Virksomheders registrering af cpr. numre

Et CPR-nummer er en personfølsom oplysning og må derfor ikke uden videre registreres af virksomheder. Dette fremgår af Persondataforordningen.

Som udgangspunkt må virksomheder kun registrere et CPR-nummer, hvis (1) det står i loven, eller (2) der er givet et samtykke fra den registrerede og registreringen har et relevant og sagligt formål.

Har virksomheden et løbende mellemværende med sin kunde vil det som udgangspunkt være i orden at indhente og registrere kundens CPR-nummer. Det kan være et telefonabonnement eller et fitnessabonnement. Der skal dog stadigvæk være tale om at nogle praktiske og administrative hensyn nødvendiggør registreringen af CPR-nummeret.

Ved kontantkøb, hvor der efterfølgende ikke er nogen løbende kontakt mellem parterne, kan virksomheden derimod som den helt klare hovedregel ikke kræve kundens CPR-nummer. Dette vil være i strid med Persondataforordningen.

Webshop i strid med Persondataloven

Persondataloven får større og større betydning. Efter Persondataloven er det forbudt at behandle og lagre persondata, medmindre der er en rigtig god grund til det. Det var der ikke i denne afgørelse truffet af Datatilsynet.

Der var tale om en webbutik, der – som alle andre web-butikker – havde en bestillingsformular. Når en kunde indtastede sin e-mailadresse genkendte shoppen automatisk tidligere indtastede data, som navn, adresse og telefonnummer. Smart nok, skulle nogen måske mene, fordi man jo så slipper for at indtaste resten. Nej, det går ikke.

I Persondatalovens forstand var den automatiske indsætning af persondata på grundlag af en mail-adresse nemlig en behandling og videregivelse af Persondata. Dette kræver en rigtig god grund eller – hvis der ikke er tale om en rigtig god grund – et samtykke fra kunden.

Der var ikke nogle gode saglige grunde, som kunne retfærdiggøre denne form for behandling og videregivelse af persondata. Og da kunden ikke havde givet et samtykke til videregivelsen af persondata, var der tale om en funktion, der var i strid med Persondataloven.

En afgørelse, der giver mening og er helt i tråd med både bogstaven og ånden i Persondataloven. Jeg ville heller ikke være vild med at handle på en side, hvor alle andre, der indtastede min mail-adresse, fik oplysning om mit navn, adresse og telefonnummer. Data, der måske er uskyldige nok, men det rager ingen andre, på hvilke sider, jeg handler, og den måde som webshoppen var sat op på kunne netop ved indtastning af mailadresse afsløre, om en given person tidligere havde handlet på siden.

Vil du som virksomhed derfor have en funktion på din hjemmeside, hvor der ved indtastning af mail-adresse, navn eller telefonnummer sker automatisk udfyldning af øvrige felter, er det derfor vigtigt at du få indhentet et udtrykkeligt samtykke fra kunden. Og med udtrykkeligt menes udtrykkeligt. Det vil sige at samtykket ikke må være gemt i de almindelige vilkår eller eller være forhåndsafkrydset (kunden skal med andre ord aktivt sætte kryds i rubrikken, hvor der gives samtykke til at lagre og videregive oplysningerne).