Høringssvar vedr. forslag til bekendtgørelse om Erhvervsstyrelsens behandling af data

Bekendtgørelsesudkastet (fremover: bekendtgørelsen) definerer i § 3 hvilke kategorier af personoplysninger, som Erhvervsstyrelsen kan behandle til samkøring og anden behandling af personoplysninger i henhold til lov om Erhvervsstyrelsens behandling af data. Denne liste omfatter følsomme personoplysninger (oplysninger om strafbare forhold).

De konkrete datakilder til samkøring og anden behandling er ikke nærmere defineret af bekendtgørelsen, idet § 7 omfatter samtlige registre som føres af Erhvervsstyrelsen eller skatteforvaltningen samt offentligt tilgængelige informationskilder. Selv om enkelte konkrete registre hos Erhvervsstyrelsen og skatteforvaltningen er nævnt, er listen ikke udtømmende, idet ordet ”m.v.” indgår.

Bekendtgørelsens § 4 fastlægger de tilsynsområder, hvor Erhvervsstyrelsen kan foretage samkøring og behandling af personoplysninger. Listen omfatter tilsynsopgaver for Erhvervsstyrelsen selv samt for skatteforvaltningen.

Efter bekendtgørelsens § 5 skal indsamling, samkøring og anden behandling af personoplysninger ske under anvendelse af pseudonymisering. Hvis tilsynsopgaverne efter § 4 gør det strengt nødvendigt at behandle fuldt personhenførbare oplysningerne, kan Erhvervsstyrelsen foretage afmaskering. Betingelserne for at foretage afmaskering vil alene blive fastsat i interne retningslinjer, jf. bekendtgørelsens § 5, stk. 3.

Formålet med behandlingen af personoplysninger hos Erhvervsstyrelsen

IT-Politisk Forening vil anbefale, at det i bekendtgørelsen mere præcist defineres hvilke kontrol- og tilsynsopgaver, som Erhvervsstyrelsen kan udføre. Efter vores opfattelse er det ikke tilstrækkeligt at angive myndigheder og tilsynsområder som i § 4. Dette begrundes nedenfor.

Ifølge bemærkningerne til lov om Erhvervsstyrelsens behandling af data er det hensigten at bruge machine learning og avancerede algoritmer for at genkende mønstre og tegn på svig på tværs af data. Med sådanne algoritmer mener Erhvervsstyrelsen, at det er muligt at identificere ”virksomheder, der med stor sandsynlighed har til hensigt at begå svig med moms og afgifter.” Svig med moms og afgifter er strafbare forhold, og en behandling af personoplysninger med henblik på at forebygge eller afsløre sådanne strafbare forhold vil efter IT-Politisk Forenings opfattelse være omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger (retshåndhævelsesloven) og ikke databeskyttelsesforordningens (EU) 2016/679 område. Erhvervsstyrelsen er ikke omfattet af retshåndhævelsesloven, jf. afgrænsningen i lovens § 1.

Umiddelbart leder kombinationen af machine learning og identifikation af virksomheder, der med stor sandsynlighed vil begå svig (strafbare forhold), tankerne hen på såkaldt ”predictive policing”, hvilket for det første rejser en række problemstillinger vedrørende retssikkerhed og databeskyttelse som hverken lov om Erhvervsstyrelsens behandling af data eller nærværende bekendtgørelse tager højde for, og for det andet må være en opgave som efter retshåndhævelsesloven er tillagt de retshåndhævende myndigheder (hvortil Erhvervsstyrelsen ikke hører).

Efter IT-Politisk Forenings opfattelse er det derfor vigtigt, at Erhvervsstyrelsens behandling af personoplysninger alene sker med henblik på udførelse af normale kontrol- og tilsynsopgaver, og at disse opgaver ikke direkte eller indirekte via behandlingens karakter bevæger sig ind på områder, som er forbeholdt retshåndhævende myndigheder. Det vil være stærkt betænkeligt for borgernes retssikkerhed, hvis Erhvervsstyrelsen får adgang til at udføre databaseret politimæssig efterforskning under dække af at være tilsyns- og kontrolopgaver, idet sidstnævnte almindeligvis kan udføres med færre retsgarantier for borgerne end politiets efterforskning. Erhvervsstyrelsen er eksempelvis ikke underlagt retsplejeloven. Brugen af machine learning og nye teknologier øger risikoen for en sådan formålsforskydning mellem almindelige kontrol- og tilsynsopgaver og opgaver, som er forbeholdt retshåndhævende myndigheder med de yderligere retsgarantier for borgerne som dette kræver.

Hvis behandlingen af personoplysninger alene sker med pseudonymiserede oplysninger uden adgang til afmaskering, er det i sagens natur udelukket (teknisk set), at Erhvervsstyrelsen kan træffe beslutninger vedrørende en konkret person som kan have karakter af udførelse af retshåndhævende opgaver. På denne måde kunne Erhvervsstyrelsen potentielt anvende machine learning til at generere ny viden, som kunne forbedre det generelle kontrol- og tilsynsarbejde, eller måske danne grundlag for senere ændringer i virksomhedsregistreringen, som fremadrettet mindsker tilbøjeligheden til at begå svig (uden at identificere konkrete personer, som i det pseudonymiserede datasæt eventuelt kan være involveret i sådanne aktiviteter).

Bekendtgørelsens § 4, stk. 2 giver imidlertid også mulighed for at foretage afmaskering under betingelser, som ikke nærmere defineres i bekendtgørelsen, udover at det skal være ”strengt nødvendigt”. IT-Politisk Forening vil anbefale, at betingelserne for afmaskering fastsættes i bekendtgørelsen og ikke blot i interne retningslinjer, og at disse betingelser klart afgrænser afmaskering til situationer, som falder inden for de normale kontrol- og tilsynsopgaver. I modsat fald er der risiko for, at der efter bekendtgørelsen vil blive udført behandlinger af personoplysninger, som reelt er databaseret politiefterforskning udført på pseudonymiserede data med mulighed for afmaskering, når et muligt strafbart forhold er identificeret. Det vil indebære en overhængende risiko for omgåelse af de retsgarantier, som gælder for politiets efterforskning af sådanne forhold.

Automatisk afgørelser

Det fremgår af bemærkningerne pkt. 3.1.2.3 til lov om Erhvervsstyrelsens behandling af data, at der ikke er hjemmel til at foretage automatisk afgørelser, jf. databeskyttelsesforordningens artikel 22. Det som omfattes af databeskyttelsesforordningens artikel 22 er afgørelser ”som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.”

Afvisning af registrering af en virksomhed eller krav om at stille sikkerhed efter opkrævningslovens § 11 har umiddelbart retsvirkning for den pågældende, men ifølge vejledningen fra Artikel 29 Arbejdsgruppen i WP251 (”Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679” af 6. februar 2018), skal anvendelsesområdet for artikel 22 fortolkes bredere end dette.

Hvis virksomheder eller personer udtages til en indgribende kontrol alene baseret på en algoritme-genereret ”undringsliste” via samkøring og machine learning, vil der efter IT-Politisk Forenings opfattelse være tale om en automatisk afgørelse omfattet af artikel 22, uanset at den efterfølgende kontrol er manuel. Det skyldes at beslutningen om at udtage en person til kontrol i sig selv ”på tilsvarende vis betydeligt påvirker den pågældende”.

IT-Politisk Forening vil anbefale, at det i bekendtgørelsen præciseres, at der ikke kan træffes afgørelser eller igangsættes særlige kontrolforanstaltninger mod en individuel person, medmindre der er sket en konkret manuel vurdering af den information, som er genereret eller frembragt via machine learning eller anden automatisk behandling af personoplysninger, herunder profilering.

Forhold til databeskyttelsesforordningens artikel 23

Bekendtgørelsen gør brug af § 1, stk. 5 i lov om Erhvervsstyrelsens behandling af data, som giver Erhvervsministeren mulighed for inden for rammerne af databeskyttelsesforordningens artikel 23 at fastsætte nærmere regler om at personoplysninger kan viderebehandles til andre formål, end de oprindeligt var indsamler til, uafhængigt af formålenes forenelighed.

Artikel 23, stk. 2 stiller krav om at der fastsættes specifikke bestemmelser, som bl.a. skal omfatte formålene med behandlingen, rækkevidden af de indførte begrænsninger, retsgarantier for de registrerede, opbevaringsperioder og en vurdering af risici for de registreredes rettigheder og frihedsrettigheder. Nogle af disse elementer fremgår af bekendtgørelsen (for eksempel opbevaringsperioder og til dels formålet med behandlingen), men bekendtgørelsen mangler eksempelvis specifikke bestemmelser med retsgarantier for de registrerede.

Datakilder i bekendtgørelsens § 7 kunne også være afgrænset mere præcist, særligt fordi der er tale om en bekendtgørelse, som relativt nemt vil kunne ændres, hvis der senere måtte opstå et begrundet behov for yderligere datakilder end de oprindeligt specificerede.

Opbevaring og sletning af oplysninger

Efter bekendtgørelsens § 8 skal personoplysninger, der behandles af Erhvervsstyrelsen efter denne bekendtgørelse, slettes senest 10 år efter at de er indsamlet til brug for den enkelte samkøring eller behandling. Denne slettefrist på 10 år kan forlænges til 18 år under visse omstændigheder. Hvis personoplysninger genanvendes, altså indsamles fra Erhvervsstyrelsens system til ny behandling i dette system, regnes 10-års fristen fra det seneste genanvendelsestidspunkt.

Idet Erhvervsstyrelsens system er et ”big data” system med machine learning, vil personoplysningerne i systemet formentlig i stort omfang blive genanvendt, og slettefristen på 10 år vil være mere eller mindre illusorisk. Konsekvensen vil være at personoplysninger er tilgængelig i Erhvervsstyrelsens system til samkøring også efter at de er slettet (herunder oversendt til arkiv) fra de primære systemer (informationskilder), hvorfra de oprindeligt er indsamlet.

Det vil medføre en betydelig dataophobning om den enkelte borger, hvilket IT-Politisk Forening finder uacceptabelt. IT-Politisk Forening vil anbefale, at bekendtgørelsens bestemmelser om sletning og opbevaring ændres, således at personoplysninger ikke kan opbevares længere end i de primære systemer (hvorfra oplysningerne indsamles efter bekendtgørelsens § 7).

Derudover vil IT-Politisk Forening anbefale, at der i § 5 fastsættes en tidsfrist for afmaskering, således at de pseudonymiserede personoplysninger kun kan gøres genstand for afmaskering inden for en bestemt periode fra indsamlingstidspunktet til det oprindelige formål (i de primære systemer, altså informationskilderne i § 7). Der bør heller ikke være mulighed for afmaskering, hvis ønsket om afmaskering kan henføres til behandling af pseudonymiserede oplysninger, som er ældre end denne frist. IT-Politisk Forening vil anbefale en tidsfrist for afmaskering, som er væsentligt kortere end 10 år, for eksempel 2-3 år.

Hvis der fastsættes en sådan kort tidsfrist for afmaskering uden undtagelser, vil det efter IT-Politisk Forenings opfattelse yde et væsentligt bidrag til at sikre borgernes retssikkerhed, samtidig med at Erhvervsstyrelsen kan behandle store datamængder med henblik på at udvikle træfsikkerheden for de algoritmer som benyttes til machine learning og anden profilering.

Det ændrer dog ikke ved, at der tillige bør fastsættes endelige slettefrister for de pseudonymiserede oplysninger som behandles i Erhvervsstyrelsens system, og at disse endelige slettefrister bør regnes fra det oprindelige indsamlingstidspunkt for personoplysningerne, og ikke fra tidspunktet for seneste genanvendelse i Erhvervsstyrelsens system (som bekendtgørelsens § 8).

Oplysningspligt og underretning af den registrerede

Idet behandling af personoplysninger til nye formål ikke sker i henhold til § 5, stk. 3 i databeskyttelsesloven, skal IT-Politisk Forening for en god ordens skyld gøre opmærksom på, at undtagelsen fra oplysningspligten i databeskyttelseslovens § 23 ikke finder anvendelse på de behandlinger, som foretages efter nærværende bekendtgørelse. IT-Politisk Forening går derfor ud fra, at der vil ske individuel underretning af de personer, som berøres af behandlingsaktiviteter efter denne bekendtgørelse. Underretning af de registrerede indgår også i de specifikke bestemmelser, som er påkrævet efter databeskyttelsesforordningens artikel 23, stk. 2.

Det er ikke klart hvilke personer, der vil blive omfattet af Erhvervsstyrelsens databehandling, fordi behandlingen kan omfatte personer med tilknytning til de pågældende virksomheder, jf. bemærkningerne pkt. 3.1.2.3 til lov om Erhvervsstyrelsens behandling af data, og ”tilknytning” er ikke nærmere defineret i denne sammenhæng. Det er heller ikke klart hvilke personoplysninger der vil blive behandlet i Erhvervsstyrelsens system. Det gør oplysningspligten særligt vigtig for at de registrerede kan udøve deres rettigheder efter databeskyttelsesforordningen og Charter om Grundlæggende Rettigheder.