Høringssvar vedr. udkast til forslag til lov om ændring af lov om Center for Cybersikkerhed (konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven)
Efter gældende ret er Center for Cybersikkerhed (CFCS) fuldstændigt undtaget fra persondataloven. I stedet er der i CFCS-lovens kapitel 6 medtaget visse bestemmelser fra persondataloven om behandlingsgrundlag, krav om dataminimering og proportionalitet. Bestemmelserne i CFCS-lovens §§ 10-12 om behandlingsgrundlag gælder dog ikke for personoplysninger, som stammer fra centerets indgreb i meddelelseshemmeligheden. Forsvarsministeren har desuden mulighed for at bestemme, at persondatalovens kapitel 8-10 helt eller delvist finder anvendelse for visse aktiviteter hos CFCS.
Med lovforslaget vil CFCS i stedet for undtagelsen fra persondataloven blive fuldstændigt undtaget fra databeskyttelsesforordningen, databeskyttelsesloven samt lov om retshåndhævende myndigheders behandling af personoplysninger. Forsvarsministeren kan fastsætte bestemmelser om, at databeskyttelsesloven og databeskyttelsesforordningen helt eller delvist finder anvendelse for CFCS. Det nævnes i de specielle bemærkninger, at dette kan ske i forbindelse med de opgaver, som CFCS måtte blive tillagt i forbindelse med gennemførelsen af NIS-direktivet.
Selv om der alene er tale om en konsekvensændring som følge af databeskyttelsesforordningen, har IT-Politisk Forening en række principielle bemærkninger til lovforslaget. Efter vores opfattelse betyder databeskyttelsesforordningen og især gennemførelsen af NIS-direktivet, at der er grundlag for at genoverveje CFCS-lovens udgangspunkt om at CFCS er fuldstændigt undtaget fra de EU-retlige persondataregler.
Databeskyttelsesforordningen gælder ikke for behandling af personoplysninger under udøvelse af aktiviteter, der falder uden for EU-retten. Statens sikkerhed er en aktivitet, som falder uden for EU-retten. På det grundlag har det fremsatte lovforslag (L 68) til databeskyttelsesloven i § 3, stk. 2 en fuldstændig undtagelse fra databeskyttelsesforordningen og databeskyttelsesloven for Forsvarets Efterretningstjeneste. Denne undtagelse omfatter også Center for Cybersikkerhed.
Efter IT-Politisk Forenings opfattelse er dette ikke en korrekt gennemførelse af de supplerende bestemmelser til databeskyttelsesforordningen, idet samtlige aktiviteter hos CFCS ikke kan siges at falde uden for EU-retten. Det gælder ikke mindst, hvis CFCS får opgaver i forbindelse med implementeringen af NIS-direktivet, jf. de lovudkast vedrørende gennemførelse af NIS-direktivet, som har været i høring. NIS-direktivet kræver, at behandling af personoplysninger sker i overensstemmelse med databeskyttelsesdirektivet 95/46/EF og fra 25. maj 2018 databeskyttelsesforordningen. Derudover rejser undtagelse fra databeskyttelsesforordningen en række problemstillinger i forbindelse med videregivelse af personoplysninger fra offentlige myndigheder og private virksomheder til CFCS. Dette punkt uddybes nedenfor.
Ifølge lovforslagets specielle bemærkninger til § 1, nr. 2 vil Forsvarsministeren kunne bestemme, at databeskyttelsesforordningen helt eller delvist finder anvendelse for CFCS’ behandling af personoplysninger i visse tilfælde, herunder opgaver i forbindelse med NIS-direktivet. Eftersom der alene er tale om en valgmulighed for Forsvarsministeren, og ikke en lovmæssig forpligtelse, kan dette næppe siges at være tilstrækkeligt til at opfylde de EU-retlige krav for behandling af personoplysninger i forbindelse med implementering af NIS-direktivet.
I stedet for den fuldstændige undtagelse af CFCS fra EU’s databeskyttelsesforordning, vil IT-Politisk Forening anbefale, at der udarbejdes en lovmodel, hvor CFCS er omfattet af databeskyttelsesforordningen, men hvor der i CFCS-loven fastsættes passende begrænsninger i rækkevidden af forpligtelser og rettigheder inden for rammerne af databeskyttelsesforordningens artikel 23. Sådanne begrænsninger kan fastsættes af hensyn til bl.a. statens sikkerhed og forsvaret.
Udover spørgsmålet om CFCS’ aktiviteter fuldstændigt kan siges at falde uden for EU-retten, er det også relevant at overveje, om private virksomheder og offentlige myndigheder fortsat kan videregive personoplysninger til CFCS, eller lade CFCS indhente sådanne oplysninger ved at tillade at CFCS opstiller alarmenheder på virksomhedens eller den offentlige myndigheds netværk, uden at denne videregivelse strider mod databeskyttelsesforordningen.
Lovforslagets almindelige bemærkninger henviser til databeskyttelsesforordningens præambelbetragtning nr. 49, hvoraf det fremgår at behandling af personoplysninger for at sikre net- og informationssikkerheden udgør en legitim interesse for den dataansvarlige, hvis denne behandling er begrænset til det strengt nødvendige og forholdsmæssige for dette formål. Hjemlen til videregivelse kan også være en national lov, herunder CFCS-loven, i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 3 og stk. 4.
Efter IT-Politisk Forenings opfattelse er det tvivlsomt, om disse behandlingsgrundlag for videregivelse (legitim interesse eller en national lov) kan udstrækkes til specielt systematisk videregivelse af trafik- og pakkedata til CFCS, når der ikke er sikkerhed for, at den videre behandling hos CFCS sker i overensstemmelse med databeskyttelsesforordningen. Også af denne grund vil IT-Politisk Forening anbefale, at behandlingen af personoplysninger hos CFCS ikke fuldstændigt undtages fra databeskyttelsesforordningen.