Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 17. maj 2002.
Computerworld Jura handler i denne uge om den tilsyneladende uoverensstemmelse, der er imellem personhensynet - at undgå krænkende personregistrering - og det tilsyneladende videregående databehandlingsforbud, som gælder ifølge Betalingsmiddelloven for udstedere af betalingsmidler.
Det er et indarbejdet princip i dansk ret, at registrering og behandling af oplysninger om personer er undergivet begrænsninger, herunder i såvel Persondataloven som i visse øvrige dele af lovgivningen. Begrænsningerne har til formål at varetage det generelle politiske hensyn at undgå registrering og behandling af personlige oplysninger, som vil være krænkende for det registrerede individ.
Dette politiske hensyn kan i mange situationer optræde i direkte modsætning til den interesse, som erhvervsdrivende kan have i at registrere og behandle kundeoplysninger i bred forstand. I et netværkssamfund og med stadigt stigende digitalisering af transaktions- og informationsprocesser, vil der akkumuleres betydelige mængder af digitale data, som med effektive værktøjer til såkaldt data mining kan bibringe den erhvervsdrivende værdifulde oplysninger om mønstre og tendenser til brug for driften af virksomheden.
Den politiske afvejning er overordnet set forsøgt løst ved at sondre mellem på den ene side personhenførbare oplysninger, for hvilke der gælder særlige restriktioner, og ikke-personhenførbare oplysninger, for hvilke der som udgangspunkt gælder ingen eller færre restriktioner for registrering og behandling. Ved "personhenførbar" forstås i juridisk forstand, at den pågældende oplysning, direkte eller indirekte, kan føres tilbage til et bestemt individ.
Inden for visse dele af lovgivningen findes regler, som gælder i tillæg til Persondataloven, og som yderligere begrænser adgangen til registrering og behandling af persondata i særlige situationer. Et eksempel på sådanne regler er Lov om visse betalingsmidler (Betalingsmiddelloven), der regulerer visse typer af betalingskort og betalingstransaktionsstøttende systemer, som baserer sig på elektronisk brugeridentifikation og brugerspecifikke kodeord.
Denne artikel behandler den tilsyneladende uoverensstemmelse, der er imellem personhensynet - at undgå krænkende personregistrering - og det tilsyneladende videregående databehandlingsforbud, som gælder ifølge Betalingsmiddelloven for udstedere af betalingsmidler.
Persondataloven
Efter Persondataloven er det tilladt at indsamle personhenførbare oplysninger, såfremt visse særlige betingelser er opfyldt, herunder navnlig at den registrerede har givet sit udtrykkelige samtykke til databehandlingen. Når der bortses fra helt sædvanlig databehandling såsom almindelige kunderegistre og lignende, vil det i de fleste af de tilfælde, hvor en kommerciel udnyttelse af akkumulerede data kommer på tale, herunder data mining, i praksis være nødvendigt enten at indhente samtykke eller at behandle data i anonymiseret form.
Anonymisering af databehandlingen vil i de fleste tilfælde være tilstrækkelig til at lovliggøre behandlingen af de pågældende oplysninger, eksempelvis oplysninger til en web-handelssite om, hvornår på døgnet der handles, hvilke varetyper der købes m.v. Oplysninger om, hvilke individer, der har givet anledning til generering af de enkelte oplysninger, vil som hovedregel ikke kunne behandles, medmindre de pågældende personer har samtykket heri.
Betalingsmiddelloven
Betalingsmiddellovens ¤ 13 indeholder i forhold til de generelle databehandlingsregler i Persondataloven en række skærpede betingelser for behandling af personoplysninger, når disse indsamles via et betalingsmiddel, der er omfattet af loven. Bestemmelsen fokuserer på behandling af oplysninger om, hvor brugerne af pågældende betalingssystem har anvendt deres betalingsmiddel og hvad de har købt. For så vidt angår denne type af oplysninger, er det ikke tilladt at foretage nogen behandling, medmindre det enten er nødvendigt til gennemførelse eller korrektion af betalingstransaktioner eller andre funktioner knyttet til betalingsmidlet eller det er nødvendigt til retshåndhævelse eller for at hindre misbrug.
Det er på trods af ovenstående tilladt at behandle oplysninger om, hvor brugerne har anvendt deres betalingsmidler, når (1) dette er nødvendigt for udstederens rådgivning af en bruger, og når de oplysninger, der frembringes, alene angår, hvilke typer betalingstransaktioner brugeren foretager, eller når (2) behandlingen er nødvendig for udstederens tilpasning af betalingssystemer, således at disse er sikre, effektive og tidssvarende.
Både personhenførbare og
anonyme oplysninger
Problemet er, at de pågældende bestemmelser i Betalingsmiddellovens ¤ 13 formentlig omfatter såvel personhenførbare kundeoplysninger som anonyme kundestatistikker. Det fremgår af de lovforberedende bemærkninger til Betalingsmiddelloven, at det har været hensigten med loven udtømmende at angive til hvilke formål, der kan ske behandling af oplysninger om, hvor betalingsmidlerne har været anvendt, og hvad der er købt. Formålet er at sikre, at sådanne oplysninger ikke benyttes til eksempelvis opstilling af forbrugsprofiler og kortlægning af forbrugernes forbrugsmønstre. I bemærkningerne nævnes det tillige, at rækkevidden af begrænsningerne er blevet udvidet, idet den pågældende bestemmelse fremover også gælder for oplysninger om en flerhed af brugere, eksempelvis oplysninger om, hvor personer i en bestemt aldersgruppe eller i et bestemt geografisk område anvender deres betalingsmidler.
Der er således næppe tvivl om, at Betalingsmiddellovens ¤ 13 omfatter både personhenførbare og anonyme kundeoplysninger om, hvor betalingsmidlet benyttes som betalingsmiddel, og hvad der er købt. Bestemmelsen vil derfor bl.a. være til hinder for videregivelse af anonyme kundestatistikker vedrørende kundegrupper.
Dertil kommer, at den pågældende bestemmelse i medfør af Betalingsmiddellovens ¤ 17 ikke kan fraviges til skade for brugeren. Her går beskyttelsen altså videre end Persondatalovens generelle princip, hvorefter der som udgangspunkt ikke er forbud mod behandling af personhenførbare oplysninger, såfremt den registrerede har givet sit udtrykkelige samtykke.
Problemet
Generelle kontooplysninger, herunder brugerens navn, cpr-nr., oplysning om betalingsdato, beløb, saldooplysninger m.v., som betalingsmiddeludstederen er i besiddelse af, er ikke omfattet af de skærpede bestemmelser. Disse oplysninger er alene reguleret af de almindelige behandlingsregler i Persondataloven, i det omfang der er tale om personhenførbare oplysninger. Er der imidlertid tale om oplysninger om, hvor brugerne har anvendt deres betalingsmiddel, og hvad de har købt, gælder de nævnte yderligere restriktioner.
Konsekvensen af regelkombinationen vil antagelig være, at oplysninger om, hvor brugerne har anvendt deres betalingsmiddel, og hvad de har købt, ikke må registreres og behandles af betalingsmiddeludstederen (medmindre de særlige undtagelsesregler gælder), hvorimod det enkelte web-handelssite selv kan registrere og behandle de pågældende oplysninger, blot de almindelige regler i Persondataloven om anonymisering og om forudgående orientering er opfyldt.
Problemet med bestemmelsen i Betalingsmiddellovens ¤ 13 er, at den ikke som Persondataloven tager udgangspunkt i det umiddelbart logiske kriterium om, hvorvidt den pågældende oplysning er personhenførbar og dermed siger noget om et bestemt individ, men lader dette være uden betydning for reglens anvendelse. Også anonyme data er omfattet. Dette er interessant, fordi det bærende retspolitiske hensyn bag registerlovgivning normalt er personbeskyttelse, et hensyn, der forekommer tilstrækkeligt varetaget i og med, at oplysningerne er anonymiseret.
Konklusionen understøttes af bemærkningerne til loven om sikring imod, at sådanne oplysninger ikke benyttes til opstilling af forbrugsprofiler og kortlægning af brugernes forbrugsmønstre, selv om det også her er vanskeligt at se, hvorledes dette formål hænger sammen med de normale hensyn om beskyttelse af persondata.
Forbrugerombudsmanden, som er tilsynsmyndighed for Betalingsmiddelloven, har endnu ikke udtalt sig om fortolkningen af ¤ 13, hverken i konkrete sager eller generelt.
Boks:
Af Carsten Raasteen (cr@kromannreumert.com) og Søren Skibsted (ssk@kromannreumert.com) er tilknyttet Kromann Reumerts afdeling for IT-ret og beskæftiger sig blandt andet med IT-systemkontrakter, softwarelicens- og supportaftaler, IT-konsulentaftaler, web-aftaler, juridiske spørgsmål vedrørende internet og e-commerce samt køb, salg og finansiering af IT-virksomheder.
