Retsudvalget 2015-16
REU Alm.del Bilag 6
Offentligt
1553879_0001.png
København 29. september 2015
Kære justitsminister Søren Pind
Undertegnede parter har med stor forventning set frem til en modernisering af reglerne for
persondatabeskyttelse. Kommissionens udspil til forordning fra 2012 lagde op til modernisering,
harmonisering og en mere effektiv håndhævelse af reglerne. Hertil kom, at man ønskede at fjerne
barrierer for europæisk erhvervsliv samtidig med, at man ønskede at fastholde et højt niveau af
beskyttelse af borgernes personoplysninger. Dette ville muliggøre, at man kunne bruge nye
teknologier som f.eks. Big data til fordel for såvel borgere som erhvervsliv.
Gennem denne fælles henvendelse ønsker vi at gøre ministeren opmærksom på den uheldige
drejning forhandlingerne om en ny persondatalovgivning, har taget i EU. Vi mener det seneste
resultat fra Ministerrådets møde i juni i år, svækker den oprindelige EU-ambition, som skitseret
ovenfor. Vi finder, at tillid og tryghed til det digitale marked er helt afgørende for at skabe
innovation, effektivisere og fremme vækst, og at dette bør ske gennem en forbedret, moderniseret
og mere tidssvarende persondatalovgivning. Samtidig ønsker vi, at borgernes tillid forbedres, bl.a.
ved at sikre den enkelte borger mere kontrol med egne oplysninger.
Europæisk harmonisering ofres for nationale særregler
Harmonisering af reglerne på tværs af de europæiske lande og på tværs af sektorer er helt centralt
for, hvis der skal skabes et reelt indre marked på det digitale områder, der bygger på en ensartet
høj beskyttelse af persondata. Samtidig sikrer harmonisering af reglerne, at tilliden til
digitaliseringen blandt de europæiske borgere kan bevares. Det underminerer troværdigheden af
reglerne, hvis persondata beskyttes langt dårligere i f.eks. Tyskland end i Danmark. Dertil kommer,
at den offentlige og private sektor er så tæt forbundne, at det ikke giver mening, at data behandles
vidt forskelligt i de to sektorer. Hvis håndhævelsen er vidt forskellig, vil det f.eks. betyde, at private
dataansvarlige - i henhold til Kommissionens og Rådets udspil - kan få en bøde på 2 pct. af deres
omsætning, mens offentlige databehandlere blot får et brev, hvor Datatilsynet udtaler kritik.
Rådets udspil til forordning underminerer harmoniseringen betydeligt i forhold til Kommissionens
oprindelige udkast. Artikel 1, 2a åbner op for, at den offentlige sektor kan fastsætte specifikke
regler for implementering af forordningen. Hertil kommer, at forordningen jf. artikel 2, 2e ikke
gælder for myndigheder, der skal tage specielle hensyn til offentlig sikkerhed. I henhold til artikel
6, 3 og 4 kan især den offentlige sektor behandle data til andre formål end data er indsamlet til.
Medlemslandene kan ifølge artikel 79, 3b og 5 fastsætte nationale regler for, i hvilket omfang
offentlige myndigheder skal betale bøder. Der er desuden flere andre steder i Rådets udspil, hvor
den offentlige sektor kan fastsætte nationale regler eller får en anden retsstilling end den private
sektor.
 REU, Alm.del - 2015-16 - Bilag 6: Henvendelse af 8/10-15 fra Forbrugerrådet Tænk om væsentlige forringelser til den kommende persondatalov i Danmark
1553879_0002.png
Manglende proportionalitet i bødestørrelser
Det er vigtigt, at den fremtidige regulering ser på sanktioner ved manglende efterlevelse af
lovgivningen. En af de sanktioner, som kan bringes i anvendelse, er bøder. Det er vigtigt, at disse
bøder har en størrelse, der er proportional med den overtrædelse af lovgivningen, som har fundet
sted. De nuværende forslag i Rådets udspil til forordning kan ikke betegnes som proportionale.
Private dataansvarlige kan idømmes bøder op på til 2 pct. af deres globale omsætning, selv ved
mindre forseelser i enkelte lande, der ikke har nogen relation til den globale organisation. F.eks.
kan en virksomhed idømmes en bøde på 2 pct. af moderselskabets globale omsætning, hvis der
bare er et enkelt data subjekt, som ikke modtager den rette information rettidigt ved et databrud
eller, hvis der i et datterselskab skiftes underleverandør uden, at den dataansvarlige er informeret
på forhånd. Det er også vigtigt, at man fremmer andre incitamenter til at være i overensstemmelse
med loven, f.eks. gennem awareness. I relation til sanktioner er det vigtigt, at der er harmonisering
mellem den offentlige og den private sektor.
Svækkelse af grundprincipper
I den nuværende persondatalov gælder der et vigtigt princip om, at indsamling af oplysninger skal
ske til udtrykkeligt angivne og saglige formål og senere behandling må ikke være uforenelig med
disse formål. Det betyder, at indsamlede oplysninger ikke frit kan genbruges, videregives mv. til
andre uforenelige formål (medmindre nyt samtykke indhentes).
I Ministerrådets tekst (artikel 6.4) er der tilføjet følgende modifikation, som efter vores mening
udhuler formålsprincippet væsentligt:
Den dataansvarlige kan anvende oplysningerne til formål, som er uforenelige med det oprindelige
formål, hvis den dataansvarliges legitime interesser tilsidesætter forbrugerens interesser. I en note
til bestemmelsen fastslås, at behandlingen af personlige oplysninger med henblik på målrettet
markedsføring kan betragtes som en legitim interesse (der tilsidesætter forbrugerens interesser for
et privatliv). Såfremt denne ændring fastholdes, vil den kommende persondatalov lande på et
lavere niveau end det nuværende regelsæt fra 1995.
Forringelse af nye sikkerhedsprincipper
I Kommissionens oprindelige udkast til forordning blev der introduceret en række nye
sikkerhedstiltag, som f.eks. underretning til de registrerede ved databrud (data breach notification,
artikel 31 og 32), analyse af konsekvenser for privatlivet ved elektronisk behandling af data (data
protection impact assessment, artikel 33) samt design af sikkerhed ind i løsningerne (privacy by
design, artikel 23). Under forhandlingerne i Ministerrådet er disse tiltag blevet udvandet i en sådan
grad, at det nu kun er i ganske få tilfælde, at disse nye teknologier og metoder bringes i anvendelse.
Disse metoder og teknologier har et stort potentiale til at skabe ægte sikkerhed for de registrerede
og ikke bare juridisk compliance med lovgivningen. Vi noterer os, at Ministerrådet ændrer teksten i
et forsøg på at introducere en risikobaseret tilgang til iværksættelse af sikkerhedsforanstaltninger.
Det er positivt. Imidlertid går Rådet alt for vidt i at opstille begrænsninger for, hvornår disse
værdifulde sikkerhedstiltag skal iværksættes, således at sikkerhedsniveauet reelt ikke løftes i
Europa.
 REU, Alm.del - 2015-16 - Bilag 6: Henvendelse af 8/10-15 fra Forbrugerrådet Tænk om væsentlige forringelser til den kommende persondatalov i Danmark
1553879_0003.png
Vejen frem
Undertegnede parter opfordrer den nye regering til at formulere en politisk strategi for beskyttelse
af personoplysninger, som tilgodeser såvel borgere som virksomheder. I den forbindelse håber vi,
at regeringen vil tage fornyet stilling til udkastet til persondataforordning. Det er herunder især
centralt, at det danske input i DAPIX-gruppen, som følger trilog-forhandlingerne, udvider
mulighederne for at anvende moderne teknologier og metoder til at beskytte data. Det er helt
afgørende, at regeringen arbejder for en ægte harmonisering af reglerne i Europa, så vi kan
realisere det digitale indre marked samtidig med, at borgerne kan føle sig sikre på, at deres data
behandles ens og godt af alle parter.
Endelig vil vi henlede ministerens opmærksomhed på Beretning nr. 4 ”Beretning om
datasikkerhed”, fra 15. januar 2015, udarbejdet af Retsudvalget med Karsten Lauritzen i spidsen.
Beretningen udmærker sig ved at sætte fokus på en række konkrete løsningsforslag som
eksempelvis at sikre bedre oplysning til borgerne om, hvad deres personlige data bruges til,
indberetningspligt ved tab af kontrol, implementering af teknologi som hjælpemiddel, eksempelvis
gennem Privacy By Design, samt forslag til implementering af den kommende forordning i
Danmark med mere. Det er vores opfattelse, at beretningen vil være et godt udgangspunkt for
regeringens videre arbejde på området.
Vi uddyber gerne og svarer meget gerne på spørgsmål, såfremt ministeren har mulighed for et
møde.
Med venlig hilsen
Adam Lebech, branchedirektør, DI ITEK
Frida Frost, formand, Ingeniørforeningen
Henrik Chulu, Bitbureauet
Rasmus Theede, formand, Rådet for Digital Sikkerhed
Lars Pram, direktør, Forbrugerrådet
Niels Bertelsen, formand, PROSA – Forbundet af it-professionelle
Mette Lundberg, direktør, politik og kommunikation, IT-Branchen