Udtalelse vedrørende spørgsmål fra Folketingets Retsudvalg. Datatilsynets opgaver og antallet af inspektioner

Publiceret 26-01-2004
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2003-131-0021

Justitsministeriet har ved telefax af 22. december 2003 anmodet Datatilsynet om bidrag til besvarelse af Retsudvalgets spørgsmål nr. 98 og 99, (Alm. del - bilag 300).

Spørgsmål nr. 98

Folketingets Retsudvalg har den 18. december 2003 udbedt sig ministerens svar på følgende spørgsmål:

“Ministeren bedes redegøre for, hvilke opgaver Datatilsynet (tidligere Registertilsynet) har fået tildelt, og hvilke opgaver de er blevet frataget i de sidste 10 år.”

I den anledning kan Datatilsynet oplyse følgende:

1. Inden for de sidste 10 år har vedtagelsen af en række særlove medført, at Datatilsynet (tidligere Registertilsynet) har fået tildelt enkelte nye opgaver, eller at eksisterende opgaver har ændret karakter. Det drejer sig bl.a. om lov om massemediers informationsdatabaser, lov om offentlige arkiver m.v. og lov om visse betalingsmidler.

2. Lov om offentlige myndigheders registre og lov om private registre m.v. trådte i kraft den 1. januar 1979. I henhold til § 22 i lov om offentlige registre havde Registertilsynet til opgave at føre tilsyn med ethvert register, der var omfattet af loven, samt udøve de funktioner, der i henhold til lov om private registre m.v. var henlagt til tilsynet. Det fulgte endvidere af § 22 i lov om private registre m.v., at tilsynet havde til opgave at føre tilsyn med, at der ikke skete overtrædelse af loven eller bestemmelser, der var fastsat i medfør af loven.

3. Kapitel 5a i lov om offentlige registre, som vedrører videregivelse til kreditoplysningsbureauer af oplysninger om gæld til det offentlige, trådte i kraft i 1995. Bestemmelserne er i videreført i persondatalovens kapitel 5.

4. Ved Finans- og Forskningsministeriets initiativ til fremme af elektronisk borgerservice i den offentlige forvaltning blev Datatilsynet i 2000 central godkendelsesinstans for sikkerhedsløsninger.

5. Nedenfor under punkt 6 og 7 redegøres der i korte træk for de mere væsentlige ændringer, der er sket i Datatilsynets arbejdsopgaver, navnlig på grund af persondatalovens ikrafttræden og udviklingen i tilsynets internationale forpligtelser.

Under punkt 8 og 9 redegøres kort for to områder, hvor Datatilsynets tilsynskompetence er indskrænket som følge af etableringen af særlige tilsynsmyndigheder.

6. Ved lov om behandling af personoplysninger (persondataloven), som trådte i kraft den 1. juli 2000, ophævedes registerlovene. Ikrafttrædelsen af persondataloven har medført en forøgelse af Datatilsynets opgaver på nationalt niveau. Siden lovens ikrafttræden har navnlig følgende forhold haft betydning:

Persondatalovens anvendelsesområde

  • Lovens anvendelsesområde er udvidet, jf. § 1, stk. 1 og 2, i persondataloven sammenholdt med § 1, stk. 1 og 2, i lov om private registre m.v. og      § 1, stk. 1, i lov om offentlige myndigheders registre. I modsætning til tidligere omfatter loven nu enhver behandling ved brug af edb, uanset om der er tale om et edb-register, samt manuelle registre i den offentlige forvaltning. Det vil sige, at selv kortvarig behandling af personoplysninger, som sker i f.eks. tekstbehandlingssystemer er omfattet af persondataloven.
  • Hertil kommer, at persondatalovens videregivelsesregler ifølge forarbejderne fortrænger forvaltningsloven i en række tilfælde. Som konsekvens af persondatalovens brede anvendelsesområde og den stigende grad af digitalisering af den offentlige forvaltning kan det således konstateres, at en række spørgsmål, som tidligere var reguleret i forvaltningsloven, i dag er reguleret af persondataloven. Dette gælder navnlig i relation til udveksling af oplysninger mellem myndigheder.
  • Lov om private registre m.v. omfattede ifølge § 2, stk. 3, ikke registrering, der alene finder sted til videnskabelige eller statistiske formål. Registrering af følsomme oplysninger til disse formål måtte dog kun ske efter forudgående anmeldelse til Registertilsynet, som kunne fastsætte vilkår for registrene. Disse registre er nu fuldt ud omfattet af persondataloven, hvilket bl.a. betyder, at Datatilsynet i modsætning til Registertilsynet foretager inspektioner af forskningsprojekter hos bl.a. private forskere. P.t. er der anmeldt og givet tilladelse til ca. 3.600 igangværende forskningsprojekter fordelt på ca. 2.200 forskere.
  • Persondataloven gælder efter § 4, stk. 3,  i flere tilfælde for dataansvarlige, som er etableret i et tredjeland. Tilsynet har som følge heraf bl.a. behandlet et antal anmeldelser fra virksomheder i en række forskellige tredjelande, idet virksomhederne som følge af § 4, stk. 3, er omfattet af persondataloven, typisk fordi virksomhedernes systemer driftafvikles i Danmark.
  • Herudover indeholder persondataloven enkelte bestemmelser, der udvider eller begrænser tilsynets opgaver i mindre væsentlig grad. Her kan bl.a. nævnes lovens § 74 om brancheforeningers og andres adgang til i samarbejde med Datatilsynet at udarbejde adfærdskodekser.
  • Datatilsynet har siden 1. juli 2000 fortsat Registertilsynets opgaver på det internationale område og har - afledt af reglerne i persondataloven - fået visse udvidede beføjelser, som vedrører samarbejdet med tilsynene i de øvrige EU-medlemsstater, jf. lovens § 64.
  • Det kan i øvrigt nævnes, at Datatilsynet fører tilsyn for Grønland i medfør af den oprindelige danske registerlovgivning.

Høring over lovforslag, bekendtgørelser, cirkulærer, m.v.

Efter persondatalovens § 57 skal der indhentes en udtalelse fra Datatilsynet ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger.

Ifølge bemærkningerne til bestemmelsen forudsættes det endvidere, at der sker høring af Datatilsynet i forbindelse med udfærdigelse af lovforslag, som fremsættes af regeringen. Endvidere forudsættes det, at vedkommende ressortministerium i forbindelse med sin stillingtagen til et privat lovforslag hører Datatilsynet. Datatilsynet skal i forbindelse med høringen udtale sig om, hvorvidt de påtænkte retsforskrifter m.v. efter tilsynets opfattelse giver anledning til betænkeligheder i forhold til direktivet og denne lov eller i øvrigt i relation til beskyttelsen af de registreredes privatliv.

Selv om Registertilsynet også jævnligt blev hørt over lovforslag og andre retsforskrifter, er opgaven efter persondataloven mere omfattende. Der blev således i perioden fra 1. januar 1994 til 31. december 1999 i gennemsnit behandlet 39 sager årligt om høring over lovforslag m.v. I perioden fra 1. januar 2001 til 31. december 2003 blev der oprettet henholdsvis 66, 94 og 109 sager om året. Sagsantallet for 2000 er udeladt, idet året var atypisk på grund af vedtagelsen af persondataloven. Det kan i øvrigt nævnes, at høringerne i stigende grad medfører vanskelige overvejelser bl.a. om forholdet til databeskyttelsesdirektivet.

Persondatalovens markedsføringsregler

Persondatalovens markedsføringsregler omfatter i modsætning til lov om private registre også den situation, at en virksomhed udsender markedsføringsmateriale på vegne af en anden virksomhed. Dette har allerede givet anledning til en del sager, og det er Datatilsynets vurdering, at der kan være grundlag for en intensiveret indsats på dette område.

Den registreredes rettigheder

I forhold til registerlovene indebærer persondataloven videregående rettigheder for de registrerede. Reglerne giver anledning til en del sager for tilsynet, både i form af forespørgsler og klagesager.

Overførsel af oplysninger til tredjelande

Persondatalovens § 27 indeholder regler om den dataansvarliges adgang til at overføre oplysninger til tredjelande. Reglerne, der på en række punkter er nye i forhold til de tidligere registerlove, giver anledning til en del sager.

Sikkerhed

Som følge af direktivet er reglerne om behandlingssikkerhed i persondataloven mere omfattende end i registerlovene. I praksis er det dog ikke så meget den ændrede formulering af bestemmelserne som den tekniske udvikling, herunder bl.a. den øgede brug af internet, digital kommunikation, overvågning og digital forvaltning, som stiller stadig større krav bl.a. til Datatilsynets IT-faglige kundskab.

Anmeldelses- og tilladelsesordningen

Persondatalovens anmeldelsesordning har i den offentlige sektor afløst ordningen med registerforskrifter, og en anmeldelsesordning for banale registre er bortfaldet. Da alle eksisterende registre og behandlinger skulle anmeldes inden for en overgangsordning, var anmeldelsesordningen i en overgangsperiode efter persondatalovens ikrafttræden en ganske stor arbejdsopgave for tilsynet. I forbindelse med inspektioner o.l. konstaterer Datatilsynet fortsat, at myndigheder mangler at foretage anmeldelser til tilsynet.

Området for anmeldelsespligten omfatter som følge af lovens bredere anvendelsesområde mere end det tidligere forskriftskrav. Der er således anmeldelsespligt for behandling af oplysninger i forbindelse med f.eks. digital videoovervågning.

Det fremgår af forarbejderne til persondataloven, at for tilsynets vedkommende vil persondataloven indebære en arbejdsmæssig lettelse, navnlig fordi tilsynet ikke længere modtager udkast til registerforskrifter til udtalelse. Samtidig indebærer loven imidlertid en væsentlig udvidelse af tilsynets arbejdsområde og kompetence.

Selv om bl.a. den løbende vedligeholdelse af de eksisterende anmeldelser må forventes at kræve færre ressourcer end den tilsvarende sagsbehandling med hensyn til registerforskrifterne, er det Datatilsynets skøn, at opgaven med anmeldelsesordningen i den offentlige forvaltning endnu ikke har medført nogen betydelig arbejdsmæssig lettelse.

Anmeldelsesordningen i den private sektor er mere omfattende efter persondataloven end efter lov om private registre m.v. Dette skyldes navnlig det forhold, at ikke alene edb-registre med følsomme oplysninger, men også manuelle registre og systematisk manuel opbevaring af sådanne oplysninger er anmeldelsespligtige. Hertil kommer, at anmeldelsesordningen er udvidet med et krav om forudgående tilladelse i stort set alle tilfælde, hvor der skal ske anmeldelse.

Datatilsynet skal efter persondatalovens § 54 føre en fortegnelse over de anmeldte behandlinger. Fortegnelsen, som ajourføres løbende, er tilgængelig på tilsynets hjemmeside og indeholder ca. 12.000 anmeldelser. Etableringen og den løbende drift af fortegnelsen har medført et betydeligt forbrug af ressourcer.

Datatilsynets skønner, at anmeldelserne p.t. fordeler sig på ca. 3.600 fysiske og juridiske personer, hvoraf ca. 800 er offentlige myndigheder, ca. 600 er private virksomheder og ca. 2.200 er forskere.

7. Datatilsynet er inden for de seneste 10 år endvidere tildelt en række andre opgaver som følge af det europæiske samarbejde.

  • Datatilsynet har siden 1997 deltaget i de kontrolinstanser - “Den fælles Kontrolinstans” og “Det fælles Klageudvalg” - som fører tilsyn med den europæiske politienhed “Europol”, der er etableret i henhold til Europol-konventionen. Der afholdes i gennemsnit 5 møder i hver instans om året. Datatilsynet er ligeledes udpeget som national tilsynsmyndighed.
  • Siden 1997 har Datatilsynet været repræsenteret i den fælles tilsynsmyndighed, der er nedsat i henhold til Schengen-konventionen. Der afholdes i gennemsnit i 5 møder om året. På nationalt niveau fører Datatilsynet tilsyn med Schengen-informationssystemet SIS, som er oprettet i Rigspolitichefens regi.
  • I henhold til artikel 29 i databeskyttelsesdirektivet er der nedsat en “gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger”, den såkaldte “Artikel 29-gruppe”. Gruppen er rådgivende og uafhængig og består af repræsentanter fra de nationale tilsynsmyndigheder. Artikel-29-gruppen afholder i gennemsnit 5 møder om året. Hertil kommer møder i en fast undergruppe og i ad hoc-nedsatte arbejdsgrupper.
  • I forhold til det europæiske toldsamarbejde “Toldinformationssystemet (CIS)” har Datatilsynet siden 2000 været national tilsynsmyndighed, og fra 2003 er tilsynet medlem af den fælleseuropæiske tilsynsmyndighed.
  • Datatilsynet blev i 2001 indsat som national kontrolinstans i henhold til Napoli II-konventionen om gensidig bistand og samarbejde mellem toldmyndighederne.
  • Siden 2002 har Datatilsynet deltaget i det fælles tilsyn med Eurojust.
  • Hvis Danmark bliver tilknyttet Eurodac-systemet, forventer Datatilsynet - i henhold til Eurodacforordningens artikel 19 -  at blive udpeget som national tilsynsmyndighed i forhold til behandlingen af de oplysninger, der er videregivet og modtaget efter Eurodacforordningen.

8. Sundhedsvæsenets Patientklagenævn træffer i medfør af lov om patienters retsstilling afgørelse i visse sager om aktindsigt (indsigtsret) og videregivelse af patientoplysninger.

Datatilsynet fører tilsyn med den behandling af personoplysninger, som ikke er omfattet af lov om patienters retsstilling.

9. Endelig skal det nævnes, at IT- og Telestyrelsen er tillagt tilsynsbeføjelser over for udbydere af telenet eller teletjenester i forhold til visse behandlinger af personoplysninger, herunder tilsynet med udbydernes registrering af såkaldte “masteoplysninger”, udbydernes sikkerhedsforanstaltninger, slutbrugernes adgang til at kontrollere egne nummeroplysninger og visse former for videregivelse af personoplysninger.

Inden for telesektoren har Datatilsynet tilsynskompetence i forhold til den behandling af personoplysninger, der ikke er reguleret i særbestemmelser.

Spørgsmål nr. 99

Folketingets Retsudvalg har endvidere den 18. december 2003 udbedt sig ministerens svar på følgende spørgsmål:

“Ministeren bedes redegøre for, hvor mange kontrolbesøg Datatilsynet skal foretage årligt, hvis tilsynet skal leve op til sine tilsynsforpligtelser i forskellig lovgivning, herunder blot én gang i løbet af en 10 års periode skal besøge hvert af de steder, der skal føres tilsyn med både hos offentlige myndigheder og private.”

I den anledning kan Datatilsynet oplyse, at det følger af persondatalovens § 62, stk. 2, at Datatilsynets medlemmer og personale til enhver tid mod behørig legitimation uden retskendelse har adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.

Det følger endvidere af persondatalovens § 62, stk. 3 og 4, at bestemmelsen i lovens § 62, stk. 2, tilsvarende gælder for behandlinger, som foretages for private dataansvarlige, i det omfang behandlingen er omfattet af § 50 samt for den behandling, der udføres af databehandlere som nævnt i § 53.

Det vil sige, at Datatilsynet har inspektionskompetence i forhold til private virksomheder i de tilfælde, hvor der sker behandling omfattet af tilladelseskravet i lovens § 50 samt til edb-servicevirksomheder omfattet af anmeldelsespligten i lovens § 53.

Det fremgår ikke klart af persondataloven eller forarbejderne til loven, i hvilket omfang Datatilsynet skal udøve sin inspektionskompetence. Det er alene forudsat i bemærkningerne til loven, at der løbende skal foretages inspektionsvirksomhed.

Der henvises i øvrigt til Registertilsynets udtalelse til brug for Justitsministeriets besvarelse af spørgsmål nr. 121-123 (L 82 - bilag 27) fra Folketingets Retsudvalg om registertilsynets inspektionsvirksomhed. Kopi af udtalelsen af 7. august 1998 vedlægges.

Det fremgår af betragtning nr. 62 og 63 i databeskyttelsesdirektivet, at tilsynsmyndigheden skal tildeles de fornødne beføjelser til at varetage beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager, samt beføjelse til at indbringe sager for en retsinstans. Det fremgår endvidere af direktivets artikel 28, stk. 3, at hver tilsynsmyndighed bl.a. skal kunne iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling.

Registertilsynet var tillagt inspektionskompetence i henhold til registerlovene. I delbetænkning nr. 767 af 9. september 1970 om offentlige registre er der bl.a. anført, “at der på grund af lovreglernes ret brede indhold kan være behov for at kunne udfylde eller præcisere, eventuelt fravige reglerne, og at kompetencen til at træffe disse afgørelser bør henlægges til et selvstændigt organ, som tillige bør kunne udøve et løbende tilsyn med registrene og samtidig virke som klageinstans.” Det er endvidere anført, at “[u]dvalget forudsætter, at der ud over inspektioner begrundet i klager også kan udøves et vist løbende tilsyn.”

Registertilsynet foretog i gennemsnit 35 inspektioner om året i perioden fra 1981 til 1999. Det kan i den forbindelse oplyses, at Registertilsynet i løbet af en periode på 20 år ikke fik foretaget inspektioner i samtlige kommuner.

Datatilsynet har i perioden fra 2000 til 2003 foretaget henholdsvis 23, 76, 111 og 71 inspektioner årligt. Som følge af besparelser forventer tilsynet, at det er nødvendigt at begrænse antallet af inspektioner i de kommende år. Datatilsynet har anslået at kunne foretage henholdsvis 65, 55, 50 og 40 inspektioner i årene 2004-2007, jf. forslaget til finanslov for finansåret 2004.

Som nævnt er det Datatilsynet vurdering, at tilsynet p.t. har inspektionsadgang hos ca. 3.600 dataansvarlige og databehandlere. Hvis Datatilsynet skal foretage én inspektion hvert sted inden for en 10 års periode, skal tilsynet således foretage ca. 360 inspektioner om året. Dette vil selvsagt ikke være muligt inden for tilsynets nuværende ressourcemæssige rammer.

Datatilsynet forsøger til stadighed at effektivisere tilrettelæggelsen af inspektioner, således at det er muligt at opretholde et forholdsvis højt antal inspektioner. Indsatsen består bl.a. i, at tilsynet med mellemrum udstationerer 5-6 medarbejdere, der i en periode på 3-5 dage foretager en række inspektioner i et nærmere defineret geografisk område.