Høringssvar vedr. forslag til lov om deling af data i Erhvervsstyrelsen
Lovforslaget fastsætter en hjemmel til, at Erhvervsstyrelsen fra andre offentlige myndigheder og offentligt tilgængelige kilder kan indsamle og behandle oplysninger, når det er nødvendigt af hensyn til styrelsens opgaver. I den forbindelse kan der ske samkøring med Erhvervsstyrelsens egne oplysninger, og eksisterende anvendelsesbegrænsninger fastsat i fremgangsmådelovens § 4, stk. 2 kan fraviges i den forbindelse. Erhvervsstyrelsen får endvidere hjemmel til at indsamle, behandle og videregive oplysninger, herunder personoplysninger, fra andre offentlige myndigheder, når det er nødvendigt af hensyn til udførelsen af disse myndigheders kontrol- og tilsynsopgaver.
Lovforslaget indebærer, at der hos Erhvervsstyrelsen vil blive foretaget en omfattende behandling af personoplysninger om borgerne, herunder behandling af personoplysninger til formål, der er uforenelige med det oprindelige formål som personoplysningerne er indsamlet til. Endvidere vil der med bl.a. registersamkøring og machine learning ske en betydelig profilering af borgerne med henblik på at ”identificere virksomheder, der har til hensigt at begå svig”. Denne formulering, som er citeret direkte fra lovforslagets bemærkninger, bringer tankerne hen på ”predictive policing” som i science fiction filmen Minority Report.
Efter IT-Politisk Forenings vurdering vil disse meget indgribende kontrolforanstaltninger fra Erhvervsstyrelsen primært blive udført på vegne af andre offentlige myndigheder, for eksempel SKAT. Resultaterne af denne profilering, eller øvrige personoplysninger som Erhvervsstyrelsen har indsamlet eller behandlet, kan videregives til andre offentlige myndigheder. Denne specielle konstruktion medfører en betydelig stigning i videregivelse af personoplysninger mellem offentlige myndigheder, hvilket ikke harmonerer med med de grundlæggende principper i databeskyttelsesforordningen om dataminimering og formålsbegrænsning.
Derudover er det fra et retssikkerhedsmæssigt perspektiv særdeles betænkeligt, at Erhvervsstyrelsen med omfattende dataanalyser, profilering og indgreb i borgernes databeskyttelsesrettigheder udfører kontrolforanstaltninger for andre offentlige myndigheder. Der er efter lovforslaget ingen sikkerhed for, at Erhvervsstyrelsen iagttager de retssikkerhedsgarantier, som de pågældende myndigheder i øvrigt er underlagt, når de på egne vegne udfører kontrolforanstaltninger.
Med den umiddelbart meget brede ”catch all” formulering i lovforslagets § 1, stk. 4 er det endvidere ikke klart, om Erhvervsstyrelsens beføjelser efter lovforslaget er begrænset til opgaver med relation til virksomhedsregistrering, eller om Erhvervsstyrelsen potentielt kan indsamle og behandle alle mulige oplysninger fra andre myndigheder med henblik på at bruge registersamkøring, machine learning og profilering til at understøtte kontrol- og tilsynsopgaver hos disse andre myndigheder.
Som IT-Politisk Forening læser lovforslaget, er den primære hensigt dog at bruge dataanalyse (især machine learning) til at understøtte kontrolforanstaltninger hos SKAT vedr. svig med moms og afgifter. Denne behandling af personoplysninger tjener naturligvis et legitimt formål, men det vil være langt mere naturligt, at SKAT selv udfører disse opgaver, i stedet for (som lovforslaget tilsigter) at lade Erhvervsstyrelsen udføre hvad der reelt er kontrol- og tilsynsopgaver på andre myndigheders områder.
IT-Politisk Forening skal derfor anbefale, at lovforslaget ikke fremsættes i dets nuværende form, og at regeringen i stedet udarbejder et mere målrettet lovforslag som giver SKAT mulighed for at indsamle og behandle yderligere oplysninger fra Erhvervsstyrelsen og andre offentlige myndigheder og bruge machine learning (eller anden profilering), hvis dette vurderes at være nødvendigt for udførelsen af SKATs kontrolopgaver.
Derudover har IT-Politisk Forening nedenfor en række konkrete bemærkninger til lovforslagets indhold og bestemmelser.
Omfanget af Erhvervsstyrelsens opgaver
Efter lovforslagets § 1, stk. 1 kan Erhvervsstyrelsen indsamle og behandle oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder, når det er nødvendigt af hensyn til styrelsens opgaver.
Erhvervsstyrelsen beskæftiger sig bl.a. med virksomhedsregistrering, og i den forbindelse kan Erhvervsstyrelsen jf. lovforslagets bemærkninger under visse betingelser nægte registrering af en virksomhed, eller kræve yderligere dokumentation om den virksomhed som søges registreret. Det er tilsyns- og kontrolopgaver for Erhvervsstyrelsen. Lovforslagets bemærkninger beskriver imidlertid primært opgaver som kontrol og forebyggelse af svig med moms og afgifter, hvilket må være opgaver som hører under SKAT, ikke Erhvervsstyrelsen. Registrering af en virksomhed kan ikke i sig selv udgøre svig med moms eller afgifter, og en vurdering af om en bestemt virksomhed har en forhøjet risiko for at begå svig med moms eller afgifter (eller har ”til hensigt at begå svig”, som der direkte står i lovforslagets bemærkninger) må være en vurdering som naturligt hører under SKAT, ikke Erhvervsstyrelsen.
Ud fra lovforslagets bemærkninger sker den omfattende behandling af oplysninger, herunder personoplysninger, således primært for at understøtte opgaver hos andre myndigheder end Erhvervsstyrelsen. Det er efter IT-Politisk Foreningens opfattelse meget uhensigtsmæssigt at lave en lovgivningsmæssig konstruktion, hvor Erhvervsstyrelsen får videregivet betydelige mængder personoplysninger fra andre offentlige myndigheder med henblik på, som selvstændig dataansvarlig, at varetage kontrol- og tilsynsopgaver for disse myndigheder.
Det medfører en videregivelse af personoplysninger, som ikke er nødvendig i den forstand, at de legitime formål kan forfølges med en mindre indgribende foranstaltning. Derudover skaber det principielle problemer for retssikkerheden, at Erhvervsstyrelsen udfører hvad der reelt er kontrolforanstaltninger for andre myndigheder uden nødvendigvis at iagttage de retsgarantier, som disse myndigheder er underlagt. Det forhold, at Erhvervsstyrelsen alene udfører dataanalyser ændrer ikke på, at der er behov for retsgarantier. Samkøring af databaser og profilering af fysiske personer (indirekte via deres deltagelse i virksomheder) med machine learning er en behandling af personoplysninger, som med altovervejende sandsynlighed medfører en høj risiko for de registreredes rettigheder og frihedsrettigheder.
Udnyttelse af databeskyttelsesforordningens artikel 23 via bekendtgørelser
Lovforslaget indebærer begrænsninger af borgernes rettigheder efter databeskyttelsesforordningen, herunder videregivelse og behandling af personoplysninger til formål, der er uforenelige med de formål, som oplysningerne oprindeligt er indsamlet til. Sådanne begrænsninger skal opfylde kravene i databeskyttelsesforordningens artikel 23.
Databeskyttelsesforordningens artikel 23, stk. 1 kræver for det første, at begrænsningen skal udgøre en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til et af de angivne formål i litra a-i (i det konkrete tilfælde litra h, jf. pkt. 2.1.2.3 i lovforslagets bemærkninger). Kravet om ”nødvendighed” indebærer blandt andet, at det skal vurderes om formålet kan opnås med en mindre indgribende foranstaltning. Dette kunne eksempelvis være en anden tilsynskonstruktion, som indebærer, at der skal videregives færre personoplysninger mellem forskellige offentlige myndigheder. Derudover kræver artikel 23, stk. 2 at det lovgivningsmæssige tiltag, der indfører begrænsningen, skal indeholde en række specifikke bestemmelser.
Eftersom lovforslaget generelt ikke indeholder vurderinger af hvad der er nødvendige og forholdsmæssige foranstaltninger i et demokratisk samfund, og slet ikke indeholder de specifikke bestemmelser som databeskyttelsesforordningens artikel 23, stk. 2 forudsætter, kan lovforslagets § 1 efter IT-Politisk Forenings opfattelse alene udgøre en hjemmel (via § 1, stk. 5) til, at Erhvervsministeren inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætter bestemmelser i bekendtgørelsesform om begrænsninger af borgernes databeskyttelsesrettigheder.
Det i Folketinget fremsatte lovforslag om databeskyttelsesloven (L 68) indeholder i § 5, stk. 3 en lignende beføjelse til at ministre i bekendtgørelsesform, og inden for rammerne af databeskyttelsesforordningens artikel 23, kan fastsætte bestemmelser om at personoplysninger kan viderebehandles til formål, som er uforenelige med det oprindelige formål (fravigelse af formålsbegrænsningen).
I lighed med hvad vi anførte i høringssvaret om databeskyttelseslovens § 5, stk. 3, finder IT-Politisk Forening det betænkeligt at give Erhvervsministeren en så vidtgående beføjelse til i bekendtgørelsesform at fastsætte bestemmelser om videregivelse af personoplysninger fra andre offentlige myndigheder og især behandling af personoplysninger til formål, som er uforenelige med det oprindelige formål. Rækkevidden af hjemlen i nærværende lovforslag er selvfølgelig mindre end den helt generelle hjemmel i databeskyttelseslovens § 5, stk. 3, men specielt på grund af lovforslagets § 1, stk. 4 (muligheden for at indsamle og behandle personoplysninger for at udføre ikke nærmere angivne opgaver for andre offentlige myndigheder) er det stadig temmelig uklart hvad hjemlen i nærværende lovforslags § 1, stk. 5 kan blive udnyttet til.
IT-Politisk Forening skal derfor anbefale, at de nye beføjelser til Erhvervsstyrelsen fastsættes i selve lovteksten, og ikke i senere bekendtgørelser fra Erhvervsministeren. Det gælder især når der er tale om udnyttelse af databeskyttelsesforordningens artikel 23 til at fastsætte indgreb (begrænsninger) i borgernes databeskyttelsesrettigheder.
Indsamling af personoplysninger fra offentligt tilgængelige kilder
Efter lovforslaget kan Erhvervsstyrelsen indsamle oplysninger, herunder personoplysninger, fra offentligt tilgængelige kilder. I lighed med lovgrundlaget for Rigspolitiets analysesystem POL-INTEL (politilovens § 2 a, stk. 2) defineres offentligt tilgængelige kilder meget bredt, idet det inkluderer oplysninger, som kan købes på almindelige kommercielle vilkår. Det kan potentielt inkludere personoplysninger fra databrokers i USA, som måske har indsamlet, behandlet eller videregivet oplysningerne i strid med den europæiske databeskyttelseslovgivning.
Det fremgår af bemærkningerne, at lovforslaget ikke indebærer en udvidet adgang til at indsamle oplysninger fra offentligt tilgængelige kilder, men alene sikrer et klart hjemmelsgrundlag for Erhvervsstyrelsens behandling af disse oplysninger. IT-Politisk Forening undrer sig over denne formulering, fordi der ikke samtidig redegøres for, med hvilket eksisterende lovgrundlag Erhvervsstyrelsen i givet fald skal kunne indsamle og behandle personoplysninger fra eksempelvis internettet. Det forhold, at der er tale om personoplysninger, som den registrerede selv har offentliggjort på internettet, kan ikke i sig selv udgøre en hjemmel til at Erhvervsstyrelsen kan viderebehandle dem til et formål, der antageligt er uforeneligt med det oprindelige formål. Det gælder især, når der, som med nærværende lovforslag, er lagt op til en omfattende behandling af personoplysninger med henblik på profilering af en lang række fysiske personer.
IT-Politisk Forening skal opfordre til, at der i lovforslaget fastsættes præcise bestemmelser om hvilke personoplysninger, som Erhvervsstyrelsen lovligt kan indsamle fra offentligt tilgængelige kilder til brug for udførelse af kontrol- og tilsynsopgaver inden for lovforslagets rammer. Disse bestemmelser bør indeholde passende foranstaltninger til at sikre den registreredes rettigheder og frihedsrettigheder, for eksempel mod fejlagtige konklusioner fra profilering baseret på personoplysninger som er urigtige eller ufuldstændige. Sådanne foranstaltninger må som minimum forudsætte underretning af den registrerede om, at der er indsamlet oplysninger fra internettet eller andre offentligt tilgængelige kilder, jf. også den almindelige oplysningspligt i databeskyttelsesforordningens artikel 14.
Lovforslagets bemærkninger nævner endvidere brugen af søgemaskiner som Google og kortdata som Google Maps. Det er generelt vanskeligt at bruge Googles tjenester uden samtidig at videregive personoplysninger til Google, og lovforslaget indeholder ikke nogen hjemmel til at Erhvervsstyrelsen kan videregive personoplysninger til Google. Hvis det er hensigten at Erhvervsstyrelsen skal gøre brug af Google-tjenester, eller andre online tjenester der involverer behandling af personoplysninger, bør dette ske ved, at Erhvervsstyrelsen som dataansvarlig indgår databehandleraftaler med de pågældende virksomheder. Kun på den måde kan det sikres, at der ikke fra Erhvervsstyrelsen videregives personoplysninger, som Google eller andre virksomheder behandler til nye formål.
Konsekvensanalyse af behandling der involvering machine learning og profilering
Efter lovforslaget er der lagt op til en omfattende behandling af personoplysninger, hvor der bl.a. skal foretages registersamkøring og profilering af de registrerede med machine learning.
Det er i den forbindelse ikke klart, om der alene kan behandles personoplysninger om fysiske personer med direkte tilknytning til virksomheder registreret hos Erhvervsstyrelsen, eller om der også kan behandles oplysninger om andre personer.
Under alle omstændigheder, og uanset hvilken personkreds der konkret er omfattet af lovforslaget, vil denne omfattende behandling af personoplysninger med machine learning have en sådan karakter, at den sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder. En sådan behandling medfører jf. databeskyttelsesforordningens artikel 35, stk. 1, at den dataansvarlige, der må forudsættes at være Erhvervsstyrelsen, skal foretage en konsekvensanalyse inden behandlingen igangsættes.
Efter databeskyttelsesforordningens artikel 35, stk. 10 kan en konsekvensanalyse udelades, hvis behandlingen har et retsgrundlag i medlemsstatens nationale ret (som det er tilfældet her), og hvis der allerede er foretaget en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag.
Hertil skal IT-Politisk Forening bemærke, at der i lovforslaget ikke kan siges at være foretaget en konsekvensanalyse, og at der er tale om en behandling, der sandsynligvis vil medføre høj risiko, blandt andet fordi der bruges nye teknologier som machine learning. IT-Politisk Forening antager derfor, at der efter lovforslagets eventuelle vedtagelse, og inden behandlingsaktiviteterne igangsættes, vil blive foretaget en konsekvensanalyse i overensstemmelse med kravene i databeskyttelsesforordningens artikel 35 og 36.