Oplysningspligten er en af de forpligtelser, man som dataansvarlig har efter persondataforordningen. Mange virksomheder har udarbejdet en privatlivspolitik på deres hjemmeside, men er det overhovedet et krav, og er det nok, eller hvad skal man gøre for at efterleve kravene?
Overholdelse af oplysningspligten er et emne, som Datatilsynet på det seneste har sat fokus på i en række afgørelser. Det understreger vigtigheden af, at man som virksomhed har styr på, at man giver de rigtige oplysninger på en korrekt måde.
Nedenfor følger en kort gennemgang af regler og den seneste praksis på området.
Når man som dataansvarlig behandler personoplysninger om sine medarbejdere, kunder, brugere osv., er det vigtigt at være opmærksom på, at de pågældende har en række rettigheder i medfør af persondataforordningen. De har fx ret til at bede om indsigt, og de kan bede om, at oplysninger slettes eller berigtiges, hvis de er forkerte, eller der ikke længere er behov for at opbevare oplysningerne.
For at sikre at en almindelig borger har mulighed for at benytte sig af de forskellige rettigheder, er det nødvendigt, at den pågældende rent faktisk er klar over, at der foregår en behandling. Det er endvidere en forudsætning, at den pågældende kender til sine rettigheder. En helt almindelig borger i Danmark vil i mange tilfælde kun have et meget overfladisk kendskab til sine rettigheder.
Derfor er man som dataansvarlig underlagt en oplysningspligt. Oplysningspligten indebærer, at den dataansvarlige i forbindelse med sin behandling af personoplysninger skal give visse oplysninger til den registrerede person. Denne forpligtelse er med til at skabe gennemsigtighed, så registrerede personer rent faktisk får den beskyttelse, som det er meningen, de skal have.
I persondataforordningen oplistes hvilke typer af oplysninger, man som dataansvarlige altid skal give den registrerede, når behandlingen begynder. Overordnet kan det siges, at en dataansvarlig skal give alle de oplysninger, der er relevante for, at den registrerede kan udøve sine rettigheder og føre kontrol med den måde, den dataansvarlige behandler vedkommendes personoplysninger.
Det betyder bl.a., at der skal gives oplysning om, hvem der er den dataansvarlige, herunder kontaktoplysninger på den dataansvarlige og dennes evt. DPO (databeskyttelsesrådgiver), hvilket formål behandlingen har, og hvad hjemlen (det juridiske grundlag) til behandlingen er. Hvis oplysningerne ikke er indsamlet direkte fra den registrerede person – men i stedet fx fra en myndighed eller en anden virksomhed -, skal der endvidere gives oplysning om, hvilke kategorier af oplysninger, der behandles.
Når der gives oplysninger om, hvem der er den dataansvarlige, er det ikke nok blot at henvise til et domænenavn og en kontaktformular på en hjemmeside. Det skal være klart hvilken juridisk enhed, dvs. hvilken myndighed, virksomhed eller person, som er den dataansvarlige. Hvis den dataansvarlige er en virksomhed etableret uden for EU/EØS, skal der ligeledes gives oplysning om dennes evt. repræsentant.
I forordningen nævnes en række supplerende oplysninger, som skal gives, hvis det konkret vurderes at være nødvendigt for at sikre en rimelig og gennemsigtig behandling af den registreredes personoplysninger. Det vedrører bl.a. oplysninger om tidsrum for opbevaring, oplysninger om den registreredes rettigheder samt oplysninger om klageadgang til Datatilsynet. Det er vores anbefaling, at alle disse supplerende oplysninger gives, med mindre der er helt særlige holdepunkter for at udelade sådanne oplysninger.
Oplysningerne skal altid gives på en letforståelig måde, og teksten skal tilpasses den målgruppe, oplysningerne gives til.
At det er vigtigt at give korrekte og fyldestgørende oplysninger til de registrerede, illustreres i en konkret afgørelse truffet af Datatilsynet om Fynbus. I denne afgørelse blev Fynbus bl.a. kritiseret for ikke have givet fyldestgørende oplysninger til deres indsamling af oplysninger om kunders rejsehistorik, når de købte billetter online, idet de bl.a. ikke havde givet tilstrækkeligt præcise oplysninger om, hvor længe personoplysningerne blev opbevaret, retten til at trække samtykke tilbage, da behandlingen var baseret på samtykke og retten til begrænsning af behandling.
Persondataforordningen indeholder ikke bestemte formkrav til, hvordan oplysningspligten skal opfyldes. Det fremgår dog af Datatilsynets vejledning om de registreredes rettigheder, at oplysningspligten som udgangspunkt bør iagttages skriftligt, hvilket også vil være dem nemmeste måde evt. efterfølgende at kunne dokumentere, at pligten er opfyldt.
Det er vigtigt at være opmærksom på, at det er den dataansvarlige, der har forpligtelsen til at give oplysningerne til den registrerede. Det betyder, at der skal foretages aktive skridt over for hver enkelt person, som en dataansvarlig behandler oplysninger om. Det vil således ikke være tilstrækkeligt at udarbejde en privatlivspolitik, som er tilgængelig på hjemmesiden eller lignende, hvis det er op til den registrerede selv at finde frem til politikken.
Hvis oplysningerne indsamles fra den registrerede selv via en hjemmeside, vil det være oplagt at gøre oplysningerne tilgængelige for brugerne, inden de indsender oplysningerne til den dataansvarlige. En sådan løsning ses fx anvendt af en række webshop-udbydere, hvor der linkes til privatlivspolitikken, og brugerne bliver bedt om at bekræfte, at de har læst denne, inden de afsender deres bestilling.
Hvis personoplysninger modtages uopfordret, hvilket fx vil være tilfældet for uopfordrede jobansøgninger, bør man som dataansvarlig have en fast procedure, der sikrer, at afsenderen modtager de nødvendige oplysninger hurtigst muligt. Proceduren kan enten bestå i, at der genereres et autosvar, som sendes retur, så snart en mail er modtaget, indeholdende de nødvendige oplysninger, eller at der udarbejdes en autosvartekst, som kan anvendes af de medarbejdere, som måtte modtage en uopfordret jobansøgning.
Oplysningsforpligtelsen gælder også overfor medarbejdere, og Datatilsynet har i deres vejledning og en række afgørelser udtalt sig konkret om dette. I Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold anfører Datatilsynet således, at oplysningspligten kan opfyldes ved, at de relevante oplysninger udleveres direkte, eller at medarbejderne modtager et link til oplysningerne, fx de relevante afsnit i en personalehåndbog. Det fremgår endvidere af vejledningen, at Datatilsynet ikke mener, det vil være tilstrækkeligt blot at have oplysningerne liggende på en hjemmeside, intranet eller lignende.
I en konkret sag vedrørende NCC tog Datatilsynet også stilling til oplysningspligten i forhold til medarbejderne. Ifølge afgørelsen var privatlivspolitikken alene blevet lagt op på intranettet for medarbejderne. Medarbejderne modtog imidlertid ikke specifik henvisning til privatlivspolitikken, og den enkelte skulle derfor lede aktivt efter den for at blive bekendt med NCC’s behandling af personoplysninger. Der var desuden det problem, at det ikke var alle timeansatte medarbejdere, som havde adgang til intranettet, og som følge heraf ikke havde adgang til privatlivspolitikken. Datatilsynet udtaler i sagen kritik af NCC, idet de ifølge Datatilsynet ikke har opfyldt deres oplysningspligt tilstrækkeligt. Datatilsynet anførte dog, at det kan være tilstrækkeligt at have en privatlivspolitik på intranettet, hvis medarbejderne får en specifik henvisning hertil.
Det er vigtigt, at der gives oplysning om alle de behandlinger af personoplysninger, en person kan blive berørt af. Dette er blevet illustreret af en række afgørelser truffet af Datatilsynet vedrørende kontrolforanstaltninger over for medarbejdere. Datatilsynet har i flere af disse sager udtalt kritik at, at oplysningerne enten ikke blev givet, eller at de ikke blev gjort direkte tilgængelige for medarbejderne.
Som nævnt har det også stor betydning, hvordan selve informationen er udformet. Det skal være forståeligt for de personer, der modtager oplysningerne. Informationen skal altså specificeres til den typiske målgruppe. Generelt kan det dog siges, at informationen skal være let forståelig. Det indebærer, at man så vidt muligt bruger hverdagsord i stedet for juridiske termer. Man skal ligeledes undgå lange og komplekse sætninger.
Man bør endvidere gøre oplysningerne så let overskuelige som muligt, herunder ved fx at lagopdele oplysningerne. Med en sådan løsning kan den registrerede vælge at tilgå de oplysninger, den pågældende vurderer, er relevante for vedkommende, frem for at skulle gennemgå en lang tekst, hvor oplysningerne ikke er emneopdelt eller adskilt på anden tydelig vis.
Hvornår oplysningspligten skal opfyldes, afhænger af, hvorvidt oplysninger er indsamlet ved den registrerede selv eller ved tredjemand.
Når den registrerede selv giver oplysningerne til den dataansvarlige – uanset om det er uopfordret eller ej – er udgangspunktet, at oplysninger om behandlingen skal gives samtidig med indsamlingen af oplysningerne. I nogle situationer vil det ikke være praktisk muligt at give oplysningerne samtidigt med indsamlingen. Det er fx tilfældet, hvis den registrerede uopfordret sender oplysninger til en dataansvarlig. I sådanne situationer skal oplysningerne gives snarest muligt, hvilket normalt vil sige inden for 10 dage. For at man som dataansvarlig kan overholde denne frist, er det en god idé at have taget stilling til, hvilke oplysninger, der skal gives, og hvem der har ansvaret for, at det bliver gjort. Det vil med andre ord være en fordel på forhånd at have fastlagte procedurer for, hvordan oplysningerne skal gives i sådanne situationer.
Når man indsamler personoplysninger hos andre end den berørte person, eksempelvis ved myndigheder eller virksomheder, skal oplysningerne om behandlingen gives så tidligt som muligt efter indsamlingen. Det vil i alle tilfælde være en konkret vurdering, hvornår det helt præcist skal ske, men normalt skal oplysningerne gives inden for 10 dage. I nogle situationer kan oplysninger gives senere, men det må ikke ske senere end en måned efter indsamlingen.
Et relevant eksempel at nævne i denne sammenhæng er Datatilsynets afgørelse i en sag vedrørende Advokatnævnet. Advokatnævnet havde modtaget en klage over en advokat i juni måned, men først i slutningen af november måned samme år, blev advokaten gjort opmærksom på, at der var en klagesag i gang. Advokatnævnet begrundende forsinkelsen med, at man ønskede at oplyse sagen yderligere, så advokaten ville få bedre mulighed for at kommentere klagen. Denne begrundelse blev afvist af Datatilsynet.
Som udgangspunkt er den dataansvarlige alene forpligtet til at give oplysningerne én gang, når behandlingen af personoplysningerne påbegyndes. Det fremgår dog af Datatilsynets vejledning om de registreredes rettigheder, at det i visse situationer kan være relevant at genopfriske den registreredes hukommelse ved at give oplysningerne endnu en gang. Det kan eksempelvis være relevant, hvis der er tale om et kundeforhold, hvor der behandles personoplysninger om den samme person over en længere årrække.
Hvis det på et tidspunkt bliver relevant at bruge personoplysningerne til noget andet, end det de oprindeligt blev indsamlet til, skal den dataansvarlige ligeledes oplyse om dette. Den registrerede skal i den situation have oplysning om det nye formål, ligesom det bør overvejes, om der er yderligere supplerende oplysninger, som skal gives til vedkommende. Hvis den nye behandling er meget indgribende over for den registrerede, vil det være bedst at give de nye oplysninger i forholdsvist god tid inde den nye behandling starter.
Husk dog, at udgangspunktet er, at personoplysninger alene må benyttes til det formål, som de er blevet indsamlet til. Hvis de indsamlede oplysninger lovligt skal kunne viderebehandles med et andet formål, kræver det, at viderebehandlingen ikke er uforenelig med det oprindelige formål.
I nogle tilfælde kan det undlades at give den registrerede oplysningerne om den dataansvarliges behandling af personoplysninger. Det er bl.a. tilfældet, hvis det er umuligt, eller det vil kræve en uforholdsmæssig stor indsats. Der skal dog efter vores vurdering ganske meget til, for at man falder ind under en af disse undtagelser. Umulighed kan dog bl.a. foreligge, hvis man behandler personoplysninger om en navngiven person, hvor personen har et almindeligt anvendt navn (fx Anders Pedersen), men at man ikke derudover har oplysninger, der kan hjælpe en til at identificere den pågældende. I langt de fleste tilfælde, vil man dog som dataansvarlig have nødvendige oplysninger - fx en e-mail adresse eller anden form for kontaktinformation - som gør det muligt at kontakte den pågældende.
Umulighed kan også foreligge, hvis man som dataansvarlig overvåger et område, fx en butik eller et storcenter, hvor der er offentlig adgang. Her bliver man nødt til at sondre mellem dem, man som dataansvarlig ved, vil blive berørt af tv-overvågningen, fx de ansatte i butikkerne, centervagter mv., og kunder, som man ikke kender identiteten på. De ansatte samt andre, man ved, har adgang til det videoovervågede område, bør modtage direkte skriftlig information, der lever op til kravene om oplysningspligt.
Også i tilfælde hvor der består en lovbestemt tavshedspligt, kan man være undtaget fra oplysningspligten. Dette gør sig eksempelvis gældende for advokater, som ved lov er underlagt en tavshedspligt.
I visse tilfælde vil der bestå en lovbestemt pligt til at indsamle eller videregive oplysninger. Det gælder eksempelvis for told- og skatteforvaltningen, som årligt skal foretage en indberetning om opkrævning af underholdsbidrag. Fordi det er en lovbestemt pligt, er der ikke krav om at opfylde oplysningspligten.
I relation til opfyldelse af oplysningspligten kan spørgsmålet opstå, om andre end selve ”hovedpersonen” skal modtage oplysning herom. Under behandlingen af personoplysninger om én person, vil der kunne indgå oplysninger om andre personer. Det kan eksempelvis være en pårørende, en fagperson, en læge eller lignende.
Som udgangspunkt gælder oplysningspligten også overfor bipersoner. I praksis vil man dog ofte falde ind under en af undtagelserne, eksempelvis at det vil kræve uforholdsmæssigt meget at opfylde forpligtelsen, sammenlignet med den relativt beskedne behandling af bipersonens oplysninger.
Er du i tvivl om, hvordan du skal overholde din oplysningspligt, så er du altid velkommen til at kontakte os herom.