Datatilsynet: Erhvervsstyrelsen har ulovligt offentliggjort følsomme personoplysninger

Kirken på billedet er Hvidbjerg Kirke. Klageren i sagen havde tidligere tilknytning til Hornstrup Kirke. Illustration: Peter Aaquist/Wikimedia
Datatilsynet udtaler »alvorlig kritik« af Erhvervsstyrelsen, efter styrelsen har registreret og offentliggjort personoplysninger på ulovligt grundlag, herunder oplysninger om religiøs overbevisning.

Erhvervsstyrelsen har på ulovlig vis behandlet og offentliggjort personoplysninger og følsomme personoplysninger i Det Centrale Virksomhedsregister.

Sådan lyder konklusionen fra Datatilsynet, der kritiserer Erhvervsstyrelsen i en sag, hvor en person har klaget over, at styrelsen har behandlet og offentliggjort vedkommendes navn, adresse og oplysninger om religiøs overbevisning i form af personens tidligere tilknytning til folkekirken.

»Datatilsynet [finder], at Erhvervsstyrelsen ikke har haft et behandlingsgrundlag i databeskyttelsesforordningens artikel 6 og 9 til registrering og offentliggørelse af personoplysninger om klagers navn, adresse og oplysninger om klagers religiøse overbevisning, hvilket giver Datatilsynet anledning til at udtale alvorlig kritik,« lyder det i afgørelsen, som dog ikke har resulteret i en bøde.

Klagen

Manden bag klagen hedder Anders Friis, og han er tidligere medlem af folkekirkens menighedsråd i Hornstrup sogn.

I september kontaktede han Datatilsynet, fordi han kunne se sig selv og resten af medlemmerne af Hornstrup menighedsråd stå i Det Centrale Virksomhedsregister.

Her stod de som ejerne af den kirkekasse, der hører under Hornstrup menighedsråd, og som bruges til at administrere penge til eksempelvis vedligeholdelse og drift af sognets kirker.

Det er Erhvervsstyrelsen, der står for Det Centrale Virksomhedsregister, og da Anders Friis kontaktede styrelsen, fik han at vide, at alt var, som det skulle være.

Styrelsen vurderede, at der var pligt til at registrere navn, bopæl og cpr-nummer på de såkaldte reelle ejere af kirkekassen i Hornstrup, som ifølge Erhvervsstyrelsen måtte være det tilhørende menighedsråd. Samtidig skulle personerne stå tilknyttet som de reelle ejere af kirkekassen i Det Central Virksomhedsregister med navn og adresse.

Dette skulle gøres, fordi Erhvervsstyrelsen vurderede, at Hornstrup Kirkekasse var omfattet af fondsloven.

Men det var kirkekassen ikke.

Det fandt Erhvervsstyrelsen ud af, da de senere kontaktede Civilstyrelsen for at finde ud af, hvad der egentlig var op og ned i sagen.

»Civilstyrelsen har ved udtalelse af 3. januar 2019 oplyst, at det er styrelsens opfattelse, at Hornstrup Kirkekasse ikke er en fond i fondslovens forstand, og at institutionen således ikke i medfør af fondsloven er omfattet af pligten til registrering af reelle ejere,« lyder det i afgørelsen fra Datatilsynet.

Erhvervsstyrelsen har dermed både behandlet og offentliggjort personoplysninger om Anders Friis og resten af Hornstrup menighedsråd uden at have en gyldig grund til at gøre det, hvilket er i strid med databeskyttelsesforordningens artikel 6.

Derudover har Erhvervsstyrelsen behandlet og offentliggjort følsomme personoplysninger om religiøs overbevisning i og med, at menighedsrådsmedlemmerne blev sat som de reelle ejere af Hornstrup Kirkekasse i Det Centrale Virksomhedsregister. Det er stik imod forordningens artikel 9, som blandt andet lyder, at behandling af personoplysninger om religiøs overbevisning som udgangspunkt er forbudt.

Sletning

På baggrund af Civilstyrelsen konklusion måtte Erhvervsstyrelsen trække i land – både overfor Anders Friis og de resterende medlemmer af Hornstrup menighedsråd.

Erhvervsstyrelsen vendte på en tallerken og vurderede nu, at Hornstrup Kirkekasse ikke var omfattet af fondsloven, og at der derfor ikke alligevel var lovhjemmel til at foretage behandling af oplysninger om Anders Friis og den øvrige ejerkreds’ tilknytning til Hornstrup Kirkekasse

På den baggrund gik Erhvervsstyrelsen i gang med at slette oplysningerne fra det offentligt tilgængelige register.

»Erhvervsstyrelsen har oplyst, at styrelsen har iværksat en sletning af oplysninger om klager og den øvrige personkreds, som er eller har været registreret som reelle ejere i den pågældende kirkekasse uden egentlig lovhjemmel,« skriver Datatilsynet i sin afgørelse.

Flere kirkekasser

I Det Centrale Virksomhedsregister er ejeroplysningerne nu blevet slettet, men Hornstrup Kirkekasse er blot en kirkekasse ud af mange i Danmark.

Datatilsynet slutter da også sagsafgørelsen med at opfordre Erhvervsstyrelsen til at gennemgå lignende registreringer af reelle ejerforhold for andre kirkekasser, som fremgår af Det Centrale Virksomhedsregister for at vurdere, om der er flere sager, hvor styrelsen har handlet i strid med databeskyttelsesforordningen.

Der er 13.000 menighedsrådsmedlemmer i Danmark fordelt på omkring 1.700 menighedsråd og dertilhørende kirkekasser. På nuværende tidspunkt står der menighedsrådsmedlemmer som reelle ejere af andre kirkekasser i Det Centrale Virksomhedsregister.

Version2 har stillet en række spørgsmål til både Erhvervsstyrelsen, Datatilsynet og Civilstyrelsen om sagen. Blandt andet om, hvor mange kirkekasser, der har oplevet samme registrering og offentliggørelse af personoplysninger og om registreringen af reelle ejere i andre kirkekasser også har været ulovlig.

Det har dog ikke været muligt at få svar på spørgsmålene inden deadline for denne artikel. Vi bringer en opfølgende artikel, når der er nyt at berette i sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Det er offentligt tilgængeligt, hvem der er medlem af et menighedsråd, så selvom der er sket ulovlig behandling, er der ikke lækket hemmelige oplysninger om religiøs overbevisning.

Det er til gengæld mere problematisk, at medlemmet har fået offentliggjort sin beskyttede adresse. Heldigvis er reglerne for nylig blevet ændring, så personer med adressebeskyttelse i CPR heller ikke optræder med adresse i CVR.
https://erhvervsstyrelsen.dk/nemmere-faa-adressebeskyttelse-i-cvr

Bjarne Nielsen

Jeg er uenig. Og lad mig uddybe, men lad mig først understrege at jeg ikke ville græde længe, hvis netop Erhvervsstyrelsen fik ørerne i maskinen for at have læst loven på en efter min mening lidt for kreativt (Blip, TDC, m.fl. har allerede nydt godt af det).

For det første mener jeg ikke, at bøder er et mål i sig selv. Speak softly, but carry a big stick.

For det andet, så så jeg gerne en præcedensskabende anvendelse af bøderne, så man illustrerede behovet for at tænke og handle selv, og at man ikke bare kunne vente til 'nogen har klaget, og sagen er behandlet af Datatilsynet', men det synes jeg slet ikke at denne sag er egnet til.

Thomas Jørgensen

Der er ikke noget krav om at menighedsrådsmedlemmer offentliggør fulde navn og adresse i forbindelse med offentliggørelsen af hvem der sidder i menighedsrådet.

Det skal nævnes fra prædikestolen ved første Gudstjeneste hvem der er valgt, og formanden skal offentliggøre hvem der er valgt. Men som nævnt behøver det bestemt ikke at ske ved fulde navn og adresse.

Knud Larsen
  1. Vi kan altså konkludere, at Erhvervstyrelsen ikke kan læse loven. Hvordan skal borgerne så kunne?
  2. Mangel på kvalitetsstyring. Når man får en klage skal man registrere den og ikke bare bullshitte klageren. Herefter skal man undersøge grunden til klagen og ændre processen, så det ikke sker igen.
  3. Når man ikke har kvalitetsstyring ja så fortsætter fejlen bare og kunderne/borgerne, skatteborgerne bliver bare bullshittet igen og igen og det føre til mnagel på retssikkerhed.
  4. Se hvordan Skat gør det selv:
  5. http://skat-uret.dk/ret/2019-skats-fup-og-svindel-med-din-konto.aspx
  6. Så det er desværre ikke ualmindeligt.
  7. Check Sundhedsstyreslen
Jan Heisterberg

Måske læser jeg ikke teksten i artiklen rigtig, eller måske er den ikke stringent.
Hvis der er 1.700 Kirkekasser, så burde vel alle være registreret ens - ellers er dette endnu et hul hos Erhvervsstyrelsen ?

Det kommer vel frem i Version2’s undersøgelse ?

Jesper S. Møller

Menighedsråd er typisk momsregistrerede, køber varer og ydelser, opnår kreditter og ansætter mennesker. Derfor er det vel rimeligt at man kan se, kan se hvem der står bag, i form af en ejer-/styringsstruktur, fuldstændig ligesom andre virksomheder.
Eller er det noget særligt, bare fordi deres "virksomhed" er at vedligeholde bygning, som der synges salmer i? Er det rimeligt?

"If it quacks like a duck, walks like a duck", etc.

Rasmus Rask

Datatilsynet kommer til at give en række banker problemer med at overholde Hvidvaskloven. Hvordan skal bankerne på den ene side identificere de ansvarlige med adgang til en bankkonto, hvis Datatilsynet mener det er ulovligt at oplyse og registrere?

Det skønne er så at Hornstrup Kirkekasse offentligt oplyser hvem der sidder i menighedsrådet med fuldt navn og adresse, at Kirkeministeriet gør det samme og at oplysningen kun indikerer et religiøst tilhørsforhold.

Thomas Jørgensen

Menighedsrådene er jo en offentlig myndighed. Det giver åbenbart ikke bankerne problemer, at Erhvervsstyrelsen ikke registrerer byrådsmedlemmer, Folketingsmedlemmer eller bestyrelsesmedlemmer i frivillige foreninger.

Så det burde heller ikke give problemer at Menighedsråd ikke er registreret.

I forhold til data der fremgår af sognenes hjemmeside og Kirkeministeriets hjemmeside, så er det, som tidligere nævnt ikke et krav at Menighedsrådsmedlemmet lader sig registrere med fulde navn og adresse.

Per Larsen

Hvis medierne graver et spadestik dybere, vil man muligvis finde ud af, at myndigheder der bryder GDPR direktiverne ikke vil blive tilsted bødeforlæg.
Det vil være interessant at erfare, hvad praksis der er udstukket.
Er der overhovedet udstedt bøder til nogen organisation på det gundlag, siden direktiverne er sat i kraft?
Jeg har ikke hørt om det --.
Hvis det skulle være tilfældet, er det antageligt kun til private virksomheder der har forbrudt sig etc.

Det var (/er angiveligt?) samme praksis for brud på arbejdsmiljølovgivningen.

Mvh.

Jan Heisterberg

I Danmark har vi et antal offentlige råd og forsamlinger:
- folketing, regionsråd, kommunalbestyrelser, menighedsråd, dommere ved retterne og sikkert mange flere.
Medlemmerne er valgt eller udpeget og borgerne har en legitim ret til at vide hvem de er - som også anført ovenfor for menighedsråd.

Det er jo ikke det samme som at skilte med deres adresser - i selvbestaltede organer og hjemmesider.
Vi har hævdvundne principper for hemmeligt telefonnummer, hemmelig adressse og så videre. Når "andre" derfor pludseligt opretter et "skyggeregister", så unddrages de implicerede denne beskyttelse.
Altså, som afgørelsen også lyder, det er forkert.

Så er der selve registreringen af "kirkekassen". Det er, i disse hvidvaske-tider, kun rimeligt at der IKKE kan eksistere skjulte kasser - men det er jo ikke det samme som, at en kirkekasse ikke kan tildeles et CVR-nummer til entydig identifikation osv. OG at dette er tilstrækkeligt til at legitimere kirkekassen som en ikke-fond.
Her blev fejlen begået.

At ANDRE foreninger så, af hensyn til hvidvask og skattesnyd, skal registreres passende, er en anden sag.
Men det ændrer ikke det forhold, at situationen for gode, legitime, foreninger og lignende skal gennemtænkes. Jeg tænker på¨sportsklubber, spejdere og tilsvarende. Det er ikke indlysende, at de respektive "bestyrelsesmedlemmer" skal registreres ......

Men hvor er grænsen ? Altså hvad så med grundejerforeninger og vejlaug ? Enhver, som har prøvet at få en "foreningskonto" i en bank ved hvor svært det er - altså mht. formalia aht. hvidvask.

Det BURDE være muligt at lave en positiv-liste med rimelige undtagelser - på betingelse af ......

Thomas Jørgensen

Den positivliste findes skam allerede.. eller dvs. det er en "negativliste" da fondslovens § 1 stk. 2 oplister hvilke typer foreninger/fonde der er undtaget loven, og dermed registrering i CVR.

§ 1. Lovens kapitel 1-12 gælder for fonde, legater, stiftelser og andre selvejende institutioner (fonde).

Stk. 2. Loven omfatter ikke:

1) fonde, som er oprettet ved eller i henhold til lov eller ved mellemfolkelig overenskomst mellem Danmark og en anden stat, og som er undergivet tilsyn af en af staterne,

2) fonde, med hvilke en kommune eller region har indgået aftale til opfyldelse af kommunens eller regionens forpligtelser i henhold til lov om social service, såfremt fonden ikke varetager andre opgaver,

3) folkekirkens selvejende institutioner, trossamfund og godkendte uddannelsesinstitutioner, såfremt fonden ikke ud over sit hovedformål varetager andre opgaver,

4) fonde, der er omfattet af lov om erhvervsdrivende fonde,

5) fonde, der i medfør af § 1, stk. 4 og 5, i lov om erhvervsdrivende fonde ikke er omfattet af nævnte lov,

6) selvejende institutioner, der som vilkår for godkendelse eller tilskud fra det offentlige er undergivet tilsyn og økonomisk kontrol af en offentlig myndighed efter anden lovgivning eller bestemmelser udstedt i henhold til anden lovgivning, og

7) selvejende institutioner, hvis drift overvejende dækkes af statslige eller kommunale midler, og som er undergivet tilsyn af det offentlige, hvis det i institutionens vedtægt er fastsat, at det offentlige træffer bestemmelse om anvendelse af institutionens midler i tilfælde af dennes opløsning.

Stk. 3. Fondsmyndigheden kan bestemme, at en fond, som på anden måde end efter denne lov er undergivet et vist statsligt, regionalt eller kommunalt tilsyn, helt eller delvis skal være undtaget fra loven.

Stk. 4. Fonde, hvis aktiver ikke overstiger 250.000 kr., er ikke omfattet af loven. Bestemmelserne i § 6, stk. 1, § 7, § 8, stk. 1, 2. pkt., og kapitel 9 gælder dog også for disse fonde.

Stk. 5. Reglerne i §§ 38 og 59 gælder også for fonde, som falder uden for lovens område efter stk. 2, nr. 1-3, 6 eller 7, eller stk. 4, eller som er undtaget fra loven i medfør af stk. 3. Afgørelse træffes af den pågældende tilsynsmyndighed.

Log ind eller Opret konto for at kommentere