Samspillet mellem forvaltningsretten og databeskyttelsesretten
18.05.2021
Forvaltningsretten og databeskyttelsesretten indgår i et tæt samspil, hvor regler, grundsætninger og principper fra det ene retsområde kan påvirke det andet, f.eks. i forbindelse med indsamling, deling og sletning af personoplysninger.
Foto fra Civitas Advokaters domicil med malerier af John Kørner
AF ANDERS VALENTINER-BRANTH, RASMUS BLAABJERG OG HENRIK GRUNNET *)
Forvaltningsretten og databeskyttelsesretten indgår i et tæt samspil, hvor regler, grundsætninger og principper fra det ene retsområde kan påvirke det andet, f.eks. i forbindelse med indsamling, deling og sletning af personoplysninger. Det betyder, at offentlige myndigheder i forbindelse med deres behandling af personoplysninger skal være opmærksomme på både forvaltningsretten og databeskyttelsesretten - og ikke mindst på samspillet mellem de to retsområder. I denne artikel vil vi gennemgå en række centrale eksempler på tilfælde, hvor forvaltningsretten bliver påvirket af databeskyttelsesretten og omvendt.
Indledning
De almindelige forvaltningsretlige principper f.eks. officialmaksimen (undersøgelsesprincippet), legalitetsprincippet, grundsætningen om saglig forvaltning og proportionalitetsprincippet - gælder også for offentlige myndigheder, når de behandler personoplysninger, f.eks. som led i deres sagsbehandling.
Når en myndighed behandler personoplysninger, skal myndigheden imidlertid samtidig være opmærksom på også at overholde de databeskyttelsesretlige regler og principper, herunder f.eks. de almindelige databeskyttelsesretlige principper, som findes i databeskyttelsesforordningens artikel 5, stk. 1, og som blandt andet fastsætter, at personoplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede ("lovlighed, rimelighed og gennemsigtighed"),
- indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål ("formålsbegrænsning"),
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ("dataminimering"),
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles ("opbevaringsbegrænsning").
De forvaltningsretlige principper indgår i et tæt og som udgangspunkt harmonisk samspil med de databeskyttelsesretlige principper, og denne harmoni skal ses i lyset af, at det er et formål både med de forvaltningsretlige principper og med de databeskyttelsesretlige principper at sikre saglighed, egnethed, proportionalitet mv. blandt andet ved forvaltningens behandling af personoplysninger. Som følge heraf adskiller de begrænsninger, der følger af de forvaltningsretlige principper, sig som udgangspunkt ikke fra de begrænsninger, der følger af de databeskyttelsesretlige principper.
Dette kommer blandt andet til udtryk i FOB 2015-32, hvor ombudsmanden udtalte sig om en myndigheds adgang til at behandle personoplysninger i forbindelse med sagsbehandlingen. Ombudsmanden anførte i den forbindelse helt generelt følgende om § 5, stk. 3, i den dagældende persondata lov (dataminimerings princippet nu databeskyttelsesforordningens art. 5, stk. 1, litra c):
"Det antages, at bestemmelsen i bl.a. persondatalovens § 5, stk. 3, ikke går videre, end hvad der allerede følger af almindelige forvaltningsretlige principper om saglighed og proportionalitet i forbindelse med forvaltningens virksomhed [ ...]. Det antages endvidere, at offentlige myndigheder ved indsamling af oplysninger i afgørelsessager må have en ganske betydelig margin for, hvornår oplysninger skønnes relevante efter § 5, stk. 3."
Offentlige myndigheders adgang til at foretage sagsoplysning ved indsamling af personoplysninger, partshøring mv.
Et eksempel på det nævnte samspil er forholdet mellem den forvaltningsretlige officialmaksime (undersøgelsesprincippet) og det databeskyttelsesretlige princip om dataminimering i de tilfælde, hvor myndigheder foretager sagsoplysning, f.eks. i forbindelse med myndighedernes egen indsamling af personoplysninger eller ved videregivelse til andre aktører i forbindelse med en partshøring.
I sådanne tilfælde indebærer officialmaksimen på den ene side, at myndigheden skal oplyse den enkelte sag i et sådant omfang, at der f.eks. kan træffes en korrekt afgørelse på et fuldt oplyst grundlag. Dataminimeringsprincippet indebærer på den anden side, at der ikke kan behandles personoplysninger ud over, hvad der kan anses for tilstrækkeligt og relevant, og hvad der kan anses for nødvendigt i forhold til de formål, hvortil oplysningerne bliver behandlet, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Spørgsmålet er derfor, om dataminimeringsprincippet efter omstændighederne begrænser myndighedens (yderligere) sags oplysning.
Dette spørgsmål er omhandlet i Højesterets dom, U 2021.1058/2 H. Sagen vedrørte et spørgsmål om tidspunktet for forrentning af et krav om patienterstatning. Kravet skal efter erstatnings ansvarslovens § 16 og dens forarbejder forrentes fra 1 måned efter det tidspunkt, hvor Patienterstatningen var i stand til at indhente de oplysninger, der var nødvendige for at vurdere det rejste krav og dets størrelse. Landsretten fandt, at Patienterstatningen efter at have modtaget en psykiatrisk speciallægeerklæring kunne og burde have indhentet disse oplysninger, og at "hverken persondataloven eller forvaltningsretlige regler var til hinder herfor". Baggrunden for sagen var, at Patienterstatningen i sin sagsbehandling først tog stilling til, om den anmeldte skade kunne anerkendes. Kun i så fald gik Patienterstatningen videre og indhentede oplysninger i forhold til erstatningsfastsættelsen. Patienterstatningen gjorde for Højesteret gældende, at Patienterstatningen var afskåret herfra ”som følge af databeskyttelsesretlige og forvaltningsretlige regler”.
Højesteret anfører bl.a. følgende i sin begrundelse:
”Efter klage- og erstatningslovens § 58 kan Patienterstatningen hos en række myndigheder, private virksomheder mv. forlange meddelt enhver oplysning, som skønnes at være af betydning for behandling af sager om erstatning for lægemiddelskader. Efter bestemmelsen er det ikke en betingelse for at indhente oplysninger til brug for erstatningsfastsættelsen, at Patienterstatningen forinden har truffet afgørelse om at anerkende den anmeldte skade.
Højesteret finder, at en sådan forudgående indhentelse af oplysninger til brug for erstatningsfastsættelsen, hvis skaden anerkendes, heller ikke kan anses for at være i strid med det proportionalitets- og dataminimeringsprincip, som følger af den tidligere persondatalovs § 5, stk. 3 (nu data beskyttelsesforordningens artikel 5, stk. 1, litra c) eller med almindelige forvaltningsretlige principper for sagsoplysning.
Højesteret finder på denne baggrund, at Patienterstatningen ikke er retligt afskåret fra at kunne indhente oplysninger til brug for bedømmelsen af størrelsen af en erstatning for tabt arbejdsfortjeneste forud for Patienterstatningens afgørelse af, om en anmeldt skade kan anerkendes som omfattet af klage- og erstatningsloven.
Uanset at klage- og erstatningsloven ikke er til hinder for, at Patienterstatningen kan vælge at indrette sin sagsbehandling således, at sager om lægemiddelskader behandles i to trin, finder Højesteret herefter, at fristen på 1 måned for forrentning af erstatningskrav på tabt arbejdsfortjeneste løber fra det tidspunkt, hvor Patienterstatningen har været i stand til at indhente de oplysninger, der er fornødne til bedømmelse af erstatningens størrelse, jf. erstatningsansvarslovens § 16, stk. 1.”
Det må på den baggrund anses som fastslået af Højesteret, at der tilkommer offentlige myndigheder et ganske vidtgående skøn med hensyn til på et sagligt grundlag at behandle personoplysninger i overensstemmelse med officialmaksimen (undersøgelsesprincippet).
Dette understøttes også af U 2011.2343.H. I dommen udtalte Højesteret, at en ansøgers generelle samtykke til en kommune til at indhente referenceoplysninger hos en tidligere kommunal arbejdsgiver som udgangspunkt ikke kan omfatte følsomme personoplysninger (om muligt alkoholmisbrug) omfattet af den dagældende persondatalovs § 7, stk. 1 (nu databeskyttelsesforordningens artikel 9, stk. 1). De konkrete omstændigheder i sagen gav ikke grundlag for at fravige dette udgangspunkt.
Sagen viser efter vores opfattelse, at databeskyttelsesreglerne medvirker til at præcisere den offentlige myndigheds pligt til - i sin i øvrigt lovlige og forvaltningsretligt medholdelige opgavevaretagelse - at iagttage omhyggelighed og præcision i håndteringen og delingen af følsomme personoplysninger også i overensstemmelse med dataminimeringsreglerne.
Til illustration af det ovennævnte samspil kan også nævnes U 2017.1294 H. Sagen vedrørte et tilfælde, hvor en pædagog blev afskediget fra sit job i en vuggestue. Vedkommende blev i opsigelsesperioden sygemeldt. En kommune, som udbetalte refusion af sygedagpenge til vuggestuen, påtænkte at standse udbetalingerne på baggrund af nogle oplysninger fra pædagogens læge, som kommunen opfattede som udtryk for pædagogens ønske om ikke at modtage behandling. I forbindelse med en partshøring af vuggestuen vedrørende den påtænkte afgørelse videregav kommunen de pågældende helbredsoplysninger til vuggestuen. Højesteret fandt, at oplysningerne var til ugunst for vuggestuen og af væsentlig betydning for kommunens påtænkte afgørelse, og at kommunen efter forvaltningsloven derfor som udgangspunkt havde pligt til at partshøre vuggestuen over oplysningerne. Videregivelsen af oplysningerne var som følge heraf berettiget og i overens stemmelse med reglerne i forvaltningsloven og persondataloven.
På linje med det anførte må udgangspunktet efter vores opfattelse være, at den indsamling af personoplysninger, der sker for at opfylde den forvaltningsretlige pligt til at oplyse sagen kan ske i overens stemmelse med dataminimeringsprincippet, der med andre ord ikke begrænser myndighedernes pligt og ret til at sikre en forsvarlig oplysning af en sag, herunder foretagelse af partshøring mv. Hvis officialmaksimen vil føre til, at en offentlig myndighed skal indhente personoplysninger eller foretage sagsoplysning i øvrigt, kan dataminimeringsprincippet derfor - i hvert fald som det helt klare udgangspunkt - ikke antages at ændre ved, at der vil være både ret og pligt til den pågældende behandling af personoplysninger. Imidlertid vil dataminimeringsprincippet også i disse tilfælde være med til at sætte fokus på og understøtte, at de almindelige principper om saglighed, egnethed, proportionalitet mv. bliver overholdt i forbindelse med sagsoplysningen.
Intern deling af personoplysninger inden for en offentlig myndighed
Udover at personoplysninger ofte bliver udvekslet mellem forskellige myndigheder, bliver personoplysninger i meget vidt omfang også delt på tværs inden for den enkelte myndighed. Et til dels vanskeligt spørgsmål kan i den forbindelse være, hvor langt f.eks. en kommune kan gå i retning af en sådan intern udveksling af oplysninger på tværs af organisationen.
Her må et af flere afsæt for at besvare dette spørgsmål være, at officialmaksimen som omtalt ovenfor indebærer, at en myndighed i en række tilfælde ved behandlingen af en sag både kan og skal anvende oplysninger, som myndigheden har indsamlet i andre sager, hvis oplysningerne kan være relevante i den konkrete sammenhæng - og selvfølgelig forudsat at dette sker inden for rammerne af saglighed, egnethed, proportionalitet mv.
Officialmaksimen indebærer i den forbindelse efter vores opfattelse blandt andet også, at en myndighed kan have pligt til - herunder af hensyn til borgeren - at "have et bredere blik" på en borgers forhold og være opmærksom på, om det kan være relevant at inddrage andre perspektiver i myndighedens samlede sagsbehandling. En måde at varetage dette hensyn på kan efter omstændighederne f.eks. være ved at dele personoplysninger på tværs af myndighedens organisation.
Officialmaksimen giver dog naturligvis ikke myndigheden adgang til uden begrænsninger at dele oplysninger på tværs for at oplyse en sag. Det kræver efter officialmaksimen blandt andet, at der er tale om oplysninger af tilstrækkelig relevans, ligesom vurderingen af, om der kan ske deling af oplysninger, også afhænger af de databeskyttelsesretlige regler og principper.
Efter vores opfattelse adskiller de databeskyttelsesretlige principper sig imidlertid som udgangspunkt heller ikke i denne sammenhæng afgørende fra, hvad der følger af de forvaltningsretlige principper. Hvis en intern deling af oplysninger på tværs af en myndighed ligger inden for rammerne af, hvilke oplysninger der efter officialmaksimen bør indhentes, og hvis en intern deling i øvrigt er forenelig med almindelige forvaltningsretlige principper om saglighed, egnethed, proportionalitet mv., vil delingen af personoplysninger derfor efter vores opfattelse som udgangspunkt ligeledes være forenelig med de databeskyttelsesretlige principper.
En mulig fravigelse følger dog af databeskyttelsesforordningens artikel 5, stk. 1, litra b, hvorefter personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Udgangspunktet er således efter denne bestemmelse, at personoplysninger, som f.eks. en kommune har indsamlet, ikke frit vil kunne deles inden for· kommunen med henblik på genanvendelse til nye formål.
I forordningens artikel 6, stk. 4, er fastsat tre forskellige undtagelser, hvor en sådan genanvendelse til nye formål alligevel kan være lovlig: (i) samtykke fra den registrerede, (ii) regler herom udstedt i medfør af medlemsstaternes nationale ret og (iii) foretagelse af en "ikke uforenelighedstest".
Vi skal ikke her gå ind i en detaljeret redegørelse for de enkelte af disse hjemmelsgrundlag, men vi vil nedenfor komme med en række generelle bemærkninger med henblik på at kunne vurdere, om forordningens 5, stk. 1, litra b, og tilhørende dansk lovgivning i virkeligheden opstiller mere restriktive grænser for myndighedernes genanvendelse af personoplysninger til nye formål, end hvad der følger af de forvaltningsretlige principper som beskrevet ovenfor.
Som nævnt har medlemsstaterne i medfør af forordningens artikel 6, stk. 4, mulighed for under visse omstændigheder at fastsætte regler om, at en behandling af personoplysninger, hvis formål er uforeneligt med det oprindelige formål, alligevel kan foretages. Denne hjemmel er i dansk ret udnyttet ved databeskyttelseslovens § 5, stk. 3, 1. pkt., hvorefter vedkommende minister efter forhandling med justitsministeren kan fastsætte regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt af om det senere formål er foreneligt eller uforeneligt med det oprindelige.
I de almindelige bemærkninger til databeskyttelsesloven fremgår i den forbindelse blandt andet:
"Regeringen ønsker, at det offentlige kan videreanvende og genbruge data på en effektiv, åben og transparent måde, der stadig lever op til kravene om databeskyttelse.
Samtidig skal der skabes rammer for en effektiv datadeling, så borgerne og virksomhederne kan få en mere effektiv sagsbehandling og mere målrettede, sammenhængende indsatser, der virker bedre for den enkelte. Lovforslaget skal bidrage til, at borgere og virksomheder får bedre og hurtigere afgørelser samt målsætningen om, at borgere og virksomheder i videst muligt omfang kun skal afgive samme oplysning en gang til den offentlige sektor. Det giver samtidig medarbejdere i det offentlige mere tid til kerneopgaven og fremmer en mere sammenhængende offentlig sektor.
[...]
Dette vil bidrage til at skabe mere åbenhed for borgerne, når de på forhånd vil kunne orientere sig i, om en given viderebehandling kan ske til et andet formål end det oprindelige, ligesom det set fra myndighedens side vil skabe et sikkert retligt grundlag på forhånd for, om viderebehandlingen kan ske.
Samtidig bidrager bemyndigelsesbestemmelsen til, at den offentlige sektor kan levere en bedre og mere sammenhængende offentlig service ved at muliggøre en mere smidig og effektiv regulering af deling af data."
Ovenstående betragtninger suppleres af de specielle bemærkninger til lovforslagets § 5, stk. 3, hvor der blandt andet er anført følgende:
”Bestemmelsen i stk. 3 kan både anvendes til at fastsætte regler om videregivelse af oplysninger inden for en myndighed (f.eks. en kommune) og fra en myndighed til en anden myndighed.
Der kan som eksempel på anvendelse af bemyndigelsen i stk. 3 nævnes "borgeroversigter" til segmentering og udsøgning af borgere, der modtager ydelser på tværs af flere forvaltningsområder. Endvidere kan bemyndigelsen bidrage til, at kommunale sagsbehandlere i jobcentrene med udgangspunkt i en konkret borger kan få adgang til et overblik over, hvilke ydelser og indsatser borgeren modtager på tværs af forvaltningerne i kommunen."
Bemyndigelsen efter lovens § 5, stk. 3, er ikke endnu udnyttet, og det er vores opfattelse, at formuleringen af de nævnte lovforarbejder indebærer, at de typer af behandlinger, som er nævnt i forarbejderne, og som dermed kan blive omfattet af en bekendtgørelse efter § 5, stk. 3 - f.eks. "borgeroversigter" som om talt ovenfor eller lignende samkøring af personoplysninger i samlede registre - næppe vil kunne foretages af offentlige myndigheder uden samtykke fra den enkelte borger, medmindre der i medfør af databeskyttelseslovens § 5, stk. 3, bliver udstedt en bekendtgørelse, der giver hjemmel til det.
Det kan ikke i øvrigt siges at være klart, hvilke typer af behandlinger til nye formål der kan foretages inden for rammerne af forordningens artikel 5, stk. 1, litra b, uden samtykke eller uden udstedelse af en bekendtgørelse efter lovens § 5, stk. 3. Overordnet kan det dog siges, at det i denne vurdering f.eks. må indgå, i hvilken grad formålet med den nye brug af oplysningerne adskiller sig fra det formål, der blev specificeret ved oplysningernes indsamling, ligesom det må indgå i vurderingen, om der er tale om følsomme personoplysninger efter forordningens artikel 9 (eller om straffedomme mv. efter artikel 10), eller om der i øvrigt er tale om fortrolige oplysninger om væsentlige sociale problemer eller andre rent private forhold, jf. herved blandt andet forordningens artikel 6, stk. 4. Alt andet lige skal der således mere til for, at oplysninger af fortrolig og følsom karakter gives videre, men også sådanne oplysninger vil efter omstændighederne efterfølgende kunne anvendes til andre formål, herunder ikke mindst når der er tale om formål, der ligger tæt på det oprindelige formål med at indsamle oplysningerne.
Disse betragtninger fører efter vores opfattelse til den samlede konklusion, at der som udgangspunkt er relativt vide rammer for at dele personoplysninger på tværs inden for f.eks. en kommune, og at mulighederne i virkeligheden nogle gange er større end, hvad myndighederne måske umiddelbart går ud fra.
Samtidig fører de her omtalte databeskyttelsesretlige principper for genanvendelse dog også til, at der muligvis vil være nogle begrænsninger, der i visse tilfælde går videre end, hvad der følger af de forvaltningsretlige grundsætninger om saglighed, egnethed, proportionalitet mv., når det vedrører myndighedernes muligheder for at genanvende personoplysninger til nye formål. Det gælder f.eks., hvis en kommune vil udarbejde generelle "borgeroversigter" af den ovenfor omtalte karakter, idet dette som anført formentlig må forudsætte udstedelse af en bekendtgørelse efter databeskyt telseslovens § 5, stk. 3.
Endvidere skal man være opmærksom på, at der på det enkelte forvaltningsområde kan være fastsat særlige tavshedspligts bestemmelser, der kan være til hinder for, at de pågældende personoplysninger bliver anvendt til nye formål i andre dele af forvaltningen, f.eks. regler i sundhedslovgivningen.
Herudover fremgår det af forvaltningslovens § 29 om sager, der rejses ved ansøgning, at oplysninger om ansøgerens rent private forhold ikke må indhentes fra andre dele af forvaltningen eller fra en anden forvaltningsmyndighed. Denne bestemmelse vil også gælde i forhold til myndighedens interne deling af personoplysninger og begrænse adgangen til uden samtykke at dele sådanne oplysninger i ansøgningssager.
Endelig er det vigtigt at fremhæve, at ovenstående bemærkninger alene vedrører tilfælde, hvor en myndighed vil foretage en behandling af personoplysninger til et andet og nyt formål end det oprindelige, og de vedrører således ikke tilfælde, hvor personoplysninger oprindeligt er indsamlet til flere forskellige formål. Denne sondring er med andre ord både principielt og praktisk set vigtig.
Offentlige myndigheders sletning af personoplysninger
Der er også områder, hvor der næppe kan være tvivl om, at de databeskyttelsesretlige principper i realiteten langt hen ad vejen må vige for de forvaltningsretlige krav til offentlige myndigheders sagsbehandling. Som det måske vigtigste eksempel kan nævnes offentlige myndigheders adgang til at slette personoplysninger anvendt i sagsbehandlingen.
Opbevaringsbegrænsningsprincippet i databeskyttelsesforordnin gens artikel 5, stk. 1, litra e, og dataminimeringsprincippet i forordningens artikel 5, stk. 1, litra c, indebærer således som udgangspunkt, at dataansvarlige skal slette personoplysninger, når oplysningerne ikke længere er nødvendige for de formål, hvortil de blev indsamlet. For private indebærer det, at der er pligt til at slette eller anonymisere personoplysninger, når de ikke længere er nødvendige.
Samme udgangspunkt gælder imidlertid ikke for offentlige myndigheder. Offentlige myndigheder vil nemlig ofte have både ret og pligt til fortsat at behandle personoplysninger som følge af blandt andet notat- og journaliseringspligten i offentlighedsloven og regler om arkivering i arkivloven, uanset om en oplysning konkret er nødvendig, f.eks. af hensyn til myndighedens behandling af en given sag.
Dette har den betydning, dels at en myndighed ikke af egen drift må slette personoplysninger omfattet af de relevante regler i offentlighedsloven og arkivloven, dels at myndigheden som udgangspunkt ikke vil kunne imødekomme anmodninger om sletning af personoplysninger fra borgere efter databeskyttelsesforordningens artikel 17 (også kaldet "retten til at blive glemt"). Dette er i øvrigt også afspejlet i forordningens artikel 17, stk. 3, litra b, hvorefter retten til sletning ikke gælder, blandt andet hvis en behandling er nødvendig for at overholde en retlig forpligtelse. Offentlige myndigheder skal dog være opmærksomme på, at selv om en sådan anmodning ikke kan imødekommes, skal myndigheden overholde reglerne i forordningens artikel 12, som gælder i forbindelse med udøvelse af samtlige af de registreredes rettigheder, herunder retten til sletning. Bestemmelsen fastsætter blandt andet, at der skal gives de registrerede svar på anmodninger om udøvelse af rettigheder uden unødig forsinkelse og som hovedregel senest en måned efter modtagelsen af anmodningen. Offentlige myndigheder skal herudover være opmærksomme på, at et afslag på at imødekomme en registrerets anmodning om udøvelse af sine rettigheder efter databeskyttelsesreglerne - herunder sletning - har karakter af en forvaltningsretlig afgørelse, og at de forvaltningsretlige krav om begrundelse, klagevejledning mv. derfor skal iagttages.
I den forbindelse kan der også henvises til Datatilsynets udtalelse af den 5. juli 2019 (j.nr. 2018-32-0286), hvor tilsynet udtalte kritik af, at en kommune i strid med databeskyttelsesforordningens artikel 12 først besvarede en anmodning om sletning fem måneder og 21 dage efter anmodningen. Datatilsynet fandt samtidig, at det ikke var i strid med reglerne, at kommunen havde afvist af slette den registreredes personoplysninger med henvisning til notat- og journaliseringspligten. Datatilsynet udtalte i den forbindelse, at en offentlig myndighed:
"( ...) i almindelighed ikke er berettiget til at slette bestemte dokumenter, der indgår i en sag, under henvisning til offentlighedslovens regler om notat- og journaliseringspligt og arkivlovens regler, og at sletning normalt kun kan ske, hvis der er lovhjemmel dertil. Begrundelsen herfor er bl.a., at myndigheden senere - f.eks. i forbindelse med klager eller genoptagelse - skal kunne dokumentere, hvad der er passeret i en sag."
Datatilsynet fandt herefter, at kommunens behandling ikke gik ud over, hvad der kunne ske i henhold til princippet om opbevaringsbegrænsning, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra e.
En offentlig myndighed kan derimod efter omstændighederne være forpligtet til at slette personoplysninger, hvis dette følger f.eks. af en særlig lovbestemmelse, eller hvis et dokument ved en fejl er journaliseret på en forkert sag, og dokumentet derefter bliver journaliseret på den korrekte sag.
Hvis en anmodning om sletning skyldes, at de registrerede personoplysninger er forkerte, bør myndigheden som udgangspunkt notere de korrekte oplysninger på sagen uden at fjerne de oplysninger, der fremgår i forvejen.
En egentlig sletning eller anonymisering af oplysninger fra en sag vil dog kunne komme på tale blandt andet i tilfælde, hvor der er tale om personoplysninger, som indgår i et it-system, hvorfra andre dataansvarlige - f.eks. andre offentlige myndigheder - kan tilgå oplysningerne. Også i sådanne tilfælde må det dog efter omstændighederne accepteres og kræves, at f.eks. en kopi af det pågældende register i den tidligere "forkerte" version fortsat opbevares, så det kan dokumenteres, hvilke oplysninger der måtte være blevet videregivet til de andre dataansvarlige med adgang til registret.
Som det fremgår, må databeskyttelsesforordningens sletteregler antages i praksis alene at have begrænset betydning for forvaltningsmyndigheders behandling af personoplysninger.
Dette ændrer dog ikke på, at også forvaltningsmyndigheder skal fastsætte frister for, hvornår opbevarede personoplysninger vil skulle slettes. Forvaltningsmyndigheder er nemlig ligesom andre dataansvarlige blandt andet underlagt påvisningspligterne i forordningens artikel 5, stk. 2, og artikel 24, stk. 1, hvilket indebærer, at myndigheden skal kunne dokumentere over for blandt andet Datatilsynet, at den overholder reglerne i forordningen, herunder det grundlæggende princip om dataminimering. De slettefrister, som bliver fastsat af myndigheden, skal imidlertid naturligvis afspejle de forpligtelser, som myndigheden er underlagt f.eks. efter offentlighedsloven og arkivloven, sådan at sletning alene sker, hvis dette vil være i overensstemmelse med disse regler mv.
Et yderligere krav om gennemsigtighed for offentlige myndigheder?
Som allerede nævnt indeholder de databeskyttelsesretlige regler også et krav om gennemsigtighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a, som indebærer, at enhver information og kommunikation vedrørende behandling af personoplysninger skal være lettilgængelig og letforståelig, og at der skal benyttes et klart og enkelt sprog i den forbindelse, jf. også forordningens præambelbetragtning 39.
I den forbindelse opstår spørgsmålet, om dette princip indebærer et yderligere krav om gennemsigtighed ud over, hvad der ellers kan tænkes at følge af relevante forvaltningsretlige regler og principper.
I den forbindelse kan som et eksempel nævnes FOB 2019-29. Sagen vedrørte et tilfælde, hvor en anonym person indgav en underretning til Ankestyrelsen om bekymrende forhold hos en familie med to børn på henholdsvis 12 og 14 år. På den baggrund sendte Ankestyrelsen begge børn et partshøringsbrev med en række dokumenter fra sagen og bad dem komme med deres eventuelle bemærkninger in den for 8 dage. I den forbindelse kritiserede ombudsmanden Ankestyrelsens fremgangsmåde i forbindelse med partshøringen og udtalte blandt andet:
"Jeg bemærker (...), at når en myndighed vælger at foretage skriftlig partshøring af et barn, er det myndighedens ansvar at sikre, at partshøringen sker på en måde, der giver barnet selv de nødvendige forudsætninger for at forstå, hvad barnet skal forholde sig til, og hvad barnet eventuelt kan gøre for at få hjælp til det."
Selv om det ikke fremgår af udtalelsen, kan det efter vores opfattelse ikke udelukkes, at ombudsmandsudtalelsen på dette punkt er blevet inspireret af blandt andet det omtalte gennemsigtighedsprincip og herudover muligvis af databeskyttelsesforordningens artikel 12, stk. 1, hvorefter oplysninger om behandling af personoplysninger skal gives til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysningerne specifikt er rettet mod et barn. At børn nyder en særlig beskyttelse, som tilsiger, at der bliver stillet særlige krav til kommunikation til børn, kommer i øvrigt også til udtryk i forordningens præambelbetragtning 58, der blandt andet fastslår, at:
"Eftersom børn bør nyde særlig beskyttelse, bør alle oplysninger og meddelelser, hvis behandling er rettet mod et barn, være i et så klart og enkelt sprog, at et barn let kan forstå dem."
Under alle omstændigheder må det derfor konstateres, at den opfattelse, som ombudsmanden giver udtryk for i den nævnte udtalelse, er på linje med kravene om blandt andet gennemsigtighed i de databeskyttelsesretlige regler.
Konklusion
Som anført indledningsvist er udgangspunktet, at forvaltningsretten og databeskyttelsesretten lever i indbyrdes harmoni, og at de grundlæggende principper på de to retsområder som udgangspunkt ikke adskiller sig væsentligt fra hinanden og er i god balance, idet begge sæt af principper har til formål at sikre saglighed, egnethed og proportionalitet mv. i forbindelse med blandt andet forvaltningens behandling af personoplysninger.
Som det følger af ovenstående, er der dog en række områder, hvor det samspil, der opstår mellem henholdsvis de forvaltningsretlige og de databeskyttelsesretlige regler og principper, kan indebære, at der bliver skabt nogle særlige rammer for offentlige myndigheders behandling af personoplysninger, f.eks. i relation til sletning af personoplysninger og deling af personoplysninger inden for en myndighed.
Det må samtidig understreges, at det nærmere retlige samspil mellem forvaltningsretten og databeskyttelsesretten ofte også vil afhænge af de konkrete sammenhænge, og at der derfor ikke i alle sammenhænge kan gives noget fuldstændigt sikkert svar, blandt andet fordi der for nogle af de temaer, der er omtalt her i artiklen, fortsat er under udvikling i praksis - herunder praksis fra domstolene og Datatilsynet.
*) Artiklen er en opdatering af en tidligere artikel, hvor nuværende højesteretsdommer Ole
Hasselgaard og nuværende konsulent (GDPR) hos Implement Consulting Group, Ulrich Christian
Tyndeskov tillige medvirkede.