NYE REGLER OM DATABESKYTTELSE ER ET LILLE SKRIDT FREM

Transkript

1 NYE REGLER OM DATABESKYTTELSE ER ET LILLE SKRIDT FREM Kontakt: Researcher, Sarah Vormsby RESUME I april 2016 blev de to første lovforslag i Kommissionens omfattende databeskyttelsesreform fra 2012 godkendt af Rådet og Europa-Parlamentet. Forslagene består af persondataforordningen og et databeskyttelsesdirektiv for politi- og retshåndhævelsesmyndigheder. Formålet med den nye lovgivning er at sikre en mere ensrettet og effektiv databeskyttelse i Europa og samtidig muliggøre dataanvendelse for virksomheder og rets- og politimyndigheder. Der er klare fremskridt. Men en gennemgang af de to lovforslag viser, at der stadigvæk er plads til forbedringer. Dette notat opsummerer fem problemer ved de to forslag: 1) For stor elasticitet og fortolkningsrum, 2) uklare og vidtgående rettigheder, 3) ekstra administrative byrder og økonomiske omkostninger, 4) ukontrollabel databeskyttelse i udlandet, 5) for brede formål for dataanvendelse. Kommissionen håber på at effektivisere og harmonisere databeskyttelseslovgivningen i EU, men reformen er i sin nuværende form ikke tilstrækkelig. Det anbefales derfor, at Kommissionen vender tilbage til tegnebrættet. Uden bedre sammenhæng i lovgivningen risikerer man, at uklarhed, fortolkningsrum og gråzoner mellem lovforslagene vil gøre mere skade end gavn. Det vil hverken højne databeskyttelsen eller dataanvendelsen i EU-landene. Tænketanken EUROPA 2016 kontakt@thinkeuropa.dk thinkeuropa.dk

2 HOVEDKONKLUSIONER Med Databeskyttelsesreformen har EU fået nogle af de mest ambitiøse regler for databeskyttelse i verden. Reformen blev vedtaget af Rådet og Europa-Parlamentet i april Den nye persondataforordning og databeskyttelsesdirektivet for politi- og retshåndhævelsesmyndigheder skal sikre en mere ensrettet og effektiv databeskyttelse i EU samt øge borgernes kontrol med egne persondata. Det er imidlertid usikkert, om forordningen og direktivet kan opfylde Kommissionens ambitiøse mål. Dette notat anfører fem problemer ved de to forslag: 1) For stor elasticitet og fortolkningsrum, 2) uklare og vidtgående rettigheder, 3) ekstra administrative byrder og økonomiske omkostninger, 4) ukontrollabel databeskyttelse i udlandet, 5) for brede formål for dataanvendelse. Den nye lovgivning sikrer ikke en ordentlig balance imellem hensynet til persondatabeskyttelse og samfundets behov for øget dataanvendelse. Kommissionen bør derfor overveje alternative løsninger, såsom anonymisering af data, for at bygge bro mellem dataanvendelse hos digitale virksomheder og sikringen af privatlivets fred. Der er behov for en mere sammenhængende strategi for databeskyttelse, der skaber klare retningslinjer for, hvordan lovene skal fortolkes og implementeres. Samtidig bør EU etablere en uafhængig kontrolinstans, der kan afgøre tvister og sager om brud på databeskyttelsesreglerne. 2

3 De sidste par år har der været en række sager, som har sat spørgsmålstegn ved effektiviteten af den europæiske lovgivning for persondatabeskyttelse. Sager om myndigheders overvågning af personlige data og kommunikation, om hacking af persondata hos virksomheder og institutioner, samt borgeres ønske om at få fjernet deres personoplysninger på nettet, har skabt en stigende bekymring i Europas befolkning for sikkerheden og kontrollen af deres personlige data. 1 Fortsætter udviklingen kan det få negative konsekvenser for digitaliseringen i EU-landene og samfundets udnyttelse af data. Kommissionen har derfor erkendt, at man er nødt til at adressere befolkningens bekymringer, for uden ordentlig tillid til datasikkerheden, risikerer man et folkeligt tilbageslag imod digitaliseringen. Kommissionen tog allerede i 2012 initiativ til en databeskyttelsesreform, hvor målet var at få klargjort, hvilke digitale rettigheder borgerne har, og hvilke regler virksomheder og institutioner skal overholde i den digitale tidsalder. I december 2015 præsenterede Kommissionen to lovforslag i databeskyttelsesreformen, persondataforordningen og databeskyttelsesdirektivet. De er begge blevet godkendt af Rådet og Europa-Parlamentet i april De vil efterfølgende træde i kraft i Reformens mål er ifølge Kommissionen at fremme tilliden og følelsen af sikkerhed både blandt offentlige institutioner, virksomheder og borgere i Europa. Det skal opnås ved at skabe en mere ensrettet og effektiv ramme for databeskyttelse. Samtidig skal de nye regler mindske de administrative og økonomiske barrierer, som på nuværende tidspunkt bremser den digitale økonomis mulighed for at nå sit fulde potentiale. Generelt sigter Kommissionens lovforslag på at skabe en balance mellem borgernes ret til databeskyttelse og persondatas stigende betydning i et økonomisk og sikkerhedsmæssigt perspektiv. Det er ambitiøse mål. Desværre viser dette notats gennemgang af reformen, at Kommissionens lovforslag er utilstrækkeligt i den henseende. Persondatabeskyttelse og digitale rettigheder Allerede inden Kommissionen lancererede databeskyttelsesreformen i 2012 havde Europa en af de mest omfattende og restriktive lovgivninger på området 1 Se eksempelvis Special Eurobarometer 359, Attitudes on Data Protection and Electronic identity in the European Union, juni 2011 eller Special Eurobarometer 431, Data Protection Report, juni Personal data protection: processing and free movement of data (General Data Protection Regulation), 2012/0011(COD), Legislative Observatory, 12. april. ( 3

4 for databeskyttelse. Persondatabeskyttelse er først og fremmest sikret gennem retten til privatlivets fred i Den Europæiske Menneskerettighedskonvention og via Europarådets Konvention for Beskyttelse af Personer ved Automatisk Behandling af Persondata. Derudover er persondatabeskyttelse sikret igennem EU s primære og sekundære lovgivning. 3 Se tabel 1 for en oversigt. Hvor EU s primære ret i form af Charteret og Lissabontraktaten udlægger persondatabeskyttelse som en grundlæggende rettighed, udlægger den sekundære ret i direktiverne og forordningerne, hvordan den ret sikres i praksis. Persondatadirektivet var EU s første sekundære lov for persondatabeskyttelse. Formålet med direktivet var at harmonisere databeskyttelsesreglerne i EU, da man allerede dengang så et fragmenteret landskab af forskellig national lovgivning på området. Kommissionen sigtede dermed på at sørge for en ensretning af reglerne, så forskellige databeskyttelsesregler ikke forhindrede etableringen af det indre marked. 4 På grund at det snævre fokus har direktivets anvendelsesområde været begrænset til det indre marked. 5 Databeskyttelse i forbindelse med elektronisk kommunikation eller politimæssigt og retligt arbejde er eksempelvis ikke omfattet. Kommissionen valgte derfor at vedtage et direktiv for databeskyttelse inden for elektronisk kommunikation i Og en rammeafgørelse i 2008, som skabte nogle retningslinjer for databeskyttelse ved dataoverførelse i grænseoverskridende straffesager. 6 Der har således været en tendens til, at Kommissionen har lovgivet udenom databeskyttelsesdirektivet for at sikre databeskyttelse på yderligere områder. Det har resulteret i en omfattende lovgivning for databeskyttelse i EU, men også en lovgivning der trænger til at blive slanket og gjort mere enkel. Om medlemslandene overholder lovgivningen, bliver jævnligt testet af EU- Domstolen. 7 Igennem dens retspraksis har domstolen ikke kun understreget, at landene skal afholde sig fra handlinger, der bryder med retten til persondatabeskyttelse, men også at landene er forpligtigede til at sikre en effektiv beskyttelse af persondata. 8 Domstolen har dog samtidig understreget, at retten til beskyttel- 3 European Union Agency for Fundamental Rights, FRA og Europarådet, Handbook on European data protection law, april Europa-Parlamentets og Rådets direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, 24. oktober European Union Agency for Fundamental Rights, FRA og Europarådet, Handbook on European data protection law, april 2014, side Rådets Rammeafgørelse 2008/977/RIA, den 27. november Det skal dog nævnes, at EU-Domstolen kun kan dømme i sager, hvor der er et EU-retligt element. 8 European Union Agency for Fundamental Rights, FRA og Europarådet, Handbook on European data protection law, april 2014, side 15. 4

5 se af personlig data ikke er en absolut ret, men at den skal ses i forhold til dens funktion i samfundet, og i forhold til andre grundlæggende rettigheder såsom ytringsfriheden. 9 Tabel 1. Databeskyttelseslovgivning i Europa Europæisk lovgivning Rettigheder Gælder for Håndhæver Den europæiske menneskerettighedskonvention Europarådets konvention for beskyttelse af personer ved automatisk behandling af persondata Artikel 8: enhver har ret til respekt for privatliv, familieliv, sit hjem og sin korrespondance Databeskyttelse ved databehandling i den private og offentlige sektor, og i straffesager. Forbyder behandling af sensitive data. Personer skal informeres, hver gang oplysninger om dem indsamles og behandles. EU-landene Lande som har underskrevet konventionen (alle EU-lande) Den Europæiske Menneskerettighedsdomstol Ingen Primær EU-ret Rettigheder Gælder for Håndhæver Den Europæiske Unions Charter for Grundlæggende Rettigheder Lissabontraktaten Artikel 7: Ret til privatliv og familieliv Artikel 8: Ret til beskyttelse af personoplysninger Artikel 16: Enhver har ret til beskyttelse af person-oplysninger om dem selv EU-landene EU og medlemslandene EUdomstolen EUdomstolen Sekundær EU-ret Rettigheder Gælder for Håndhæver Persondatadirektivet, 95/46/EF Forordning om beskyttelse af personer ved behandling af personoplysninger i fællesskabsinstitutioner og - organer, 2001/45/EF Direktiv om databeskyttelse inden for elektronisk kommunikation (eprivacy Direktivet), 2002/58/EF 10 Ret til at modtage oplysninger om databehandlingen Ret til indsigt Ret til at gøre indsigelse mod, at personoplysninger behandles Sikkerhed i behandling af personoplysninger, Underretning om brud på persondatasikkerheden og kommunikationshemmeligheder. Forbyder uanmodet (spam) EU-landene EU-landene og EØSlandene EUdomstolen Sørger for at databeskyttelsesdirektivets rettigheder også gælder ved behandling og overførelse af persondata i EUinstitutionerne. EUinstitutionerne EUdomstolen EUdomstolen 9 Domstolens dom af den 9. november 2010 i de forenede sager C-92/09 og C-93-09, Volker und Markus Schecke og Eifert, Sml I. 10 eprivacy direktivet blev ændret i 2009 ved direktiv 2009/136/EC. 5

6 kommunikation, når brugeren ikke har givet sit samtykke. Logningsdirektivet, 2006/24/EF 11 Retningslinjer for logning af persondata genereret og behandlet via elektronisk kommunikationsudstyr eller via offentligt tilgængelige kommunikationsnetværk. EU-landene EUdomstolen Rammeafgørelse for databeskyttelse ved politimæssigt og retligt arbejde, 2008/977/RIA Kilde: Tænketanken EUROPA. Retningslinjer for databeskyttelse ved dataoverførelse mellem politi og retlige myndigheder i grænseoverskridende straffesager EU-landene EUdomstolen EU s sekundære databeskyttelseslovgivning er dog relativt forældet - persondatadirektivet er eksempelvis fra Samtidig har en række sager ved EU- Domstolen illustreret, at der har været en stor uenighed om, hvordan databeskyttelsesreglerne skal fortolkes. Det har resulteret i en meget forskellig implementering af reglerne i medlemslandene. Selvom formålet med persondatadirektivet var at skabe en ensretning i den fragmenterede nationale lovgivning, lykkedes det ikke. Forhåbningen er nu, at de nye regelsæt vil gøre lovgivningen mere tidssvarende og gøre op med usikkerheden og forvirringen om reglernes omfang. Persondataforordningen sikrer retten til at blive glemt Det første hovedelement i EU s databeskyttelsesreform er en ny forordning, der erstatter persondatadirektivet fra 1995, giver nye rettigheder for borgerne og etablerer nye regler for virksomheder og institutioner, som indsamler og behandler persondata. Disse er oplistet i tabel 2. Tabel 2. Europa-Kommissionens Persondataforordning Rettigheder til borgerne Regler for virksomheder og organisationer 1. Lettere adgang til egne data 1. One-stop-shop -mekanismen indføres 2. Ret til at blive glemt 2. Europæiske regler på europæisk territorium 3. Ret til at vide, når ens oplysninger er blevet hacket 3. Et kontinent, en lovgivning 4. Risikobaseret tilgang 5. Pligt til privacy by design Kilde: Europa-Kommissionen, Pressemeddelelse, Aftale om Kommissionens EUdatabeskyttelsesreform vil styrke det digitale indre marked, 15. december Logningsdirektivet blev kendt ugyldigt ved EU-Domstolens den 8 april 2014 i sagen Digital Rights and others v. Ireland, C-293/12 og C-594/12. 6

7 Generelt skal den nye persondataforordningen give borgerne større kontrol med deres persondata igennem et klart sæt af digitale rettigheder. Det er koblet op med en lovgivningsramme for, hvordan virksomheder og organisationer skal sikre, at borgernes persondata opnår en tilpas grad af beskyttelse. Den nye ramme for databeskyttelse vil helt konkret medføre, at: One-stop-shop -mekanismen indføres, så én tilsynsmyndighed fremover bliver enekompetent til at træffe afgørelse i grænseoverskridende sager. Forordningen fastsætter, at virksomheder, som er etableret uden for EU, skal anvende EU s regler, når de tilbyder tjenester i EU. Forordningen skaber ét samlet regelsæt for behandling af personoplysninger i hele EU. Der fastsættes ikke ensartede forpligtelser for alle virksomheder, men derimod pligter baseret på risici. Forordningen forpligter virksomhederne til at tænke privatlivsfremmende løsninger ind så tidligt som muligt i virksomhedens praksis. Derudover indeholder persondataforordningen en række tiltag, som skal lette de administrative byrder for små og mellemstore virksomheder, såsom en undtagelse fra pligten til at anmelde behandlinger af personoplysninger til tilsynsmyndigheden, samt fritagelsen fra pligten til at udpege en databeskyttelsesansvarlig. Ifølge Kommissionen vil alene undtagelsen fra at lave indberetninger kunne spare virksomhederne en omkostning på 130 mio. 12 Hensynet til små og mellemstore virksomheder er ment som en måde at sikre innovation og udvikling på det digitale område i EU ved at gøre op med nuværende økonomiske barriere. Generelt har det økonomiske hensyn været højt prioriteret i det endelige forslag fra Kommissionen. Både ved lanceringen af databeskyttelsesreformen i 2012 og ved lanceringen af reformens to lovforslag i 2015 har Kommissionen understreget personoplysningers økonomiske betydning for den digitale økonomi. Kommissionen håber, at EU s nye databeskyttelsesregler kan bane vej for øget fart på digitaliseringen, og vil give bedre incitamenter for økonomisk vækst og bedre konkurrenceevne i EU s erhvervsliv. Spørgsmålet er dog om, den økonomiske besparelse, som Kommissionen forventer, overhovedet er realistisk. Og om Kommissionens har kunnet sikre et ordentlig balance imellem hensynet til databeskyttelse og dataanvendelse. Som dette notat vil vise, er det ikke tilfældet. 12 Europa-Kommissionen, Pressemeddelelse - Aftale om Kommissionens EU-databeskyttelsesreform vil styrke det digitale indre marked, den 15. december

8 Databeskyttelsesdirektiv giver mere magt til Kommissionen Det andet hovedelement i EU s nye databeskyttelsesreform er en omdannelse af rammeafgørelsen om politimæssigt og retligt arbejde fra 2008 til et nyt databeskyttelsesdirektiv. Kommissionen vil få beføjelser til at håndhæve direktivets regler, og derigennem sikre en mere ensartet gennemførelse af reglerne, end hvad der har været tilfældet med rammeafgørelsen. 13 Håndhæver medlemslandene således ikke reglerne i direktivet, vil Kommissionen kunne udstede bøder til det pågældende land og i yderste tilfælde involvere EU-Domstolen. Mere specifikt vil databeskyttelsesdirektivet medføre, at personer involveret i straffesager er sikret beskyttelse både i medlemslandene og mellem medlemslandene. 14 Det er en stor forbedring fra rammeafgørelsen, da direktivets anvendelsesområde hermed udvides til at gælde medlemslandenes nationale databehandling, og ikke kun grænseoverskridende databehandling. Under rammeafgørelsens regler er behandling af personoplysninger, som ikke er blevet udvekslet mellem retshåndhævende myndigheder, ikke omfattet, og borgernes rettigheder er dermed ikke sikret af EU-reglerne. 15 Databeskyttelsesdirektivets anvendelse på den nationale databehandling forventes at sikre et ensartet niveau for databeskyttelse ved politimæssigt og retligt arbejde. Det håber Kommissionen, vil øge den gensidige tillid mellem politi- og retsmyndighederne og dermed fremme udvekslingen af data og samarbejde om bekæmpelse af alvorlig kriminalitet og terrorisme i Europa. Ser man imidlertid nærmere på direktivets regler for databeskyttelse, er direktivet langt fra den forbedring, som Kommissionen præsenterer den som. 13 Europa-Kommissionen, Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, Beskyttelse af privatlivets fred i en forbundet verden - En europæisk databeskyttelsesramme til det 21. århundrede, COM(2012) 9 final, 25. januar Europa-Kommissionen, Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger, COM(2012) 10 final, den 25 januar Europa-Kommissionen, Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, Beskyttelse af privatlivets fred i en forbundet verden - En europæisk databeskyttelsesramme til det 21. århundrede, COM(2012) 9 final, 25. januar 2012, side 10. 8

9 Et stort spring fremad? Ved præsentationen af persondataforordningen understregede Kommissionen, at den nye lovgivning vil styrke retten til databeskyttelse for EU s borgere, samtidig med at den vil tage hensyn til dataanvendelsen for virksomheder og politimyndigheder. Spørgsmålet er dog, om de nye regler kan opfylde Kommissionens ambitiøse mål og sikre en ordentlig balance imellem de to hensyn. For det første er der spørgsmålet, om persondataforordningen vil sikre, at virksomhederne ikke kommer i klemme mellem forskellige nationale lovgivninger. Før det kan lykkes, er man nødt til at sikre, at persondataforordningen giver begrænset mulighed for national fortolkning og dermed for forskellig implementering. Imidlertid virker det ikke til at være lykkedes. Ifølge Professor i persondataret ved Københavns Universitet, Peter Blume er der omkring 50 punkter i Kommissionens forslag, hvor medlemslandene selv kan udlægge teksten. 16 Samme vurdering er Kommunernes Landsforening kommet med, og understreger, at forordningen er meget elastisk, og giver meget plads til fortolkning. Det er derfor tvivlsomt, at Kommissionen når målet om bedre harmonisering af de nationale databeskyttelsesregler. 17 Samme forhold gør sig gældende i databeskyttelsesdirektivet. Her har Kommissionen gjort det muligt for medlemslandene at indføre mere restriktive krav til databeskyttelsen ved politimæssigt arbejde. 18 Der er tale om minimumsregler, hvor medlemslandene kan udvide kravene til databeskyttelse, men risikoen er, at det skaber en uens lovgivning i Europa. For det andet kan man så tvivl om, hvorvidt borgernes rettigheder er sikret på den rigtige måde. Ser man eksempelvis på retten til at blive glemt i persondataforordningen, er den rettighed også gældende i persondatadirektivet fra Det blev slået fast af EU-Domstolen i maj 2014 i Google Spain -sagen, populært kendt som retten til at blive glemt -sagen. Her fastslog Domstolen, at personer i henhold til persondatadirektivet har ret til at få fjernet links hos søgemaskiner, 16 Altinget EU, Ny dataforordning udfordrer offentlige myndigheder, 8. marts Altinget EU, Ny dataforordning udfordrer offentlige myndigheder, 8. marts Position of the Council at first reading with a view to the adoption of a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA Rådet for den Europæiske Union, 2012/0010 (COD), april 2016, side 8 19 Europa-Parlamentets og Rådets Direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, 24. oktober 1995, artikel 12, para. b og c, og artikel 14, para. a. 9

10 som indeholder personoplysninger om dem, som enten er upræcise, utilstrækkelige, irrelevante eller overdreven ift. formålet med databehandlingen. 20 Domstolen specificerede dog ikke retningslinjerne for brugen af retten til at blive glemt, og persondatadirektivet er ligeledes vag i forhold til, hvornår retten kan benyttes. Retningslinjerne for retten til at blive glemt er på papiret blevet præciseret i persondataforordningen, hvilket forhåbentlig kan skabe lidt mere klarhed. Men både Domstolen og Kommissionen lægger beslutningen om, hvorvidt persondata skal slettes over på virksomhederne. Her kan man stille sig det spørgsmål, om det er passende og forsvarligt at private virksomheder bliver hovedansvarlig for fortolkningen af borgernes digitale rettigheder? At virksomhederne skal tage stilling til, om retten til at blive glemt skal indfries, kan potentielt få negative konsekvenser for andre fundamentale rettigheder, såsom retten til information og ytringsfrihed. I den nye persondataforordning er virksomhederne forpligtet til at fjerne data, så snart de modtager en anmodning om sletning. Først derefter skal de tage stilling til, om anmodningen er begrundet, og data derfor skal slettes. En virksomhed som bestrider anmodningen om sletning, og derfor bibeholder data, risikerer en bøde på op til 20 mio. eller 4 pct. af deres årlige globale omsætning. 21 Det skaber et incitament for omgående at slette data, når virksomheden modtager en anmodning. Incitamentet for omgående sletning af data bliver desto mere problematisk, når man tager i betragtning, at et stort antal anmodninger under retten til at blive glemt er ugyldige og uberettigede. Data fra søgemaskinen Bing viser, at omkring halvdelen af de anmodninger, som Bing har modtaget i 2015 er uberettigede. 22 Hvor store virksomheder nok vil bruge tid og penge på at sortere de uberettigede fra de berettigede sletningsanmodninger, kan man forestille sig at små virksomheder uden de store ressourcer, i stedet vil følge en procedure, hvor de automatisk sletter data, selv hvor der er tvivl om en anmodnings gyldighed. Retten til at blive glemt kan ende i tungt administrativt morads Princippet om retten til at blive glemt lyder på papiret som et fornuftigt og rimeligt princip. Men den nye lovgivning kan paradoksalt nok ende med at bane vej for sletning af legitimt online materiale. Det vil stride imod retten til information og potentielt ytringsfriheden. At Kommissionen ikke tog højde for det i den nye persondataforordning, kan undre, da EU-Domstolen allerede har 20 EU-Domstolens dom i sag C-131/12 Google Spain v. AEPD and Mario Costeja Gonzalez, para Opinion: The new, worse right to be forgotten, Daphne Keller, Politico, 27. februar 2016 ( 22 Content Removal Request Report, Bing, Microsoft Transparency Hub, 2015 ( 10

11 udtrykt, at retten til persondatabeskyttelse ikke skal tilsidesætte andre fundamentale rettigheder. For at undgå at retten til at blive glemt tager en negativ drejning, bør Kommissionen udarbejde en detaljeret instruktion til virksomheder om, hvordan de skal vurdere anmodninger om sletning af data. En sådan kan f.eks. følge den guide som EU s persondatatilsyn Working Party 29 (WP29) har udarbejdet i samarbejde med Google, Bing og Yahoo efter Google Spain-sagen i Og endelig bør Kommissionen sikre, at virksomheder, som nægter at slette data på grund af datas betydning for offentligheden, ikke risikerer enorme bødestraffe. Det vil sikre, at incitamentet for omgående sletning reduceres. Rent praktisk kan princippet om retten til at blive glemt ende som en stor administrativ byrde. Især hvis virksomhederne modtager et stort antal anmodninger om sletning af data. Efter Domstolens afgørelse i Google-sagen udtalte Google, at virksomheden til og med juli 2014, havde modtaget anmodninger om at få slettet links på Google relateret til mere end internetadresser. 24 Det er et meget stort antal i betragtning af, at opgørelsen er foretaget to måneder efter Domstolens dom. Forestiller man sig, at Google skal benytte 10 minutter på at afgøre hver af de anmodninger, og forestiller man sig, at 100 ansatte med en arbejdsdag på 8 timer, bliver sat til opgaven, vil det kræve næsten 190 dage, at afgøre alle sagerne for de to måneder alene. 25 Når medlemslandenes digitaliseringsstyrelser og domstole samtidig skal ind over tvivlssager, som persondataforordningen kræver, vil det gøre processen mere længerevarende og ressourcekrævende. Fortsætter den tendens vil retten til at blive glemt blive en administrativ møllesten i stedet for en trædesten til det digitale samfund. 75 pct. af EUborgerne tilkendegav i en Eurobarometermåling 2011, at de ville benytte sig af retten til at blive glemt, hvis de fik mulighed for det. 26 Persondataforordningen kan dermed føre til store administrative byrder for digitale virksomheder i stedet for at mindske byrderne forbundet med databeskyttelse, som ellers var et udtrykkeligt ønske fra forskellige virksomheder ved den offentlige høring om reformen European DPAs meet with search engines on the right to be forgotten, 25 juli 2014 ( 24 Brev fra Google Global Privacy Counsel, Peter Fleischer til Isabelle Falque-Pierrotin, Formand for Article 29 Working Party ( 25 EU Judgement on Internet Data Protection and Search Engines, Christopher Kuner (2015), LSE Law, Society and Economy Working Papers 3/ Special Euroabarometer 359, Attitudes on Data Protection and Electronic identity in the European Union, juni 2011 ( 27 Europa-Kommissionen, Summary of Replies to the Public Consultation About the Future Legal Framework for Protecting Personal Data, 4. november

12 For det tredje illustrerer ovenstående, at persondataforordningen ikke vil begrænse de administrative byrder og omkostninger for offentlige institutioner og virksomheder. Persondataforordningen indfører også krav om konsekvensanalyser af digitale systemer, og det kan potentielt medføre ekstra omkostninger. Her skal virksomhederne forholde sig til, om kravet om konsekvensanalyser kun skal gælde nye systemer eller også inkludere gamle systemer. Alt efter hvordan man fortolker forordningens krav, kan det skabe en meget omkostningstung opgave. 28 Uafklaret sikring ved overførsel af data til tredjelande Kommissionen har en ambition om, at EU-borgerne med de nye regler garanteres samme grad af beskyttelse, når deres persondata overføres til tredjelande, som når de anvendes internt i EU-landene. Spørgsmålet er dog, hvordan Kommissionen vil sikre det i praksis? EU s dataoverførelsesaftaler med USA, den tidligere Safe Harbor -aftale og den nye Privacy Shield -aftale, illustrerer med al tydelighed vanskelighederne ved at sikre databeskyttelse af EU-borgere i udlandet. Safe Harbor -aftalen med USA blev kendt ugyldig af EU-Domstolen i Schremssagen i oktober 2015, hvor en 28-årig jurastuderende fra Østrig vandt en sag imod Facebook for ikke at give sine europæiske brugere den grad af beskyttelse, som der kræves under EU s lovgivning. 29 Samtidig konkluderede Domstolen, at aftalen heller ikke formåede at sikre EU-borgeres data mod regeringsinstitutioners adgang til data, i eksempelvis efterretningsarbejde. Kommissionens nye aftale Privacy Shield er tænkt som en forbedret udgave af Safe Harbor, men den bliver allerede inden sin vedtagelse skarpt kritiseret for ikke at forbedre datasikkerheden for europæiske borgere i tilstrækkelig grad. 30 I hverken forordningen eller direktivet har Kommissionen reflekteret over konsekvenserne af Schrems-sagen for dataoverførelse til udlandet. Ifølge EU s persondatatilsyn WP29 bør Kommissionen overveje, hvordan man i praksis sikrer, at EU-borgeres persondata som overføres til udlandet, er sikret samme 28 Altinget EU, Ny dataforordning udfordrer offentlige myndigheder, 8. marts EU-Domstolen, dom i sag C , Maximillian Schrems v. Data Protection Commissioner, 6. oktober European Digital Rights, Privacy Shield is not enough: Renegotiations is needed, 16 marts Se også brev til Ms. Isabelle Falque-Pierrotin Chairman, Article 29 Working Party, MEP Claude Moraes Chair of the Committee on Civil Liberties, Justice, and Home Affairs og HE Pieter de Gooijer Amabassador and Permanent Representative of the Netherlands to the EU ( 12

13 grad af beskyttelse. Gør Kommissionen ikke det risikerer man, at Domstolens krav om lige beskyttelse ikke overholdes. 31 Endelig kan man spørgsmålstegn ved, om EU s nye databeskyttelsesdirektiv vil sikre borgerne en tilpas grad af databeskyttelse, når deres persondata behandles i forbindelse med straffesager. Som WP29 har kritiseret, sikrer direktivet ikke, at personlige oplysninger kun behandles og opbevares, når det tjener et specifikt og legitimt formål. 32 At bekæmpe kriminalitet generelt er for bredt et formål i persondatatilsynets øjne. Det åbner op for, at hensynet til kriminalitetsbekæmpelse prioriteres højere end at sætte restriktioner på, hvornår persondata behandles. Ser man eksempelvis på tilfælde, hvor der er indsamlet data på en person i en straffesag, men hvor personen viser sig ikke at være relateret til sagen (som vidne, mistænkt, offer etc.), begrænser direktivet ikke videre brug af data. Her bør kravene til databehandling strammes. Helt specifikt anbefaler notatet i forlængelse af EU s persondatatilsyn, at videre brug af den type persondata ikke tillades. 33 Generelt kan Kommissionens databeskyttelsesdirektiv kritiseres for, ikke at have skabt en ordentlig balance imellem hensynet til persondatabeskyttelse og dataanvendelse og indsamling i straffesager. Samme problematik ser ud til at gøre sig gældende i persondataforordningen. Om forordningen skaber en fornuftig balance mellem at sikre personers ret til databeskyttelse og sikre virksomhedernes brug af data til udvikling i den digitale økonomi kan diskuteres. Behov for en mere sammenhængende lovgivning Udover de nævnte problemer ved den nye lovgivning, er der tillige forskel på kravene til datasikkerheden i de to nye EU-regler. Databeskyttelsesdirektivet opererer med lavere krav til den institution, som behandler og opbevarer persondata, når det kommer til konsekvensanalyser, indberetning af hacking og brud på datasikkerheden, samt rettigheder for de personer, hvis data behandles, end hvad er tilfældet i persondataforordningen. Manglen på sammenhæng mellem de to lovforslag kan skabe problemer for de institutioner, som behandler data under begge lovforslags anvendelsesområder. Det gælder eksempelvis tilfælde hvor personoplysninger overføres fra en 31 Article 29 Data Protection Working Party, Opinion 03/2015 on the draft directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purpose of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, 3211/15/EN, December Article 29 Data Protection Party, Opinion 03/2015, 3211/15/EN, December 2015, side Article 29 Data Protection Party, Opinion 03/2015, 3211/15/EN, December

14 politimyndighed til en anden offentlig institution, som ikke er involveret i retshåndhævelse. Her er der ikke lavet retningslinjer for, hvordan man skal forholde sig til de forskellige krav til beskyttelse i de to regelsæt - skal politimyndigheden højne graden af beskyttelse for at overholde persondataforordningen, eller skal den offentlige institution sænke standarden for at kunne overføre data til politimyndigheden? Samtidig kan det også være problematisk ved dataoverførelse fra en privat virksomhed til en politimyndighed, som eksempelvis foregår ved overførelse af passageroplysninger fra PNR-registre. Selvom man kunne have håbet, at i tilfældet med PNR-oplysninger, så ville den gråzone være blevet ophævet ved vedtagelsen af PNR-direktivet i april Det er desværre ikke tilfældet. Direktivet foreskriver, at behandlingen og overførelsen af PNR-oplysninger skal ske i overensstemmelse med rammeafgørelsen fra 2008 om politisamarbejde, men at direktivet ikke berører anvendelsen af persondatadirektivet fra 1995 ift. behandlingen af personoplysninger hos luftfartsselskaberne. 34 Hvordan samspillet mellem de tre lovgivninger kommer til at foregå i det praktiske samarbejde mellem luftfartselskaberne og politiet vides derfor ikke. Med terrorens indtog i Europa har man de seneste år set en stigning i politimyndighedernes brug af persondata, der oprindeligt var indsamlet til kommerciel brug. Meget tyder på, at interaktionen imellem private virksomheder og politimyndigheder vil blive stadigt mere relevant i politiets og andre retshåndhævelsesmyndigheders arbejde med terrorbekæmpelse. Det er derfor nødvendigt, at Kommissionen tager højde for den stigende dataoverførelse mellem virksomheder og politimyndigheder i lovgivningen. Uden et konsistent og sammenhængende regelsæt for persondatabeskyttelse risikerer man, at der i gråzonerne mellem de to regelsæt opstår forvirring, som i værste fald kan resultere i ringere og ikke bedre databeskyttelse. Derudover er der behov for såvel harmonisering og forenkling af reglerne på databeskyttelsesområdet. Da Kommissionen afholdte en offentlig høring i 2010 om ønskerne til den fremtidige databeskyttelsesreform, understregede en lang række virksomheder, at manglen på harmonisering er en af de største barriere for, at de på det digitale område ikke kan tilbyde én samlet europæisk service Europa-Parlamentet, Position of the European Parliament adopted at first reading on 14 April 2016 with a view to the adoption of Directive (EU) 2016/... of the European Parliament and of the Council on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offenses and serious crime, 14. april 2016 ( 35 Europa-Kommissionen, Summary of Replies to the Public Consultation about the Future Legal Framework for Protecting Personal Data, 4. november

15 Den europæiske befolkning ser ud til at dele virksomhedernes ønske om en større grad af harmonisering af databeskyttelse. Det illustreres af en ny Eurobarometer-måling som viser, at for 89 pct. af Europas befolkning er det vigtigt, at de har samme rettigheder og samme beskyttelse af deres personlige oplysninger, uanset hvor i Europa de befinder sig. 36 EU s nye databeskyttelsesreform er et skridt i den rigtige retning, men der bør gøres meget mere for sikre, at virksomhederne og borgerne ikke skal forholde sig til 28 forskellige lovgivningsrammer på det digitale område. Vejen frem En af de væsentligste forudsætninger for, at Kommissionens ambition om at sikre en sikker og fælles persondatabeskyttelse i Europa kan lykkes, er reformens implementering i praksis. Som EU s persondatatilsyn WP29 så fint har pointeret, bidrager databeskyttelsesregler kun til personers databeskyttelse, hvis de følges i praksis. 37 Kommissionen bør derfor holde hårdt på sin nyvundne autoritet i databeskyttelsesdirektivet til at sikre en ensartet implementering af direktivet i medlemslandene. Gør Kommissionen ikke det, risikerer man, at det fragmenterede billede af national lovgivning stadig vil være gældende. Kommissionen bør derfor adressere de punkter i begge lovtekster, hvor der er rum for national fortolkning, og give en klar melding om hvilken retning de skal fortolkes. De retningslinjer bør fastlægges, inden medlemslandene endeligt implementerer forordningen og direktivet. Desuden er det vigtigt, at uafhængige institutioner såsom EU-Domstolen og persondatatilsynet WP29 kan agere kontrolinstanser for både Kommissionens, medlemslandenes og virksomhedernes overholdelse af reglerne for databeskyttelse. Selvom EU-Domstolen ikke altid tager højde for behovet for dataanvendelse, når den dømmer i sager om persondatabeskyttelse, er Domstolen på nuværende tidspunkt den væsentligste sikkerhedsventil for, at de europæiske borgere er garanteret deres ret til databeskyttelse. Kommissionen bør derfor overveje etableringen af et uafhængigt organ, som kan tage mere høje for hensynet mellem databeskyttelse og dataanvendelse. Persondataforordningens plan om at omdanne WP29 til en Europæisk Bestyrelse for Databeskyttelse med større beføjelser er desværre ikke nok. Med de nye regler vil den kun få til opgave at rådgive, kommenterer og udstede guidelines 36 Special Eurobarometer 431, Data Protection Report, juni Working Document: Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive, WP 12, Article 29 Working Party, 24 July 1998, art 5. 15

16 om de to lovteksters implementering i medlemslandene, og komme med anbefalinger til forbedringer af direktivet og forordningen. Organet har ingen beslutningskraft. Samtidig sidder Kommissionen med ved bordet, hvilket kan få betydning for, hvor kritisk bestyrelsens vurdering af EU s databeskyttelseslovgivning kan være. Tænketanken EUROPA anbefaler derfor, at der etableres en kontrolinstans, der gøres helt uafhængig af Kommissionen. Endelig foreslår notatet, at Kommissionen begynder at overveje alternative løsninger til, hvordan der kan bygges bro imellem behovet for dataanvendelse for virksomheder, samt behovet for databeskyttelse og privatlivets fred. Én mulighed som Tænketanken EUROPA tidligere har foreslået, er anonymisering af data. I Danmark har en række kommuner for eksempel inviteret digitale frontløbervirksomheder til at innovere på baggrund af analyser af anonyme datasæt. Som Tænketanken EUROPA tidligere har understreget, kan der i dette marked ligge en stor forretningsmulighed, som den offentlige sektor også vil kunne drage fordel af. 38 Hvis databeskyttelsesreformen skal opfylde målet om at styrke og effektivisere retten til databeskyttelse og samtidig styrke dataanvendelsen til gavn for innovationen i samfundet, må Kommissionen tilbage til tegnebrættet. Der stadig plads til forbedring. 38 Tænketanken EUROPA, Digitalt Indre Marked vil styrke væksten i Europa, 4. marts