Datatilsynet med skarp kritik af Erhvervsstyrelsen: Optog samtaler i årevis uden samtykke

Erhvervsstyrelsen har erhvervet sig en irettesættelse fra Datatilsynet efter at have optaget indkomne opkald uden foregående samtykke. Illustration: Ukendt.
En samtale med en borger sidste år har udløst en alvorlig kritik af Erhvervsstyrelsen, der har fået fire uger til at forklare, hvordan de vil bringe tingene i orden.

Opdateret kl 15.42 med en kommentar fra Erhvervsstyrelsen.

En samtale med en borger sidste år har udløst en alvorlig kritik af Erhvervsstyrelsen, der har fået fire uger til at forklare, hvordan de vil bringe tingene i orden.

»Bemærk, at vi optager samtalen med henblik på kvalitetssikring og af hensyn til vores medarbejdere. Du kan læse mere om vores persondatapolitik på erst.dk,« lød det fra speakerstemmen i røret, når man ringende til Erhvervsstyrelsens Kundecenter.

Erhvervsstyrelsen har med metoden i flere år optaget alle indkomne telefonsamtaler med borgere, der ringede ind til kundecentret, uden foregående samtykke. Det strider i sådan en grad mod databeskyttelsesforordningen, at Datatilsynet nu udtaler alvorlig kritik af styrelsen.

Det skriver Datatilsynet i en udtalelse.

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Erhvervsstyrelsens behandling af oplysninger om klager i form af optagelse af telefonsamtale ikke er sket i overensstemmelse med databeskyttelsesforordningen,« står der i udtalelsen.

Borgeren skulle altså selv have mulighed for at vælge.

Læs også: Datatilsynet efter endelige Schrems II-anbefalinger: “Rummet for at overføre persondata til USA er meget snævert”

Optager eller ej

Sagen tog sit udspring med et opkald fra en borger til Erhvervsstyrelsens kundecenter for et års tid siden.

Her gjorde borgeren Erhvervsstyrelsen opmærksom på, at deres praksis med at optage indkomne samtaler med borgerne ikke var i overensstemmelse med reglerne på området, fordi Erhvervsstyrelsen ikke indhentede det nødvendige samtykke inden man begyndte optagelsen.

Erhvervsstyrelsen forklarede borgeren, at optagelserne hjalp med at beskytte styrelsens medarbejderne i tilfælde af, at borgere truede medarbejdere hos styrelsen, hvilket man havde oplevet på nært hold i foråret 2018, hvorefter man indførte den nye praksis. Desuden gav mulighed for kvalitetssikring.

Den forklaring købte borgeren dog ikke og klagede til datatilsynet, der altså nu har givet borgeren ret.

Læs også: Erhvervsstyrelsen jagter stråmænd med machine learning men vil ikke afsløre ‘hemmeligheden’ bag

Erhvervsstyrelsen har videre i sagen forsvaret sig med, at optagelserne kun blev gemt i 96 timer og opkald med eksempelvis truende adfærd manuelt blev overført til et andet system, mens resten af optagelserne automatisk blev slettet efter fire dage.

Men Datatilsynet er ikke enige i at hensynet til, at Erhvervsstyrelsen i nogle enkelte tilfælde skal bruge optagelserne til en politiefterforskning overstiger behovet for at beskytte borgerne mod at blive optaget, når de ringer ind til styrelsens kundecenter, i en grad, der kræver et samtykke.

»Det er Datatilsynets vurdering, at optagelse og lagring af telefonsamtaler til kvalitets- og uddannelsesmæssige formål som det klare udgangspunkt kun kan baseres på et samtykke fra de personer, der registreres oplysninger om i det omfang der sker behandling af særlige kategorier af oplysninger,« står der i udtalelsen, der uddyber:

»Datatilsynet finder således, at Erhvervsstyrelsens generelle praksis, hvorefter alle opkald til styrelsens kundecenter optages med henblik på at sikre dokumentation til brug for indgivelse af politianmeldelse, ikke kan rummes inden for databeskyttelsesforordningen.«

Datatilsynet har givet Erhvervsstyrelsen fire uger fra i dag til at forklare, hvordan man vil bringe sagerne i orden.

Erhvervsstyrelsen oplyser til Version2, at man har stoppet optagelserne i kundecenteret og nu vil nærlæse Datatilsynets afgørelse.

"Styrelsen hæfter sig dog ved, at Datatilsynet ikke har lagt vægt på, at styrelsen som offentlig forvaltningsmyndighed har et særligt ansvar for at sørge for, at styrelsens vejledning af borgerne og virksomhederne er korrekt, og at optagelserne også sker på baggrund af den stigning i strafbare trusler og chikane mod embedsmænd, som opleves for tiden.Endelig bemærker styrelsen, at alle bliver informeret om, at samtalerne bliver optaget, inden opkaldet starter, at optagelserne bliver slettet efter 96 timer, samt at det kun er få betroede medarbejdere, der har adgang til at aflytte optagelserne,” skriver Erhvervsstyrelsen til Version2 i en skriftlig kommentar.

Læs også: Datatilsynet politianmelder Vejle Kommune: Kræver GDPR-bøde på 200.000 kroner

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik P. Stougaard Nielsen

Nordnet (så vidt jeg husker) gør det samme på en ordretelefon, hvor VIP-kunder kan ringe ind for at lægge børsordrer. Her var der også nogen, som klagede, men udfaldet af den blev, at Nordnet gerne måtte optage samtaler uden samtykke, fordi årsagen var med henblik på at kunne dokumentere ordrer ( + der er en masse særlovgivning, bl.a. hvidvask, som nok hjemler en sådan optagelse).

Så ville det være nok, hvis Erhversstyrelsen blot anvendte en anden begrundelse? Altså ikke, at det sker mhp. "kvalitetssikring", men af hensyn til at kunne "dokumentere korrekt vejledning fra det offentlige"?

Det skal jeg ikke kunne svare på — men så skal de selvfølgelig være opmærksom på, at hvis de anvender samtalerne til andet end dokumentation af vejledning, fx for at overvåge truende adfærd, ja men så må det nye formål ikke være i uoverensstemmelse med det oprindelige indsamlingsformål — så pointen er, at det nok i alle tilfælde ville kræve et samtykke fra borgeren.

Det, der adskiller Nordnet fra Erhvervsstyrelsen, er formentlig, at Nordnets formål er langt mere snævert og præcist defineret — hvorimod Erhvervsstyrelsens formål virker til at kunne være alt i verden; inklusiv at flytte visse samtaler over i separate systemer i en udefineret periode for at kunne politianmelde.

  • 2
  • 0
#2 Lars Rander

Jeg har altid fået at vide at optagelse af samtaler - telefon- såvel som "almindelige" - var lovligt så længe at blot den ene part i samtalen vidste det, og når den der optager selv er part i samtalen er den betingelse jo opfyldt.

Er det lavet om? Eller gælder der bare andre regler for firmaer?

  • 5
  • 0
#3 Henrik Morell

Nu prøver Erhvervsstyrelsen sig med en alternativ forklaring:

Styrelsen hæfter sig dog ved, at Datatilsynet ikke har lagt vægt på, at styrelsen som offentlig forvaltningsmyndighed har et særligt ansvar for at sørge for, at styrelsens vejledning af borgerne og virksomhederne er korrekt

Det er en lidt for gennemskuelig undskyldning, da optagelserne blev slettet efter96 timer. Om man giver de rigtige oplysninger, det skulle man også gerne kunne finde i de oplysninger som bliver skrevet ned efter reglerne om notatpligt.

  • 0
  • 0
#4 Gert Madsen

Jeg har altid fået at vide at optagelse af samtaler - telefon- såvel som "almindelige" - var lovligt så længe at blot den ene part i samtalen vidste det, og når den der optager selv er part i samtalen er den betingelse jo opfyldt.

Borgerne bør kunne henvende sig til en offentlig myndighed, uden at blive optaget til forskellige formål.

At tale om "Kvalitetsikring", mere end antyder at sletningen efter 96 timer, er noget, som man justerer efter forgodtbefindende.

  • 1
  • 3
#5 Anders Riis

Du har helt ret i at Nordnet gerne må optage samtaler uden samtykke. Det sker, som du er inde på, fordi det er den eneste måde at dokumentere en aftale på. Aktiehandler går stærkt og derfor er handel med værdipapirer én af de få undtagelser, hvor optagelse af samtaler uden samtykke er inden for skiven ifølge Datatilsynet.

Et andet eksempel hvor samtaler må optages uden samtykke er via 112 og 114.

Datatilsynet lavede i november 2020 en ganske glimrende vejledning på området https://www.datatilsynet.dk/Media/B/F/Optagelse%20af%20telefonsamtaler.pdf

Det skal dog bemærkes, at det der står i den vejledning, for en stor dels vedkommende, har været praksis siden den første afgørelse på området helt tilbage i 2003.

I forhold til om et argument om kunne dokumentere korrekt vejledning fra det offentlige, så har Datatilsynet i den konkrete afgørelse været inde og underkende dette. Jeg kan forstå på Erhvervsstyrelsens udtalelse til Version2, at det har styrelsen åbenbart ikke selv opdaget

  • 2
  • 0
#6 Anders Riis

@Lars, det er helt korrekt, at du som privat borger - som udgangspunkt - ikke er underlagt reglerne i Persondataforordningen (GDPR).

Som du selv er inde på, så gælder Persondataforordningens regler for Virksomheder, foreninger, fonde og myndigheder.

Hvis du som privatperson ønsker at optage en samtale, så skal du sørge for at du kun optager samtaler som du selv deltager i, da det ellers vil være en hemmelig optagelse der kan være i strid med Straffelovens § 263.

Du skal dog også være opmærksom på, at du ikke må offentliggøre samtalen du har optaget.

  • 3
  • 0
#7 Rune Hansen

Er der nogen der kan udrede om følgende ligger inden for GDPR.

Falk står for kvik test. Ved indtjek bliver man gjort opmærksom på at man modtager 2 sms’er den ene kommer med det samme og omhandler privatlivspolitik den anden er svaret. I realiteten bliver man indkaldt til tjek øjeblikkeligt og har ikke mulighed for at gennemgå “privatlivs politikken”. Den ser således ud (personligt synes jeg den virker alarmerende, men har svært ved at vurderer hvor meget), især samarbejdspartner delen: https://www.falck.dk/globalassets/covid-19-pdfer/danish-amb-privacy-noti...

  • 0
  • 3
#8 Anders Riis

@Rune, efter at have løbet vilkårene hurtigt igennem, så synes jeg ikke der er noget dybt alarmerende ved de privatlivsvilkår du har linket til.

De bærer præg af at være flækket hurtigt sammen, og jeg håber ikke Falck har betalt en advokat for lave dem, men overordnet set er der ikke noget fundamentalt galt med vilkårene.

Jeg vil tillade mig, at vende det lidt om, og stille spørgsmålet, hvordan skulle Falck kunne løse opgaven med at foretage Kvicktest, hvis de ikke må behandle dine data?

I forhold til deres databehandlere, så finder jeg heller ikke setuppet hverken alarmerende eller specielt anderledes end hvad man kunne forvente. Falck kan jo af gode grunde ikke selv udvikle database soft- og hardwareløsninger til opgaven, men benytter Microsofts løsninger.

Man kunne godt have en teoretisk diskussion om Falck lever op til deres oplysningsforpligtigelse jf. Persondataforordningens artikel 13, når du ikke får tid til at læse vilkårene igennem inden der sker en behandling, men spurgte du, om du måtte få mere tid til at læse dem?

Der er dog ét punkt som jeg finder bekymrende, uden det dog har betydning for selve behandlingsgrundlaget, da de har det på plads jf. deres beskrivelse af artikel 6(1)(C), 9(2)(h) og 9(2)(i) samt lex specialis i sundhedslovgivningen.

Men Falcks interesseafvejninger efter artikel 6(1)(f), er noget forvrøvlet sludder.

"For behandling baseret på vores legitime interesse, har vi her bl.a. lagt vægt på: 1) Vores interesse i at behandle oplysninger for at dokumentere vores overholdelse af lovgivningen. 2) Vores interesse i at give dig adgang til et testcertifikat og oplysninger om vores behandling af dine personoplysninger via SMS, for at forøge din brugeroplevelse. 3) Hvis tests faciliteret af arbejdsgiver/skoleledelse: Vores interesse i at videregive information til din arbejdsgiver/skoleledelse, med henblik på at sikre hurtig og effektiv smitteinddæmning."

Det bør Falck få slettet, da deres formål ikke bliver hjemlet af en interesseafvejning, men af de forpligtigelser der ligger i lovgivningen og af den (de) kontrakte(r) de har indgået.

Jeg tvivler dog stærkt på, at det vil resultere i kritik fra Datatilsynet, men det får Falck til at fremstå en smulle fjollede.

  • 1
  • 0
#9 Tobias Skytte

Er der nogen der ved hvordan det forholder sig med optagelse af video opkald? Jeg har hørt at i nogen virksomheder er det praksis at optage alle video møder f.eks. Har man som medarbejder ikke nogen beskyttelse her? Der er jo ikke noget reelt samtykke når chefen kalder ind til zoom møde og optager det, hvis man siger nej tak kan man risikere en fyreseddel så det er jo en form for pression der burde invalidere et evt. 'samtykke'.

  • 1
  • 0
#10 Anders Riis

@Tobias Det er et yderst interessant spørgsmål. Datatilsynet har ikke offentliggjort afgørelser af den type.

Da Datatilsynet i november udgav vejledningen omkring optagelse af telefonsamtaler, der skrev de samtidig at forventede at komme med en "vejledning omkring optagelsen af andre former for samtaler, herunder f.eks. optagelse af møder på Zoom, Skype, Teams o.l."

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/nov/ny-ve...

Mig bekendt er der ikke kommet sådan en vejledning endnu.

Umiddelbart vil mit bud være, at der gælder de samme regler som ved optagelse af telefonsamtaler, dvs. hovedreglen er SAMTYKKE.

Det der gør dit spørgsmål interessant er, om en arbejdsgiver kan optage en sådan videosamtale med andre hjemler end samtykke?

Som det fremgår af Datatilsynets vejledning om "Databeskyttelse i forbindelse med ansættelsesforhold", så har en arbejdsgiver lidt videre rammer, og jeg kan bestemt ikke afvise, at en arbejdsgiver kan have en særlig interesse i, at optage videosamtaler.

https://www.datatilsynet.dk/Media/0/8/Vejledning%20om%20databeskyttelse%...

Hvis det ikke er tilfældet, hvilket jo må være op til Datatilsynets afgørelse, så vil den almindelige praksis omkring samtykker være gældende. Som du selv er inde på, så vil sådan et samtykke jf. Datatilsynets praksis for samtykker skulle indhentes som en frivillig og utvetydig viljetilkendesgivelse.

Hvis jeg var dig, ville jeg prøve at kontakte Datatilsynet og spørge til status på den vejledning de forvente at lave på området.

  • 2
  • 0
#11 Gert Madsen

I forhold til deres databehandlere, så finder jeg heller ikke setuppet hverken alarmerende eller specielt anderledes end hvad man kunne forvente. Falck kan jo af gode grunde ikke selv udvikle database soft- og hardwareløsninger til opgaven, men benytter Microsofts løsninger.

Det største problem er vel den generelle natur af beskrivelsen.

Feks. får Marius Pedersen overleveret det biologiske materiale, som skal destrueres. Men der er ingen som helst grund til at de skal have andre oplysninger.

Det får de nok heller ikke, men vi kan ikke vide det. Vi kan jo se hvordan generelle tilladelser er blevet misbrugt i mobil-apps.

Og så er der selvfølgelig de principielle problemer med at overlade følsomme oplysninger til usikkert 3. land. dvs. Indien og USA (Microsoft).

  • 1
  • 0
#12 Anders Riis

@Gert det er ikke ualmindeligt at der laves databehandleraftaler med renovationsfirmaer der destruere/makulerer personfølsomme data.

Instruktionen i disse databehandleraftaler er at data skal destrueres, og data ikke må benyttes til andre formål. Det er ikke til at vide, hvad der står i den præcise databehandleraftale mellem Marius Pedersen og Falck, men forhåbentlig står der, at behandlingsformålet er destruktion.

Og ja, du har ret der fremgår af vilkårene, at der er underdatabehandlere i Indien, USA og Global (hvad så end det måtte dække over). Det fremgår dog, at det er support-funktioner der varetages herfra. Det kunne være interressant at spørge Falck præcist hvilke oplysninger der havner hos disse underdatabehandlere, for jeg tvivler egentlig på, om personoplysningerne rent faktisk havner hos disse support funktioner.

  • 1
  • 0
#13 Christian Schmidt Blogger

Du har helt ret i at Nordnet gerne må optage samtaler uden samtykke.

De er faktisk forpligtet til at optage telefonopkald, der kan føre til handel med værdipapirer. Det følger af § 10 i bekendtgørelse om de organisatoriske krav til værdipapirhandlere.

I min banks fortolkning giver denne bestemmelse dem hjemmel til at optage alle ind- og udgående telefonsamtaler. Jeg ved ikke, om den holder i byretten.

Ved et tilfælde fandt jeg ud af, at banken også optager såkaldte “serviceopkald”, dvs. når de uopfordret ringer til kunder, der ikke har givet samtykke til at blive ringet op i salgsøjemed. Ved den slags opkald er det som udgangspunkt ulovligt for dem at forsøge at sælge noget (herunder værdipapirer).

  • 1
  • 0
Log ind eller Opret konto for at kommentere