Europaudvalget 2023-24
EUU Alm.del Bilag 55
Offentligt
2765813_0001.png
Sekretariatet for
Dataetisk Råd
[email protected]
www.dataetiskraad.dk
Dato: 09 oktober 2023
Sendt elektronisk til Cathrine Hjortdam
[email protected]
Dataetisk Råds kommentarer til Europa-Kommissionens kommende evaluering af
GDPR
Dataetisk Råd ser Databeskyttelsesforordningen som en afgørende sikring af borgernes
rettigheder ift. indsamling og anvendelse af data på en rimelig, sikker og fundamentalt
dataetisk måde. Rådet ser frem til Europa-Kommissionens kommende evaluering af
Databeskyttelsesforordningen i 2024 og opfordrer den danske regering til at arbejde for at
evalueringen ikke snævert afgrænses til at fokusere på databeskyttelsesforordningens
kapitel V om overførsel af personoplysninger til tredjelande eller internationale
organisationer og kapitel VII om samarbejde og sammenhæng.
Rådet har fået mulighed for at give input til Justitsministeriets deltagelse i forhandlingerne.
Dataetisk Råd ser især behov for at fokusere på følgende områder i en kommende
evaluering:
1
Vedr. håndhævelse fra myndighederne
Dataetisk Råd er af den opfattelse, at de nuværende regler i dag ikke håndhæves til
reglernes fulde potentiale. Eksempelvis ses forordningens princip om
dataminimering jf. art. 5, stk. 1, litra c, ikke anvendt i forhold til at begrænse
automatisk datahøst, hvilket rådets undersøgelse
En hverdag af data
dokumenterede betydelige eksempler på. Ligeledes fastsætter
forordningens
art. 25
en forpligtelse til at anvende principper vedr.
’privacy
by design’ og
’privacy
by
default’ når tekniske løsninger udvikles og implementeres. Det er ikke rådets
opfattelse, at tilsynsmyndighederne har haft et særskilt fokus på at håndhæve disse
dele af forordningen, hvilket efter Dataetisk Råds opfattelse kunne have relevant
effekt.
Et andet sted, hvor Dataetisk Råd opfatter den nuværende håndhævelse som
utilstrækkelig, handler om de lange sagsbehandlingstider som følge af one-stop-
shop mekanismen. Rådet opfordrer danske og internationale myndigheder til at
overveje, hvorledes sagsbehandlingstiderne kan nedbringes.
EUU, Alm.del - 2023-24 - Bilag 55: Kopi af DIU alm. del - bilag 18, kommentarer fra Dataetisk Råd til Europa-Kommissionens kommende evaluering af GDPR
Dataetisk Råd opfordrer til, at der bør kigges nærmere på anvendelsesområdet for
GDPR, art. 2, stk. 2, litra c (the household exemption) for at skabe mere klarhed og
ensrettet praksis på tværs af medlemslande om fortolkning af afgrænsningen. Det
kunne eksempelvis bidrage til, at det bliver mere tydeligt, hvornår privatpersoner, der
videooptager/overvåger ansatte i arbejdssituationer omfattes eller ikke omfattes af
denne undtagelse til forordningens materielle anvendelsesområde.
Dataetisk Råd bemærker, at der har været størst fokus på, at man hævede straffen
markant for virksomheder, som overtræder GDPR. Men der har været mindre
opmærksomhed på, om personer, som lider tort pga. overtrædelse af GDPR, bliver
tilstrækkeligt kompenseret / får tilstrækkelig oprejsning - især taget i betragtning, at
godtgørelserne for tort generelt har været beskedne. På den baggrund kan man
med fordel overveje evaluere anvendelsen af dataforordningens art. 82 om ret til
erstatning.
2
Vedr. beskyttelse af de registrerede
Dataetisk Råd er optaget af anvendelsen af artikel 22, og hvorvidt den registrerede
gives tilstrækkelig beskyttelse mod profilering i praksis. I takt med, at AI-modeller
bliver en større del af hverdagen på arbejdspladser og i andre sammenhæng, er det
vigtigt at reglerne mod profilering er tidssvarende og effektive i praksis.
Dataetisk Råd bemærker generelt, at der fortsat er plads til at GDPR-reglerne kan få
større gennemslagskraft og beskytte europæiske borgeres data bedre. F.eks. sætter
Dataetisk Råd spørgsmålstegn ved, om GDPR er kommet helt i mål med at sikre
brugerne reel kontrol med data. Rådet er således optaget af, hvordan det kan sikres,
at der skabes øget gennemsigtighed omkring og indsigt i brugen af deres data.
Rådet opfordrer regeringen til at overveje, hvorledes dette i højere grad kan opnås.
Ift. især beskyttelsen af arbejdstagere er Dataetisk Råd er også optaget af, om de
nuværende GDPR-regler giver en tilstrækkelig beskyttelse af arbejdstagere i lyset af,
det voksende antal og udbredelse af algoritmiske værktøjer, herunder AI-modeller, til
at understøtte ledelsesfunktioner på arbejdspladser. Med udsigt til en større grad af
algoritme-ledelse kan der være behov for at sætte fokus på indsamling, anvendelse
og navnlig, hvordan de registreredes rettigheder skal praktiseres i relation til
algoritmer og AI. Der kan fx konkret ses på, om oplysningsforpligtelsen i art. 13 og 14
giver medarbejdere ret til den nødvendige indsigt i og indflydelse på
arbejdsgiverens brug af algoritmer, indsamling og samkøring af data om
medarbejderne, eller om der er behov for yderligere regulering. Hvad angår
beskyttelsen af arbejdstagere bør der også være fokus på, om de er tilstrækkeligt
beskyttet mod afskedigelse eller anden ufordelagtig behandling som følge af
udøvelse af deres rettigheder som registrerede.
Side 2 af 4
EUU, Alm.del - 2023-24 - Bilag 55: Kopi af DIU alm. del - bilag 18, kommentarer fra Dataetisk Råd til Europa-Kommissionens kommende evaluering af GDPR
3
Vedr. compliance i den private sektor
Dataetisk Råd er af den opfattelse, at GDPR har haft en effekt i virksomhederne, og
mange af de især store virksomheder har i dag mere overblik over og kontrol med
deres brug af data som følge af GDPR, hvilket er positivt. Men Dataetisk Råd ser
fortsat rum for, at virksomheder og især SMV’er i højere grad kan blive compliant
og
opfordrer nationale og internationale myndigheder til at overveje hvorledes en
sådan ændring kan understøttes. SMV’er kan have brug for ekstra støtte fordi de ikke
har tilstrækkelige ressourcer. Herudover opfordrer Dataetisk Råd regeringen til at
have opmærksomhed på, hvorledes GDPR kan understøtte bredere compliance i
virksomhederne som sådan.
Dataetisk Råd finder, at der kan være et vigtigt dataetisk hensyn i at virksomheder
har gode rammer til at udvikle innovative løsninger til gavn for individer, så længe
det sker inden for GDPR
i det lys er rådet optaget af, hvordan man kan sikre, at der
bliver bedre adgang til rådgivning om, hvad der reelt er tilladt hhv. forbudt inden for
GDPR. I denne sammenhæng kan regulatoriske sandkasser være et relevant bidrag.
4
Vedr. compliance i den offentlige sektor
Medlemmer af Dataetisk Råd har en generel bekymring for, om nogle af
bestemmelserne i GDPR er unødvendigt uklare, hvilket kan indebære risiko for
forskellige fortolkninger (nationalt og/eller internationalt) og dermed uens vilkår for
compliance, konkurrence og udvikling/innovation. Specielt i den offentlige sektor kan
det betyde, at der anvendes et forsigtighedsprincip ift. brug af data som betyder, at
data ikke udnyttes i den grad som de kunne i overensstemmelse med GDPR.
Dataetisk Råd er optaget af, at offentlige myndigheder har de rette ressourcer til at
være compliant med GDPR, idet rådet har en opfattelse af, at nogle myndigheder
oplever at compliance kræver store og voksende ressourcer. F.eks. er
tredjelandsoverførsler et emne, som er forbundet med et ikke-ubetydeligt
compliance-arbejde.
Medlemmer af Dataetisk Råd finder også,
at de ’Passende
tekniske og
organisatoriske foranstaltninger’,
som myndigheder skal iværksætte, ikke er
defineret tilstrækkeligt præcist. Og selvom der naturligvis skal være tilpas brede
definitioner for, at sådanne rammer kan være både teknologineutrale og
fremtidssikrede, øger det vanskeligheden med at arbejde med reglerne konkret.
5
Afsluttende kommentarer
Afslutningsvis er Dataetisk Råd optaget af, at den kommende AI-forordning
komplementerer og bygger oven på GDPR-reglerne på en smidig og effektiv måde, og
Side 3 af 4
EUU, Alm.del - 2023-24 - Bilag 55: Kopi af DIU alm. del - bilag 18, kommentarer fra Dataetisk Råd til Europa-Kommissionens kommende evaluering af GDPR
2765813_0004.png
opfordrer regeringen til at have et særskilt fokus på dette i en kommende evaluering af
GDPR såvel som forhandlingen og implementeringen af AI-forordningen.
Dataetisk Råd står til rådighed såfremt der skulle være spørgsmål eller behov for anden
opfølgning.
Med venlig hilsen på vegne af Dataetisk Råd.
Johan Busse
Formand for Dataetisk Råd
Side 4 af 4