Advokaten 7 Persondataloven - gælder den også for advokater?

Print Print
22-09-2015

 

Persondataretten er i rivende udvikling, og der efterspørges rådgivning som aldrig før. Dette til trods er advokatvirksomheders databeskyttelse på de interne linjer ikke lige højt prioriteret alle steder. Mange advokater er fortsat ikke opmærksomme på de problemer, loven kan medføre. Dette kan fremover tillige blive en meget bekostelig affære.

Af advokat Jens Harkov Hansen (CIPP/E), Norrbom Vinding

Det er nu 15 år siden, at persondataloven trådte i kraft. Loven implementerer EU’s databeskyttelsesdirektiv og sætter rammerne for, hvordan blandt andet private virksomheder skal omgås personoplysninger.
Kendetegnende for reglerne er, at det typisk beror på en konkret vurdering, om en bestemt behandling af personoplysninger kan finde sted. Loven indeholder samtidig en række formelle krav og pligter – alt fra sikkerhedselementer, formelle regler om oplysningspligt og indsigtsret samt bestemmelser om anmeldelses- og tilladelseskrav, hvor Datatilsynet skal involveres.
I det følgende fokuseres på en række af de persondataretlige problemstillinger, som advokater møder, når advokaten kommer i berøring med personoplysninger.

Advokatens rolle
I den persondataretlige verden er omdrejningspunktet omgangen med personoplysninger. Men begreberne ‘den dataansvarlige’ og ‘databehandleren’ er endvidere centrale. Det er således den dataansvarlige, der i første række står på mål for, at lovens regler overholdes, da den dataansvarlige skal have hjemmel til at behandle personoplysningerne. Også lovens regler om oplysningspligt og anmeldelse til Datatilsynet påhviler den dataansvarlige. Desuden er det den dataansvarlige, der ifalder straf- og erstatningsansvar.
Det er ikke altid lige let at finde ud af, om advokaten agerer som dataansvarlig eller databehandler. Den dataansvarlige defineres blandt andet som den fysiske eller juridiske person, der afgør, til hvilket formål der må foretages behandling af oplysninger. Databehandleren defineres derimod som den fysiske eller juridiske person, der alene behandler oplysninger på den dataansvarliges vegne.
Og hvem er så dataansvarlig for de personoplysninger, som advokaten kommer i berøring med? Er det advokaten som person? Er det advokatvirksomheden? Er det klienten?
Afhængigt af omstændighederne kan der svares bekræftende på alle tre spørgsmål. I mange tilfælde vil den dataansvarlige dog ikke være en fysisk person. Men agerer advokaten alene på egne vegne – uden at være en del af en virksomhed med flere advokater eller ansatte medarbejdere – vil advokaten som fysisk person kunne være dataansvarlig. I det følgende vil begrebet ‘advokaten dog omfatte både advokatvirksomheden og den enkelte advokat.

Formålet er afgørende
Advokaten er dataansvarlig for de personoplysninger, som behandles til egne formål. Som eksempel stiller hvidvaskningsloven krav om, at der indhentes og opbevares dokumentation for visse klienters identitet – for eksempel kopi af pas, kørekort eller lignende. Disse personoplysninger behandles til advokatens egne formål, og advokaten er dermed dataansvarlig.
Behandles der personoplysninger om klienten, hvor advokaten er dataansvarlig, skal advokaten sikre sig hjemmel til behandlingen. Dette giver almindeligvis ikke anledning til udfordringer, særligt ikke hvis oplysningerne er afgivet af klienten selv. Hjemlen kan eksempelvis være opdraget, ligesom der kan påhvile advokaten en retlig forpligtelse til at indsamle og opbevare personoplysningerne.
Anderledes forholder det sig, når advokaten rådgiver klienten og til brug herfor modtager oplysninger fra klienten. Her er udgangspunktet, at klienten overlader personoplysninger til advokaten. Advokaten fungerer derved som databehandler for klienten, og advokaten kan derfor behandle personoplysninger i samme omfang som klienten. Dette vil blandt andet være tilfældet, hvis advokaten modtager oplysninger om en virksomheds medarbejder med henblik på at vurdere, om der er grundlag for en bortvisning, eller hvis advokaten modtager oplysninger om personer, der vil skulle bruges som vidner. Det kan også være personoplysninger om klienten selv til brug for udarbejdelse af et testamente eller en ægtepagt. Der findes et utal af eksempler på, hvornår advokaten behandler personoplysninger for at kunne rådgive klienten, og advokaten behøver i den sammenhæng ikke gøre sig mange overvejelser om hjemmelsgrundlaget.

Omgang med klientoplysninger
Når advokaten omgås klientoplysninger, må man blandt andet sikre sig, at oplysningerne behandles med den fornødne sikkerhed, og at alene relevant personale med videre har adgang til oplysningerne.
Advokaten er forpligtet til at sikre sig, at medarbejdere hos advokaten behandler personoplysningerne efter instruks, ligesom advokaten må være opmærksom på sikkerhedsrisici, herunder ved e-mailkorrespondance. Sidstnævnte er særlig relevant, hvor klienten er en fysisk person, som måske korresponderer med advokaten via sin private hotmail-adresse. I sådanne tilfælde kan korrespondancen som udgangspunkt ikke foregå sikkert, og e-mailkorrespondancen vil sikkerhedsmæssigt svare til at sende oplysningerne via et postkort. Oplysningerne vil nemlig kunne læses af uvedkommende undervejs i forsendelsen. Især hvis der tale om følsomme oplysninger om klienten – som i straffesager eller arbejdsskadesager – bør disse slet ikke sendes over det åbne internet.
For kommer advokatens e-mailkorrespondance med klienten uvedkommende til kendskab, er det advokaten, der bærer ansvaret.

Advokaten som arbejdsgiver
De fleste advokatvirksomheder har medarbejdere ansat. Og behandles der følsomme oplysninger om disse – såsom helbredsoplysninger, straffeattest eller oplysninger, der stammer fra personlighedstests – skal der indhentes forudgående tilladelse fra Datatilsynet. I den forbindelse vil advokatvirksomheden blive underlagt de særlige vilkår, som Datatilsynet stiller i forbindelse med personaleadministration.
Også forholdet til eventuelle databehandlere skal overvejes. Dette er relevant, hvis it-opgaver er outsourcet eller, hvis rekrutteringsopgaver er lagt ud til en ekstern leverandør, herunder ved ekstern bistand til indhentelse af personlighedstest. Advokatvirksomheden må i den forbindelse overveje, om der er indgået de fornødne databehandleraftaler, samt om den eksterne leverandør behandler personoplysningerne i et tredjeland, således at lovens særlige regler herom iagttages.
Herudover er der en række problemstillinger, som særligt rammer arbejdsgivere. Det falder uden for rammerne af denne artikel at komme ind på alle disse, men det er værd at være opmærksom på, at mange persondataretlige tvister netop opstår i relation til HR – det gælder alt fra referenceindhentning til gennemgang af medarbejderes e-mails. Erfaringsmæssigt er mange arbejdsgivere ikke opmærksomme på de krav, som persondataloven stiller, og de udfordringer, som manglende iagttagelse medfører.

Advokatens øvrige kasketter
Udover rollen som arbejdsgiver varetager advokater en række forskellige hverv, der adskiller sig fra den klassiske rådgiverrolle. Det være sig som bestyrelsesmedlem, personlig værge, i forbindelse med drift af inkassovirksomhed, ved formidling af viden om domme og afgørelser via advokatens hjemmeside eller ved håndtering af whistleblower-ordninger for virksomheder.
Også i disse tilfælde må advokaten være sig sit ansvar bevidst og håndtere personoplysninger i tråd med loven. Særligt i relation til drift af whistleblower-ordninger, der er blevet særdeles populære de senere år, må advokaten være opmærksom på de krav, som Datatilsynet stiller, ligesom advokaten må sørge for at fremgå som databehandler af den anmeldelse, der indgives til Datatilsynet.
Men også i relation til formidling af viden om domme og afgørelser – såkaldt retsinformationstjeneste – må advokaten i relevant omfang sørge for, at der er indhentet tilladelse fra Datatilsynet.

Og det stopper ikke her
Persondataretten får ikke mindre betydning i fremtiden. Et forslag til ny persondataforordning er undervejs i EU og vil på sigt erstatte persondataloven. EU-Kommissionen fremsatte sit forslag tilbage i 2012, og derefter er såvel Europaparlamentet som Rådet blevet enige om den form, som de hver især mener, at en kommende forordning skal have. Senest vedtog Rådet sin version 15. juni 2015.
Selvom der fortsat udestår forhandlinger mellem Rådet og Europaparlamentet, inden den endelige forordning foreligger, er der ikke tvivl om, at de nye persondataregler vil betyde øget fokus på databeskyttelsen. Alene de svimlende bødestørrelser, der lægges op til, bør kunne give selv den mest garvede managing partner sved på panden: Europaparlamentet har således foreslået et bødeniveau på op til 5 procent af omsætningen. Så det gode råd må være, at hvis man ikke allerede har styr på databehandlingen på de interne linjer, er der god grund til at få det nu.



Jens Harkov Hansen
Advokat hos Norrbom Vinding, hvor han rådgiver om alle forhold inden for persondataretten, herunder med særligt fokus på HR-området. Tidligere ansat i både Datatilsynet og Justitsministeriets departement, hvor han har erhvervet sig en persondataretlig viden på højt niveau.
Desuden har han som en af få danske advokater opnået international certificering inden for europæisk databeskyttelsesret (CIPP/E). Dertil kommer betydelig undervisningserfaring inden for området. Jens Harkov Hansen varetager desuden et eksternt lektorat ved Københavns Universitet.