Når myndigheder bruger offentligt tilgængelige personoplysninger

Karsten Loiborg, kontorchef 
FOB 2011

MÅ MYNDIGHEDER TJEKKE FACEBOOK?

En sagsbehandler logger ind på Facebook og falder over interessante oplysninger om en borger. Borgerens Facebookprofil er åben. Derfor kan sagsbehandleren uden videre se oplysningerne. Men må sagsbehandleren også registrere og bruge oplysningerne i en sag? Problemstillingen er særdeles aktuel i en tid, hvor stadig flere personoplysninger bliver offentligt tilgængelige via f.eks. sociale netværk.

Reglerne er i udgangspunktet enkle: En forvaltningsmyndighed må kun registrere og bruge offentligt tilgængelige oplysninger om borgere, i den udstrækning det er sagligt relevant for myndighedens opgaver. Det gælder helt generelt, og altså hvad enten myndighedens opgave er faktisk forvaltningsvirksomhed – f.eks. undervisning, hospitalsbehandling eller børnepasning – eller opgaven er at træffe afgørelser i forhold til borgerne.

I dagligdagen sker det sikkert jævnligt, at en myndighed bruger offentligt tilgængelige personoplysninger i forbindelse med faktisk forvaltningsvirksomhed – eksempelvis hvis man i kommunens tekniske forvaltning slår op i den lokale vejviser for at finde ud af, hvem man skal orientere om et omfattende gravearbejde på en villavej. Men i praksis er det nok mest i afgørelsessager, det kan give anledning til tvivl hos en myndighed og uenighed mellem myndighed og borger, om myndigheden må behandle personoplysninger. Er oplysningerne offentligt tilgængelige, og må myndigheden selv finde frem til dem og bruge dem?

Der kan givetvis være behov for at anvende offentligt tilgængelige oplysninger i alle typer af afgørelsessager – både i sager, hvor en borger søger om noget, i sager, hvor en myndighed overvejer at give en borger et påbud eller at nedlægge et forbud, og i sager, hvor en myndighed fører kontrol med borgere (kontrolsager). Eksempelvis kan ejerforholdene i en sag, hvor en borger søger byggetilladelse, eventuelt søges oplyst i tingbogen. Men det er i kontrolsagerne, brugen af offentligt tilgængelige personoplysninger i den senere tid har fået mest omtale i medierne – især kommunernes kontrol af, at der ikke uberettiget udbetales sociale ydelser, og SKATs kontrol af, at der ikke sker skatte- og afgiftsunddragelse.

Oplysninger kan være offentligt tilgængelige på mange måder: De kan fremgå af pressen, af opslagsværker, af offentlige registre (f.eks. tingbogen eller Det Centrale Virksomhedsregister) eller af internettet. Hvis en oplysning fremgår af en almindeligt tilgængelig hjemmeside, er ingen vel i tvivl om, at oplysningen er offentliggjort. Men der har vist sig et praktisk påtrængende behov for at få afklaret, hvad der egentlig gælder i forhold til de efterhånden meget udbredte sociale medier på nettet.

I en sag, som ombudsmanden afsluttede i beretningsåret 2011 (Folketingets Ombudsmands beretning for 2011, sag nr. 2011 15-1), havde SKAT indhentet oplysninger om en kvindelig skatteyder fra hendes Facebook. SKAT kontrollerede skattepligtsforholdene hos en af kvindens bekendte, og i den forbindelse opstod der spørgsmål om den bekendtes tilknytning til kvinden. På den baggrund indhentede SKAT materiale hos forskellige myndigheder og virksomheder om både kvinden selv og hendes bekendte. Oplysningerne om kvinden blev indhentet for at kontrollere hendes opgørelse til SKAT af underskuddet fra en virksomhed og opgørelsen af hendes privatforbrug. Det var i den forbindelse, der også blev indsamlet oplysninger om kvinden fra hendes Facebook, herunder oplysninger af mere personlig karakter.

Det var kvinden utilfreds med, og et revisionsfirma klagede på hendes vegne til ombudsmanden over, at SKAT i det hele taget havde indsamlet oplysninger fra kvindens Facebook. Under sagen havde revisionsfirmaet bl.a. det synspunkt, at oplysningerne på kvindens Facebook ikke var offentligt tilgængelige. Revisionsfirmaet skelnede mellem oplysninger på en åben Facebookside og på internettet generelt. På Facebook er der tale om at dele oplysninger mellem personer i en lukket kreds, ikke om at lægge oplysninger ud på internettet, der kan søges direkte fra en søgemaskine, anførte revisionsfirmaet.

Ombudsmanden var ikke enig i den måde, revisionsfirmaet så sagen på. På det tidspunkt, hvor SKAT indsamlede oplysningerne om kvinden på Facebook, var hendes profil sat op, så alle brugere af Facebook kunne se oplysningerne om hende. Facebook er verdens største sociale netværk og havde medio okto ber 2011 over 750 millioner aktive brugere på verdensplan ifølge hjemmesiden www.checkfacebook.com. Det fremgik af samme hjemmeside, at antallet af aktive brugere i Danmark på det tidspunkt var knap 2,7 millioner. Ombudsmanden udtalte, at oplysninger på en persons Facebook er offentligt tilgængelige, hvis personen har en profil, som er så åben, at det ikke kun er hans eller hendes ”venner” på Facebook, der har adgang til oplysningerne, men alle brugere på Facebook – fordi profilen er sat op til at være ”public”. Det gælder både de oplysninger, personen selv har lagt ud, og de oplysninger, andre har lagt ud om ham eller hende på den åbne Facebook.

FRA LUKKET TIL OFFENTLIGT TILGÆNGELIG PROFIL

Det er dog ikke kun, når en persons Facebookprofil er ”public”, at personens oplysninger på Facebook i juridisk forstand kan være offentliggjort. Hvis personen har et meget stort antal ”venner” på Facebook, særligt ”venner”, som han eller hun ikke kender, kan resultatet blive det samme. Også selv om profilen ikke er ”public”. Denne måde at bruge Facebook på kan man se på f.eks. politiker-sider. Det er imidlertid en konkret vurdering, om personer med rigtig mange ”venner” i realiteten offentliggør oplysninger om sig selv, når de lægger billeder eller tekst på Facebook. Det samme gælder oplysninger, som er lagt på personens Facebook af en af ”vennerne”. Generelt er det dog sådan, at jo mere tilgængelig profilen og adfærden er, jo mere taler det i retning af en egentlig offentliggørelse.

En person, som har begrænset tilgængelighed til sin profil, vil ikke altid kunne regne med, at de oplysninger, der ligger på hans eller hendes Facebook, kan holdes inden for kredsen af ”venner”. Der kan nemlig ske det, at oplysninger om personen overgår fra at være private til at blive offentligt tilgængelige, hvis personen har ”venner” med åbne profiler, og disse ”venner” bruger Facebook på visse måder. Hvis en person med en lukket profil eksempelvis lægger oplysninger på sin Facebook, og en ”ven” med en åben profil som led i en dialog eller debat lægger oplysninger på personens Facebook, vil oplysninger om personen efter omstændighederne kunne ses af alle Facebookbrugere. Oplysningerne vil dermed blive udbredt til en videre, ubestemt kreds og således blive offentligt tilgængelige.

Også i relation til andre sociale medier på internettet må man antage, at der skal foretages en konkret vurdering i det enkelte tilfælde af, om der er sket offentliggørelse. Man må altså bl.a. overveje, hvor let tilgængelige oplysningerne er, og hvor mange der har adgang til dem.

DANSK LOVGIVNING GÆLDER FOR MYNDIGHEDERNE

Om oplysninger er offentligt tilgængelige eller ej, har stor betydning for, om myndighederne kan inddrage oplysningerne i en sag. Det følger af reglerne i persondataloven (lov nr. 429 af 31. maj 2000). Lovens § 7, stk. 1, siger, at der ikke må behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og helbredsmæssige og seksuelle forhold. Denne regel gælder imidlertid ikke, hvis behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede selv (§ 7, stk. 2, nr. 3). For mindre følsomme personlige oplysninger end dem, der er opregnet i § 7, stk. 1, må der tilsvarende være adgang til frit at behandle dem, når oplysningerne er blevet offentliggjort af den registrerede selv.

I Facebooksagen fik ombudsmanden også lejlighed til at forholde sig til, om de standardvilkår, som er ensidigt fastsat af Facebook i USA, havde nogen selvstændig betydning for danske forvaltningsmyndigheders behandling af oplysninger fra Facebook. Det var ikke tilfældet; det er nemlig den danske offentligretlige lovgivning, som regulerer myndighedernes behandling af personoplysninger – også fra Facebook.

Selv om oplysninger er offentligt tilgængelige, er det dog ikke givet, at en offentlig myndighed har lov til at behandle oplysningerne. Bestemmelsen i persondatalovens § 5 om god databehandlingsskik gælder nemlig også for offentliggjorte oplysninger. En myndighed må stadig kun indhente og bruge oplysninger, der er relevante og saglige i forhold til sagen. Kravet om saglighed i § 5 må forstås på samme måde som de almindelige forvaltningsretlige saglighedskrav til sagsbehandlingen. I relation til sagsoplysning følger disse krav af det almindeligt gældende sagsoplysnings- eller officialprincip, eventuelt suppleret af særlige oplysningsregler i lovgivningen (f.eks. skattekontrollovens regler) samt kravet om relevans. Officialprincippet går ud på, at det er myndighedens ansvar, at sagen er tilstrækkeligt oplyst til, at der kan træffes en forsvarlig og lovlig afgørelse.

Eller sagt med andre ord: Det, som er sagligt og relevant efter lovgivningen på det konkrete område, afgrænser de oplysninger, en forvaltningsmyndighed må indhente og anvende – og det gælder også i forhold til oplysninger, som er offentligt tilgængelige.


Karsten Loiborg, kontorchef 
FOB 2011