ELEKTRONISK VINDUESKIGGERI HVOR ER

Transkript

1 ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser for, hvilke personoplysninger man må indsamle og behandle. Disse grænser skal vi se nærmere på her. Men inden vi kommer så langt, skal du forestille dig følgende scenarier: Scenarie 1 Du ejer en virksomhed og har et antal ansatte. Din hjemmeside er din digitale reklamesøjle, og du har valgt at give den et personligt præg ved bla. at lægge billeder af dine ansatte på hjemmesiden, sammen med information om navn, stilling, telefonnummer og . Scenarie 2 Din virksomhed er begyndt at få et betragteligt antal kunder og for at få et bedre overblik, har du nu bedt én af dine ansatte om at indtaste de oplysninger om virksomhedens kunder, som fremgår af de modtagne papirbaserede ordrer. Scenarie 3 Din virksomhed logger IP-adresserne på de personer, som besøger virksomhedens hjemmeside. Du bruger IP-adresserne for at lave statistik over, hvor mange gen-besøg der er på hjemmesiden. Hjemmesiden giver også mulighed for, at man som kunde kan tilmelde sig et nyhedsbrev. Ved tilmeldingen oplyser kunden blandt andet sin e- mailadresse. Scenarie 4 Din hjemmeside bruger cookies, således at man kan give personer, der før har besøgt hjemmesiden, en individuel brugeroplevelse. Hvis en besøgende ved navn Anders f.eks. er blevet bedt om at indtaste sit navn ved første besøg, kan cookien bruges til at Side 1 af 5

2 give vedkommende velkomstmeddelelsen Velkommen Anders, næste gang personen besøger hjemmesiden. Ulovligt Hvis du i din virksomhed gør som beskrevet i nogle af disse senarier, uden at have givet særlige informationer eller indhentet samtykke fra de berørte personer, har du med stor sansynlighed overtrådt persondataloven. Dette kan ifølge loven i værste fald føre til bøde og fængsel i indtil 4 måneder for ikke at nævne et eventuelt erstatningsansvar. Uanset at ingen indtil videre er blevet sat i fængsel for overtrædelser af denne art, kan det af åbenbare grunde være en god ide at sætte sig ind i de regler, der gælder for behandling af persondata. Persondataloven I 2000 blev de gamle registerlove afløst af persondataloven. Loven omfatter indsamling og behandling af persondata i såvel den offentlige administration som i private virksomheder. Målet med lovgivning på området er, at opnå den rette balance mellem på den ene side hensynet til at sikre borgernes privatliv og personlige integritet og på den anden side hensynet til at bevare og til stadighed udbygge en effektiv offentlig administration og et privat erhvervsliv. Dette er en målsætning, som er stadig mere relevant for private erhvervsdrivende at holde sig for øje særligt i lyset af den teknologiske udvikling og de muligheder, der opstår i kølvandet heraf. Lovens område Persondataloven regulerer elektronisk behandling af personoplysninger. Alle former for behandling af data og alle, der indsamler og behandler data, også kaldet dataansvarlige, er omfattet af loven. Begrebet behandling omfatter enhver form for håndtering af personoplysninger, blandt andet indsamling, registrering, systematisering, opbevaring, tilpasning, søgning, brug, videregivelse, sammenstilling, samkøring og sletning. Elektronisk databehandling omfatter alt fra indtastning af personoplysninger på en pc til indsamling af oplysninger om besøgende på en hjemmeside. Side 2 af 5

3 Enhver form for oplysning, som alene eller i sammenhæng med andre oplysninger kan bruges til at identificere en bestemt fysisk person, falder ind under begrebet personoplysninger. Det kan eksempelvis være navn, adresse, billede, stemme, fingeraftryk og genetiske kendetegn. Endvidere kan og IP adresser være personoplysninger, hvis de er unikke for den enkelte person eller, hvis de i sammenhæng med andre oplysninger, kan identificere personen. Man skelner mellem følsomme og ikke-følsomme (almindelige) personoplysninger. De følsomme personoplysninger er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Den overvejende hovedregel er, at sådanne rent private oplysninger kun må behandles, hvis personen har givet sit udtrykkelige samtykke til det. Reglerne for, hvornår og hvordan de almindelige oplysninger, som kan være navn, adresse og alder, må behandles, afhænger af den konkrete type oplysninger, der påtænkes behandlet, og formålet med behandlingen. Der er dog en videre adgang til at behandle sådanne oplysninger end de følsomme oplysninger. Behandlingsregler Alle personoplysninger skal behandles i overensstemmelse med god databehandlingsskik. Generelt betyder det, at al behandling skal være rimelig og lovlig, men der er i øvrigt tale om en retlig standard, som udfyldes af Datatilsynet i deres daglige administration af loven. Personoplysninger må kun indsamles til udtrykkeligt angivne og saglige formål. Senere behandling af indsamlede oplysninger må ikke være i strid med det formål, som oplysningerne oprindeligt blev indsamlet til. Når formålet er opfyldt, skal oplysningerne slettes eller anonymiseres for at undgå en unødvendig ophobning af data. Der må kun indsamles oplysninger, som er relevante, tilstrækkelige og formålsbestemte. Mængden af indsamlede data må altså ikke overstige, hvad der er nødvendigt for at opfylde de angivne formål, og det er ikke tilladt at indsamle oplysninger, hvis man ikke aktuelt har noget at bruge dem til. I øvrigt skal den dataansvarlige påse, at der ikke behandles urigtige eller vildledende oplysninger, og forkerte oplysninger skal slettes eller rettes hurtigst muligt. Side 3 af 5

4 Hvad må man? Persondatalovens udgangspunkt er, at behandling af personoplysninger ikke må finde sted. Der findes imidlertid syv undtagelser for, hvornår behandling af almindelige personoplysninger er tilladt. Én af undtagelserne er, at hvis man har fået den registrerede persons samtykke, er alle former for behandling tilladt. Endvidere må almindelige personoplysninger behandles uden samtykke, hvis det sker for at opfylde en aftale, som den registrerede er part i. En arbejdsgiver må f.eks. gerne behandle de nødvendige oplysninger om ansatte, både i relation til selve ansættelsessituationen og efterfølgende i relation til det løbende ansættelsesforhold, uden specifikt samtykke fra de ansatte. De oplysninger, der kan behandles, er oplysninger om navn, adresse, uddannelse, skattemæssige oplysninger, bankoplysninger, tidligere ansættelsesforhold, tjenstlige forseelser, advarsler og lignende. Virksomheden må uden samtykke lægge arbejdsrelaterede oplysninger på sin hjemmeside, f.eks. den ansattes navn, stilling, telefonnummer og adresse på arbejdspladsen. Derimod kræver det et samtykke, hvis virksomheden også ønsker at lægge den ansattes billede på hjemmesiden. Det er ligeledes klart, at man som virksomhed må registrere en kundes navn og adresse og lignende oplysninger, som er nødvendige for at fremsende et tilbud, afsende en vare m.v. En virksomhed skal ikke have kundens samtykke for at bruge sådanne kontaktinformationer til at komme i kontakt med kunden vedrørende udførelse af en ordre. Oplysningspligt Uafhængigt af typen af oplysninger og formålet med behandlingen, skal den dataansvarlige give en række oplysninger senest samtidig med indsamlingen af personoplysningerne. Det drejer sig blandt andet om virksomhedens navn og adresse, formålene med den behandling, som oplysningerne er bestemt for, eventuelle modtagere af oplysningerne, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål. Der skal også oplyses om mulighederne for indsigt i og berigtigelse af oplysningerne, og andre oplysninger der er relevante for, at den registrerede kan varetage sine interesser. Der er ikke formkrav til, hvordan oplysningerne skal afgives, men af bevismæssige og praktiske grunde kan det kun anbefales at give oplysningerne skriftligt. Hvis man Side 4 af 5

5 ønsker at indsamle personoplysninger via en hjemmeside, kan kravene om afgivelse af information typisk opfyldes ved at linke til virksomhedens persondatapolitik. Behandlingssikkerhed Som dataansvarlig har man pligt til sørge for, at der er truffet tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger tilintetgøres, misbruges, kommer til uvedkommendes kendskab og lignende. Afsluttende bemærkninger Langt de fleste virksomheder foretager én eller anden form for behandling af persondata i relation til ansatte, kunder og leverandører. De regler, vi har gennemgået her, omfatter kun nogle af de områder, man skal være opmærksom på, hvis man beskæftiger sig med behandling af personoplysninger. Der findes yderligere krav i såvel loven som i de tilknyttede bekendtgørelser og Datatilsynets vejledninger. Det er i den forbindelse vigtigt at være opmærksom på, at reglerne på området i vidt omfang er skønsmæssige og at det derfor ofte vil afhænge af en konkret vurdering i den enkelte situation, om den persondatabehandling man påtænker, at udføre er tilladt. Advokat, LL.M., Benjamin Lundström er partner i advokatfirmaet von Haller ( og beskæftiger sig bl.a. med erhvervsretlig rådgivning til små og mellemstore virksomheder - herunder virksomheder under opstart. Benjamin Lundström er engageret i iværksætteri og sidder bl.a. i bestyrelsen for Dansk Iværksætter Forening og i juryen for Venture Cup. Advokat, HD(O) Pernille Borup Vejlsgaard er ansat i advokatfirmaet von Haller ( og beskæftiger sig navnlig med rådgivning vedrørende IT-ret og ITkontrakter, persondataret, e-handel, domænenavne og varemærkeret. Side 5 af 5