Print

Siden Datatilsynets udtalelse i 2005 om bibliotekers brug af ukrypterede e-mail-kvitteringer har der været efterspurgt regler for transmission af persondata over internettet for den private sektor. Nu har Datatilsynet sendt et notat i høring med henblik på endelig afklaring.

Persondataloven indeholder bl.a. en overordnet bestemmelse om datasikkerhed, hvorefter offentlige myndigheder og private virksomheder skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at persondata hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Bestemmelsen om datasikkerhed gælder både for den private og offentlige sektor. For den offentlige sektor er kravene til datasikkerhed nærmere udmøntet i sikkerhedsbekendtgørelsen og den tilhørende vejledning, som er udstedt af Datatilsynet. Sikkerhedsbekendtgørelsen gælder dog efter sin ordlyd kun for den offentlige forvaltning og domstolene. Der findes ikke en tilsvarende sikkerhedsvejledning for den private sektor, men det har været en uskreven regel, at private virksomheder også bør overholde tilsvarende krav, idet det har været Datatilsynets opfattelse, at sikkerhedsvejledningen for den offentlige forvaltning er udtryk for god databehandlingsskik, som skal følges af alle.

Baggrunden for at Datatilsynet nu sender et notat i høring er ”bibliotekssagen” fra 2005. Biblioteksstyrelsen anmodede dengang Datatilsynet om en udtalelse vedrørende bibliotekernes brug af ukrypterede e-kvitteringer. Datatilsynet fastslog, at de data, der overføres ved afsendelse af en e-mailkvittering til biblioteksbrugeren, er fortrolige personoplysninger, og at sådanne oplysninger skulle krypteres ved afsendelse over det åbne internet i overensstemmelse med sikkerhedsbekendtgørelsen. Ligeledes fastslog Datatilsynet, at en låner ikke kunne give samtykke til at modtage kvitteringerne ukrypteret. Bibliotekerne var således nødsaget til at kryptere alle elektroniske kvitteringer for lånereservationer eller helt ophøre med servicen. Efter en intens mediedækning af bibliotekssagen skiftede Datatilsynet imidlertid holdning, og udstedte med en konkret begrundelse en fem-årig dispensation til bibliotekerne.

Sagen havde dog allerede på dette tidspunkt medført en del debat om den private sektors, f.eks. online boghandlere, brug af e-mail kvitteringer til kunder, og der var en udbredt usikkerhed om, hvorvidt sådanne kvitteringer også skulle krypteres.

Datatilsynet udtalte, at både den offentlige og den private sektor skulle overholde sikkerhedskravet om kryptering. Efterfølgende har Datatilsynet modtaget en del spørgsmål om kryptering af mails i forbindelse med brug af diverse e-kvitteringer for køb af forskellige varer og tjenesteydelser over internettet. Det er på baggrund af disse forespørgsler og hensynet til den generelle retssikkerhed, at Datatilsynet nu har sendt et notat om sikkerhed ved transmissioner af personoplysninger via internettet i den private sektor i høring hos forskellige brancheorganisationer og større danske virksomheder.

Der er givet frist til den 1. august 2007 for indlevering af svar.

Denne artikel bringes af Forum Advokater – Lovorientering som led i et samarbejde med advokatfirmaet Bender von Haller Dragsted. Bender von Haller Dragsted leverer juridiske nyheder om it-ret til Lovorientering.