REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 36: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab) modtager private billeder og oplysninger fra en medarbejder om en person fra dennes lukkede facebookprofil, som medarbejderen har fået adgang til som privatperson, til justitsministeren

Retsudvalget 2017-18
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

25. oktober 2017

Databeskyttelseskontoret

Mia Schumacher

2017-0030-0349

538613

Hermed sendes besvarelse af spørgsmål nr. 35 (Alm. del), som Folketingets

Retsudvalg har stillet til justitsministeren den 11. oktober 2017. Spørgsmå-

let er stillet efter ønske fra Josephine Fock (ALT).

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2017-18 - Endeligt svar på spørgsmål 36: Spm. om det er lovligt, hvis en privat virksomhed (et forsikringsselskab) modtager private billeder og oplysninger fra en medarbejder om en person fra dennes lukkede facebookprofil, som medarbejderen har fået adgang til som privatperson, til justitsministeren

Spørgsmål nr. 35 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren, i forlængelse af svar på REU alm. del - spørgs-

mål 919-921 (2016-17), oplyse, om det er lovligt, hvis en pri-

vatperson (ansat i et forsikringsselskab) indhenter private bille-

der og oplysninger om en anden person fra dennes lukkede face-

bookside, og efterfølgende videregiver disse private billeder og

oplysninger til sin arbejdsgiver uden den anden persons vidende

eller samtykke?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en ud-

talelse fra Datatilsynet, der har oplyst følgende:

”1. Datatilsynet lægger i det følgende til grund, at der med formule-

ringen ”lukkede Facebook-profil” og ”lukkede Facebook-side” sigtes

til den situation, hvor profilen kun er tilgængelig for personens ”ven-

ner”, dvs. en begrænset kreds af personer.

Datatilsynet henviser i øvrigt til besvarelse af REU alm. del – spørgs-

mål 919-921 (2016-2017), hvor Datatilsynet har redegjort for behand-

lingsreglerne i persondatalovens §§ 6-8 og de generelle betingelser for

behandling af personoplysninger i lovens § 5 mv.

Såfremt medarbejderen ved en overtrædelse af straffeloven har fået

kendskab til personoplysningerne, må en behandling, herunder en vi-

deregivelse, efter Datatilsynets opfattelse anses for at være i strid med

persondataloven.

Hvorvidt der i øvrigt kan ske videregivelse af oplysninger fra en luk-

ket profil i overensstemmelse med persondataloven afhænger bl.a. af

formålet med videregivelsen og hvilke kategorier af personoplysnin-

ger, der er tale om.

Oplysninger på en lukket profil anses som udgangspunkt alene at være

tilgængelige for en begrænset kreds i form af ”venner”, og vil derfor

ikke umiddelbart være offentliggjort af den registrerede i persondata-

lovens forstand. Videregivelse kan derfor ikke ske på grundlag af, at

oplysninger er offentliggjort af personen selv, og en eventuel hjem-

mel skal findes i andre behandlingsregler i lovens §§ 6-8.

Datatilsynet bemærker, at enhver håndtering af personoplysninger

er en behandling. En behandling kan således bl.a. være registrering,

opbevaring og videregivelse.

Den dataansvarlige skal allerede ved registreringen af personoplys-

ninger have en hjemmel til behandlingen. Ud over, at der skal være et

grundlag for at foretage behandling af personoplysninger, skal be-

handlingen endvidere være i overensstemmelse med de grundlæg-

gende generelle betingelser i persondatalovens § 5.

Vedrørende forsikringsselskabers behandling af personoplysninger

kan i øvrigt henvises til Datatilsynets afgørelse i sagen 2012-213-

0047, som er offentliggjort på tilsynets hjemmeside.

Det tilføjes uddybende vedrørende persondatalovens § 5, at det føl-

ger af bestemmelsen, at indsamling af oplysninger skal ske til udtryk-

keligt angivne og saglige formål, ligesom de oplysninger, der behand-

les skal være relevante og tilstrækkelige. Oplysninger, der ikke er re-

levante, kan som udgangspunkt ikke behandles inden for rammerne af

persondatalovens § 5.”