Har I styr på reglerne? Forsyningsselskabers behandling af persondata
Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed er ingen undtageles. Oplysningerne om persondata vil oftest være nødvendige for overhovedet at kunne udføre virksomhedens opgaver. Vi kan på baggrund af forespørgsler fra kommunalt ejede forsyningsselskaber konstatere, at der er mange forsyningsselskaber, der for tiden overvejer, om virksomhedens indsamling, behandling, opbevaring og/eller videregivelse overholder de regler, der er gældende for området. I denne pjece giver vi et overblik over nogle af de persondataretlige problemstillinger, som særligt relevante for forsyningsselskaberne. Relevante områder for forsyningsselskaber i relation til persondatabehandling Området for persondatabehandling er mangfoldigt. Overordnet set kan man inddele det i henholdsvis behandling af persondata, der relaterer sig til ansatte i virksomheden og behandling af persondata vedrørende andre. I denne pjece kommer vi ind på nedenstående emner og områder, der er særlig relevante for forsyningsselskaber: 1. Personaleadministration, 2. Behandling af persondata i relation til kunder, 3. Videregivelse af oplysninger, herunder: Videregivelse mellem koncernforbundne selskaber Videregivelse i henhold til reglerne om aktindsigt Personaleadministration Et forsyningsselskab (eller i koncern et serviceselskab ) har en medarbejderstab ansat til håndtering af den daglige drift. Som følge heraf vil der foregå personaleadministration i forsyningsselskabet/serviceselskabet. Der skal i en række tilfælde ske anmeldelse til Datatilsynet, når en virksomhed indsamler og opbevarer oplysninger om personer i forbindelse med personaleadministration. Begrebet personaleadministration omfatter dels håndtering af oplysninger om personer, der er ansat eller har været ansat i virksomheden, dels oplysninger om personer, som søger job i virksomheden. Det er i øvrigt uden betydning, om opbevaringen af oplysningerne sker i edb-registre, manuelle registre, ringbind eller på anden systematisk vis. Hvorvidt behandlingen og opbevaringen af oplysningerne skal anmeldes til Datatilsynet afhænger af, hvilken oplysning der er tale om. Behandling af følgende oplysninger skal anmeldes til Datatilsynet: oplysninger om strafbare forhold, fx tyveri fra virksomheden, indhentelse af straffeattest eller lign. oplysninger om racemæssig eller etnisk baggrund oplysninger om politisk, religiøs eller filosofisk overbevisning oplysninger om seksuelle forhold oplysninger om rent private forhold, fx at en medarbejder er bortvist fra jobbet pga. en grov væsentlig misligholdelse af ansættelsesforholdet
oplysninger om væsentlige sociale problemer oplysninger om tidligere, nuværende eller fremtidige helbredsforhold herunder vedkommendes fysiske eller psykiske tilstand samt misbrug af alkohol, nydelsesmidler mv., medmindre behandlingen heraf er nødvendig for at opfylde bestemmelser i lov eller forskrifter fastsat i henhold til lov oplysninger om medlemskab af en fagforening, medmindre registreringen er nødvendig med henblik på kontingenttræk resultater af en personlighedstest, fx i forbindelse med en ansættelsesproces (det er underordnet, om personlighedstesten efterfølgende kasseres) Hvis I behandler eller blot opbevarer én af de ovenfor nævnte oplysninger, skal I foretage en anmeldelse til Datatilsynet. Stort set alle virksomheder vil på et eller andet tidspunkt registrere, behandle eller opbevare mindst én af disse oplysninger. Der er derfor en overvejende sandsynlighed for, at jeres virksomhed er blandt de mange virksomheder, som skal anmelde personaleadministrationen. Langt de fleste virksomheder behandler anmeldelsespligtige oplysninger. Det er dog de færreste virksomheder, der er bevidste herom. En gennemgang af Datatilsynets register over virksomheder, der har anmeldt personaleadministration viser, at det er ganske få forsyningsselskaber, der har anmeldt deres personaleadministration til Datatilsynet. Hvorfor overhovedet anmelde nu? Har reglerne ikke været der i mange år? Hvis man ikke har anmeldt de anmeldelsespligtige oplysninger til Datatilsynet, foreligger der en overtrædelse af persondataloven. Det kan medføre sanktioner i form af bøde eller erstatningsansvar. På nuværende tidspunkt er sanktionsniveauet ikke særlig højt, hvilket formentlig er en af årsagerne til, at anmeldelsespligten ikke tidligere har været i fokus. Sådan bliver det dog ikke ved med at være. Det forventes, at der inden for nærmeste fremtid kommer en ny Persondataforordning, som vil medføre et meget højt bødeniveau ved overtrædelser. En overtrædelse vil kunne medføre bøder på op til 1.000.000 euro eller 2 % af virksomhedens årlige omsætning. Der er derfor god grund til allerede nu at få styr på anmeldelsespligten. Hvis I har spørgsmål til personaleadministration og anmeldelsespligten, er I selvfølgelig meget velkomne til at kontakte os for en uddybning eller hjælp til at foretage en anmeldelse. Behandling af persondata vedrørende kunder Det er ikke kun i relation til personaleadministration, at det kan være relevant at overveje reglerne for databehandling. I nogle situationer skal der også ske en anmeldelse til Datatilsynet, når der indsamles, behandles eller opbevares oplysninger om forsyningsselskabets kunder. Forsyningsselskaber behandler ofte følgende oplysninger vedrørende kunder: Navn og adresse Målernumre Installationsnumre Løbende oplysninger om kunders restancer vedr. det løbende forbrug og tilslutningsbidrag
Hvis I alene indsamler og opbevarer sådanne oplysninger, skal I ikke foretage anmeldelse heraf til Datatilsynet. Der er i persondataloven hjemmel til, at sådanne oplysninger registreres uden anmeldelse heraf til Datatilsynet. Der skal heller ikke foretages anmeldelse til Datatilsynet, hvis kunderne oplyser personnummer til brug for gældsinddrivelse. Hvis I derimod indsamler, opbevarer og/eller behandler andre oplysninger om jeres kunder, skal I være opmærksomme på, at I muligvis skal foretage anmeldelse heraf til Datatilsynet. Hvis I er i tvivl, står vi selvfølgelig til rådighed med konkret rådgivning. Videregivelse af oplysninger Der kan være mange grunde til, at et forsyningsselskab har behov for at videregive persondata vedrørende kunder/kundeforhold. Det kan være videregivelse som led i inddrivelse af udeståender, videregivel-se med henblik på udarbejdelse af statistik m.v. Uanset hvad formålet med videregivelsen af oplysningerne er, så er det forsyningsselskabet, der er ejer af de pågældende oplysninger, og dermed den dataansvarlige i forhold til reglerne i persondataloven. Den eller dem, til hvem oplysningerne videregives, er databehandler i for-hold til reglerne i persondataloven. En databehandler må kun behandle de videregivne personoplysninger på forsyningsselskabernes vegne og efter forsyningsselskabernes instruks. Hvis det er en sådan ekstern virksomhed (databehandler), der varetager et forsyningsselskabs behandling af de nævnte personoplysninger, skal forsyningsselskabet skriftligt indgå en såkaldt databehandleraftale, som skal opfylde nogle specifikke krav. Videregivelse til koncernforbundne selskaber: Mange forsyningsvirksomheder er organiseret som koncerner med moderselskab og fælles serviceselskab for forsyningsselskaberne. I koncerner vil de enkelte selskaber også i relation til persondatabehandling blive betragtet som selvstændige, juridiske enheder, hvor reglerne i persondataloven skal overholdes hver gang, der videregives oplysninger mellem de koncernforbundne selskaber, herunder oplysninger til serviceselskabet. Det betyder bl.a., at der bør være indgået aftaler mellem de koncernforbundne selskaber om behandlingen af data (databehandlingsaftale). En sådan databehandleraftale kan evt. være en del af de eksisterende serviceaftaler. Derudover skal der foretages en konkret afvejning af formålet med videregivelse af oplysningerne i hvert enkelt tilfælde forinden videregivelse af oplysningerne må gennemføres. For at kunne finde frem til, om et forsyningsselskabs måde at registrere og videregive persondata på overholder reglerne i persondataloven, er det første og vigtigste skridt at få identificeret de konkrete datastrømme.
Når forsyningsselskabets koncerninterne datastrømme er identificeret, kan der foretages en vurdering af, om videregivelsen af persondata overholder reglerne i persondataloven samt udarbejdes relevante databehandlingsaftaler koncernselskaberne imellem. Aktindsigt: Ved siden af reglerne om persondata findes reglerne om offentlige myndigheders udlevering af oplysninger som følge af anmodning om aktindsigt. Visse forsyningsselskaber er som bekendt underlagt disse regler om aktindsigt (offentlighedsloven). Udgangspunktet er, at i det tilfælde, hvor der anmodes om udlevering af oplysninger ifølge reglerne om aktindsigt i henhold til offentlighedsloven, skal forsyningsselskaberne kun foretage en vurdering i henhold til offentlighedsloven og dermed ikke tage persondatalovens regler om bl.a. videregivelse i betragtning. I det omfang at der derimod er tale om udveksling som led i samkøring af registre, (fx mellem to koncernforbundne selskaber eller et forsyningsselskab og en offentlig myndighed, typisk en ejerkommune), vil det være persondatalovens skærpede regler, der finder anvendelse. Har I brug for hjælp? Hvis ovenstående giver anledning til spørgsmål, er I mere end velkomne til at kontakte os med henblik på en uddybende og konkret vejledning ud fra jeres behov. Pia Moltke Jensen Advokat, Ph.D. Dir. tlf.: 33 34 07 97 Mobil: 51 99 90 71 E-mail: pmj@lett.dk
LETT Advokatpartnerselskab København Aarhus lett.dk CVR 35 20 93 52