PDF to HTML - Convert PDF files to HTML files

Europaudvalget 2013-14
KOM (2012) 0011 Bilag 10
Offentligt

27. november 2013

HEM

Att.: Europaudvalget

DI og DI ITEKs bemærkninger til Persondataforordningen

Der er på dagsordenens punk 2 (rådsmøde 3279, punkt 7) lagt op til en drøftelse af

Kommissionens forslag til Persondataforordning med en delvis generel indstilling. I

samlenotatet side 108 findes udkast til en generel dansk holdning til Kommissionens

forslag. DI og DI ITEK har følgende bemærkninger til udkastet til en dansk holdning:

1. Valg af retsakt

Det er helt afgørende at der vælges en forordning som retsakt - og ikke et direktiv! Som

reglerne er idag findes der 28 forskellige nationale implementeringer af det eksisterende

direktiv. Hvert land har vedtaget deres særregler på forskellige områder. Hertil kommer,

at der er en meget stor spændvidde i, hvor strengt det eksisterende direktiv generelt

bliver fortolket.

Dette betyder basalt set, at erhvervslivet skal behandle personoplysninger (om ansatte,

kunder m.v.) på 28 forskellige måder, hvis de er til stede i alle de europæiske lande.

Dette er en stor barriere for de store danske virksomheder. Mindre virksomheder, der

bare handler med vores nærmeste nabo, Tyskland, som har en meget streng fortolkning

af reglerne i forhold til Danmark, oplever, at bare det at være til stede i eet andet land

end hjemlandet medfører en betydelig administrativ byrde.

Der har i den europæiske debat været forståelse for erhvervslivets behov. Der har derfor

været et kompromisforslag på banen, hvor man foreslår at behandling af

personoplysninger i erhvervslivet reguleres af en forordning, og behandling af

personoplysninger i den offentlige sektor reguleres af et direktiv. Vi mener ikke, at dette

kompromisforslag er en farbar vej.

For borgerne vil det indenfor den enkelte stat betyde, at behandlingen af deres

oplysninger er forskellig afhængig af, om de afgiver personoplysninger til det offentlige

eller til en virksomhed. Det vil mindske gennemsigtigheden for borgeren betydeligt.

Hertil kommer at samspillet mellem den offentlige og private sektor er stort. For en

patient vil det betyde, at det offentlige hospital behandler hans oplysninger på en måde

og et privat hospital, som han måske konsulterer i forbindelse med den samme

behandling, behandler hans oplysninger på en anden måde. Endelig vil det betyde, at

PDF to HTML - Convert PDF files to HTML files

borgerens data behandles forskelligt i de offentlige sektorer i de forskellige EU-lande.

Hvis en borger skal behandles af et andet EU-lands sundhedssystem, eller en studerende

rejser til et universitet i et andet land, vil hans personoplysninger dermed blive

behandles forskelligt. Generelt er det en rigtig dårlig ide, at den offentlige sektors

behandling af personoplysninger reguleres ved et direktiv.

Det har været fremført, at valget af forordning reducerer den høje grad beskyttelse af

personoplysninger, vi har i Danmark, fordi vi ikke kan fastholde vores særlovgivning.

For det første mener vi, at det er en forkert selvopfattelse, at Danmark har et specielt

højt beskyttelsesniveau. I en europæisk sammenhæng er det vores indtryk, at Danmark

ligger i det jævne midterfelt. For det andet giver forordningsforslaget en lang række

forbedringer af persondatabeskyttelsen, end vi har i Danmark idag. F.eks. lægges der op

til at indføre brug af data protection impact assessments og privacy by design. Disse to

principper har DI og DI ITEK forgæves kæmpet for at få gennemført i Danmark igennem

flere år, fordi det er vores opfattelse, at det vil bidrage betydeligt til at forbedre

persondatabeskyttelsen. Forordningsforslaget giver således en generelt langt bedre

beskyttelse end den nuværende danske lovgivning giver. Kun i forhold til behandling af

kreditoplysninger ser der ud til at være en svækkelse i forhold til den nuværende danske

lovgivning. Hvis man fra politisk side ønsker at forbedre dette i forordningsforslaget, er

det det mandat, man bør give regeringen med.

Det eneste rigtige er i vores optik dermed at give en massiv opbakning til at retsakten

bliver en forordning.

2. Omkostninger og retsstilling

I samlenotatet anføres: "...de administrative omkostninger for myndigheder og

virksomheder øges, uden at dette medfører, at den registrerede sikres en bedre

retsstilling". DI og DI ITEK er generelt ikke enig i denne påstand.

Det er vores opfattelse, at borgerne gives en langt bedre retsstilling i forhold til

virksomhedernes og den offentlige sektors behandling af personoplysninger med

kommissionens forslag, end det gør sig gældende idag. Bl.a. fordi der introduceres nye

rettigheder til borgerne, nye krav til informationen og nye krav til, hvordan digitale

løsninger, der behandler personoplysninger i fremtiden, skal designes.

Vi kan ikke love, at der ikke vil være marginalt større omkostninger forbundet med at

gennemføre forslagene i forordningen - men det er ingen lunde sikkert. For det første vil

en række af de krav, der stilles til digitale løsninger, der behandler personoplysninger,

sikre, at der er designet en god sikkerhed ind fra starten. Det er langt billigere end at

gøre det efterfølgende, som man typisk gør idag. For det andet vil nogle af de design af

løsninger, man vælger, betyde, at konsekvenserne ved et databrud vil blive langt

billigere, end de er idag. Samtidig skal en langt mindre mængde data beskyttes efter de

højeste sikkerhedsstandarder. For det tredje: Vælger man en forordning med en ens

regler i Europa vil man også i langt højere grad kunne lægge personoplysninger i billige

cloud løsninger frem for at skulle bruge outsourcing løsninger tilpasset nationale

særregler. Dette er baseret på en forventning om, at der ikke laves løsninger designet til

lande med godt 5.000.000 menneskers særregler, men at der helt sikkert laves

europæiske cloud løsninger til 500.000.000 EU-borgere og deres fælles regler.

PDF to HTML - Convert PDF files to HTML files

Der er enkelte stedet i forordningsforslaget, hvor sætningen om at omkostningerne øges

uden at give bedre retsstilling, måske er korrekt. Det gælder i forhold til

informationsforpligtelsen og dokumentationsforpligtelsen. Det kunne selvfølgelig være

rart at få disse krav justeret, som vi også har skrevet i vores høringssvar, men det er i det

store billede af mindre betydning. Der er derfor ikke grund til at kaste tre års arbejde

med dette forordningsforslag til jorden og starte forfra med en risikobaseret tilgang, som

samlenotatet antyder man burde gøre. Europa og Danmark har brug for de nye regler for

persondatabeskyttelse, som der lægges op til - vi har ikke brug for undskyldninger og

forhalinger.

3. One-stop-shop

One-stop-shop forslaget har været genstand for stor debat i Rådet. Princippet betyder, at

hver virksomhed tilknyttes eet nationalt datatilsyn i Europa - der hvor virksomheden har

hovedkvarter. En person, der vil klage over virksomheden, skal så klage til det

pågældende datatilsyn.

One-stop-shop er en betydelig administrativ forenkling for virksomhederne. Istedet for

at skulle konsultere 28 forskellige datatilsyn og høre om, hvordan de ønsker at fortolke

det eksisterende direktiv, kan man ifølge forslaget nøjes med eet datatilsyn, som alle

spørgsmål rettes til. Der er i næsten alle europæiske kredse enighed om, at dette forslag

fra kommissionen - i sammenhæng med valg af en forordning som retligt instrument -

vil være en umådelig stor administrativ lettelse for virksomhederne.

Indvendingerne mod tiltaget går på, at andre EU-landes datatilsyn kan komme til træffe

afgørelser med retsvirkning for danske borgere, og at dette reducerer den enkelte

borgers retssikkerhed. Det er også korrekt, at det i nogen sammenhænge kan være en

sådan konsekvens af forslaget. Men forslaget skal ses i sammenhæng med

kommissionens forslag om sammenhængsmekanismen (consistency mechanism). Ifølge

dette forslag vil principielle afgørelser (og en del afgørelser i året efter forordningens

vedtagelse vil være principielle) skulle bringes til afgørelsen i fællesskab mellem

datatilsynene. På denne måde sikrer sammenhængsmekanismen altså en fælles

europæisk fortolkningspraksis - med øget retssikkerhed for alle europæiske borgere til

følge.

Ved at lægge sig op af kommissionens oprindelige forslag opnår man altså i vores optik

både betydelige besparelser og en forbedret retssikkerhed. Vi opfordrer derfor til

opbakning til kommissionens forslag om one-stop-shop.

Vil man ikke følge denne opfordring, kan man løse problemet relativt simpelt: Man kan i

forordningen fastlægge en procedure, hvor en borger i land A, som vil klage over en

virksomhed i land B, klager til datatilsynet i land A. Datatilsynet i land A videresender

klagen til datatilsynet i land B, der behandler klagen og sender svaret retur til

datatilsynet i land A. Datatilsynet i land A gennemlæser klagen og vurderer om de er

enige. Vurderingen er let, fordi reglerne jvf. forordningen i alle landene er ens. Hvis

datatilsynet i land A er enig i afgørelsen sendes svaret til borgeren. Hvis datatilsynet i

land A derimod er uenige, eskalerer de afgørelsen til endelig afgørelse i fællesskab

PDF to HTML - Convert PDF files to HTML files

mellem de europæiske datatilsyn. Afgørelsen har herefter bindende virkning for alle EU-

borgere.

4. Andre forhold

Der er en række forhold i kommissionens forslag, som ikke ser ud til at blive genstand

for debat i Europaudvalget. Blandt disse kan bl.a. nævnes bødestørrelserne og forholdet

mellem arbejdsgiver og arbejdstager.

Bødestørrelserne har et urimeligt og uproportionalt omfang i både Kommissionens og

Parlamentets forslag. Sidstnævnte har forslået at bøderne kan komme op på 5% af en

virksomheds globale omsætning. Der skabes med de skitserede bødestørrelser et

incitament for, at de nationale datatilsyn alene går efter at finde fejl hos store globale

virksomheder med stor global omsætning. DI og DI ITEK tager kraftigt afstand fra

denne tilgang, som dels kan reducere incitamentet til beskyttelsen af data i mindre

virksomheder og i de offentlige forvaltninger, og dels kan lukke virksomheder og dermed

koste arbejdspladser.

Forholdet mellem arbejdsgiver og arbejdstager i Kommissionens forordningsudkast er i

bedste fald problematisk. Der tages ikke højde for den danske model, hvor

arbejdsmarkedets parter i kollektive aftaler beslutter, hvordan data kan behandles.

Ifølge Kommissionens forslag kan arbejdstager ikke samtykke til, at arbejdsgiver må

behandle personoplysninger. Hvis dette fastholdes, bliver det umuligt at behandle

oplysninger om løn, ferie, sygdom m.v. DI og DI ITEK anbefaler, at forslaget ændres så

der tages højde for kollektive overenskomster.

5. Sammenfatning

DI og DI ITEK anbefaler:



at Danmark støtter at retsakten bliver en forordning

at man ikke forhaler forhandlingerne ved at anvende nye tilgange i form af f.eks.

risikovurdering til vurdering af forslaget, men istedet erkender, at forslaget er ca.

omkostningsneutralt og giver borgerne en bedre beskyttelse af borgernes

personoplysninger og retsstilling

at der gives en generel opbakning til one-stop-mekanismen

at der i udvalget fastlægges danske holdninger til bødestørrelserne og til forholdet

mellem arbejdsgiver og arbejdstager.

Vi står naturligvis til rådighed for uddybende kommentarer.

Med venlig hilsen

Henning Mortensen

Chefkonsulent

DI ITEK