PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del Bilag 364
Offentligt

NOTAT

Uddybning af KL´s holdning til EU’s

forordning om databeskyttelse

Baggrund

Den 29. august 2014

Sags ID: SAG-2014-04215

Dok.ID: 1900954

[email protected]

Direkte 3043 8254

Mobil 3043 8254

Weidekampsgade 10

Postboks 3370

2300 København S

www.kl.dk

Side 1/10

Europa-Kommissionen har foreslået, at det nuværende persondatadirektiv

skal opdateres som en forordning. Persondatadirektivet er i Danmark

implementeret via persondataloven.

Sagen er meget vigtig for kommunerne, som både behandler borgernes

persondata som myndighed og persondata som arbejdsgiver for de ca.

500.000 kommunalt ansatte.

Den hastige digitale udvikling, som er sket siden 1995, har givet

kommunerne helt nye muligheder for at yde borgerne bedre og hurtigere

service - ikke mindst via digital selvbetjening. Og for KL er det væsentligt,

at de nye muligheder ikke betyder dårligere sikkerhed omkring borgernes

data.

I dette holdningspapir kan du læse KL’s forslag til, hvordan borgernes og

medarbejdernes data kan sikres på en måde, hvor borgerne reelt oplever en

styrkelse af sikkerheden omkring deres data.

(Direktiv 95/46/EF)

PDF to HTML - Convert PDF files to HTML files

KL’s holdning – kort fortalt

For at hverdagen skal kunne fungere for de danske kommuner, er det KL´s

holdning, at forslaget til forordningen om databeskyttelse bør justeres

væsentligt. Ifølge KL er der særligt fem temaer, som kræver

opmærksomhed:

Forslaget til forordning gælder både den private og den offentlige

sektor og vil harmonisere databehandling i alle medlemslandene.

Det er uhensigtsmæssigt, da forordningsforslaget ikke tager højde

for den offentlige sektors særlige opgaver samt den i forvejen høje

grad af regulering af den offentlige sektors håndtering af persondata.

–

KL arbejder derfor for, at en kommende regulering sikrer den

nødvendige fleksibilitet for den offentlige sektor.

2. På det ansættelsesretlige område giver forslaget til forordning ikke

rum for den danske aftalemodel.

–

KL arbejder derfor for at sikre rum for den danske

aftalemodel.

3. Der lægges op til meget administrativt tunge regler, som ikke ser ud

til at tilføje værdi for borgerne i et omfang, der opvejer

omkostningerne.

–

KL arbejder derfor for, at der er en rimelig balance mellem

de nye administrative byrder og den datasikkerhed de nye

regler giver borgerne.

Der lægges op til meget høje bøder i forslaget til forordning.

– Det ønsker KL ændret og arbejder derfor for, at det skal være

op til medlemslandene at beslutte, hvilke sanktioner de

offentlige myndigheder pålægges.

5. Forslaget til forordning indeholder en lang række delegerede

retsakter og uklare formuleringer, som skaber utryghed og

usikkerhed for både borgere og myndigheder ift., hvad der er det

gældende regler.

– KL arbejder derfor for at sikre en klar lovtekst, der vil give

både myndigheder og borger større tryghed.

PDF to HTML - Convert PDF files to HTML files

De fem temaer uddybes i de følgende afsnit.

Tema 1 - Fleksibilitet for den offentlige sektor

KL’s holdning

er, at forordningsforslaget rammer uhensigtsmæssigt i

forhold til offentlige myndigheder og i forhold til det ansættelsesretlige

område, hvor hovedparten af de persondatabehandlinger, der foretages, er

rent nationale. Reglerne i forordningen, fx retten til at blive glemt, er i vidt

omfang udformet med henblik på at løse problemer, som omhandler

internethandel, sociale netværk og dataoverførsler på tværs af landegrænser,

hvor det er rigtigt, at en forordning, der gælder for alle virksomheder i EU,

vil være en hensigtsmæssig reguleringsform.

Virksomheder behandler persondata med henblik på at opnå profit.

Kommunerne indsamler persondata med henblik på at yde service til

borgerne og ansætte medarbejdere. Det følger af offentligretlige

grundsætninger, at kommuners behandling af oplysninger skal være saglig

og proportional.

I dansk lovgivning findes endvidere en række særregler, der regulerer den

offentlige sektors behandling af personoplysninger. Fx er behandling af

personnumre i dag reguleret i persondataloven - ligesom der også er en

særlig beskyttelse af oplysninger om væsentlige, sociale problemer og andre

private forhold, som ikke i forordningen er karakteriseret som følsomme

oplysninger. Der er ligeledes en række særlige regler i dansk lovgivning, der

regulerer behandling af personoplysninger på det sociale område og på

sundhedsområdet.

Europa-Parlamentet støtter Kommissionens forslag om en forordning.

Rådet har endnu ikke lagt sig fast på reguleringsform.

KL støtter

derfor den danske regering i, at det i en kommende regulering af

behandling af persondata skal sikres, at medlemslandene for den offentlige

sektor kan fastsætte nationale regler, der regulerer behandling af

personoplysninger på særlige områder.

KL foreslår

derfor, at den nødvendige fleksibilitet for den offentlige sektor

skal sikres, og KL mener, at den nødvendige fleksibilitet sikres bedst ved et

direktiv for den offentlige sektor. Det nuværende forordningsforslag er

målrettet den private sektor.

PDF to HTML - Convert PDF files to HTML files

Den offentlige sektor er i EU-landene meget forskelligt

opbygget, fx er det ikke alle som har et cpr-register. Det gør, at

der er store forskelle på, hvordan forordningen om

databeskyttelse vil ramme de enkelte medlemslande.

En forordning og et direktiv er to meget forskellige retlige

instrumenter. Kort sagt gælder en forordnings bestemmelser

direkte og umiddelbart i medlemslandene, uden at der skal

vedtages national lovgivning. Direktiver fastlægger som

udgangspunkt et mål, der skal nås, men det er overladt til

medlemslandene selv at bestemme form og midler til

gennemførelse af direktivet, fx om direktivet skal gennemføres

ved lov eller bekendtgørelse. Et direktiv vil derfor give

medlemslandene et større råderum i forhold til at tilpasse

lovgivningen de nationale forhold.

Tema 2 – sikre rum for den danske model

Hvis Kommissionens forslag til forordning vedtages, vil det være vanskeligt

at bevare den danske arbejdsmarkedsmodel, og der vil fx ikke ved kollektiv

aftale kunne vedtages en mere vidtgående beskyttelse af personoplysninger.

Endvidere vil det ikke være muligt at opretholde den måde, man håndterer

personoplysninger i ansættelsesforhold i dag.

Europa-Parlament har forsøgt at imødekomme arbejdsmarkedets parters

kritik af Kommissionens forordning og Europa-Parlamentets forslag åbner

derfor op for, at medlemsstaterne kan tillade, at der kan vedtages specifikke

bestemmelser vedrørende ansættelsesforhold i kollektive overenskomster.

Det fremgår dog samtidig, at det skal ske i overensstemmelse med

bestemmelserne i forordningen og under overholdelse af

proportionalitetsprincippet.

Derudover fremgår det af Parlamentets forslag, at hvis der vedtages

nationale bestemmelser vedrørende behandling af oplysninger i

ansættelsesforhold, skal disse bestemmelser leve op til en række

minimumsnormer.

Selvom det er positivt, at de kollektive overenskomster er nævnt, er det

KL’s holdning, at Europa-Parlamentets forslag er for uklart, og det er stadig

PDF to HTML - Convert PDF files to HTML files

usikkert, om arbejdsgiveres behandling af persondata i ansættelsesforhold

fortsat kan forhandles ved kollektive overenskomster.

KL mener,

Danmark skal have mulighed for at opretholde det kollektive

arbejdsretlige aftalesystem, som det kendes i dag. Det skal sikres, at

rammerne for behandling af personoplysninger i ansættelsesforhold kan

aftales ved kollektive overenskomster, således at arbejdsmarkedets parter

fortsat kan mere vidtgående beskyttelsesforanstaltninger.

Det er ligeledes meget væsentligt for KL, at arbejdsgiverens ledelsesret ikke

begrænses. KL lægger meget vægt på, at datasikkerheden sikres i

kommunerne, og KL er enig i, at det i nogle tilfælde kan være

hensigtsmæssigt - som det foreslås i forordningsforslaget - at ansætte en

databeskyttelsesansvarlig, men KL finder, at det bør være op til den enkelte

myndighed at beslutte, hvordan opgaven vedrørende databeskyttelse skal

organiseres.

KL foreslår

derfor, at det skal være frivilligt, om der skal ansættes en

databeskyttelsesansvarlig, ligesom KL ikke finder, at den

databeskyttelsesansvarliges opgaver skal reguleres i detaljer i en forordning.

KL foreslår endvidere, at det klart fremgår, at behandling af

personoplysninger kan ske på grundlag af et samtykke i ansættelsesforhold,

og at rammerne for behandling af oplysninger kan aftales ved

overenskomst.

En forordning vil betyde, at de aftaler, der i dag forhandles mellem

LO/DA og KL/KTO ikke vil kunne opretholdes. I dag kan

arbejdsmarkedets parter aftale at vedtage mere vidtgående

beskyttelsesforanstaltninger af personoplysninger end det, som er

angivet i det nuværende direktiv. Fx har arbejdsmarkedets parter via

KTO´s kontrolaftale aftalt krav om længere varsling ved

iværksættelse af kontrolforanstaltninger end de krav, som i dag

bliver udstukket af det nuværende databeskyttelsesdirektiv.

Tema 3 – reel datasikkerhed frem for mere administration

Formålet med forordningsforslaget er, at der skal være større sikkerhed

omkring borgernes data, sådan at borgerne oplever større tryghed ved at

overlade deres data til private og offentlige aktører.

Borgerne har allerede stor tiltro den offentlige sektors behandling af deres

data. KL mener derfor, at behovet for større datasikkerhed primært handler

PDF to HTML - Convert PDF files to HTML files

om den private sektor. Den offentlige sektor er allerede reguleret af en lang

række love, fx forvaltningsloven, cpr-loven og sundhedsloven, som sikrer,

at borgerne kan være trygge ved at overlade deres data til det offentlige.

Tal fra Danmarks Statistik viser, at 94 % af de danske

internetbrugere føler sig trygge ved at indsende blanketter eller

indtaste personlige oplysninger på de offentlige myndigheders

hjemmesider.

Derimod er det hver tredje internetbruger, som undlader at

indtaste personlige oplysninger på sociale eller professionelle

online netværkstjenester pga. utryghed i forhold til, hvad der

sker med deres data.

Samtidig er det KL´s holdning, at forordningsforslaget lægger op til samme

form for pseudodatasikkerhed som ”Cookie-direktivet”. Forordningen tager

udgangspunkt i tanken om, at jo flere oplysninger borgerne gives om

behandlingen af deres data, og jo flere gange borgerne skal give deres

samtykke -fx ved at klikke "ok" på en hjemmeside, jo tryggere føler

borgeren sig.

Fakta er, at borgerne springer de mange informationer om behandlingen af

deres data over - både på papirblanketter og i selvbetjeningsløsninger. Og at

klikke "ok" for at få adgang til fx en selvbetjeningsløsning blot gør borgeren

irriteret.

Når det samtidig er særdeles omkostningsfuldt for kommunerne at give

borgerne alle disse oplysninger uopfordret og indarbejde

samtykkefunktioner i alle selvbetjeningsløsninger, kan KL kun være

utilfredse med forordningens øgede oplysnings- og samtykkekrav.

I dag forventer borgerne tværtimod af den offentlige sektor, at når borgerne

én gang har afgivet oplysninger fx i forbindelse med en sag, så kan alle dele

af den offentlige sektor tilgå disse oplysninger og bruge dem i forbindelse

med fx en ny sag. I regi af den fællesoffentlige digitaliseringsstrategi

arbejdes der intenst på at tilvejebringe et sæt "grunddata" om borgere og

virksomheder, som alle offentlige myndigheder kan anvende i forbindelse

med deres sagsbehandling.

Forordningen understøtter ikke disse visioner, og dette skyldes i høj grad, at

EU-Kommissionen har glemt at indtænke, hvordan den offentlige sektor

arbejder. KL ønsker, at der skabes en balance mellem modernisering og

effektivisering af sektoren og et fælles ønske om sikkerhed omkring

borgernes data. Det er ikke nok, at Kommissionen har fokus på "den

PDF to HTML - Convert PDF files to HTML files

digitale økonomi" - "den effektive, digitale offentlige sektor" bør også

komme i spil.

Et andet eksempel er, at kommunerne på både beskæftigelsesområdet og

social- og sundhedsområdet bruger såkaldt profilering af borgerne for at

kunne hjælpe borgerne hurtigst muligt med at blive raske eller komme i

arbejde. Profilering (digital udarbejdelse af en profil på borgeren) medvirker

til at kunne give borgerne en individuel og målrettet indsats.

Forordningsforslaget lægger op til, at dette ikke skal være muligt i en form,

som er brugbar for kommunerne. Efter KL´s vurdering vil dette være et

væsentligt tilbageskridt for mulighederne for at modernisere og forbedre

kommunernes indsats for at hjælpe borgerne.

Når forordningsforslaget så oveni stiller krav om, at kommunerne bl.a. skal

udarbejde såkaldte "konsekvensanalyser" af deres it-systemer. Det er KL´s

erfaring, at disse ikke er de mange penge værd, som det vil koste

kommunerne at udarbejde disse analyser. Det er derfor på tide at efterlyse

"value for money".

At forordningen også kræver, at kommunerne skal opretholde indholdet i

den nugældende, effektløse anmeldelsesordning ved fortsat at skulle

udarbejde særskilt skriftlig dokumentation for alle behandlinger af

persondata gør ikke tingene bedre. Og nye krav til indretningen af

kommunernes it-systemer og blanketter giver heller ikke borgerne synligt

bedre datasikkerhed i en offentlig sektor, hvor brud på datasikkerheden sker

sjældent og alene skyldes menneskelig uagtsomhed.

KL vurderer,

at borgerne er meget trygge ved den offentlige sektors

behandling af deres data, og at forslaget til forordningen ikke i væsentlig

grad vil øge sikkerheden omkring borgernes data, men blot fordyre

kommunernes administration.

KL mener,

at vejen frem i stedet er mere uddannelse af de kommunale

medarbejdere, der behandler persondata som en del af deres arbejde. Idéen

om at have en databeskyttelsesansvarlig ansat til særskilt at holde fokus på

datasikkerheden i den enkelte myndighed synes KL også er en god idé. Blot

mener KL ikke, at dette skal være et krav, men at kommunerne skal have

mulighed for at organisere deres arbejde med datasikkerhed, som det passer

bedst til den enkelte kommunes organisation.

Forslaget til forordning vil besværliggøre og fordyre realiseringen af

potentialerne i den fællesoffentlige digitaliseringsstrategi særligt ift.

kommunikationen med borgerne, da kommunerne skal indrette deres it-

løsninger efter de ovenstående krav.

PDF to HTML - Convert PDF files to HTML files

KL foreslår

derfor, at kravene til behandlingen af borgernes data bliver

proportional med den øgede sikkerhed og den tryghed som borgerne vil

opleve.

Tema 4 - lavere bøder

Kommissionen foreslår dernæst et uforholdsmæssigt højt bødeniveau i

forordningen.

Det betyder, at de danske kommuner, hvis de laver fejl, og dermed ikke

overholder reglerne, vil kunne blive straffet med bøder på 250.000 EUR

(1.875.000 kr.), hvis reglerne om den registreredes rettigheder ikke

overholdes og bøder på 1.000.000 EUR (7.500.000 kr.), hvis der ikke

udpeges en databeskyttelsesansvarlig.

Europa-Parlamentet er også her enig med Kommissionen i, at de nationale

databeskyttelsesmyndigheder skal kunne give effektive sanktioner i tilfælde

af lovbrud. Europa-Parlamentet har både lempet sanktionerne ved at foreslå

brug af advarsler og periodiske revisioner, men også styrket sanktionerne

ved at foreslå bøder til virksomheder på 100.000.000 EUR eller 5 % af den

årlige omsætning.

KL mener,

at Kommissionen og Europa-Parlamentet har haft

internetgiganterne, de sociale medier og de store virksomheder, der benytter

borgernes data med henblik på profit, for øje med denne forordning. De

har således ikke taget højde for, at kommunerne indsamler borgernes data

for at hjælpe borgeren og i borgerens interesse - og ikke med profit for øje.

Samtidig er det vigtigt at understrege, at kommunerne ikke tjener penge på

eventuelle sikkerhedsbrud. Men hvis persondata ulovligt udnyttes for

kommerciel vinding skyld kan høje bøder give mening.

Det er yderst beklageligt, når der sker fejl i behandlingen af persondata og

der skal gøres alt for, at det ikke sker. Menneskelige fejl kan dog ikke helt

undgås. Det er derfor tvivlsomt, om et så højt bødeniveau vil give borgeren

en bedre sikkerhed for, at der ikke sker brud ved behandlingen af dennes

persondata.

KL foreslår

derfor, at sanktionerne lempes og tilpasses konsekvenserne af

de fejl, der eventuelt begås. KL foreslår desuden, at det bør være op til

medlemsstaterne selv at fastsætte sanktionerne ved brud på lovgivningen -

på samme måde som i det nugældende persondatadirektiv.

PDF to HTML - Convert PDF files to HTML files

Tema 5 – klarere regler

Kommissionen har i forslaget til forordningen givet sig selv bemyndigelse

til at udstede nye regler (delegerede retsakter) med krav til databeskyttelsen

efter forordningens vedtagelse. Helt praktisk betyder det, at Kommissionen

efterfølgende vil have mulighed for at ”efterjustere” lovgivningen, og det vil

betyde, at de investeringer som kommunerne har gjort for at efterleve

forordningen kan være spildt, hvis der efter et år kommer et nyt

lovgrundlag der fx kræver andre foranstaltninger for at afgive samtykke i

elektroniskform.

Desuden indeholder forordningsforslaget en række uklarheder, som åbner

op for at lovgivningen kan fortolkes på flere forskellige måder. Det er

hverken myndigheder eller borgerne tjent med.

Europa-Parlamentet går imod Kommissionen på dette punkt, da det ikke

mener, at Kommissionen skal have mulighed for efterfølgende at kunne

justere i lovgivningen.

KL vurderer,

at uklarhederne i forordningsforslaget vil skabe usikkerhed

og uforudsigelighed om, hvordan datahåndteringen skal foregå.

Eksempelvis medfører forordningen, at borgeren skal have en ”garanti” for

afgivet samtykke. Det er uklart, hvordan garanti skal forstås, og om det vil

medføre en yderligere administrativ opgave for kommunerne.

KL mener,

at det er uhensigtsmæssigt, hvis Kommissionen får mulighed

for at udstede delegerede retsakter. Det vil medføre usikkerhed om, hvad

der er og vil blive gældende ret. Konsekvenserne kan blive, at der

efterfølgende indføres yderligere krav til kommunerne. Dette kan både blive

dyrt, hvis det betyder krav om nye it-løsninger eller administrative

procedurer og kan forsinke arbejdet med digitaliseringen af den offentlige

sektor i regi af den fælleskommunale og fællesoffentlige

digitaliseringsstrategi.

KL foreslår derfor,

at reglerne gøres klare og letforståelige fra begyndelsen

af. Det vil mindske behovet for at bruge delegerede retsakter.

Kommissionens muligheder for efterfølgende at udstede delegerede

PDF to HTML - Convert PDF files to HTML files

retsakter bør fjernes, ligesom uklarhederne i lovgivningen bør udbedres.

Det er KL’s opfattelse, at hverken Kommissionen eller Europa-

Parlamentet har leveret en klar lovgivningstekst i forhold til, at

lovgrundlaget er en forordning – og derfor skal være meget klar.

Derfor er det vigtigt, at Rådet tager den tid, der skal til for at

sikre et klar lovgrundlag, som ikke åbner op for alt for mange

fortolkningsmuligheder.