Journalnummer: 2012-111-0019
1. Indledning
Den 20. august 2012 har Justitsministeriet sendt Kommissionens forslag til direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger i høring hos bl.a. Datatilsynet. Med høringen fulgte endvidere Justitsministeriets grund- og nærhedsnotat om forslaget.
2. Generelle bemærkninger
Datatilsynet skal generelt opfordre Justitsministeriet til at sikre sig, at det kommende direktiv ikke forhindrer en opretholdelse af dansk lovgivning med mindst samme beskyttelsesniveau som den gældende persondatalov.
Tilsynet henviser i øvrigt til de generelle bemærkninger i pkt. 2. i Datatilsynets høringssvar af 11. juli 2012 vedrørende Kommissionens forslag til forordning på databeskyttelsesområdet.
3. Bemærkninger til konkrete elementer i direktivforslaget
3.1. Anvendelsesområdet
Datatilsynet skal opfordre til, at direktivets anvendelsesområde overvejes nøje.
Tilsynet skal i den forbindelse pege på, at situationer hvor visse dele af en myndigheds behandlinger er omfattet af forordningen, mens andre dele er omfattet af direktivet, kan medføre uhensigtsmæssigheder i den daglige administration. Der kan i den forbindelse også henvises til Artikel 29-gruppens udtalelse1 af 23. marts 2012 om bl.a. direktivforslaget, s. 27.
3.2. Definitioner
Registerbegrebet mv.
Datatilsynet henviser til de generelle bemærkninger i pkt. 3.2. i tilsynets høringssvar af 11. juli 2012 vedrørende forordningsforslaget.
3.3. Principper for databehandling
Grundprincipper for databehandling
Datatilsynet finder forskellene mellem direktivforslagets artikel 4 og forordningsforslagets artikel 5 problematisk.
Det synes uhensigtsmæssigt og ikke umiddelbart velbegrundet, at disse to artikler, som beskriver helt fundamentale databeskyttelsesprincipper ikke indeholder de samme krav til dataansvarlige. Konkret er det meget bemærkelsesværdigt, at der i direktivforslaget ikke opstilles et krav om proportionalitet svarende til forordningsforslaget. Datatilsynet skal derfor opfordre til, at der fra dansk side arbejdes for at bringe direktivets artikel 4 i overensstemmelse med forordningens artikel 5.
Sikkerhed
Direktivet indeholder i modsætning til forordningsforslaget ikke et krav om, at personoplysninger sikres mod hændelig tilintetgørelse eller hændeligt tab.
Datatilsynet finder denne uoverensstemmelse uhensigtsmæssig, og tilsynet er af den opfattelse, at direktivet mindst bør stille de samme krav, som der stilles på forordningsområdet.
Umiddelbart vil formuleringen medføre et lavere beskyttelsesniveau, end det der gælder i Danmark for øjeblikket.
3.4. Den registreredes rettigheder
Datatilsynets generelle vurdering er, at der fra dansk side bør arbejdes for, at rettighederne for de registrerede kan opretholdes på mindst samme niveau som efter den gældende danske persondatalov.
Datatilsynet skal samtidig bemærke, at det umiddelbart forekommer mindre hensigtsmæssigt at introducere en række generelle rettigheder i direktivet for alle persongrupper, hvis konsekvensen heraf er, at der i alle medlemsstaterne efterfølgende fastsættes en række generelle undtagelser. Strafferetsområdets særlige karakter gør således, at der efter tilsynets opfattelse kan være grund til at overveje større nuancering af rettighedsdelen i selve retsgrundlaget, herunder generelle begrænsninger, når der er tale om oplysninger vedrørende sigtede eller andre personer, der er genstand for en politimæssig efterforskning.
Samtidig kan det efter tilsynets opfattelse være vanskeligt at vurdere rækkevidden af undtagelsesbestemmelserne i direktivet. Det gælder eksempelvis forslagets artikel 17. Artikel 16 om ret til sletning forekommer meget vidtgående og byrdefuld, og tilsynet må stille spørgsmål ved, om den kan håndteres i praksis, herunder af tilsynsmyndigheden.
Datatilsynet finder endvidere, at det bør sikres, at tilsynsmyndigheden ikke får til opgave - direkte eller indirekte - at vurdere det materielle (strafferetlige) indhold i sager på dette område, jf. også nedenfor om klageadgang.
3.5. Klageadgang
I forlængelse af ovennævnte finder Datatilsynet endvidere udkastets artikler 50-52 om klageadgang til de nationale tilsynsmyndigheder meget vidtgående.
Muligheden for at en registreret - og organer, organisationer og sammenslutninger - kan indgive klage til alle tilsynsmyndigheder i EU, samtidig med at der kan klages i det administrative system og evt. samtidig begæres domstolsprøvelse, forekommer særdeles vidtgående og ikke håndterbar i praksis.
Direktivforslagets artikel 50, stk. 2, giver på samme måde som forordningsforslaget klageadgang i enhver medlemsstat. Datatilsynet finder, at det bør afgrænses nærmere i selve retsgrundlaget, hvilken tilsynsmyndighed en klage indgives til.
I artikel 51, stk. 2, lægges der op til en maksimal sagsbehandlingstid på tre måneder hos tilsynsmyndigheden. Det er Datatilsynets erfaring, at der alt efter sagernes kompleksitet kan der være stor forskel på, hvor lang sagsbehandlingstiden bliver, men tre måneder er kort tid. Samtidig har tilsynsmyndigheden brug for at kunne tilrettelægge sine tilsynsaktiviteter ud fra de konkrete forhold på et givent tidspunkt. Derfor er det efter Datatilsynets opfattelse ikke hensigtsmæssigt at fastsætte en generel frist for en bestemt type sager.
3.6. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Datatilsynet henviser til de generelle bemærkninger under punkt 3.14. i tilsynets høringssvar vedrørende forordningsforslaget.
3.7. Inspektionskompetence
Datatilsynet har efter den nugældende persondatalovs § 62, stk. 2, til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.
Tilsynsmyndighedens kompetencer er nævnt i forslagets artikel 46, hvor det bl.a. fremgår, at medlemsstaterne skal fastsætte bestemmelser om, at tilsynsmyndigheden bl.a. skal have:
a) undersøgelsesbeføjelser såsom beføjelse til at få indsigt i de oplysninger, der er genstand for behandling, og beføjelse til at indsamle alle de oplysninger, der er nødvendige for at udføre sine tilsynsopgaver,
b) beføjelse til at gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingen og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger begrænset, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre de nationale parlamenter eller andre nationale politiske institutioner, samt
c) beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.
Datatilsynet kom i december 2011 i besiddelse af et lækket tidligere udkast af forslag til direktivet (version 34), og i dette udkasts art. 49, stk. 2, litra b, havde de nationale tilsynsmyndigheder inspektionskompetence over for de dataansvarlige myndigheder.
Denne inspektionskompetence nævnes ikke i den tilsendte version af direktivet (COM (2012) 10 final)2. Tilsynet finder det derfor uklart, hvorvidt denne inspektionskompetence er tænkt frataget tilsynet, eller om den implicit følger af de øvrige beføjelse, tilsynet har efter direktivet3.
Datatilsynet skal påpege, at inspektionskompetencen over for offentlige myndigheder er helt central for tilsynets rolle som uafhængig tilsynsmyndighed.
Denne beføjelse bør derfor fremgå klart af et fremtidigt generelt retsgrundlag.
4. Afsluttende bemærkninger
Datatilsynet skal påpege, at en yderligere analyse og afklaring synes nødvendig for at fastlægge det præcise indhold af forslagets mange og detaljerede bestemmelser. Tilsynet bidrager gerne hertil i det videre forløb.
Med hensyn til de økonomiske konsekvenser af den fremsatte reformpakke på databeskyttelsesområdet uddyber Datatilsynet gerne den foreløbige vurdering, som tilsynet gav i udtalelsen af 12. marts 2012.
Datatilsynet skal anmode om at blive holdt underrettet om den videre udvikling i sagen.
1 ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp191_en.pdf
2 eur-lex.europa.eu/LexUriServ/LexUriServ.do
3 Dette forhold bliver mere uklart, idet det af direktivets art. 48 vedrørende gensidig bistand fremgår, at de nationale tilsynsmyndigheder kan anmode hinanden om at foretage inspektioner.