Regler
Virksomheder (foreninger mv.) har efter CPR-lovens § 38 ret til at få leveret oplysninger fra CPR om en større afgrænset kreds af personer, som virksomheden på forhånd har identificeret enkeltvis enten via personnummer eller navn og adresse. Det er herudover et krav, at den private virksomhed er berettiget til at modtaget oplysningerne efter databeskyttelsesforordningen og databeskyttelsesloven. Det betyder i praksis, at en privat virksomhed kan abonnere på sine kunders oplysninger, når virksomheden har identificeret den enkelte kunde, og når den private virksomheden efter databeskyttelsesforordningen og databeskyttelsesloven kan godtgøre et sagligt formål med at abonnere på en enkelte kundes oplysninger.
Offentlige myndigheder har efter CPR-lovens § 31 ret til at modtage alle oplysninger fra CPR vedrørende en person, forudsat at myndigheden er berettiget til at modtage oplysningerne efter databeskyttelsesforordningen og databeskyttelsesloven.
For både virksomheder og offentlige myndigheder gælder følgende
- Der må kun oprettes et personabonnement i CPR, hvis der er et sagligt behov for dette
- Et personabonnement i CPR skal slettes, når der ikke længere er et sagligt behov for abonnementet.
Både som virksomhed mv. og offentlig myndighed skal man således kunne redegøre for formålet med et abonnement, hvis en person henvender sig og ønsker at få oplyst grundlaget for abonnementet eller ønsker abonnementet slettet.
Implementering
Det er således en forudsætning for myndigheders hhv. virksomheders anvendelse af personabonnementer, at myndigheden hhv. virksomheden har tilrettelagt forretningsprocesser tilpasset de lokale forhold, der understøtter, at personabonnementer kun oprettes, når der er et sagligt behov herfor, samt at personabonnementer slettes, når der ikke længere er et sagligt behov herfor.
For mange myndigheder hhv. virksomheder vil det indebære, at myndighedens hhv. virksomhedens tekniske integration til CPR-systemet understøtter både automatisk oprettelse og sletning af et personabonnement. Det kan også være hensigtsmæssigt, at myndigheden hhv. virksomheden kan foretage manuel sletning af et personabonnement.
Henvendelser fra den registrerede
Myndigheder og virksomheder skal inden for rimelig tid behandle en henvendelse fra en borger eller kunde, som pågældende myndighed hhv. virksomhed har i abonnement hos CPR.
Myndigheden hhv. virksomheden skal godtgøre, at personabonnementet aktuelt er sagligt.
Myndigheden hhv. virksomheden skal sørge for at slette personabonnementet, såfremt et aktuelt sagligt formål ikke kan godtgøres.
Den registrerede kan klage
Hvis den registrerede ikke finder, at myndigheden hhv. virksomheden har godtgjort et sagligt formål, kan vedkommende klage til Digitaliseringsministeriet v. CPR-administrationen, der herefter vil træffe afgørelse i sagen.
Særligt om servicebureauers forpligtelser
Hvis et servicebureau på vegne af en offentlige myndighed eller en virksomhed mv. indhenter oplysninger fra CPR, vil det være servicebureauet, der står anført med et personabonnement hos den registrerede, som ikke ud fra CPR vil kunne udlede, hvilken virksomhed eller myndighed som servicebureaet behandler oplysningerne for.
Det er i disse tilfælde servicebureauets forpligtelse at kunne oplyse den registrerede om, hvilke virksomheder mv. som via servicebureaet abonnerer på den registreredes oplysninger, såfremt servicebureauet modtager en henvendelse om formålet med abonnementet fra den registrerede.
Dette vil give den registrerede mulighed for at kontakte den dataansvarlige med henblik på en redegørelse for, hvorfor der abonneres på vedkommendes oplysninger.
Servicebureauet vil også kunne videreformidle henvendelsen til den dataansvarlige eller besvare henvendelsen selv, såfremt der er indgået aftale herom med den dataansvarlige.