Datatilsynets afgørelse af 14. marts 2013 vedrørende Etikportalerne

Print Print
15-03-2013

Vedrørende behandling af personoplysninger hos Etik Portalerne ApS

1. I henhold til persondatalovens § 48 har du den 5. juni og 23. juli 2012 på vegne af Etik Portalerne ApS anmeldt påtænkt behandling af personoplysninger til Datatilsynet samt ansøgt om tilladelse i henhold til § 50, stk. 1, nr. 1. 

Efter telefoniske drøftelser mellem dig og Datatilsynet er anmeldelserne samlet til én anmeldelse, og tilsynet har efter aftale med dig foretaget enkelte rettelser i anmeldelsen. 

Behandlingens formål er ifølge anmeldelsen at formidle information om forskellige brancher, herunder allerede offentliggjorte nævnsafgørelser, i forbindelse med valg af professionel assistance med henblik på at give brugerne en let og overskuelig adgang til disse oplysninger. 

Det fremgår af den generelle beskrivelse af behandlingen, at der på Etik Portalerne ApS’ hjemmeside, ”Etik Portalen”, offentliggøres kontaktoplysninger til den enkelte virksomhed, herunder advokater, revisorer, banker mfl., og oplysninger om virksomhedernes specialeområder samt nævnsafgørelser (allerede offentliggjorte afgørelser i adfærds- og honorarklagesager). 

Det fremgår, at der behandles oplysninger om advokater, revisorer, sundhedspersoner, ejendomsmæglere og forsikringsselskaber. 

Om registrerede personer, herunder enkeltmandsejede virksomheder, behandles der oplysninger om arbejdsadresser, telefonnumre, mailadresser og specialeområde. Der behandles endvidere oplysninger om nævnsafgørelser, som kan indeholde oplysninger om strafbare forhold og andre rent private forhold. 

Om sikkerhedsforanstaltningerne er det oplyst, at oplysningerne, der alene behandles elektronisk, er beskyttet med adgangskode, firewall og antivirusprogram. Oplysninger, der ikke findes på Etik Portalerne ApS’ officielle hjemmeside, er endvidere beskyttet med kryptering. 

Om sletning er det oplyst, at oplysningerne senest slettes efter 36 måneder. 

2. Datatilsynet skal – efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:  

2.1. De oplysninger om advokater, revisorer, sundhedspersoner og ejendomsmæglere, herunder afgørelser i klage- og tilsynssager, som Etik Portalerne ApS offentliggør på sin hjemmeside, er omfattet af persondatalovens[1] § 1, stk. 1.

Persondataloven gælder således ifølge § 1, stk. 1, bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. 

Det bemærkes særligt, at oplysninger vedrørende enkeltmandsejede virksomheder anses for personoplysninger omfattet af loven. 

2.2. Persondataloven finder ikke anvendelse, hvis det vil være i strid med informations- og ytringsfriheden, jf. Den Europæiske Menneskerettighedskonventions artikel 10. Det fremgår af persondatalovens § 2, stk. 2.

Ved vurderingen af om personoplysninger må offentliggøres f.eks. på internettet, skal hensynet til informations- og ytringsfriheden således tages i betragtning. Der skal efter Datatilsynets opfattelse foretages en konkret afvejning af på den ene side hensynet til beskyttelsen af privatlivet og på den anden side hensynet til informations- og ytringsfriheden med henblik på at sikre, at persondatalovens regler ikke unødigt medfører indskrænkninger i disse frihedsrettigheder.

Under henvisning hertil og til bestemmelserne om interesseafvejning i persondatalovens § 6, stk. 1, nr. 7, og § 8, stk. 4 og 5, finder Datatilsynet, at Etik Portalerne ApS kan få tilladelse til at omtale allerede lovligt offentliggjorte afgørelser i klage- og tilsynssager vedrørende advokater, revisorer, sundhedspersoner og ejendomsmæglere under følgende forudsætninger og vilkår fastsat i henhold til persondatalovens § 50, stk. 5: 

  1. Offentliggørelse af de omhandlede afgørelser i klage- og tilsynssager kan kun ske på Etik Portalerne ApS’ hjemmeside ”Etik Portalen” i den periode, hvor de er tilgængelige på de kompetente myndigheders og klage-/ankenævns hjemmesider.
  2. Det skal kontrolleres, at der ikke er fejl i gengivelsen af afgørelser eller kendelser. Fejl og lignende skal rettes eller slettes straks. Der henvises herved til persondatalovens § 5, stk. 4, hvorefter behandling af oplysninger skal tilrettes således, at der foretages den fornødne ajourføring af oplysningerne, og der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige og vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
  3. Der skal etableres foranstaltninger mod, at der på hjemmesiden kan tilføjes eller manipuleres med data/oplysninger i de offentliggjorte klage- og tilsynssager.
  4. Der skal være klar og tydelig information om, hvor de omhandlede afgørelser i klage- og tilsynssager gengives fra, herunder hvilken myndighed eller institution der er ansvarlig for den oprindelige offentliggørelse.
  5. Etik Portalerne ApS skal overholde de i bilag 1 anførte regler om behandlingssikkerhed, som udfylder persondatalovens § 41, stk. 3[2]

2.3. For så vidt angår den tidsmæssige begrænsning for offentliggørelse, jf. vilkår 1, har Datatilsynet lagt vægt på, at der ved reglerne om offentliggørelse af afgørelser mv. i klage- og tilsynssager på de respektive områder er foretaget en afvejning af, i hvilke tilfælde der er en sådan samfundsinteresse i, at sagerne offentliggøres, at hensynet til den enkelte person må vige herfor. Offentliggørelsen på Etik Portalen kan derfor efter tilsynets opfattelse ikke udstrækkes ud over de perioder, som er fastsat i reguleringen på de pågældende områder. 

Ovennævnte forudsætninger og vilkår er gældende indtil videre. Datatilsynet forbeholder sig ret til senere at tage disse op til revision, hvis der skulle vise sig behov for det. 

2.4. De fastsatte forudsætninger og vilkår er supplerende i forhold til reglerne i persondataloven samt i visse tilfælde udtryk for en præcisering af lovens regler. Det skal derfor understreges, at reglerne i persondataloven i øvrigt finder anvendelse. 

Datatilsynet skal særligt gøre opmærksom på, at registrerede personer har en række rettigheder efter persondatalovens §§ 28-29, § 31, § 35 og § 37. Datatilsynet kan i den forbindelse henvise til rettighedsvejledningen[3].  

Tilsynet gør endvidere opmærksom på, at persondataloven også finder anvendelse på den behandling, der finder sted forud for offentliggørelsen. Persondataloven finder f.eks. anvendelse på elektronisk behandling, der sker ved redigering af afgørelser, hvor persondatalovens sikkerhedsregler, herunder § 41, også skal iagttages. 

2.5. Datatilsynet er indstillet på at meddele tilladelse på de anførte vilkår og under forudsætning af, at persondatalovens regler, jf. ovenfor, iagttages i forbindelse med Etik Portalerne ApS’ virksomhed. 

3. Afsluttende bemærkninger

Eventuelle ændringer i de forhold, der er omfattet af anmeldelsen, skal meddeles Datatilsynet i overensstemmelse med persondatalovens § 51. 

Datatilsynet gør opmærksom på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2.[4]  

Beløbet bedes indbetalt til Danske Bank, Holmens Kanal 2-12, 1092 København K, registreringsnummer 0216 kontonummer 4069058132. 

Der bedes i den forbindelse henvist til Datatilsynets journalnummer (se forsiden af dette brev), således at Datatilsynet kan identificere indbetalingen. 

Endelig tilladelse vil blive udstedt, når Datatilsynet har modtaget betaling.  

Datatilsynet kan afslutningsvis oplyse, at persondataloven med tilhørende bekendtgørelser og vejledninger kan læses/hentes på Datatilsynets hjemmeside www.datatilsynet.dk under punktet “Lovgivning”. 

Datatilsynet beklager den lange sagsbehandlingstid, der skyldes stor travlhed i tilsynet. 

Med venlig hilsen
Janni Christoffersen
Direktør


[1] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

[2] Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer uvedkommende til kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

[3] Vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i
kapitel 8-10 i lov om behandling af personoplysninger.

[4] Idet ansøgningen er indgivet før den 1. januar 2013.