Socialudvalget 2014-15 (1. samling)
SOU Alm.del
Offentligt
1439105_0001.png
Folketingets Socialudvalg
Dato: 19. december 2014
”Vil ministeren redegøre for, hvorledes Udbetaling Danmarks indsamling og be-
handling af persondata stemmer overens med artikel 7 og 8 i EU's Charter for
Grundlæggende Rettigheder og artikel 8 i Den Europæiske Menneskerettigheds-
konvention, herunder i forhold til EU Domstolens afgørelse i Digital Rights and
others v. Ireland og Menneskerettighedsdomstolens afgørelser i bl.a. S. and Mar-
per mod Storbritannien (4. december 2008), M.K. mod Frankrig (18. april 2013)
og Bernh Larsen Holding AS and Others mod Norge (8. juli 2013)?”
I mit foreløbige svar af 9. december 2014 til Folketingets Socialudvalg på
spørgsmål nr. 81 (SOU alm. del), blev det oplyst, at det var nødvendigt at indhen-
te et bidrag til brug for besvarelsen.
Ministeriet for Børn, Ligestilling, Integration og Sociale Forhold har nu modtaget
bidrag fra Justitsministeriet, som oplyser:
Den Europæiske Menneskerettighedskonventions artikel 8 (herefter EMRK)
har følgende ordlyd:
”Stk. 1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og
sin korrespondance.
Stk. 2. Ingen offentlig myndighed må gøre indgreb i udøvelsen af denne
ret, medmindre det sker i overensstemmelse med loven og er nødvendigt
i et demokratisk samfund af hensyn til den nationale sikkerhed, den of-
PDF to HTML - Convert PDF files to HTML files
1439105_0002.png
2
fentlige tryghed eller landets økonomiske velfærd, for at forebygge uro
eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for
at beskytte andres rettigheder og friheder.”
Den Europæiske Unions Charter om grundlæggende rettigheders (herefter Char-
teret) artikel 7 har følgende ordlyd:
”Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin
kommunikation.”
Charterets artikel 8 har følgende ordlyd:
”1. Enhver har ret til beskyttelse af personoplysninger, der vedrører den
pågældende.
2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne
formål og på grundlag af de berørte personers samtykke eller på et andet
berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsam-
lede oplysninger, der vedrører den pågældende, og til berigtigelse heraf.
3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds
kontrol.”
De rettigheder, der sikres ved Charterets artikel 7 om respekt for privatliv og
familieliv, svarer indholdsmæssigt til de rettigheder, der er sikret ved EMRK arti-
kel 8. Ligeledes er Charterets artikel 8 om beskyttelse af personoplysninger ba-
seret på bl.a. EMRK artikel 8.
Det følger af Charterets artikel 52, stk. 3, at i det omfang Charteret indeholder
rettigheder svarende til dem, der er sikret ved EMRK, har de samme betydning
og omfang som i EMRK. I det omfang rettighederne i Charteret således svarer til
rettighederne i EMRK, skal rettighederne i Charteret derfor fortolkes i overens-
stemmelse med Den Europæiske Menneskerettighedsdomstols retspraksis vedrø-
rende de relevante bestemmelser i EMRK.
Det skal i den forbindelse bemærkes, at Charterets bestemmelser alene er rettet
til medlemsstaterne, når de gennemfører EU-retten, jf. Charterets artikel 51, stk.
1. EU-Domstolen har ved dom af 26. februar 2013 i sagen C-617/10 (Hans
Åker-
beg Fransson)
præciseret Charterets anvendelsesområde i forhold til medlems-
staterne. EU-Domstolen anlagde i denne dom en bred fortolkning af anvendel-
sesområdet, der må forstås sådan, at medlemsstaternes myndigheder både skal
anvende Charteret i de tilfælde, hvor de har gennemført eller anvender en EU-
bestemmelse, og i de tilfælde, hvor medlemsstaterne måtte have vedtaget natio-
nale bestemmelser, der blot supplerer de nationale bestemmelser, der gennem-
fører EU-retten.
I de forenede sager C-293/12 og C-594/12 (Digital
Rights and Others mod
Irland)
erklærede EU-Domstolen ved dom af 8. april 2014 Europa Parlamentets
og Rådets direktiv 2006/24/EF af 15. marts 2006 (logningsdirektivet) for ugyl-
PDF to HTML - Convert PDF files to HTML files
1439105_0003.png
3
digt. Logningsdirektivet fastsatte en pligt for udbydere af offentligt tilgængelige
elektroniske kommunikationstjenester eller af et offentligt kommunikationsnet
til at lagre visse data, der blev genereret eller behandlet af dem. Formålet med
direktivet var at harmonisere medlemsstaternes bestemmelser om de pligter, der
var pålagt udbyderne med henblik på at sikre, at der var adgang til disse data i
forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet
som defineret af de enkelte medlemsstater i deres nationale lovgivning. EU-
Domstolen foretog en vurdering af logningsdirektivets retssikkerhedsgarantier
og var af den opfattelse, at direktivet ikke fastsatte klare og præcise regler, der
regulerede rækkevidden af indgrebet i de grundlæggende rettigheder beskyttet i
Charterets artikel 7 og 8. Direktivet indebar derfor et indgreb i disse rettigheder,
uden at indgrebet var præcist afgrænset af bestemmelser, der gjorde det muligt
at sikre, at det faktisk var begrænset til det strengt nødvendige. Domstolen fandt
derfor, at EU-lovgiver havde overskredet de grænser, som overholdelsen af pro-
portionalitetsprincippet kræver.
Den Europæiske Menneskerettighedsdomstol fandt ved dom af 4. december
2008 i sagen
S. og Marper mod Storbritannien
(30562/04
og 30566/04),
at
Storbritannien havde krænket EMRK artikel 8 ved at have opbevaret to personers
fingeraftryk, dna-profiler og celleprøver efter henholdsvis en frifindelse og en
påtaleopgivelse. Efter Menneskerettighedsdomstolens opfattelse forfulgte opbe-
varingen af dna-profiler og fingeraftryk det legitime formål at opklare og derved
forebygge kriminalitet. Domstolen fandt imidlertid, at den opbevaring af celle-
prøver, dna-profiler og fingeraftryk, der fandt sted i Storbritannien, ikke var nød-
vendig i et demokratisk samfund, jf. EMRK artikel 8, stk. 2. EMD begrundede
bl.a. krænkelsen med, at fingeraftryk og DNA kunne opbevares uafhængigt af
lovovertrædelsens karakter eller alvor, at den nævnte data kunne opbevares uaf-
hængigt af den sigtedes alder, at opbevaringen var tidsubegrænset, at mulighe-
derne for få fjernet eller destrueret materialet efter frifindelse eller påtaleopgi-
velse var begrænsede, og at der forelå en risiko for stigmatisering af personer,
der ikke var dømt for en lovovertrædelse, og som har ret til at blive anset for
uskyldige.
Ved dom af 18. april 2013 i sagen
M.K. mod Frankrig
(19522/09) fandt Den Eu-
ropæiske Menneskerettighedsdomstol, at Frankrig havde krænket EMRK artikel 8
ved i 2004 og 2005 at have opbevaret M.K.’s fingeraftryk i forbindelse med to
efterforskninger vedrørende bogtyveri. Den første efterforskning endte med en
frifindelse, og den anden endte med en henlæggelse/påtaleopgivelse. Efterføl-
gende afviste Frankrig at imødekomme M.K.’s anmodning om at få fingeraftryk-
kene slettet for så vidt angik den anden efterforskning. Domstolen fandt, at den
opbevaring af M.K.’s fingeraftryk, der fandt sted i Frankrig, ikke var nødvendig i
et demokratisk samfund, jf. EMRK artikel 8, stk. 2. Domstolen begrundede bl.a.
krænkelsen med, at den franske lovgivning om opbevaring af fingeraftryk ikke
gjorde det klart, om anvendelsesområdet var begrænset til straffesager, at lov-
givningen ikke sondrede i forhold til grovheden af overtrædelserne, og at den
fandt anvendelse både på personer, der var dømte, og personer der – som klage-
ren – ikke var fundet skyldige, hvorved der forelå en risiko for stigmatisering.
PDF to HTML - Convert PDF files to HTML files
1439105_0004.png
4
Domstolen lagde endvidere vægt på, at den maksimale grænse på 25 års opbe-
varing af fingeraftryk i praksis var at sidestille med opbevaring på ubestemt tid.
I sagen
Bernh Larsen Holding and Others mod Norge,
dom af 14. marts 2013
(24117/08), der omhandlede de norske skattemyndigheders krav om at modtage
en kopi af al data fra en fælles server, der blev anvendt til at opbevare data fra
tre virksomheder, fandt Menneskerettighedsdomstolen, at der var tale om et
indgreb i retten til respekt for ”hjem” og ”korrespondance” i EMRK artikel 8.
Domstolen fandt imidlertid, at indgrebet var hjemlet i en tilstrækkelig præcis og
forudsigelig national lovgivning, at indgrebet varetog det anerkendelsesværdige
formål at sikre landets økonomi, og at den procedure, der gav myndighederne
adgang til den nævnte data, var ledsaget af en række sikkerhedsforanstaltninger,
som sikrede imod misbrug. På den baggrund fandt Domstolen, at der ikke forelå
en krænkelse af EMRK artikel 8.
EU-domstolen og Menneskerettighedsdomstolen foretager i de nævnte sager,
hvor der foreligger et indgreb i privatlivets fred i forbindelse med myndigheder-
nes indsamling og behandling af persondata, en vurdering af, om indgrebet er
hjemlet ved lov, om det varetager et anerkendelsesværdigt formål, og om det er
nødvendigt i et demokratisk samfund (dvs. opfylder proportionalitetskravet). Ved
denne vurdering har indgrebets karakter – herunder dets intensitet og varighed
samt tilstedeværelsen af tilstrækkelige retssikkerhedsgarantier f.eks. i form af
regler om begrænset adgang, underretning og sletning, der skal sikre imod mis-
brug og vilkårlige indgreb – afgørende betydning.
For så vidt angår Udbetaling Danmarks indsamling og behandling af personop-
lysninger, bemærkes det, at Udbetaling Danmark skal overholde de gældende
danske regler om databeskyttelse, herunder persondataloven der gennemfører
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger
og om fri udveksling af sådanne oplysninger.”
Jeg kan henholde mig til udtalelsen fra Justitsministeriet. Jeg kan supplerende
oplyse, at det i forbindelse med udarbejdelse af lov om Udbetaling Danmark blev
vurderet, at reglerne i lov om Udbetaling Danmark alle er i overensstemmelse
med persondatadirektivet. Det betyder blandt andet også, at betingelserne – om
at bestemmelserne er nødvendige og proportionale i henhold til persondatadi-
rektivet - anses for at være opfyldt. Det er forudsat i lovforarbejderne til lov om
Udbetaling Danmark, at Udbetaling Danmark ved hver enkelt databehandling og
udveksling af data med andre myndigheder skal overholde de grundlæggende
betingelser for behandling af personoplysninger i persondatalovens kapitel 4 om
saglighed og proportionalitet samt de øvrige bestemmelser om behandling af
personoplysninger.
Det betyder blandt andet, at persondatalovens § 5, stk. 5, skal overholdes. Efter
persondatalovens § 5, stk. 5, må indsamlede oplysninger ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede i et længere tids-
PDF to HTML - Convert PDF files to HTML files
5
rum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne
behandles.
Herudover skal Udbetaling Danmark overholde de til enhver tid gældende regler
om datasikkerhed. Behandlingen af personoplysninger i Udbetaling Danmark
skal således tilrettelægges i overensstemmelse med persondatalovens § 41, stk.
3, og sikkerhedsbekendtgørelsen (Justitsministeriets bekendtgørelse nr. 528 af
15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles
for den offentlige forvaltning).
Udbetaling Danmark skal ligeledes overholde persondatalovens kapitel 8-10, der
indeholder bestemmelser om registrerede rettigheder over for de dataansvarlige
myndigheder, som behandler oplysninger om vedkommende. Det drejer sig
blandt andet om reglerne om den dataansvarliges oplysningspligt over for den
registrerede, den registreredes ret til indsigt i oplysninger der databehandles om
vedkommende mv.
Manu Sareen
/ Bent Nielsen