Byretten har for nyligt afsagt dom i en sag, hvor forholdet mellem krav til myndighedernes sagsoplysning og dataminimeringsprincippet i databeskyttelsesforordningen blev belyst. Advokat Emilie Loiborg, førte retssagen for kommunen, som blev pure frifundet i sagen.
Sagen vedrørte, hvorvidt en kommunes indhentning af oplysninger fra en borgers åbne Facebook-profil var i strid med dataminimeringsprincippet efter databeskyttelsesforordningens artikel 5, stk. 1, litra c. Oplysningerne var indhentet i forbindelse med en kontrolsag om mistanke om snyd med sociale midler.
Retten lagde til grund, at borgerens Facebook-profil var en ”åben profil” og konkluderede herefter, at der var tale om almindelige og relevante oplysninger om borgeren, som var indhentet til opfyldelse af kommunens forpligtelse til at foretage tilstrækkelig og nødvendig sagsoplysning.
Retten lagde til grund, at oplysningerne blev journaliseret på kommunens kontrolsag for herefter at blive videreoverdraget til Udbetaling Danmark, der var afgørelsesmyndigheden i sagen. Derfor var indhentelsen af oplysningerne ikke i strid med dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Privatlivspolitik – hvem er dataansvarlig?
I den konkrete kontrolsag udvekslede kommunen og Udbetaling Danmark oplysninger med hinanden. Der opstod derfor også et spørgsmål om, hvem der var dataansvarlig og dermed hvem, der havde pligten til at overveje at give en privatlivspolitik efter databeskyttelsesforordningens artikel 14 og databeskyttelseslovens § 22.
Dommen viser også, at det er muligt i lovgivningen at fastlægge dataansvaret efter databeskyttelsesretten. I sagen var dataansvaret fastlagt i loven. Kommunen blev der-for frikendt for overtrædelsen af databeskyttelsesforordningens artikel 14 om oplysningspligten.