Retsudvalget 2010-11 (1. samling)
REU Alm.del Bilag 107
Offentligt
924662_0001.png
924662_0002.png
924662_0003.png
924662_0004.png
924662_0005.png
924662_0006.png
924662_0007.png
924662_0008.png
924662_0009.png
924662_0010.png
Lovafdelingen
Dato:Kontor:Sagsnr.:Dok.:
18. november 2010Statsretskontoret2010-7614-0030OTE40148

GRUND- OG NÆRHEDSNOTAT

vedrørende meddelelse fra Kommissionen om en global metode til

beskyttelse af personoplysninger i Den Europæiske Union

Resumé

Meddelelsen fastlægger Kommissionens metode til en modernisering afEU-retlige regler vedrørende beskyttelse af personoplysninger og angi-ver en række databeskyttelsesretlige emner, som Kommissionen har tilhensigt at undersøge nærmere. Kommissionen har til hensigt i 2011 atfremkomme med et konkret forslag til en revision af de nuværende reglerom databeskyttelse, herunder databeskyttelsesdirektivet. Det forventes, atmeddelelsen vil blive forelagt på rådsmødet (retlige og indre anliggen-der) den 2.-3. december 2010 til en orienterende drøftelse.

1.

Baggrund

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (per-sondataloven) er der fastsat generelle regler om behandling af personop-lysninger for offentlige myndigheder og den private sektor.Persondataloven er først og fremmest baseret på Europa-Parlamentets ogRådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer iforbindelse med behandling af personoplysninger og om fri udveksling afsådanne oplysninger (databeskyttelsesdirektivet).Kommissionen afgav den 4. november 2010 en meddelelse om en globalmetode til beskyttelse af personoplysninger i EU. Formålet med medde-lelsen er at fastlægge Kommissionens metode til modernisering af deEU-retlige regler vedrørende beskyttelse af personoplysninger på alleområder, hvor EU agerer, især på baggrund af de udfordringer, som glo-balisering og ny teknologi skaber, således at man fortsat kan sikre fysiskepersoner et højt beskyttelsesniveau med hensyn til behandling af person-oplysninger.
Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]
De i meddelelsen angivne mål vil danne grundlag for yderligere drøftel-ser med de øvrige EU-institutioner og andre interessenter og skal seneremunde ud i konkrete forslag og foranstaltninger. Kommissionen har såle-des til hensigt i 2011 at fremkomme med et konkret forslag til en revisionaf de nuværende generelle regler om databeskyttelse, herunder databe-skyttelsesdirektivet. Andre foranstaltninger, f.eks. tilskyndelse til selvre-gulering og muligheden for EU-datasikkerhedsmærkning, vil også bliveundersøgt. I anden omgang vil Kommissionen vurdere behovet for at til-passe andre retlige instrumenter til de nye generelle regler for databeskyt-telse.Det danske retsforbeholdKommissionen peger i meddelelsen på TEUF artikel 16 som retsgrundla-get for nye EU-regler om behandling af personoplysninger.Meddelelsen fra Kommissionen vedrører bl.a. behandling af personop-lysninger, som medlemsstaterne foretager under udøvelsen af aktiviteter,der er omfattet af TEUF 3. del, afsnit V, kap. 4 eller 5 (retligt samarbejdei straffesager og politisamarbejde).Ifølge artikel 2 i protokollen om Danmarks stilling, der er knyttet til Lis-sabontraktaten, er ingen af de foranstaltninger, der er vedtaget i henholdtil TEUF 3. del, afsnit V, bindende for eller finder anvendelse i Danmark.Det følger af protokollens artikel 2 a, at den nævnte bestemmelse ligele-des finder anvendelse i forbindelse med de regler, der er fastsat på grund-lag af TEUF artikel 16 og vedrører medlemsstaternes behandling af per-sonoplysninger under udøvelsen af aktiviteter, der er omfattet af TEUF 3.del, afsnit V, kap. 4 eller 5.

2.

Indhold

2.1. Generelt

2.1.1.

Det fremgår af meddelelsen, at der fra forskellige sider er peget påen række områder med problemer og specifikke udfordringer i relation tildatabeskyttelse.Der er således peget på, at det er nødvendigt at klarlægge og præcisere,hvordan databeskyttelsesprincipperne skal anvendes på ny teknologi, så-ledes at det sikres, at personoplysninger rent faktisk beskyttes effektivt,uanset hvilken teknologi der anvendes ved databehandlingen, og at de
2
dataansvarlige er fuldt ud bevidste om, hvilke konsekvenser ny teknologihar for databeskyttelse (håndteringaf konsekvenserne af ny teknologi).Endvidere er der peget på, at der er en utilstrækkelig harmonisering afmedlemsstaternes lovgivning om databeskyttelse (størrevægt på databe-skyttelse som led i det indre marked).Der er desuden peget på, at den stigende outsourcing af databehandling –ofte til lande uden for EU – er forbundet med flere problemer, og at in-ternationale dataoverførsler bør gøres enklere og mindre besværlige(håndteringaf globaliseringen og forbedring af internationale dataover-førsler).Der er også peget på, at databeskyttelsesmyndighederne skal spille envigtigere rolle med henblik på at forbedre håndhævelsen af databeskyt-telsesreglerne (enbedre institutionel ordning til effektiv håndhævelse afdatabeskyttelsesreglerne).Endelig er der peget på nødvendigheden af et overordnet instrument, derfinder anvendelse på databehandlingsprocesser i alle sektorer og på allepolitiske områder i EU, således at der skabes en integreret metode og op-nås en beskyttelse, der er ensartet, konsekvent og effektiv (øgetsammen-hæng i retsreglerne om databeskyttelse).

2.1.2.

Med henblik på at håndtere de ovennævnte udfordringer må derefter Kommissionens opfattelse udvikles en såkaldt global og sammen-hængende metode, der kan sikre, at retten til beskyttelse af personoplys-ninger respekteres både i og uden for EU.Kommissionen peger herved på, at der med Lissabontraktaten findes detfornødne retsgrundlag (TEUF artikel 16) til at skabe globale og sammen-hængende EU-regler om beskyttelse af fysiske personer i forbindelsemed behandling af personoplysninger og om fri udveksling af sådanneoplysninger.Formålet med meddelelsen er at fastlægge Kommissionens metode tilmodernisering af EU-retlige regler vedrørende beskyttelse af personop-lysninger på alle de områder, hvor EU agerer. Kommissionen peger på enrække hovedformål med den globale metode til databeskyttelse, herunderen række emner som Kommissionen har til hensigt at undersøge nærme-re.
3

2.2. Nærmere om hovedelementerne i Kommissionens meddelelse om

en global metode til beskyttelse af personoplysninger i Den Europæi-

ske Union

2.2.1. Styrkelse af fysiske personers rettigheder

Fysiske personer skal nyde passende beskyttelse i enhver situationKommissionen vil overveje, hvordan man kan sikre, at databeskyttelses-reglerne anvendes på sammenhængende vis, under hensyntagen til dennye teknologis indvirkning på fysiske personers rettigheder og frihedsret-tigheder og målet om at sikre fri udveksling af personoplysninger i detindre marked.Øget gennemsigtighed for den registreredeKommissionen vil overveje at indføre et generelt princip om gennemsig-tighed i behandlingen af personoplysninger i EU-reglerne. Desuden vilKommissionen overveje at pålægge dataansvarlige specifikke forpligtel-ser, herunder over for børn, med hensyn til, hvilke informationer de skalgive, og på hvilken måde disse skal gives. Kommissionen vil endvidereoverveje at udfærdige en eller flere EU-standardformularer ("erklæringerom beskyttelse af personoplysninger"), som skal anvendes af dataansvar-lige. Kommissionen vil endelig undersøge, hvordan der i de generelleretsregler kan indføres en generel underretningspligt ved persondatasik-kerhedsbrud, herunder hvem der skal underrettes og kriterierne for, hvor-når underretningspligten indtræder.Øget kontrol over egne personoplysningerKommissionen vil undersøge, hvordan princippet om dataminimeringkan styrkes. Desuden vil Kommissionen undersøge, hvordan man kangive bedre muligheder for, at fysiske personer rent faktisk kan udøve de-res ret til adgang, berigtigelse, sletning og blokering af personoplysnin-ger (f.eks. ved at indføre frister for svar på anmodninger herom, ved attillade, at rettigheder kan udøves via internettet eller ved at knæsætteprincippet om, at adgang til personoplysninger skal være gratis).Kommissionen vil endvidere undersøge, hvordan man kan tydeliggøreden såkaldte "ret til at blive glemt", dvs. fysiske personers ret til at fåslettet personoplysninger, så de ikke længere kan databehandles, når deikke længere er nødvendige til legitime formål (det er eksempelvis tilfæl-det, når databehandlingen er betinget af den fysiske persons samtykke,4
når vedkommende trækker sit samtykke tilbage, eller når lagringsperio-den er udløbet).Endelig vil Kommissionen undersøge, hvordan de registreredes rettighe-der kan udbygges ved at sikre "dataportabilitet", dvs. fysiske personersudtrykkelige ret til at fjerne egne personoplysninger (eksempelvis fotoseller en liste over venner) fra et program eller tjeneste og derefter, så vidtdet er teknisk muligt, portere dem til et andet program eller tjeneste, udenat dataansvarlige kan modsætte sig det.OplysningsarbejdeKommissionen vil undersøge, om det er muligt at medfinansiere oplys-ningsaktiviteter via EU's budget. Endvidere vil Kommissionen undersø-ge, om der er behov og mulighed for at indføje en forpligtelse til oplys-ningsaktiviteter på dette område.Sikring af informeret og frivilligt samtykkeKommissionen vil undersøge, hvordan reglerne om samtykke kan tyde-liggøres og styrkes.Beskyttelse af følsomme oplysningerKommissionen vil overveje, om andre kategorier af oplysninger enddem, der følger af det gældende EU-retlige retsgrundlag, bør betragtessom "følsomme oplysninger", f.eks. genetiske data. Endvidere vil Kom-missionen overveje yderligere at afklare og harmonisere betingelserne forat tillade behandling af kategorier af følsomme oplysninger.Mere effektive retsmidler og sanktionerKommissionen vil overveje at give databeskyttelsesmyndigheder, organi-sationer i civilsamfundet og andre organisationer, der repræsenterer deregistreredes interesser, mulighed for at anlægge sag ved de nationaledomstole og vurdere behovet for at styrke de gældende bestemmelser omsanktioner, f.eks. ved at operere eksplicit med strafferetlige sanktioner itilfælde af alvorlige krænkelser af databeskyttelsen, for at gøre bestem-melserne mere effektive.
5

2.2.2. Større vægt på databeskyttelse som led i det indre marked

Styrket retssikkerhed og lige vilkår for registeransvarligeKommissionen vil undersøge, hvordan der kan opnås yderligere harmo-nisering af databeskyttelsesreglerne på EU-niveau.Færre administrative byrderKommissionen vil undersøge forskellige muligheder for at forenkle ogharmonisere det nuværende anmeldelsessystem, herunder for at udfærdi-ge et fælles EU-registreringsskema.Præcisering af reglerne om, hvilket lands regler der skal anvendes og afmedlemsstaternes ansvarKommissionen vil undersøge, hvordan de gældende bestemmelser om,hvilket lands regler der skal anvendes (lovvalgsreglerne), kan revideresog præciseres med henblik på at styrke retssikkerheden og tydeliggøremedlemsstaternes ansvar for at anvende databeskyttelsesreglerne, samt isidste ende give de registrerede i EU-medlemsstater samme grad af be-skyttelse, uanset hvor den dataansvarlige fysisk befinder sig.Større ansvar til den dataansvarligeMed henblik på at øge de dataansvarliges ansvar vil Kommissionen un-dersøge muligheden for at gøre det obligatorisk for den dataansvarlige atudpege en databeskyttelsesansvarlig og harmonisere reglerne for de data-beskyttelsesansvarliges opgaver og beføjelser, men samtidig overveje,hvor bagatelgrænsen bør gå for at undgå unødige administrative byrder,navnlig for små virksomheder og mikrovirksomheder. Kommissionen vilendvidere undersøge mulighederne for at lade retsreglerne omfatte enforpligtelse for de dataansvarlige til at foretage en konsekvensanalyse,for så vidt angår databeskyttelse i bestemte tilfælde, eksempelvis når føl-somme oplysninger behandles, eller når arten af databehandling på andenmåde indebærer særlige risici, herunder særlig når der anvendes specifik-ke teknologier, mekanismer eller procedurer, deriblandt ”profiling” ellervideoovervågning. Endelig vil Kommissionen undersøge muligheder foryderligere at fremme anvendelsen af teknologier til beskyttelse af privat-livets fred og mulighederne for at gennemføre begrebet "Privacy by De-sign" i praksis.6
Større selvregulering og mulighed for EU-certificeringsordningerKommissionen vil undersøge, hvordan man kan tilskynde yderlige tilselvregulering, herunder aktivt fremme adfærdskodekser. Kommissionenvil endvidere undersøge, om det er muligt at oprette EU-certificeringsordninger for at beskytte privatlivets fred og datasikkerhe-den.

2.2.3. Revision af databeskyttelsesreglerne inden for politisamarbej-

det og det retlige samarbejde i straffesager

Kommissionen vil navnlig overveje at udvide anvendelsen af de generel-le databeskyttelsesregler til områderne politisamarbejde og retligt samar-bejde i straffesager, herunder databehandling i den enkelte medlemsstat,samtidig med, at der om nødvendigt foretages harmoniserede begræns-ninger i nogle af de databeskyttelsesrettigheder, som fysiske personerhar, eksempelvis vedrørende adgang til oplysninger eller gennemsigtig-hedsprincippet.Endvidere vil Kommissionen undersøge behovet for at indføje specifikkeog harmoniserede bestemmelser i de nye generelle regler for databeskyt-telse, f.eks. vedrørende databeskyttelse i forbindelse med behandling afgenetiske data til strafferetlige formål eller skelnen mellem de forskelligekategorier af registrerede (vidner, mistænkte osv.) inden for politisamar-bejde og retligt samarbejde i straffesager.Kommissionen vil i 2011 iværksætte en høring af alle interessenter om,hvordan man bedst kan revidere det nuværende system med tilsyn indenfor politisamarbejde og retligt samarbejde i straffesager, således at dersikres et effektiv og konsekvent tilsyn med databeskyttelse i alle EU-institutioner, -organer, -kontorer og -agenturer.Kommissionen vil endelig vurdere behovet for på længere sigt at tilnær-me de eksisterende forskellige sektorspecifikke EU-regler for politisam-arbejde og retligt samarbejde i straffesager til de nye generelle regler fordatabeskyttelse. Som eksempler på sektorspecifikke regler peger Kom-missionen bl.a. på de regler, der vedrører Europol, Eurojust, Schengen-informationssystemet og Told-informationssystemet.
7

2.2.4. Databeskyttelsens globale dimension

Præcisering og forenkling af reglerne for internationale dataoverførslerKommissionen agter at undersøge, hvordan de nuværende procedurer iforbindelse med internationale dataoverførsler kan forbedres og strøm-lines, herunder i form af retligt bindende instrumenter og "bindende virk-somhedsregler", så EU's metode i forhold til tredjelande og internationaleorganisationer bliver mere ensartet og sammenhængende. Kommissionenvil endvidere undersøge, hvordan Kommissionens procedure til vurde-ring af, om databeskyttelsesniveauet i et tredjeland eller en internationalorganisationer er tilstrækkeligt, kan tydeliggøres, herunder hvordan dekrav og kriterier, der anvendes ved vurderingerne, kan udspecificeres.Endelig vil Kommissionen undersøge, hvordan kerneelementer vedrø-rende EU's databeskyttelse, der kan anvendes ved alle typer af internatio-nale aftaler, kan defineres.Fremme universelle principperKommissionen vil fortsat fremme udviklingen af høje retlige og tekniskedatabeskyttelsesstandarder i tredjelande og internationalt. Kommissionenvil endvidere arbejde for princippet om gensidighed i beskyttelsen i EU'sinternationale foranstaltninger, herunder særlig for så vidt angår registre-rede, hvis data overføres fra EU til tredjelande. For at nå dette mål vilKommissionen øge samarbejdet med tredjelande og internationale orga-nisationer såsom OECD, Europarådet, De Forenede Nationer og regiona-le organisationer. Kommissionen vil nøje følge standardiseringsorganers(f.eks. CEN og ISO) udvikling af internationale tekniske standarder, sådet sikres, at de supplerer retsreglerne hensigtsmæssigt, og at de vigtigstedatabeskyttelseskrav rent faktisk gennemføres effektivt

2.2.5. En stærkere institutionel ordning til bedre håndhævelse af da-

tabeskyttelsesreglerne

Kommissionen vil undersøge, hvordan de nationale databeskyttelses-myndigheders status og beføjelser kan styrkes, tydeliggøres og harmoni-seres i de nye retsregler, herunder hvordan begrebet "fuld uafhængighed"kan gennemføres fuldt ud. Desuden vil Kommissionen undersøge, hvor-dan samarbejdet og koordineringen mellem databeskyttelsesmyndighe-derne kan forbedres. Endelig vil Kommissionen undersøge, hvordan detkan sikres, at EU's databeskyttelsesregler anvendes mere konsekvent i8
hele det indre marked. Dette kan indebære en styrkelse af den rolle, somde nationale tilsynsførende for databeskyttelse spiller, en bedre koordine-ring af deres arbejde via artikel 29-gruppen (som bør blive et mere åbentorgan), og/eller indførelse af en mekanisme, der under Kommissionensledelse kan sikre konsekvens i det indre marked.

3.

Gældende dansk ret

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger medsenere ændringer (persondataloven) er der fastsat generelle regler om be-handling af personoplysninger for offentlige myndigheder og den privatesektor.Persondataloven indeholder således bl.a. regler om, hvornår behandlingaf personoplysninger i almindelighed må finde sted, ligesom loven inde-holder særlige regler vedrørende behandling af særlige typer oplysninger(f.eks. regler om personnumre) og områder (f.eks. regler om kreditoplys-ningsbureauer). Loven indeholder desuden en række bestemmelser omrettigheder for de personer, der behandles oplysninger om, f.eks. reglerom den registreredes ret til information, indsigelse, indsigt, berigtigelseog sletning af personoplysninger. Endvidere er fastsat regler om datasik-kerhed i forbindelse med behandling af personoplysninger. Persondatalo-ven indeholder også bestemmelser om Datatilsynets kontrol med behand-ling af personoplysninger, der foretages for offentlige myndigheder ogden private sektor, ligesom der i loven er fastsat regler om pligt til at fo-retage anmeldelse til Datatilsynet i forbindelse med bestemte typer be-handling af personoplysninger.Persondataloven er først og fremmest baseret på Europa-Parlamentets ogRådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer iforbindelse med behandling af personoplysninger og om fri udveksling afsådanne oplysninger (databeskyttelsesdirektivet).

4.

Lovgivningsmæssige og statsfinansielle konsekvenser

4.1. Lovgivningsmæssige konsekvenser

Kommissionen meddelelse lægger op til, at Europa-Parlamentets og Rå-dets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer iforbindelse med behandling af personoplysninger og om fri udveksling afsådanne oplysninger (databeskyttelsesdirektivet) skal erstattes af nye EU-regler om databeskyttelse.9
Dette vil indebære en ændring af persondataloven, der som nævnt oven-for under pkt. 3 er baseret på databeskyttelsesdirektivet. Endvidere månye EU-regler om databeskyttelse antages at kunne få betydning for an-den lovgivning, der indeholder bestemmelser om behandling af person-oplysninger.Som anført under pkt. 1 vil eventuelle EU-regler (i medfør af TEUF arti-kel 16) om behandling af personoplysninger, som foretages af medlems-staterne under udøvelsen af aktiviteter, der er omfattet af TEUF 3. del,afsnit V, kap. 4 eller 5, ikke være bindende for eller finder anvendelse iDanmark.

4.2. Statsfinansielle konsekvenser

Det kan ikke på nuværende tidspunkt vurderes, om nye EU-regler omdatabeskyttelse vil have statsfinansielle konsekvenser.

5.

Høring

Der er ikke foretaget høring vedrørende sagen.

6.

Nærhedsprincippet

Det kan ikke på nuværende tidspunkt vurderes, om nye EU-regler omdatabeskyttelse vil rejse spørgsmål i relation til nærhedsprincippet.

7.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-lemsstaters holdning til forslaget.

8.

Foreløbig generel dansk holdning

Fra dansk side er man overordnet positiv over for Kommissionens med-delelse, hvori der peger på en række relevante problemstillinger inden fordatabeskyttelsesretten.

9.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-tingets Retsudvalg.
10