Udtalelse om Kommissionens oplæg vedrørende beskyttelse af personoplysninger

Publiceret 14-01-2011
Historisk afgørelse

Journalnummer: 2010-111-0063

1. Ved brev af 20. december 2010 har Justitsministeriet anmodet om Datatilsynets eventuelle bemærkninger til den høring, som Kommissionen har iværksat over meddelelsen "En global metode til beskyttelse af personoplysninger i Den Europæiske Union" af 4. november 2010.

Som det fremgår af Kommissionens meddelelse, har Artikel 29-gruppen afgivet et bidrag til Kommissionens høring i 2009 om de juridiske rammer for den grundlæggende ret til beskyttelse af personoplysninger. Artikel 29-gruppens bidrag (WP 168), hvortil Datatilsynet kan henvise, vedlægges1.

På nuværende tidspunkt, hvor der endnu ikke foreligger et mere konkret udspil fra Kommissionen, vil Datatilsynet begrænse sig til bemærkninger af mere generel karakter. Det bemærkes herved, at det inden for de givne tidsrammer ikke har været muligt at drøfte sagen i Datarådet.

2. Ad afsnit "2.1.1. Fysiske personer skal nyde passende beskyttelse i enhver situation"

"Kommissionen vil overveje, hvordan man kan sikre, at databeskyttelsesreglerne anvendes på sammenhængende vis, under hensyntagen til den nye teknologis indvirkning på fysiske personers rettigheder og frihedsrettigheder og målet om at sikre fri udveksling af personoplysninger i det indre marked."

Datatilsynet er enig i, at databeskyttelsesreglerne skal kunne anvendes i de mange nye sammenhænge, hvor personoplysninger behandles i forbindelse med nye teknologier.

Datatilsynet har ved forskellige lejligheder udtalt, at tilsynet er bekymret over udviklingen, hvor tilsynet gennem de senere år har konstateret et stigende antal brud på datasikkerheden, bl.a. ved myndigheders og virksomheders øgede brug af internettet.

Hertil kommer, at tilsynet har oplevet tilfælde, hvor myndigheder har udviklet løsninger eller sat systemer i drift uden at have sikret sig, at persondatalovens krav om datasikkerhed mv. er iagttaget.

Datatilsynet har således udtalt2, at der synes at være behov for at sætte beskyttelse af persondata - herunder overholdelse af gældende lovgivning herom - på dagsordenen i alle projekter, og at gøre projekterne ansvarlige for rent faktisk at udvikle løsningerne i den ønskede retning.

3. Ad afsnit "2.1.2. Øget gennemsigtighed for de registrerede"

"Kommissionen vil:

  • undersøge, hvordan der i de generelle retsregler kan indføres en generel underretningspligt ved persondatasikkerhedsbrud, herunder hvem der skal underrettes, og kriterierne for hvornår underretningspligten indtræder."

I samme afsnit omtaler Kommissionen en obligatorisk underretningspligt ved persondatasikkerhedsbrud, som er indført ved den nylige ajourføring af e-databeskyttelsesdirektivet, der dog udelukkende dækker telesektoren.

Eftersom risikoen for datasikkerhedsbrud også er til stede i andre sektorer (såsom den finansielle sektor), vil Kommissionen undersøge, hvordan pligten til at underrette om persondatasikkerhedsbrud kan udbredes til også at omfatte andre sektorer i overensstemmelse med Kommissionens erklæring til EuropaParlamentet om datasikkerhedsbrud, som Kommissionen afgav i 2009 i forbindelse med reformen af de relevante retsregler for elektroniske kommunikationsnet og -tjenester.

Undersøgelserne griber ikke ind i e-databeskyttelsesdirektivets bestemmelser, som skal være gennemført i national lovgivning senest den 25. maj 2011. Det er vigtigt at sikre en konsekvent og sammenhængende tilgang på området.

Datatilsynet har i sin praksis antaget, at princippet om god databehandlingsskik i persondatalovens § 5, stk. 1, i visse tilfælde indebærer en pligt til at informere de berørte borgere om en sikkerhedsbrist3.

Datatilsynet finder umiddelbart, at en generel underretningspligt i alle tilfælde vil være for vidtgående. Datatilsynet skal i denne sammenhæng endvidere henvise til Artikel 29-gruppens udtalelse af 10. februar 2009 om forslagene om ændring af direktiv 2002/58/EF om databeskyttelse og elektronisk kommunikation (e-databeskyttelsesdirektivet) (WP 159). Heri anføres, at underretning også vil give anledning til administrative byrder, såvel for de implicerede virksomheder som for databeskyttelsesmyndighederne.

Det er endvidere Datatilsynets opfattelse, at en underretningspligt ikke må anvendes som kompensation for, at dataansvarlige ikke søger for den fornødne datasikkerhed i udviklingen og brugen af ny teknologi. Der henvises herved til Artikel 29-gruppens udtalelse om princippet om ansvarlighed (accountability), WP 173 af 13. juli 2010.

4. Ad afsnit "2.1.3. Øget kontrol over egne personoplysninger"

"Kommissionen vil undersøge:

  • hvordan princippet om dataminimering kan styrkes
  • hvordan man kan give bedre muligheder for, at fysiske personer rent faktisk kan udøve deres ret til adgang, berigtigelse, sletning og blokering af personoplysninger (f.eks. ved at indføre frister for svar på anmodninger herom, ved at tillade, at rettigheder kan udøves via internettet eller ved at knæsætte princippet om, at adgang til personoplysninger skal være gratis)
  • hvordan man kan tydeliggøre den såkaldte "ret til at blive glemt", dvs. fysiske personers ret til at få slettet personoplysninger, så de ikke længere kan databehandles, når de ikke længere er nødvendige til legitime formål. Det er eksempelvis tilfældet, når databehandlingen er betinget af den fysiske persons samtykke, når vedkommende trækker sit samtykke tilbage, eller når lagringsperioden er udløbet
  • hvordan de registreredes rettigheder kan udbygges ved at sikre "dataportabilitet", dvs. fysiske personers udtrykkelige ret til at fjerne egne personoplysninger (eksempelvis fotos eller en liste over venner) fra et program eller tjeneste og derefter, så vidt det er teknisk muligt, portere dem til et andet program eller tjeneste, uden at registeransvarlige kan modsætte sig det."

Datatilsynet hilser generelt en styrkelse af borgernes retsstilling velkommen.

Tilsynet er imidlertid usikker på, om Kommissionens overvejelser retter sig imod bestemte områder og/eller dataansvarlige, eller der sigtes på indførelse af universelle rettigheder. Under alle omstændigheder må Datatilsynet påpege behovet for, at eventuelle rettigheder kan følges op med det fornødne tilsyn, hvilket forudsætter en forøgelse af tilsynets ressourcer.

Allerede i dag bruger tilsynet en del ressourcer på sager vedrørende spørgsmål af denne karakter i forhold til bl.a. sociale netværk og fora på internettet.

5. Ad afsnit "2.1.4. Oplysningsarbejde"

"Kommissionen vil undersøge:

  • om det er muligt at medfinansiere oplysningsaktiviteter via EU's budget
  • om der er behov og mulighed for i lovgivningen at indføje en forpligtelse til oplysningsaktiviteter på dette område."

Datatilsynet er enig i, at der generelt er behov for mere viden om databeskyttelse. I sit høringssvar vedrørende IT- og Telepolitisk redegørelse, omtalt ovenfor under pkt. 2., understregede tilsynet, at der sammen med behovet for IKT-færdigheder også er behov for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Dette gælder såvel generelt i befolkningen som hos de personer, der som ansatte i virksomheder og hos myndigheder udformer løsninger eller håndterer personoplysninger i det daglige.

6. Ad afsnit "2.1.5. Sikring af informeret og frivilligt samtykke"

"Kommissionen vil undersøge, hvordan reglerne om samtykke kan tydeliggøres og styrkes."

Datatilsynet bemærker, at der efter persondataloven såvel som direktivet i en række tilfælde er mulighed for, at myndigheder og virksomheder kan behandle personoplysninger uden samtykke.

Spørgsmålet er, om Kommissionen sigter mod en præcisering af brugen af samtykke i de tilfælde, hvor dette kræves eller anvendes i dag, eller om der er tale om, at samtykke skal være en forudsætning for databehandlingens lovlighed i videre omfang, end det er tilfældet i dag.

I lyset af bl.a. den teknologiske udvikling, herunder kompleksiteten i de teknologiske processer, som eksempelvis anvendes ved internettjenester, bør brugen af og kravene til samtykke som behandlingsgrundlag efter tilsynets opfattelse nøje overvejes i de forskellige sammenhænge. Der kan herved også henvises til Artikel 29-gruppens WP 168 (vedlagt), pkt. 65-69.

7. Ad afsnit "2.1.7. Mere effektive retsmidler og sanktioner"

"Kommissionen vil:

  • overveje at give databeskyttelsesmyndigheder, organisationer i civilsamfundet og andre organisationer, der repræsenterer de registreredes interesser, mulighed for at anlægge sag ved de nationale domstole
  • vurdere behovet for at styrke de gældende bestemmelser om sanktioner, f.eks. ved at operere eksplicit med strafferetlige sanktioner i tilfælde af alvorlige krænkelser af databeskyttelsen, for at gøre bestemmelserne mere effektive."

Datatilsynet finder, at der kan være grund til at overveje retsmidler og sanktioner i almindelighed, herunder i lyset af den udvikling, der har været i andre lande, eksempelvis England og Norge.

8. Ad afsnit "2.2.1. Større vægt på databeskyttelse som led i det indre marked"

"Kommissionen vil undersøge, hvordan der kan opnås yderligere harmonisering af databeskyttelsesreglerne på EU-niveau."

Datatilsynet skal opfordre til, at man fra dansk side arbejder for, at det kommende retsgrundlag giver mulighed for at opretholde et højt niveau for databeskyttelse. Der må efter Datatilsynets opfattelse lægges betydeligt vægt på at sikre, at der skabes et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau, end gældende lovgivning i dag tilsiger.

Datatilsynet kan som eksempler på regler, der i Danmark yder høj beskyttelse, nævne, at der i medfør af persondataloven er udstedt en sikkerhedsbekendtgørelse med detaljerede minimumskrav til sikkerhedsforanstaltninger, der skal iagttages, når offentlige myndigheder behandler personoplysninger ved brug af edb. I den private sektor er der ligeledes hjemmel til at udstede en bekendtgørelse om sikkerhedskravene, men hjemlen er ikke udnyttet i praksis. Derimod har Datatilsynet i konkrete sager udnyttet lovens bestemmelser om, at tilsynet kan fastsætte vilkår i forbindelse med tilladelser, til at fastsætte nærmere vilkår om bl.a. sikkerhedsforanstaltninger.

Ligeledes er lovens § 11, som navnlig i forhold til den private sektor fastsæt-ter restriktive regler for behandling af oplysninger om personnummer, et eksempel på en dansk regel med en høj beskyttelse, som ikke følger af direktivet4.

Set fra et dansk synspunkt må en fortsat høj beskyttelse af det danske personnummer være ønskelig. Med øget globalisering aktualiseres behovet endvidere for, at dette nummer beskyttes, hvis det behandles af dataansvarlige underlagt andre medlemsstaters lovgivning. En evt. harmonisering på dette punkt må derfor sigte mod, at oplysninger om nationale identitetsnumre, så som det danske personnummer, ydes den fornødne beskyttelse i alle lande i EU.

Et tredje eksempel er reglerne i persondatalovens kapitel 6a om behandling af personoplysninger i forbindelse med tv-overvågning. Reglerne er indført som led i en samlet regulering og er derfor udtryk for et ønske om at finde den rette balance mellem udvidet adgang til tv-overvågning og hensynet til privatlivsbeskyttelse.

Persondataloven indeholder også på andre områder særregler, som lægger et højere beskyttelsesniveau end direktivet. Nævnes kan f.eks. lovens § 8 og reglerne om kreditoplysningsbureauer.

Datatilsynet kan i øvrigt tilslutte sig, at der bør gælde databeskyttelsesregler med et højt beskyttelsesniveau i alle sektorer, og at ensartede regler er ønskelige, medmindre konkrete forhold på særlige områder tilsiger andet.

Som et eksempel på en velbegrundet særordning kan nævnes, at reglerne i den danske persondatalov giver mulighed for behandling af selv følsomme personoplysninger, når det alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og behandlingen er nødvendig for udførelsen af undersøgelserne. Persondataloven indeholder samtidig særregler til beskyttelse af oplysningerne.

9. Ad afsnit "2.2.2. Færre administrative byrder"

"Kommissionen vil undersøge forskellige muligheder for at forenkle og harmonisere det nuværende anmeldelsessystem, herunder for at udfærdige et fælles EU-registreringsskema."

Datatilsynet har forsøgt at effektivisere den nuværende danske anmeldelsesordning, men anvender fortsat mange ressourcer på området, især vedrørende den private sektor, hvor der i langt de fleste tilfælde er tale om en egentlig tilladelsesordning.

Forventningen om, at anmeldelsesordningen - i hvert fald efter nogen tid - ville indebære en arbejdsmæssig lettelse for tilsynet sammenholdt med den tidligere ordning med registerforskrifter kan ikke siges at have holdt stik. Tværtimod er antallet af nye anmeldelsessager i den private sektor steget voldsomt i de senere år. Samtidig indebærer ordningen også et ganske betydeligt arbejde med ajourføring og ændring af de tidligere behandlede anmeldelser.

Datatilsynet finder derfor, at der i høj grad er behov for overordnet at overveje anmeldelsesordningen i forhold til andre tilsynsopgaver og -aktiviteter.

Hvis der indføres en form for central EU-registrering - hvilket efter tilsynets opfattelse må være en registrering af helt overordnet karakter - er det væsentligt, at der ikke samtidig etableres nationale parallelsystemer eller registreringskrav, som indholdsmæssigt går videre end en fælles EU-registrering.

10. Ad afsnit "2.2.4. Større ansvar til den registeransvarlige"

"Med henblik på at øge de registeransvarliges ansvar vil Kommissionen undersøge muligheden for:

  • at gøre det obligatorisk at udpege en databeskyttelsesansvarlig og harmonisere reglerne for de databeskyttelsesansvarliges opgaver og beføjelser, men samtidig overveje, hvor bagatelgrænsen bør gå for at undgå unødige administrative byrder, navnlig for små virksomheder og mikrovirksomheder
  • at lade retsreglerne omfatte en forpligtelse for de registeransvarlige til at foretage en konsekvensanalyse, for så vidt angår databeskyttelse i bestemte tilfælde, eksempelvis når følsomme oplysninger behandles, eller når arten af databehandling på anden måde indebærer særlige risici, herunder særlig når der anvendes specifikke teknologier, mekanismer eller procedurer, deriblandt profilering eller videoovervågning
  • yderligere at fremme anvendelsen af teknologier til beskyttelse af privatlivets fred og mulighederne for at gennemføre begrebet "indbygget databeskyttelse" i praksis."

Datatilsynet er enig i, at de nævnte aspekter bør indgå i de videre overvejelser på området. Som tidligere anført har tilsynet tilkendegivet, at der er behov for at sætte beskyttelse af persondata - herunder overholdelse af gældende lovgivning herom - på dagsordenen i alle projekter, og at gøre projekterne ansvarlige for rent faktisk at udvikle løsningerne i den ønskede retning.

Datatilsynet bekendt er erfaringerne med ordninger med databeskyttelsesansvarlige positive i såvel Tyskland som Sverige og Norge. I lyset af erfaringerne i vores nabolande, synes de betænkeligheder, som Registerudvalget beskrev (s. 336-37 i betænkning 1345/1997), ikke at tale afgørende imod at (gen)overveje en sådan ordning i en eller anden form. 

11. Ad afsnit "2.3. Revision af databeskyttelsesreglerne inden for politisamarbejdet og det retlige samarbejde i straffesager"

"Kommissionen vil navnlig:

  • overveje at udvide anvendelsen af de generelle databeskyttelsesregler til områderne politisamarbejde og retligt samarbejde i straffesager, herunder databehandling i den enkelte medlemsstat, samtidig med, at der om nødvendigt foretages harmoniserede begrænsninger i nogle af de databeskyttelsesrettigheder, som fysiske personer har, eksempelvis vedrørende adgang til oplysninger eller gennemsigtighedsprincippet
  • undersøge behovet for at indføje specifikke og harmoniserede bestemmelser i de nye generelle regler for databeskyttelse, f.eks. vedrørende databeskyttelse i forbindelse med behandling af genetiske data til strafferetlige formål eller skelnen mellem de forskellige kategorier af registrerede (vidner, mistænkte osv.) inden for politisamarbejde og retligt samarbejde i straffesager
  • i 2011 iværksætte en høring af alle interessenter om, hvordan man bedst kan revidere de nuværende kontrolordninger inden for politisamarbejde og retligt samarbejde i straffesager. Målet er at sikre effektiv og konsekvent kontrol med databeskyttelse i alle EUinstitutioner, -organer, -kontorer og -agenturer
  • vurdere behovet for på længere sigt at tilnærme de eksisterende forskellige sektorspecifikke EU-regler for politisamarbejde og retligt samarbejde i straffesager til de nye generelle regler for databeskyttelse.

Datatilsynet er enig i det anførte og kan henvise til sine tidligere udtalelser om behovet for generelle EU-instrumenter inden for områderne politisamarbejde og retligt samarbejde i straffesager.

12. Af afsnit "2.4. Databeskyttelsens globale dimension", herunder reglerne om overførsel af personoplysninger til lande uden for EU og EØS.

"Kommissionen agter at undersøge:

  • hvordan de nuværende procedurer i forbindelse med internationale dataoverførsler kan forbedres og strømlines, herunder i form af retligt bindende instrumenter og "bindende virksomhedsregler", så EU's metode i forhold til tredjelande og internationale organisationer bliver mere ensartet og sammenhængende.
  • hvordan Kommissionens procedure til vurdering af, om databeskyttelsesniveauet i et tredjeland eller en international organisationer er tilstrækkeligt, kan tydeliggøres, herunder hvordan de krav og kriterier, der anvendes ved vurderingerne, kan udspecificeres
  • hvordan kerneelementer vedrørende EU's databeskyttelse, der kan anvendes ved alle typer af internationale aftaler, kan defineres."

Datatilsynet er generelt enig i, at der er brug for at forbedre og gerne forenkle de nuværende mekanismer til internationale overførsler af personoplysninger.

Datatilsynet kan imidlertid ikke genkende den problemstilling, som Kommissionen omtaler på side 4 i meddelelsen for så vidt angår uklarhed om ansvarsplaceringen ved outsourcing af databehandling.

Efter persondataloven - og direktivet - er det afgørende, hvor den dataansvarlige er etableret. En dansk virksomhed er således ansvarlig for de databehandlinger, som foretages på dennes vegne, også når den outsourcer til en databehandler i et andet land.

Virksomheden må via databehandleraftaler og instrukser sikre sig, at persondataloven overholdes. Virksomheden har herunder bl.a. ansvaret for, at de krav om de fornødne sikkerhedsforanstaltninger, som påhviler virksomheden, er opfyldt. I tilfælde, hvor den danske virksomhed er underlagt vilkår stillet af Datatilsynet i forbindelse med en tilladelse, har virksomheden også ansvaret for at overholde disse vilkår, uanset om der benyttes en databehandler inden eller uden for Danmark.

Ligeledes for en offentlig myndighed, her gælder tillige sikkerhedsbekendtgørelsen, som myndigheden også må sikre sig, er opfyldt.

Herudover skal den valgte databehandler leve op til eventuelle krav til en sådan, som måtte gælde i det pågældende land.

Med hensyn til det anførte om at strømline processerne skal Datatilsynet på ny påpege vigtigheden af, at en yderligere harmonisering ikke fører til en nedsættelse af det beskyttelsesniveau, som behandling af personoplysninger (med mange års tradition) er undergivet her i landet.

14.  Ad afsnit "2.5. En stærkere institutionel ordning til bedre håndhævelse af databeskyttelsesreglerne"

"Kommissionen vil undersøge:

  • hvordan de nationale databeskyttelsesmyndigheders status og beføjelser kan styrkes, tydeliggøres og harmoniseres i de nye retsregler, herunder hvordan begrebet "fuld uafhængighed" kan gennemføres fuldt ud
  • hvordan samarbejdet og koordineringen mellem databeskyttelsesmyndighederne kan forbedres
  • hvordan det kan sikres, at EU's databeskyttelsesregler anvendes mere konsekvent i hele det indre marked. Dette kan indebære en styrkelse af den rolle, som de nationale tilsynsførende for databeskyttelse spiller, en bedre koordinering af deres arbejde via artikel 29-gruppen (som bør blive et mere åbent organ), og/eller indførelse af en mekanisme, der under Europa-Kommissionens ledelse kan sikre konsekvens i det indre marked."

Som anført ovenfor under pkt. 7 finder Datatilsynet, at der kan være grund til at overveje spørgsmål om retsmidler og sanktioner i almindelighed.

Dette bør også ses i sammenhæng med, at det af persondatalovens forarbejder fremgår, at tilsynsmyndigheden i første række bør tage sigte på at kunne udøve sin virksomhed gennem generelle retningslinjer og ved en serviceorienteret rådgivning og vejledning frem for en regulering primært koncentreret om afgørelse af enkeltsager i et traditionelt rekurssystem.

Tilsynets muligheder for at håndhæve databeskyttelsesreglerne beror således både på de retsmidler, tilsynet tildeles efter loven, men ikke mindst på de ressourcer, tilsynet får til rådighed til sin samlede opgavevaretagelse.

Det bemærkes i den forbindelse, at Datatilsynet har kompetence i forhold til såvel offentlige myndigheder som private dataansvarlige, samt at tilsynet har rådgivnings-, tilsyns- og håndhævelsesopgaver - ofte af betydelig kompleksitet - på et område i kraftig vækst som følge af den stadige digitalisering af samfundet.

 

WP 168 findes på Kommissionens hjemmeside: ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp168_en.pdf

2 Høringssvar af 7. april 2010 til Justitsministeriet vedrørende IT- og Telestyrelsens udkast til IT- og telepolitisk redegørelse 2010

Der henvises til Datatilsynets bidrag til besvarelse af spørgsmål nr. 44, stillet af Folketingets Udvalg for Videnskab og Teknologi til justitsministeren den 4. februar 2008. Svaret findes via følgende link: www.ft.dk/samling/20072/almdel/uvt/spm/44/svar/528612/532204.pdf

 

4 I det gældende direktiv overlader artikel 8, stk. 7, det til medlemsstaterne at bestemme, på hvilke betingelser et nationalt identitetsnummer kan gøres til genstand for behandling