Kommunaludvalget 2011-12
KOU Alm.del Bilag 149
Offentligt
1140538_0001.png
1140538_0002.png
1140538_0003.png
1140538_0004.png
1140538_0005.png
1140538_0006.png
1140538_0007.png
1140538_0008.png
1140538_0009.png
1140538_0010.png
1140538_0011.png
1140538_0012.png
BILAG
KL’s bemærkninger til de enkelte artikler iKommissionens forslag til generel forord-ning om databeskyttelseKapitel 1 – Generelle bestemmelserArtikel 2, stk. 2, litra d og præambel nr. 15:Det bør yderligere uddy-bes i præambel nr. 15, hvad der skal forstås ved ”rent personlige eller fami-liemæssige aktiviteter”, herunder om fx private foreningers behandling afoplysninger er omfattet af undtagelsen.Artikel 3:Det bør præciseres direkte i artiklen, at forordningens territorialeanvendelsesområde også omfatter registeransvarliges aktiviteter uden forUnionen, såfremt de omfatter behandling af oplysninger om registreredebosiddende i Unionen. Præciseringen fremgår af præamblens nr. 19, menfremgår ikke tydeligt af selve forordningens ordlyd.Artikel 4, nr. 1 og præambel nr. 23 og 24:Det er efter KL’s opfattelseuklart, i hvilke situationer id-numre, lokaliseringsdata, online-id’er skal be-tragtes som personoplysninger, jf. formuleringen af artikel 4, nr. 1 sammen-holdt med præambel nr. 23 og 24, som henholdsvis indikerer, at der kanvære tale om personoplysninger (nr. 23) henholdsvis konkluderer, at id-numre, lokaliseringsdata, online id’er ikke under alle omstændigheder skalbetragtes som personoplysninger (nr. 24).Artikel 4, nr. 8 og præambel nr. 25 og 32:Et samtykke skal fremovervære ”udtrykkeligt”. Af præambel nr. 25 fremgår, at et udtrykkeligt samtyk-ke gives ”ved hjælp af en passende metode,….” Det bør præciseres, omdette indebærer, at de registeransvarlige vil blive forpligtede til at gøre mere,herunder eventuelt indkøbe systemer til håndtering af samtykke ved brug afselvbetjeningsløsninger, end der stilles krav om i dag. Specifikke krav omafkrydsningsfelt på hjemmesider, hvor borgeren skal give specifikt samtykke
Den 27. juni 2012
Jnr 01.22.00 K04Sagsid 000241966
Ref LPJ/ABN[email protected]Dir 3370 3160
Weidekampsgade 10Postboks 33702300 København S
Tlf 3370 3370Fax 3370 3371
www.kl.dk
1/12
til behandlingen, vil betyde væsentlige udviklingsomkostninger for kommu-nerne.Desuden fremgår det af præamblens nr. 32, at den registrerede skal have en”garanti” i forbindelse med afgivelse af sit samtykke. Her bør det ligeledespræciseres, hvilke administrative konsekvenser kravet har for kommunerne,herunder om det betyder krav om indkøb af særlige garantifunktionalitetertil indarbejdelse i kommunernes it-systemer.Artikel 4, nr. 12 og præambel nr. 26:Det bør sikres ved formuleringenaf definitionen i artikel 4, nr. 12, vedrørende helbredsoplysninger sammen-holdt med præamblens nr. 26, at Datatilsynets praksis, hvorefter offentligemyndigheder via almindelig sms og e-post kan sende borgerne aftalepåmin-delser og servicebeskeder, som indeholder fortrolige og/eller følsommeoplysninger, fx påmindelser om aftaler på sygehuse, misbrugscentre mv.,kan opretholdes. Der henvises til Datatilsynets meddelelse af 13. september2010 om offentlige myndigheders kommunikation med borgerne via sms.
Kapitel II PrincipperArtikel 5, litra a:Denne bestemmelse indebærer et nyt krav om, at per-sonoplysninger skal behandles ”…..loyalt og på en gennemsigtig måde”.Det er efter KL’s opfattelse uklart, hvad der ligger heri, og hvilke krav detstiller til kommunerne som registeransvarlige.Artikel 5, litra f:Den registeransvarlige skal ”for hver behandlingsaktivitetpåvise overensstemmelse med denne forordning”. Det fremgår ikke klart,om dette indebærer en ny, administrativ opgave for kommunerne, ligesomdet ikke fremgår klart, hvordan den registeransvarlige skal påvise overens-stemmelse med forordningen.Artikel 6, stk. 1, litra f:Offentlige myndigheder kan ifølge forslaget ikkeanvende bestemmelsen i artikel 6, stk. 1, litra f, hvorefter en behandling kanvære lovlig ud fra en konkret interesseafvejning. Af præamblen nr. 38 frem-går som begrundelse herfor følgende:”Det er lovgiver, der i henhold til lovgivnin-gen fastsætter retsgrundlaget for offentlige myndigheders behandling af oplysninger, ogderfor bør dette retsgrundlag ikke gælde for den behandling, offentlige myndigheder for e-tager som led i udførelsen af deres opgaver.”Det fremgår ikke klart, om denne bestemmelse vil begrænse kommunernesmulighed for at behandle oplysninger i situationer, hvor behandlingen ikkenødvendigvis sker for at overholde en retlig forpligtelse eller som led i o f-fentlig myndighedsudøvelse. Det er navnlig tilfældet, når kommunerne be-handler oplysninger som arbejdsgiver.
2
Som eksempel kan nævnes, at Datatilsynet har udtalt, at offentlige myndig-heder og private arbejdsgivere med hjemmel i den tilsvarende bestemmelse ipersondatalovens § 6, stk. 1, nr. 7, kan offentliggøre oplysninger om me d-arbejderes navn, stillingsbetegnelse, arbejdsområde, ansættelsesår mv. på enhjemmeside uden samtykke fra medarbejderen, se bl.a. Datatilsynets udta-lelse, j.nr. 2000-216-0002. Et andet eksempel er Datatilsynets udtalelse ved-rørende arbejdsgiveres mulighed for videregivelse af oplysninger om ansat-tes løn uden samtykke fra den ansatte, jf. Datatilsynets udtalelse j.nr. 2007-321-0047.KL ønsker på den baggrund, at det præciseres, at bestemmelsen i artikel 6,stk. 1, litra f ikke gælder ”for den behandling offentlige myndigheder fore-tager som led i udførelsen af opgaver, der henhører under offentlig myn-dighedsudøvelse”.Artikel 7 og præambel nr. 33 og 34:Det fremstår ikke klart, hvilken betydning artikel 7, stk. 3, sammenholdtmed præamblens nr. 33, hvoraf det fremgår, at samtykke skal kunne tilbage-trækkes uden, at det er til skade for den registrerede, vil få for dansk ret,herunder princippet om processuel skadevirkning, jf. bl.a. § 29 i forvalt-ningsloven.Det fremgår af artikel 7, litra 4, at samtykke ikke tilvejebringer et retsgrund-lag for behandling, hvis der er en klar skævhed mellem den registrerede ogden registeransvarlige. Det fremgår af præambel nr. 34, at dette navnlig ertilfældet, når den registrerede befinder sig i et afhængighedsforhold til denregisteransvarlige, bl.a. når arbejdsgiveren behandler personoplysninger omansatte som led i et ansættelsesforhold. Det fremgår videre, at der kun vilvære en skævhed, når den registeransvarlige er en offentlig myndighed, hvisden offentlige myndighed som følge af dens relevante offentlige beføjelserkan pålægge en forpligtelse, og samtykket ikke kan skønnes at være afgivetfrivilligt under hensyntagen til den registreredes interesser.KL finder det meget problematisk, at der skabes usikkerhed om, hvorvidten arbejdsgiver kan behandle oplysninger på grundlag af et samtykke fraden ansatte, ligesom KL finder, at den mulighed, arbejdsgiver i dag har forat indhente fx lægeerklæring og straffeattest med samtykke fra arbejdstag e-ren, skal bevares.KL finder det endvidere uhensigtsmæssigt, at der skabes uklarhed og tvivlom offentlige myndigheders mulighed for at behandle oplysninger pågrundlag af et samtykke fra borgeren, idet bemærkes, at det allerede af arti-kel 5 fremgår, at personoplysninger skal behandles lovligt og loyalt, ligesombehandlingen skal ske til legitime formål.
3
KL anbefaler på den baggrund, at det præciseres, at præambel nr. 33 ikkegælder for offentlige myndigheder, samt at præambel nr. 34 udgår. Endvide-re anbefaler KL, at der i artikel 7, stk. 4 tilføjes følgende ”Dette berørerikke en arbejdsgivers mulighed for at behandle oplysninger på grundlag af etsamtykke fra arbejdstageren eller offentlige myndigheders mulighed for atbehandle oplysninger på grundlag af et samtykke fra borgeren”.Artikel 8:KL antager, at ”informationssamfundstjenester” defineres på samme mådesom i e-handelslovens § 2, stk. 1, nr. 1, som »enhver tjeneste, der har etkommercielt sigte, og som leveres online (ad elektronisk vej over en visdistance) på individuel anmodning fra en tjenestemodtager«. KL har på denbaggrund ikke bemærkninger til bestemmelsen.Såfremt begrebet ”informationssamfundstjenester” kan omfatte offentliginformation, der ikke har kommercielt sigte, bør det sikres, at eventuelletjenester i form af anonym rådgivning til børn mv. fortsat kan ske udentilladelse fra forældrene. En sådan forståelse af begrebet vil desuden inde-bære meradministration for kommunerne, herunder særskilt behov for atkunne differentiere borgerne på personnumre. Ligeledes vil det betydemeradministration for kommunerne, såfremt kommunerne skal administre-re efter særlige EU-blanketter, jf. artikel 8, stk. 4, ved siden af kommuner-nes nuværende blanketter.Artikel 9:KL anbefaler, at det i artikel 9, stk. 2, litra b, præciseres, at behandling erlovlig, hvis den er nødvendig for overholdelsen af arbejdsretlige forpligtel-ser og specifikke rettigheder i bred forstand, herunder forpligtelser og re t-tigheder, der følger af kollektive overenskomster mv.KL anbefaler, at formuleringen af artikel 9, stk. 2, litra f, hvoraf det frem-går, at kun behandling, der er nødvendig for, at et retskrav kan gøres gæl-dende eller forsvares

ved en domstol

ændres, så formuleringen svarer tildet gældende direktiv, således at behandling er lovlig, ”hvis den er nødven-dig for, at et retskrav kan gøres gældende eller forsvares”. Således at detbliver tydeligt, at bestemmelsen fortsat omfatter offentlige myndighedersbehandling af oplysninger som led i myndighedsudøvelse.KL anbefaler endvidere, at det i artikel 9 eksplicit præciseres, at arbejdsgive-re kan indhente straffeattester.KL finder, at det bidrager til en problematisk uklar retstilstand, at Kommis-sionen får adgang til at vedtage delegerede retsakter, jf. artikel 9, stk. 3, med
4
henblik på nærmere fastlæggelse af undtagelserne fra forbuddet mod be-handling af de særligt følsomme oplysninger omfattet af artikel 9, stk. 1,samt kriterierne, betingelserne og de fornødne garantier for behandling afoplysningerne.
Kapitel III Den registreredes rettighederArtikel 11:Det er uklart, hvorvidt kravet om, at den registeransvarlige skal”fastsætte regler”, jf. artikel 11, stk. 1, indebærer nye administrative forplig-telser for den registeransvarlige.Artikel 12KL mener, at kommunerne med artikel 12, stk. 1, pålægges unødig merad-ministration ved, at kommunerne forpligtes til at udforme diverse procedu-rer og ordninger for anmodninger om berigtigelse eller sletning og indsigt,herunder pålægges pligt til at udvikle it-understøttelse af borgernes eventu-elle anmodninger.Omkostningerne forbundet med denne meradministration skal ses i lyset af,at de danske kommuner oplever, at borgerne, hvis de ønsker indsigt, anmo-der om aktindsigt efter forvaltningsloven og offentlighedsloven. Med andreord er bestemmelsen på samme måde som den nugældende anmeldelses-ordning med til at opbygge et bureaukrati, som ikke kommer borgerne tilgode.Artikel 14 og 15:Med forslaget til forordning vil den registeransvarlige skulle give borgerneflere oplysninger i forbindelse med opfyldelsen af henholdsvis informati-onspligt og indsigtsret, herunder bl.a. det tidsrum hvori oplysningerne beva-res. Artiklerne er således endnu et eksempel på de øgede administrative op-gaver, som forordningen vil pålægge kommunerne.Kommissionen kan fastlægge standardformularer og angive standardproce-durer bl.a. for den meddelelse, der er omhandlet i artikel 12, stk. 2, for deninformation den registeransvarlige skal give den registrerede, jf. artikel 14,stk. 8, samt for anmodninger om og meddelelse af indsigtsret, jf. artikel 15,stk. 4. Dette ønsker kommunerne ikke, da det både vil betyde omfattendeog dyre justeringer af den IT, der understøtter formularer, procedurer mv.Kommunerne står i dag selv for den nødvendige udvikling af formularer,blanketter mv., hvor alle relevante arbejdsgange som oftest tænkes sammeni én blanket ud fra et effektiviseringshensyn. At skulle administrere, heru n-der opbevare, journalisere og dokumentere særskilte standardformularer fraKommissionen vil uden tvivl betyde meradministration for kommunerne.Ligeledes er det tvivlsomt, om borgerne/de registrerede vil opleve det som
5
en forbedring at modtage flere forskellige blanketter, hvoraf nogle er udar-bejdet af Kommissionen.Artikel 17:Kommuner og andre offentlige myndigheder er normalt forpligtede til atopbevare sagsoplysninger, for at en sags forløb kan dokumenteres. Det føl-ger derfor af Datatilsynets praksis om sletning af oplysninger hos offentligemyndigheder, at oplysninger hos en kommune som udgangspunkt ikke kankræves slettet. KL lægger vægt på, at denne praksis kan opretholdes indenfor rammerne af artikel 17, stk. 3, litra d, hvoraf det fremgår, at den regi-steransvarlige ikke skal foretage sletning, hvis det er nødvendigt at bevareoplysningerne for at opfylde en retlig forpligtelse efter EU-retten eller eftermedlemsstatslovgivning.KL finder imidlertid, at det er nødvendigt få præciseret bestemmelsen, her-under navnlig artikel 17, stk. 1, litra b og c, hvorefter personoplysningerskal slettes, såfremt den registrerede tilbagetrækker sit samtykke eller gørindsigelse, samt artikel 17, stk. 4 og stk. 6, således at det sikres, at bestem-melsen ikke er til hinder for, at kommunerne kan opbevare oplysninger medhenblik på at kunne dokumentere en sags forløb.Endelig bemærkes, at kommunernes administrative opgaver øges i forbin-delse med krav til sletning efter artikel 17, stk. 3 sammenholdt med præam-bel nr. 54. KL er sådan set enig i behovet for at udvide sletningsforpligtel-sen til også at gælde offentliggjorte oplysninger på nettet. Imidlertid må KLpåpege, at også denne bestemmelse er med til at øge kommunernes admini-strative opgaver. Det samme gælder ”begrænsningsforpligtelsen” i stk. 4,samt underretningsforpligtelsen i stk. 6.Artikel 18:Kravet i artikel 18 om, at kommunerne skal kunne udlevereborgernes egne oplysninger i et særligt format, som den registrerede kananvende senere, må forventes at kræve omfattende ændringer i eksisterendeit-systemer, herunder selvbetjeningssystemer.Kommissionens ret til ved delegerede retsakter at specificere det elektroni-ske format og til at fastsætte nærmere regler for videregivelse af personop-lysninger, jf. artikel 18, stk. 3, vil desuden indebære, at ændringerne af it-systemerne kan blive særligt omfattende. Det er på den baggrund et forslag,der vil være administrativt meget dyrt og krævende.
6
Artikel 19:Retten til indsigelse gælder efter det nugældende direktiv ikke,hvis andet er bestemt i den nationale lovgivning, jf. artikel 14 i direktiv95/46/EF af 24. oktober 1995.Efter artikel 19 i forslaget til forordning gælder retten til indsigelse modbehandling af oplysninger efter bl.a. artikel 6, stk. 1, litra e, som omhandlerbehandling, der er henhørende under offentlig myndighedsudøvelse,”medmindre den registeransvarlige påviser vægtige legitime grunde til be-handlingen, der tilsidesætter den registreredes interesser eller grundlægge n-de rettigheder og frihedsrettigheder”.Det er efter KL’s opfattelse uhensigtsmæssigt, at der med formulering afartikel 19 sammenholdt med præamblen nr. 56, skabes uklarhed om, hvor-vidt kommunerne som varetager administrationen af en væsentlig del aflovgivningen af betydning for borgerne, må behandle oplysninger i overens-stemmelse med gældende dansk lovgivning, eller om borgerne kan gøreindsigelse efter artikel 19 med den virkning, at kommunerne ikke længeremå foretage behandling af de pågældende oplysninger. Der henvises i øvrigttil bemærkningerne til artikel 17 vedrørende offentlige myndigheders do-kumentationsforpligtelse.Artikel 20:KL finder det uhensigtsmæssigt, at der ikke direkte i forordningen hjemleskommunerne mulighed for at foretage profilering af personer som led i of-fentlig myndighedsudøvelse. KL lægger i den sammenhæng stor vægt på, atdet sikres, at kommunerne også efter en eventuel vedtagelse af forslaget tilforordning umiddelbart kan arbejde med profilering i forhold til vurderingaf arbejdsstyrken, sundhedsforanstaltninger m.v. På sundheds- og beskæf-tigelsesområdet arbejdes der eksempelvis med at følge borgere, der er udenfor arbejdsmarkedet. Hvis disse borgere bliver syge, hvis de fx. får en psy-kisk lidelse, regnes der på, hvor lang tid de pågældende borgere gennemsnit-ligt vil være uden for arbejdsmarkedet, og dermed fx. skal modtage kon-tanthjælp, i forhold til borgere, der ikke er syge.KL bemærker desuden, at det er uklart i hvilket omfang artikel 20, stk. 3,udelukker mulighed for at vedtage national lovgivning, der hjemler profile-ring i forhold til særlige kategorier af personoplysninger.Artikel 21:KL vil gerne gøre opmærksom på, at der er flere bestemmelser i personda-taloven, der efter KL’s opfattelse bør videreføres i national ret, hvis forord-ningen vedtages, og persondataloven dermed vil blive ændret eller ophævet,bl.a. persondatalovens § 30, stk. 1, om, at underretning til borgeren eventu-elt ikke skal ske ud fra en vurdering af hensynet til borgeren selv samt § 30,stk. 2, nr. 6, hvorefter offentlige myndigheders kontrol-, tilsyns- og regule-
7
ringsopgaver er undtaget fra oplysnings-/underretningspligten. Begge be-stemmelser er nødvendige af hensyn til en hensigtsmæssig administration.KL vil i øvrigt gerne inddrages i og bidrage til det lovgivningsarbejde, iform af ændring af gældende regler i persondataloven med tilhørende be-kendtgørelser, forvaltningsloven, sundhedslovgivningen, sociallovgivningenmv., der vil følge med en eventuel vedtagelse af en generel forordning omdatabeskyttelse.
Kapitel IV Registeransvarlig og registerfører

Artikel 22:

Det fremgår ikke tydeligt af artiklen, hvordan den registeransvarlige skal”påvise”, at behandlingen af personoplysninger sker i overensstemmelsemed forordningen. Det er uklart, om den registeransvarliges gennemførelseaf foranstaltningerne nævnt i stk. 2 er tilstrækkeligt.KL skal i øvrigt bemærke, at kravet om kontrolmekanismer, jf. artikel 22,stk. 3, er et udgiftsdrivende krav, ligesom det i er øvrigt uklart, hvem derskal udøve det skøn der afgør, om det vil være hensigtsmæssigt at indhenterevisorerklæringer.Artikel 24:KL er enig i behovet for at fastsætte muligheden for delt/fællesdataansvar.Artikel 28:I artikel 28 indføres nye krav om, at den registeransvarlige ogregisterføreren skal opbevare dokumentation for ”enhver behandling” afpersonoplysninger, de gennemfører. Bestemmelsen indeholder minimums-krav til, hvilke oplysninger dokumentationen skal indeholde. Denne doku-mentation skal stilles til rådighed for tilsynsmyndigheden efter anmodning.KL hilser det velkomment, at anmeldelsespligten, som er indeholdt i detnugældende direktiv 95/46/EF af 24. oktober 1995, ikke videreføres i for-slaget til den generelle forordning. KL anser det i den sammenhæng forbeklageligt og uhensigtsmæssigt, at Kommissionen indfører nye krav til do-kumentationen. Ved at stille sådanne krav til dokumentation for enhverbehandling opnås den forenkling, der var formålet med at afskaffe anmel-delsesordningen ikke.Det fremgår af kravene til dokumentationen, at de som minimum svarer tilde krav, der i dag gælder til en anmeldelses indhold. Samtidig udvides do-kumentationskravet til at gælde ”enhver behandling” I dag gælder alene etkrav om anmeldelse af behandlingen af fortrolige oplysninger, jf. personda-talovens § 44, stk. 1.
8
Set i lyset af at anmeldelsesordningen i dag alene er en bureaukratisk modeluden reel værdi for borgerne, der ikke anvender ordningen, er det KL´svurdering, at der ikke bør stilles nye, unødvendige og bureaukratiske krav tilkommunerne om dokumentation.KL ønsker derfor, at kommuner undtages fra kravet om dokumentation imedfør af artikel 28, stk. 4, alternativt at der som minimum indføres enbagatelgrænse, således at kravet om dokumentation alene gælder, når dersker behandling af følsomme oplysninger omfattet af artikel 9, stk. 1.Artikel 31:KL finder, at de omkostninger, der vil være forbundet med en ordning ved-rørende anmeldelse af brud på datasikkerheden, ikke står mål med de muli-ge gevinster, der måtte være forbundet med en sådan ordning. Det fore-kommer endvidere både urealistisk og uforsvarligt, at der inden for 24 timerskal laves en anmeldelse til tilsynsmyndigheden. Herudover er det efterKL’s opfattelse uproportionalt, at der etableres en anmeldelsesordning tiltilsynsmyndigheden, som omfatter krænkelse af alle typer af personoplys-ninger.KL anbefaler på den baggrund primært, at anmeldelsesordningen og der-med hele artikel 31 udgår af den generelle forordning. Subsidiært anbefalerKL, at artikel 31 ændres således, at forpligtelsen til at foretage anmeldelse tiltilsynsmyndigheden kun omfatter tilfælde, hvor der er sket sikkerhedsbrudmed hensyn til følsomme oplysninger omfattet af artikel 9, stk. 1.Artikel 32:KL erklærer sig overordnet enig i, at registrerede skal oplysesom eventuelle sikkerhedsbrud. Imidlertid må KL konstatere, at dette erendnu et eksempel på de øgede administrative opgaver, som forordningenpålægger kommunerne.Artikel 33:Efter KL’s opfattelse indebærer kravet om, at der skal gennemføres konse-kvensanalyser for de behandlinger, der indebærer specifikke risici for denregistreredes rettigheder mv. en unødig administrativ byrde.Uanset at det er forsøgt angivet i artikel 33, stk. 2, er det meget uklart,hvornår der skal gennemføres en konsekvensanalyse. At Kommissionenherudover i medfør af bestemmelsen får mulighed for at udstede delegerederetsakter, bidrager til den uklarhed, der er om, hvad der vil blive gældenderet.KL har tidligere i den tværoffentlige arbejdsgruppe vedrørende privacy iforbindelse med udarbejdelsen af publikationen: ”Retningslinjer til besky t-
9
telse af privatlivets fred i tværoffentlige digitaliseringsprojekter”, IT- ogTelestyrelsen, april 2010 påpeget, at udarbejdelsen af konsekvensanalyserbør være frivilligt. KL’s konklusion fra arbejdet i denne arbejdsgruppe var iøvrigt, at de administrative omkostninger forbundet med gennemførelse afkonsekvensanalyser ikke stod mål med gevinsterne herved.KL anbefaler på den baggrund, at bestemmelsen ændres, således at udarbej-delse af konsekvensanalyser bliver frivilligt.Artikel 35 – 37:KL er som udgangspunkt enig i, at ansvaret for datasikkerheden skal sikresorganisatorisk. KL finder imidlertid, at kommunerne løser opgaven vedrø-rende sikring af databeskyttelse mv. på hensigtsmæssigt måde inden forrammerne af persondatalovens § 41, stk. 3, og sikkerhedsbekendtgørelsensbestemmelser. KL finder på den baggrund, at forslaget i artikel 35 – 37 erudtryk for en alt for detaljeret regulering af den databeskyttelsesansvarligesstilling og hverv. Hertil kommer, at det databeskyttelsesansvarlige udpegesfor en periode på mindst to år og i den periode kan pågældende kun afske-diges, hvis vedkommende ikke længere opfylder betingelserne for at vareta-ge hvervet. Dette ser KL som en begrænsning af ledelsesretten, som KLsom arbejdsgiverorganisation ikke kan støtte.KL anbefaler derfor, at principperne i artikel 17 i det nugældende direktiv95/46/EF af 24. oktober 1995, videreføres for kommunerne, således at detfor så vidt angår kommunerne og offentligretlige organer overlades til med-lemsstaterne at iværksætte de fornødne tekniske og organisatoriske foran-staltninger vedrørende behandlingssikkerhed.
Kapitel V Videregivelse af personoplysninger til tredje-lande eller internationale organisationerArtikel 44:KL anbefaler, at formuleringen af artikel 44, stk. 1, litra e,hvoraf det fremgår, at videregivelse kan ske, hvis videregivelsen er nødven-dig for, at et retskrav kan gøres gældende eller forsvares

ved en domstol

ændres til ”videregivelsen er nødvendig for, at et retskrav kan gøres gæl-dende eller forsvares”. Der henvises til KL’s bemærkninger til artikel 9, stk.2, litra f.
10
Kapitel VIII – Klageadgang, ansvar og sanktionerArtiklerne 78 – 79:Efter KL’s vurdering vil der ifølge bestemmelserne kunne udstedes bødertil kommunerne, som er uforholdsmæssigt høje i forhold til forseelserneskarakter, herunder fx bøder på 250.000 EUR (1.875.000 kr.) for manglendeeller mangelfuld overholdelse af den registreredes rettigheder og bøder på1.000.000 EUR (7.500.000 kr.), hvis der ikke udpeges en databeskyttelsesan-svarlig.Ligeledes vurderer KL, at det høje bødeniveau vil være helt ude af trit medden måde kommunernes administration normalt plejer at blive sanktioneret,hvor pålæg og henstillinger plejer at være tilstrækkeligt. KL ønsker derfor,at bøderne ikke skal gælde for kommunerne, alternativt at bødeniveauet iforslaget til forordning generelt sættes ned for offentlige myndigheder.
Kapitel IX – Bestemmelser vedrørende specifikke data-behandlingssituationerArtikel 81:Af artikel 81, stk. 3, fremgår det, at der skal stilles ”garantier” iforbindelse med behandlingen af sundhedsoplysninger. De administrativekrav og konsekvenser i forhold til disse garantier fremgår ikke klart.Artikel 82I Danmark er arbejdsgivers behandling af persondata ikke underlagt speci-fik arbejdsretlig lovgivning, men er i det væsentlige baseret på kollektiveaftaler, ledelsesretten og samarbejdsudvalgssystemet.Der er i dag mulighed for ved kollektiv aftale at vedtage en mere vidtgåendebeskyttelse af personoplysninger. Arbejdsmarkedets parter har fx aftalt kravom længere varsling ved iværksættelse af kontrolforanstaltninger end dekrav, der fremgår af det gældende databeskyttelsesdirektiv.Forordningen giver mulighed for at ”vedtage specifikke bestemmelser” forbehandling af persondata i ansættelsesforhold ”under overholdelse af denneforordning” , men det er nødvendigt, at det i forordningens artikel 82 præ-ciseres, at dette også kan ske via kollektive overenskomster.Det anbefales på den baggrund, at formuleringen i artikel 82, stk. 1, ændrestil ”Under overholdelse af denne forordnings artikel 5 kan medlemsstaternevedtage specifikke bestemmelser ved lov eller ved kollektive aftaler, derregulerer behandlingen………”.
11
Artikel 83KL er imod forslaget til artikel 83, da forslaget ikke tager højde for arkivlo-vens bestemmelser, herunder bl.a. arkivlovens 75 års regel.Dette kombineret med, at Kommissionen har mulighed for at vedtage dele-gerede retsakter, jf. artikel 83, stk. 3, vil indebære, at Kommissionen vilkunne vedtage retsakter, der bl.a. erstatter arkivlovens 75 års regel samtindsigtsregler, der er mere vidtgående end de gældende danske arkivreglergiver mulighed for.
Kapitel X - Delegerede retsakter og gennemførelsesfor-anstaltningerArtikel 86:KL finder, at den adgang, Kommissionen ifølge forslaget tilforordning får til at udstede retsakter, hvor Kommissionen fastlægger krite-rier og betingelser i forhold til de enkelte bestemmelser i forordningen be-grænser det nationale råderum, ligesom det giver en høj grad af usikkerhedom, hvad der er og bliver gældende ret. Der henvises i øvrigt til KL’s be-mærkninger i det generelle høringssvar, samt til KL’s bemærkninger til deenkelte artikler.
12