Persondata og whistleblowerordninger. Nyhedsbrev

Transkript

1 Persondata og whistleblowerordninger Nyhedsbrev

2 DE FØRSTE GUIDELINES TIL PERSONDATAFORORDNINGEN ER OFFENTLIGGJORT Artikel 29-gruppen har i december offentliggjort de første guidelines vedrørende en række emner i den nye persondataforordning. De nye guidelines og FAQs vedrører databeskyttelsesrådgivere (DPO'er), retten til dataportabilitet og identificering af den ledende tilsynsmyndighed. Artikel 29-gruppen, der består af medlemmer fra de nationale datatilsyn, har udarbejdet retningslinjerne på baggrund af blandt andet input fra forskellige interessenter. De nye retningslinjer har været ventet med spænding, da der er et stort behov for mere viden om, hvordan persondataforordningen skal forstås og anvendes. Guidelines vedrørende DPO'er Guidelines for retten til dataportabilitet Guidelines for identificering af den ledende tilsynsmyndighed fuldmægtig Der er stadig mulighed for at indsende bemærkninger til retningslinjerne. Bemærkningerne skal sendes til Artikel 29-gruppen inden udgangen af januar 2017 til just-article29wp-sec@ec.europe.eu eller presidenceg29@cnil.fr. 2/10

3 PERSONDATALOVEN ANVENDES NU PÅ GRØNLAND Efter anmodning fra Grønlands selvstyre blev det ved anordning fastsat, at den danske persondatalov skulle træde i kraft på Grønland den 1. december Persondataloven erstatter de tidligere registerlove, som har været gældende på Grønland siden Forskelle i forhold til den danske persondatalov Den udgave af persondataloven, som nu er gældende på Grønland, er ikke en fuldstændig kopi af den danske persondatalov. Der er enkelte afvigelser i forhold til den danske lov, hvoraf de tre centrale er følgende: 1. Den grønlandske udgave af persondataloven regulerer også behandling af personoplysninger i forbindelse med TV-overvågning, mens de specifikke regler i den danske persondatalovs kapitel 6a ikke er medtaget i den grønlandske udgave. Baggrunden herfor er, at den danske tv-overvågningslov ikke gælder på Grønland. fuldmægtig 2. Den grønlandske persondatalov finder ikke anvendelse i forhold til domstolenes behandling af personoplysninger, hvorimod de danske domstoles behandling af personoplysninger med visse undtagelser er underlagt behandlingsreglerne i persondataloven. 3. Der er i den grønlandske udgave af persondataloven fastsat en overgangsordning for anmeldelse og indhentning af tilladelser til behandling af personoplysninger. Overgangsordningen består i, at anmeldelse og indhentning af tilladelse til eksisterende behandlinger af personoplysninger først skal ske inden for en frist af 3 år efter, at loven er trådt i kraft. På den måde får de offentlige såvel som de private aktører god tid til at vurdere, om deres virke kræver anmeldelse og/eller tilladelse fra den nationale databeskyttelsesmyndighed. Nye behandlinger skal derimod som udgangspunkt anmeldes inden behandlingerne foretages. Anordningen om ikrafttræden for Grønland om behandling af personoplysninger kan læses her Det danske Datatilsyn har udgivet en vejledning til den nye grønlandske persondatalov, der er tilgængelig på både dansk og grønlandsk. Vejledningen kan læses på dansk her 3/10

4 LÆK AF UDKAST TIL NY FORORDNING OM ELEKTRONISK KOMMUNIKATION Et udkast til en ny forordning om behandling af personoplysninger ved elektronisk kommunikation er blevet lækket. Selvom der blot er tale om et udkast, har indholdet allerede mødt positive såvel som negative reaktioner. Nedenfor gennemgås nogle af de mest debatterede emner. Udkastets indhold Hensigten med forordningen er, at den skal afløse det hidtil gældende direktiv på området: Direktiv 2002/58/EF om behandling af persondata og databeskyttelse i den elektroniske kommunikationssektor (e-databeskyttelsesdirektivet). Direktivet er i dansk sammenhæng implementeret gennem den såkaldte cookie-bekendtgørelse. Det lækkede arbejdsudkast indebærer stramninger på visse områder. fuldmægtig De positive reaktioner Der er flere, som peger på, at det er yderst positivt, at EU med forslaget er ved at tage hånd om området for den elektroniske kommunikation på trods af et massivt lobbyarbejde fra virksomheder som eksempelvis Facebook og Skype. Det er med andre ord et ambitiøst udkast, som søger at sikre den private borgers personlige oplysninger og privatlivets fred. At forordningen kommer til at afløse e-databeskyttelsesdirektivet er for mange et positivt element i sig selv, da medlemslandene dermed ikke længere kan tilpasse bestemmelserne til deres egen lovgivning. På den måde opnås der en større konsensus og harmonisering EU-landene imellem. Endeligt peges der på, at det generelt er positivt, at udkastet til forordningen om elektronisk kommunikation overordnet set er i overensstemmelse med den generelle persondataforordning, som blev vedtaget den 14. april Ved sikring af, at de to forordningers regulering er i overensstemmelse med hinanden, undgås en lang række uhensigtsmæssigheder og usikkerheder. Det er dog ikke på alle punkter, at de to forordninger stemmer helt overens. Kritikpunkter Udkastet til forordningen om elektronisk kommunikation har mødt en del kritik for indholdet af udkastets artikel 16. Artikel 16 giver mulighed for, at firmaer og private kan anvende kunders elektroniske kontaktoplysninger mv. til brug for markedsføring. Anvendelsen skal dog ske under forudsætning af, at oplysningerne er erhvervet ved salg af varer eller tjenesteydelser, og at kunden har mulighed for at sige fra. Kritikken går i den forbindelse på, at man fra lovgivers side burde have sikret, at kunden til enhver tid udtrykkeligt skal afgive sit samtykke til en sådan anvendelse i stedet for alene at have muligheden for at sige fra. På dette punkt adskiller reglerne i udkastet sig dog ikke fra de gældende regler. Et andet kritikpunkt er den generelle samtykkeregel i udkastets art. 9, stk. 3. 4/10

5 Bestemmelsen foreskriver, at man alene kan kræve, at ens samtykke kan tilbagekaldes hver 6. måned. En sådan regel stemmer ikke overens med reglen i persondataforordningens artikel 7, stk. 3, som giver mulighed for at tilbagekalde sit samtykke til enhver tid. Det bemærkes for god ordens skyld, at der alene er tale om et udkast. Kromann Reumert følger naturligvis lovgivningsprocessen tæt og vil løbende orientere om udviklingen. 5/10

6 EU-DOMSTOLEN UNDERKENDER SVENSK LOV OM PLIGT TIL LAGRING AF TELEDATA EU-Domstolen har den 21. december 2016 truffet afgørelse om, hvorvidt national lovgivning kan fastlægge en generel forpligtelse til omfattende og generel lagring af trafikdata med henblik på at bekæmpe kriminalitet. EU-Domstolen udtalte, at det ifølge EU-retten ikke er muligt nationalt at indføre en sådan pligt til generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige brugere og abonnenter, som en svensk lov pålagde teleselskaberne. EU-Domstolen udtalte samtidig, at adgangen til lagrede oplysninger i forbindelse med kriminalitetsbekæmpelse skulle være underlagt forudgående kontrol ved domstolene eller ved en uafhængig administrativ myndighed. fuldmægtig Sagens omstændigheder Den svenske appeldomstol for forvaltningsretlige sager og den britiske Court of Appeals havde begge stillet præjudicielle spørgsmål til EU-Domstolen vedrørende muligheden for at opretholde national lovgivning, der pålægger teleselskaber en generel pligt til at lagre alle teledata bortset fra indholdet af kommunikationen til brug for bekæmpelse af kriminalitet. Den svenske lov var oprindelig indført for at implementere et EU-direktiv om lagring af teledata (populært kaldet logningsdirektivet). Efter at direktivet blev underkendt ved den såkaldte Digital Rights-dom i 2014, nægtede den svenske teleudbyder Tele2 Sverige at efterkomme den svenske post- og telestyrelses påbud om at lagre dataoplysningerne. EU-Domstolens dom EU-Domstolen har nu givet Tele2 Sverige medhold i, at den svenske lov om generel og udifferentieret lagring er i strid med artikel 7 i EU's Charter om grundlæggende rettigheder om retten til privatlivets fred, artikel 8 om retten til beskyttelse af personoplysninger og artikel 11 om retten til ytringsfrihed. Domstolen fandt, at den svenske lov om lagring af teledata medførte et uproportionalt indgreb i borgernes grundlæggende rettigheder, idet den via sin generelle og udifferentierede lagring af samtlige trafikdata om alle abonnenter gjorde det muligt at drage meget præcise slutninger om privatlivet for de personer, hvis data blev lagret. Domstolen henviste i den forbindelse til Generaladvokatens forslag til afgørelse, hvori Generaladvokaten anførte, at det ud fra de lagrede data ville være muligt at lave en profil af de berørte personer. En sådan profilering ansås af Generaladvokaten for lige så følsom som selve indholdet af kommunikationen. Kromann Reumerts bemærkninger EU-Domstolen har i denne afgørelse fulgt Generaladvokatens forslag til afgørelse fra 6/10

7 19. juli 2016, og afgørelsen er derfor ikke overraskende. I forslaget opstillede generaladvokaten en lang række betingelser, der ifølge generaladvokatens opfattelse bør være opfyldt for, at en lov om lagring er i overensstemmelse med EU's Charter om grundlæggende rettigheder. Disse betingelser fandt EU-Domstolen ikke var opfyldt, og domstolen afviste, at generel lagring af samtlige trafikdata og lokaliseringsdata kan være i overensstemmelse med Charteret. Efter Digital Rights-dommen fra 2014 har en lang række nationale domstole underkendt de pågældende nationale implementeringer af det ugyldige logningsdirektiv. I Danmark mente Justitsministeriet ikke, at de daværende danske regler om sessionslogning var i strid med EU's Charter, men anbefalede alligevel, at reglerne blev ophævet, da de ikke opfyldte formålet. Efterfølgende har der i dansk sammenhæng været arbejdet på nye lovforslag om logning, der indebærer lagring af flere teledata, end den nuværende danske lovgivning kræver. Det følger af regeringsgrundlaget for den nye VLAK-regering, at regeringen i begyndelsen af 2017 vil fremlægge nye regler om logning, der "målrettet skal styrke politiets muligheder for at opklare kriminalitet, og som ikke vil pålægge telebranchen for store byrder". Ved udarbejdelsen af det påtænkte lovforslag vil Justitsministeriets fortolkning af EU-Domstolens afgørelse i Tele2-sagen få stor betydning. Vi følger Justitsministeriets videre arbejde med lovforslaget, og vi vil orientere nærmere, når der er nyt derom. 7/10

8 NY LOV I STORBRITANNIEN GØR ADGANG TIL PRIVATES DIGITALE FÆRDEN MARKANT LETTERE Medio november 2016 blev et nyt lovforslag godkendt af det britiske House of Lords og senere samme måned stadfæstet af kongehuset. Loven - "The Investigatory Powers Act" - giver efterretningstjenesten i Storbritannien en lang række beføjelser, som bl.a. gør adgangen til privates digitale færden markant lettere. Beføjelserne Den for nyligt vedtagne lov giver efterretningstjenesten, politiet og adskillige regeringsdepartementer mulighed for at anvende et bredt spektrum af beføjelser. Blandt andet kan nævnes, at internetudbyderne såvel som telefonselskaberne pålægges at gemme borgernes browserhistorik og kommunikationsdata i op til 1 år, hvorefter de relevante myndigheder kan kræve disse udleveret uden forinden at have indhentet en dommerkendelse. fuldmægtig Yderligere giver loven efterretningstjenesten og politiet ret til at skaffe sig adgang til private computere og indhente data til brug for efterforskning. Politiet og efterretningstjenesten får som følge af den nye lov også ret til at få fjernet al kryptering, der måtte være pålagt data, uanset om det er private virksomheder eller borgere, som besidder krypteringskoden. Beføjelserne vil dog alene kunne udøves, såfremt det er for at modvirke hårdere kriminalitet eller beskytte Storbritanniens økonomiske interesser. I stedet for at kræve en forudgående dommerkendelse i hvert enkelt tilfælde, er det alene op til de givne myndigheder at skønne, om de har ret til at anvende beføjelserne. Loven møder kritik fra flere fronter Under hele sin behandling fra House of Commons til House of Lords har lovforslaget affødt en del kritik. Denne kritik er kommet fra flere fronter, heriblandt IT-virksomheden Apple og adskillige menneskerettighedsorganisationer. Kritikken er gået på, at lovforslaget dels krænker retten til privatlivets fred, dels krænker en række retssikkerhedsprincipper. Det skal dog bemærkes, at der ifølge loven skal oprettes et uafhængigt tilsynsorgan - Investigatory Powers Commission - bestående af blandt andet en række dommere, som har til opgave løbende at kontrollere og sikre, at myndighederne anvender beføjelserne lovmæssigt. 8/10

9 DRONER MED KAMERA ER OMFATTET AF DEN SVENSKE KAMERAOVERVÅGNINGSLOV Den højeste svenske forvaltningsdomstol fandt i slutningen af oktober 2016, at en drone, som er tilkoblet et kamera, er omfattet af den svenske kameraovervågningslov. Dette medfører, at det ikke længere er tilladt at flyve de små fjernstyrede fly rundt i det offentlige rum uden en specifik tilladelse, såfremt flyet har påmonteret et kamera. Sagen kort Før sagen blev fremlagt for den højeste svenske forvaltningsdomstol, blev spørgsmålet prøvet ved retten i Linkøbing. Retten fandt her, at en drone med et tilkoblet kamera ikke kunne være omfattet af den svenske kameraovervågningslov. Retten begrundede sit resultat med, at der ikke var tale om et kamera, der var varigt opsat på ét bestemt sted. Den svenske databeskyttelsesmyndighed, Datainspektionen, ankede dog denne afgørelse til Kammarrätten. Kammarrätten, som er en svensk forvaltningsdomstol, kom imidlertid frem til det modsatte resultat i oktober Kammarrättens afgørelse blev på ny anket, hvorfor den højeste svenske forvaltningsdomstol nu skulle tage endelig stilling til spørgsmålet. fuldmægtig Den højeste forvaltningsdomstol stadfæstede Kammarrättens afgørelse, idet de fandt, at en drone, som har tilkoblet et kamera, flyver og filmer i det offentlige rum, og selvom dronen ikke er opsat et bestemt sted, kan den bruges til overvågning på samme måde som et overvågningskamera. Droner med kamera er dermed omfattet af den svenske kameraovervågningslov. Adgangen til at bruge sådanne droner i Sverige er hermed blevet indskrænket betydeligt. Regulering af droner i Danmark I dansk sammenhæng finder persondataloven anvendelse, så snart der behandles fotografier eller video af personer, som ud fra materialet kan identificeres. Selvom droner med tilkoblet kamera ikke udtrykkeligt er nævnt i persondataloven, må det lægges til grund, at en drone, som via et digitalt kamera optager identificerbare personer, umiddelbart er omfattet af den danske persondatalov. Hvorvidt en drone med tilkoblet kamera er omfattet af den danske tv-overvågningslov, er mere tvivlsomt. Selve problemstillingen er ikke direkte reguleret i tv-overvågningsloven. Det kan nævnes, at Datatilsynet tilbage i 2014 fandt, at såkaldte bodycams, dvs. et kamera tilkoblet en person, ikke var omfattet af tv-overvågningsloven. Datatilsynet lagde i den forbindelse afgørende vægt på, at optagelserne med bodycams ikke var "vedvarende eller regelmæssige", idet bodycams alene blev anvendt engang imellem og på forskellige steder. Om en drone med tilkoblet kamera filmer vedvarende og regelmæssigt, må afhænge af den konkrete situation. Ud fra gældende lovgivning og hidtidig praksis er det usikkert, hvorvidt droner med tilkoblet kamera er omfattet af tv-overvågningsloven. Brugen af droner med kamera må, indtil spørgsmålet er nærmere afklaret, underlægges persondatalovens krav til behandling, herunder blandt andet krav om, at 9/10

10 behandlingen alene må ske, hvis der er tale om et sagligt og udtrykkeligt angivet formål, og at der i øvrigt er hjemmel i form af samtykke, nødvendighed for at opfylde en kontrakt eller retlig forpligtelse mv. 10/10