12. APRIL 2019
Datatilsynet: Ulovlig offentliggørelse af personfølsomme data i CVR-register
Et tidligere menighedsrådsmedlem har fået medhold af Datatilsynet i klage over offentliggørelse af vedkommendes personoplysninger i Det Centrale Virksomhedsregister, CVR. Landsforeningen af Menighedsråd vurderer, at der kan være flere lignende sager.
Er menighedsrådene de reelle ejere af kirkerne? Det mente Erhvervsstyrelsen i en sag, hvor man derfor havde registreret et menighedsrådsmedlems personoplysninger i CVR-registeret. Efter en klage fra et menighedsrådsmedlem er Datatilsynet kommet frem til en anden afgørelse og udtaler alvorlig kritik af Erhvervsstyrelsen. Foto: Colourbox.
Af: Charlotte Tybjerg Sørensen
Sagen handler om, at et tidligere medlem af menighedsrådet i Hornstrup er blevet registreret som den reelle ejer af Hornstrup Kirkekasse i CVR-registeret. Erhvervsstyrelsen havde offentliggjort klagers beskyttede navn og adresse samt oplysninger om klagers religiøse overbevisning. Sagen er kommet til Landsforeningens kendskab, da det tidligere menighedsrådsmedlem i slutningen af 2018 oplyste om, at vedkommende kørte en sag.
”Alvorlig kritik” af Erhvervsstyrelsen
Datatilsynet har i en afgørelse, sendt til menighedsrådsmedlemmet den 21. marts 2019, udtalt ”alvorlig kritik” af Erhvervsstyrelsen. I svaret står blandt andet: Datatilsynet finder, at der er grundlag for at udtale alvorlig kritik af, at Erhvervsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6 og 9.
Sagen handler udelukkende om én borger og én kirkekasse. Men Søren Abildgaard, Landsforeningens formand vurderer, at sagen er principiel og vedrører langt flere personer.
- Der er knapt 13.000 menighedsrådsmedlemmer i Danmark, fordelt på omkring 1.700 menighedsråd, som alle har en kirkekasse tilknyttet. Så i princippet er de alle sammen blevet registreret, siger Søren Abildgaard.
Kirkekasser ikke omfattet af lov
Erhvervsstyrelsen havde i sagen om Hornstrup Kirkekasse vurderet, at der var pligt til at registrere menighedsrådsmedlemmer som de reelle ejere af den kirkekasse, der tilhører det enkelte menighedsråd. Men ifølge afgørelsen fra Datatilsynet, var kirkekassen ikke omfattet af fondsloven eller anden lovgivning, der indeholder en forpligtelse til at registrere reelle ejere. Og dermed havde Erhvervsstyrelsen ulovligt behandlet og offentliggjort både personoplysninger og følsomme personoplysninger på det tidligere menighedsrådsmedlem.
- Hvis man tager udgangspunkt i Datatilsynets kritik, har jeg meget vanskeligt ved at tro, at man ikke vil nå frem til præcis den samme afgørelse for landets øvrige kirkekasser. De er blevet registreret på nøjagtig samme måde, og jeg har svært ved at se, at Hornstrup Kirkekasse skulle adskille sig fra andre kirkekasser, siger Søren Abildgaard.
Han mener ikke, at det giver mening at forudsætte, at medlemmerne i et menighedsråd er de reelle ejere af folkekirken i deres sogn.
- Det svarer lidt til at sige, at medlemmerne af en kommunalbestyrelse skulle stå som ejere af den kommunale skole eller sportshal.
Datatilsynet ønsker viden om lignende situationer
I Datatilsynet har man også en formodning om, at der kan være andre sager af samme slags. Kontorchef Astrid Mavrogenis, siger til netmediet Version2.dk, der bragte en artikel om emnet den 8. april, at det er derfor, at man i afgørelsen i sagen har bedt Erhvervsstyrelsen se på, om der er lignende situationer, som ikke burde have været offentliggjort. Hvis det viser sig, at problemet ikke kun omfatter den pågældende kirkekasse, vil det være de konkrete omstændigheder, herunder hvor lang tid Erhvervsstyrelsen måtte have gjort for at rette op på det, der vil have betydning i eventuelt andre sager.
- Vi ser frem til, at Erhvervsstyrelsen går registeret igennem og afventer derefter de videre skridt fra Datastyrelsens side, siger Søren Abildgaard.
Læs interviewet med Søren Abildgaard og med Datatilsynet på Version2.dk.