Se mere
Læs også om
Ifølge Datatilsynet, som fører tilsyn med at persondataloven overholdes, er hovedreglen, § 11 i persondataloven, at private virksomheder gerne må registrere et cpr-nummer, hvis to betingelser er opfyldt:
- Hvis den registrerede selv har givet sit samtykke frivilligt
- Registreringen skal tjene et relevant og sagligt formål
Cpr-numre må indsamles ved løbende mellemværende
Ifølge Datatilsynet er hovedreglen, at cpr-nummer må indsamles, hvis der er tale om et løbende mellemværende (fx et abonnement), og IKKE hvis der er tale om et kontantkøb.
Det betyder fx, at det er lovligt, at et teleselskab beder om dit cpr-nummer, inden du kan købe en ny mobil. Det skyldes, at de har brug for at foretage en kreditvurdering af dig, hvortil cpr-nummeret er nødvendigt.
Det samme gælder et løbende avisabonnement, hvor firmaet leverer varen forud og i tilfælde af, at du ikke betaler regningen, har de ret til at få dine fulde oplysninger.
Virksomheder har mulighed for frivillig tvang
Ifølge Forbrugerrådet er problemet, at selvom loven siger, at samtykket skal gives frivilligt, betyder det reelt, at den erhvervsdrivende benytter sig af frivillig tvang:
Hvis kunden for eksempel vil leje en videofilm, så kan den erhvervsdrivende finde på at kræve, at kunden skal udlevere sit cpr-nummer, for kunden kan bare lade være med at leje den videofilm, hvis denne ikke vil udlevere cpr-nummeret.
Cpr-nummeret skal være absolut nødvendigt
Men virksomheden kan ikke tillade sig hvad som helst, bare fordi forbrugeren er flink og indvilliger i at opgive sit cpr-nummer.
Ifølge §5 stk.3 i persondataloven må oplysningerne ikke omfatte mere, end hvad der kræves for at opfylde indsamlingens formål. Og da en entydig identifikation kan opnås ved udelukkende at bede om fødselsdato, navn og adresse, så må indsamling af cpr-nummeret anses for at være overflødigt. Og ifølge EU-direktivet vejer kravet om nødvendighed tungere end kravet om frivilligt samtykke.
Med andre ord, hvis man kan opnå sit formål med mindre indgribende foranstaltninger end at bede om forbrugerens cpr-nummer, så skal man søge disse veje.
Nej til cpr-nummer som kundenummer
Efter Forbrugerrådets opfattelse er det ikke i orden at opkræve cpr-nummeret alene med det formål at lette virksomhedens administrations- eller sagsbehandlingssystem. Og dette synspunkt bakkes også op af ekspert på området.
Lektor og ph. d. Charlotte Bagger mener, at lovgrundlaget for behandling af personoplysninger i de skandinaviske lande stort set er det samme, da de hviler på samme EU-direktiv, men i modsætning til Norge, hvor man i praksis håndhæver nødvendighedskriteriet, så er man ikke så god til det i Danmark.
Hvad bør der gøres?
Forbrugerrådet frygter, at antallet af identitetstyverier stiger i takt med, at flere og flere virksomheder kræver at få udleveret cpr-nummeret og som følge af den digitale udvikling.
I forbindelse med revisionen af persondata-direktivet fra 1995 arbejder Forbrugerrådet for at stramme kravene til virksomhedernes it-systemer.
Ved for eksempel at indføre et krav om privacy by design, forpligtes virksomheder til at gemme kundedata på en måde, så kunden ikke kan identificeres af udefrakommende, hvilket er det dimentralt modsatte af virksomheders registrering af cpr-numre.
