Høringssvar vedr. forslag til lov om håndhævelse af Europa-Parlamentets og Rådets forordning om et indre marked for digitale tjenester (DSA-forordningen)
IT-Politisk Forening har bemærkninger til §§ 8, 13, 15 og 17 i lovforslaget.
Kopiering af elektroniske medier (§ 8, stk. 5)
Ifølge § 8, stk. 5 kan den kompetente myndighed indsamle en kopi af dataindholdet fra elektroniske medier, som er omfattet af kontrolundersøgelsen, med henblik på efterfølgende at gennemgå kopien. De specielle bemærkninger til bestemmelsen omtaler mere direkte en kopi af elektroniske medier, hvilket må skulle forstås som at hele lagringsmedier kan kopieres (ikke blot udvalgt dataindhold fra lagringsmedier).
Formuleringen er mere vidtgående end DSA-forordningens artikel 51, stk. 1, litra b, som giver den kompetente myndighed beføjelser til ”undersøge, beslaglægge, tage eller få kopier af oplysninger relateret til en formodet overtrædelse i enhver form, uanset lagringsmediet.”
Den danske lovbestemmelse har ikke en tilsvarende begrænsning til oplysninger relateret til den konkrete formodede lovovertrædelse på indsamlingstidspunktet. Der lægges snarere op til et ”collect it all” princip, hvor servere og lagringsmedier kan kopieres fuldstændigt med henblik på efterfølgende at gennemgå kopien for dokumentation for eventuelle overtrædelser af DSA-forordningen.
IT-Politisk Forening vil i den forbindelse gøre opmærksom på, at et lovforslag i 2010 om at give Skat adgang til at spejle (kopiere) virksomheders harddiske med regnskabsmateriale m.v. mødte betydelig offentlig modstand og kritik, og at forslaget efterfølgende blev opgivet af den daværende regering.
Formidlingstjenester omfattet af DSA-forordningen kan være sociale medier eller andre oplagringstjenester (hosting-tjenester) med brugergenereret indhold, herunder borgernes private oplysninger og private kommunikation. Sådanne oplysninger vil generelt ikke være relateret til en formidlingstjenestes eventuelle overtrædelse af DSA-forordningen. Det vil være et meget vidtgående indgreb i borgernes frihedsrettigheder, hvis staten via håndhævelse af DSA-forordningen på generel og udifferentieret basis kan få adgang til borgernes private oplysninger og private kommunikation.
IT-Politisk Forening vil anbefale, at beføjelsen til at kopiere oplysninger begrænses til oplysninger relateret til en formodet overtrædelse af DSA-forordningen, svarende til formuleringen og hensigten med artikel 51, stk. 1, litra b i DSA-forordningen.
Derudover bør det præciseres i lovforslaget, at den kompetente myndighed udelukkende kan behandle de indsamlede oplysninger til håndhævelse af DSA-forordningen, og at de indsamlede oplysninger under ingen omstændigheder kan videregives til andre offentlige myndigheder. Tekniske foranstaltninger som ”forsegling” eller ”på anden måde sikres mod læsning” er ikke til hinder for at oplysningerne videregives til andre myndigheder, og forvaltningsloven giver som udgangspunkt danske myndigheder ganske vide rammer for at udveksle oplysninger med hinanden.
Ingen mulighed for aktindsigt efter offentlighedsloven (§ 13, stk. 1)
Efter § 13, stk. 1 afskæres enhver form for aktindsigt (udover egenacces) efter offentlighedsloven i sager og undersøgelser efter DSA-forordningen, denne lov eller regler udstedt i medfør heraf.
Lovforslagets begrundelse for dette er, at tilsynssager efter DSA-forordningen kan indeholde oplysninger om tjenestes forretningsmodel, dens brug af algoritmer og andre kommercielle forhold.
Offentlighedsloven har imidlertid bestemmelser, som efter partshøring af formidlingstjenesten giver mulighed for at undtage sådanne oplysninger fra aktindsigt efter en konkret vurdering. En fuldstændig afskæring af muligheden for aktindsigt, som det foreslås i lovforslaget, er således ikke nødvendig for at beskytte legitime kommercielle interesser. Den fuldstændige afskæring af muligheden for aktindsigt tjener alene til at gøre myndighedernes arbejde nemmere på bekostning af transparens og samfundets interesser.
IT-Politisk Forening skal i den forbindelse bemærke, at der er mulighed for aktindsigt i Datatilsynets tilsynssager, som på mange måder bør kunne sammenlignes med DSA-forordningen. IT-Politisk Forening er ikke bekendt med, at det har givet problemer for virksomheders kommercielle interesser.
Offentligheden, herunder nyhedsmedierne, udviser for tiden en betydelig interesse for sociale mediers rolle i samfundet. Et af redskaberne til en informeret samfundsmæssig debat om disse emner er muligheden for aktindsigt efter offentlighedsloven. På den baggrund vil det være særdeles uhensigtsmæssigt, hvis adgangen til aktindsigt i tilsynssager og undersøgelser efter DSA-forordningen afskæres fuldstændigt.
Generel begrænsning af den registreredes rettigheder efter artikel 13-15 i databeskyttelsesforordningen (§ 15)
Efter lovforslagets § 15 finder hverken reglerne om oplysningspligt i databeskyttelsesforordningens artikel 13-14 eller retten til indsigt i artikel 15 anvendelse i sager og undersøgelser efter DSA-forordningen, denne lov eller regler udstedt i medfør heraf.
Databeskyttelsesforordningens artikel 23 giver mulighed for, at medlemsstaterne kan begrænse rettigheder efter bl.a. artikel 13-15. Sådanne begrænsninger skal imidlertid udgøre en nødvendig og forholdsmæssig foranstaltning, og begrænsningen skal respektere det væsentligste indhold af grundlæggende rettigheder og frihedsrettigheder.
Retten til indsigt i egne personoplysninger er sikret af artikel 8, stk. 2 i Charter om Grundlæggende Rettigheder. Efter EU-Domstolens retspraksis (præmis 95 i C-362/14) vil en lovgivning, der ikke fastsætter nogen mulighed for den registrerede for at få adgang til adgang til personoplysninger, som vedrører den pågældende, udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til effektiv domstolsbeskyttelse, således som denne er sikret af Charteret artikel 47.
I den igangværende sag ved EU-Domstolen C-333/22 udtaler generaladvokaten i sit forslag til afgørelse af 15. juni 2023 (punkt 39-40), at begrænsninger af grundlæggende rettigheder (herunder indsigtsretten i personoplysninger) efter EU-Domstolens retspraksis altid skal underkastes en streng fortolkning, og mere specifikt at EU-retten ikke tillader generelle begrænsninger af indsigtsretten.
Krav til visse påbud efter DSA-forordningens artikel 9-10 (§ 17)
IT-Politisk Forening vil anbefale, at det i bemærkningerne til § 17 præciseres, at bestemmelsen alene vedrører de oplysninger som skal gives i forbindelse med påbud (i lighed med artikel 9-10 i DSA-forordningen), og at udstedelse af påbud til formidlingstjenester skal have hjemmel i dansk ret eller EU-retten, som konkret giver kompetente myndigheder beføjelser til at udstede påbud om at gribe ind over for ulovligt indhold eller give oplysninger. Et eksempel på en sådan lovgivning, der konkret giver beføjelser til at udstede påbud om fjernelse af ulovligt indhold, er forordningen om terrorrelateret indhold online (EU) 2021/784 (TCO-forordningen).