Det næste punkt på dagsordenen er:

3) 1. behandling af lovforslag nr. L 68:

Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Af justitsministeren (Søren Pape Poulsen).

(Fremsættelse 25.10.2017).

Sammen med dette punkt foretages:

4) 1. behandling af lovforslag nr. L 69:

Forslag til lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love. (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.).

Af justitsministeren (Søren Pape Poulsen).

(Fremsættelse 25.10.2017).

Forhandlingen er åbnet. Fru Trine Bramsen, Socialdemokratiet.

Lovforslagene her, som jeg vil behandle samlet, omfatter konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser. Grunden til, at vi behandler forslagene her i dag, er, at Europa-Kommissionen i januar 2012 fremsatte forslag til en databeskyttelsespakke. Pakken blev endeligt vedtaget i april 2016 og består bl.a. af en generel forordning fra EU om beskyttelse af personoplysninger, som skal gælde både i den private sektor og i den offentlige sektor. Forordningen skal træde i kraft fra maj 2018. Da forordningen har direkte virkning i Danmark, er Danmark forpligtet til at indrette dansk lovgivning i overensstemmelse med forordningens bestemmelser med virkning fra den 25. maj 2018. Og det er altså baggrunden for, at vi behandler forslaget her i dag.

Som jeg sagde før, er formålet med lovforslaget at gennemføre en række konsekvensændringer af danske regler, så de er i overensstemmelse med EU-forordningen om beskyttelse af personoplysninger. En lang, lang række danske love indeholder henvisninger til persondataloven, og disse henvisninger skal altså tilpasses databeskyttelsesforordningen og den nye databeskyttelseslov. Herudover skal der ske en ændring af de danske regler, der regulerer behandlingen af personoplysninger.

Fra Socialdemokratiets side finder vi ikke anledning til at sætte spørgsmålstegn ved de konkrete ændringer. Vi har fået en teknisk gennemgang i Retsudvalget af ændringerne, og der, hvor der var nogle uklarheder, og hvor bl.a. nogle af høringsparterne påpegede nogle uklarheder, har ministeriet svarer meget fint på dem og desuden specificeret bekendtgørelsen. Så derfor mener vi, at den kritik, der har været, er imødekommet.

Der, hvor vi er skeptiske fra Socialdemokratiets side, er særlig, hvad angår sanktionerne for offentlige og organisationer. Vi mener, at der skal være en konsekvens, når offentlige organisationer ikke behandler borgernes data ordentligt. Selvfølgelig skal der det. Men vi er bekymret over, at store bøder til eksempelvis en ældreforvaltning, der ikke har opbevaret data ordentligt, vil ende med at gå ud over hjemmehjælpen til samfundets svageste. Så den del vil vi gerne bede justitsministeren om at være meget præcis på i vejledningen til myndighederne. Det har jeg hørt under den tekniske gennemgang i udvalget at ministeren også vil være, sådan at vi på den ene side selvfølgelig sikrer, at myndighederne forstår alvoren i at opbevare og behandle borgernes data ordentligt, og at der er en konsekvens, men sådan at det på den anden side ikke ender med at gå ud over børn, ældre og handicappede, når der er en administrativ medarbejder, der har svigtet og sjusket.

Med de ord skal jeg meddele, at vi fra Socialdemokratiets side kan støtte begge forslag, både L 68 og L 69.

Tak til ordføreren. Den næste ordfører er hr. Peter Kofod Poulsen, Dansk Folkeparti.

Tak for det. Vi behandler nu L 68 og L 69, og det er jo forslag til en databeskyttelselov, der har til hensigt at afløse persondataloven. Selv om persondataloven med forslaget søges afløst af forordningen og det her forslag, er det jo strengt taget i grove træk i forvejen kendte regler, som videreføres, men ny bare i ny lov. Der er selvfølgelig forandringer, ligesom der er elementer, som jeg også ønsker at knytte et par ord til.

For vi har selvfølgelig alle sammen en meget stor interesse i, at vores personlige oplysninger på nettet bliver behandlet ordentligt og sikkert af offentlige myndigheder, men også af private aktører. Vi skal kunne være trygge, og vores personfølsomme oplysninger skal der selvfølgelig passes godt på.

Hvis vi vedtager det, der ligger her, bliver det for fremtiden muligt at straffe offentlige myndigheder for at bryde reglerne, ligesom private aktører vil kunne straffes og pålægges bøder. Og det er noget af det, vi kommer til at dykke yderligere ned i i løbet af behandlingen.

For hvis det skal være en mulighed, skal der jo være noget rimelighed i det. Lad os tage et oplagt eksempel: Der er en lille kommune, der bryder reglerne, og resultatet bliver så, at kommunen skal betale en bøde, fordi folk på rådhuset ikke har passet godt nok på. Men i sidste ende vil det jo være borgerne i kommunen, der enten gennem højere skatter eller forringet velfærd må dække den her bøde ind. Det er et dilemma.

For på den ene side skal sikkerheden omkring data strammes op, så derfor er det godt med den adfærdsregulerende effekt, der ligger i forslaget, i forhold til offentlige myndigheder. På den anden side er det ikke det mest rimelige, at skatteborgere i eksempelvis en kommune, der intet har med sagen at gøre, alligevel skal lægge ryg til de konsekvenser, som det vil have. Så vi er nødt til at diskutere mere nøje i Retsudvalget, hvordan vi kan gøre det her på en ordentlig og god måde og få det til at virke.

Noget andet, vi har bidt mærke i, er, at man jo egentlig vil fortsætte ad den vej, at man imødekommer, at rigtig mange private har ønsker om at få oplyst det fulde cpr-nummer ved køb af forskellige ydelser og services. Og det er vi egentlig ret skeptiske over for, for vi tror ikke, at det vil resultere i bedre databeskyttelse for almindelige danskere. Effekten vil nok snarere være det modsatte. Så det er også noget af det, vi har brug for en yderligere uddybning af og snak om.

Så er der hele overvejelsen om muligheden for gruppesøgsmål, hvis nogle måtte føle sig krænket, og i forslaget lægger Justitsministeriet sig fast på, at man ikke ønsker at give den her mulighed. Det er vi også skeptiske over for, for der kunne jo ligge nogle perspektiver i lige præcis den mulighed, og derfor vil vi også skriftligt spørge ministeren om den del. Det er jo også noget af det, der påpeges i høringssvarene.

Når det så kommer til børn og unge, foreslås det, at man skal være 13 år for at kunne videregive sine oplysninger, og ellers skal man have tilsagn fra den eller de personer, der måtte have forældremyndigheden. Der synes vi egentlig at ministeriet kommer frem til en rigtig god, pragmatisk løsning, så det kan vi sagtens støtte op om.

Der er mange gode takter i forslaget her, men jeg er også bare nødt til at sige, at det er et overvældende materiale, der er lagt frem. Det er utrolig komplekst, og derfor håber jeg selvfølgelig også, at ministeriet vil stille sig til rådighed for at besvare de mange spørgsmål, som jeg egentlig tror der er til lige præcis forslaget her. Tak.

Tak til ordføreren. Den næste ordfører er hr. Torsten Schack Pedersen, Venstre.

Normalt plejer jeg at have lovforslagene, som vi behandler, med herop på talerstolen. Det har jeg ikke i dag, for de er ret fyldige, og det er selvfølgelig også en vigtig problemstilling, når det gælder datasikkerhed. Der har også været et meget grundigt arbejde forud for den lovbehandling, som vi tager fat på nu.

For det er klart, at når det gælder personfølsomme oplysninger, ja, så er det noget, der berører os alle, altså at der skal være en høj grad af beskyttelse af vores personlige data. Og virkeligheden i dag er også, at sker der fejl i håndteringen af personfølsomme oplysninger, så er konsekvensen potentielt meget større for de berørte, fordi tingene i en digitaliseret tidsalder altså spredes meget, meget hurtigere og også kan være vanskelige at få slettet igen. Derfor er det naturligvis vigtigt, at lovgrundlaget er opdateret og tager højde for den situation, vi nu er i.

For det er selvfølgelig ganske, ganske komplekst, når vi taler databeskyttelse. Det er svært at håndtere lovgivningsmæssigt, men det er det også for virksomheder og for offentlige myndigheder, for vi skal selvfølgelig som politikere sørge for, at danskernes personlige oplysninger er beskyttet på mest betryggende vis; det er grundlæggende helt afgørende i et digitalt samfund.

Som de foregående ordførere har redegjort for, stammer det her tilbage fra databeskyttelsespakken, som blev vedtaget i EU sidste år, og som består i en generel forordning om beskyttelse af personoplysninger, som skal gælde i såvel den offentlige som den private sektor. I forordningen fastlægges de store linjer med hensyn til persondatabeskyttelse, bl.a. krav om såkaldt privacy by design, obligatoriske databeskyttelsesrådgivere og en række it-krav samt højere bøder. Som der tidligere er sagt, ja, så er formålet med L 68 derfor at sikre, at dansk lovgivning er i overensstemmelse med forordningen og få udmøntet de ting, der skal afklares i national lovgivning, hvilket forordningen giver plads til.

Det kunne man sige rigtig, rigtig mange ting om; jeg vil nøjes med at nævne nogle få elementer i forhold til spørgsmålet omkring aldersgrænse for børns samtykke til brug af informationssamfundstjenester, der er adresseret børn.

Her giver EU-reglerne et nationalt spillerum mellem 16 og 13 år, og der er så fra dansk side – kan man se i høringssvarene og efter en grundig dialog med relevante parter – bred enighed om, at aldersgrænsen på 13 år er ganske fornuftig, for det er vigtigt, at børn og unge også gør brug af de digitale muligheder, og at de allerede tidligt oparbejder en kritisk sans for, hvordan man agerer digitalt. En lovgivningsmæssig høj aldersgrænse ville givetvis også have den konsekvens, at der nok var nogle, der ville have relativt svært ved at se det rimelige i det og derfor fandt deres egen måde at omgå aldersbegrænsningen på, hvorimod sandsynligheden for, at det også effektueres i virkeligheden, er meget større, hvis vi sikrer en lovgivningsmæssig ramme, der er bred opbakning til.

Der er også bestemmelser om begrænsninger af nogle rettigheder af hensyn til den offentlige sikkerhed. Det virker også, som om der er fundet en ganske fornuftig balance dér.

Den sidste del, jeg vil bruge lidt tid på, er bestemmelsen om straf til offentlige myndigheder, der overtræder reglerne. Der har været meget diskussion om, hvordan det skulle håndteres, særlig i forhold til offentlige myndigheder, hvor det bestemmes nationalt, hvorimod det for de private virksomheder ligger fast i forordningen. Det er dog noget, der har været diskuteret længe i Folketinget.

Der var et enigt retsudvalg i sidste valgperiode, der var optaget af, at der skulle være en ligestilling mellem offentlige og private i forhold til sanktionering, når der sker overtrædelse af persondataloven. I det lovudkast, som regeringen sendte i høring, var spørgsmålet uafklaret, og der har jo så været nogle klare meldinger i forbindelse med høringsfasen. Jeg synes, at der er blevet arbejdet grundigt med det, og at man har landet det ganske fornuftigt, for naturligvis skal der altså også kunne idømmes sanktioner og bøder, hvis det er offentlige myndigheder, der overtræder reglerne.

For jeg vil sige, at en borger, der oplever, at personfølsomme data lækkes, bliver jo ikke mindre krænket af, at det er en kommune, der har lækket oplysningerne, i forhold til hvis det var en bank. Og derfor må der også være en parallelitet og en sammenhæng i sanktioneringen. Og det er der, i forhold til at der nu også kan idømmes bøder til de offentlige myndigheder på henholdsvis 2 og op til 4 pct. af den pågældende myndigheds driftsbevilling med nogle maksimalbeløb på 8 og 16 mio. kr.

Det er jo ikke, fordi vi har noget ønske om at skulle gå og idømme private eller offentlige myndigheder bøder, men som Datatilsynet skriver i sit høringssvar, er der altså eksempler på offentlige myndigheder, der gentagne gange – og trods indsigelser – har lavet overtrædelser af persondataloven. Og jeg tager det som et rigtig godt sandhedsvidne, når Datatilsynet siger, at der er brug for et skrappere værktøj end det, vi har i dag. Og så giver det altså rigtig god mening, at de bødestraffe, der er, også kommer til at gælde offentlige myndigheder.

Som sagt er det ikke med det formål at idømme nogle bøder, men det vil jo have den klare præventive effekt, at dårlig behandling af borgernes personfølsomme oplysninger kan ramme både private, men også offentlige aktører på budgetterne. Formålet er jo som sagt ikke, at bøderne skal betales. Formålet er, at loven overholdes, og at borgerne får den beskyttelse af deres data, som de med rette kan forvente.

Det andet lovforslag, vi behandler, L 69, er så en konsekvensændring af det, nemlig at ophæve de gældende regler som konsekvens af forordningen. Jeg skal ikke trætte unødigt med en lang teknisk gennemgang af alt det, og jeg har som sagt ikke været igennem alle de mange elementer. Men grundlæggende er det også et ønske at videreføre den gældende retstilstand og de regler og den praksis, der har været gældende, og som virksomheder og myndigheder er bekendt med, og som grundlæggende har til formål at sikre en høj beskyttelse af personlige data.

Så grundlæggende er det ganske fornuftig dansk opfølgning på en EU-forordning, der har stor betydning for beskyttelse af data, og det hylder vi naturligvis fra Venstres side. Vi skal passe godt på borgernes oplysninger, det skal private virksomheder også. Det bliver der et ganske fornuftigt regelgrundlag for og også nogle sanktionsmuligheder, så alvoren i, at reglerne også håndhæves, står klart for alle aktører. Så vi støtter naturligvis de to lovforslag.

Tak til ordføreren. Den næste ordfører er hr. Rune Lund, som jeg ikke lige kan finde. Det er fru Eva Flyvholm. Værsgo.

Ja, det er hr. Rune Lund i en lidt kortere version i dag. Gennem de senere år har vi kunnet se, hvordan rigtig mange it-skandaler både i det offentlige og hos private virksomheder har betydet, at almindelige borgeres oplysninger er blevet lækket. Det er universitetsstuderende, der har oplevet, at deres cpr-numre er blevet videregivet; det er ministerier, som ikke har haft tilstrækkelig sikkerhed omkring de data, man har. Og en af de skandaler, som jeg tror mange af os husker, er også, hvordan millioner af danskeres cpr-numre endte med at blive sendt til Kina på to ukrypterede cd-rommer.

Sådan noget må jo helt åbenlyst ikke ske, for så kan borgerne ikke have tillid til, at der er sikkerhed omkring vores oplysninger, når myndigheder og virksomheder har dem. Og derfor er det også så vigtigt, at vi får strammet op på de her regler for databeskyttelse, så de her store fejl ikke kan ske; at vi tænker helt grundlæggende over, hvordan vi indretter vores systemer, så vi ikke opbevarer mere information om borgerne end højst nødvendigt, og at materialet bliver fjernet igen, når der ikke længere er behov for at bruge det, og sådan at vi er helt sikre på, at sikkerheden omkring opbevaring af de her oplysninger er i orden.

Derfor må jeg sige, at jeg er rigtig, rigtig glad for det forslag, der ligger her. Det her er virkelig noget, der vil stramme op på datasikkerheden. Jeg synes, at den EU-lovgivning, altså den forordning, der ligger til grund for det, simpelt hen er blevet overraskende god. Det må jeg sige. Vi er faktisk utrolig begejstrede i Enhedslisten for, at der vil ske de her opstramninger på datasikkerhedsområdet. Så det er rigtig godt. Vi kan selvfølgelig støtte det her forslag og stemme for.

Når det så er sagt, er der en række af de måder, hvorpå man vælger at implementere det her i dansk lovgivning, som jeg stadig væk synes udestår at blive diskuteret her i lovarbejdet. Allerførst vil jeg sige, at man fra Justitsministeriets side faktisk har imødekommet mange af høringssvarene og det, som vi jo også har sagt fra Enhedslistens og fra Retsudvalgets side, nemlig at det er vigtigt at give bøder også til offentlige myndigheder, der ikke overholder reglerne for databeskyttelse. Jeg synes, det er rigtig godt, at man også fra regeringens side siger, at det her ikke kun for private virksomheder, men i meget høj grad også for offentlige myndigheder er ekstremt vigtigt at have fokus på. Og jeg tror også, det betyder, at vi er nødt til at have straf og sanktioner.

Det er klart, at vi samtidig også skal indarbejde rigtig god støtte, hjælp og vejledning med henblik på, at det her bliver bragt i orden. Det er jo det, der er målet for os alle sammen. Derfor er jeg sådan set også glad for at se, at Datatilsynet også bliver tilgodeset med nogle flere midler i finansloven. Jeg synes selvfølgelig, det er væsentligt at sikre, at de stadig væk får nok midler til også at løse den meget store mængde opgaver, de kommer til at have i fremtiden. Så det er noget, vi også skal være meget opmærksomme på. Men det er rigtig godt, at offentlige myndigheder også bliver pålagt mulighed for straf her.

Så er der stadig væk, synes jeg, nogle usikkerheder i forhold til, om ikke den her lov unødvendigt udvider private virksomheders muligheder for registrering af cpr-numre i forhold til det bestående. Det er noget, vi vil stille opfølgende spørgsmål om for at få afklaret. Jeg synes sådan set, det er væsentligt, at vi forsøger at begrænse, hvor meget cpr-numrene kan blive krævet rundtomkring, bare fordi man skal skrive sig op – hvor som helst, havde jeg nær sagt – f.eks. hvis man gerne vil gå til sport eller andet.

Jeg synes også, der i en dansk kontekst stadig væk er et hængeparti i det hele taget, med hensyn til at cpr-nummeret er meget usikkert at bruge som identifikation. Et enigt Retsudvalg har også tidligere påtalt, at her er altså noget efterslæb, som vi i en dansk kontekst skal være meget, meget opmærksomme på, og som jeg gerne ser at vi fra et samlet Folketing arbejder videre med, sådan at vi kan få revideret hele cpr-systemet, fordi det er ret grundlæggende for vores datasikkerhed Danmark. Men det er det her på ingen måde nogen hindring for at gøre, så det synes jeg sagtens vi kan vedtage.

Det er jo meget centralt, at der også i det her forslag ligger tanker om privacy by design, altså at man indtænker, hvordan man sikrer privatlivets fred og de her oplysninger, når man laver systemerne. Og der ser jeg i øvrigt også frem til, at der snart kommer en vejledning om, hvad der vil ligge i det. Hvis vi kan nå at se den, eller hvis vi kan få lov til at få et lille smugkig på nogle af tingene, inden vi færdigbehandler loven, er det da også rigtig godt, synes jeg. Det er noget af det, vi i hvert fald også vil stille nogle opfølgende spørgsmål om.

Så er der fra Forbrugerrådet Tænk, Institut for Menneskerettigheder og IT-Politisk Forening nogle høringssvar, der f.eks. peger på, at det virker mærkeligt, at dele af Folketingets arbejde blev undtaget, og at man også havde undtaget dele af Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste. Det kan også skrives og gøres på en anden måde, og det synes jeg er væsentligt at vi også får diskuteret. Der kan stadig væk skabes bedre rettigheder med hensyn til at få indsigt i, hvilke oplysninger der ligger registreret om en selv, altså at man som borger får bedre mulighed for at få indsigt i det.

Jeg synes, at Institut for Menneskerettigheder også har et udmærket princip. De peger på alle de justeringer, vi fra dansk side laver, når vi fortolker, hvordan den her EU-lovgivning er, og implementerer den, og de siger, at vi fra dansk side ligesom bør tage udgangspunkt i, at hvis vi kan strække det til at øge beskyttelsen af borgerne og borgernes oplysninger, er det rigtig godt, men at vi ikke skal gå i den retning, hvis det handler om ligesom at slække lidt på reglerne for databeskyttelse for måske nogle gange at gøre det lidt nemmere. Det synes jeg også er et fint princip.

Så overordnet set må jeg sige, at vi fra Enhedslistens side kan støtte det her, men der er nogle ting, der stadig væk kan forbedres lidt, og det håber jeg vi får lejlighed til at gøre i løbet det lovarbejde, der kommer nu. Tak.

Tak til ordføreren. Hr. Henrik Dahl, Liberal Alliance.

Tak for det. Databeskyttelse er jo ikke bare retssikkerhed, det er også, kan man jo se på den seneste tids avisoverskrifter, storpolitik, hvor den politiske proces i forskellige lande bliver forstyrret af brud på datasikkerheden. Derfor er det jo ud fra alle mulige hensyn rigtig, rigtig godt, at vi nu styrker datasikkerheden og beskytter personoplysninger. For det er jo det, vi gør med de her to lovforslag, L 68 og L 69, som vi behandler sammen, de indeholder en hel masse forskellige elementer, der tilsammen beskytter personoplysninger.

Udgangspunktet for de to lovforslag er jo allerede blevet gennemgået flere gange, så det vil jeg ikke gøre en gang til, og det er jo EU-Kommissionens databeskyttelsespakke, som dansk lovgivning nu skal tilpasses.

Der er enkelt ting, som jeg vil slå ned på i forbindelse med lovforslagene, og det er hele spørgsmålet om, at der er nogle bestemmelser om straf for overtrædelse af databeskyttelsesforordningen, som også vedrører offentlige myndigheder. Jeg kan ikke lade være med at bemærke, at det jo bygger på en antagelse om, at straf virker, det er jo noget, som vi ikke altid er enige om her i Folketinget, men altså i den her sammenhæng er der åbentbart en eller anden form for enighed om, at straf er noget, der virker. Det tror jeg sådan set også det gør i andre tilfælde, hvor der i hvert fald fra nogens side bliver sagt, at straf ikke virker, men den diskussion må vi jo nok tage en anden dag.

Det, der i hvert fald er afgørende i forhold til datasikkerheden, er altså, at man må anlægge et borgersynspunkt og ikke må anlægge et myndighedssynspunkt. Vi er nødt til at sikre retssikkerheden på området, og der er det altså relativt ligegyldigt, om det er private aktører eller offentlige aktører, som svækker borgernes retsstilling. Den foregående ordfører var også inde på, at der har været masser af meget, meget kedelige sager med kompromittering af dybt personfølsomme oplysninger, hvor offentlige myndigheder har været indblandet, og det må man selvfølgelig se på med lige så stor alvor, som hvis det var en hvilken som helst anden aktør, der havde gjort det. Derfor er det selvfølgelig vigtigt, at der er en eller anden konsekvens ved at sjuske med personoplysninger, og i de tilfælde, hvor Datatilsynet har klaget og der ikke er sket noget, og hvor det har været en eller anden form for lemfældighed, er jeg helt overbevist om, at den måde, man ændrer tingene på nu, vil have en god og gavnlig effekt.

Så derfor er vi altså i Liberal Alliance ubetinget tilhængere af, at nu bliver der altså den her mulighed for at tildele en bødestraf til offentlige myndigheder, hvis de overtræder loven, og vi tror, at det som sagt vil have en gavnlig effekt. Både af hensyn til retssikkerheden og retsfølelsen må sådan nogle overtrædelser have en eller anden konsekvens.

Hvad angår L 69, det tekniske lovforslag, så kan man sige, at det udspringer af et ønske om at videreføre den gældende retstilstand. Det har vi selvfølgelig ikke nogen problemer med, og derfor støtter vi i Liberal Alliance begge lovforslag.

Tak til ordføreren. Fru Josephine Fock, Alternativet.

Tak for det. Formålet med lovforslaget er, som rigtig mange har været inde på, at supplere reglerne i databeskyttelsesforordningen på baggrund af Europa-Kommissionens databeskyttelsespakke, som blev endeligt vedtaget den 14. april 2016. Forslaget opretholder og fastsætter supplerende nationale bestemmelser om behandling af personoplysninger inden for det nationale råderum, som forordningen giver mulighed for.

På en lang række punkter viderefører forslaget den gældende retstilstand, men der er også en række ændringer og nybrud, hvoraf mange er yderst positive, og jeg vil nævne nogle af de mest centrale. Det er retten til at blive glemt i den digitale verden, som indføres som en generel rettighed i mange tilfælde. Og bøder for virksomheders brud på reglerne om databehandling hæves væsentligt, hvilket længe har været nødvendigt, og også offentlige myndigheder kan nu blive pålagt bøder, hvis de overtræder reglerne.

Digitaliseringen ser vi jo som en stor gevinst for forbrugerne og for vores samfund generelt. Udviklingen har medført, at personlige oplysninger indsamles og udnyttes i et hidtil uset omfang af både myndigheder og private virksomheder. Det genererer viden, bedre service og smarte digitale tjenester, men det udfordrer i høj grad også den enkeltes ret til privatliv og kontrollen af oplysninger samt it-sikkerheden helt generelt. Og derfor er en stærk databeskyttelseslov et vigtigt fundament fremover.

Der er ingen tvivl om, at vi helt overordnet set er meget, meget positive over for det her lovforslag. Der er en lang række positive ting i det. Vi kan også se – og det synes vi også er positivt – at ministeren har lyttet til de mange høringssvar, der er kommet, særlig i forhold til at offentlige myndigheder nu også vil kunne pålægges bøder, hvis de overtræder reglerne. Og vi synes, at den løsning, som ministeren har valgt i lovforslaget, virker fornuftig og afbalanceret i forhold til de offentlige myndigheder. Vi synes også, det er positivt, at ministeren har valgt at opretholde et nationalt forbud mod at videregive data i markedsføringsøjemed uden samtykke, selv om det ikke er et krav i forordningen. Så ros for det.

Nu har jeg rost, og så vil jeg gerne have lov til at gå over til de, hvad skal man sige, obs-/kritikpunkter, som jeg gerne vil fremføre her fra talerstolen, og som jeg håber ministeren vil lytte til og tage med i de videre overvejelser i det videre udvalgsarbejde. Det gælder for det første, at man fortsat – og i den grad, man nu foreslår det – undtager myndighederne fra grundreglen om formålsbestemthed, som beskytter borgerne mod, at indhentede oplysninger og data om dem senere kan bruges til andre formål, uden at borgerne har givet samtykke til det. Man giver altså med lovforslaget, ifølge min opfattelse, myndighederne en alt for bred mulighed for at videreanvende data til andre formål end det, man har indsamlet oplysningerne til.

Samtidig fremgår det af lovforslagets § 5, stk. 3, at den enkelte minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 kan fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed. Så foruden at myndighederne kan videreanvende oplysninger på en for bred basis, har man altså også valgt en model, hvor ministeren på bekendtgørelsesniveau kan afgøre, hvornår den videreanvendelse skal finde sted. Og så har man altså valgt en model, hvor det alene er ressortministeren, som afgør det, mens Folketinget i virkeligheden bliver pillet helt ud af beslutningsprocessen i forhold til et emne, som vi synes er meget vigtigt. Det synes vi er kritisabelt, både i et datasikkerhedsperspektiv, men jo også i et demokratisk perspektiv.

Så mener vi for det andet heller ikke at myndighederne har tilstrækkelig oplysningspligt, det vil sige pligten til at oplyse borgeren, i forbindelse med at data om borgeren videreanvendes i andre sammenhænge. Det er en kritisabel sammensætning af regler, som både er for brede, uigennemsigtige og utilstrækkeligt demokratisk styret – de eksempler, jeg har været inde på her. Og vi mener ikke, at Danmark bør benytte de muligheder, der er, for at lave særregler på de her områder – og ikke på den måde, som ministeren så foreslår.

Endelig synes vi, det er ærgerligt, at ministeren ikke har valgt at medtage muligheden for at tillade gruppesøgsmål, som er en mulighed, hvor private organisationer – det kunne f.eks. være Forbrugerrådet, og det kunne også være andre organisationer – kan foretage gruppesøgsmål på vegne af alle berørte personer, altså den såkaldte optoutmodel, hvor de sagsøger på alles vegne undtagen dem, der aktivt fravælger at deltage. Og det synes vi er ærgerligt, fordi vi mener, det vil styrke muligheden for at håndhæve borgernes rettigheder væsentligt, og derfor savner vi rigtig meget, at ministeren gør brug af den mulighed.

Vi synes, det er rigtig vigtigt, at vi også er med til her fra Folketingets side, når den her lov er vedtaget, at sikre en bred bevidsthed om reglerne og rettighederne og pligterne, sådan at vi får øget gennemsigtigheden på markedet for digitale tjenester og produkter, og sådan at forbrugernes tryghed kommer med, i forhold til hvad der er tilladt og hvad der ikke er tilladt og hvilke rettigheder forbrugerne har. Så vi håber også, at ministeren er velvilligt indstillet i forhold til orienteringsmateriale og vejledning til hele området, for det er en diger sag, som kan være svær at sætte sig ind i for almindelige borgere.

Afslutningsvis vil jeg sige, som jeg også sagde indledningsvis, at vi overordnet set er meget positive over for lovforslaget, som vi støtter. Vi håber så, at ministeren vil tage, om ikke alle, så i hvert fald nogle af vores kritikpunkter videre med i sine overvejelser – ikke mindst spørgsmålet om at skabe så vide muligheder for, at offentlige myndigheder kan videreanvende oplysninger til andre formål end dem, de er indsamlet til. Det synes vi er et rigtig ømt punkt i det her forslag. Tak for ordet.

Tak til ordføreren. Hr. Martin Lidegaard, Radikale Venstre.

Da vores retsordfører ikke kan være til stede, skal jeg på vegne af Radikale Venstre fremføre følgende, som er, at vi også hilser hele den persondataforordning, der er kommet fra Europa-Kommissionen, velkommen. Vi er jo i Danmark et af de mest gennemdigitaliserede samfund i verden og et af de samfund i verden, der har flest data, men vi er desværre ikke et af de mest sikre samfund, når det handler om cyber- og datasikkerhed. Derfor er vi meget glade for Europa-Kommissionens databeskyttelsesforordning, som jo understreger borgerens og forbrugerens ret til at kontrollere egne data og giver en mere effektiv beskyttelse af personoplysninger på tværs af medlemsstaterne. Det er simpelt hen EU, når det er bedst.

Forordningen er ambitiøs, men den efterlader et nationalt råderum. Desværre synes vi, at regeringen med dette lovforslag bruger eller nærmest misbruger dette råderum til at smyge sig uden om mange af forordningens nyskabelser og i stedet for bare viderefører gældende dansk ret. Det finder vi problematisk af flere grunde.

For det første rummer det en risiko for borgeren og forbrugeren. Lovforslaget nedtoner forpligtelsen til at foretage konsekvensanalyser af de risici, anvendelsen af big data rummer for den enkelte borger. Der kan være tale om risikoen for at blive sorteret fra som ansøger til et job, en kreditvurdering, et banklån eller en forsikring. Der er tale om decideret aktiv modarbejdelse af forordningen og af de grundrettigheder, den er sat i verden for at beskytte.

For det andet påfører de danske særregler virksomhederne en øget risiko. Ved at fortolke persondataforordningen på en måde, der krampagtigt viderefører den danske retstilstand, påfører vi danske virksomheder en ny forretningsrisiko, nemlig risikoen for, at deres databehandling ikke opfylder de europæiske krav og forventninger til virksomheders databeskyttelse og dataansvarlighed. Risikoen bliver reel, i det øjeblik en person indbringer en klage over en dansk virksomheds databehandling i et andet EU-land til datatilsynet der. Det skaber risiko for højere bøder og erstatningskrav. Det synes vi heller ikke er tilfredsstillende.

Endelig afskærer lovforslaget os fra at udnytte det vækstpotentiale, der ligger i at udnytte data i systemer, der er designet til at sikre persondatabeskyttelsen – det, man kalder privacy by design. Med lovforslaget fastslår regeringen, at gamle systemer ikke skal redesignes, men at det i stedet kan afhjælpes ved undervisning af medarbejderne. Det er ikke ambitiøst i vores øjne, nærmest uambitiøst.

Derfor er vi desværre ligeså kritiske over for lovforslaget, som vi er begejstrede over selve forordningen, og derfor kan jeg desværre ikke på nuværende tidspunkt give vores stilling til kende. Vi vil følge lovforslaget i den videre udvalgsbehandling og overveje vores handlemuligheder undervejs.

Tak til ordføreren. Hr. Karsten Hønge, Socialistisk Folkeparti.

Beskyttelse af personoplysninger får større og større betydning. Informationsmængderne er ekstremt store og vil kun vokse i fremtiden. Derfor skal vi reagere med en effektiv databeskyttelseslov.

Jeg synes, der er to ting, som ikke har været inde i debatten endnu, men som er noget, vi har lagt mærke til hos SF. Det er bemærkningerne fra Ingeniørforeningen, der jo siger, at man også har ret til at blive glemt, og at det er en central del af databeskyttelsesforordningen. Af samme grund bekymrer det Ingeniørforeningen, at man med L 69 i nogle situationer lægger op til, at Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste ganske vist skal slette oplysningerne, når andre gør opmærksom på det, men at de ikke er forpligtet til ved lov løbende at vurdere, om noget skal slettes. Jeg synes også, at Ingeniørforeningen har relevante indsigelser mod de administrative regler om behandlingssikkerheden.

Vi synes også, at Forbrugerrådet Tænk har en vigtig pointe, når de skriver, at man fra dansk side kan vælge at udnytte hjemmelen i databeskyttelsesforordningen til at vedtage nationale særregler om databeskyttelsesrådgivere.

Personfølsomme oplysninger skal både af offentlige myndigheder og private behandles med stor respekt og forsigtighed. Bøder kan jo være med til at fremme den forståelse. SF støtter lovforslagene, da det vil styrke hegnene omkring borgerne.

Tak til ordføreren. Så er det hr. Naser Khader, Det Konservative Folkeparti.

Det er et omfattende lovforslag, som er meget teknisk og kompliceret. I 2012 fremsatte Europa-Kommissionen et forslag til en ny databeskyttelsespakke. Pakken blev endeligt vedtaget den 14. april 2016, og den består bl.a. af en generel forordning fra EU om beskyttelse af personoplysninger, som skal gælde både i den private og den offentlige sektor. Forordningen har direkte virkning i Danmark, og derfor er vi forpligtet til, at dansk lovgivning er i overensstemmelse med forordningens bestemmelser, og det skal den være fra den 25. maj 2018.

Hovedforslaget til databeskyttelsesloven og følgeforslaget med konsekvensændringer er til for at supplere reglerne i forordningen. Lovforslaget opretholder og fastsætter supplerende nationale bestemmelser om behandling af personoplysninger inden for det nationale råderum, som forordningen giver. En række danske love indeholder henvisninger til persondataloven, og disse henvisninger skal tilpasses databeskyttelsesforordningen og den nye databeskyttelseslov.

Endvidere skal der ske en ændring af de danske regler, der regulerer behandlingen af personoplysninger, og de skal have virkning fra 2018. Der skal derfor foretages en række konsekvensændringer, som fremsættes i følgelovforslaget, f.eks. bestemmelsen om, at offentlige myndigheder skal kunne få bøder på mellem 2 og 4 pct. for overtrædelse af databeskyttelsesforordningen.

I lovforslaget er man opmærksom på, at bøder i størrelsesordenen 8-10 mio. kr. for en kommune kan være rigtig mange penge for at begå en fejl med et cpr-nummer på kommunens hjemmeside, og det er derfor, der i lovforslaget tages højde for, at der er særlige forhold, der skal tages hensyn til, når domstolene idømmer bøder til offentlige myndigheder, bl.a. bødelofter og lavere bøder til offentlige myndigheder.

Så alt i alt støtter vi i Det Konservative Folkeparti lovforslagene.

Tak til ordføreren. Så er det justitsministeren, værsgo.

Tak for den positive modtagelse af lovforslaget. Som flere har været inde på, er det jo et meget omfattende og teknisk lovforslag. Jeg vil derfor her alene komme ind på nogle af de grundlæggende elementer i lovforslaget, og der er jo også rig lejlighed til at få stillet en række spørgsmål under udvalgsbehandlingen.

Som tidligere nævnt er det her jo et forslag, der er fremsat i 2012 og vedtaget i april 2016. Pakken består først og fremmest af databeskyttelsesforordningen, som skal gælde i både den private og den offentlige sektor. Forordningen finder anvendelse fra den 25. maj 2018, og da forordningen har direkte virkning i Danmark, er vi forpligtet til at indrette dansk lovgivning i overensstemmelse med den fra den 25. maj 2018.

Beskyttelsen af personoplysninger vil fremover hovedsagelig ske i forordningen. Det vil altså sige, at de store linjer på databeskyttelsesområdet allerede er lagt. Det er f.eks. EU-forordningen, der indfører det nye krav om såkaldt privacy by design og kravet om, at man i visse tilfælde skal have en såkaldt databeskyttelsesrådgiver. Kravene til it-sikkerhed kommer også fra forordningen, ligesom de høje bøder, man hører så meget om, også kommer fra forordningen. Det er i det lys, jeg fremsætter lovforslaget til en ny databeskyttelseslov, L 68.

Formålet med lovforslaget er alene at supplere reglerne i forordningen. Forslaget opretholder og fastsætter således supplerende nationale bestemmelser om behandling af personoplysninger inden for det nationale råderum, som forordningen giver mulighed for. Forslaget viderefører på langt de fleste områder den gældende retstilstand. Det gælder f.eks. bestemmelserne om, hvornår loven finder anvendelse, altså lovforslagets anvendelsesområde, og det gælder også reglerne om de registreredes rettigheder, og hvornår man kan gøre undtagelse fra rettighederne. Med lovforslaget lægges der f.eks. op til, at regler om behandling af oplysninger i statistisk og forskningsmæssig sammenhæng videreføres. Som et sidste eksempel på, at vi lægger op til at fortsætte den gældende retstilstand, kan nævnes reglerne om indretningen af Datatilsynet og overliggeren, Datarådet.

Følgeforslaget, som vi også behandler her i dag, L 69, skal jo selvfølgelig ses i sammenhæng med hovedforslaget. Følgeforslaget er af meget teknisk karakter. Det har været nødvendigt at fremsætte det lovforslag, da en række danske love indeholder henvisninger til persondataloven, og disse henvisninger skal tilpasses til databeskyttelsesforordningen og den nye databeskyttelseslov. Der skal derfor foretages en række konsekvensændringer, som foreslås med dette tekniske følgelovforslag.

Men tilbage til hovedforslaget, for der er truffet nogle valg, og der er noget, der er nyt. Det er jo ikke nogen hemmelighed, at vi i lovforslaget til databeskyttelsesloven har truffet en række valg. Det drejer sig først og fremmest om lovforslagets bestemmelse om, at offentlige myndigheder skal kunne ifalde bøder for overtrædelse af databeskyttelsesforordningen og databeskyttelsesloven. Offentlige myndigheder skal kunne ifalde en bøde på op til 2 eller 4 pct. af myndighedens driftsbevilling, naturligvis afhængigt af grovheden, dog maksimalt 8 mio. og 16 mio. kr. Normalt kan offentlige myndigheder ikke ifalde et bødeansvar for at agere som de myndigheder, de nu engang er. Men vi har valgt at lægge vægt på, at det kun er rimeligt, at offentlige myndigheder også risikerer bøder, når nu private virksomheder risikerer de meget høje bøder, der i princippet kan komme helt op på 75 mio. eller 150 mio. kr. afhængigt af grovheden.

Når det er sagt, er vi også opmærksomme på, at 8 mio. eller 16 mio. kr. selvfølgelig er mange penge, og der er jo ikke nogen af os, der som sådan har en interesse i, at en kommune skal af med flere millioner, hvis en kommunal medarbejder ved en fejl har fået lagt cpr-numre på kommunens hjemmeside, og vi har derfor også lagt nogle klare forudsætninger ind i lovforslaget for at tage højde for, at der er særlige forhold, der skal tages hensyn til, når domstolene i givet fald skal idømme bøder til offentlige myndigheder.

For det første er der jo tale om bødelofter. Der er altså tale om, hvad en bøde maksimalt kan blive, og det vil, tror jeg, være meget sjældent, at man kan se en straf udmålt helt op til maksimum. Men der er altid momenter, der kan tale i en anden retning. Det kan være, at det er sket uagtsomt, altså ikke med vilje. For det andet forudsættes det udtrykkeligt i lovforslaget, at bøder som sådan – og ikke kun bødelofter – bliver lavere for offentlige myndigheder. Derudover forudsætter vi for det tredje i forslaget, at der skal tages hensyn til den særlige situation, myndigheder står i. Det er jo nemlig den, at de efter lovgivningen er pålagt at varetage lovbestemte opgaver. Myndighederne kan derfor ikke uden videre standse deres drift, og her adskiller myndigheder sig jo fra private aktører, der normalt ikke er pålagt bestemte opgaver i lovgivningen. Vi forudsætter også udtrykkeligt i lovforslaget, at der ved udmålingen af bøden til myndigheder skal lægges vægt på, at myndighederne er meget forskellige, og at to myndigheder næppe er helt ens. De er underlagt meget forskellige rammevilkår. Nogle offentlige myndigheder har således en bevilling, der er bundet tæt op på deres lovbundne opgave, hvilket der naturligvis skal tages hensyn til.

Endelig skal man for det fjerde ikke nødvendigvis have en bøde i første hug. Vi forestiller os således ikke med lovforslaget, at myndigheder skal have en bøde for alle overtrædelser af reglerne. Man kan meget vel forestille sig, at en overtrædelse sanktioneres med et påbud fra Datatilsynet – det kan gælde både private og offentlige – og at der først, hvis påbuddet overtrædes, skrides til bøde. Som vi skriver i lovforslaget, skal man f.eks. lægge vægt på, om der er tale om en overtrædelse, der er forsætlig, eller om der er tale om en uagtsom overtrædelse. At vi nu lægger op til bøder til offentlige myndigheder, ændrer heller ikke på de nuværende muligheder for disciplinært at forfølge en kommunal medarbejder. Altså, en offentligt ansat vil naturligvis også fremadrettet kunne straffes for overtrædelse af straffeloven.

Men vores oplæg i lovforslaget er altså, at også myndigheder som sådan skal kunne ifalde et bødeansvar. Jeg synes, vi har set for mange eksempler, hvor man får en fornemmelse af, at personoplysninger har været behandlet for lemfældigt, og jeg er sikker på, at den blotte risiko for, at man som myndighed kan få en bøde, vil have en meget disciplinerende effekt, som gør, at myndighederne vil passe bedre på vores alle sammens oplysninger.

Jeg ser frem til den videre behandling. Jeg er helt med på – det har jeg også hørt i dag fra ordførerne – at der jo er en række tekniske ting, vi skal have boret ud under udvalgsbehandlingen, og det ser jeg frem til.

Tak. Der er en bemærkning fra hr. Peter Kofod Poulsen, Dansk Folkeparti. Værsgo.

Tak for det. Ministeren har jo ret i, at det her er enormt omfattende materiale, og der er også en uklarhed, som vi har interesseret os lidt for, og som jeg vil spørge ministeren ind til, og det handler om fornyelse af samtykke. Når man giver oplysninger fra sig, personlige oplysninger, kunne ministeren så sige noget om, hvad det, hvis formålet ændrer sig, vil betyde for ændringen af samtykket? Udløber det, eller skal man selv aktivt gøre noget? Vil ministeren gå ind i den del af det?

Ministeren.

Måske opfattede jeg ikke spørgsmålet rigtigt, men det finder jeg ud af lige om lidt, når jeg svarer. Jeg tror, at hr. Peter Kofod Poulsen tænker på ministerbeføjelsen i forbindelse med fastsættelse af regler for de data, der er indsamlet med ét formål, men så også kan anvendes til et andet formål. Lovforslaget indeholder jo den bemyndigelsesbestemmelse, hvor en minister efter en forhandling med justitsministeren kan bruge dataene til andre formål. Der er så sat en række begrænsninger for, hvornår det kan finde anvendelse, og bestemmelsen gælder f.eks. ikke for helbredsoplysninger indsamlet efter sundhedsloven, og det skal også ses i lyset af den fællesoffentlige digitaliseringsstrategi for 2016-2020, hvor det er en forudsætning, at det offentlige kan videregive og genbruge data på en effektiv, åben og transparent måde.

Jeg ved ikke, hvor lang tid jeg har tilbage at svare, men ellers kan det være, at hr. Peter Kofod Poulsen i sit næste opfølgende spørgsmål vil spørge, om ikke godt jeg vil give et eksempel, for så vil jeg rigtig gerne gøre det.

Værsgo til hr. Peter Kofod Poulsen.

Jeg kan jo forsøge, og ministeren kan også svare på skrift efterfølgende, for det er måske bedre. Det eksempel, man kunne tage, var i forbindelse med at give samtykke til, at man kan bruge data til lægevidenskabelig forskning, men hvis formålet så forandrer sig, og det bliver et kommercielt formål i stedet for det helbredsmæssige formål, hvad så med samtykket? Det kunne være et eksempel.

Værsgo til ministeren.

Tak. Det håber jeg jeg får lejlighed til at uddybe skriftligt, for det eksempel, jeg gerne vil give, er inden for de offentlige myndigheder, som jeg sagde før. Lad os nu tænke den tanke, at vi har en situation, hvor man ønsker at dele oplysninger på tværs af en kommunes faggrupper og forvaltning med henblik på at vurdere, om der er børn i kommunen, der er i risiko for social udsathed, så kommunen tidligere kan sætte ind over for en udsat familie. Det kan være en familie, der modtager ydelser, men ikke er dukket op til aftaler, deltager i igangværende sociale tilbud, og i den forbindelse kan det være relevant at kunne viderebehandle oplysningerne til andre formål, end de oprindelig var indsamlet til, så man kan sætte ind med tidlig hjælp over for f.eks. det her barn. Men jeg tror, det her egner sig rigtig godt til en nærmere uddybning.

Tak for det, og tak til ministeren.

Da der ikke er flere, der har bedt om ordet, er forhandlingen sluttet.

Jeg foreslår, at lovforslaget henvises til Retsudvalget. Hvis ingen gør indsigelse, betragter jeg det som vedtaget.

Det er vedtaget.