IT-Branchens ønsker til dansk implementering af persondataforordningen

Transkript

1 IT-Branchens ønsker til dansk implementering af persondataforordningen IT-Branchen hilser Persondataforordningen velkommen, og glæder sig over at de nye regler skal sikre borgernes rettigheder i forbindelse med behandling af persondata og sikre prioritering af datasikkerhed i både virksomheder og offentlige institutioner. Det er afgørende, at den danske implementering af forordningen understøtter dansk erhvervs konkurrencevilkår både nationalt og på tværs af EU's medlemslande. Der er brug for et både moderne, fleksibelt og specifikt regelsæt, der ikke er for omkostningsfuldt for erhvervslivet at efterleve. IT-Branchen har været rigtig glade for den store åbenhed Justitsministeriet og Regeringen ind til nu har vist i forbindelse med Persondataforordningen. Både de workshops, Erhvervsstyrelsen har arrangeret, de tre stormøder, og den generelle velvillighed til at stille op til møder med branchen, har været meget værdsat og har været med til at skabe en god debat om de valg, regeringen skal træffe i forbindelse med dansk implementering. IT-Branchen har med stor interesse læst Justitsministeriets betænkning om dansk implementering af Persondataforordningen. Betænkningen indeholder afklaring på mange spørgsmål i forhold til dansk implementering, men der er fortsat flere områder, der udestår. Vi har i dette brev samlet IT-Branchens ønsker til det videre arbejde med den danske implementering, herunder ønsker til yderligere afklaring. Harmonisering og modernisering IT-Branchen ønsker generelt, at reglerne omkring persondatabeskyttelse understøtter dansk erhvervs konkurrencevilkår både nationalt og på tværs af EU's medlemslande. Det kræver, at vi har en harmoniseret tilgang på tværs af EU-lande, samt at lovgivningen er både moderne, fleksibel og specifik. Regeringen har lagt op til at foretage en implementering af persondataforordningen, som så vidt muligt tager udgangspunkt i eksisterende lovgivning. Det giver naturligvis nogle fordele i forhold til virksomhedernes overholdelse på kort sigt, da forskellen mellem gammel og ny retstilstand bliver relativt lille, men på sigt er der store omkostninger forbundet med en manglende modernisering af reglerne. Ligeledes kan det betyde, at vi ikke kommer i mål med en reel harmonisering på tværs i EU. Eksempler: Krigsreglen: Den såkaldte krigsregel er tidligere blevet tolket meget restriktivt, og har derfor betydet, at data fra flere landsdækkende administrative systemer ikke placeres i udlandet. Justitsministeriet lægger i betænkningen op til at overveje behovet for bestemmelsen. IT-Branchen mener, at det er afgørende at benytte anledningen til at modernisere kravene, så formålet vedligeholdes (vi kan slette data), men måden, hvorpå der kan opfyldes, moderniseres (fx ved hjælp af krav om tekniske sikkerhedsforanstaltninger som fx kryptering). Behandlingsregler: Justitsministeriet lægger sig i betænkningen fast på en fortolkning i forhold til behandlingsreglerne, der stort set medfører, at vi kan opretholde alle eksisterende nationale regler. Det vil være lettest at implementere, men skaber ikke stor harmonisering, da mange andre lande vælger andre løsninger. 1

2 Vejledning og rådgivning På trods af Justitsministeriets omfangsrige betænkning om dansk implementering af persondataforordningen er der fortsat stort behov for konkret og relevant vejledning til virksomhederne hurtigst muligt. IT-branchen har været rigtig glad for den åbenhed, som Justitsministeriet og regeringen generelt har vist i forbindelse med arbejdet med dansk implementering ind til nu. Vi kan derfor på det stærkeste opfordre regeringen til fortsat at involvere branchen tæt i udformning af vejledningerne. Det kan fx gøres ved løbende at dele de foreløbige versioner af vejledningerne. Det vil sikre dialog om retningen og give virksomhederne mulighed for at tilrette arbejde løbende/tidligt. IT-Branchen vil endvidere opfordre til at vejledningerne skrives så operationelt som muligt, og at vejledningerne tager højde for så mange forskellige typer af virksomheder som muligt, meget gerne med konkrete eksempler som er lette at forholde sig til. Der er også brug for rådgivning Vejledninger kan dog ikke stå alene. Regeringen bør med så højt bødeniveau og så kort tid til at rette ind, også påtage sig en markant rådgivningsforpligtigelse, om ikke andet, så i hvert fald i en overgangsperiode. Datatilsynet vil med deres klare tilsynsrolle og de eksisterende midler have svært ved at løfte et egentligt rådgivningsansvar effektivt, hvorfor andre modeller til forpligtigende rådgivning bør overvejes. IT-Branchen bistår gerne hermed. IT-Branchen opfordrer særligt til, at Datatilsynet som led i deres arbejde får ressourcer til at kunne tilbyde virksomheder at udforme en egentlig bindende forhåndsgodkendelse, evt. via et mindre gebyr. Endelig bør der udarbejdes et online værktøj inspireret af der kan give et overblik over, om der er svagheder den enkelte virksomheds datahåndtering og målrettet give vejledning om, hvor der bør sættes ind først for at overholde de nye regler. Offentlige sanktioner IT-Branchen er tilhænger af, at der ligesom for private skal være klare sanktioner for det offentlige forbundet med manglende overholdelse af forordningen Persondataforordningen indeholder et råderum på dette område, og Danmark har således mulighed for selv at fastsætte regler for sanktioner til offentlige myndigheder. Der er ikke et klart mønster i EU, da flere lande har valgt forskellig tilgang. Betænkningen fra Justitsministeriet indeholder ingen svar i forhold til dansk implementering. IT-Branchen forstår fuldt ud kompleksiteten i spørgsmålet, og anerkender, at det vil være uheldigt, hvis fx et hospital skal fyre læger og sygeplejersker som konsekvens af en bøde. Men der er et stort behov for at opprioritere indsatsen i det offentlige. Fx slog Rigsrevisionen november 2016 fast, at alt for mange offentlige myndigheder sjusker med datasikkerhed. Der er afgørende for at opnå den nødvendige prioritering af databeskyttelse i det offentlige, at brud på reglerne har en alvorlig konsekvens. Ligesom for private virksomheder kan det koste mange ressourcer hvis man skal overholde de nye regler. Styrket datasikkerhed kræver at den enkelte offentlige myndighed eller institution prioriterer ressourcerne. Det sker ikke uden stærke incitamenter. 2

3 Konkurrenceforvridning Samtidig vil det også medføre en konkurrencemæssig udfordring, hvis det offentlige ikke pålægges sanktioner, særligt på områder hvor det offentlige og private opererer på samme marked. Det er konkurrenceforvridende, når en privat virksomhed i sit tilbud skal indregne risikoen for at måtte blive idømt en bøde for overtrædelse af persondatareglerne, mens dette ikke er tilfældet for den offentlige virksomhed. Et praktisk eksempel kunne være et offentligt udbud, hvor kommunens egen IT afdeling afgiver et kontrolbud. Manglende bøderisiko kan føre til billigere priser, med mindre den manglende bøderisiko opvejes af en anden økonomisk kvantificeret risiko, som det pålægges den offentlige myndighed at indregne i kontroltilbuddet. Konkrete modeller Hvorvidt sanktioner mod det offentlige skal være i form af bøder, der i sig selv kan virke præventive, eller om der er andre passende sanktioner, der kan pålægges det offentlige, vil IT- Branchen gerne indgå i en nærmere dialog om. Under alle omstændigheder bør de valgte sanktioner afspejle den faktiske forseelse. Evt. bødepenge bør ikke ryge i statskassen, men i en særlig pulje, der øremærkes til enten at løse den konkrete myndigheds udfordringer med databeskyttelse (dvs., en de facto omprioritering af midler til it-sikkerhed/databeskyttelse) eller til finansiering af fx generel folkeoplysning om persondatabeskyttelse. Evt. i en fordelingsnøgle. Tilpas sikkerhed Persondataforordningen indeholder krav om at sikre et passende sikkerhedsniveau. Dette begreb kan være svært at håndtere og ikke mindst fortolke - særligt for mindre virksomheder. IT-Branchen opfordrer derfor til, at der udfærdiges en dynamisk vejledning, gerne med udgangspunkt i den allerede eksisterende Vejledningen skal sikre, at anvisningerne kontinuerligt opdateres og følger de teknologiske muligheder og udvikling, ligesom den skal sikre en balance i sikkerhedskravene, så de følger den faktiske virksomhedstype og databehandling. Aldersgrænser for samtykke Databeskyttelsesforordningen forskriver, at informationssamfundstjenesters behandling af personoplysninger om børn under 16, kræver samtykke fra forældrene. Medlemsstaterne har mulighed for at fastsætte en lavere aldersgrænse ned til 13 år. IT-Branchen anbefaler, at man i Danmark vælger at sætte aldersgrænsen til det lavest mulige 13 år. Dette bør gøres for at sikre størst mulig digital inklusion og for at understøtte den digitale dannelse. Der er rigtig mange danske unge under 16 der benytter sociale medier. Regler om samtykke bør ikke være en stopklods for at de unge kaster sig ud i at anvende ny teknologi. Flere lande, deriblandt Sverige, har allerede tilsluttet sig den lave aldersgrænse, og Danmark bør følge trop. Branchekodeks Persondataforordningen giver mulighed for, at der kan udarbejdes adfærdskodekser, der skal beskrive en konkret praksis for behandling af data. 3

4 IT-Branchen ser adfærdskodeks som en interessant mulighed for at sikre branchespecifik vejledning, der potentielt kan lette arbejdet med at implementere forordningen. Det er dog afgørende hvor omfangsrige krav, der vil blive stillet til udarbejdelse af et kodeks, og hvilken kontrol og certificeringskrav det enkelte kodeks bliver omfattet af. Faren er, at det bliver en meget ressourcekrævende proces at udarbejde og vedligeholde et kodeks. Ligesom det kan blive omkostningsfuldt at holde kodekset ved lige i en dynamisk verden, hvor teknologien konstant ændrer spillereglerne. IT-Branchen ser derfor meget gerne, at formkravene til et adfærdskodeks holdes minimalt, at Datatilsynet får tilført midler til aktivt at bistå udarbejdelsen, samt at selve adfærdskodekset adskilles fra kravet om certificering. Adfærdskodekset vil i en sådan situation blive et relevant værktøj, der kan bruges til at udstikke en sektorspecifik minimumsforståelse, der tolker reglerne i en branchespecifik kontekst og foreskriver en praksis for datahåndtering. Uklarhed omkring markedsføring Den nuværende danske persondatalov indeholder særlige regler for anvendelse og videregivelse af personoplysninger til markedsføringsmæssige formål (bl.a. 12 samt interesseafvejningsreglen i persondatalovens 6). Persondataforordningen indebærer ikke tilsvarende særlige regler. Dog fremgår det af præambelbetragtningen 47, at behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse. Det er uklart, hvornår der foreligger en legitim interesse for anvendelse og videregivelse af personoplysninger til markedsføringsmæssige formål. Det er IT-Branchens holdning, at generelle kundeoplysninger fortsat frit skal kunne videregives uden samtykke til markedsføringsmæssige formål. Den registrerede har flere muligheder for at frasige sig denne deling, blandt andet muligheden for udeladt nummer samt Robinsonlisten. Disse bør fortsat sikre den registreredes ret til at frabede sig uanmodede henvendelser med henblik på markedsføring. Registrering af telefonnumre der ringes til fra deres arbejdstelefoner Persondatalovens paragraf 13 foreskriver at virksomheder ikke må registrere hvilke telefonnumre der ringes til, fra medarbejderes telefoner. Det er fortsat uklart, hvorvidt denne regel videreføres i ny lovgivning. IT-branchen anbefaler ikke, at denne bestemmelse videreføres. Der er naturligvis tale om personhenførbare oplysninger, men da det sker fra de enheder virksomheden har stillet til rådighed, må man formode, at de øvrige forpligtigelser på udmærket vis sikrer, at den slags oplysninger opbevares og behandles forsvarligt, og ikke mindst slettes efter nærmere beskrevet proces/frekvens. Sikre 3. lande I forbindelse med overførsler af persondata ud af EU arbejder Datatilsynet med et begreb om sikre tredjelande 4

5 Processen og ansvaret for vurdering og løbende opdatering af listen over sikre tredjelande er dog uklar. Lovgivning, sikkerhedssituation etc. er levende størrelser, og derfor er det afgørende for global forretningsførelse, at man kender til listen og processen omkring den. IT-Branchen opfordrer til at der sikres øget klarhed om processen. Husk folkeoplysning Persondataforordningen indeholder flere nye krav til virksomhederne, men også en række vigtige nye rettigheder, ikke mindst til borgerne. Hvis vi skal sikre en god dansk implementering af persondataforordningen, er det ikke blot vigtigt med vejledning og rådgivning rettet mod virksomheder, men også mod borgere. Et øget kendskab i befolkningen til rettigheder og klagemuligheder vil være med til at sikre en god anvendelse af de nye muligheder og en bedre forventningsafstemning omkring hvornår og hvordan de nye regler kan anvendes. IT-Branchen foreslår, at regeringen i forbindelse med den kommende finanslov afsætter midler specifikt til dette formål. Vi stiller gerne op IT-Branchen ser frem til den fortsatte dialog om dansk implementering af Persondataforordningen, og står naturligvis til rådighed for en uddybning af ovenstående. 5