Europaudvalget 2012-13
KOM (2012) 0011 Bilag 8
Offentligt
1248522_0001.png
KL’s holdning til Europa-Kommissionens
generelle forordning om databeskyttelse
Baggrund
Europa-Kommissionen fremlagde den 25. januar 2012 forslag til ”Generel forordning om
databeskyttelse”. Forordningen skal træde i stedet for det nuværende persondatadirektiv (Direktiv
95/46/EF), som i Danmark er implementeret via persondataloven.
Kommissionen ønsker at harmonisere behandlingen af persondata. Der er sket en enorm udvikling
i IT og data siden 1995, hvor det nuværende persondatadirektiv blev vedtaget. Der er fx sket en
stor udvikling i, hvordan data udveksles mellem enkeltpersoner, virksomheder og offentlige
myndigheder. Kommissionen har især øje for udviklingen i forhold til handel på internettet og
brugen af de sociale medier.
Kommissionen mener, at denne udvikling har skabt et behov for at sikre borgernes rettigheder i
forhold til beskyttelse af deres personlige oplysninger. Kommissionen fremhæver, at mange
borgere ikke føler sig trygge ved at handle på internettet, og at det samtidig er uklart for borgeren,
hvordan deres data bruges af store internetaktører.
Kommissionen har et ønske om at fremme internethandel og mener, at dette bedst kan sikres
gennem denne forordning.
Knasterne i Kommissionens forslag til forordning
Hvis forordningen bliver vedtaget i sin nuværende form, vil den skabe en lang række problemer for
kommunerne både i forhold til myndighedsfunktionen og i forhold til kommunerne som
arbejdsgiver.
Der er sket en enorm udvikling i IT og data og den måde persondata udveksles. Derfor er det
naturligvis vigtigt, at borgernes rettigheder sikres, og at borgerne føler sig trygge på internettet.
KL er dog ikke enig i Kommissionens løsning på dette problem. Der er stor forskel på den måde,
som kommunerne og det private anvender persondata. Langt hen ad vejen er myndighedernes
1
PDF to HTML - Convert PDF files to HTML files
1248522_0002.png
behandling af borgernes data for at hjælpe borgerne, f.eks. når borgerne skal søge om forskellige
sociale ydelser.
De private aktører indsamler primært persondata med profit for øje. Kommunerne indsamler
persondata af to årsager:
-
-
Myndighedudøvelse, fx udbetalingen af socialydelser
Ansættelse af medarbejdere.
Kommissionens forslag til forordning vil betyde væsentlige administrative byrder, ikke kun i
kommunerne, men også i resten af den offentlige sektor. Det er KL’s klare opfattelse, at
omkostningerne ikke står mål med borgernes oplevelse af mere tryghed i forbindelse med
myndighedernes håndtering af deres persondata.
Herudover vil forslaget til forordningen ikke løse de juridiske usikkerheder, der eksisterer i dag i
forhold til håndteringen af persondata.
KL vil arbejde for:
-
-
-
-
-
-
Direktiv – og ikke en forordning
Sikre rum for den danske, kollektive aftalemodel
Færre administrative byrder
Mindre bøder
Klare regler
Direktiv frem for forordning
KL er imod en forordning, som skal gælde både det offentlige og private - en såkaldt ”one-size-fits-
all”
lovgivning. Denne vil begrænse Danmarks muligheder for selv at implementere regelsættet. KL
anbefaler, at offentlige myndigheders behandling af persondata og det ansættelsesretlige område
ikke skal være omfattet af forordningen, men fortsat reguleres i et direktiv.
Forordningens fokus er i høj grad et andet end offentlige myndigheders ydelser til borgerne. Hvis
kommunerne bliver omfattet af forordningen, bliver de omfattet af nogle skrappe regler, som
egentlig er tiltænkt at løse problemer, som omhandler internethandel, sociale netværk og
dataoverførsler på tværs af landegrænser.
2
PDF to HTML - Convert PDF files to HTML files
1248522_0003.png
Den danske arbejdsmarkedsmodel under pres - ledelsesretten antastes
I Danmark er arbejdsgiveres behandling af persondata ikke underlagt specifik arbejdsretlig
lovgivning, men er primært baseret på kollektive aftaler, ledelsesretten og
samarbejdsudvalgssystemet. Hvis forordningen bliver vedtaget i sin nuværende form, ser det ud til
at være vanskeligt ved kollektiv aftale at vedtage en mere vidtgående beskyttelse af
personoplysninger. Endvidere vil det ikke være muligt at opretholde den måde, man håndterer
personoplysninger i ansættelsesforhold. I dag er dette aftalt gennem kollektive overenskomster,
og derfor er det muligt at forhandle sig frem til et bedre niveau end direktivet, hvilket man har
gjort i LO/DA og KL/KTO-aftalerne. Den danske model er derfor i fare.
KL mener, at det ansættelsesretlige område enten skal ud af forordningen eller det skal sikres, at
der kan ske national regulering af personoplysninger i ansættelsesforhold ved kollektive aftaler.
Eksempel 1
En forordning vil betyde, at de aftaler, der i dag forhandles mellem LO/DA og KL/KTO ikke vil
kunne opretholdes. I dag kan arbejdsmarkedets parter aftale at vedtage mere vidtgående be-
skyttelsesforanstaltninger af personoplysninger end det, som er angivet i det nuværende di-
rektiv. Fx har arbejdsmarkedets parter via KTO´s kontrolaftale aftalt krav om længere varsling
ved iværksættelse af kontrolforanstaltninger end de krav, som i dag bliver udstukket af det
nuværende databeskyttelsesdirektiv.
Eksempel 2
Kommunerne kan i dag som arbejdsgiver behandle oplysninger på grundlag af et samtykke fra
den ansatte. Ifølge forordningen vil et samtykke ikke give retsgrundlag for behandling af
oplysninger, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige.
Ifølge forordningen vil der være det, når arbejdsgiveren behandler oplysninger om ansatte
som led i et ansættelsesforhold.
Det betyder, at en række oplysninger vedrørende den ansatte, som f.eks. straffeattester,
lægeerklæringer, referencer mv. ikke længere vil kunne bruges i ansættelsesforhold på
grundlag af et samtykke.
Ifølge forordningsforslaget skal alle kommuner udpege en databeskyttelsesansvarlig for en
periode på 2 år med bestemte kvalifikationer, som er beskrevet i forordningen og vedkommende
er uafskedelig med mindre betingelserne for at opfylde hvervet ikke længere er opfyldt.
3
PDF to HTML - Convert PDF files to HTML files
1248522_0004.png
KL finder, at disse særlige beskyttelsesregler for den såkaldt databeskyttelsesansvarlige er udtryk
for et direkte og uhørt indgreb i ledelsesretten, der er uden sidestykke i dansk ret.
Alt for høje bøder
Forordningen indfører et uforholdsmæssigt højt bødeniveau, hvis kommunerne ikke kan leve op til
lovgivningen. For eksempel vil kommunerne kunne få bøder på 1.870.000 kr. for mangelfuld
overholdelse af den registreredes rettigheder og bøder på 7.500.000 kr., hvis der ikke er udpeget
en databeskyttelsesansvarlig.
Eksempel 3
Det vil bl.a. betyde, at hvis en kommune ved en fejl giver en borger indsigt i personoplysninger
senere end den frist, der er fastsat i forordningen, vil det udløse en bøde på 1.870.000 kr.
Hvis en kommune ved en fejl ikke oplyser borgeren om, at kommunen behandler
personoplysninger om borgeren, vil det kunne udløse en bøde på 3.750.000 kr.
Og hvis en kommune ikke udpeger en databeskyttelsesansvarlig, vil det kunne udløse en bøde
på 7.500.000 kr.
I det nuværende direktiv er det op til medlemsstaterne at sikre, at der fastsættes sanktioner i
tilfælde af overtrædelse af lovgivningen.
Som persondataloven fungerer i dag i Danmark, kan offentlige myndigheder ikke blive dømt til at
betale bøder.
Det er KL’s klare opfattelse, at det bødeniveau, som forordningen lægger op til, er ude af trit med
dansk retstradition. Der sker naturligvis af og til fejl i kommunernes håndtering af persondata,
men da det er KL’s erfaring, at disse fejl er menneskelige fejl, vil et højt bødeniveau ikke give
borgeren en højere sikkerhed for, at der ikke sker brud i forbindelse med håndteringen af deres
persondata.
I udgangspunktet behandler myndighederne sager og dermed borgernes dataoplysninger i
borgernes interesse, som f.eks. når borgerne søger om sociale ydelser.
Det høje bødeniveau afspejler, at EU-Kommissionen har tænkt på de store virksomheder, der
enten er store aktører på internettet, fx de sociale medier, søgetjenester etc. eller virksomheder,
der lever af handel over internettet. EU-Kommissionen har ikke taget højde for, at kommuner ikke
indsamler data med fortjeneste for øje.
4
PDF to HTML - Convert PDF files to HTML files
1248522_0005.png
Forordningen vil gøre det det dyrt for kommunerne
Dyrere og forsinkede selvbetjeningsløsninger
Kommunerne og KL er i gang med at forbedre de digitale selvbetjeningsløsninger for at give
borgerne bedre løsninger. Et væsentligt indsatsområde er den fællesoffentlige digitali-
seringsstrategi for 2011-2015, som vil gøre, at digital kommunikation bliver obligatorisk for
borgerne på udvalgte områder frem mod 2015.
Eksempel 4
Forslaget til forordning stiller nye krav til kommunernes it-løsninger, herunder de digitale
selvbetjeningsløsninger, som besværliggør gennemførelsen af den fællesoffentlige
digitaliseringsstrategi:
Kommunerne vil skulle indrette deres it-løsninger sådan, at de kan levere kopi af oplysninger,
som kommunen har behandlet om en borger til den pågældende borger og, at Kommissionen
kan bestemme hvilket elektronisk format, kommunen skal give borgeren disse oplysninger i.
Kommunerne vil få pligt til at indhente borgerens samtykke ved brug af
selvbetjeningsløsninger på nettet, fx skal nuværende og fremtidige standardblanketter
udstyres med et særligt felt til samtykke. Også her kan Kommissionen bestemme
standardformularer og standardprocedurer herfor og, at kommunerne er tvunget til at
”redesigne” de selvbetjeningsløsninger, som de i øjeblikket er i fuld gang med at optimere - og
eventuelt af flere omgange. Det forsinker udbredelsen af digital kommunikation og koster
kommunerne flere penge.
Administrative ordninger uden merværdi for borgerne
Et andet problem ved forordningen er, at den stiller krav, som reelt ikke giver borgerne nogen
større tryghed i forhold til behandlingen af deres data. Fx er der et krav om at kunne dokumentere
alle behandlinger af persondata. Dette dokumentationskrav vil for kommunerne i princippet
betyde de samme administrative opgaver, som de har i dag - nemlig den nuværende
anmeldelsesordning i persondataloven.
5
PDF to HTML - Convert PDF files to HTML files
1248522_0006.png
Eksempel 5
Anmeldelsesordningen er en ordning, hvor kommunerne skal anmelde/indberette til
Datatilsynet, hvilke behandlinger af persondata, de udfører - fx. ifm. boligstøtteansøgninger.
Datatilsynet skal herefter offentliggøre disse på deres hjemmeside for at skabe ”transparens”
for borgeren i forhold til kommunens behandling af borgerens oplysninger. Dette er en
administrativ ordning helt uden værdi, da så godt som ingen borgere kender ordningen eller
benytter sig af muligheden for at se kommunens behandling af deres oplysninger.
-
Nu etablerer Kommissionen en ny ”dokumentationsordning”, hvor kommunerne skal
udfylde blanketter, der beskriver, hvordan de behandler persondata. Dette vil givetvis også
være helt uden værdi for borgerne, men til gengæld betyde meromkostninger for
kommunerne i form af udvikling af nye beskrivelser af kommunernes håndtering af
persondata.
Rene meromkostninger for kommunerne
Forordningen rummer masser af krav til den kommunale administration, som på bundlinien blot
vil være rene meromkostninger for kommunerne, men som ikke vil give en mærkbar merværdi for
borgerne.
Eksempel 6
Kommunerne vil skulle gennemføre særlige ”konsekvensanalyser” af de behandlinger af
persondata, der indebærer særlige risici for borgerne. Udover at forordningen er uklar i
forhold til, hvornår sådanne analyser skal gennemføres, er konsekvensanalyserne uden reel
værdi - helt konkret en masse skemaer som skal udfyldes af kommunerne, førend de kan
begynde at behandle persondata.
Disse konsekvensanalyser har KL i regi af en tværoffentlig arbejdsgruppe vedrørende privacy
været inde over aftestningen af i 2010. KL´s vurdering af disse konsekvensanalyser var, at det
omfangsrige analysearbejde ikke gav nogen reel effekt. - På trods af at én analyse krævede
100 konsulenttimer at få udarbejdet.
Ligesom ovennævnte dokumentationsordning er det KL´s vurdering, at også disse
konsekvensanalyser er administrative tidsslugere uden megen effekt. Og i en tid, hvor
kommunerne økonomisk skærer ind til benet, giver det ingen mening at iværksætte alle
sådanne procedurer uden effekt.
6
PDF to HTML - Convert PDF files to HTML files
1248522_0007.png
Eksempel 7
I forordningen får borgerne på papiret en ret til at ”blive glemt” forstået som en ret til at bede
om, at alle data om borgeren hos den registeransvarlige bliver slettet. I virkeligheden kan
borgerne ikke få slettet alle deres data hos offentlige myndigheder. Da offentlige myndigheder
er forpligtede til at dokumentere deres administration og derfor gemme data så længe det er
nødvendigt. Med andre ord foregiver forordningen at give borgeren bedre rettigheder end,
hvad der reelt er muligt.
I forslag til forordning får virksomheder og offentlige myndigheder med flere end 250
medarbejdere pligt til at ansætte en databeskyttelsesansvarlig. Det er i forslaget i detaljer
beskrevet, hvilke arbejdsopgaver den databeskyttelsesansvarlige skal udføre. Som udgangspunkt
er det en god idé med en databeskyttelsesansvarlig i hver myndighed til at tage sig af
overholdelsen af forordningen, men det fordyrer den kommunale administration, hvis
vedkommendes arbejdsopgaver er beskrevet - og skal overholdes - i detaljer. Langt mere effektivt
er det at lade den databeskyttelsesansvarlige selv vurdere, hvor der skal sættes ind ift.
datasikkerheden i den enkelte kommune.
EU-formularer fordyrer administrationen
Kommissionen giver flere steder i forordningen sig selv mulighed for, at de i fremtiden kan
fastlægge standardblanketter og angive standardprocedurer for den kommunale administration af
forordningen.
Det betyder, at hvis forordningen træder i kraft i sin nuværende form, kan Kommissionen fx vælge
at foretage ny regulering i forhold til at stille yderligere krav til, hvilken måde kommunen skal
oplyse borgeren om kommunens behandling af borgerens oplysninger. Det betyder, at
kommunerne skal gennemføre omfattende og dyre justeringer af den IT, der understøtter
formularer, procedurer mv. Dette står imodsætning til i dag, hvor kommunerne selv står for den
nødvendige udvikling af formularer, blanketter mv., og hvor alle relevante arbejdsgange som
oftest tænkes sammen i én blanket ud fra et effektiviseringshensyn.
At skulle administrere, herunder opbevare, journalisere og dokumentere særskilte
standardformularer fra Kommissionen vil uden tvivl betyde meradministration for kommunerne.
Ligeledes er det tvivlsomt, om borgerne/de registrerede vil opleve det som en forbedring at
modtage flere forskellige blanketter, hvoraf nogle er udarbejdet af Kommissionen.
Uklart forvaltningsgrundlag
Forordningen er efter KL’s mening alt for uklar i forhold til en række definitioner. Kommissionen
benytter sig i forslag til forordning af en række hjemler, som giver Kommissionen ret til at udstede
7
PDF to HTML - Convert PDF files to HTML files
1248522_0008.png
såkaldt ”delegerede retsakter”. Det betyder i praksis, at Kommissionen, hvis forordningen
vedtages, vil få mulighed for at ”efterjustere” lovgivningen.
Alt i alt betyder det, at man ender op med en lovgivning, som vil skabe langt mere retlig
usikkerhed end den nuværende, samt at det vil blive uforudsigeligt, hvordan datahånderingen
egentlig skal ske i fremtiden, da Kommissionen kan gå ind og efterregulere efter
forgodtbefindende. Det kan for kommunerne betyde, at der kan komme yderligere krav om
ændringer af it-løsninger og/eller administrative procedurer. Dette er uholdbart i forhold til
digitalt at udvikle den offentlige sektor. Reglerne bør være klare og letforståelige fra start af.
Eksempel 8
Det er eksempelvis uklart, hvilke administrative krav det stiller til kommunerne, at
personoplysninger vil skulle behandles ”gennemsigtigt”. Eller at borgeren skal have en
”garanti” for et afgivet samtykke. Hvad forstås der ved en sådan ”garanti”? Er det en ny
administrativ opgave for kommunerne at afgive garantier? Disse uklarheder skal ryddes af
vejen, førend forordningen kan vedtages.
For yderligere information:
-
-
Annette Baun Knudsen, juridisk konsulent,
[email protected],
tlf.: 33 70 37 79
Pernille Jørgensen, chefkonsulent,
[email protected]
tlf.: 33 70 31 60
8