Fremsat den 15. november 2017 af økonomi- og indenrigsministeren (Simon Emil Ammitzbøll)
Forslag
til
Lov om ændring af lov om kommunernes
styrelse og regionsloven
(Beskyttelse af kommunalbestyrelses- og
regionsrådsmedlemmers behandling af oplysninger som led i
hvervet)
§ 1
I lov om kommunernes styrelse, jf.
lovbekendtgørelse nr. 318 af 28. marts 2017, foretages
følgende ændring:
1.
Efter § 8 a indsættes:
Ȥ 8 b. Lov om
behandling af personoplysninger finder ikke anvendelse på
behandling af oplysninger, der foretages som led i varetagelsen af
et kommunalbestyrelsesmedlems hverv.«
§ 2
I regionsloven, jf. lovbekendtgørelse
nr. 319 af 28. marts 2017, foretages følgende
ændring:
1. I
§ 12, stk. 1, indsættes
efter »næstformand,«: »§ 8 b om
behandling af oplysninger som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv,«.
§ 3
Loven træder i kraft den 1. januar 2018.
Bemærkninger til lovforslaget
Almindelige
bemærkninger | | Indholdsfortegnelse | 1. Indledning | 2. Lovforslagets indhold | | 2.1. Gældende ret | | | 2.1.1. Persondataloven | | | | 2.1.4.1. Persondatalovens regler | | | | 2.1.4.2. Muligheden for at fravige
persondataloven ved nationale særregler | | 2.2. Økonomi- og
Indenrigsministeriets overvejelser | | 2.3. Den foreslåede ordning | 3. Økonomiske og administrative
konsekvenser for det offentlige | 4. Økonomiske og administrative
konsekvenser for erhvervslivet m.v. | 5. Administrative konsekvenser for
borgerne | 6. Miljømæssige
konsekvenser | 7. Forholdet til EU-retten | 8. Hørte myndigheder og
organisationer m.v. | 9. Sammenfattende skema |
|
1. Indledning
Formålet med lovforslaget er
at beskytte et kommunalbestyrelses- eller regionsrådsmedlems
kommunikation som led i varetagelsen af sit hverv som medlem af
kommunalbestyrelsen eller regionsrådet.
Lovforslaget retter sig mod
oplysninger, der behandles som led i varetagelsen af medlemmets
kommunale eller regionale hverv, når medlemmet anvender
kommunikationstjenester som f.eks. en mailkonto eller en
mobiltelefon, som medlemmet har fået stillet til
rådighed af kommunen eller regionen.
Med lovforslaget undtages en
sådan behandling af oplysninger fra persondataloven.
En kommune eller region kan ellers
under visse betingelser efter persondataloven være berettiget
til at tilgå et eller flere kommunalbestyrelses- eller
regionsrådsmedlemmers kommunale eller regionale mailkonti
eller tekstbeskeder, som medlemmet har afsendt fra en mobiltelefon,
der er udleveret af kommunen eller regionen, hvis det f.eks. i
forbindelse med mistanke om misbrug er nødvendigt for, at
kommunen eller regionen kan forfølge berettigede interesser.
Herudover indeholder persondataloven andre bestemmelser om
behandling af personoplysninger, herunder bl.a. den såkaldte
indsigtsret, hvorefter den dataansvarlige efter begæring fra
en person skal give den pågældende meddelelse om,
hvorvidt der behandles oplysninger om vedkommende, regler om
behandlingssikkerhed og Datatilsynets tilsyn.
Lovforslaget skal på den
måde sikre, at kommunalbestyrelses- og
regionsrådsmedlemmer også ved brug af de
kommunikationstjenester, som de får stillet til
rådighed af kommunen eller regionen, har et fortroligt rum
til at kommunikere om kommunal- og regionalpolitiske emner, som
kommunen og regionen - herunder andre medlemmer af
kommunalbestyrelsen eller regionsrådet - ikke skal kunne
være berettiget til at tilgå.
Økonomi- og
Indenrigsministeriet er opmærksomt på, at
justitsministeren har fremsat forslag til en databeskyttelseslov,
jf. Folketingstidende 2017-18, A, L 68, der med virkning fra den
25. maj 2018 ophæver persondataloven.
Økonomi- og
Indenrigsministeriet vil derfor efter dette lovforslags vedtagelse
og, inden ophævelsen af persondataloven træder i kraft
den 25. maj 2018, ved en yderligere lovændring i denne
folketingssamling sikre, at kommunalbestyrelses- og
regionsrådsmedlemmer også efter den 24. maj 2018 vil
have samme beskyttelse som foreslået med dette
lovforslag.
2. Lovforslagets
indhold
Den følgende fremstilling af
lovforslaget tager for at lette læsningen heraf udgangspunkt
i kommuner og kommunalbestyrelsen. Tilsvarende regler og
overvejelser finder anvendelse for regioner og
regionsrådsmedlemmer, medmindre andet er udtrykkeligt
angivet.
2.1. Gældende
ret
Lov om kommunernes styrelse, jf.
lovbekendtgørelse nr. 318 af 28. marts 2017, og
regionsloven, jf. lovbekendtgørelse nr. 319 af 28. marts
2017, der bl.a. omhandler kommunalbestyrelses- og
regionsrådsmedlemmers pligter og rettigheder, indeholder ikke
særregler om behandlingen af oplysninger som led i
varetagelsen af et kommunalbestyrelses- eller
regionsrådsmedlems hverv.
Reguleringen heraf er omfattet af
de almindelige regler i persondataloven.
2.1.1. Persondataloven
2.1.1.1. Persondatalovens regler
Persondataloven, jf. lov nr. 429 af
31. maj 2000 med senere ændringer, gælder ifølge
lovens § 1, stk. 1, bl.a. for behandling af personoplysninger,
som helt eller delvis foretages ved hjælp af elektronisk
databehandling. Gennemgang af e-mails og tekstbeskeder betragtes
som en behandling i persondatalovens forstand, jf. lovens § 1,
stk. 1, og § 3, nr. 2.
Persondataloven giver mulighed for,
at en behandling kan finde sted, hvis det er nødvendigt af
hensyn til udførelsen af en opgave i samfundets interesse
eller til udførelsen af en opgave, der henhører under
myndighedsudøvelse, som den dataansvarlige eller tredjemand,
til hvem oplysningerne videregives, har fået pålagt,
jf. lovens § 6, stk. 1, nr. 5 og 6.
Behandling kan endvidere finde
sted, hvis den er nødvendig for, at den dataansvarlige eller
den tredjemand til hvem oplysningerne videregives, kan
forfølge en berettiget interesse og hensynet til den
registrerede ikke overstiger denne interesse, jf. persondatalovens
§ 6, stk. 1, nr. 7.
Datatilsynet har tidligere udtalt,
at en kommunes eventuelle gennemgang af ansattes e-mails i
forbindelse med mistanke om misbrug er nødvendig for, at
kommunen kan forfølge berettigede interesser - nemlig
hensynet til drift, sikkerhed, genetablering og dokumentation samt
hensynet til kontrol af brug - og at hensynet til de ansatte ikke
overstiger disse interesser, jf. persondatalovens § 6, stk. 1,
nr. 7. Datatilsynet har endvidere i en udtalelse af 14. februar
2017, jf. Datatilsynets jr. nr. 2017-323-0455, antaget, at det er
de samme regler i persondataloven, som gælder for gennemgang
af kommunalbestyrelsesmedlemmers e-mails.
Gennemgang af oplysninger, der
indgår på en mobiltelefon, der er udleveret af en
arbejdsgiver til en medarbejder til arbejdsmæssig samt
eventuel privat anvendelse i forbindelse med et
ansættelsesforhold, må antages at være underlagt
tilsvarende rammer.
Det er i første række
den dataansvarlige, der skal foretage en vurdering af, om de
ønskede behandlinger kan og skal ske indenfor
persondatalovens rammer i de konkrete tilfælde.
Efter Datatilsynets praksis er det
endvidere en forudsætning for den dataansvarliges gennemgang
af behandlede oplysninger, at de registrerede på
forhånd på en klar og utvetydig måde er blevet
informeret herom, jf. reglerne om oplysningspligt i
persondatalovens §§ 28 og 29, jf. principperne om god
databehandlingsskik i persondatalovens § 5, stk. 1.
De hensyn til de registrerede, som
ligger til grund for kravet om forudgående information,
gør sig gældende, uanset om en behandling af
oplysninger i kontroløjemed sker som stikprøvekontrol
eller på baggrund af en konkret mistanke.
Muligheden for undtagelsesvist at
foretage gennemgangen uden forudgående information er
underlagt ganske snævre grænser, jf. herved § 30 i
persondataloven, hvoraf det fremgår, at bestemmelserne i
lovens § 28, stk. 1, og § 29, stk. 1, ikke gælder,
hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for afgørende hensyn til
private eller offentlige interesser.
Det er også på dette
punkt i første række den dataansvarlige, der skal
foretage en vurdering af, om kravet om forudgående
information kan og bør fraviges i de konkrete
tilfælde.
Den dataansvarlige må ikke
læse indholdet af en e-mail eller en tekstmeddelelse,
når denne er identificeret som privat. Såfremt der ved
en gennemgang af eksempelvis en kommunes e-post findes private
e-mails uden relation til kommunens virksomhed, må de
pågældende e-mails ikke læses af andre end den
retmæssige modtager. Tilsvarende gør sig
gældende i forhold til tekstbeskeder, der er afsendt via en
mobiltelefon, som medlemmet har fået udleveret af kommunen.
En krænkelse heraf kan efter omstændighederne
være strafbar i medfør af straffelovens §
263.
Herudover indeholder
persondataloven bl.a. regler om behandling af oplysninger, der er
omfattet af loven, jf. lovens kapitel 4, regler om den
såkaldte indsigtsret, hvorefter den dataansvarlige efter
begæring fra en person skal give den pågældende
meddelelse om, hvorvidt der behandles oplysninger om vedkommende,
jf. persondatalovens kapitel 9, regler om muligheden for at
gøre indsigelse mod, at oplysninger om vedkommende
gøres til genstand for behandlinger, jf. bl.a.
persondatalovens § 35, regler om berigtigelse af oplysninger,
jf. persondatalovens § 37, regler om behandlingssikkerhed, jf.
persondatalovens kapitel 11 og regler om Datatilsynets tilsyn med
behandlinger, der omfattes af loven, jf. persondatalovens kapitel
16.
2.1.1.2. Muligheden
for at fravige persondataloven ved nationale
særregler
Det er Økonomi- og
Indenrigsministeriets opfattelse, at persondataloven vil kunne
fraviges for så vidt angår behandling af oplysninger,
der foretages som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv, når medlemmet anvender en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen.
Det vil medføre, at en
kommunes adgang til under visse betingelser at tilgå
oplysninger i de kommunikationstjenester, som et
kommunalbestyrelsesmedlem får stillet til rådighed af
en kommune for at kunne varetage sit hverv, vil blive
afskåret.
Det vil videre bl.a.
medføre, at et kommunalbestyrelsesmedlems behandling af
disse oplysninger ikke vil være omfattet af persondatalovens
regler, når behandlingen foretages som led i medlemmets hverv
ved anvendelse af en kommunikationstjeneste, som medlemmet har
fået stillet til rådighed af kommunen.
Persondataloven gennemfører
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af
sådanne oplysninger.
Det fremgår af direktivets
artikel 9, at der tillades undtagelser fra de almindelige
databeskyttelsesregler, når de er nødvendige for at
forene retten til privatlivets fred og reglerne for ytringsfrihed,
såfremt persondatabehandlingen udelukkende sker i
journalistisk øjemed eller med henblik på kunstnerisk
eller litterær virksomhed.
Det er Økonomi- og
Indenrigsministeriets opfattelse, at denne bestemmelse generelt
bør fortolkes i lyset af hensynet til ytringsfriheden.
I persondatalovens § 2, stk.
2, reguleres forholdet mellem behandling af personoplysninger efter
persondataloven og hensynet til informations- og ytringsfriheden.
Det følger heraf, at persondataloven ikke finder anvendelse,
såfremt lovens anvendelse vil stride imod Den
Europæiske Menneskerettighedskonventions artikel 10.
I den præjudicielle
afgørelse af 6. november 2003, C-101/01, Lindqvist, har EU-Domstolen udtalt
sig om direktivets forhold til ytringsfrihed. EU-Domstolen var i
sagen blevet spurgt til, om reglerne i direktivet i en sag som den
foreliggende medfører en begrænsning, der er i strid
med det almindelige princip om ytringsfrihed eller andre friheder
og rettigheder, der er gældende inden for EU, og som svarer
til bl.a. menneskerettighedskonventionens artikel 10.
I præmis 90 udtaler
EU-Domstolen, at direktivet ikke i sig selv medfører en
begrænsning, der er i strid med det almindelige princip om
ytringsfrihed eller andre friheder og rettigheder, der er
gældende inden for EU, og som svarer til bl.a.
menneskerettighedskonventionens artikel 10. Den udtaler endvidere,
at det påhviler de nationale myndigheder og domstole, der
skal anvende de nationale bestemmelser til gennemførelse af
direktivet, at sikre en retfærdig og ligevægt mellem de
omhandlede rettigheder og interesser, herunder de
grundlæggende rettigheder, der beskyttes ved
Fællesskabets retsorden.
Det må herefter lægges
til grund, at artikel 9 ikke gør udtømmende op med de
situationer, hvor ytringsfriheden kan medføre en
indskrænkning i behandling af personoplysninger.
Efter Økonomi- og
Indenrigsministeriets opfattelse kan der på baggrund af
direktivets artikel 9 sammenholdt med
menneskerettighedskonventionens artikel 10 foretages en afvejning
af på den ene side hensynet til beskyttelse af
personoplysninger, og på den anden side hensynet til
kommunalbestyrelsesmedlemmers ytrings- og informationsfrihed med
henblik på at sikre, at der ikke sker en unødig
indskrænkning i disse rettigheder.
2.2. Økonomi- og Indenrigsministeriets
overvejelser
En kommune kan i dag efter
omstændighederne efter persondataloven være berettiget
til at tilgå oplysninger, der indgår i en
kommunikationstjeneste, som et kommunalbestyrelsesmedlem har
fået stillet til rådighed af kommunen, hvis det f.eks.
i forbindelse med mistanke om misbrug er nødvendigt for, at
kommunen kan forfølge berettigede interesser. Der henvises
til persondatalovens § 6 og de øvrige bestemmelser, der
er nævnt i afsnit 2.1.1.1.
Kommunikationstjenester, der
stilles til rådighed til brug for varetagelsen af hvervet for
et kommunalbestyrelsesmedlem af den kommune, den
pågældende er valgt i, vil i dag navnlig bestå af
en mailkonto i kommunens IT-system og en mobiltelefon.
Formålet med at afskære
en kommunes mulighed for at foretage kontrol af oplysninger, der er
behandlet som led i varetagelsen af et kommunalbestyrelsesmedlems
hverv via en kommunikationstjeneste, som kommunen har stillet til
rådighed for medlemmet, er således at sikre et
fortroligt rum for kommunalbestyrelsesmedlemmer til at kommunikere,
uden at kommunen - herunder som følge af et eventuelt udtalt
ønske fra politiske modstandere - eventuelt måtte
være berettiget til at foretage kontrol heraf, hvis
betingelserne herfor er opfyldt i det konkrete tilfælde.
Efter Økonomi- og
Indenrigsministeriets opfattelse er det ikke hensigtsmæssigt,
at en kommune - eventuelt på foranledning af borgmesteren -
under visse betingelser kan være berettiget til at
tilgå et kommunalbestyrelsesmedlems kommunikation som led i
varetagelsen af sit hverv, når medlemmet anvender en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen for at kunne varetage sit hverv.
Kommunalbestyrelsesmedlemmer skal
ikke kunne risikere, at andre end de involverede i kommunikationen
får adgang til overvejelser om f.eks. et nyt politisk
initiativ, afklaring af partiets, listens eller medlemmets holdning
til et fremsat forslag, medlemmets kommunikation med borgere,
interesseorganisationer, virksomheder m.fl. Navnlig gør
beskyttelsesbehovet sig gældende i forhold til andre
medlemmer af kommunalbestyrelsen, herunder fra andre
kandidatlister.
Det er Økonomi- og
Indenrigsministeriets vurdering, at der på baggrund af de her
anførte synspunkter kan fastsættes en undtagelse, der
af hensyn til kommunalbestyrelsesmedlemmers ret til ytrings- og
informationsfrihed undtager behandling af oplysninger, der
foretages som led i varetagelsen af et kommunalbestyrelsesmedlems
hverv, fra persondatalovens anvendelsesområde, når
medlemmet anvender en kommunikationstjeneste, som medlemmet har
fået stillet til rådighed af kommunen.
Muligheden for at fastsætte
en national undtagelse og fravigelse som følge af hensynet
til ytrings- og informationsfrihed indebærer, at det alene er
den behandling af personoplysninger, der foretages som led i
kommunalbestyrelsesmedlemmers politiske arbejde, der kan undtages
på baggrund af direktivets artikel 9.
Økonomi- og
Indenrigsministeriet foreslår på den baggrund - og
under henvisning til de oven for anførte grunde for at
fastsætte en sådan fravigelse - at der skal
indføres en national undtagelse og fravigelse af
persondatalovens anvendelsesområde for så vidt
angår behandling af oplysninger, der foretages som led i
varetagelsen af et kommunalbestyrelsesmedlems hverv. Undtagelsen
vil omfatte behandling af sådanne oplysninger, når
medlemmet anvender en kommunikationstjeneste, som medlemmet har
fået stillet til rådighed af kommunen.
Ud over at afskære en
kommunes adgang til at foretage kontrol af f.eks. e-mails, som et
kommunalbestyrelsesmedlem har udvekslet via sin kommunale mailkonto
som led i sit hverv, medfører undtagelsen bl.a., at
persondatalovens bestemmelser om den såkaldte indsigtsret,
hvorefter den dataansvarlige efter begæring fra en person
skal give den pågældende meddelelse om, hvorvidt der
behandles oplysninger om vedkommende, jf. persondatalovens kapitel
9, persondatalovens bestemmelser om muligheden for at gøre
indsigelse mod, at oplysninger om vedkommende gøres til
genstand for behandlinger, jf. bl.a. persondatalovens § 35,
samt persondatalovens bestemmelser om berigtigelse af oplysninger,
jf. persondatalovens § 37, ikke finder anvendelse på
disse oplysninger.
Med undtagelsen vil der
således bl.a. ikke via indsigtsretten være muligt at
få meddelelse om, hvorvidt der behandles oplysninger om
vedkommende som led i varetagelsen af et kommunalbestyrelsesmedlems
hverv via en kommunikationstjeneste, som kommunen har stillet til
rådighed for medlemmet, ligesom der ikke vil være pligt
til at orientere den registrerede om registreringen.
Behandlingen af oplysninger som led
i varetagelsen af et kommunalbestyrelsesmedlems hverv via en
kommunikationstjeneste, som kommunen har stillet til rådighed
for medlemmet, vil videre som følge af undtagelsen fra
persondataloven som helhed bl.a. ikke være undergivet
Datatilsynets tilsyn med behandlinger, der omfattes af loven, jf.
persondatalovens kapitel 16.
Økonomi- og
Indenrigsministeriet har i den forbindelse inddraget, at
persondataloven ikke finder anvendelse på behandling af
oplysninger, der foretages for Folketinget og institutioner med
tilknytning dertil, jf. lovens § 1, stk. 5.
Ministeriet har videre inddraget,
at justitsministeren i det fremsatte forslag til
databeskyttelseslov, jf. Folketingstidende 2017-18, A, L 68, har
foreslået, at loven og databeskyttelsesforordningen ikke
finder anvendelse på behandling af oplysninger, der foretages
som led i Folketingets parlamentariske arbejde, jf. lovforslagets
§ 3, stk. 3.
Ved at indføre den
foreslåede undtagelse vil medlemmerne af de tre politiske
niveauer - Folketinget, regionsråd og kommunalbestyrelser -
således alle være underlagt særlige rammer i
forhold til behandlingen af oplysninger som led i deres politiske
hverv.
Økonomi- og
Indenrigsministeriet er opmærksomt på, at hvervet som
kommunalbestyrelsesmedlem adskiller sig fra hvervet som
folketingsmedlem, idet det som led i hvervet som
kommunalbestyrelsesmedlem i videre omfang kan være aktuelt at
tage stilling til konkrete sager inden for de områder, som
kommunerne varetager, herunder konkrete sager, der indeholder
personhenførbare oplysninger.
Efter Økonomi- og
Indenrigsministeriets opfattelse kan dette forhold dog ikke i sig
selv medføre, at et kommunalbestyrelsesmedlems behandling af
oplysninger som led i varetagelsen af sit hverv som medlem af
kommunalbestyrelsen via en kommunikationstjeneste, som kommunen har
stillet til rådighed for medlemmet, ikke undtages fra
persondataloven.
Økonomi- og
Indenrigsministeriet har i den forbindelse lagt vægt på
hensynet til at understøtte, at kommunalbestyrelsesmedlemmer
har et fortroligt rum til at kommunikere om forhold
vedrørende deres politiske hverv.
I de tilfælde, hvor
oplysningerne også er tilgået den kommunale
forvaltning, vil kommunens behandling af disse oplysninger fortsat
være omfattet af persondataloven. Den registrerede vil f.eks.
kunne anvende sin indsigtsret til at få meddelelse om,
hvorvidt der behandles oplysninger om vedkommende i kommunen, ved
at gøre denne ret gældende over for kommunen.
Tilsvarende vil gøre sig gældende i forhold til
oplysningspligten over for den registrerede, jf. persondatalovens
§§ 28 og 29.
Økonomi- og
Indenrigsministeriet har i den forbindelse også tillagt det
vægt, at et kommunalbestyrelsesmedlem fortsat vil være
omfattet af reglerne om tavshedspligt for så vidt angår
de oplysninger, som medlemmet modtager i forbindelse med sit
hverv.
Det følger bl.a. af
forvaltningslovens § 27, stk. 1, at den, der virker inden for
den offentlige forvaltning, har tavshedspligt, jf. straffelovens
§ 152 og §§ 152 c-152 f, med hensyn til oplysninger
om enkeltpersoners private, herunder økonomiske, forhold og
tekniske indretninger eller fremgangsmåder eller om drifts-
eller forretningsforhold el.lign., for så vidt det er af
væsentlig økonomisk betydning for den person eller
virksomhed, oplysningerne angår, at oplysningerne ikke
videregives.
Efter straffelovens § 152
straffes de, som virker eller har virket i offentlig tjeneste eller
hverv, og som uberettiget videregiver eller udnytter fortrolige
oplysninger, hvortil den pågældende i den forbindelse
har fået kendskab, med bøde eller fængsel indtil
6 måneder.
Det bemærkes i den
forbindelse, at den foreslåede undtagelse fra
persondatalovens regler udelukkende finder anvendelse, når et
kommunalbestyrelsesmedlem som led i sit kommunale hverv behandler
oplysninger i form af korrespondance via en kommunikationstjeneste,
som er stillet til rådighed af kommunen. Den virksomhed, et
politisk parti måtte udføre, er ikke undtaget fra
persondatalovens regler. Politiske partier skal således
fortsat overholde de almindelige regler om behandling af
personoplysninger, der følger af persondataloven.
Det bemærkes endvidere, at
undtagelsen ikke omfatter den behandling af oplysninger, der sker,
når et kommunalbestyrelsesmedlem anvender den
pågældende kommunikationstjeneste, typisk mailkonto
eller mobiltelefon, arbejdsmæssigt, dvs. i forbindelse med
medlemmets civile erhverv. Det gælder også
tilfælde, hvor medlemmet er ansat i den kommune, den
pågældende også er valgt i. Denne behandling af
personoplysninger vil være fuldt ud omfattet af reglerne i
persondataloven.
At et kommunalbestyrelsesmedlem
eventuelt har anvendt f.eks. sin kommunale mailkonto i forbindelse
med sit civile erhverv, medfører dermed ikke, at en kommune
i medfør af persondatalovens regler herom, vil kunne have
adgang til at tilgå den samlede kommunikation, som medlemmet
har ført via sin kommunale mailkonto. Medlemmets
kommunikation som led i varetagelsen af sit hverv som
kommunalbestyrelsesmedlem vil fortsat være omfattet af den
foreslåede beskyttelse.
En kommune vil således
også i forhold til kommunalbestyrelsesmedlemmer, der er ansat
i kommunen, i kraft af sin eventuelle arbejdsgiverrolle alene vil
være berettiget til at få indsigt i e-mails m.v. af
arbejdsmæssig karakter for kommunen, som medlemmet har
håndteret via en kommunal kommunikationstjeneste.
En kommune vil med lovforslaget i
det hele være afskåret fra at få indsigt i
e-mails m.v. vedrørende kommunalbestyrelsesmedlemmets
varetagelse af sit hverv som medlem af kommunalbestyrelsen, som
medlemmet har håndteret via en kommunikationstjeneste, som
kommunen har stillet til rådighed for medlemmet.
De samme forhold gør sig
efter Økonomi- og Indenrigsministeriets opfattelse
gældende i regioner for regionsrådsmedlemmer, hvorfor
ministeriet videre finder, at der er behov for tilsvarende
undtagelser for så vidt angår behandling af
oplysninger, der foretages som led i varetagelsen af et
regionsrådsmedlems hverv.
Økonomi- og
Indenrigsministeriet er opmærksomt på, at
justitsministeren som led i den lovgivningsmæssige
opfølgning på databeskyttelsesforordningen, der finder
anvendelse fra den 25. maj 2018 og fra denne dato erstatter og
ophæver persondatadirektivet, har fremsat et lovforslag om en
databeskyttelseslov, der supplerer og gennemfører
databeskyttelsesforordningen, jf. Folketingstidende 2017-18, A, L
68. Lovforslaget indebærer en ophævelse af
persondataloven med virkning fra den samme dato, jf. § 46 i
forslaget til databeskyttelseslov.
Økonomi- og
Indenrigsministeriet vil derfor efter dette lovforslags vedtagelse
og, inden ophævelsen af persondataloven træder i kraft
den 25. maj 2018, ved en ændring i denne folketingssamling af
det foreslåede § 8 b i lov om kommunernes styrelse, jf.
lovforslagets § 1, nr. 1, sikre, at kommunalbestyrelses- og
regionsrådsmedlemmer også efter den 24. maj 2018 vil
have samme beskyttelse som foreslået med dette
lovforslag.
2.3. Den
foreslåede ordning
Det foreslås med
lovforslagets § 1, nr. 1, at persondataloven ikke skal finde
anvendelse på behandling af oplysninger, der foretages som
led i varetagelsen af et kommunalbestyrelsesmedlems hverv.
Det vil ske ved ændring af
lov om kommunernes styrelse, der bl.a. omhandler
kommunalbestyrelsesmedlemmers pligter og rettigheder, hvorved denne
behandling undtages fra persondatalovens
anvendelsesområde.
Det foreslås videre med
lovforslagets § 2, nr. 1, at behandling af oplysninger, der
foretages som led i varetagelsen af et regionsrådsmedlems
hverv ved en ændring af regionsloven på samme
måde undtages fra persondatalovens område.
Undtagelserne vil omfatte den
behandling af oplysninger, der foretages som led i
kommunalbestyrelsesmedlemmers hverv, herunder parti- eller
listetilknyttet kommunikation, når medlemmet anvender en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen. I praksis vil det være den
behandling af oplysninger, der foretages af et
kommunalbestyrelsesmedlem via en kommunikationstjeneste som f.eks.
en mailkonto eller en mobiltelefon, som et
kommunalbestyrelsesmedlem får stillet til rådighed som
led i varetagelsen af sit hverv.
En kommune vil dermed ikke kunne
træffe beslutning om at tilgå et
kommunalbestyrelsesmedlems kommunikation som led i varetagelse af
sit hverv, når medlemmet anvender f.eks. den mailkonto eller
den mobiltelefon, som medlemmet har fået stillet til
rådighed af kommunen.
Undtagelsen vil herudover
medføre, at persondatalovens øvrige bestemmelser ikke
finder anvendelse på behandling af oplysninger, der foretages
som led i varetagelsen af et kommunalbestyrelsesmedlems hverv,
når medlemmet anvender en kommunikationstjeneste, som
medlemmet har fået stillet til rådighed af
kommunen.
Et kommunalbestyrelsesmedlems
behandling af personoplysninger vil dermed - i det omfang det sker
som led i medlemmets hverv som kommunalbestyrelsesmedlem via en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen - kunne ske, uanset om der er hjemmel i
persondataloven til den pågældende behandling.
Den foreslåede undtagelse fra
persondataloven vil videre f.eks. indebære, at et
kommunalbestyrelsesmedlem ved en sådan behandling af
oplysninger, herunder om enkelte borgere, ikke vil være
omfattet af den såkaldte indsigtsret efter persondatalovens
kapitel 9, hvorefter den dataansvarlige efter begæring fra en
person skal give den pågældende meddelelse om, hvorvidt
der behandles oplysninger om vedkommende.
I de tilfælde, hvor
oplysningerne også er tilgået den kommunale
forvaltning, vil den registrerede dog kunne anvende sin indsigtsret
til at få meddelelse om, hvorvidt der behandles oplysninger
om vedkommende i kommunen, ved at gøre denne ret
gældende over for kommunen. Tilsvarende vil gøre sig
gældende i forhold til oplysningspligten over for den
registrerede, jf. persondatalovens §§ 28 og 29.
Den foreslåede undtagelse fra
persondataloven vil videre indebære, at et
kommunalbestyrelsesmedlem ved en sådan behandling af
oplysninger, ikke er omfattet af persondatalovens bestemmelser om
muligheden for at gøre indsigelse mod, at oplysninger om
vedkommende gøres til genstand for behandlinger, jf. bl.a.
persondatalovens § 35, persondatalovens bestemmelser om
berigtigelse af oplysninger, jf. persondatalovens § 37,
persondatalovens bestemmelser om behandlingssikkerhed, jf.
persondatalovens kapitel 11 og persondatalovens bestemmelser om
Datatilsynets tilsyn med behandlinger, der omfattes af loven, jf.
persondatalovens kapitel 16.
I forhold til datasikkerheden
bemærkes, at en kommune - ligesom i forhold til oplysninger,
der udleveres i papirform - fortsat vil have pligt til at sikre, at
transmissionen af oplysninger til medlemmet ved anvendelse af en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen, sker på en forsvarlig og sikker
måde, samt at systemet i øvrigt er forsvarligt og
sikkert i forhold til den behandling af oplysninger, som foretages,
herunder af oplysninger, som måtte tilgå medlemmet fra
kommunen som led i medlemmets varetagelse af sit hverv.
Ved vurderingen af, hvorvidt der er
tale om behandling af oplysninger som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv, vil der skulle tages udgangspunkt
i, at alle oplysninger, som har tilknytning til medlemmets
varetagelse af det hverv, som medlemmet har modtaget i
medfør af lov om kommunale og regionale valg, er omfattet af
beskyttelsen.
Det skal således
forstås bredere end oplysninger, der vedrører et
forhold, som vil kunne indbringes for kommunalbestyrelsen som
kompetent organ, og skal tage højde for, at et
kommunalbestyrelsesmedlem som led i varetagelsen af sit hverv kan
have behov for at kommunikere om forhold, der ikke kan indbringes
for kommunalbestyrelsen, men som har tilknytning til medlemmets
varetagelse af hvervet.
Forhold, som vil kunne indbringes
for kommunalbestyrelsen, kan f.eks. være
spørgsmål om kommunens varetagelse af en kommunal
opgave, spørgsmål om kommunens anvendelse af midler
til et kommunalt formål eller spørgsmål om
kommunens administration inden for et kommunalt område.
Behandling af oplysninger, der
foretages som led i varetagelsen af et kommunalbestyrelsesmedlems
hverv, kan vedrøre enhver type oplysning, som medlemmet
modtager som led i sit hverv, i det omfang oplysningen behandles
via en kommunikationstjeneste, som kommunen har stillet til
rådighed for medlemmet. Det vil således også
omfatte de oplysninger, som kommunens forvaltning måtte sende
til medlemmet via kommunikationstjenesten, herunder f.eks.
materiale til et udvalgs- eller kommunalbestyrelsesmøde i
form af udkast til dagsorden, bilag med indstillinger m.v.
Undtagelsen omfatter oplysninger,
som medlemmet modtager vedrørende hverv, som reguleres af
lov om kommunernes styrelse. Det vil navnlig være hvervene
som kommunalbestyrelsesmedlem, medlem af økonomiudvalget,
stående udvalg, særlige udvalg og underudvalg.
Herudover vil medlemmets eventuelle hverv som medlem af
styrelsesorganet i et kommunalt fællesskab efter § 60 i
lov om kommunernes styrelse også være omfattet, da
sådanne hverv også er reguleret af lov om kommunernes
styrelse, medmindre andet er fastsat i vedtægterne for det
kommunale fællesskab. Modsat følger det heraf, at
undtagelsen ikke omfatter f.eks. hverv i selskaber, herunder
aktieselskaber, som et medlem vælges eller udpeges til af
kommunalbestyrelsen som følge af sit hverv som
kommunalbestyrelsesmedlem.
Undtagelserne vil ikke omfatte den
behandling af oplysninger, der i øvrigt foretages af et
kommunalbestyrelsesmedlem, herunder den behandling af oplysninger,
der foretages via en mailkonto eller en mobiltelefon, som medlemmet
har fået stillet til rådighed af kommunen, dvs.
behandling af oplysninger, der ikke foretages som led i
varetagelsen af et kommunalbestyrelsesmedlems hverv. Dette kunne
f.eks. være behandling af oplysninger i rent
arbejdsmæssig sammenhæng.
Denne behandling af
personoplysninger vil dermed fortsat være fuldt ud omfattet
af reglerne i persondataloven.
Hvorvidt en behandling af
oplysninger foretages som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv, vil bero på en konkret
vurdering.
Med henblik på at
understøtte formålet med lovforslaget vil der efter
forslaget gælde en formodning for, at et
kommunalbestyrelsesmedlems kommunikation ved anvendelse af en
kommunikationstjeneste som f.eks. en mailkonto eller en
mobiltelefon, som kommunen har stillet til rådighed for
medlemmet i kraft af vedkommendes medlemskab af
kommunalbestyrelsen, sker som led i varetagelsen af medlemmets
hverv.
Formodningen vil f.eks. kunne
afkræftes, hvis det ud fra en e-mails emnefelt er oplagt at
lægge til grund, at der er tale om kommunikation
vedrørende medlemmets civile erhverv eller privat
kommunikation uden relation til medlemmets varetagelse af sit hverv
som kommunalbestyrelsesmedlem.
Det vil i praksis være
betydeligt vanskeligere at afkræfte formodningen ved
medlemmets anvendelse af tekstbeskeder.
Af hensyn til en
hensigtsmæssig håndtering af disse vanskeligheder for
kommunalbestyrelsesmedlemmer, der er ansat ved samme kommune, kan
en kommune i de tilfælde overveje at stille forskellige
kommunikationstjenester til rådighed for medlemmets
varetagelse af hhv. sit hverv som kommunalbestyrelsesmedlem og sit
ansættelsesforhold ved kommunen. Det vil kunne
imødegå den større risiko for en sammenblanding
af de forskellige funktioner i disse tilfælde.
Det bemærkes, at der med den
foreslåede særregel for kommunalbestyrelsesmedlemmer
alene vil ske fravigelse og undtagelse fra reglerne i
persondataloven.
Det betyder, at anden regulering
fortsat vil finde anvendelse på kommunalbestyrelsesmedlemmers
benyttelse af de kommunikationstjenester, de har fået stillet
til rådighed af kommunen.
Sådan anden regulering vil
navnlig være retsplejelovens almindelige regler om politiets
adgang til oplysninger i forbindelse med efterforskning af
formodede strafbare forhold, hvilket som udgangspunkt
forudsætter forudgående indhentelse af en
dommerkendelse.
Et kommunalbestyrelsesmedlem vil
videre fortsat være omfattet af reglerne om tavshedspligt i
forhold til de oplysninger, som medlemmet modtager i forbindelse
med sit hverv, jf. afsnit 2.2.
Herudover vil en kommune som led i
kommunens almindelige beføjelser som offentlig myndighed ved
afværgning af kritiske angreb på kommunens IT-system
være berettiget til at tilgå alle dele af kommunens
IT-systemer, hvis dette er påkrævet af IT-faglige
grunde. Kommunen vil i den forbindelse undtagelsesvis, hvis det er
påkrævet af IT-faglige grunde for at afværge et
kritisk angreb på kommunens IT-system og en
overhængende fare for et systemnedbrud, være berettiget
til at tilgå et kommunalbestyrelsesmedlems kommunale
mailkonto.
Kommunen vil i sådanne
tilfælde ikke være berettiget til at foretage
gennemlæsning af en eller flere e-mails, men kommunens
IT-afdeling eller ekstern IT-bistand vil alene være
berettiget til systemteknisk at tilgå en mailkonto, herunder
eventuelt enkelte e-mails, der som følge af vira eller andet
udgør (en del af) angrebet på kommunens system, for at
sikre, at der ikke sker et komplet systemnedbrud.
De medarbejdere, der eventuelt
måtte tilgå en mailkonto, vil i sådanne
tilfælde være underlagt de bindinger, der følger
af almindelige forvaltningsretlige regler, som bl.a. indeholder et
krav om saglighed og proportionalitet.
Det samme vil gøre sig
gældende i forbindelse med håndteringen af et eventuelt
angreb på en mobiltelefon eller en anden
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen.
Ved behandlingen af oplysninger som
led i varetagelsen af et regionsrådsmedlems hverv i
medfør af lov om kommunale og regionale valg, hvor der
ligeledes der skulle tages udgangspunkt i, at alle oplysninger, som
har tilknytning til medlemmets varetagelse af det hverv, som
medlemmet har modtaget i medfør af lov om kommunale og
regionale valg, er omfattet af beskyttelsen, vil tilsvarende
gøre sig gældende.
3. Økonomiske og administrative konsekvenser for
det offentlige
Lovforslaget har ingen
økonomiske og administrative konsekvenser for det
offentlige.
4. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
Lovforslaget har ingen
økonomiske eller administrative konsekvenser for
erhvervslivet.
5. Administrative
konsekvenser for borgerne
Lovforslaget har ingen
økonomiske eller administrative konsekvenser for
borgerne.
6. Miljømæssige konsekvenser
Lovforslaget har ingen
miljømæssige konsekvenser for erhvervslivet.
7. Forholdet til
EU-retten
Lovforslaget indeholder fravigelse
af Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af
sådanne oplysninger.
Direktivet vurderes ikke at
være til hinder for, at der i Danmark kan fastsættes
nationale særregler om beskyttelse af kommunalbestyrelses- og
regionsrådsmedlemmers kommunale og regionale mailkonto. Der
henvises til afsnit 2.1.1.2.
8. Hørte
myndigheder og organisationer m.v.
Et udkast til lovforslag har i
perioden fra den 5. oktober 2017 til den 2. november 2017
været sendt i høring hos følgende myndigheder
og organisationer m.v.:
Advokatrådet, Ankestyrelsen,
Danske Regioner, Datatilsynet, Den Danske Dommerforening,
Digitaliseringsstyrelsen, Domstolsstyrelsen, Institut for
Menneskerettigheder, KL, Vestre Landsret og Østre
Landsret.
| Positive konsekvenser/mindreudgifter (hvis
ja, angiv omfang) | Negative konsekvenser/merudgifter (hvis
ja, angiv omfang) | Økonomiske konsekvenser for stat,
kommuner og regioner | Ingen | Ingen | Administrative konsekvenser for stat,
kommuner og regioner | Ingen | Ingen | Økonomiske konsekvenser for
erhvervslivet | Ingen | Ingen | Administrative konsekvenser for
erhvervslivet | Ingen | Ingen | Administrative konsekvenser for
borgerne | Ingen | Ingen | Miljømæssige
konsekvenser | Ingen | Ingen | Forholdet til EU-retten | Lovforslaget indeholder fravigelse af
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af
sådanne oplysninger. | Overimplementering af EU-retlige
minimumsforpligtelser (sæt X) | Ja | Nej X | | | | | | |
|
Bemærkninger til lovforslagets
enkelte bestemmelser
Til §
1
Til nr. 1
En myndighed eller virksomhed kan efter
persondataloven under visse betingelser foretage kontrol af
oplysninger, herunder f.eks. e-mail og tekstbeskeder, der behandles
i myndighedens eller virksomhedens systemer eller tjenester, som
myndigheden har stillet til rådighed for varetagelsen af
opgaver for myndigheden eller virksomheden.
En eventuel gennemgang af en medarbejders
e-mails eller tekstbeskeder må kun ske, hvis det er
nødvendigt for, at arbejdsgiveren kan forfølge
berettigede interesser, og hensynet til den ansatte ikke overstiger
disse interesser, jf. persondatalovens § 6, stk. 1, nr. 7. De
berettigede interesser kan f.eks. være hensynet til drift,
sikkerhed, genetablering og dokumentation samt hensynet til kontrol
af medarbejderes brug. Medarbejderne skal på forhånd
på en klar og utvetydig måde være informeret om
arbejdsgiverens eventuelle gennemgang af den enkelte medarbejders
e-mails og tekstbeskeder, jf. herved persondatalovens § 5,
stk. 1, om god databehandlingsskik. Kommuner er også
underlagt disse rammer.
Herudover indeholder persondataloven bl.a.
regler om behandling af oplysninger, jf. lovens kapitel 4, den
såkaldte indsigtsret i lovens kapitel 9, berigtigelse af
oplysninger, jf. lovens § 37, behandlingssikkerhed, jf. lovens
kapitel 11 og Datatilsynet, jf. lovens kapitel 16.
Der henvises til de almindelige
bemærkninger afsnit 2.1.1.1.
Efter den foreslåede bestemmelse i lov
om kommunernes styrelse § 8 b
finder persondataloven ikke anvendelse på behandling af
oplysninger, der foretages som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv. Den foreslåede undtagelse
finder anvendelse på behandling af oplysninger, som
kommunalbestyrelsesmedlemmet foretager som led i varetagelsen af
sit hverv som medlem af kommunalbestyrelsen, når medlemmet
anvender en kommunikationstjeneste, som medlemmet har fået
stillet til rådighed af kommunen.
Undtagelsen indebærer, at der ikke efter
persondataloven vil være et grundlag for at behandle
oplysninger, der indgår i kommunikationstjenester, som er
stillet til rådighed for et kommunalbestyrelsesmedlem, i det
omfang oplysningerne behandles som led i varetagelsen af
kommunalbestyrelsesmedlemmets hverv.
Dermed vil en kommune ikke i medfør af
persondataloven kunne træffe beslutning om at tilgå et
kommunalbestyrelsesmedlems kommunikation som led i varetagelse af
sit hverv, når medlemmet anvender en kommunikationstjeneste -
typisk en mailkonto eller en mobiltelefon - som medlemmet har
fået stillet til rådighed af kommunen.
Et kommunalbestyrelsesmedlems behandling af
personoplysninger vil herefter - i det omfang det sker som led i
medlemmets hverv som kommunalbestyrelsesmedlem via en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen - kunne ske, uanset om der er hjemmel i
persondataloven til den pågældende behandling.
Undtagelsen vil herudover medføre, at
persondatalovens øvrige bestemmelser ikke finder anvendelse
på behandling af oplysninger, som
kommunalbestyrelsesmedlemmet foretager som led i varetagelsen af
sit hverv, når medlemmet anvender en kommunikationstjeneste,
som medlemmet har fået stillet til rådighed af
kommunen.
Det indebærer bl.a., at persondatalovens
regler om behandling og videregivelse af oplysninger, jf.
persondatalovens kapitel 4, ikke finder anvendelse for så
vidt angår disse oplysninger, at der ikke vil være
oplysningspligt over for den registrerede, jf. persondatalovens
kapitel 8, at der ikke vil være indsigtsret for en
registreret, jf. persondatalovens kapitel 9, at reglerne om
behandlingssikkerhed, jf. persondatalovens kapitel 11, ikke vil
finde anvendelse i forhold til disse oplysninger samt at
behandlingen ikke vil være undergivet Datatilsynets tilsyn
efter loven, jf. persondatalovens kapitel 16.
Det vil f.eks. medføre, at et
kommunalbestyrelsesmedlems behandling af oplysninger, herunder om
enkelte borgere, ikke vil være omfattet af den såkaldte
indsigtsret efter persondatalovens kapitel 9, hvorefter den
dataansvarlige efter begæring fra en person skal give den
pågældende meddelelse om, hvorvidt der behandles
oplysninger om vedkommende.
Hvis oplysningerne også er tilgået
den kommunale forvaltning, vil kommunens behandling af
oplysningerne være omfattet af persondataloven. I
sådanne tilfælde vil en borger f.eks. kunne anvende sin
indsigtsret til at få oplysning om, hvorvidt der behandles
oplysninger om vedkommende i kommunen, ved at gøre denne ret
gældende over for kommunen. Tilsvarende vil gøre sig
gældende i forhold til oplysningspligten over for den
registrerede, jf. persondatalovens §§ 28 og 29.
Behandling af oplysninger, der foretages som
led i varetagelsen af et kommunalbestyrelsesmedlems hverv, men hvor
medlemmet ikke anvender en kommunikationstjeneste, som medlemmet
har fået stillet til rådighed af kommunen, er ikke
omfattet af lovforslaget.
Formålet med ændringen er
således at beskytte et kommunalbestyrelsesmedlems
kommunikation som led i varetagelsen af sit hverv som medlem af
kommunalbestyrelsen, når medlemmet anvender en
kommunikationstjeneste som f.eks. en mailkonto eller en
mobiltelefon, som medlemmet har fået stillet til
rådighed af kommunen.
Formålet med at afskære en
kommunes mulighed for at tilgå oplysninger, der behandles som
led i et kommunalbestyrelsesmedlems hverv, når medlemmet
anvender en sådan kommunikationstjeneste, er at skabe et
fortroligt rum for kommunalbestyrelsesmedlemmer til at kommunikere,
uden at kommunen- herunder eventuelt som følge af et udtalt
ønske fra politiske modstandere - under visse betingelser
måtte være berettiget til at foretage kontrol
heraf.
Et kommunalbestyrelsesmedlem vil fortsat
være omfattet af reglerne om tavshedspligt for så vidt
angår de oplysninger, som medlemmet modtager i forbindelse
med sit hverv.
Det følger bl.a. af forvaltningslovens
§ 27, stk. 1, at den, der virker inden for den offentlige
forvaltning, har tavshedspligt, jf. straffelovens § 152 og
§§ 152 c-152 f, med hensyn til oplysninger om
enkeltpersoners private, herunder økonomiske, forhold og
tekniske indretninger eller fremgangsmåder eller om drifts-
eller forretningsforhold el.lign., for så vidt det er af
væsentlig økonomisk betydning for den person eller
virksomhed, oplysningerne angår, at oplysningerne ikke
videregives.
I det omfang et kommunalbestyrelsesmedlem
modtager oplysninger af denne karakter ved anvendelse af en
kommunikationstjeneste, som er stillet til rådighed for
medlemmet af kommunen til brug for varetagelsen af medlemmets
hverv, vil medlemmet, ligesom hvis medlemmet havde modtaget
oplysningerne i papirform, skulle sikre sig, at oplysningerne
bortskaffes på forsvarlig vis, således at
fortroligheden ikke unødigt kompromitteres.
Det forudsættes i den forbindelse, at
kommunalbestyrelsesmedlemmer generelt bliver gjort bekendt med,
hvornår en oplysning kan være eller er omfattet af
reglerne om tavshedspligt, betydningen heraf og de mulige
konsekvenser ved uberettiget videregivelse af sådanne
oplysninger.
En kommune vil som følge af undtagelsen
af disse oplysninger fra persondatalovens anvendelsesområde
ikke være dataansvarlig i forhold til disse oplysninger med
de deraf følgende pligter vedrørende bl.a.
behandlingssikkerhed m.v.
Kommunen vil dog uanset dette have pligt til
at sikre, at transmissionen af oplysninger til
kommunalbestyrelsesmedlemmet ved anvendelse af en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af kommunen, sker på en forsvarlig og sikker
måde, samt at systemet i øvrigt er forsvarligt og
sikkert i forhold til den behandling af oplysninger, som foretages,
herunder af oplysninger, som tilgår medlemmet fra kommunen
som led i medlemmets varetagelse af sit hverv. Dette vil efter
ministeriets opfattelse være en parallel til kommunens
pligter til at sikre forsvarlig håndtering af oplysninger,
herunder navnlig oplysninger af fortrolig karakter, som
tilgår medlemmet fra kommunen på anden vis. F.eks. i
papirform.
Der henvises til de almindelige
bemærkninger afsnit 1 og 2.2.
Udtrykket »behandling« skal
forstås i overensstemmelse med reguleringen heraf i
persondataloven.
Det følger af persondatalovens §
3, nr. 2, at behandling er enhver operation eller række af
operationer med eller uden brug af elektronisk databehandling, som
oplysninger gøres til genstand for.
Udtrykket »oplysninger« skal
forstås i overensstemmelse med anvendelsesområdet for
persondataloven. Anvendelsesområdet for persondataloven er
fastlagt i lovens § 1 og er nærmere beskrevet i
bemærkningerne til denne bestemmelse, jf. Folketingstidende
1999-2000, tillæg A, side 3994.
Udtrykket »som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv« omfatter alle oplysninger,
som har tilknytning til medlemmets varetagelse af det hverv som
medlem af kommunalbestyrelsen, som medlemmet har modtaget i
medfør af lov om kommunale og regionale valg.
Det vil således omfatte behandling af
alle oplysninger, som medlemmet modtager eller afsender som
følge af medlemmets varetagelse af hvervet som
kommunalbestyrelsesmedlem. Oplysningerne behøver ikke
isoleret set at vedrøre en sag, der kan indbringes for
kommunalbestyrelsen, men oplysningerne modtages eller afsendes af
medlemmet i medlemmets egenskab af medlem af
kommunalbestyrelsen.
Behandling af oplysninger, der foretages som
led i varetagelsen af et kommunalbestyrelsesmedlems hverv, kan
vedrøre enhver type oplysning, som medlemmet modtager som
led i sit hverv, i det omfang oplysningen modtages via en
kommunikationstjeneste, som kommunen har stillet til rådighed
for medlemmet. Det vil således også omfatte de
oplysninger, som kommunens forvaltning måtte sende til
medlemmet via kommunikationstjenesten, herunder f.eks. materiale
til et udvalgs- eller kommunalbestyrelsesmøde i form af
udkast til dagsorden, bilag med indstillinger m.v.
Undtagelsen omfatter oplysninger, som
medlemmet modtager vedrørende hvervet som medlem af
kommunalbestyrelsen eller andre hverv, som medlemmet modtager i
kraft af dette hverv, og som reguleres af lov om kommunernes
styrelse. Det vil navnlig være hvervene som
kommunalbestyrelsesmedlem og som medlem af økonomiudvalg,
stående udvalg, særlige udvalg og underudvalg.
Herudover vil medlemmets eventuelle hverv som medlem af
styrelsesorganet i et kommunalt fællesskab efter § 60 i
lov om kommunernes styrelse også være omfattet, da
sådanne hverv også er reguleret af lov om kommunernes
styrelse, medmindre andet er fastsat i vedtægterne for det
kommunale fællesskab.
Modsat følger det heraf, at undtagelsen
ikke omfatter andre hverv, som et medlem af kommunalbestyrelsen
varetager efter valg eller forslag af kommunen end medlemskab af
kommunalbestyrelsens udvalg eller underudvalg, jf. § 16 e i
lov om kommunernes styrelse. Undtagelsen omfatter f.eks. ikke hverv
i bestyrelsen for selskaber, herunder aktieselskaber, som et medlem
vælges eller udpeges til af kommunalbestyrelsen.
Undtagelsen omfatter heller ikke hvervet som
øverste daglig leder af kommunens forvaltning, som
borgmesteren varetager, jf. § 31, stk. 3, i lov om kommunernes
styrelse, hvervet som øverste daglig leder af en del af
forvaltningen, der i kommuner med delt administrativ ledelse
varetages af formændene for de stående udvalg, jf.
§ 64 a i lov om kommunernes styrelse, og hvervet som
øverste daglige leder af forvaltningen, som i kommuner med
magistratsstyre varetages af borgmesteren og de øvrige
medlemmer af magistraten, jf. § 64 i lov om kommunernes
styrelse.
Det bemærkes i den forbindelse, at den
foreslåede undtagelse fra persondatalovens regler udelukkende
finder anvendelse, når et kommunalbestyrelsesmedlem som led i
sit kommunale hverv behandler oplysninger i form af korrespondance
via en kommunikationstjeneste, som kommunen har stillet til
rådighed for medlemmet til medlemmets varetagelse af hvervet.
Den virksomhed, et politisk parti måtte udføre, er
ikke undtaget fra persondatalovens regler. Politiske partier skal
således naturligvis fortsat overholde de almindelige regler
om behandling af personoplysninger, der følger af
persondataloven.
Hvorvidt en behandling af oplysninger
foretages som led i varetagelsen af et kommunalbestyrelsesmedlems
hverv, beror på en konkret vurdering.
Af hensyn til at understøtte
formålet med ændringen, som er at beskytte et
kommunalbestyrelsesmedlems kommunikation som led i varetagelsen af
sit hverv som medlem af kommunalbestyrelsen, når medlemmet
anvender en kommunikationstjeneste, som medlemmet har fået
stillet til rådighed af kommunen, forudsættes der at
gælde en formodning for, at den behandling af oplysninger,
som sker, når kommunalbestyrelsesmedlemmet anvender denne
tjeneste, sker som led i varetagelsen af
kommunalbestyrelsesmedlemmets hverv.
Formodningen vil f.eks. kunne afkræftes,
hvis det ud fra en e-mails emnefelt er oplagt at lægge til
grund, at der er tale om kommunikation vedrørende medlemmets
civile erhverv eller private kommunikation uden relation til
medlemmets varetagelse af sit hverv som
kommunalbestyrelsesmedlem.
Det vil i praksis være betydeligt
vanskeligere at afkræfte formodningen ved medlemmets
anvendelse af tekstbeskeder.
Af hensyn til en hensigtsmæssig
håndtering af disse vanskeligheder for
kommunalbestyrelsesmedlemmer, der er ansat i den kommune, den
pågældende også er valgt i, kan det overvejes at
stille forskellige kommunikationstjenester til rådighed for
medlemmets varetagelse af hhv. sit hverv som
kommunalbestyrelsesmedlem og sit ansættelsesforhold ved
kommunen. Det vil kunne imødegå den større
risiko for en sammenblanding af de forskellige funktioner i disse
tilfælde.
Kommunalbestyrelsesmedlemmets eventuelle
øvrige anvendelse af kommunikationstjenesten - dvs.
behandling af oplysninger, der ikke sker som led i medlemmets
varetagelse af sit hverv - vil ikke være omfattet af den
særlige beskyttelse, som indføres med dette
lovforslag, men vil være underlagt de almindelige regler i
persondataloven. Det vil f.eks. være tilfældet, hvis et
kommunalbestyrelsesmedlem, der er ansat i den kommune, som den
pågældende er valgt i, som led i sit
ansættelsesforhold foretager konkret sagsbehandling via sin
kommunale mailkonto.
Hvis et kommunalbestyrelsesmedlem, der er
ansat i den kommune, den pågældende også er valgt
i, anvender den pågældende kommunikationstjeneste i
forbindelse med sit civile erhverv, vil det således ikke
være omfattet af undtagelsen. Denne behandling af
personoplysninger vil være fuldt ud omfattet af reglerne i
persondataloven.
Det forhold, at et kommunalbestyrelsesmedlem
eventuelt i større eller mindre omfang har anvendt f.eks.
sin kommunale mailkonto i forbindelse med sit civile erhverv,
medfører ikke, at en kommune vil have adgang til at
tilgå den samlede kommunikation, som medlemmet har
ført via sin kommunale mailkonto.
Kommunalbestyrelsesmedlemmets kommunikation som led i varetagelsen
af sit hverv vil fortsat være omfattet af den
foreslåede beskyttelse.
Det gælder også i forhold til
kommunalbestyrelsesmedlemmer, der er ansat i kommunen. Kommunen vil
i kraft af sin eventuelle arbejdsgiverrolle i sådanne
tilfælde alene være berettiget til at få indsigt
i e-mails m.v. af arbejdsmæssig karakter for kommunen, som
medlemmet har håndteret via sin kommunale
kommunikationstjeneste.
Der vil også i sådanne
tilfælde gælde en formodning for, at behandlingen af
oplysninger, som sker, når kommunalbestyrelsesmedlemmet
anvender denne tjeneste, sker som led i varetagelsen af
kommunalbestyrelsesmedlemmets hverv, som evt. kan afkræftes
ud fra e-mailens emnefelt, jf. ovenfor.
En kommune vil således i det hele
være afskåret fra at få indsigt i e-mails m.v.
vedrørende kommunalbestyrelsesmedlemmets varetagelse af sit
hverv, som medlemmet har håndteret via en
kommunikationstjeneste, som kommunen har stillet til rådighed
for medlemmet.
En kommune vil som led i kommunens almindelige
beføjelser som offentlig myndighed ved afværgning af
kritiske angreb på kommunens IT-system være berettiget
til at tilgå alle dele af kommunens IT-systemer, hvis dette
er påkrævet af IT-faglige grunde. Kommunen vil i den
forbindelse undtagelsesvis, hvis det er påkrævet af
IT-faglige grunde for at afværge et kritisk angreb på
kommunens IT-system og en overhængende fare for et
systemnedbrud, være berettiget til at tilgå et
kommunalbestyrelsesmedlems kommunale mailkonto.
Kommunen vil i sådanne tilfælde
ikke være berettiget til at foretage gennemlæsning af
en eller flere e-mails, men kommunens IT-afdeling eller ekstern
IT-bistand vil alene være berettiget til systemteknisk at
tilgå en mailkonto, herunder eventuelt enkelte e-mails, der
som følge af vira eller andet udgør (en del af)
angrebet på kommunens system, for at sikre, at der ikke sker
et komplet systemnedbrud.
Det forudsættes, at kommunen i givet
fald giver det pågældende kommunalbestyrelsesmedlem en
orientering om kommunens dispositioner.
Kommunens IT-afdeling eller ekstern IT-bistand
vil i forhold til de oplysninger, som de måtte komme i
besiddelse af i den forbindelse, bl.a. være underlagt de
bindinger, der følger af almindelige forvaltningsretlige
regler, som bl.a. indeholder et krav om saglighed og
proportionalitet.
Det forvaltningsretlige princip om saglighed
indebærer, at offentlige myndigheder ikke må
forfølge hensyn, der i sammenhængen er usaglige eller
uvedkommende, mens proportionalitetsprincippet indebærer, at
et indgreb ikke må være mere vidtgående end
formålet tilsiger.
Det følger bl.a. af kravene til
saglighed og proportionalitet, at indsamling og videregivelse af
oplysninger skal ske til saglige formål, samt at det ikke
må omfatte mere, end hvad der kræves til opfyldelse af
de formål, jf. her også principperne i persondatalovens
§ 5 om god databehandlingsskik.
Videregivelse til borgmesteren eller andre i
den kommunale forvaltning af konkrete oplysninger om, hvilke
e-mails til og fra et kommunalbestyrelsesmedlem en sådan
IT-mæssig håndtering har fremfundet, vil ikke
være saglig.
Det samme vil gøre sig gældende i
forbindelse med håndteringen af et eventuelt hackerangreb
på en mobiltelefon eller en anden kommunikationstjeneste, som
medlemmet har fået stillet til rådighed af
kommunen.
Det kommunale og regionale tilsyn vil kunne
påse, om kommunens beslutning om at tilgå et
kommunalbestyrelsesmedlems kommunikationstjeneste, som er stillet
til rådighed af kommunen, har været lovlig.
Der henvises i øvrigt til de
almindelige bemærkninger afsnit 2.2.
Til §
2
Til nr. 1
En myndighed eller virksomhed kan efter
persondataloven under visse betingelser foretage kontrol af
oplysninger, herunder f.eks. e-mail og tekstbeskeder, der behandles
i myndighedens eller virksomhedens systemer eller tjenester, som
myndigheden har stillet til rådighed for varetagelsen af
opgaver for myndigheden eller virksomheden.
En eventuel gennemgang af en medarbejders
e-mails eller tekstbeskeder må kun ske, hvis det er
nødvendigt for, at arbejdsgiveren kan forfølge
berettigede interesser, og hensynet til den ansatte ikke overstiger
disse interesser, jf. persondatalovens § 6, stk. 1, nr. 7. De
berettigede interesser kan f.eks. være hensynet til drift,
sikkerhed, genetablering og dokumentation samt hensynet til kontrol
af medarbejderes brug. Medarbejderne skal på forhånd
på en klar og utvetydig måde være informeret om
arbejdsgiverens eventuelle gennemgang af den enkelte medarbejders
e-mails og tekstbeskeder, jf. herved persondatalovens § 5,
stk. 1, om god databehandlingsskik. Regioner er også
underlagt disse rammer.
Herudover indeholder persondataloven bl.a.
regler om behandling af oplysninger, jf. lovens kapitel 4, den
såkaldte indsigtsret i lovens kapitel 9, berigtigelse af
oplysninger, jf. lovens § 37, behandlingssikkerhed, jf. lovens
kapitel 11 og Datatilsynet, jf. lovens kapitel 16.
Der henvises til de almindelige
bemærkninger afsnit 2.1.1.1.
Efter den foreslåede ændring af
regionslovens § 12, stk. 1, finder persondataloven ikke
anvendelse på behandling af oplysninger, der foretages som
led i varetagelsen af et regionsrådsmedlems hverv. Den
foreslåede undtagelse finder anvendelse på behandling
af oplysninger, som regionsrådsmedlemmet foretager som led i
varetagelsen af sit hverv som medlem af regionsrådet,
når medlemmet anvender en kommunikationstjeneste, som
medlemmet har fået stillet til rådighed af
regionen.
Undtagelsen indebærer, at der ikke efter
persondataloven vil være et grundlag for at behandle
oplysninger, der indgår i kommunikationstjenester, som er
stillet til rådighed for et regionsrådsmedlem, i det
omfang oplysningerne behandles som led i varetagelsen af
regionsrådsmedlemmets hverv.
Dermed vil en region ikke i medfør af
persondataloven kunne træffe beslutning om at tilgå et
regionsrådsmedlems kommunikation som led i varetagelse af sit
hverv, når medlemmet anvender en kommunikationstjeneste -
typisk en mailkonto eller en mobiltelefon - som medlemmet har
fået stillet til rådighed af regionen.
Et regionsrådsmedlems behandling af
personoplysninger vil herefter - i det omfang det sker som led i
medlemmets hverv som regionsrådsmedlem via en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af regionen - kunne ske, uanset om der er hjemmel i
persondataloven til den pågældende behandling.
Undtagelsen vil herudover medføre, at
persondatalovens øvrige bestemmelser ikke finder anvendelse
på behandling af oplysninger, som regionsrådsmedlemmet
foretager som led i varetagelsen af sit hverv, når medlemmet
anvender en kommunikationstjeneste, som medlemmet har fået
stillet til rådighed af regionen.
Det indebærer bl.a., at persondatalovens
regler om behandling og videregivelse af oplysninger, jf.
persondatalovens kapitel 4, ikke finder anvendelse for så
vidt angår disse oplysninger, at der ikke vil være
oplysningspligt over for den registrerede, jf. persondatalovens
kapitel 8, at der ikke vil være indsigtsret for en
registreret, jf. persondatalovens kapitel 9, at reglerne om
behandlingssikkerhed, jf. persondatalovens kapitel 11, ikke vil
finde anvendelse i forhold til disse oplysninger samt at
behandlingen ikke vil være undergivet Datatilsynets tilsyn
efter loven, jf. persondatalovens kapitel 16.
Det vil f.eks. medføre, at et
regionsrådsmedlems behandling af oplysninger, herunder om
enkelte borgere, ikke vil være omfattet af den såkaldte
indsigtsret efter persondatalovens kapitel 9, hvorefter den
dataansvarlige efter begæring fra en person skal give den
pågældende meddelelse om, hvorvidt der behandles
oplysninger om vedkommende.
Hvis oplysningerne også er tilgået
den regionale forvaltning, vil regionens behandling af
oplysningerne være omfattet af persondataloven. I
sådanne tilfælde vil en borger f.eks. kunne anvende sin
indsigtsret til at få oplysning om, hvorvidt der behandles
oplysninger om vedkommende i regionen, ved at gøre denne ret
gældende over for regionen. Tilsvarende vil gøre sig
gældende i forhold til oplysningspligten over for den
registrerede, jf. persondatalovens §§ 28 og 29.
Behandling af oplysninger, der foretages som
led i varetagelsen af et regionsrådsmedlems hverv, men hvor
medlemmet ikke anvender en kommunikationstjeneste, som medlemmet
har fået stillet til rådighed af regionen, er ikke
omfattet af lovforslaget.
Formålet med ændringen er
således at beskytte et regionsrådsmedlems kommunikation
som led i varetagelsen af sit hverv som medlem af
regionsrådet, når medlemmet anvender en
kommunikationstjeneste som f.eks. en mailkonto eller en
mobiltelefon, som medlemmet har fået stillet til
rådighed af regionen.
Formålet med at afskære en regions
mulighed for at tilgå oplysninger, der behandles som led i et
regionsrådsmedlems hverv, er at skabe et fortroligt rum for
regionsrådsmedlemmer til at kommunikere, uden at regionen -
herunder eventuelt som følge af et udtalt ønske fra
politiske modstandere - under visse betingelser måtte
være berettiget til at foretage kontrol heraf.
Et regionsrådsmedlem vil fortsat
være omfattet af reglerne om tavshedspligt for så vidt
angår de oplysninger, som medlemmet modtager i forbindelse
med sit hverv.
Det følger bl.a. af forvaltningslovens
§ 27, stk. 1, at den, der virker inden for den offentlige
forvaltning, har tavshedspligt, jf. straffelovens § 152 og
§§ 152 c-152 f, med hensyn til oplysninger om
enkeltpersoners private, herunder økonomiske, forhold og
tekniske indretninger eller fremgangsmåder eller om drifts-
eller forretningsforhold el.lign., for så vidt det er af
væsentlig økonomisk betydning for den person eller
virksomhed, oplysningerne angår, at oplysningerne ikke
videregives.
I det omfang et regionsrådsmedlem
modtager oplysninger af denne karakter ved anvendelse af en
kommunikationstjeneste, som er stillet til rådighed for
medlemmet af regionen til brug for varetagelsen af medlemmets
hverv, vil medlemmet, ligesom hvis medlemmet havde modtaget
oplysningerne i papirform, skulle sikre sig, at oplysningerne
bortskaffes på forsvarlig vis, således at
fortroligheden ikke unødigt kompromitteres.
Det forudsættes i den forbindelse, at
regionsrådsmedlemmer generelt bliver gjort bekendt med,
hvornår en oplysning kan være eller er omfattet af
reglerne om tavshedspligt, betydningen heraf og de mulige
konsekvenser ved uberettiget videregivelse af sådanne
oplysninger.
En region vil som følge af undtagelsen
af disse oplysninger fra persondatalovens anvendelsesområde
ikke være dataansvarlig i forhold til disse oplysninger med
de deraf følgende pligter vedrørende bl.a.
behandlingssikkerhed m.v.
Regionen vil dog uanset dette have pligt til
at sikre, at transmissionen af oplysninger til
regionsrådsmedlemmet ved anvendelse af en
kommunikationstjeneste, som medlemmet har fået stillet til
rådighed af regionen, sker på en forsvarlig og sikker
måde, samt at systemet i øvrigt er forsvarligt og
sikkert i forhold til den behandling af oplysninger, som foretages,
herunder af oplysninger, som tilgår medlemmet fra regionen
som led i medlemmets varetagelse af sit hverv. Dette vil efter
ministeriets opfattelse være en parallel til regionens
pligter til at sikre forsvarlig håndtering af oplysninger,
herunder navnlig oplysninger af fortrolig karakter, som
tilgår medlemmet fra regionen på anden vis. F.eks. i
papirform.
Der henvises til de almindelige
bemærkninger afsnit 1 og 2.2.
Udtrykket »behandling« skal
forstås i overensstemmelse med reguleringen heraf i
persondataloven.
Det følger af persondatalovens §
3, nr. 2, at behandling er enhver operation eller række af
operationer med eller uden brug af elektronisk databehandling, som
oplysninger gøres til genstand for.
Udtrykket »oplysninger« skal
forstås i overensstemmelse med anvendelsesområdet for
persondataloven. Anvendelsesområdet for persondataloven er
fastlagt i lovens § 1 og er nærmere beskrevet i
bemærkningerne til denne bestemmelse, jf. Folketingstidende
1999-2000, tillæg A, side 3994.
Udtrykket »som led i varetagelsen af et
regionsrådsmedlems hverv« omfatter alle oplysninger,
som har tilknytning til medlemmets varetagelse af det hverv som
medlem af regionsrådet, som medlemmet har modtaget i
medfør af lov om kommunale og regionale valg.
Det vil således omfatte behandling af
alle oplysninger, som medlemmet modtager eller afsender som
følge af medlemmets varetagelse af hvervet som
regionsrådsmedlem. Oplysningerne behøver ikke isoleret
set at vedrøre en sag, der kan indbringes for
regionsrådet, men oplysningerne modtages eller afsendes af
medlemmet i medlemmets egenskab af medlem af
regionsrådet.
Behandling af oplysninger, der foretages som
led i varetagelsen af et regionsrådsmedlems hverv, kan
vedrøre enhver type oplysning, som medlemmet modtager som
led i sit hverv, i det omfang oplysningen modtages via en
kommunikationstjeneste, som regionen har stillet til rådighed
for medlemmet. Det vil således også omfatte de
oplysninger, som regionens forvaltning måtte sende til
medlemmet via kommunikationstjenesten, herunder f.eks. materiale
til et udvalgs- eller regionsrådsmøde i form af udkast
til dagsorden, bilag med indstillinger m.v.
Undtagelsen omfatter oplysninger, som
medlemmet modtager vedrørende hvervet som medlem af
regionsrådet eller andre hverv, som medlemmet modtager i
kraft af dette hverv, og som reguleres af regionsloven. Det vil
navnlig være hvervene som regionsrådsmedlem og som
medlem af forretningsudvalg, økonomiudvalg, stående
udvalg, særlige udvalg og underudvalg.
Modsat følger det heraf, at undtagelsen
ikke omfatter andre hverv, som et medlem af regionsrådet
varetager efter valg eller forslag af regionen end medlemskab af
regionsrådets udvalg eller underudvalg, jf. § 16 e i lov
om kommunernes styrelse, som gælder tilsvarende for
regionsrådet og dets medlemmer, jf. regionslovens § 12,
stk. 1. Undtagelsen omfatter f.eks. ikke hverv i bestyrelsen for
selskaber, herunder aktieselskaber, som et medlem vælges
eller udpeges til af regionsrådet.
Undtagelsen omfatter heller ikke hvervet som
øverste daglig leder af regionens forvaltning, som
regionsrådsformanden varetager, jf. regionslovens § 16,
jf. § 31, stk. 3, i lov om kommunernes styrelse.
Det bemærkes i den forbindelse, at den
foreslåede undtagelse fra persondatalovens regler udelukkende
finder anvendelse, når et regionsrådsmedlem som led i
sit regionale hverv behandler oplysninger i form af korrespondance
via en kommunikationstjeneste, som regionen har stillet til
rådighed for medlemmet til medlemmets varetagelse af hvervet.
Den virksomhed, et politisk parti måtte udføre, er
ikke undtaget fra persondatalovens regler. Politiske partier skal
således naturligvis fortsat overholde de almindelige regler
om behandling af personoplysninger, der følger af
persondataloven.
Hvorvidt en behandling af oplysninger
foretages som led i varetagelsen af et regionsrådsmedlems
hverv, beror på en konkret vurdering.
Af hensyn til at understøtte
formålet med ændringen, som er at beskytte et
regionsrådsmedlems kommunikation som led i varetagelsen af
sit hverv som medlem af regionsrådet, når medlemmet
anvender en kommunikationstjeneste, som medlemmet har fået
stillet til rådighed af regionen, forudsættes der at
gælde en formodning for, at den behandling af oplysninger,
som sker, når regionsrådsmedlemmet anvender denne
tjeneste, sker som led i varetagelsen af
regionsrådsmedlemmets hverv.
Formodningen vil f.eks. kunne afkræftes,
hvis det ud fra en e-mails emnefelt er oplagt at lægge til
grund, at der er tale om kommunikation vedrørende medlemmets
civile erhverv eller private kommunikation uden relation til
medlemmets varetagelse af sit hverv som
regionsrådsmedlem.
Det vil i praksis være betydeligt
vanskeligere at afkræfte formodningen ved medlemmets
anvendelse af tekstbeskeder.
Af hensyn til en hensigtsmæssig
håndtering af disse vanskeligheder for
regionsrådsmedlemmer, der er ansat i den region, den
pågældende også er valgt i, kan det overvejes at
stille forskellige kommunikationstjenester til rådighed for
medlemmets varetagelse af sit hverv som regionsrådsmedlem.
Det vil kunne imødegå den større risiko for en
sammenblanding af de forskellige funktioner i disse
tilfælde.
Regionsrådsmedlemmets eventuelle
øvrige anvendelse af kommunikationstjenesten - dvs.
behandling af oplysninger, der ikke sker som led i medlemmets
varetagelse af sit hverv - vil ikke være omfattet af den
særlige beskyttelse, som indføres med dette
lovforslag, men vil være underlagt de almindelige regler i
persondataloven. Det vil f.eks. være tilfældet, hvis et
regionsrådsmedlem, der er ansat i den region, som den
pågældende er valgt i, som led i sit
ansættelsesforhold foretager konkret sagsbehandling via sin
regionale mailkonto.
Hvis et regionsrådsmedlem, der er ansat
i den region, den pågældende også er valgt i,
anvender den pågældende kommunikationstjeneste i
forbindelse med sit civile erhverv, vil det således ikke
være omfattet af undtagelsen. Denne behandling af
personoplysninger vil være fuldt ud omfattet af reglerne i
persondataloven.
Det forhold, at et regionsrådsmedlem
eventuelt i større eller mindre omfang har anvendt f.eks.
sin regionale mailkonto i forbindelse med sit civile erhverv,
medfører ikke, at en region vil have adgang til at
tilgå den samlede kommunikation, som medlemmet har
ført via sin regionale mailkonto.
Regionsrådsmedlemmets kommunikation som led i varetagelsen af
sit hverv vil fortsat være omfattet af den foreslåede
beskyttelse.
Det gælder også i forhold til
regionsrådsmedlemmer, der er ansat i regionen. Regionen vil i
kraft af sin eventuelle arbejdsgiverrolle i sådanne
tilfælde alene være berettiget til at få indsigt
i e-mails m.v. af arbejdsmæssig karakter for regionen, som
medlemmet har håndteret via sin regionale
kommunikationstjeneste.
Der vil også i sådanne
tilfælde gælde en formodning for, at behandlingen af
oplysninger, som sker, når regionsrådsmedlemmet
anvender denne tjeneste, sker som led i varetagelsen af
regionsrådsmedlemmets hverv, som evt. kan afkræftes ud
fra e-mailens emnefelt, jf. ovenfor.
En region vil således i det hele
være afskåret fra at få indsigt i e-mails m.v.
vedrørende regionsrådsmedlemmets varetagelse af sit
hverv, som medlemmet har håndteret via en
kommunikationstjeneste, som regionen har stillet til rådighed
for medlemmet.
En region vil som led i regionens almindelige
beføjelser som offentlig myndighed ved afværgning af
kritiske angreb på regionens IT-system være berettiget
til at tilgå alle dele af regionens IT-systemer, hvis dette
er påkrævet af IT-faglige grunde. Regionen vil i den
forbindelse undtagelsesvis, hvis det er påkrævet af
IT-faglige grunde for at afværge et kritisk angreb på
regionens IT-system og en overhængende fare for et
systemnedbrud, være berettiget til at tilgå et
regionsrådsmedlems regionale mailkonto.
Regionen vil i sådanne tilfælde
ikke være berettiget til at foretage gennemlæsning af
en eller flere e-mails, men regionens IT-afdeling eller ekstern
IT-bistand vil alene være berettiget til systemteknisk at
tilgå en mailkonto, herunder eventuelt enkelte e-mails, der
som følge af vira eller andet udgør (en del af)
angrebet på regionens system, for at sikre, at der ikke sker
et komplet systemnedbrud.
Det forudsættes, at regionen i givet
fald giver det pågældende regionsrådsmedlem en
orientering om regionens dispositioner.
Regionens IT-afdeling eller ekstern IT-bistand
vil i forhold til de oplysninger, som de måtte komme i
besiddelse af i den forbindelse, bl.a. være underlagt de
bindinger, der følger af almindelige forvaltningsretlige
regler, som bl.a. indeholder et krav om saglighed og
proportionalitet.
Det forvaltningsretlige princip om saglighed
indebærer, at offentlige myndigheder ikke må
forfølge hensyn, der i sammenhængen er usaglige eller
uvedkommende, mens proportionalitetsprincippet indebærer, at
et indgreb ikke må være mere vidtgående end
formålet tilsiger.
Det følger bl.a. af kravene til
saglighed og proportionalitet, at indsamling og videregivelse af
oplysninger skal ske til saglige formål, samt at det ikke
må omfatte mere, end hvad der kræves til opfyldelse af
de formål, jf. her også principperne i persondatalovens
§ 5 om god databehandlingsskik.
Videregivelse til regionsrådsformanden
eller andre i den regionale forvaltning af konkrete oplysninger om,
hvilke e-mails til og fra et regionsrådsmedlem en sådan
IT-mæssig håndtering har fremfundet, vil ikke
være saglig.
Det samme vil gøre sig gældende i
forbindelse med håndteringen af et eventuelt hackerangreb
på en mobiltelefon eller en anden kommunikationstjeneste, som
medlemmet har fået stillet til rådighed af
regionen.
Det kommunale og regionale tilsyn vil kunne
påse, om regionens beslutning om at tilgå et
regionsrådsmedlems kommunikationstjeneste, som er stillet til
rådighed af regionen, har været lovlig.
Der henvises i øvrigt til de
almindelige bemærkninger afsnit 2.2.
Til §
3
Det foreslås, at loven træder i
kraft den 1. januar 2018.
Med den foreslåede
ikrafttrædelsesbestemmelse vil kommunalbestyrelses- og
regionsrådsmedlemmers anvendelse som led i varetagelsen af
deres hverv af de kommunikationstjenester, som de får stillet
til rådighed af kommunen eller regionen, være beskyttet
fra og med den 1. januar 2018.
De kommunalbestyrelses- og
regionsrådsmedlemmer, der vælges ved kommunal- og
regionalvalget i november 2017, og tiltræder den 1. januar
2018, vil dermed være omfattet af beskyttelsen i hele deres
hvervsperiode.
For de nuværende kommunalbestyrelses- og
regionsrådsmedlemmer, der måtte blive genvalgt ved
kommunal- og regionalvalget den 21. november 2017, indebærer
ændringen, at deres anvendelse af kommunikationstjenester,
som de får stillet til rådighed af kommuner eller
regionen, vil være omfattet af beskyttelsen fra den 1. januar
2018. Beskyttelsen vil omfatte kommunikationstjenesten som
sådan.
Lovforslaget gælder ikke for
Færøerne og Grønland, eftersom hverken lov om
kommunernes styrelse eller regionsloven gælder for disse dele
af riget.
Bilag 1
Lovforslaget sammenholdt med gældende
lov
| | | | | | | | § 1 | | | | | | I lov om kommunernes styrelse, jf.
lovbekendtgørelse nr. 318 af 28. marts 2017, foretages
følgende ændring: | | | | | | 1. Efter
§ 8 a indsættes: »§ 8 b.
Lov om behandling af personoplysninger finder ikke anvendelse
på behandling af oplysninger, der foretages som led i
varetagelsen af et kommunalbestyrelsesmedlems hverv.« | | | | | | § 2 | | | | | | I regionsloven, jf. lovbekendtgørelse
nr. 319 af 28. marts 2017, foretages følgende
ændring: | | | | § 12. Lov
om kommunernes styrelse § 7 om valget af kommunalbestyrelsens
formand og næstformand, §§ 9-15 om
kommunalbestyrelsens møder m.v. samt § 16 b, stk. 1-3,
og §§ 16 c-16 e om kommunalbestyrelsesmedlemmers ret til
fravær fra arbejde, forbud mod afskedigelse m.v. og
offentliggørelse af vederlag finder tilsvarende anvendelse
for regionsrådet og dets medlemmer. Stk. 2-3.
--- | | 1. I § 12, stk. 1, indsættes efter
»næstformand,«: »§ 8 b om behandling
af oplysninger som led i varetagelsen af et
kommunalbestyrelsesmedlems hverv,«. | | | | | | § 3 | | | | | | Loven træder i kraft den 1. januar
2018. |
|