PERSONOPLYSNINGER VIA INTERNETTET

Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor

Mange virksomheder behandler hver dag personoplysninger fra deres kunder, f.eks. i forbindelse med salg af varer og tjenesteydelser. I den forbindelse overføres personoplysninger om kunden ofte via internettet eller e-mail.

Persondatalovens § 41 stiller krav om, at personoplysninger skal beskyttes med de nødvendige sikkerhedsforanstaltninger for at sikre mod bl.a. misbrug, videregivelse og tilintetgørelse af oplysningerne. Det er efter persondataloven op til den enkelte virksomhed at vurdere og beslutte hvilke sikkerhedsforanstaltninger, der skal anvendes henset til arten af oplysninger og de relevante risici.

Hidtil har Datatilsynet anbefalet, at den private sektor fulgte de sikkerhedskrav, som Datatilsynet stillede til den offentlige sektor, herunder sikkerhedsbekendtgø-relsen. Det er derfor en nyskabelse, at Datatilsynet i juni 2008 har udstedt krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor.

Med Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor er der foretaget en afvejning mellem på den ene side hensynet til beskyttelse af personoplysninger mod misbrug o.l. og på den anden side hensynet til effektiv anvendelse af internettet og e-mail som kommunikationsmidler for den private sektor.

Datatilsynet stiller kun udtrykkeligt krav om kryptering ved overførsel af følsomme personoplysninger og personnumre via hjemmesider, samt hvor behandlingen af personoplysninger sker efter tilladelse med vilkår om konkrete sikkerhedsforanstaltninger.

På andre områder har Datatilsynet ikke opstillet krav om kryptering, men anbefaler kryptering ved overførsel af alle personoplysninger over internettet samt i tilfælde, hvor følsomme personoplysninger eller personnumre sendes i en e-mail eller som vedhæftet fil til en e-mail. 

Også hvor en hjemmeside giver adgang til personoplysninger, skal det sikres at oplysningerne ikke falder i de forkerte hænder. Dette kan sikres ved brug af en pinkode eller digital signatur. I de tilfælde hvor der gives adgang til følsomme personoplysninger, anbefaler Datatilsynet, at der anvendes digital signatur.

Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet og e-mail i den private sektor har været behandlet i Datarådet og vil blive lagt til grund af Datatilsynet ved administration af persondatalovens sikkerhedskrav i forhold til den private sektor.

Såfremt Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor ikke følges, må det forventes, at Datatilsynet udsteder et påbud. Såfremt et sådant påbud ikke efter-kommes, vil der normalt ske politianmeldelse.

Det forventes, at Datatilsynets krav og anbefalinger vil blive ændret og tilpasset i takt med den teknologiske udvikling på området.

Spørgsmål til Datatilsynets krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor kan stilles til Juridisk Helpdesk, administreret af Lett Advokatfirma.