Udtalelse om EU-Kommissionens forslag til forordning om databeskyttelse

Publiceret 11-07-2012
Historisk afgørelse

Journalnummer: 2012-111-0013

1. Indledning

Den 11. maj 2012 har Justitsministeriet sendt Kommissionens forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og den fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) i høring hos bl.a. Datatilsynet. Med høringen fulgte endvidere Justitsministeriets grund- og nærhedsnotat om forslaget.

I det følgende gives i afsnit 2 Datatilsynets generelle bemærkninger vedrørende forordningen, mens afsnit 3 indeholder mere specifikke kommentarer til forslaget, og afsnit 4 omhandler forholdet til gældende lovgivning.

Herudover skal tilsynet henvise til sin udtalelse af 12. marts 2012 til Justitsministeriet om den foreløbige vurdering af de økonomiske konsekvenser for Datatilsynet af reformpakken om databeskyttelse. 

Tilsynet henviser endvidere til Artikel 29-gruppens udtalelse af 23. marts 2012 om reformpakken, som er tilgængelig her: ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp191_en.pdf.

2. Generelle bemærkninger

I lyset af den teknologiske udvikling og globaliseringen er der efter Datatilsynets opfattelse god grund til at overveje reguleringen af databeskyttelsesområdet, således at borgerne sikres et højt beskyttelsesniveau samtidig med, at fordelene ved nye digitale løsninger og services kan høstes.

Datatilsynet hilser det således også velkomment, at forslaget til forordning indeholder en række elementer, som tilsigter at styrke borgernes retsstilling og retssikkerhed. For virksomheder, myndigheder og organisationer er der endvidere krav om at tage større ansvar for databeskyttelse ved i praksis at implementere databeskyttelsesfremmende initiativer samt udvise ansvarlighed ved behandling af personoplysninger. For at sikre efterlevelse af de foreslåede regler lægges der op til styrkede beføjelser og sanktionsmuligheder for tilsynsmyndighederne.   Samtidig tilsigtes en smidiggørelse og en øget harmonisering af reglerne inden for EU til gavn for institutioner og virksomheder med aktiviteter på tværs af EU’s grænser.

Valget af forordning som det retlige instrument tilsigter en høj grad af harmonisering. Tilsynet vurderer imidlertid, at det kan vise sig meget vanskeligt at sikre en ensartet databeskyttelsesregulering af mange forskellige sektorer i 27 EU-lande ved en generel forordning, der som det foreliggende forslag indeholder mange retlige standarder.

Som nævnt vil forslaget på flere områder medføre en styrkelse af borgernes rettigheder mv. Der er imidlertid også visse punkter, hvor forslaget vil træde i stedet for danske regler med et højere beskyttelsesniveau, og den foreslåede regulering – som den foreligger nu – derfor må siges at medføre en dårligere retsstilling for borgerne. 

Endelig må det påpeges, at i forhold til såvel danske myndigheder og virksomheder som tilsynet vurderes forordningen samlet set at ville medføre en betydelig forøgelse af administrative byrder og ressourcebehov, jf. også nedenfor under pkt. 3.

I det følgende gives Datatilsynets mere specifikke kommentarer til en række af bestemmelserne i forslaget, idet det samtidig bemærkes, at yderligere analyse og afklaring synes påkrævet for at fastlægge den præcise rækkevidde af de foreslåede bestemmelser, jf. som også anført i Justitsministeriets grund- og nærhedsnotat, side 25 f.

3. Bemærkninger til bestemmelser i forordningsforslaget

3.1. Anvendelsesområdet

Forordningen inkluderer dataansvarlige, der ikke er etableret i Danmark eller EU, når de behandler oplysninger om personer bosiddende i EU, f.eks. i forbindelse med udbud af varer eller tjenester til sådanne registrerede i Unionen.

I Artikel 29-gruppens udtalelse er det bl.a. foreslået, at det tydeliggøres, at udbud af varer eller tjenester også omfatter gratis tjenester, hvor den registrerede i realiteten betaler for tjenesten ved at afgive sine personoplysninger.

Det er endvidere påpeget i Artikel 29-gruppens udtalelse (s. 18f), at anvendelsen af princippet om ”one-stop shop” (artikel 51, stk. 2) bør overvejes i forhold til situationer omfattet af det udvidede anvendelsesområde.

Datatilsynet skal endvidere anbefale, at det indgår i de videre overvejelser om udvidelse af anvendelsesområdet, hvordan tilsynsmyndigheder i praksis kan håndhæve forordningen over for virksomheder uden for EU.

3.2. Definitioner

3.2.1. Registerbegrebet og forholdet til juridiske personer

Hos danske myndigheder og virksomheder findes sagsmapper og sagsakter, som er struktureret efter bestemte kriterier, men som falder uden for regulering i den gældende persondatalov. Dette skyldes tilkendegivelserne i forarbejderne til persondataloven, hvorefter manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke er omfattet af registerbegrebet.

Som eksempler kan nævnes papirbaserede personale- og kundemapper, der kan indeholde dokumenter mv. produceret over en længere årrække – dvs. fra før man foretog elektronisk databehandling.

Efter forslaget er det ikke længere overladt til medlemslandene at præcisere registerbegrebet, således som det er tilfældet med det gældende databeskyttelsesdirektiv, jf. direktivets betragtning 27.

Af betragtning 13 i det foreliggende forslag fremgår, at beskyttelsen af fysiske personer bør være teknologineutral og ikke afhænge af den anvendte teknik. Endvidere anføres, at ”[B]eskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, hører ikke under denne forordnings anvendelsesområde.”

Spørgsmålet om afgrænsning af anvendelsesområdet i forhold til manuelle (papirbaserede) sagsakter og samlinger af sagsakter under den nuværende regulering har i praksis været rejst over for Datatilsynet i en del sager. I lyset af, at der nu foreslås en regulering i en forordning, finder Datatilsynet det helt centralt, at spørgsmålet om eventuel anvendelse af forordningens regler på strukturerede manuelle sagsmapper – eksempelvis personale- og kundemapper samt patientjournaler – afklares som led i forhandlingerne på EU-niveau.

Selv om mange virksomheder og myndigheder i dag hovedsageligt benytter elektronisk databehandling, findes der fortsat en stor mængde manuelle sagsmapper på arkiv hos myndighederne, og dette gør sig formentlig også gældende hos virksomhederne. I forhold til den gældende regulering i den danske persondatalov vil anvendelse af forslagets bestemmelser på sådanne manuelle sagsmapper bl.a. indebære, at der er indføres en indsigtsret i manuelle (papirbaserede) sager hos private virksomheder, som ikke findes i dag.

Hvis de strukturerede manuelle sagsmapper fuldt ud omfattes af reguleringen i såvel den offentlige som den private sektor, vil dette medføre et øget ressourceforbrug hos alle parter: myndigheder, virksomheder og Datatilsynet.

Datatilsynet finder det noget uklart, om forordningen tænkes anvendt på juridiske personer i videre omfang end det gældende direktiv. Rækkevidden af betragtning 12 bør således afklares. Endvidere må den danske oversættelse af betragtningen efter tilsynets vurdering være forkert. 

3.2.2. Genetiske og biometriske data

I forslaget introduceres definitioner af henholdsvis genetiske og biometriske data.

Datatilsynet finder, at begge definitioner bør analyseres nærmere, og beskrivelsen præciseres, hvis de skal indgå i forordningen.  De forekommer meget omfattende/brede og har samtidig et betydeligt indbyrdes overlap, hvilket får betydning i forhold til behandlingsbetingelserne, jf. artiklerne 6 og 9. Biometriske data som eksempelvis fingeraftryk er hidtil blevet anset som almindelige, ikke-følsomme oplysninger, men vil efter tilsynets vurdering tillige være omfattet af den foreslåede definition på genetiske data og dermed skulle behandles som en følsom oplysning efter den foreslåede artikel 9.

3.2.3. Helbredsoplysninger

Den foreslåede definition af helbredsoplysninger er meget omfattende – navnlig når den sammenholdes med betragtning 26. Datatilsynet finder umiddelbart, at der ikke er grundlag for at udvide begrebet som foreslået.

3.2.4. Hovedvirksomhed

Der henvises til udtalelsen fra Artikel 29-gruppen, s. 10, om behovet for at præcisere definitionen.

3.2.5. Andre forhold

I forhold til de foreslåede definitioner i artikel 4, litra 15 (virksomhed), 16 (koncern) og 18 (barn) bør det efter Datatilsynets opfattelse overvejes, hvorvidt det er hensigtsmæssigt i forordningen at medtage definitioner af forhold, som må formodes at være defineret i andre generelle regelsæt.

Datatilsynet finder det uhensigtsmæssigt, at ”controller” og ”processor” i den danske udgave er oversat til ”registeransvarlig” og registerfører”. Disse begreber signalerer, at der alene er tale om en regulering af registre.   

3.3. Interesseafvejning i offentlig sektor

I artikel 6, stk. 1, litra f), om den såkaldte interesseafvejningsregel indgår i sidste punktum en undtagelse fra reglen, således at den ikke gælder for den behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

Hvis offentlige myndigheder ikke har mulighed for at anvende interesseafvejningsreglen som behandlingshjemmel, rejser det efter Datatilsynets opfattelse en række problemstillinger i forhold til gældende dansk praksis.

Offentlige myndigheder anvender i en række situationer interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7, som behandlings- og videregivelseshjemmel. Af eksempler kan nævnes: offentliggørelse af medarbejderoplysninger på internettet, offentliggørelse af afgørelser og postlister samt kontrolforanstaltninger i forhold til ansatte. Reglen har endvidere betydning i tilfælde, hvor spørgsmål om behandling af personoplysninger opstår som følge af bestemmelser i kollektive aftaler og overenskomster. 

3.5. Betingelser for samtykke

Datatilsynet finder, at rækkevidden af artikel 7, stk. 4, sammenholdt med betragtning 34 bør afklares, da betragtning 34 oplister konkrete eksempler på, at samtykke ikke kan betragtes som gyldigt behandlingsgrundlag. Tilsynet gør opmærksom på, at gældende praksis efter persondataloven ikke er forenelig hermed.

3.6. Behandling af et barns personoplysninger

I den foreslåede artikel 8 indføres en aldersgrænse på 13 år i forhold til børns mulighed for på egen hånd at samtykke til direkte tilbud om informationssamsfundstjenester.

Datatilsynet er enig i, at internettet og andre former for digitale services kan give anledning til særlige problemstillinger i forhold til børn og unge mennesker. Det bør imidlertid overvejes og afklares, hvilken konsekvens en særregel som den foreslåede vil have for andre områder, hvor der opstår spørgsmål om børns retsstilling i forhold til behandling af personoplysninger, jf. herved også forslaget om at indsætte en generel definition af ”barn”. Datatilsynet har i praksis behandlet spørgsmål om eksempelvis børns selvstændige ret til indsigt og meddelelse efter reglerne om oplysningspligt. 

3.7. Private virksomheders behandling af oplysninger om strafbare forhold

Datatilsynet finder, at konsekvenserne af artikel 9, stk. 2, litra j), bør afklares i relation til privates behandling af oplysninger om strafbare forhold. Herunder bør det overvejes, om bestemmelsen giver virksomhederne mulighed for at foretage behandling af disse oplysninger i samme omfang som i dag.

3.8. Behandling, der ikke muliggør identifikation

Datatilsynet finder den foreslåede præcisering i artikel 10 meget nyttig.

3.9. Elektronisk meddelelse af indsigt

I forhold til de foreslåede regler i artikel 12, stk. 2, og artikel 15, stk. 2, om, at elektronisk anmodning om indsigt skal besvares elektronisk, skal Datatilsynet pege på behovet for datasikkerhed ved besvarelse af indsigtsanmodninger. Herunder bl.a. sikring af, at oplysningerne ikke udleveres eller fremsendes til uvedkommende.

3.10. Ret til at blive glemt og ret til sletning

Det er Datatilsynets vurdering, at artikel 17 bør underkastes en nøje analyse som også påpeget i Artikel 29-gruppens udtalelse

Datatilsynet skal i den forbindelse også opfordre til, at rækkevidden af artikel 17, stk. 8, overvejes. Efter gældende regler, herunder arkivlovgivningen, forudsættes der opbevaret dokumentation, herunder personoplysninger, for sags-behandlingen i forbindelse med en borgers anmodning om at blive glemt. Spørgsmålet er, om den foreslåede artikel 17, stk. 8, lægger op til, at sådan dokumentation ikke må opbevares.

3.11. Dataportabilitet

De foreslåede regler om dataportabilitet i forslagets artikel 18 giver en bredt formuleret ret til den registrerede til at få kopi af oplysninger, der er genstand for behandling, udleveret fra den dataansvarlige.

I Datatilsynets praksis er borgeren i en række tilfælde selv anset for dataansvarlig for de oplysninger, som han eller hun vælger at lade behandle i en tjeneste. Det kan f.eks. være dokumenter, som en borger overfører til sine elektroniske mapper i e-boks, eller billeder mv., som borgeren har valgt at placere i et online album eller i en cloud-løsning. Her vil borgerens ret til dataportabilitet efter tilsynets umiddelbare vurdering ikke følge af de foreslående regler.

Området for reglerne synes derimod at være alt muligt andet og synes umiddelbart at have et betydeligt overlap med retten til indsigt.

Datatilsynet går umiddelbart ud fra, at den dataansvarlige virksomhed eller myndighed i en række tilfælde fortsat vil have hjemmel til at behandle de personoplysninger, som den registrerede efter artikel 18, stk. 1 og 2, har fået kopi af. I givet fald bør dette tydeliggøres, og forholdet til ”retten til at blive glemt” bør overvejes.

3.12. Øget ansvar til de dataansvarlige

I forslagets afsnit 2 findes – startende med artikel 22 – en række bestemmelser, som må antages at medvirke til en forbedret databeskyttelse, hvilket Datatilsynet bifalder.

3.13. Datasikkerhed

Efter den danske persondatalov har Justitsministeriet adgang til at fastsætte nærmere regler om de fornødne sikkerhedsforanstaltninger i bekendtgørelsesform. Dette er sket for den offentlige sektor i sikkerhedsbekendtgørelsen1 , der bl.a. indeholder en bestemmelse i § 4, hvorefter Datatilsynet har adgang til at komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger.

Efter forslaget har Kommissionen efter artikel 30, stk. 3, kompetence til at vedtage delegerede retsakter og efter artikel 30, stk. 4, adgang til om nødvendigt at vedtage gennemførelsesretsakter.

Datatilsynet skal opfordre til, at man fra dansk side overvejer hensigtsmæssigheden af, at kompetencen med hensyn til disse forhold tillægges Kommissionen. Det bør i den forbindelse sikres, at tilsynet ikke afskæres fra at stille konkrete krav til datasikkerheden via henstillinger eller lignende.

3.14. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

Efter artikel 31, stk. 1, i forslaget anmelder den dataansvarlige ved brud på persondatasikkerheden uden unødig forsinkelse og om muligt senest 24 timer – efter at denne er blevet bekendt med det – bruddet på persondatasikkerheden til tilsynsmyndigheden. Anmeldelsen til tilsynsmyndigheden ledsages af en begrundelse, hvis den ikke er indgivet inden for 24 timer.

Efter Datatilsynets opfattelse er det væsentligste ikke at få anmeldt et sikkerhedsbrud til tilsynet, men at den dataansvarlige tager behørigt affære og gør det nødvendige for at afbøde konsekvenserne af sikkerhedsbruddet. De skridt, der umiddelbart kan være påkrævede, kan være at påse, at data bliver slettet eller evt. afhentet/returneret fra uberettigede modtagere, at data slettes fra internet, herunder fra søgemaskiner, samt eventuelt – afhængigt af den konkrete situation – at sørge for en hurtig underretning af berørte personer. Dertil kommer de langsigtede skridt med henblik på at sikre, at situationen ikke gentager sig.

Ved at gøre underretning til tilsynsmyndigheden til det primære opstår der efter Datatilsynets opfattelse tvivl om, hvorvidt ansvaret for at tage hånd om situationen overlades til tilsynsmyndigheden, således at ingen umiddelbar reaktion fra tilsynsmyndigheden kan opfattes som om, at den dataansvarlige ikke behøver at foretage sig yderligere.

Datatilsynet finder således, at reglerne for den dataansvarliges håndtering af sikkerhedsbrud har fået en meget uheldig udformning i det foreliggende forslag.

Hertil kommer, at når alle brud på persondatasikkerheden – også små og relativt ubetydelige – skal anmeldes til Datatilsynet, vil det kræve et stort ressourceforbrug hos tilsynet at håndtere og i et vist omfang sagsbehandle disse anmeldelser. Der henvises herved tillige til tilsynets udtalelse af 12. marts 2012 om den foreløbige vurdering af de økonomiske konsekvenser for Datatilsynet af reformpakken om databeskyttelse. Som anført heri indebærer forslaget behov for ressourcer til et stående beredskab – formentlig i døgndrift.

Datatilsynet skal opfordre til, at det helt klart kommer til at fremgå, at det er den dataansvarlige, som har ansvaret for håndteringen af et sikkerhedsbrud, at håndtering, herunder meddelelse til evt. berørte registrerede, er det primære, og at en anmeldelsesordning i forhold til tilsynsmyndigheden kun omfatter de mere alvorlige sikkerhedsbrud og ikke berører den dataansvarliges ansvar til at agere i situationen.

Der henvises i den forbindelse til udtalelse nr. 1/2009 fra Artikel 29-gruppen, vedtaget 10. februar 2009, om forslagene om ændring af direktiv 2002/58/EF om databeskyttelse og elektronisk kommunikation (e-databeskyttelsesdirektivet), afsnit 2. Herudover indeholder Artikel 29-gruppens udtalelse, s. 16, bemærkninger om problemstillinger i forbindelse hermed.

Datatilsynet skal endvidere opfordre til, at forholdet til princippet om at undgå selvinkriminering afklares.

3.15. Konsekvensanalyse vedrørende databeskyttelse og forudgående godkendelse

Bestemmelserne i artikel 33 og 34 indfører en ny model for forudgående vurdering af behandlinger, der kan indebære nærmere beskrevne specifikke risici.

Datatilsynet ser som udgangspunkt positivt på den foreslåede model, hvor der skal gennemføres en konsekvensanalyse vedrørende databeskyttelse, når der er tale om nærmere beskrevne former for behandling, som kan indebære risici.

Tilsynet lægger imidlertid vægt på, at der ikke indføres en godkendelsesordning, hvor Datatilsynet skal have alle konsekvensanalyserne forelagt.

Datatilsynet skal derfor foreslå, at man fra dansk side arbejder for at få artikel 34, stk. 6, ændret, således at det klart fremgår, at de udformede konsekvensanalyser kun skal indgives til tilsynet, når tilsynet anmoder om dette, eller når analysen viser, at behandlingen indebærer store konkrete risici – i sidstnævnte tilfælde udløser dette høring efter artikel 34, stk. 2, litra a.

3.16. Databeskyttelsesansvarlige

I forordningens artikel 35 lægges der op til, at alle offentlige myndigheder, virksomheder med flere ansatte end 250 samt virksomheder, der har overvågning af registrerede som kerneaktivitet, skal udpege databeskyttelsesansvarlige. Disse personer skal medvirke til virksomhedens eller den offentlige myndigheds overholdelse af forordningen.

Datatilsynet bekendt er erfaringerne med ordninger med databeskyttelsesansvarlige positive i såvel Tyskland som Sverige og Norge. Tilsynet ser derfor positivt på den foreslåede ordning.

3.17. Datatilsynet

3.17.1. Forslaget til forordning indeholder adskillige bestemmelser, der berører tilsynets opgavevaretagelse, medfører nye opgaver og forpligtelser, og vil nødvendiggøre ændringer i tilsynets organisering mv. I udtalelsen af 12. marts 2012 til Justitsministeriet om den foreløbige vurdering af de økonomiske konsekvenser har Datatilsynet omtalt en række af de elementer, som påvirker tilsynets opgavevaretagelse. I det følgende fremhæves enkelte elementer – uden at der herved er tale om en udtømmende gennemgang af de bestemmelser, der forventes at medføre ændringer for tilsynet.

I forhold til tilsynsopgaver, som er beskrevet bl.a. i artikel 52, har Artikel 29-gruppen bl.a. påpeget, at det bør fremgå udtrykkeligt, at tilsynene har mulighed for at udføre inspektioner.

Herudover er det bl.a. fremhævet, at tilsynene bør være i stand til at være selektive med henblik på at være effektive – de bør selv kunne definere deres prioriteter og kunne starte sager af egen drift uanset forpligtelserne til samarbejde, gensidig bistand og sammenhæng.

Artikel 29-gruppen har herefter forslag om opblødning af formuleringer med henblik på at overlade mere til tilsynsmyndighedernes egen bestemmelse. Datatilsynet kan tilslutte sig Artikel 29-gruppens synspunkter.

Hvis tilsynsmyndigheden skal kunne udnytte sine ressourcer bedst muligt, bl.a. for at tilgodese hensynet til flest mulig borgere, er det efter Datatilsynets opfattelse nødvendigt, at retsgrundlaget giver tilsynsmyndighederne den fornødne fleksibilitet og mulighed for prioritering i forhold til den konkrete opgavevaretagelse.

3.17.2. Hvad angår bestemmelserne om bøder har Artikel 29-gruppen ligeledes (s. 24) et ønske om, at tilsynene får et manøvrerum (”a margin of discretion”), når de beslutter sig for at pålægge en bøde. Datatilsynet er enig heri.

Under alle omstændigheder vil den foreslåede forpligtelse for tilsynet til at udstede administrative bøder og formentlig varetage opfølgningen heraf nødvendiggøre dedikerede personaleressourcer til håndhævelsesopgaver, jf. herved også tilsynets udtalelse af 12. marts 2012.

3.17.3. Tilsynet bemærker, at selv om forslaget afskaffer den hidtil kendte anmeldelsespligt, indebærer forslaget en række bestemmelser (jf. artikel 34) om pligt til forudgående godkendelse fra eller forudgående høring af tilsynsmyndigheden. Dette gælder bl.a. i forhold til visse tredjelandsoverførsler.

Datatilsynet opfordrer til, at man i det videre arbejde med disse regler har princippet om ”accountability” i fokus, og at man fra dansk side arbejder for ikke at bebyrde virksomheder og myndigheder unødigt, herunder f.eks. ved at udvide forpligtelsen til at forelægge sager for tilsynet, f.eks. i forbindelse med internationale dataoverførsler.

3.18. Formaliseret samarbejde mellem datatilsynene

Der lægges i forslagets artikel 55 op til, at tilsynene skal udføre aktiviteter på anmodning fra et andet tilsyn.

Bestemmelsen i artikel 56 indebærer, at tilsynene skal gennemføre fælles undersøgelsesopgaver, fælles håndhævelsesforanstaltninger og andre fælles aktiviteter.

Det er Datatilsynets erfaring, at aktiviteter af denne karakter er meget ressourcekrævende. Tilsynet finder derfor, at det nøje bør overvejes, hvilke fælles aktiviteter der skal være tale om, og hvilket omfang aktiviteterne skal have.

3.19. Sammenhængsmekanismen

3.19.1. I en række tilfælde vil de nationale datatilsyn ikke kunne træffe afgørelse eller give bindende retningslinjer uden forinden at have iagttaget reglerne om sammenhængsmekanisme, som involverer forelæggelse for Det Europæiske Databeskyttelsesråd (i det følgende databeskyttelsesrådet).   Dette gælder dels de i artikel 58, stk. 2, nævnte tilfælde, dels har enhver tilsynsmyndighed, databeskyttelsesrådet og Kommissionen ret til at kræve en sag underlagt sammenhængsmekanismen. Databeskyttelsesrådet skal inden en uge beslutte, om det vil afgive udtalelse, og skal vedtage udtalelsen inden en måned. For Kommissionens adgang til at vedtage en udtalelse om de sager, som er rejst, gælder en 10-ugers frist (artikel 59), og i den periode må den nationale tilsynsmyndighed tilsyneladende ikke træffe afgørelse i sagen.

3.19.2. Datatilsynet bemærker, at bestemmelserne i artikel 58 må antages at have et ganske bredt anvendelsesområde. Eksempelvis vedrører § 58, stk. 2, litra a) foranstaltninger, der skal have retsvirkning, og som ”omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af deres adfærd.”

Danske virksomheder må antages at udbyde varer og tjenester til registrerede i flere medlemsstater. Datatilsynet går endvidere ud fra, at dette også kan forekomme hos offentlige myndigheder, hvis de udformer løsninger til betjening af personer bosat uden for Danmark, eksempelvis inden for beskæftigelses- og udlændingeområdet.

Datatilsynet kan oplyse, at det svenske datatilsyn på baggrund af en analyse af sine egne sager i 2011 skønner, at det totalt for EU kan handle om op til 1.500 sager om året, som vil være omfattet af reglerne om sammenhængsmekanisme.  

Datatilsynet skal generelt opfordre til, at reglerne om Det Europæiske Databeskyttelsesråd overvejes nærmere i det videre arbejde, herunder hvilke sagstyper og spørgsmål der skal være omfattet af sammenhængsmekanismen, og hvilken rolle og kompetence Kommissionen skal have. Det forekommer således vidtgående, hvis Datatilsynets behandling af spørgsmål vedrørende internettjenester og -handel mv. skal være omfattet af denne mekanisme, og Kommissionen får beføjelse til at suspendere tilsynsmyndighedens foreslåede foranstaltning med den konsekvens, at tilsynet ikke må gennemføre foranstaltningen.

3.19.3. De i artikel 58, stk. 2, angivne frister på henholdsvis en uge for databeskyttelsesrådets beslutning om at afgive udtalelse og en måned for databeskyttelsesrådets vedtagelse af selve udtalelsen er efter Datatilsynets opfattelse meget korte. Dette skal ses i sammenhæng med, at en del af sagerne må antages også at rumme vanskelige vurderinger og kræve oversættelse af relevante dokumenter samt det forhold, at koordinering af fælles afgørelser mellem et større antal tilsynsmyndigheder i sig selv er en vanskelig proces.

Det forekommer Datatilsynet urealistisk, at databeskyttelsesrådet og de deltagende tilsynsmyndigheder på forsvarlig vis skal kunne håndtere alle de sager, som vil skulle forelægges, inden for de opstillede frister.

Som deltager i databeskyttelsesrådet må Datatilsynet for sit eget vedkommende udtrykke bekymring for, hvilke ressourcer det vil kræve at skulle deltage på kvalificeret vis i det fælles arbejde.

3.20. Det Europæiske Databeskyttelsesråd – organisering mv.

Datatilsynet bemærker, at databeskyttelsesrådet ikke kun består af de uafhængige datatilsyn, men også af en repræsentant fra Kommissionen. Databeskyttelsesrådets formand skal omgående underrette Kommissionen om alle aktiviteter i databeskyttelsesrådet, og Kommissionen får ret til at anmode data-beskyttelsesrådet om at udføre opgaver og kan sætte frister for, hvornår data-beskyttelsesrådet skal yde rådgivning efter anmodning fra Kommissionen, jf. artikel 66.

Som nævnt ovenfor finder Datatilsynet, at der er grund til at overveje Kommissionens rolle nærmere. Koordineringsprocedurerne – de såkaldte sammenhængsmekanismer – må efter Datatilsynets opfattelse indrettes således, at det alene er de uafhængige datatilsyn, som sikrer den ensartede anvendelse af reglerne.

Herudover er der efter Datatilsynets opfattelse behov for at overveje databeskyttelsesrådets kompetencer i forhold til de nationale datatilsyns kompetencer og i forhold til adgangen til at indbringe Datatilsynets afgørelser for domstolene efter grundlovens § 63.

Det samme gælder spørgsmålet om, hvordan national lovgivning på forskellige områder skal håndteres i forbindelse med sammenhængsmekanismen og databeskyttelsesrådet. Der henvises herved også til Artikel 29-gruppens udtalelse, s. 21.

3.21. Klageadgang og retsmidler over for nationale tilsynsmyndigheder

Forslagets artikel 73 indeholder regler om klageadgang til tilsynsmyndigheden. Som påpeget af Artikel 29-gruppen, jf. udtalelsen s. 21, forekommer det ikke hensigtsmæssigt, at registrerede og organer, sammenslutninger m.v. kan indgive klage i enhver medlemsstat. Datatilsynet finder, at det bør afgrænses nærmere i selve forordningen, hvilken tilsynsmyndighed en klage indgives til.

Forslaget indeholder også bestemmelser, som giver den registrerede mulighed for at gøre retsmidler gældende over for nationale tilsynsmyndigheder (artikel 74).

Datatilsynet finder, at den foreslåede bestemmelse i artikel 74. stk. 2, er vidtgående i forhold til at regulere tilsynsmyndighedens sagsbehandling, arbejdstilrettelæggelse og nødvendige prioritering af sager, der erfaringsmæssigt er af vidt forskellig karakter. Datatilsynet mener, at bestemmelsen bør overvejes nøje i det videre forløb.

Det samme gælder forslagets artikel 74, stk. 4, hvor der lægges op til, at hvis en registeret berøres af en afgørelse fra en tilsynsmyndighed i en anden medlemsstat, kan den registrerede anmode tilsynsmyndigheden i sin opholdsstat om at lægge sag an mod den tilsynsmyndighed, der i første omgang har truffet afgørelsen. Datatilsynet kan hermed henvise til de synspunkter, som fremgår af Artikel 29-gruppens udtalelse, s. 25.

3.22. Udstedelse af delegerede retsakter

I forslaget tillægges Kommissionen i flere bestemmelser kompetence til at vedtage såkaldte delegerede retsakter.

Efter Datatilsynets opfattelse må det tages i betragtning, at selv om Kommissionen er uafhængig i forhold til medlemsstaterne, er Kommissionen ikke en uafhængig databeskyttelsesmyndighed.

Databeskyttelseslovgivningen er indrettet med kompetence hos en række uafhængige datatilsyn, hvorved området adskiller sig væsentligt fra andre områder, hvor der er tillagt Kommissionen centrale kompetencer.

Tilsynet skal derfor opfordre til, at det for hvert punkt, hvor Kommissionen tillægges kompetence, overvejes, om dette er hensigtsmæssigt.

I den forbindelse må det bl.a. tages i betragtning, at delegerede retsakter i traktatens2 artikel 290 er beskrevet som ikke-lovgivningsmæssige retsakter, der udbygger eller ændrer visse ikke-væsentlige elementer i den lovgivningsmæssige retsakt.

Tilsynets vurdering er, at en række af de områder, hvor der efter forslaget tillægges kompetence til at udstede delegerede retsakter, på ingen måde kan anses for ikke-væsentlige. Der er tale om områder, hvor der jævnligt fastsættes retningslinjer nationalt, enten i form af bestemmelser i særlovgivning, der præciserer i forhold til persondatalovens overordnede regler, eller som led i Datatilsynets praksis.

4. Forholdet mellem forordningen og gældende regler

4.1. Justitsministeriet har anført i grundnotatet, at forordningsforslaget berører forhold, der har relevans for en række retsområder.

Det fremgår endvidere, at en konsekvens af forslaget bl.a. vil være, at den regulering, der følger af lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven) – samt andre love, bekendtgørelser mv., der vedrører behandling af personoplysninger – efter omstændighederne vil skulle ophæves eller ændres i overensstemmelse med ordlyden af den endelige forordning.

I grundnotatet bemærkes det samtidig, at forordningsforslaget indeholder en række bestemmelser, hvorved medlemsstaterne på konkrete områder overlades beføjelse til – under overholdelse af forordningen – at fastsætte nærmere regler om behandling af personoplysninger, jf. bl.a. pkt. 2.10 i grundnotatet, som omhandler forordningens kapitel IX.

I kapitel IX findes en bestemmelse, som giver medlemsstaterne adgang til under visse betingelser f.eks. at fastsætte regler om behandling af personoplysninger om helbredsforhold til brug for patientbehandling eller for historiske, statistiske eller videnskabelige forskningsformål.

Kapitlet indeholder endvidere regler om medlemsstaternes adgang til – under overholdelse af forordningen – at vedtage specifikke bestemmelser om behandling af personoplysninger i forbindelse med ansættelsesforhold og regler om behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål.

Herudover indeholder kapitlet en bestemmelse om, at medlemsstaterne –under overholdelse af forordningen – kan vedtage specifikke regler om forholdet mellem tilsynsmyndighedernes undersøgelsesbeføjelser og nationale tavshedspligtsregler.

Endvidere indeholder kapitlet en bestemmelse om kirkers og religiøse sammenslutningers adgang til at opretholde gældende regler af omfattende karakter om behandling af personoplysninger under forudsætning af, at reglerne bringes i overensstemmelse med forslaget.

Den endelige fastlæggelse af, hvilke love der vil være behov for at ophæve eller ændre, vil ifølge grundnotatet finde sted i samarbejde med de berørte ressortministerier. 

4.2.1. Datatilsynet bemærker, at der også i selve persondataloven er etableret særlig national regulering. Det gælder f.eks. vedrørende kreditoplysningsbureauer, retsinformation, forskning og statistik, personnumre og behandling af personoplysninger i optagelser fra tv-overvågning.

Datatilsynet har endvidere i forbindelse med høringer over lovforslag og bekendtgørelser gennem årene set et ganske stort antal bestemmelser i anden lovgivning, som i forhold til persondatalovens regler fraviger eller præciserer mulighederne for at behandle personoplysninger.

Hertil kommer de gældende (og kommende) EU-retsakter, hvor der forekommer fravigelser i forhold til såvel persondataloven som databeskyttelses-direktivet. Eksempelvis har tilsynet for nylig besvaret en høring om et forslag til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked. Heri indeholder en artikel (artikel 15) selvstændige sikkerhedskrav, og Datatilsynet har opfordret til, at det afklares, om denne træder i stedet for sikkerhedskravene efter persondataloven og på sigt det kommende retsgrundlag for databeskyttelse.

4.2.2. I en del af de danske love, hvor der ændres eller præciseres i forhold til persondataloven, sker dette netop som led i gennemførelse af EU-lovgivning. Datatilsynet skal derfor pege på, at der kan være behov for også at afklare forholdet mellem forordningen og anden EU-regulering, herunder såvel forordninger som direktiver og de nationale love, der gennemfører disse.

4.2.3. Hvad angår de danske særlovbestemmelser, der ikke gennemfører EU-lovgivning, kan bl.a. nævnes en række hjemler til kontrolsamkøring, til offentliggørelse af kontrolresultater og til videregivelse af oplysninger i forbindelse med digitale løsninger.

En stor del af de danske særbestemmelser må antages at være præciseringer, der er foretaget inden for rammerne af databeskyttelsesdirektivet.

Fordelen ved sådanne regler kan være dels at fastslå, at en behandling kan ske, således at brugerne ikke er henvist til at fortolke de generelle regler i persondataloven i deres daglige administration, dels at fastslå, at en given databehandling ikke bare kan ske, men skal ske, f.eks. en pligtmæssig videregivelse af personoplysninger.

Samtidig kan udtrykkelige bestemmelser i love og bekendtgørelser give større gennemsigtighed i forhold til de registrerede. Medfører en bestemmelse således en tilstrækkelig forudsigelighed for borgeren med hensyn til, at der vil ske en given behandling af oplysninger om den pågældende, kan dette overflødiggøre den individuelle underretning, som ellers kræves efter persondatalovens regler om oplysningspligt.

Datatilsynet finder, at der så tidligt som muligt – og før den danske holdning til forordningsforslaget endeligt fastlægges – bør foretages en grundig analyse af forholdet til anden lovgivning. 

5. Afsluttende bemærkninger

Som nævnt indledningsvis synes yderligere analyse og afklaring nødvendig for at fastlægge det præcise indhold af forslagets mange og detaljerede bestemmelser. Datatilsynet bidrager gerne hertil i det videre forløb.

Med hensyn til de økonomiske konsekvenser af den fremsatte reformpakke på databeskyttelsesområdet uddyber Datatilsynet gerne den foreløbige vurdering, som tilsynet gav i udtalelsen af 12. marts 2012.

 

1 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

2Traktaten om Den Europæiske Unions Funktionsmåde