Spørgsmål

Er det uproblematisk, at forsyningen anmoder om en kundes cpr-nummer?

DANVAs vurdering

Med undtagelse af inddrivelsestilfælde, har en forsyning ikke krav på at få kundens cpr-nummer. Kunderne skal derfor i alle øvrige situationer give samtykke til forsyningens behandling heraf. Dette samtykke skal opfylde betingelserne i art. 7 og forordningens definition af samtykke.

DANVA anbefaler, at såfremt forsyningen ønsker at indhente et ”pulje-samtykke”, så sker dette ved en samtykkeformular, hvor kunden har mulighed for at samtykke til et forhold og undlade at samtykke til et andet.

Uddybende svar

Retsgrundlag

Ifølge Databeskyttelsesforordningens art. 2, gælder persondatareglerne for alle former for behandling af personoplysninger – og det samme gør sig gældne hvis personoplysningerne er eller vil blive indeholdt i et register. Forsyningers anmodning om en kundes cpr-nummer vil derfor være omfattet af persondatareglerne.

Databeskyttelseslovens (lov nr. 502 af 23/05/2018) materielle anvendelsesområde er fastlagt under hensyn til den nævnte artikel, se forarbejderne pkt. 2.1.1.1 og persondatalovens § 1. Behandlingen af sådanne almindelige personoplysninger skal derfor også ske i overensstemmelse med databeskyttelseslovens bestemmelser.

Emnet i det aktuelle spørgsmål giver ikke anledning til nærmere omtale af undtagelsessituationerne omtalt i art. 2.
Cpr-nummer er en almindelig personfølsom oplysning. Behandlingen af disse oplysninger reguleres derfor i databeskyttelsesforordningens art. 6.

Databeskyttelseslovens § 11, stk. 2, regulerer, hvornår private virksomheder må behandle oplysninger om cpr-nummer. Bestemmelsen har følgende ordlyd:

”Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lovgivningen,

2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller

4) betingelserne i § 7 er opfyldt.”

I det følgende behandles § 11, stk. 2, nr. 1, nr. 2 og nr. 3.

Det er vigtigt at bemærke, at databeskyttelsesregler alene bestemmer, hvorvidt forsyningen må registrere sine kunders cpr-nummer. Reglerne regulerer ikke, hvornår forsyningen har krav på sine kunders personnummer. Her må afsættes tages i anden lovgivning.

Inddrivelsesloven

Forsyningens adgang til at få oplyst cpr-nummer er – foruden reguleringen i databeskyttelsesforordningen og persondataloven – reguleret i inddrivelseslovens (lbk nr. 29 af 12/01/2015) § 2, stk. 5 og 6, som lyder således:

"Stk. 5. Ved overdragelse af fordringer til restanceinddrivelsesmyndigheden skal en kommunalt ejet forsyningsvirksomhed eller den, der på dennes vegne opkræver fordringen, oplyse skyldnerens personnummer. Hvis forsyningsvirksomheden ikke er i besiddelse af skyldnerens personnummer, skal forsyningsvirksomheden eller den, der på dennes vegne opkræver fordringen, inden overdragelsen af fordringen skriftligt anmode skyldneren om inden for en nærmere angiven frist at oplyse sit personnummer. Anmodningen skal indeholde oplysning om adgangen til at indhente skyldnerens personnummer fra Det Centrale Personregister efter fristens udløb, jf. stk. 6.

Stk. 6. Har skyldneren ikke oplyst sit personnummer inden for den angivne frist, eller foreligger der begrundet tvivl om rigtigheden af skyldnerens oplysning herom, kan forsyningsvirksomheden eller den, der på dennes vegne opkræver fordringen, ved henvendelse til en kommunalbestyrelse efter forudgående entydig identifikation af skyldneren få oplyst skyldnerens personnummer fra Det Centrale Personregister. Kommunalbestyrelsen skal behandle anmodningen senest 10 hverdage efter modtagelsen heraf."

Forsyningen har altså mulighed for at kræve en kundes cpr-nummer, selvom kunden ikke samtykker hertil, hvis forholdet er omfattet af inddrivelseslovens § 2, stk. 5.

Nærmere om samtykke

Et "samtykke" er defineret i databeskyttelsesforordningens art. 4, nr. 11, som værende enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Der er særlige krav til et samtykke i Databeskyttelsesforordningens artikel 7.

Kravet om specifikt samtykke medfører, at den registreredes samtykke altid skal indhentes til et specifikt angivet formål. Forsyningerne må med andre ord ikke få et generelt samtykke af sine kunder til behandling af personoplysninger.

Spørgsmålet er herefter, om kunder kan give forsyningen et såkaldt ”pulje-samtykke”, dvs. et samtykke til behandling af sine personoplysninger til flere specifikke formål. Her sondres mellem to situationer:

  1. De specifikke tilfælde er oplistet i samtykkeformularen med et felt til hvert tilfælde, som kunden krydser af, dvs. hvor kunden har valgfrihed og kan undlade at give samtykke i alle oplistede tilfælde.
  2. De situationer, hvor sådanne valgmuligheder ikke er muligt, dvs. hvor kunden ved sit samtykke, samtykker til alle oplistede tilfælde.

Om pulje-samtykke følger det af art. 7, stk. 2:

”Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog.”

Af ordlyden kan således ikke direkte udledes et forbud mod situation 2.

Ifølge datatilsynets officielle udtalelser er pulje-samtykke alene i overensstemmelse med databeskyttelsesreglerne, såfremt der indhentes samtykke for hvert enkelt formål. Forsyningen skal derfor tilbyde kunden mulighed for at samtykke til et formål og undlade at samtykke til et andet. Se hertil Datatilsynets vejledning om samtykke (november 2017) pkt. 3.4.

Selvom det er DANVAs indtryk, at det mundtlige udmeldinger fra Datatilsynet er blevet mindre rigide, og databeskyttelsesforordningen ikke forbyder pulje-samtykke uden valgfrihed, anbefaler DANVA alligevel forsyningerne til at følge de officielle, danske udmeldinger. Forsyningerne bør derfor udforme sin samtykkeformular med flere samtykker, således at kunden har valgfrihed.  

Det bemærkes, at den registrerede (kunden) til enhver tid kan tilbagekalde sit samtykke, se databeskyttelsesforordningens art. 7, stk. 3.

Led i den normale drift og afgørende betydning

Forsyningen må også behandle personnumre, når dette sker som led i den normale drift af forsyninger – og når besiddelsen af cpr-nummeret er af afgørende betydning for at sikre en entydig identifikation af kunden.

Det er den sidste forudsætning som ikke kan siges at være opfyldt; hvilket hænger sammen med at kunder også kan være registreret ved bl.a. unikke målernumre.

For yderligere om persondata for vandselskaber henvises til DANVA vejledning nr. 100.

 

Disclaimer

DANVAs vurderinger af de juridiske problemstillinger er tænkt som sparring/vejledning, som kan anvendes i forsyningernes egen sagsbehandling. Vurderingerne er foretaget med afsæt i gældende lovgivning og praksis på tidspunktet for vurderingen, og der tages således forbehold for eventuelle, senere lovændringer og/eller ændring af rets- og administrativ praksis. DANVA påtager sig herefter intet ansvar for eventuelle tab eller skader som følge af det publicerede materiale under ”Spørgsmål & Svar” eller tredjemands brug heraf, hvad enten dette skyldes fejl og uhensigtsmæssigheder i eller manglende opdatering af materialet eller andre årsager.