Forbrugerombudsmanden har udsendt et notat, der fastsætter rammerne for, hvornår private virksomheder må stille krav om, at privatpersoner skal udlevere deres CPR-nummer til virksomheden.
Det fremgår af et nyt notat fra Forbrugerombudsmanden, at private virksomheder kun kan forlange en privatpersons CPR-nummer oplyst hvis:
Det fremgår af lovgivningen, eller
Udleveringen af CPR-nummeret er sagligt begrundet, og personen har givet sit udtrykkelige samtykke.
Området er reguleret af persondataloven og markedsføringsloven. Forbrugerombudsmandens notat beskriver forholdet mellem de to regelsæt og har på baggrund af praksis fastsat retningslinjer for, hvornår private virksomheder kan indhente og behandle personers CPR-numre.
Persondataloven
Persondataloven er hovedloven på området og indeholder regler for, hvornår private virksomheder må indsamle, registrere og bruge oplysninger om en privatpersons CPR-nummer.
Som udgangspunkt må en privat virksomhed behandle CPR-numre, når det står i lovgivningen, eller når 1) den private person har givet sit udtrykkelige samtykke til behandlingen, og 2) der samtidig er et relevant og sagligt formål med behandlingen.
Persondataloven regulerer dog ikke, hvornår en privat virksomhed har krav på at få udleveret en persons CPR-nummer. Persondataloven kan dermed ikke om afgøre, om en virksomhed kan afvise at indgå aftale med en kunde, som ikke vil give samtykke til registrering og brug af sit CPR-nummer.
Hvad er et relevant og sagligt formål?
Et relevant og sagligt formål kan være løbende mellemværender (for eksempel abonnementer eller medlemskaber) mellem kunden og virksomheden. Et relevant og sagligt formål kan også være, når praktiske eller administrative hensyn gør, at CPR-nummeret skal registreres for at sikre entydig identifikation. Konkrete eksempler på, hvornår indhentelse af CPR-nummer er sagligt begrundet, er:
- Abonnement hos mobiltelefonselskab og medlemskab af fitnesscenter
- Lejeforhold
- Når en virksomhed stiller et produkt til rådighed for kunden, som kunden skal tilbagelevere til virksomheden.
Krav om samtykke
Virksomheden må dog kun behandle CPR-nummeret, hvis den (foruden et relevant og sagligt formål) har indhentet kundens udtrykkelige samtykke til registrering eller brug af CPR-nummeret. Samtykket skal være frivilligt, specifikt og informeret.
Markedsføringsloven
Efter markedsføringsloven skal private virksomheder udvise god markedsføringsskik. Når en virksomhed ønsker at få udleveret en persons CPR-nummer, skal det derfor vurderes, om kravet er i overensstemmelse med god markedsføringsskik.
I kravet om god markedsføringsskik ligger også et saglighedskrav, selvom dette ikke er lovfæstet som i persondataloven. En virksomhed kan således kun bede personen om samtykke til registrering af dennes CPR-nummer, hvis formålet med anmodningen kan anses for sagligt under hensyn til aftaleforholdet mv.
Derfor bliver der set på, hvad formålet med udleveringen af CPR-nummeret er, for eksempel virksomhedens administrative hensyn, og om dette formål relativt nemt kan opnås på anden måde. Som eksempler fra praksis, hvor virksomheden normalt ikke har en saglig grund til at kræve CPR-nummer, kan nævnes:
Kontante køb i fysisk forretning, når produktet (ikke abonnement mv.) bliver udleveret i forretningen eller udbringes til køberen
Køb med særlige betalingsinstrumenter i forretning/e-handel (for eksempel betalingskort/mobiltelefoner), hvor købet ikke har karakter af et løbende mellemværende
Udlevering af vare/tilbagebetaling ved returnering af varer.
Når en virksomhed har en saglig og relevant begrundelse for at bede om CPR-nummer, og derfor lovligt kan gøre det, skal det i markedsføringen tydeligt fremgå, at oplysning om CPR-nummer er en forudsætning for eksempelvis indgåelse af aftalen.
Hvis kunden oplyser sit CPR-nummer via en hjemmeside, skal overførslen heraf ske krypteret. En virksomhed, der ønsker at besvare en e-mail fra en privat person, hvori personen selv har sendt sit personnummer uden brug af kryptering, bør undlade at medtage personnummeret ved besvarelse.
Yderligere information
Kontakt partner Thomas Munk Rasmussen for yderligere information om reglerne om brug af CPR-numre og andre personoplysninger.
Læs Forbrugerombudsmandens notat
her
-medium.jpg){kind=logo}
