Behandling af personoplysninger – man må ofte mere, end man tror
Vi oplever, at mange virksomheder svæver i den vildfarelse, at rammerne for behandling af personoplysninger, herunder videregivelse af disse, er væsentligt snævrere, end de egentlig er.
Realiteten er, at der er forholdsvis vide rammer for lovlig behandling af personoplysninger, herunder f.eks. videregivelse. Behandlingen skal blot ske med et legitimt formål, og man må ikke gøre mere end nødvendigt for at opnå dette formål.
Disse vide rammer er at finde i Persondataforordningens interesseafvejningsregel samt i de heraf afledte regler i Databeskyttelsesloven.
Interesseafvejningsreglen går groft sagt ud på, at man (virksomheden) lovligt kan behandle personoplysninger, hvis man forfølger en berettiget interesse, medmindre den person, hvis oplysninger det drejer sig om, har interesser, der tilsiger beskyttelse af oplysningerne, og personens interesser afvejningsmæssigt vægter højere end virksomhedens interesse i at behandle oplysningerne.
Førnævnte afvejning kan selvsagt være meget vanskelig at foretage, men praksis viser dog, at afvejningen ofte lovligt kan falde ud til virksomhedens fordel.
En nyere sag fra Datatilsynet illustrerer udmærket dette, uanset at afgørelsen ganske vist ikke just vedrører en afvejning, der konkret faldt ud til virksomhedens fordel. – Afgørelsen omhandler således, at Datatilsynet har meldt en bornholmsk virksomhed til politiet og indstillet denne til en bøde på kr. 400.000.
Det bemærkes, at afgørelsen omhandlede oplysninger om strafbare forhold. Man skal huske på, at oplysninger om strafbare forhold netop er en type oplysninger, man skal være særligt på vagt over for ift. persondatareglerne. Derfor er afgørelsen ekstra illustrativ ift. det ovenfor anførte, idet det interessante er, hvad der indirekte kan læses ud af Datatilsynets begrundelse.
Sagen drejede sig om følgende:
Virksomheden havde i to e-emails oplyst to af virksomhedens kunder om, at en medarbejder ikke længere var ansat, idet den pågældende havde begået et strafbart forhold i ansættelsen. I de to mails var det i detaljer beskrevet, hvad det strafbare forhold nærmere bestod i.
Som udgangspunkt er det no-go at behandle oplysninger om strafbare forhold, men Databeskyttelseslovens § 8, stk. 3, jfr. stk. 4 levner dog mulighed for videregivelse, hvis videregivelsen sker til varetagelse af private interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse. Her har vi altså at gøre med en regel om interesseafvejning.
Datatilsynet udtalte i den forbindelse følgende ift. den konkrete sag:
”Det må anses for legitimt at oplyse sine kunder om, at en medarbejder, der tidligere har tegnet virksomheden, ikke længere er ansat og dermed ikke længere kan indgå aftaler på virksomhedens vegne, men detaljerede beskrivelser af anklagerne mod den tidligere medarbejder, herunder oplysninger om, at den tidligere medarbejder skulle have erkendt forholdet ved en afhøring hos politiet, og hvor stort et beløb den tidligere medarbejder havde svindlet for, mener vi ikke er nødvendige for at varetage den legitime interesse.”
Afgørelsen viser først og fremmest, at det sagtens kan være lovligt ift. persondatareglerne at orientere en virksomheds kunder om, at en medarbejders ansættelsesforhold er ophørt, og at medarbejderen derfor ikke længere kan tegne virksomheden. – Dette er isoleret set ikke overraskende.
Det interessante er Datatilsynets nærmere begrundelse for afgørelsen. Hvis dét, at der var tale om videregivelse af oplysninger om strafbare forhold, i sig selv var nok til, at videregivelsen var i strid med reglerne, skulle man synes, at Datatilsynet blot havde brugt dette som begrundelse for at statuere at grænsen for det lovlige var overskredet. Datatilsynet kunne i givet fald blot have støttet sig på en argumentation om, at det var tilstrækkeligt til at varetage virksomhedens legitime interesser i at kunderne vidste, at den pågældende medarbejder ikke længere tegnede virksomheden, at kunderne blev orienteret om, at ansættelsesforholdet med medarbejderen var ophørt. – Dvs. Datatilsynet kunne med andre ord i så fald have ladt sig nøje med at anføre at det var inddragelsen af selve baggrunden for ansættelsesforholdets ophør, der var for vidtgående.
Der lægges imidlertid, jf. ovenstående citat, vægt på at der var tale om videregivelse af detaljerede beskrivelser af anklagerne; herunder oplysninger om, at den tidligere medarbejder havde erkendt forholdet, og hvor stort et beløb den tidligere medarbejder havde svindlet for.
Efter vores opfattelse kan Datatilsynets begrundelse læses sådan, at det ikke kan udelukkes at der kan være situationer, hvor en virksomhed lovligt med hjemmel i interesseafvejningsreglen – efter en konkret vurdering og såfremt virksomheden har tungtvejende interesser i en videregivelse – decideret kan videregive oplysninger om en medarbejders strafbare forhold til en eller flere kunder. Det forudsætter dog, at virksomheden ikke beskriver i detaljer, hvad det strafbare forhold består i.
Det bliver interessant at følge, om domstolene er enige med Datatilsynet i sagen, og særligt hvad domstolene begrunder deres afgørelse i sagen med.
Har du spørgsmål på baggrund af artiklen, er du velkommen til at kontakte advokat Søren Hedegaard Frederiksen på tlf. 61 22 26 58.
