PDF to HTML - Convert PDF files to HTML files

Europaudvalget 2013-14
KOM (2012) 0011 Bilag 11
Offentligt

Fiolstræde 17 B, Postboks 2188, 1017 København K

T: +45 7741 7741, F: +45 7741 7742, [email protected], taenk.dk

Danmarks Faste Repræsentation ved den Europæiske Union

Sendt pr. e-mail

[email protected]

Cc Europaudvalget, e-mail

[email protected]

26. maj 2014

Dok. 142066

Reform af databeskyttelsespakken

Kære ambassadør Jeppe Tranholm-Mikkelsen

Forbrugerrådet Tænk og den europæiske forbrugerorganisation BEUC skal hermed henlede

opmærksomheden på en række udestående spørgsmål i forbindelse med de igangværende

forhandlinger om en reform af databeskyttelsespakken og opfordre dig til at arbejde for, at

der snarest muligt opnås enighed i Rådet om udkastet til forslag.

I løbet af de sidste to år har Rådet gjort betydelige fremskridt på det tekniske plan. Imidlertid

er der behov for politisk vilje til at forvandle det omfattende arbejde til reelle fremskridt. Det

er vigtigt, at der hurtigt opnås politisk enighed, som kan muliggøre vedtagelsen af de nye

regler inden udgangen af 2014 som ønsket af Det Europæiske Råd.

Vedtagelsen af forordningen om databeskyttelse er en vigtig brik i den digitale dagsorden for

Europa. En solid retlig ramme for databeskyttelse vil bidrage til at øge forbrugernes tillid og

udgøre en sammenhængende og omfattende retlig ramme for virksomheder i hele Europa.

Formålet med reformen er at styrke de eksisterende rettigheder og principper, samtidig med

at forbrugerne får kontrollen tilbage med den måde, deres personoplysninger behandles på.

Retten til beskyttelse af personoplysninger må ikke udhules eller undermineres, blot fordi

det er blevet lettere og mere rentabelt at bryde denne ret i det digitale miljø.

Forordningsforslaget om databeskyttelse sikrer den rette balance mellem de europæiske

forbrugeres og borgeres behov for effektiv databeskyttelse og virksomhedernes behov for

ikke at skulle forholde sig til uforholdsmæssigt store administrative byrder. Reformen vil

skabe vækst, idet den vil modernisere de retlige rammer og lette anvendelsen af

databeskyttelsesreglerne i hele Europa.

Vi har bemærket de fremskridt, der er sket under det græske formandskab. Men vi beklager,

at der stadig ikke er fundet kompromisløsninger på en række vigtige spørgsmål, og endnu

mere bekymrende er det, at den gældende EU-lovgivning tilsyneladende vil blive svækket i

visse henseender.

PDF to HTML - Convert PDF files to HTML files

På baggrund af de igangværende drøftelser vil vi gerne opridse vores holdning til en række

afgørende spørgsmål:

Databeskyttelsesforordningens anvendelsesområde

Vi er imod, at den offentlige sektor ikke omfattes af forordningens anvendelsesområde, idet

en sådan undtagelse vil medføre et lavere beskyttelsesniveau i forhold til direktiv 95/46, som

ikke sondrer mellem offentlig og privat sektor. Den offentlige sektor nyder allerede godt af

bestemmelser, som giver mulighed for behandling af personoplysninger, når det er nødven-

digt for at overholde en retlig forpligtelse eller i forbindelse med opgaver, der udføres i of-

fentlighedens interesse. Desuden er der ikke en klar skillelinje mellem den offentlige og den

private sektor, idet den samme type aktiviteter i nogle medlemslande udføres af offentlige

organer og i andre medlemslande af private virksomheder.

Definition af personoplysninger

Definitionen af personoplysninger har stor betydning for fastlæggelsen af anvendelsesområ-

det for udkastet til forordning. I en indbyrdes forbundet digital verden kan enkelte personop-

lysninger ikke betragtes i isolation. Med henblik på at sikre, at de nye databeskyttelsesregler

fortsat vil være relevante i de kommende år, bør definitionen af personoplysninger fortsat

være bred og fleksibel set i lyset af den hastige udvikling inden for informations- og kommu-

nikationsteknologi.

Uregelmæssigheder så som genidentifikation og afanonymisering af personoplysninger er et

stigende problem. Fuld anonymisering er en illusion og bliver stadig vanskeligere at opnå

som følge af fremskridtene inden for computerteknologi og den enorme tilgængelighed af

oplysninger.

Når personoplysninger er uigenkaldeligt anonymiseret, falder de automatisk uden for for-

ordningens anvendelsesområde. Man bør undgå at definere "anonyme oplysninger", da en

sådan definition vil øge risikoen for smuthuller i lovgivningen, der kan udnyttes af register-

ansvarlige til at omgå forordningens regler.

Med hensyn til pseudonymiserede oplysninger vil vi gerne understrege, at sådanne oplysnin-

ger pr. definition er personoplysninger, da de vedrører en identificerbar person, og de falder

derfor ind under forordningsforslagets anvendelsesområde.

Formålsbegrænsning og dataminimering

Princippet om formålsbegrænsning er en af de centrale søjler i databeskyttelseslovgivningen.

Den registeransvarlige er forpligtet til kun at indsamle og behandle personoplysninger til

udtrykkeligt angivne og legitime formål, hvilket skal meddeles den registrerede.

Yderligere behandling af oplysninger til andre formål end det oprindelige er kun tilladt, hvis

de nye formål er forenelige med de oprindelige. Begrebet forenelighed er imidlertid ikke de-

fineret i forslaget. Det er derfor vigtigt, at der fastsættes generelle kriterier, som kan bruges

ved vurderingen af foreneligheden af yderligere behandling.

PDF to HTML - Convert PDF files to HTML files

Vi foreslår, at opgaven med at fastsætte sådanne kriterier overdrages til Det Europæiske Da-

tabeskyttelsesråd. Den nylige udtalelse fra Artikel 29-gruppen vedrørende databeskyttelse

kan danne grundlag for dette arbejde:

Forholdet mellem det oprindelige formål og formålet med yderligere behandling

I hvilken sammenhæng oplysningerne blev indsamlet

Den registreredes rimelige forventninger

Oplysningernes beskaffenhed og konsekvenserne af yderligere behandling for den regi-

strerede

Hvilke sikkerhedsforanstaltninger, den registeransvarlige anvender for at undgå urimeli-

ge konsekvenser for den registrerede

I tilfælde af, at den registeransvarlige skulle finde på at anvende og behandle personoplys-

ninger til andre formål end det oprindelige uden at informere den registrerede, vil forbru-

gerne miste kontrollen med, hvordan og hvornår deres data behandles, og så vil hele beskyt-

telsessystemet blive uigennemskueligt, svækket og ustabilt.

Legitim interesse

Den registeransvarliges legitime interesse kan danne grundlag for lovlig behandling. Imidler-

tid har virksomhederne udnyttet dette som grundlag for ubegrænset og ureguleret behand-

ling af personoplysninger og uden at tillade brugerkontrol.

Mange virksomheder udnytter bestemmelsen om ”legitim interesse” til at indsamle flere

oplysninger, end det er påkrævet til de angivne formål og ofte til forskellige formål, som er

uforenelige med det oprindelige. Legitim interesse bruges ofte som et påskud for at videregi-

ve oplysninger til tredjemand og unddrage sig overholdelse af principperne om databeskyt-

telse.

Medmindre den registeransvarliges legitime interesse defineres ordentligt og kun bruges

undtagelsesvist, vil det blive et smuthul i den nye forordning.

Hvis en registeransvarlig ønsker at benytte sig af legitime interesser som grundlag for

behandling, bør den registrerede advares om dette

Begrundelsen legitime interesser bør kun bruges som en sidste udvej, dvs. når der ikke

findes andre juridiske begrundelser

Den registeransvarlige bør skulle bevise, at vedkommendes interesser tilsidesætter den

registreredes interesser

Det Europæiske Databeskyttelsesråd bør få til opgave at offentliggøre en vejledende liste

over behandlinger, der kan udføres på grundlag af virksomheders legitime interesser.

Forbrugernes klageadgang

I tilfælde af overtrædelse af databeskyttelsesreglerne og brud på persondatasikkerheden bør

de registrerede have mulighed for at klage og få en rimelig erstatning. For at dette kan lade

sig gøre, er det meget vigtigt, at forbrugerorganisationerne kan indgive klage eller anlægge

sag ved domstolene på vegne af en gruppe af forbrugere.

Ofte er værdien af den skade, som den enkelte forbruger har lidt, ikke værd at anlægge en

langvarig og dyr retssag for. Kollektive søgsmål vil gøre det lettere for forbrugerne at klage og

få erstatning.

Organisationer bør fortsat have ret til på vegne af registrerede at indgive klage til en tilsyns-

myndighed (artikel 73) og anlægge sag ved domstolene (artikel 76).

PDF to HTML - Convert PDF files to HTML files

Organisationers ret til at anlægge erstatningssager bør tilføjes i artikel 77.

Du er meget velkommen til at kontakte Anette Høyrup på

[email protected]

eller tlf. 2715 7432 for

en uddybning.

Med venlig hilsen

Vagn Jelsøe

Vicedirektør

Anette Høyrup

Seniorjurist