Påbud fra Datatilsynet

Datatilsynet har for nylig offentliggjort en afgørelse, hvor en virksomhed påbydes at ophøre med at offentliggøre oplysninger om personer, der som led i deres arbejde varetager hverv som fuldmægtige for domæneregistranter.

Norrbom_Sara_127_WEB.jpg

Medlemsstaternes tilsynsmyndigheder – i Danmark Datatilsynet – har til opgave at føre tilsyn med og håndhæve efterlevelsen af databeskyttelsesforordningen. Tilsynsmyndighederne har bl.a. beføjelse til at udstede advarsler til eller udtale kritik af dataansvarlige eller databehandleres behandlingsaktiviteter. Tilsynsmyndighederne kan endvidere udstede påbud om, at konkrete behandlingsaktiviteter bringes i overensstemmelse med forordningen.

Sagen for Datatilsynet udsprang af en klage fra en medarbejder, der som led i sit arbejde ofte varetog rollen som fuldmægtig for domæneregistranter. Medarbejderen klagede til Datatilsynet over, at en virksomhed offentliggjorde medarbejderens personoplysninger, bl.a. navn og adresse, i en database indeholdende oplysninger om domæneregistranter.

Virksomheden anførte, at offentliggørelsen af oplysningerne om fuldmægtige var begrundet i samfundsmæssige hensyn, bl.a. behovet for gennemsigtighed og kriminalpræventive formål. Derudover henviste virksomheden til, at fuldmægtige har mulighed for undgå offentliggørelse af deres personoplysninger i databasen ved at vælge navne- og adressebeskyttelse i CPR-registret.

I strid med databeskyttelsesforordningen
Datatilsynet delte ikke virksomhedens opfattelse af, at offentliggørelse af fuldmægtigens personoplysninger var nødvendig af hensyn til udførelse af en opgave i samfundets interesse. Datatilsynet fandt endvidere ikke, at behandlingen af personoplysningerne var begrænset til, hvad der var nødvendigt i forhold til de påberåbte formål.

Datatilsynet anførte, at virksomheden ikke havde redegjort tilstrækkeligt for, hvorfor offentliggørelsen af oplysningerne var nødvendig, og lagde i den forbindelse vægt på, at et eventuelt ansvar for indhold på et domænenavn som udgangspunkt vil skulle gøres gældende over for selve domæneregistranten – og ikke dennes fuldmægtige.

Datatilsynet bemærkede endelig, at de påberåbte formål ville kunne opnås gennem mindre indgribende midler, fx ved at videregive oplysninger om fuldmægtige for domæneregistranter efter anmodning herom.

Virksomheden blev derfor meddelt et påbud om at ophøre med at offentliggøre klagers personoplysninger samt personoplysninger om fuldmægtige for domæneregistranter i øvrigt. Datatilsynet fastsatte en frist på 4 uger for efterlevelse af påbuddet.

Norrbom Vinding bemærker

  • at afgørelsen er det først kendte eksempel på, at Datatilsynet i medfør af sine beføjelser i henhold til databeskyttelsesforordningen har meddelt en dataansvarlig eller en databehandler et påbud om at bringe behandlingsaktiviteter i overensstemmelse med forordningen, og
  • at manglende efterlevelse af et påbud vil kunne straffes med bøde eller fængsel i op til 6 måneder.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet