Høringssvar vedr. udkast til forslag til databeskyttelsesloven
IT-Politisk Forening har følgende bemærkninger til Justitsministeriets forslag til databeskyttelsesloven (supplerende bestemmelser til databeskyttelsesforordningen 2016/679/EU).
Vores høringssvar henviser flere steder til den vedtagne tyske lov med supplerende bestemmelser til databeskyttelsesforordningen, ”Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680” (fremover: ”den tyske GDPR-lov”). Vi har i den forbindelse brugt den engelske oversættelses af loven, som det tyske indenrigsministerium har udgivet 14. juli 2017 [1].
Strukturen i høringssvaret følger lovforslagets paragraffer, med undtagelse af det sidste afsnit i høringssvaret, som vedrører muligheden for at tilsynsmyndighederne skal kunne anlægge en sag ved domstolen, hvis tilsynsmyndigheden mener at en tilstrækkelighedsvurdering fra EU-Kommissionen bør annulleres (jf. præmis 65 i Schrems-dommen C-362/14).
Undtagelser for efterretningstjenesterne (§ 3, stk. 2)
Lovforslagets § 3, stk. 2 har en generel undtagelse for behandling af personoplysninger, som udføres for Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE). Det begrundes med at databeskyttelsesforordningen jf. artikel 2, stk. 2, litra a) ikke gælder under udøvelse af aktiviteter, der falder uden for EU-retten, herunder statens sikkerhed.
IT-Politisk Forening vil anbefale, at undtagelsen i lovforslagets § 3, stk. 2 formuleres som en undtagelse vedrørende udøvelsen af aktiviteter der falder uden for EU-retten hos PET og FE, i stedet for en generel undtagelse vedrørende institutionerne PET og FE som sådan.
FE har eksempelvis opgaver vedrørende cybersikkerhed, som næppe fuldt ud kan dækkes af undtagelsen vedrørende statens sikkerhed. I den forbindelse skal det bemærkes, at EU-direktivet 2016/1148/EU om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for informationssystemer i hele Unionen (”NIS-direktivet”) skal gennemføres inden 9. maj 2018, og at NIS-direktivet i artikel 2, stk. 1 forudsætter, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF (databeskyttelsesdirektivet). Hvis Center for Cybersikkerhed skal indgå i den danske gennemførelse af NIS-direktivet, kan en fuldstændig undtagelse fra databeskyttelsesforordningen næppe opretholdes.
Viderebehandling til andre formål (§ 5, stk. 3)
Efter § 5, stk. 3 kan vedkommende minister fastsætte regler i bekendtgørelsesform om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, herunder videregives til andre dataansvarlige. Der er ikke noget krav om at det nye formål skal være foreneligt med det oprindelige, og der er således tale om en begrænsning af borgernes rettigheder, som skal opfylde betingelserne i databeskyttelsesforordningens artikel 23, jf. artikel 6, stk. 4.
Bestemmelsen skaber ikke i sig selv en hjemmel til at viderebehandle personoplysninger til andre formål, idet der først skal udarbejdes en bekendtgørelse inden for rammerne af artikel 23. Det er ikke ud fra lovforslagets bemærkninger muligt at vurdere hvilke typer viderebehandling og videregivelse, som beføjelsen vil blive brugt til, herunder i hvilket omfang § 5, stk. 3 også vil blive brugt til at fastsætte regler om viderebehandling og videregivelse for særlige kategorier af personoplysninger (følsomme personoplysninger), jf. forordningens artikel 9.
IT-Politisk Forening finder det meget betænkeligt at give ministre så vidtgående beføjelser. Viderebehandling af personoplysninger til andre formål og ikke mindst videregivelse til andre myndigheder (dataansvarlige) har vidtgående konsekvenser for borgernes ret til privatliv og databeskyttelse. I mange tilfælde vil der være tale om særdeles følsomme personoplysninger. Sådanne beslutninger bør tages af Folketinget, som kan udstikke passende rammer i en lov, hvorefter den relevante minister eventuelt i bekendtgørelsesform kan fastsætte mere præcise regler, hvis Folketinget finder at det er hensigtsmæssigt.
Efter databeskyttelsesforordningens betragtning 41 kræver et retsgrundlag eller en lovgivningsmæssig foranstaltning ikke nødvendigvis en lov, som er vedtaget af et parlament. Det afgørende er at der foreligger et retsgrundlag eller en lovgivende foranstaltning, som er klar og præcis samt forudsigelig for de berørte personer, jf. retspraksis fra Den Europæiske Menneskerettighedsdomstol (EMD) og EU-Domstolen.
I den forbindelse vil IT-Politisk Forening dog anføre, at hensigten med betragtning 41 næppe er at alle beslutninger om udarbejdelse af et retsgrundlag eller en lovgivningsmæssig foranstaltning skal delegeres fra parlamentet til en minister. Det vil i øvrigt også være i strid med den danske parlamentariske tradition, at Folketinget uden andre begrænsninger end dem, som følger af EU-retten, overdrager den lovgivningsmæssige kompetence til regeringen på et så væsentligt område som behandlingen af borgernes personoplysninger i den offentlige sektor.
Udover spørgsmålet om kompetencefordelingen mellem regeringen og Folketinget, er IT-Politisk Forening stærkt bekymret for vurderingen af, om de lovgivningsmæssige foranstaltninger i bekendtgørelsesform overholder de konkrete betingelser i databeskyttelsesforordningens artikel 23. Bekendtgørelser har modsat love ingen bemærkninger, som nærmere kan uddybe hvordan en bestemmelse skal fortolkes, og der er ikke en udvalgsbehandling i Folketinget, hvor medlemmer af Folketinget kan stille spørgsmål til ministeren for at afklare, hvordan en bestemmelse skal fortolkes. Der er selvsagt heller ikke mulighed for at fremsætte ændringsforslag.
Selvom udkast til bekendtgørelser sendes i offentlig høring, ligesom det er tilfældet med udkast til lovforslag, er der typisk ikke samme offentlige opmærksomhed omkring bekendtgørelser. Der er også et meget stort antal bekendtgørelser, som hvert år sendes i høring, og det kan blive en nærmest uoverkommelig opgave for eksempelvis civilsamfundsorganisationer som IT-Politisk Forening at monitorere, analysere og vurdere nye bekendtgørelser, som kan indebære viderebehandling af personoplysninger til andre formål. Den opgave vil være meget mere overkommelig, hvis bekendtgørelser er fast forankret i konkrete love, som udstikker retningslinjerne for hvad der kan fastsættes i bekendtgørelsesform.
Med den foreslåede § 5, stk. 3 ser IT-Politisk Forening en overhængende risiko for, at personoplysninger, som borgere har afgivet til én offentlig myndighed til bestemte formål, vil blive genanvendt til en lang række andre formål uden at borgerne er klar over det. Den fuldstændige begrænsning af oplysningspligten ved viderebehandling i henhold til § 5, stk. 3, som Justitsministeriet foreslår i databeskyttelseslovens § 23, gør risikoen for at borgernes personoplysninger i hemmelighed vil flyde rundt i det offentlige system, uden at borgerne er klar over det, endnu større.
Behandling af personoplysninger om strafbare forhold (§ 8)
I forhold til persondatalovens § 8 omfatter databeskyttelseslovens § 8 alene strafbare forhold, og altså ikke tillige væsentlige sociale problemer og andre rent private forhold. Det kan godt give anledning til visse betænkeligheder, at legitim interesse nu i princippet kan være et almindeligt behandlingsgrundlag for personoplysninger om væsentlige sociale problemer og andre rent private forhold (selvfølgelig med de begrænsninger som følger af anden lovgivning, eksempelvis straffelovens kapitel 27). Men databeskyttelsesforordningens artikel 10 omfatter kun strafbare forhold, og der er ikke på samme måde som i databeskyttelsesdirektivet mulighed for at udvide definitionen af særlige kategorier af personoplysninger.
I forhold til behandling af personoplysninger om strafbare forhold er den foreslåede § 8 stort set en videreførelse af de nuværende regler i persondataloven. I bemærkningerne til § 8, stk. 3 anføres det, at privates behandling af personoplysninger om strafbare forhold uden samtykke kun kan ske under meget snævre rammer, som for eksempel registrering af oplysninger om strafbare forhold med henblik på politianmeldelse.
Men § 8, stk. 3 vil også skulle dække dataansvarlige, som ved systematisk overvågning af internettet indsamler oplysninger om dynamiske IP-adresser med henblik på at retsforfølge påståede krænkelser af ophavsretslige rettigheder (”ulovlig fildeling” via eksempelvis ”Popcorn Time”), og eventuelt videregivelse af sådanne oplysninger til politiet. Denne systematiske behandling af en stor mængde oplysninger om strafbare forhold rejser nogle yderligere problemstillinger i forhold til behandling af personoplysninger for at anmelde konkrete lovovertrædelser, som en virksomhed (dataansvarlig) har konstateret, eksempelvis oplysninger fra TV-overvågning i forbindelse med et indbrud eller butikstyveri, eller digitale spor fra log-filer el.lign. i en sag om IT-kriminalitet.
Efter IT-Politisk Forenings opfattelse er der i sådanne situationer med systematisk dataindsamling behov for yderligere retsgarantier for den registrerede. Det skyldes ikke mindst, at det nuværende krav om anmeldelse og forudgående tilladelse hos tilsynsmyndigheden for behandling af oplysninger om strafbare forhold, jf. persondatalovens § 50, stk. 1, nr. 1), bortfalder når databeskyttelsesforordningen finder anvendelse fra 25. maj 2018. Et krav om forudgående godkendelse giver tilsynsmyndigheden mulighed for at fastsætte vilkår for behandlingen, for eksempel hvor længe personoplysninger må opbevares, hvis en beslutning om retsforfølgelse udsættes. Den dataansvarlige kan måske have et ønske om at vurdere omfanget af den påståede ophavsretslige krænkelse inden der eventuelt tages skridt til retsforfølgning eller politianmeldelse.
En mulighed for at fastsætte passende garantier for den registreres rettigheder kunne være at stille krav om høring og indhentning af forudgående tilladelse hos tilsynsmyndigheden inden en sådan systematisk behandling af personoplysninger om strafbare forhold igangsættes, og at tilsynsmyndigheden får mulighed for at fastsætte vilkår for behandlingen ligesom det er tilfældet i dag. Det vil i praksis antageligt kun berøre ganske få dataansvarlige (der bedriver privat efterforskning), men have stor betydning for mange registreredes rettigheder. Databeskyttelsesforordningens artikel 36, stk. 5 må kunne udgøre en hjemmel for at fastsætte et sådant krav i databeskyttelsesloven.
Begrænsning af oplysningspligt og ret til indsigt (§ 22, stk. 1)
Lovforslagets § 22, stk. fastsætter en undtagelse fra oplysningspligten (artikel 13 og 14) og retten til indsigt (artikel 15), hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv. Det svarer til formuleringen i persondatalovens § 30, stk. 1.
Der er tale om en begrænsning af oplysningspligten og retten til indsigt udover de undtagelser som allerede følger af databeskyttelsesforordningen (artikel 13, stk. 4, artikel 14, stk. 5 og artikel 15, stk. 4). Idet hjemlen til § 22, stk. 1 må være databeskyttelsesforordningens artikel 23, vil IT-Politisk Forening anbefale, at der i bemærkningerne er en mere specifik henvisning til de(n) relevante del(e) af artikel 23. Artikel 23, stk. 2 kræver lovgivningsmæssige foranstaltninger med specifikke bestemmelser.
IT-Politisk Forening finder det problematisk, at § 22, stk. 1 med formuleringen ”den registreredes interesse i oplysningerne” kan lægge op til en interesseafvejning mellem den dataansvarliges og den registreredes interesser for alle anmodninger om indsigt. Det samme gælder i forhold til den dataansvarliges opfyldelse af oplysningspligten, især efter artikel 14.
En eventuel afvisning af indsigt må for alle anmodninger skulle begrundes i en konkret hjemmel i enten databeskyttelsesforordningens artikel 15, stk. 4 eller specifikke begrænsninger fastsat i databeskyttelsesloven ud fra forordningens artikel 23, stk. 1. Hvis der ikke er en specifik grund, for eksempel forretningshemmeligheder eller håndhævelse af civilretlige krav (”andres rettigheder”, jf. forordningens betragtning 63), skal den registrerede havde indsigt i oplysningerne, uanset om den dataansvarlige ud fra en subjektiv vurdering måtte mene, at den registreredes interesse i oplysningerne er beskeden.
IT-Politisk Forening finder det positivt, at der med ”afgørende hensyn til private interesser” i § 22, stk. 1 og bemærkningerne hertil, lægges op til en begrænset anvendelse af denne undtagelse fra oplysningspligten og indsigtsretten. I forhold til kravet i databeskyttelsesforordningens artikel 23, stk. 2 om specifikke bestemmelser, kan det dog stadig betvivles, om ”afgørende hensyn til private interesser” er tilstrækkeligt klart og præcist.
Generel begrænsning af oplysningspligt og ret til indsigt (§ 22, stk. 2)
Lovforslagets § 22, stk. 2 svarer i sin struktur til persondatalovens § 30, stk. 2. Der er tale om en generel bestemmelse, som giver mulighed for at begrænse rettighederne efter databeskyttelsesforordningens artikel 12-15 (generelle betingelser om gennemsigtighed, oplysningspligt og indsigtsret), hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, hvor alle punkter (litraer) i artikel 23, stk. 1 medtages.
Efter IT-Politisk Forenings opfattelse er det tvivlsomt, om en sådan meget generel bestemmelse er forenelig med databeskyttelsesforordningens artikel 23. Selvom artikel 23, stk. 1 i forordningen har store ligheder med databeskyttelsesdirektivets artikel 13, stk. 1, udgør forordningens artikel 23, stk. 2 en afgørende forskel mellem forordningen og direktivet. Efter artikel 23, stk. 2 skal medlemsstaterne vedtage lovgivningsmæssige foranstaltninger med specifikke bestemmelser for at begrænse den registreredes rettigheder. Derudover stiller betragtning 41 krav om klarhed og præcision, og at anvendelsen af lovgrundlaget (her begrænsningen) skal være forudsigelig for de berørte personer, jf. retspraksis fra EMD og EU-Domstolen.
§ 22, stk. 2 er formuleret som en generel (”catch all”) undtagelsesbestemmelse baseret på ”afgørende hensyn til offentlige interesser”, som supplerer undtagelsen i § 22, stk. 1. Forordningens artikel 23, stk. 2 lægger op til, at de specifikke bestemmelser bl.a. omfatter en specifikation af de dataansvarlige som begrænsningen gælder for, men det er ikke klart, om det ud fra ”offentlige interesser” kan konkluderes, at § 22, stk. 2 alene kan anvendes af dataansvarlige i den offentlige sektor. En eventuel afgrænsning af § 22, stk. 2 til dataansvarlige i den offentlige sektor vil dog næppe i sig selv være tilstrækkeligt til, at kravene om specifikke bestemmelser i forordningens artikel 23, stk. 2 kan siges at være opfyldt.
IT-Politisk Forening er opmærksom på, at bemærkningerne til lovforslagets § 22, stk. 2 (side 298-299) indeholder henvisninger til punkterne i forordningens artikel 23, stk. 2, men efter vores vurdering er der overladt alt for store skøn til den dataansvarlige. Det er problematisk i forhold til kravet om en forudsigelig anvendelse. De specifikke bestemmelser efter artikel 23, der begrænser indsigtsretten eller oplysningspligten, bør også fastsætte passende garantier for at beskytte den registrerede interesser. Den opgave kan ikke fuldstændigt overlades til den dataansvarlige.
Den tyske GDPR-lov indeholder i §§ 32-34 begrænsninger af oplysningspligten og indsigtsretten, som er noget mere specifikke end § 22, stk. 1-2 i det danske lovforslag. I den tyske GDPR-lov skelnes der bl.a. mellem private og offentlige dataansvarlige, og der er ikke en fuldstændig oplistning af alle begrundelser fra artikel i 23, stk. 1 (alle litraer) i de specifikke bestemmelser, som begrænser henholdsvis oplysningspligten og indsigtsretten.
Begrundelser for at begrænse oplysningspligten vil ofte være forskellige fra begrundelser for at begrænse indsigtsretten. Tilsvarende vil passende garantier for at beskytte den registreredes interesser afhænge af, om det er oplysningspligten eller indsigtsretten som begrænses.
Begrænsning af ret til indsigt svarende til egenacces i offentlighedsloven (§ 22, stk. 3)
Efter lovforslagets § 22, stk. 3 kan retten til indsigt i oplysninger, der behandles for den offentlige forvaltning, undtages fra retten til indsigt i samme omfang som efter reglerne i §§ 19-29 og § 35 i offentlighedsloven. Ifølge lovforslagets bemærkninger er bestemmelsen indsat for at sikre, at forvaltningsmyndigheders behandling af personoplysninger kan undtages fra den registreredes ret til indsigt i samme udstrækning som efter offentlighedslovens regler om egenacces, jf. offentlighedslovens § 8. Bestemmelsen svarer til persondatalovens § 32, stk. 2.
Det fremgår af betænkningen side 958, at hvis der for den registrerede er ret til indsigt efter såvel persondataloven som offentlighedsloven, skal afgørelsen træffes på det retsgrundlag, som er mest gunstigt for den pågældende. Men dette princip omtales ikke i bemærkningerne til lovforslaget (databeskyttelsesloven).
På den baggrund finder IT-Politisk Forening det temmelig uklart, om den foreslåede § 22, stk. 3 er ment som en mulighed for at begrænse retten til indsigt, der kan anvendes ved siden af § 22, stk. 1-2, eller om § 22, stk. 3 skal forstås som en indsnævring af mulighederne for at anvende undtagelsesmulighederne i § 22, stk. 1-2, hvis offentlighedslovens regler om egenacces i en konkret sag tillader færre undtagelser fra indsigtsretten end databeskyttelsesforordningen.
IT-Politisk Forening skal opfordre til, at den nærmere sammenhæng mellem § 22, stk. 1-2 og stk. 3 bliver præciseret. Hvis det er meningen, at § 22, stk. 3 tillader undtagelser i situationer, der ikke falder ind under stk. 1-2, skal disse (yderligere) undtagelser have en hjemmel i databeskyttelsesforordningens artikel 23 ligesom undtagelserne efter § 22, stk. 1-2, og dette bør præciseres i lovforslagets bemærkninger.
Begrænsning ret til indsigt i forbindelse med forskning og statistik (§ 22, stk. 5)
Efter lovforslagets § 22, stk. 5 er der ikke ret til indsigt, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvis oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker. Bestemmelsen svarer til persondatalovens § 32, stk. 4.
Persondatalovens § 32, stk. 4 er baseret på databeskyttelsesdirektivets artikel 13, stk. 2, som tillader en begrænsning af indsigtsretten under de anførte betingelser. I databeskyttelsesforordningen må adgangen til at begrænse retten til indsigt for personoplysninger der behandles til videnskabelige forskningsformål eller statistiske formål skulle søges i forordningens artikel 89, stk. 2, som tillader en begrænsning af den registreredes rettigheder efter bl.a. artikel 15, såfremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.
Databeskyttelsesforordningens artikel 89, stk. 2 har altså yderligere betingelser sammenlignet med databeskyttelsesdirektivets artikel 13, stk. 2, som alt andet lige må indsnævre muligheden for at begrænse retten til indsigt. Der vil givetvis være forskningsprojekter, hvor det er relativt uproblematisk at give den registrerede ret til indsigt i egne oplysninger, og i sådanne situationer bør indsigtsretten ikke afskæres. Det samme kunne meget vel gælde personoplysninger, som opbevares hos eksempelvis Danmarks Statistik i personhenførbar form med CPR-numre med henblik på udarbejdelse af statistikker via registersamkøring.
Hvis personoplysningerne er anonymiseret hos en dataansvarlig, som oplysningerne er videregivet til, eksempelvis anonymisering efter udarbejdelse af statistikker som kræver personhenførbare oplysninger til registersamkøring, vil det naturligvis ikke længere være muligt for den dataansvarlige at efterkomme anmodninger om indsigt, jf. også forordningens betragtning 64.
Begrænsning af oplysningspligt ved viderebehandling til andre formål (§ 23)
Lovforslagets § 23 fastsætter en undtagelse fra oplysningspligten efter databeskyttelsesforordningens artikel 13, stk. 3 og artikel 14, stk. 4, hvis personoplysningerne af offentlig myndigheder viderebehandles til et andet formål via en bekendtgørelse udstedt efter databeskyttelseslovens § 5, stk. 3.
Udgangspunktet i forordningen er en fornyet oplysningspligt, hvis personoplysningerne efter indsamling senere viderebehandles til et nyt formål. Men denne pligt til yderligere oplysning ophæves for offentlige myndigheder med lovforslagets § 23.
I bemærkningerne pkt. 2.4.3.5 anfører Justitsministeriet, at det er tvivlsomt om en fornyet oplysningspligt i denne situation reelt vil skabe større retssikkerhed for den registrerede, og at det er administrativt byrdefuldt for den dataansvarlige. IT-Politisk Forening er meget uenig i det første punkt. Efter vores opfattelse har det stor værdi for borgerne at få information om, at deres personoplysninger nu anvendes til andre formål, idet formålsbegrænsningen er et af de helt centrale elementer i beskyttelsen af personoplysninger. Det er også af afgørende betydning for borgernes tillid til offentlige myndigheders forvaltning af deres personoplysninger, at borgerne har mulighed for at få information om anvendelsen af personoplysningerne.
Den generelle begrænsning af oplysningspligten i forbindelse med viderebehandling efter § 5, stk. 3 sker med henvisning til artikel 23, stk. 1, litra e), som omhandler en medlemsstats væsentlige økonomiske interesser. I disse tider, hvor stort set hele befolkningen er tvunget til at modtage digital post fra det offentlige, skulle man umiddelbart mene, at den relevante information kan gives til borgerne uden de store udgifter for den dataansvarlige offentlige myndighed.
Det fremgår ikke af § 23 eller bemærkningerne hertil, om den dataansvarlige skal give information om viderebehandlingen på andre måder end direkte information til den registrerede, for eksempel ved offentliggørelse på den offentlige myndigheds hjemmeside.
Databeskyttelsesforordningens artikel 14, stk. 5, litra c) giver mulighed for at udelade oplysning til den registrerede, hvis indsamlingen eller videregivelsen er udtrykkelig fastsat i medlemsstaternes nationale ret, og at der er fastsat passende foranstaltninger til beskyttelse af den registreredes legitime interesser.
Når Justitsministeriet ikke mener, at 14, stk. 5, litra c) er tilstrækkelig til at mindske de påståede byrder for den offentlige sektor, og Justitsministeriet derfor søger en begrænsning af oplysningspligten via artikel 23, kan man meget vel frygte, at det heller ikke er meningen, at borgeren skal have udtrykkelig information om viderebehandlingen på anden måde, for eksempel via information på hjemmesider.
Den tyske GDPR-lov tillader i §§ 32-33 under visse (noget mere specifikke) omstændigheder begrænsninger af oplysningspligten ved viderebehandling, men i disse situationer fastsættes der samtidig en klar forpligtelse for den dataansvarlige om at give offentligheden den relevante information i en præcis, transparent, forståelig og let tilgængelig form med et klart og enkelt sprog.
IT-Politisk Forening vil anbefale, at der for at beskytte den registreredes interesser stilles krav til den dataansvarlige om at give offentligheden den relevante information på en præcis, transparent, forståelig og let tilgængelig måde (svarende til kravene i den tyske GDPR-lov), eksempelvis via den dataansvarliges hjemmeside, hvis den individuelle oplysningspligt ved viderebehandling begrænses i henhold til lovforslagets § 5, stk. 3.
Det er ikke tilstrækkeligt, at borgerne blot kan orientere sig i Lovtidende, hvis de er interesseret i at vide hvordan deres personoplysninger viderebehandles og videregives, som Justitsministeriet anfører i pkt. 2.3.4.5 i de almindelige bemærkninger. Antallet af bekendtgørelser, som borgerne i så fald skal læse vil være meget stort, og borgerne kan ikke være sikre på, at den relevante information om hvilke oplysninger, der konkret viderebehandles eller videregives, er udtrykkeligt fastsat i disse bekendtgørelser.
Sanktioner for offentlige myndigheder (§ 41, stk. 5)
Ifølge lovforslaget udestår en stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder til senere. Overvejelser for og imod sanktioner til offentlige myndigheder er heller ikke omtalt i lovforslagets almindelige bemærkninger. Det samme gælder betænkningen, hvor der i forhold til sanktioner over for offentlige myndigheder blot henvises til det kommende lovforslag.
Når Justitsministeren fremsætter lovforslaget om databeskyttelsesloven over for Folketinget, vil IT-Politisk Forening overveje at fremsende et supplerende høringssvar til Retsudvalget. I mellemtiden har vi følgende bemærkninger om sanktionsspørgsmålet i forhold til offentlige myndigheder.
Den nuværende situation for behandlingen af personoplysninger i den offentlige sektor er klart utilfredsstillende. Datatilsynet offentliggør et stort antal udtalelser hvor der konstateres problemer med datasikkerheden hos offentlige myndigheder. Under den gældende persondatalov er Datatilsynets sanktionsmuligheder begrænset til at udtale kritik og offentliggøre udtalelsen på tilsynets hjemmeside. Risikoen for at blive udstillet på denne lidet flatterende måde har haft en bemærkelsesværdig manglende effekt på de offentlige myndigheder. Datatilsynet har offentligt udtalt deres bekymring over den manglende reaktion fra offentlige myndigheder, jf. artiklen ”Datatilsynet: Vi bliver sat skakmat, når myndigheder ignorerer vores kritik”, i netmediet Version2 den 9. august 2017 [2].
Mulighed for bøder til offentlige myndigheder vil give Datatilsynet de effektive reaktionsmuligheder, som mangler i dag. Derudover vil risikoen for bøder også skabe et direkte økonomisk incitament hos offentlige myndigheder til at overholde databeskyttelsesforordningen. Det kan samtidig modvirke eventuelle incitamenter til at spare så meget på IT-sikkerheden, at det bliver vanskelige eller direkte umuligt for den offentlige myndighed at overholde kravene i databeskyttelsesforordningen.
Det er også krænkende for den almindelige retsbevidsthed, at offentlige myndigheder uden konsekvens kan overtræde databeskyttelsesreglerne, specielt når der samtidig sker en væsentlig skærpelse af sanktionerne over for private aktører.
Tilsynsmyndighedernes mulighed for at anlægge en sag for at annullere en tilstrækkelighedsvurdering
Det fremgår af EU-Domstolens præmis 65 i Schrems-sagen C-362/14, at medlemsstaternes nationale ret skal indeholde mulighed for at tilsynsmyndigheden kan anlægge en sag ved de nationale domstole, hvis tilsynsmyndigheden mener at en klage over en tilstrækkelighedsvurdering fra Kommissionen er begrundet. Hvis den nationale domstol er enig med tilsynsmyndigheden, skal spørgsmålet forelægges EU-Domstolen til præjudiciel afgørelse, idet EU-Domstolen er den eneste domstol i Unionen, som har kompetence til at fastslå, at en afgørelse fra Kommissionen er ugyldig.
Det specielle ved denne situation er at tilsynsmyndigheden skal anlægge en retssag uden at have en modpart (hvis tilsynsmyndigheden ikke er enig med klageren, kan klageren anlægge en sag mod tilsynsmyndigheden på normal vis, og fra denne sag kan der, hvis den nationale domstol er enig med klageren, komme en præjudiciel forelæggelse for EU-Domstolen).
Den tyske GDPR-lov indeholder i § 21 en særlig beføjelse for tilsynsmyndigheden til anlægge en sag uden modpart med henblik på eventuelt at foreligge spørgsmålet om gyldigheden af en tilstrækkelighedsvurdering for EU-Domstolen.
Muligheden for at Datatilsynet kan anlægge en sådan sag ved danske domstole, i overensstemmelse med præmis 65 i C-362/14, er ikke omtalt i lovforslagets bemærkninger. IT-Politisk Forening kan ikke vurdere, om Datatilsynet allerede har denne mulighed efter gældende ret, eller om det vil kræve en passende særregel for at Datatilsynet kan indbringe en sådan sag for domstolene.
Noter
[1] Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680, Federal Ministry of the Interior
http://www.bmi.bund.de/SharedDocs/Downloads/EN/Gesetzestexte/datenschutzanpassungsumsetzungsgesetz.htm
[2] ”Datatilsynet: Vi bliver sat skakmat, når myndigheder ignorerer vores kritik”, Version2, 9. august 2017
https://www.version2.dk/artikel/datatilsynet-vi-bliver-sat-skakmat-naar-myndigheder-ignorere-vores-kritik-1078928