker med henblik på kunstnerisk eller litterær virksomhed. Stk. 11. Loven gælder ikke for behandlinger, der udføres for politiets og forsvarets efterretningstjenester. 3. I denne lov forstås ved: Kapitel 2 Definitioner 1) Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). 2) Behandling: Enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. 35

36 Persondata og hvad så? 3) Register med personoplysninger (register): Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag. 4) Den dataansvarlige: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. 5) Databehandleren: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. 6) Tredjemand: Enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger. 7) Modtager: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere. 8) Den registreredes samtykke: Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. 9) Tredjeland: En stat, som ikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført aftaler, der er indgået med Det Europæiske Fællesskab, og som indeholder regler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Kapitel 3 Lovens geografiske område 4. Loven gælder for behandling af oplysninger, som udføres for en dataansvarlig, der er etableret i Danmark, hvis aktiviteterne finder sted inden for Det Europæiske Fællesskabs område. Stk. 2. Loven gælder endvidere for den behandling, som udføres for danske diplomatiske repræsentationer. Stk. 3. Loven gælder også for en dataansvarlig, som er etableret i et tredjeland, hvis

37 Bilag 1) behandlingen af oplysninger sker under benyttelse af hjælpemidler, der befinder sig i Danmark, medmindre hjælpemidlerne kun benyttes med henblik på forsendelse af oplysninger gennem Det Europæiske Fællesskabs område eller 2) indsamling af oplysninger i Danmark sker med henblik på behandling i et tredjeland. Stk. 4. Dataansvarlige, som i henhold til stk. 3, nr. 1, er omfattet af denne lov, skal udpege en repræsentant, som er etableret i Danmark. Den registreredes mulighed for at foretage retslige skridt mod vedkommende dataansvarlige berøres ikke heraf. Stk. 5. Den dataansvarlige skal skriftligt underrette Datatilsynet om, hvem der er udpeget som repræsentant, jf. stk. 4. Stk. 6. Loven gælder, hvis der for en dataansvarlig, der er etableret i et andet medlemsland, behandles oplysninger i Danmark og behandlingen ikke er omfattet af direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Loven gælder også, hvis der for en dataansvarlig, der er etableret i en stat, som har gennemført en aftale med Det Europæiske Fællesskab, der indeholder regler svarende til det i 1. pkt. nævnte direktiv, behandles oplysninger i Danmark og behandlingen ikke er omfattet af de nævnte regler. Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet. Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. 37

38 Persondata og hvad så? Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. 6. Behandling af oplysninger må kun finde sted, hvis 1) den registrerede har givet sit udtrykkelige samtykke hertil, 2) behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, 3) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, 4) behandlingen er nødvendig for at beskytte den registreredes vitale interesser, 5) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse, 6) behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller 7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse. Stk. 2. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens 6 a. Stk. 3. Videregivelse og anvendelse som nævnt i stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i stk. 1, nr. 7, er opfyldt. Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis 1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

39 Bilag 2) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, 3) behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede, eller 4) behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Stk. 3. Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller specifikke rettigheder. Stk. 4. En stiftelse, en forening eller en anden almennyttig organisation, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, kan inden for rammerne af sin virksomhed foretage behandling af de i stk. 1 nævnte oplysninger om organisationens medlemmer eller personer, der på grund af organisationens formål er i regelmæssig kontakt med denne. Videregivelse af sådanne oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit udtrykkelige samtykke hertil eller behandlingen er omfattet af stk. 2, nr. 2-4, eller stk. 3. Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis behandlingen af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt. Stk. 6. Behandling af de i stk. 1 anførte oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område. Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser. Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver tilsynsmyndigheden underretning herom til Europa-Kommissionen. Stk. 8. For den offentlige forvaltning må der ikke føres edb-registre med oplysninger om politiske forhold, som ikke er offentligt tilgængelige. 8. For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Stk. 2. De i stk. 1 nævnte oplysninger må ikke videregives. Videregivelse kan dog ske, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 39

40 Persondata og hvad så? 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige. Stk. 3. Forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, må kun videregive de i stk. 1 nævnte oplysninger og de oplysninger, der er nævnt i 7, stk. 1, hvis betingelserne i stk. 2, nr. 1 eller 2, er opfyldt, eller hvis videregivelsen er et nødvendigt led i sagens behandling eller nødvendig for, at en myndighed kan gennemføre tilsyns- eller kontrolopgaver. Stk. 4. Private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Stk. 5. De i stk. 4 nævnte oplysninger må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse. Stk. 6. Behandling af oplysninger i de tilfælde, der er reguleret i stk. 1, 2, 4 og 5, kan i øvrigt finde sted, hvis betingelserne i 7 er opfyldt. Stk. 7. Et fuldstændigt register over straffedomme må kun føres for en offentlig myndighed. 9. Oplysninger som nævnt i 7, stk. 1, eller 8 må behandles, hvis dette alene sker med henblik på at føre retsinformationssystemer af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for førelsen af systemerne. Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages med henblik på at føre retsinformationssystemer, jf. 6. Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende gælder for de i 6 nævnte oplysninger, som alene behandles i forbindelse med førelsen af retsinformationssystemer. 10. Oplysninger som nævnt i 7, stk. 1, eller 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

41 Bilag Stk. 2. De af stk. 1 omfattede oplysninger må ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. 6. Stk. 3. De af stk. 1 og 2 omfattede oplysninger må kun videregives til tredjemand efter forudgående tilladelse fra tilsynsmyndigheden. Tilsynsmyndigheden kan stille nærmere vilkår for videregivelsen. 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer. Stk. 2. Private må behandle oplysninger om personnummer, når 1) det følger af lov eller bestemmelser fastsat i henhold til lov, 2) den registrerede har givet sit udtrykkelige samtykke hertil eller 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke. 12. Dataansvarlige, der med henblik på markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle 1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse, telefon- og telefaxnummer, 2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, samt 3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil. Et samtykke skal indhentes i overensstemmelse med markedsføringslovens 6 a. Stk. 2. Oplysninger som nævnt i 7, stk. 1, eller 8, må dog ikke behandles. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at behandle bestemte typer af oplysninger. 13. Offentlige myndigheder og private virksomheder m.v. må ikke foretage automatisk registrering af, hvilke telefonnumre der er foretaget opkald til fra deres telefoner. Registrering må dog ske efter forudgående tilladelse fra tilsynsmyndigheden i 41