Høringssvar vedr. lovforslag om ændring af lov om midlertidig regulering af boligforholdene (Kontrol og sanktion vedrørende bopælspligt)
IT-Politisk Forening har følgende bemærkninger til den foreslåede adgang til at kommunalbestyrelsen kan indhente oplysninger fra forsyningsselskaber om en konkret boligs forbrug (den foreslåede § 52 e, stk. 1, nr. 1 i boligreguleringsloven).
IT-Politisk Forening skal indledningsvist bemærke, at forsyningsselskaber behandler oplysninger om en boligs forbrug af el, vand, varme og gas, el med henblik på afregning af kunden for dette forbrug. En senere anvendelse af disse oplysninger til generelle kommunale kontrolforanstaltninger er efter IT-Politisk Forenings opfattelse uforeneligt med det oprindelige formål.
Forbrugsregistreringen af el, vand, varme og gas sker i stigende grad ved højfrekvent elektronisk aflæsning af såkaldte ”smarte” forbrugsmålere. Oplysninger om eksempelvis en boligs el-forbrug på timebasis kan tegne et meget præcist billede af husstandens vaner og adfærdsmønstre, uagtet at der formelt ikke er tale om personoplysninger som er omfattet af artikel 9, stk. 1 (særlige kategorier af personoplysninger) i databeskyttelsesforordningen (EU) 2016/679. Behandling af sådanne forbrugsoplysninger til andet end afregning udgør derfor et betydeligt indgreb i den grundlæggende ret til privatliv og beskyttelse af personlige oplysninger, jf. artikel 7 og 8 i Charter om Grundlæggende Rettigheder.
Idet forbrugsoplysninger efter den foreslåede § 52 e, stk. 1, nr. 1 i boligreguleringsloven skal behandles til et nyt formål, som er uforeneligt med det oprindelige formål, skal der foreligge et særskilt retligt grundlag for denne behandling. Hensigten med lovforslaget, som IT-Politisk Forening forstår det, er at etablere dette grundlag.
Behandling af forbrugsoplysninger indhentet fra forsyningsselskaber til generelle kommunale kontrolformål udgør et indgreb i retten til beskyttelse af personoplysninger og eventuelt andre grundlæggede rettigheder (som retten til privatliv). Et sådant indgreb skal opfylde kravene i databeskyttelsesforordningens artikel 23, stk. 1 og artikel 52, stk. 1 i Charter om Grundlæggende Rettigheder om at indgrebet skal være fastlagt i lovgivningen, skal respektere disse rettigheders og friheders væsentligste indhold, skal være nødvendigt for at forfølge et mål af almen interesse og iagttage proportionalitetsprincippet. Lovforslagets bemærkninger har ingen vurdering af dette.
Lovforslaget giver kommunalbestyrelsen hjemmel til at indhente oplysninger om en konkret boligs forbrug fra forsyningsselskaber og behandle disse oplysninger til kontrol af bopælspligt. Det er uklart, om denne bestemmelse alene giver kommunalbestyrelsen en hjemmel til at modtage og behandle sådanne personoplysninger, hvis forsyningsselskabet er villig til at udlevere dem og mener at have et retligt grundlag i databeskyttelsesforordningen for denne videregivelse, eller om lovforslaget ligefrem fastsætter en pligt for forsyningsselskaber til at udlevere forbrugsoplysninger om en konkret boligs forbrug, hvis kommunalbestyrelsen anmoder om det.
Alene på grund af denne uklarhed kan indgrebet som det fremstår i lovudkastet næppe siges at være ”fastlagt i lovgivningen”, da dette blandt andet, jf. retspraksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol, stiller krav om, at retsgrundlaget skal være klart og præcist, og at anvendelse heraf skal være forudsigelig for de personer, som er omfattet af lovens anvendelsesområde.
Det bør også præciseres i lovforslaget hvilke forbrugsoplysninger, der skal overføres fra forsyningsselskabet til kommunalbestyrelsen. Det er vigtigt for at sikre, at indgrebet i retten til beskyttelse af personlige oplysninger er begrænset til det strengt nødvendige, jf. retspraksis fra EU-Domstolen, herunder præmis 155-163 i A-1/15 (ECLI:EU:C:2017:592). Ordet ”forbrugsoplysninger” i lovteksten kan dække over et samlet forbrug, som indgår i en afregning (opkrævning) til kunden, men det kan muligvis også dække over højfrekvente måleraflæsninger, som indgår i beregningen af forbrugsbeløbet, hvis forbrugsaftalen indeholder tidsvarierende takster eller afgifter.
Idet formålet for kommunalbestyrelsens behandling af forbrugsoplysninger er kontrol af bopælspligt som helårsbolig, skal overførslen af personoplysninger fra forsyningsselskabet begrænses til de oplysninger, som er strengt nødvendige for dette formål. Efter IT-Politisk Forenings opfattelse bør det være tilstrækkeligt med aggregerede forbrugsoplysninger over en periode på mindst en måned. IT-Politisk Forening vil ikke afvise, at der muligvis kan opstilles hypotetiske situationer, hvor mere detaljerede forbrugsoplysninger (eksempelvis el-forbrug på timebasis) eventuelt vil kunne være nyttige for kommunalbestyrelsens kontrol af bopælspligt, men da sådanne oplysninger som nævnt ovenfor vil kunne tegne en meget præcis profil af husstandens vaner og adfærdsmønstre, vil udlevering af oplysningerne til kommunalbestyrelsen ikke være proportionalt i forhold til formålet om kontrol af en eventuel overtrædelse af bopælspligten.
Det bør derfor præciseres i lovforslaget, at der under ingen omstændigheder kan udleveres højfrekvente forbrugsoplysninger fra ”smarte” målere, og at der alene kan udleveres oplysninger om det samlede enhedsforbrug over en vis periode, som ikke bør være kortere end en måned.
For at sikre, at indgrebet i retten til beskyttelse af personlige oplysninger begrænses til det strengt nødvendige, bør lovforslaget fastsætte nærmere betingelser, som skal være opfyldte for at kommunalbestyrelsen kan indhente forbrugsoplysninger fra forsyningsselskaber. Der bør som minimum være en vis begrundet mistanke hos kommunalbestyrelsen om, at en konkret bolig ikke er beboet som helårsbolig i strid med bopælspligten i boligreguleringsloven. Lovforslaget ses ikke at indeholde sådanne begrænsninger.
Det bør i særdeleshed præciseres i lovforslagets bemærkninger, at ”indhentning af oplysninger om en konkret boligs forbrug” betyder, at der ikke via gentagne anmodninger til et forsyningsselskab kan indhentes forbrugsoplysninger om et større antal boliger med henblik på via registersamkøring og profilering at producere ”undringslister” (eller tilsvarende dataanalyser) for boliger med et muligvis atypisk lavt forbrug eller anden indikation på overtrædelse af bopælspligten.
Lovforslaget fastsætter ikke konkrete retsgarantier for kommunalbestyrelsens behandling af de indhentede forbrugsoplysninger. Databeskyttelsesforordningen er naturligvis gældende, men når en lov gennemfører et indgreb i databeskyttelsesrettigheder sikret af EU-retten, bør denne lov også fastsætte de fornødne retsgarantier for anvendelsen af de indhentede oplysninger, således at indgrebets omfang begrænses til det strengt nødvendige. IT-Politisk Forening vil anbefale, at det i lovforslaget præciseres, at de indhentede forbrugsoplysninger alene kan anvendes til kontrol af bopælspligt efter boligreguleringsloven, og at oplysningerne under ingen omstændigheder kan videregives til andre dele af den kommunale forvaltning eller anvendes til nye formål af den dataansvarlige (kommunalbestyrelsen). Hvis kommunalbestyrelsen konstaterer, at bopælspligten er opfyldt, skal det sikres, at forbrugsoplysningerne omgående slettes.
Endvidere er det afgørende for retssikkerheden, at der i alle tilfælde sker underretning af den registrerede som der indhentes forbrugsoplysninger for. Som fremhævet af EU-Domstolen i bl.a. præmis 220 i A-1/15 er en ”sådan underretning de facto nødvendig for at gøre det muligt for [borgerne] at udøve deres ret til at anmode om indsigt i oplysninger, der vedrører dem, og til i givet fald at anmode om berigtigelse af disse samt til i overensstemmelse med chartrets artikel 47, stk. 1, at have adgang til effektive retsmidler for en domstol.”