14. juli  2008	Vedrørende forslag til lov om ændring af lov om arbejdsløshedsforsikring mv. (Beregning af dagpenge, opgørelse af beskæftigelseskrav samt arbejdsløshedskassernes adgang til registersamkøring som følge af anvendelse af oplysninger i eIndkomstregistret)

 

 

Ved brev af 27. juni 2008 har Arbejdsdirektoratet fremsendt et udkast til ovennævnte forslag og anmodet Datatilsynet om eventuelle bemærkninger.

 

I den anledning skal Datatilsynet udtale følgende:

 

1. Vedrørende årsagen til afslag på job (§ 1, nr. 28)

Det fremgår af udkastet, at det påtænkes foreslået, at der i lovens § 91, stk. 1, nr. 1, skabes hjemmel for a-kasserne og Arbejdsdirektoratet til som led i rådighedsvurderinger, tilsynsarbejde og klagesags­behand­ling, at pålægge arbejdsgiverne at oplyse om årsagen til, at et medlem ikke fik ansættelse i et job, som jobcentret, a-kassen eller en anden aktør havde formidlet.

 

Dette forslag vil efter Datatilsynets opfattelse kunne indebære en række behandlinger omfattet af persondataloven[1], herunder videregivelse af personoplysninger fra arbejdsgiverne og indsamling, brug og registrering af sådanne oplysninger hos Arbejdsdirektoratet og a-kasserne.

Datatilsynet går ud fra, at der vil kunne blive tale om behandling af såvel almindelige som følsomme personoplysninger. Behandling af følsomme personoplysninger vil f.eks. kunne komme på tale, hvis en ansøger ikke har kunnet få et job på grund af tilførsler til vedkommendes straffeattest.

 

Det foreliggende udkast til lovforslag ses imidlertid hverken at indeholde en vurdering af de påtænkte behandlinger af personoplysninger i forhold til persondataloven eller databeskyttelsesdirektivet[2].

 

For så vidt angår forholdet mellem persondataloven og anden lovgivning skal Datatilsynet henlede opmærksomheden på persondatalovens § 2, stk. 1, og forarbejderne hertil. Konsekvensen af reglen er, at persondataloven går forud for regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en dårligere retsstilling end persondataloven. Dette gælder dog ikke, hvis den dårligere retsstilling har været tilsigtet og i øvrigt ikke strider mod databeskyttelsesdirektivet.

 

Datatilsynet skal derfor henstille, at der i lovforslaget foretages en vurdering af, om de behandlinger af personoplysninger, som vil kunne ske hvis lovforslaget gennemføres, er forenelige med persondataloven, eller om lovforslaget tilsigter at fravige persondataloven.

 

Datatilsynet skal særligt pege på persondatalovens § 5, stk. 2 og 3, om formålsbestemthed og proportionalitet, som bygger på databeskyttelsesdirektivet.

 

Datatilsynet går i den forbindelse ud fra, at arbejdsgivernes behandling af oplysninger om afslag på en given jobansøgning sker med et udtrykkeligt formål, der vedrører besættelse af en stilling i virksomheden. Senere behandling, herunder videregivelse til andre og andres modtagelse og behandling af oplysningerne, må ikke være uforenelig med dette formål, jf. persondatalovens § 5, stk. 2, og databeskyttelsesdirektivets artikel 6, stk. 1, litra b.

Det er Datatilsynets umiddelbare vurdering, at personer, som modtager afslag på en stillingsansøgning, i almindelighed vil have en berettiget forventning om, at oplysninger om begrundelsen for afslaget ikke anvendes til andre formål og ikke kommer til andres kendskab.

Datatilsynet skal desuden pege på reglen i persondatalovens § 5, stk. 4, om datakvalitet og den tilsvarende bestemmelse i databeskyttelsesdirektivets artikel 6, stk. 1, litra d.

 

De oplysninger, som en virksomhed vil give om grunden til et afslag på en stillingsansøgning, vil efter Datatilsynets umiddelbare vurdering kunne indeholde subjektive vurderinger. Tilsynet finder derfor, at der er grund til at overveje, om disse oplysninger overhovedet har en sådan kvalitet, at de er egnede til at indgå i registreringen og sagsbehandlingen hos offentlige myndigheder eller a-kasser.

 

Tilsynet skal endvidere henstille, at forholdet til databeskyttelsesdirektivet vurderes. Hvis der skal være mulighed for behandling af følsomme personoplysninger om f.eks. strafbare forhold, må Arbejdsdirektoratet foretage en vurdering i forhold til direktivets artikel 8, stk. 4-6.

 

Det følger bl.a. af direktivets artikel 8, stk. 5, at behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger kun må foretages under kontrol af en offentlig myndighed, eller hvis der gælder tilstrækkelige, specifikke garantier i medfør af den nationale lovgivning med forbehold af de undtagelser, som medlemsstaten kan fastsætte på grundlag af nationale lovbestemmelser, hvorefter der gives tilstrækkelige, specifikke garantier.

 

Ud over, at der i den nationale lovgivning skal gives tilstrækkelige, specifikke garantier som beskrevet i direktivets artikel 8, stk. 5, skal Datatilsynet henlede opmærksomheden på forpligtelsen til at underrette kommissionen i artikel 8, stk. 6.[3]

 

2. Vedrørende indhentelse af regnskabsoplysninger (§ 1, nr. 29)

Det foreslås en ændring til lovens § 91, stk. 8, som skal give Arbejdsdirektoratet mulighed for i kontroløjemed at indhente regnskabsoplysninger for en virksomhed, som ikke ejes af medlemmet, men f.eks. af familiemedlemmer, ægtefælle, samlever eller andre.

 

Datatilsynet lægger i det følgende til grund, at bestemmelsen vil kunne indebære indhentelse og behandling af personoplysninger, f.eks. om personligt drevne virksomheder. Det bemærkes i den forbindelse, at oplysninger om en enkeltmandsejet virksomhed i forhold til persondatalovens regler anses for oplysninger om indehaveren.

 

Datatilsynet skal anbefale, at det tydeliggøres, hvorvidt der er tale om, at oplysningerne kan indhentes fra andet end offentligt tilgængelige kilder, herunder om oplysningerne vil kunne indhentes fra f.eks. Skat eller andre offentlige myndigheder.

 

Da Datatilsynet må gå ud fra, at forslaget vil indebære behandlinger af personoplysninger, skal tilsynet henstille, at der i lovforslaget foretages en vurdering af, om de behandlinger af personoplysninger, som vil kunne ske hvis lovforslaget gennemføres, er forenelige med persondataloven, eller om lovforslaget tilsigter at fravige persondataloven.

 

Datatilsynet skal særligt henlede opmærksomheden på, at myndigheder i forbindelse med sammenstilling og samkøring i kontroløjemed skal have et klart og utvetydigt retsgrundlag at arbejde på, og at de personer, der berøres af kontrolordningen, efter Datatilsynets praksis skal have forudgående information om kontrolordningen, jf. persondatalovens § 5, stk. 1 om god databehandlingsskik.

Datatilsynet skal derfor anbefale at det overvejes og beskrives, hvorledes man vil sikre sig, at de berørte personer på forhånd er informeret om kontrolordningen.

 

Datatilsynet skal endvidere stille spørgsmålstegn ved, hvorvidt indsamling af oplysninger om personer, som ikke har noget mellemværende med Arbejdsdirektoratet, lever op til den grundlæggende betingelse i persondatalovens § 5, stk. 2, om formålsbestemthed og grundreglen i § 5, stk. 3, om proportionalitet samt de tilsvarende regler i databeskyttelsesdirektivets artikel 6, stk. 1, litra b og c.

Hvis der er tale om at indhente oplysninger fra Skat, går Datatilsynet umiddelbart ud fra, at Skats behandling af oplysninger om en given virksomheds regnskabsoplysninger sker med et udtrykkeligt formål, der vedrører fastsættelse af krav om betaling af skat mv. Senere behandling, herunder en eventuel videregivelse til Arbejdsdirektoratet og direktoratets behandling af oplysningerne, må ikke være uforenelig med dette formål, jf. persondatalovens § 5, stk. 2, og databeskyttelsesdirektivets artikel 6, stk. 1, litra b.

 

Til hjælp ved vurderingen af, om en senere anvendelse af oplysninger i den offentlige sektor er forenelig med det formål, hvortil oplysningerne oprindeligt er indsamlet, kan henvises til den såkaldte artikel-29 gruppes[4] udtalelse om videreanvendelse af den offentlige sektors informationer og beskyttelse af personoplysninger.[5]

 

I udtalelsen anføres omtales bl.a. et kriterium om fysiske personers berettigede forventning som grundlag til at foretage en forenelighedsvurdering.

Udtalelsen indeholder desuden bl.a. bemærkninger vedrørende obligatoriske personoplysninger, som skal oplyses af borgerne, f.eks. i en selvangivelse. Der fremgår bl.a. følgende af udtalelsen:

 

”Hvis anmodningen om videreanvendelse gælder sådanne obligatoriske oplysninger, skal der foretages en meget omhyggelig vurdering af foreneligheden, især i medlemsstater, der anvender kriteriet om berettiget forventning: En registreret, der er underlagt et krav om at oplyse sine personoplysninger, forventer ikke en videreanvendelse til andre formål, og en videregivelse vil således blive betragtes som illoyal i databeskyttelsesdirektivets forstand. Dette er så meget mere tilfældet, når der anmodes om videregivelse af obligatoriske oplysninger med henblik på kommercialisering […].”

 

Datatilsynet bekendt eksisterer der i skattelovgivningen en særlig tavshedspligt, og det er tilsynets umiddelbare vurdering, at de fleste personer vil have en forventning om, at deres skatteoplysninger er omgærdet med fortrolighed og alene anvendes i forbindelse med deres mellemværender med det offentlige.

 

Det må i tilknytning hertil tillige overvejes, om forslaget lever op til grundreglen om proportionalitet i persondatalovens § 5, stk. 3, hvorefter oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

 

Datatilsynet anbefaler således, at forholdet til persondatalovens § 5, stk. 2 og 3, samt de tilsvarende regler i databeskyttelsesdirektivets artikel 6, stk. 1, litra b og c, overvejes nøje.

 

3. Datatilsynet anmoder om at modtage forslaget i fornyet høring

Hvis Arbejdsdirektoratet efter at have vurderet de rejste spørgsmål fastholder forslagene, skal Datatilsynet anmode om, at vurderingen af forholdet til persondataloven og databeskyttelsesdirektivet indgår i bemærkningerne til lovforslaget.

 

Datatilsynet skal desuden anmode om, at få forslaget i fornyet høring. Tilsynet må i den forbindelse forbeholde sig sin vurdering af lovforslaget.

 

Kopi af dette brev er dags dato sendt til Justitsministeriets Lovafdeling til orientering.

 

 

Med venlig hilsen

 

Lena Andersen

Kontorchef