PDF to HTML - Convert PDF files to HTML files

Europaudvalget 2012-13
KOM (2012) 0011 Bilag 5
Offentligt

KL’s holdning til Europa-Kommissionens

generelle forordning om databeskyttelse

Baggrund

Europa-Kommissionen fremlagde den 25. januar 2012 forslag til ”Generel forordning om

databeskyttelse”. Forordningen skal træde i stedet for det nuværende persondatadirektiv (Direktiv

95/46/EF), som i Danmark er implementeret via persondataloven.

Kommissionen ønsker at harmonisere behandlingen af persondata. Der er sket en enorm udvikling

i IT og data siden 1995, hvor det nuværende persondatadirektiv blev vedtaget. Der er fx sket en

stor udvikling i, hvordan data udveksles mellem enkeltpersoner, virksomheder og offentlige

myndigheder. Kommissionen har især øje for udviklingen i forhold til handel på internettet og

brugen af de sociale medier.

Kommissionen mener, at denne udvikling har skabt et behov for at sikre borgernes rettigheder i

forhold til beskyttelse af deres personlige oplysninger. Kommissionen fremhæver, at mange

borgere ikke føler sig trygge ved at handle på internettet, og at det samtidig er uklart for borgeren,

hvordan deres data bruges af store internetaktører.

Kommissionen har et ønske om at fremme internethandel og mener, at dette bedst kan sikres

gennem denne forordning.

Knasterne i Kommissionens forslag til forordning

Hvis forordningen bliver vedtaget i sin nuværende form, vil den skabe en lang række problemer for

kommunerne både i forhold til myndighedsfunktionen og i forhold til kommunerne som

arbejdsgiver.

Der er sket en enorm udvikling i IT og data og den måde persondata udveksles. Derfor er det

naturligvis vigtigt, at borgernes rettigheder sikres, og at borgerne føler sig trygge på internettet.

KL er dog ikke enig i Kommissionens løsning på dette problem. Der er stor forskel på den måde,

som kommunerne og det private anvender persondata. Langt hen ad vejen er myndighedernes

PDF to HTML - Convert PDF files to HTML files

behandling af borgernes data for at hjælpe borgerne, f.eks. når borgerne skal søge om forskellige

sociale ydelser.

De private aktører indsamler primært persondata med profit for øje. Kommunerne indsamler

persondata af to årsager:

Myndighedudøvelse, fx udbetalingen af socialydelser

Ansættelse af medarbejdere.

Kommissionens forslag til forordning vil betyde væsentlige administrative byrder, ikke kun i

kommunerne, men også i resten af den offentlige sektor. Det er KL’s klare opfattelse, at

omkostningerne ikke står mål med borgernes oplevelse af mere tryghed i forbindelse med

myndighedernes håndtering af deres persondata.

Herudover vil forslaget til forordningen ikke løse de juridiske usikkerheder, der eksisterer i dag i

forhold til håndteringen af persondata.

KL vil arbejde for:

Direktiv – og ikke en forordning

Sikre rum for den danske, kollektive aftalemodel

Færre administrative byrder

Mindre bøder

Klare regler

Direktiv frem for forordning

KL er imod en forordning, som skal gælde både det offentlige og private - en såkaldt ”one-size-fits-

all”

lovgivning. Denne vil begrænse Danmarks muligheder for selv at implementere regelsættet. KL

anbefaler, at offentlige myndigheders behandling af persondata og det ansættelsesretlige område

ikke skal være omfattet af forordningen, men fortsat reguleres i et direktiv.

Forordningens fokus er i høj grad et andet end offentlige myndigheders ydelser til borgerne. Hvis

kommunerne bliver omfattet af forordningen, bliver de omfattet af nogle skrappe regler, som

egentlig er tiltænkt at løse problemer, som omhandler internethandel, sociale netværk og

dataoverførsler på tværs af landegrænser.

PDF to HTML - Convert PDF files to HTML files

Den danske arbejdsmarkedsmodel under pres - ledelsesretten antastes

I Danmark er arbejdsgiveres behandling af persondata ikke underlagt specifik arbejdsretlig

lovgivning, men er primært baseret på kollektive aftaler, ledelsesretten og

samarbejdsudvalgssystemet. Hvis forordningen bliver vedtaget i sin nuværende form, ser det ud til

at være vanskeligt ved kollektiv aftale at vedtage en mere vidtgående beskyttelse af

personoplysninger. Endvidere vil det ikke være muligt at opretholde den måde, man håndterer

personoplysninger i ansættelsesforhold. I dag er dette aftalt gennem kollektive overenskomster,

og derfor er det muligt at forhandle sig frem til et bedre niveau end direktivet, hvilket man har

gjort i LO/DA og KL/KTO-aftalerne. Den danske model er derfor i fare.

KL mener, at det ansættelsesretlige område enten skal ud af forordningen eller det skal sikres, at

der kan ske national regulering af personoplysninger i ansættelsesforhold ved kollektive aftaler.

Eksempel 1

En forordning vil betyde, at de aftaler, der i dag forhandles mellem LO/DA og KL/KTO ikke vil

kunne opretholdes. I dag kan arbejdsmarkedets parter aftale at vedtage mere vidtgående be-

skyttelsesforanstaltninger af personoplysninger end det, som er angivet i det nuværende di-

rektiv. Fx har arbejdsmarkedets parter via KTO´s kontrolaftale aftalt krav om længere varsling

ved iværksættelse af kontrolforanstaltninger end de krav, som i dag bliver udstukket af det

nuværende databeskyttelsesdirektiv.

Eksempel 2

Kommunerne kan i dag som arbejdsgiver behandle oplysninger på grundlag af et samtykke fra

den ansatte. Ifølge forordningen vil et samtykke ikke give retsgrundlag for behandling af

oplysninger, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige.

Ifølge forordningen vil der være det, når arbejdsgiveren behandler oplysninger om ansatte

som led i et ansættelsesforhold.

Det betyder, at en række oplysninger vedrørende den ansatte, som f.eks. straffeattester,

lægeerklæringer, referencer mv. ikke længere vil kunne bruges i ansættelsesforhold på

grundlag af et samtykke.

Ifølge forordningsforslaget skal alle kommuner udpege en databeskyttelsesansvarlig for en

periode på 2 år med bestemte kvalifikationer, som er beskrevet i forordningen og vedkommende

er uafskedelig med mindre betingelserne for at opfylde hvervet ikke længere er opfyldt.

PDF to HTML - Convert PDF files to HTML files

KL finder, at disse særlige beskyttelsesregler for den såkaldt databeskyttelsesansvarlige er udtryk

for et direkte og uhørt indgreb i ledelsesretten, der er uden sidestykke i dansk ret.

Alt for høje bøder

Forordningen indfører et uforholdsmæssigt højt bødeniveau, hvis kommunerne ikke kan leve op til

lovgivningen. For eksempel vil kommunerne kunne få bøder på 1.870.000 kr. for mangelfuld

overholdelse af den registreredes rettigheder og bøder på 7.500.000 kr., hvis der ikke er udpeget

en databeskyttelsesansvarlig.

Eksempel 3

Det vil bl.a. betyde, at hvis en kommune ved en fejl giver en borger indsigt i personoplysninger

senere end den frist, der er fastsat i forordningen, vil det udløse en bøde på 1.870.000 kr.

Hvis en kommune ved en fejl ikke oplyser borgeren om, at kommunen behandler

personoplysninger om borgeren, vil det kunne udløse en bøde på 3.750.000 kr.

Og hvis en kommune ikke udpeger en databeskyttelsesansvarlig, vil det kunne udløse en bøde

på 7.500.000 kr.

I det nuværende direktiv er det op til medlemsstaterne at sikre, at der fastsættes sanktioner i

tilfælde af overtrædelse af lovgivningen.

Som persondataloven fungerer i dag i Danmark, kan offentlige myndigheder ikke blive dømt til at

betale bøder.

Det er KL’s klare opfattelse, at det bødeniveau, som forordningen lægger op til, er ude af trit med

dansk retstradition. Der sker naturligvis af og til fejl i kommunernes håndtering af persondata,

men da det er KL’s erfaring, at disse fejl er menneskelige fejl, vil et højt bødeniveau ikke give

borgeren en højere sikkerhed for, at der ikke sker brud i forbindelse med håndteringen af deres

persondata.

I udgangspunktet behandler myndighederne sager og dermed borgernes dataoplysninger i

borgernes interesse, som f.eks. når borgerne søger om sociale ydelser.

Det høje bødeniveau afspejler, at EU-Kommissionen har tænkt på de store virksomheder, der

enten er store aktører på internettet, fx de sociale medier, søgetjenester etc. eller virksomheder,

der lever af handel over internettet. EU-Kommissionen har ikke taget højde for, at kommuner ikke

indsamler data med fortjeneste for øje.

PDF to HTML - Convert PDF files to HTML files

Forordningen vil gøre det det dyrt for kommunerne

Dyrere og forsinkede selvbetjeningsløsninger

Kommunerne og KL er i gang med at forbedre de digitale selvbetjeningsløsninger for at give

borgerne bedre løsninger. Et væsentligt indsatsområde er den fællesoffentlige digitali-

seringsstrategi for 2011-2015, som vil gøre, at digital kommunikation bliver obligatorisk for

borgerne på udvalgte områder frem mod 2015.

Eksempel 4

Forslaget til forordning stiller nye krav til kommunernes it-løsninger, herunder de digitale

selvbetjeningsløsninger, som besværliggør gennemførelsen af den fællesoffentlige

digitaliseringsstrategi:

Kommunerne vil skulle indrette deres it-løsninger sådan, at de kan levere kopi af oplysninger,

som kommunen har behandlet om en borger til den pågældende borger og, at Kommissionen

kan bestemme hvilket elektronisk format, kommunen skal give borgeren disse oplysninger i.

Kommunerne vil få pligt til at indhente borgerens samtykke ved brug af

selvbetjeningsløsninger på nettet, fx skal nuværende og fremtidige standardblanketter

udstyres med et særligt felt til samtykke. Også her kan Kommissionen bestemme

standardformularer og standardprocedurer herfor og, at kommunerne er tvunget til at

”redesigne” de selvbetjeningsløsninger, som de i øjeblikket er i fuld gang med at optimere - og

eventuelt af flere omgange. Det forsinker udbredelsen af digital kommunikation og koster

kommunerne flere penge.

Administrative ordninger uden merværdi for borgerne

Et andet problem ved forordningen er, at den stiller krav, som reelt ikke giver borgerne nogen

større tryghed i forhold til behandlingen af deres data. Fx er der et krav om at kunne dokumentere

alle behandlinger af persondata. Dette dokumentationskrav vil for kommunerne i princippet

betyde de samme administrative opgaver, som de har i dag - nemlig den nuværende

anmeldelsesordning i persondataloven.

PDF to HTML - Convert PDF files to HTML files

Eksempel 5

Anmeldelsesordningen er en ordning, hvor kommunerne skal anmelde/indberette til

Datatilsynet, hvilke behandlinger af persondata, de udfører - fx. ifm. boligstøtteansøgninger.

Datatilsynet skal herefter offentliggøre disse på deres hjemmeside for at skabe ”transparens”

for borgeren i forhold til kommunens behandling af borgerens oplysninger. Dette er en

administrativ ordning helt uden værdi, da så godt som ingen borgere kender ordningen eller

benytter sig af muligheden for at se kommunens behandling af deres oplysninger.

Nu etablerer Kommissionen en ny ”dokumentationsordning”, hvor kommunerne skal

udfylde blanketter, der beskriver, hvordan de behandler persondata. Dette vil givetvis også

være helt uden værdi for borgerne, men til gengæld betyde meromkostninger for

kommunerne i form af udvikling af nye beskrivelser af kommunernes håndtering af

persondata.

Rene meromkostninger for kommunerne

Forordningen rummer masser af krav til den kommunale administration, som på bundlinien blot

vil være rene meromkostninger for kommunerne, men som ikke vil give en mærkbar merværdi for

borgerne.

Eksempel 6

Kommunerne vil skulle gennemføre særlige ”konsekvensanalyser” af de behandlinger af

persondata, der indebærer særlige risici for borgerne. Udover at forordningen er uklar i

forhold til, hvornår sådanne analyser skal gennemføres, er konsekvensanalyserne uden reel

værdi - helt konkret en masse skemaer som skal udfyldes af kommunerne, førend de kan

begynde at behandle persondata.

Disse konsekvensanalyser har KL i regi af en tværoffentlig arbejdsgruppe vedrørende privacy

været inde over aftestningen af i 2010. KL´s vurdering af disse konsekvensanalyser var, at det

omfangsrige analysearbejde ikke gav nogen reel effekt. - På trods af at én analyse krævede

100 konsulenttimer at få udarbejdet.

Ligesom ovennævnte dokumentationsordning er det KL´s vurdering, at også disse

konsekvensanalyser er administrative tidsslugere uden megen effekt. Og i en tid, hvor

kommunerne økonomisk skærer ind til benet, giver det ingen mening at iværksætte alle

sådanne procedurer uden effekt.

PDF to HTML - Convert PDF files to HTML files

Eksempel 7

I forordningen får borgerne på papiret en ret til at ”blive glemt” forstået som en ret til at bede

om, at alle data om borgeren hos den registeransvarlige bliver slettet. I virkeligheden kan

borgerne ikke få slettet alle deres data hos offentlige myndigheder. Da offentlige myndigheder

er forpligtede til at dokumentere deres administration og derfor gemme data så længe det er

nødvendigt. Med andre ord foregiver forordningen at give borgeren bedre rettigheder end,

hvad der reelt er muligt.

I forslag til forordning får virksomheder og offentlige myndigheder med flere end 250

medarbejdere pligt til at ansætte en databeskyttelsesansvarlig. Det er i forslaget i detaljer

beskrevet, hvilke arbejdsopgaver den databeskyttelsesansvarlige skal udføre. Som udgangspunkt

er det en god idé med en databeskyttelsesansvarlig i hver myndighed til at tage sig af

overholdelsen af forordningen, men det fordyrer den kommunale administration, hvis

vedkommendes arbejdsopgaver er beskrevet - og skal overholdes - i detaljer. Langt mere effektivt

er det at lade den databeskyttelsesansvarlige selv vurdere, hvor der skal sættes ind ift.

datasikkerheden i den enkelte kommune.

EU-formularer fordyrer administrationen

Kommissionen giver flere steder i forordningen sig selv mulighed for, at de i fremtiden kan

fastlægge standardblanketter og angive standardprocedurer for den kommunale administration af

forordningen.

Det betyder, at hvis forordningen træder i kraft i sin nuværende form, kan Kommissionen fx vælge

at foretage ny regulering i forhold til at stille yderligere krav til, hvilken måde kommunen skal

oplyse borgeren om kommunens behandling af borgerens oplysninger. Det betyder, at

kommunerne skal gennemføre omfattende og dyre justeringer af den IT, der understøtter

formularer, procedurer mv. Dette står imodsætning til i dag, hvor kommunerne selv står for den

nødvendige udvikling af formularer, blanketter mv., og hvor alle relevante arbejdsgange som

oftest tænkes sammen i én blanket ud fra et effektiviseringshensyn.

At skulle administrere, herunder opbevare, journalisere og dokumentere særskilte

standardformularer fra Kommissionen vil uden tvivl betyde meradministration for kommunerne.

Ligeledes er det tvivlsomt, om borgerne/de registrerede vil opleve det som en forbedring at

modtage flere forskellige blanketter, hvoraf nogle er udarbejdet af Kommissionen.

Uklart forvaltningsgrundlag

Forordningen er efter KL’s mening alt for uklar i forhold til en række definitioner. Kommissionen

benytter sig i forslag til forordning af en række hjemler, som giver Kommissionen ret til at udstede

PDF to HTML - Convert PDF files to HTML files

såkaldt ”delegerede retsakter”. Det betyder i praksis, at Kommissionen, hvis forordningen

vedtages, vil få mulighed for at ”efterjustere” lovgivningen.

Alt i alt betyder det, at man ender op med en lovgivning, som vil skabe langt mere retlig

usikkerhed end den nuværende, samt at det vil blive uforudsigeligt, hvordan datahånderingen

egentlig skal ske i fremtiden, da Kommissionen kan gå ind og efterregulere efter

forgodtbefindende. Det kan for kommunerne betyde, at der kan komme yderligere krav om

ændringer af it-løsninger og/eller administrative procedurer. Dette er uholdbart i forhold til

digitalt at udvikle den offentlige sektor. Reglerne bør være klare og letforståelige fra start af.

Eksempel 8

Det er eksempelvis uklart, hvilke administrative krav det stiller til kommunerne, at

personoplysninger vil skulle behandles ”gennemsigtigt”. Eller at borgeren skal have en

”garanti” for et afgivet samtykke. Hvad forstås der ved en sådan ”garanti”? Er det en ny

administrativ opgave for kommunerne at afgive garantier? Disse uklarheder skal ryddes af

vejen, førend forordningen kan vedtages.

For yderligere information:

Annette Baun Knudsen, juridisk konsulent,

[email protected],

tlf.: 33 70 37 79

Pernille Jørgensen, chefkonsulent,

[email protected]

tlf.: 33 70 31 60