Europaudvalget 2014-15 (1. samling)
KOM (2012) 0011 Bilag 13
Offentligt
1426378_0001.png
Fra:
Hans Mosbæk [mailto:[email protected]]
Sendt:
19. november 2014 00:01
Emne:
Høring om offentlige myndigheders behandling af personoplysninger den 22. oktober 2014
Hans Mosbæk, retsassessor
Dronning Christines Vej 5
9000 Aalborg
Til Folketingets Retsudvalg.
Jeg følger op på mit spørgsmål under høringen til Datatilsynets repræsentant samt min opfordring
til Retsudvalget til at tage de nødvendige initiativer til at sikre, at Danmark opfylder Europa-
Parlamentet og Rådets direktiv af 1995-10-24 (95/46) om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger m.v.
Direktivet er gennemført ved L 2000 429 Persondataloven.
For så vidt angår behandling af personoplysninger, der kan krænke de grundlæggende
frihedsrettigheder og navnlig privatlivets fred, må direktivet i henhold til præamblens
punkt 10 fortolkes under hensyn til grundrettighederne, herunder navnlig EMRK art 8. Domstolen
har således flere gange understreget betydningen af privatlivets fred og anlagt fortolkninger, der
fremmer dette formål. Direktivet er en præcisering og udvidelse af principperne i Europarådets
konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med
databehandling af personoplysninger.
Staten er i henhold til præamblens punkt 62 og artikel 28 forpligtet til at oprette et uafhængigt
tilsyn. Tilsynet skal udøves i fuld uafhængighed uden ydre påvirkning. Dette indebærer, at der end
ikke må være et statsligt tilsyn, der kun har til formål at sikre, at tilsynsmyndighedens handlinger er
forenelige med de gældende nationale og EU-retlige bestemmelser. Den blotte risiko for, at det
statslige tilsyn kan øve politisk indflydelse på tilsynsmyndighedens beslutning, er nemlig
tilstrækkelig til at hindre, at tilsynsmyndigheden kan udøve dens opgave uafhængigt. For dels kan
dette medføre en "forudgående lydighed" fra disse myndigheders side over for det statslige tilsyns
beslutningspraksis, dels kræver den rolle som vogter af retten til privatlivets fred, som
tilsynsmyndigheden har påtaget sig, at dens beslutninger og således myndigheden selv står uden for
enhver mistanke om partiskhed.
 PDF to HTML - Convert PDF files to HTML files
Tilsynet skal være effektivt.
Når Datatilsynets repræsentant som svar på mit spørgsmål om Datatilsynets holdning til professor
dr.jur. Peter Blumes konklusion i artikel i Ugeskrift for Retsvæsen om, at offentlige myndigheders
persondataansvar i dag kun sanktioneres i begrænset omfang - sammenholdt med det, som kom
frem under høringen om problemer med offentlige myndigheders overholdelse af persondataloven -
henviser til Justitsministeriet, kan det efter efter min opfattelse ikke stå alene. Spørgsmålet må først
og fremmest stilles til Datarådet som øverste ansvarlig for det også i forhold til Justitsministeriet
uafhængige Datatilsynet, og som den, der udstikker de overordnede retningslinjer for Datatilsynets
praksis, herunder praksis for anmeldelser til anklagemyndigheden med henblik på håndhævelse af
persondatalovens bestemmelser. Datatilsynet har selvfølgelig ikke ansvar for de enkelte
forvaltningsmyndigheders valg af disciplinære sanktioner, så med det forbehold, kan
spørgsmålet være relevant for Justitsministeriet.
Hverken Folketinget eller justitsministeren er naturlig afskåret fra at stille spørgsmålet, om
tilsynsmyndigheden, og for den sags skyld også domstolene ved dannelse af retspraksis, lever op til
direktivets bestemmelser. Det skal blot ske med henblik på at træffe de nødvendige
lovgivningsmæssige initiativer til at rette op på forholdene. Det er i sidste ende en sag for
Kommissionen at tage initiativ til at sikre, at Danmark lever op til direktivet, hvis ikke Folketing og
regering selv tager initiativet.
Staten skal i henhold til præamblens punkt 63 og artikel 24 tildele tilsynet de fornødne beføjelser til
at varetage dens opgave, herunder undersøgelses- og interventionsbeføjelser, samt beføjelse til at
indbringe sager for en retsinstans. Staten skal endvidere træffe de nødvendige foranstaltninger til at
sikre, at direktivet gennemføres i fuldt omfang, og staten skal fastsætte sanktioner, der skal finde
anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til direktivets gennemførelse,
det vil sige bestemmelserne i persondataloven.
Som det allerede er påpeget af nogle af retsudvalgets medlemmer, forekommer det oplagt, at der er
behov for initiativer. Foruden den sag, som er anledning til Retsudvalgets initiativ kan der opregnes
en række tilfælde, hvor Rigsrevisionen påpeger alvorlige svigt i datasikkerhed, både hos offentlige
myndigheder selv, men også i forhold til myndighedens kontrol med leverandører. Behovet for
initiativ bestyrkes endvidere af professor, dr.jur. Peter Blumes konklusion i ovenfor omtalte artikel
samt indkomne høringssvar.
Med de redskaber, som tilsynsmyndighederne i Danmark er tildelt, burde den nuværende situation
ikke foreligge. Tilsynsmyndighederne kan indgive anmeldelse til politiet samt at rette henvendelse
til Kommissionen, såfremt myndighederne ikke i tilstrækkelig grad anvender disciplinære
sanktioner ved tilsidesættelse af loven. Er domstolenes retspraksis ikke i overensstemmelse med
direktivet, kan der rettes henvendelse til Kommissionen med henblik på at stille krav til Regeringen
til at tage initiativ til lovændring vedrørende strafskærpelse eller eventuel præcisering af loven.
Som det blev anført fra panelet under høringen, kan vejledning og understøttelse af
myndighederne med gode råd ikke stå alene. Sådan er det også i andre samfundsforhold. Hvis ikke
 PDF to HTML - Convert PDF files to HTML files
der er en håndhævelse, der er afstemt efter behovet, skrider det. Derfor skal man nu engang følge
op med håndhævelse for at sikre, at de ovenfor anførte intentioner føres ud i livet. Det må være
relevant at rejse det spørgsmål, om man fra tilsynsmyndighederne har været for tilbageholdende
med at anvende de redskaber, som man råder over.
Det er et ledelsesansvar at sikre en kultur hos myndigheden, der understøtter persondatalovens
overholdelse. Høringen gav et klart indtryk af en brist i den retning. Det er bestyrket af en udtalelse
fra en kontorchef i Rigsrevisionen, hvorefter den dårlige IT-sikkerhed i de statslige institutioner
primært skyldes "forskellige grader af ledelsesmæssig opmærksomhed" omkring IT-sikkerhed
(Politiken, 8. november 2014). Der udspandt sig en interessant diskussion mellem en spørger og
Henrik Brix fra Faurskov Kommune omkring et ganske dagligdags og jordnært problem, som også
Datatilsynets repræsentant kunne nikke genkendende til. Henrik Brix gav klart udtryk for, at det var
en ledelsesopgave at sikre overholdelse af den omtalte sikkerhedsprocedure, og at det ikke var så
svært. Det var faktisk meget enkelt. Det kan jeg kun give ham ret i. Det handler om viljen til at
udvise ledelsesansvar. Er den der ikke, skrider det.
Jeg er også af den opfattelse, at de problemer, der er omkring overholdelse af persondataloven, i
vidt omfang kan henføres til utilstrækkelig ledelse hos den enkelte myndighed. Det må
nødvendigvis føre til spørgsmålet om, hvordan det kan forekomme, når man har tilsynsmyndighed,
der har redskaberne til sikre, at myndighederne retter ind. Det må være relevant at rejse
spørgsmålet, om der er etableret en kultur hos det samlede datatilsyn, hvorefter man i vidt omfang
er tilbageholdende i forhold til offentlige myndigheder, når det kommer til at gøre ondt - det vil sige
i håndhævelsesfasen og måske tillige undersøgelsesfasen, hvis noget viser sig at være helt galt. Har
man været for flink ? Det efter min opfattelse et nødvendigt spørgsmål at forholde sig til i
betragtning af, at der blandt de øverste chefer i offentlig forvaltning i bred forstand i vidt omfang er
en samhørighed i form af ofte tætte samarbejdsrelationer på kryds og tværs i mange relationer.
Tilsynsmyndigheden i Danmark består som bekendt udover Datatilsynet også af Domstolsstyrelsen,
som fører tilsyn med retterne. De to tilsyn er i henhold til persondataloven forpligtet til at tale
sammen med henblik på at sikre et samlet effektivt datatilsyn.
Domstolsstyrelsens øverste ledelse er en bestyrelse på 11 medlemmer, 8 repræsentanter fra
forskellige medarbejdergrupper fra retterne samt 3 offentlighedsrepræsentanter. Bestyrelsen vælger
formanden, som siden Domstolsstyrelsens etablering i 1999 har været en højesteretsdommer.
Det har siden 2011 været Jens Peter Christensen. Jeg kommer tilbage til spørgsmålet,
om Domstolsstyrelsen er et uafhængigt tilsyn i betragtning af, at det er bestyrelsen, der ansætter og
afskediger direktøren, som er den daglige øverste ansvarlig for, at tilsynet udøves i henhold til
persondataloven. Domstolsstyrelsen er som bekendt uafhængig af justitsministeriet relation til
instruktionsbeføjelse.
 PDF to HTML - Convert PDF files to HTML files
Datarådets formand er dommer. For tiden er det højesteretsdommer Henrik Wåben, tidligere
direktør for Datatilsynet.
Højesteretsdommer Henrik Wåben og højesteretsdommer Jens Peter Christensen er i kraft af
formandsskabet i realiteten øverste chef for den undersøgelsesmyndighed, der skal bringe sager til
anklagemyndigheden afstemt efter behovet til sikring af persondatalovens opfyldelse. De to skal
sammen med de respektive rådsmedlemmer og bestyrelsesmedlemmer lægge linjen for i hvilken
omfang, der for eksempel skal ske anmeldelse til politiet. Samtidig er de en del af et det
dommerkollegium i højesteret, som i sidste instans skal lægge linjen i relation til sanktioner. De
indtager en position som en slags anklager i kraft af deres hverv i tilsynsmyndigheden. Det rejser
efter min opfattelse spørgsmål om habilitet både for de to højesteretsdommere i kraft af
formandsskabet i tilsynsmyndigheden, men også for kollegaerne i Højesteret. Henrik Wåben og
Jens Peter Christensen dømmer nok ikke i de sager, som er indbragt fra eget datatilsyn. Problemet
er efter min opfattelse, at skellet mellem anklagefunktionen i tilsynet og dommerhvervet i
Højesteret risikerer at blive udvisket i offentlighedens øjne i kraft af det kollegiale fællesskab, der
mellem dommerne i Højesteret. Man kan heller ikke se bort fra, at kendte psykologiske mekanismer
kan spille selv højesteretsdommerne et puds på den måde, at der ubevidst sker en form for
udviskning af grænserne. Højesteretsdommerne har et særligt fasttømret kollegialt fællesskab i kraft
af, at de som bekendt er flere til at dømme i samme sag. I et dommerkollegium taler man som på
andre arbejdspladser om løst og fast i frokostpauser, og der er formentlig også sociale fællesskaber
på kryds og tværs. Der er tale om årelange relationer, idet man typisk bliver udnævnt som
højesteretsdommer i en alder omkring 50 år og fortsætter indtil man fylder 70 år. Det er positivt og
værdifuldt i enhver sammenhæng med et sådant fællesskab, men det forekommer ikke
hensigtsmæssigt, at der er så tæt et dagligt fællesskab mellem myndighedspersoner, der i relation til
persondataloven så at sige repræsenterer hver sin side. Det må efter min opfattelse aldrig være
sådan, at der hen ad vejen i frokoststuen i Højesteret i kraft af generelle uformelle drøftelser opstår
en form for samhørighed i opfattelsen af, hvad der skal gælde i forhold til håndhævelse af og
fortolkning af persondataloven, når både den efterforskende og anklagende myndighedsperson er en
del af dommerkollegiet. Nu ved man jo ikke, hvad der i den relation drøftes i frokoststuen i
Højesteret, men den blotte mulighed for, at det sker, betyder efter min opfattelse, at der må rejses
spørgsmålet om holdbarheden af, at det strengt uafhængige datatilsyn på den måde i personel
henseende er en del af Højesteret . Både datatilsynet og Højesteret risikerer at blive anfægtet på
uafhængigheden og i sidste ende autoriteten.
Lignende problemstilling har været fremme i forbindelse med vedtagelse af loven om
undersøgelseskommissioner. Det forudsættes , at man ikke udpeger højesteretsdommere som
formand for en undersøgelseskommission, hvilket i følge lovens forarbejder har baggrund i et ønske
fra Dommerforeningen, idet man var betænkelig ved, at en undersøgelseskommission vil kunne
opfattes som en del af domstolene, hvis en højesteretsdommer indtager pladsen som formand - man
anvender begrebet "domsvirkning". Man frygtede, at der ville ske en svækkelse af domstolenes
autoritet.
 PDF to HTML - Convert PDF files to HTML files
Det har måske også baggrund i Tamilsagen, idet Erik Ninn-Hansen påstod rigsretssagen afvist med
henvisning til, at habilitetskravene ikke var opfyldt. Det skete blandt andet med henvisning til, at
højesteretsdommer Hornslet havde behandlet sagen i undersøgelsesretten på en måde, så han havde
impliceret Højesteret i sagen. Det blev gjort gældende, at rigsretten ikke opfyldte kravet om
upartiskhed i artikel 6 i Menneskerettighedskonventionen. Et flertal i rigsretten afviste Erik Ninn-
Hansens krav om at få afhørt Hornslet som vidne. Erik Ninn-Hansen ønskede at få klargjort, i
hvilket omfang Hornslet havde drøftet sagen med de dommere, der skulle dømme i rigsretssagen.
Man skal efter min opfattelse have en vis sympati for ønsket, hvilket også et mindretal havde.
Man kan jo forestille sig lignende problemstilling for en person, der er tiltalt for overtrædelse af
persondataloven, der skal have sin sag behandlet i Højesteret. Det kunne måske være Se og Hør
sagen, hvis det kommer så langt. Spørgsmålet kan også rejses af en krænket part. Der vil fra
parternes side kunne rejses en række spørgsmål om sanktion, eventuelt svigt fra tilsynsmyndighed
med videre, hvor Højesterets uafhængighed og dermed autoritet efter min opfattelse med
rette risikerer at blive anfægtet. Man kan også forestille sig en situation, hvor det samlede datatilsyn
finder, at Højesterets praksis i relation til sanktion eller fortolkning af persondataloven er for slap i
forhold til direktivet. Vil to højesteretsdommere i givet fald være klar til at rette henvendelse til
regering, Folketinget eller Kommissionen med henblik på at få rettet op på forholdene ?
Højesteretspræsident Børge Dahl anførte i sin embedsperiode, at " befolkningens tillid til
domstolene er afgørende for retssystemet, og derfor skal Højesteret følge med tiden og sikre en vis
åbenhed"....." Det er ikke nok, at Højesteret afsiger domme i principielle sager og dermed udstikker
retningslinjer for fremtidige sager - det er også helt afgørende, at dommene bliver formidlet godt ud
til offentligheden. På den måde kan borgerne få en større indsigt i domstolenes arbejde, en bedre
forståelse for bevæggrundene bag afgørelserne og dermed opbygge den tillid til domstolene, der er
helt afgørende " (Berlingske, 2. oktober 2010). Det vil efter min opfattelse være tråd med den
holdning, at Folketinget tager skridt til at sikre, at ingen højesteretsdommer udgør en del af et
uafhængigt datatilsyn. Frigør Højesteret fra datatilsynet og frigør datatilsynet fra Højesteret.
Højesteretspraksis omkring persondataloven er sparsom. Højesteret har dog i Sag 236/2013 haft
lejlighed til at forholde sig til problematikken. Domstolsstyrelsens tilsynspraksis er også belyst i
sagen.
 PDF to HTML - Convert PDF files to HTML files
Er Domstolsstyrelsen et uafhængigt datatilsyn?
Professor, dr.jur Peter Blume afgav i Betænkning 1997 1345 , der ligger til grund for
persondataloven, en mindretalsudtalelse om, at datatilsynet med retterne ikke kan ligge hos
domstolene ud fra betragtningen, at man ikke kan føre tilsyn med sig selv. På det tidspunkt var
Domstolsstyrelsen ikke etableret. Indtil da førte landsretspræsidenterne som overordnet
myndighed tilsyn med byretternes databehandling.
Spørgsmålet er, om Domstolsstyrelsen kan udøve uafhængigt tilsyn med de retter, som gennem
medarbejderrepræsentanter ansætter og afskediger den direktør, som er den daglige øverste
ansvarlige for domstolenes datatilsyn. Domstolsstyrelsen og retterne er forenet i Danmarks
Domstole. Man arbejder på kryds og tværs i forskellige sammenhænge. Man er én stor
familie. Retterne har en grundlovssikret uafhængighed i forhold til de juridiske afgørelser, som
træffes i retssagsbehandlingen i bred forstand. Men hvorledes er Domstolsstyrelsens uafhængighed
sikret i relation til direktivets krav om fuldstændig uafhængighed. Hvorledes sikres
uafhængigheden, hvis det ikke blot skal dreje sig om en tillidssag ? Giver det overhovedet mening
at tale om uafhængighed, når man udøver tilsyn med sig selv ?
Med venlig hilsen
Hans Mosbæk