Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets

Transkript

1 Sendt via Justitsministeriet Slotsholmsgade København K 27. juni 2012 S531 - D41229 Att.: fm. Christian Wiese Svanberg Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets j.nr Realkreditrådet og Realkreditforeningen (herefter benævnt organisationerne) har med tak modtaget Justitsministeriets brev af 11. maj 2012 vedlagt EU-Kommissionens ovenstående forslag til forordning samt grund- og nærhedsnotat om samme. Organisationerne er generelt positive over for Kommissionens initiativ til en opdatering af det gældende databeskyttelsesdirektiv (95/46/EF). Direktivet er fra 1995, og vi kan støtte, at EUlovgivningen på området for persondatabeskyttelse i højere grad kommer til at afspejle den teknologiske udvikling siden da. Samtidig betyder valget af forordning som form, at der sikres en ensartet regulering på området. Generelt er vi imidlertid bekymrede over, at Kommissionens nye forslag virker meget omfattende og unødigt bureaukratisk. Vi vurderer, at der kan blive tale om mærkbare nye administrative byrder for virksomhederne, der ikke modsvares af tilstrækkelige positive effekter af forslaget. Udover de administrative omkostninger vil forordningen i sin nuværende form også betyde behov for en betydelig it-udvikling. Det er blandt andet tilfældet i forhold til retten til dataportabilitet, jf. art 18. I den forbindelse er vi helt enige, når Justitsministeriet i grund- og nærhedsnotatets pkt. 8 angiver, at der er behov for en nærmere vurdering af, om forslaget skaber den rette balance mellem hensynet til databeskyttelsen og en række andre væsentlige hensyn. Vi finder det ligeledes meget positivt, at Justitsministeriet samme sted skriver, at man fra dansk side vil arbejde for, at omkostningerne ved forslaget reduceres i forhold til Kommissionens forslag. Det er organisationernes holdning, at det er vigtigt at foretage en grundig undersøgelse af, hvorledes den rette balance opnås. Herunder er det væsentligt at der sikres det rette forhold mellem de administrative byrder og den nytteværdi, der ønskes opnået. Forordningen vurderes ikke at have den rette proportionalitet i sin nuværende udformning.

2 Da der er tale om en forordning, antager vi, at den nuværende persondatalovgivning viger i sin helhed. Vi har derfor noteret os, at forslaget til forordning vil indebære ophævelse af og/eller væsentlige ændringer i den eksisterende danske persondatalovgivning. Derudover vil der kunne opstå en lang række afgrænsnings- og fortolkningsvanskeligheder i forhold til gældende dansk lovgivning. F.eks. vurderer organisationerne, at der vil blive tale om en ophævelse af kapitel 9 i Lov om finansiel virksomhed. Dette kapitel indeholder en række bestemmelser om videregivelse af fortrolige oplysninger samt adgang til udveksling af sædvanlige oplysninger. Det er imidlertid uklart, hvilken betydning ophævelsen af disse bestemmelser kan få. Blandt andet gælder der det forhold, at reglerne i FIL omfatter oplysninger om både fysiske og juridiske personer, hvorimod forordningen afgrænses til kun at finde anvendelse på oplysninger om fysiske personer. Det er vores umiddelbare holdning, at der bør iværksættes en grundig analyse af afgrænsninger og afledte effekter i forhold til den eksisterende lovgivning. Før et sådan analysearbejde er afsluttet, er det yderst vanskeligt af fastslå den reelle betydning af indførelsen af forordningen. Herudover vil vi fremhæve følgende særlige forhold ved forslaget: Artikel 7 - samtykke Artikel 7, stk. 1: Det fremgår af artikel 7, stk. 1, at den registeransvarlige har bevisbyrden i forhold til, at den registrerede har afgivet sit samtykke til behandlingen af vedkommendes personoplysninger til de angivne formål. Artikel 4, nr. 8, definerer samtykke som enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling. I forhold til det gældende direktivs definition (artikel 2, litra h) er udtrykkeligt og baseret på en klar erklæring eller bekræftelse blevet tilføjet. I Kommissionens begrundelse for forslaget, pkt , fremgår, at kriteriet udtrykkeligt er tilføjet for at undgå en forvirrende sidestilling med utvetydigt samtykke og for at opnå en fælles og ensartet definition af samtykke, så den registrerede gøres opmærksom på, at og til hvad han eller hun afgiver sit samtykke. Det efterlader det indtryk, at Kommissionen sigter på at gøre reglerne for afgivelse af samtykke mindre fleksible. Teksten er ikke klar, men en forståelse kunne være, at der f.eks. skal indhentes samtykke hver eneste gang, et realkreditinstitut behandler personoplysninger om en kunde. Hvis dette er tilfældet, vil der være tale om en mærkbar forøgelse af de administrative byrder, som ikke kun er til hinder for virksomhederne, men også for kunderne, som skal afgive væsentligt flere samtykkeerklæringer end nu. 2

3 De ændrede krav til samtykke bør kun gælde fremadrettet. Artikel 7, stk. 4: Det fremgår af artikel 7, stk. 4, at Samtykke tilvejebringer ikke et retsgrundlag for behandling, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige. Det fremgår af præamblens betragtning 34, at skævhed består, hvis der er et afhængighedsforhold mellem den registrerede og den registeransvarlige, og at en sådan afhængighed blandt andet består i ansættelsesforhold. Vi finder det generelt problematisk, at den almindelige aftalefrihed underlægges specifikke gyldigheds- eller ugyldighedsbetingelser. I ansættelsesforhold giver det anledning til en række problemstillinger, som f.eks. opbevaring og anvendelse af personlighedstests etc. I forhold til finansielle virksomheder er det helt afgørende, at det fastslås, at skævhed/afhængighed ikke er til stede i forholdet mellem en kunde/potentiel kunde og den finansielle virksomhed. Den finansielle virksomhed skal fortsat have mulighed for at indhente et gyldigt samtykke til behandling og videregivelse af oplysninger. Artikel 15 - retten til indsigt Det fremgår af artikel 15, stk. 1, at Den registrerede har til enhver tid ret til efter anmodning at få bekræftet fra den registeransvarlige, om personoplysninger vedrørende vedkommende behandles. Vi finder, at denne artikel bør suppleres med en bestemmelse i stil med den nuværende persondatalovs 33, hvorefter den registrerede først har krav på indsigt 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri. Artikel 17 og 18 retten til at blive glemt og dataportabilitet Forslaget til forordning indfører en række helt nye og mere vidtgående rettigheder, f.eks. artiklerne 17 og 18, der omhandler retten til at blive glemt og adgangen til dataportabilitet. Vi finder, at udkastet er uklart formuleret på disse områder, og at det ikke er oplagt, hvordan man skal forholde sig til omfanget af disse rettigheder. Der er brug for en præcisering af disse bestemmelser, f.eks. i forhold til undtagelsesbestemmelserne til retten til at blive glemt. Bestemmelserne kan i sin nuværende form komme til at betyde, at realkreditinstitutterne skal opdele modtagne oplysninger i, hvad der skal slettes efter færdigbehandling af en given efterspørgsel, eller hvis kunden tilbagekalder et samtykke. Derudover vil der også være behov for, at kunne adskille de oplysninger, som institutterne skal slette, og de oplysninger, som institutterne er forpligtede til at opbevare i henhold til anden lovgivning, f.eks. registreringer i forhold til forpligtelser i hvidvasklovgivningen. 3

4 Artikel 31 - anmeldelse af brud på datasikkerheden Det fremgår af artikel 31, stk. 1, at Ved brud på persondatasikkerheden anmelder den registeransvarlige uden unødig forsinkelse og om muligt senest 24 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Anmeldelsen til tilsynsmyndigheden ledsages af en begrundelse, hvis den ikke er indgivet inden for 24 timer. I artikel 4, nr. 9, defineres brud på persondatasikkerheden som brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet. Vi mener, at det bør overvejes at tilføje en bagatelgrænse til denne definition. Udover 24-timers fristen er der også krav i artikel 31, stk. 3, litra a-e, om, at meddelelsen skal indeholde en række oplysninger, herunder en beskrivelse af konsekvenser og afhjælpningsforanstaltninger. Det forekommer som en noget urealistisk og uhensigtsmæssig frist, da de fornødne oplysninger næppe foreligger inden for 24 timer. Den dataansvarlige bør mere hensigtsmæssigt anvende ressourcer på at analysere og begrænse skaden, frem for at bruge kræfter på anmeldelse af bruddet. Artikel 33 konsekvensanalyse vedrørende databeskyttelse Det fremgår af artikel 33, stk. 1, at Hvis behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, gennemfører den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, en konsekvensanalyse af den planlagte behandling, for så vidt angår beskyttelse af personoplysninger. Dette vil uundgåeligt medføre øgede administrative omkostninger, men omfanget heraf er uklart på grund af de meget brede og upræcise formuleringer. Artikel 35 - databeskyttelsesansvarlige Artikel 35 indebærer, at der fremover skal udpeges såkaldt databeskyttelsesansvarlige i blandt andet større virksomheder (over 250 beskæftigede). Denne forpligtelse eksisterer ikke i dag, og ud fra artiklerne 36 og 37 virker det umiddelbart som ganske omfattende administrative opgaver, der skal varetages af den databeskyttelsesansvarlige. Der er brug for en nærmere analyse af de administrative omkostninger ved dette forslag. 4

5 Derudover er det betænkeligt, at Kommissionen mener, at der skal være tale om en særlig databeskyttelsesansvarlig. Det er uhensigtsmæssigt, at der på de enkelte områder skal oprettes en ny funktion. Det er en uhensigtsmæssig tendens, hvis Kommissionen vil kræve, at der skal udpeges en særlig ansvarlig for samtlige ansvarsområder. Artikel 39 - certificering Det fremgår af artikel 39, at der stilles krav om, at virksomhederne i højere grad bruger certificeringer. Det egentlige omfang af denne bestemmelse er dog stadig uklart, da Kommissionen i bestemmelsen tillægges beføjelser til at vedtage de nærmere forhold omkring anvendelsen af denne bestemmelse samt mulighed for at fastsætte de nødvendige tekniske standarder. Derudover er det uklart, hvorfor der skulle være behov for en certificeringsordning. Kontrol af virksomhedernes overholdelse af lovgivningen bør som hidtil være en tilsynsopgave. Artikel 79 - administrative sanktioner Artikel 79 indeholder reglerne om administrative sanktioner. Det fremgår af artikel 79, stk. 2, at Den administrative sanktion skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Det foreslåede niveau for disse bøder (op til EUR eller 2 pct. af omsætningen) forekommer imidlertid meget højt og ude af proportioner. Det kan blandt andet nævnes, at der i henhold til artikel 79, stk. 4, kan udstedes en bøde på op til EUR eller 0,5 pct. af den globale omsætning, hvis den dataansvarlige ikke i tilstrækkelig grad opfylder betingelserne vedrørende indsigtsret. Vi har noteret os, at Justitsministeriet i grundnotatets pkt. 4 angiver, at for Danmarks vedkommende vil anvendelsen af sanktioner som nævnt i forslagets artikel 79 i givet fald skulle ske i form af udenretlige bødeforlæg. Datatilsynet har ikke en sådan adgang efter gældende ret, og det vil således kræve en lovændring med henblik på at etablere denne adgang i overensstemmelse med forslaget. Dette underbygger blot, at det ikke er dansk retstradition, at en administrativ myndighed har mulighed for at udstede bøder i denne størrelsesorden. Vi er derfor enige i Justitsministeriets bemærkning i grundnotatets pkt. 8 om, at dette element af forslaget må overvejes med henblik på at sikre, at de foreslåede administrative sanktionsniveauer er i overensstemmelse med proportionalitetsprincippet. 5

6 Artikel 86 - delegerede retsakter Det fremgår af udkastets art. 86, stk. 2, at der er delegeret beføjelser til Kommissionen på hele 26 områder. Lignende lovgivningsmæssige løsninger er set på andre nylige retsakter, f.eks. i CRD IV-forslagene, men er ikke desto mindre problematiske. En så massiv delegation til Kommissionen af den videre regulering (detailregler) efterlader et ufuldstændigt indtryk af forordningen. Det skaber endvidere en stor usikkerhed omkring muligheden for, at medlemsstaterne og dermed de nationale interessenter vil blive inddraget i tilstrækkelig grad. Vi kan derfor støtte, at Justitsministeriet i grundnotatets pkt. 8 nævner omfanget af de delegerede retsakter som et af de elementer, hvis rækkevidde og nærmere indhold må søges afklaret under de kommende forhandlinger. Vi står naturligvis til rådighed, såfremt Justitsministeriet har uddybende spørgsmål til vores høringssvar. Med venlig hilsen Jeppe Torp Vestentoft Realkreditrådet Heidi Holmberg Realkreditforeningen 6