Justitsministeriet Statsretskontoret jm@jm.dk STRANDGADE 56 DK-1401 KØBENHAVN K TEL. +45 32 69 88 88 FAX +45 32 69 88 00 CENTER@HUMANRIGHTS.DK WWW.MENNESKERET.DK WWW.HUMANRIGHTS.DK DATO 13. juni 2012 J.NR. 540.10/27259/ RFJ/SWG Høring over Europarådets Databeskyttelseskomités (T-PD) forslag til modernisering af den europæiske konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (108-konventionen) Justitsministeriet har ved e-mail af 24. maj 2012 anmodet om Institut for Menneskerettigheders eventuelle bemærkninger til ovennævnte forslag. Institut for Menneskerettigheder skal indledningsvis bemærke, at instituttet generelt finder, at forslaget til ændring af 108-konventionen indeholder positive tiltag med henblik på at fremme den enkeltes menneskerettigheder. Instituttet har desuden en række specifikke bemærkninger til flere af de enkelte foreslåede konventionsbestemmelser. Institut for Menneskerettigheder har ikke gennemgået forslaget til ændring af 108- konventionen i detaljer. Ad artikel 2 Komiteén foreslår at ændre den forklarende rapport, således at det fremgår af denne, at et individ ikke anses for at være identificerbart, hvis en identifikation kræver urimelig tid eller indsats for den dataansvarlige ( controller ). Instituttet finder, at det alene bør være i helt undtagelsesvise tilfælde og efter en konkret vurdering, at en dataansvarlig kan anse en person for ikke at være identificerbar på grund af den tid eller indsats, som en identificering kræver. INSTITUT FOR MENNESKERETTIGHEDER ER OPRETTET VED LOV AF 6.6.2002 OM ETABLERING AF DANSK CENTER FOR INTERNATIONALE STUDIER OG MENNESKERETTIGHEDER. INSTITUTTET ER ETABLERET SOM NATIONAL MENNESKERETTIGHEDSINSTITUTION I HENHOLD TIL FN'S PARIS PRINCIPPER. INSTITUTTET VIDEREFØRER DE AKTIVITETER, DER SIDEN 1987 BLEV VARETAGET AF DET DANSKE CENTER FOR MENNESKERETTIGHEDER. INSTITUTTET VARETAGER FORSKNING, INFORMATION, UNDERVISNING, DOKUMENTATION OG INTERNATIONALE PROGRAMMER.
Institut for Menneskerettigheder anbefaler på den baggrund med henblik på at fremme den enkeltes menneskerettigheder at den forklarende rapport præciserer de undtagelsesvise situationer, hvor en dataansvarlig kan anse en person for ikke at være identificerbar på grund af den tid eller indsats, som en identificering kræver. Ad artikel 3 Det fremgår af komitéens bemærkninger til artikel 3 om konventionens anvendelsesområde, at der fortsat udestår spørgsmål om databehandling i forbindelse med aktiviteter og services, der tilbydes dataansvarlige ( controllere ), som ikke hører under en medlemsstats jurisdiktion. Instituttet skal hertil understrege, at det særligt set i lyset af internettets grænseoverskridende karakter er meget centralt at få afklaret, hvorledes den enkelte kan sikres beskyttelse i forbindelse med databehandling udført af en dataansvarlig ( controller ), som ikke hører under en medlemsstats jurisdiktion. Komitéen foreslår endvidere, at artikel 3 ændres, således at konventionen ikke skal finde anvendelse for databehandling udført af en privatperson for så vidt angår udøvelse af rent personlige eller familiemæssige aktiviteter, medmindre den pågældende data gøres tilgængelig for personer uden for den personlige eller familiemæssige sfære, jf. artikel 3, 1bis. enkeltes menneskerettigheder at det præciseres i konventionen, om konventionen finder anvendelse, såfremt data indsamlet til privat brug gøres tilgængelig for personer uden for den personlige eller familiemæssige sfære, uanset de omstændigheder hvorunder dette sker. Instituttet skal i den forbindelse bemærke, at behandling og opbevaring af data til privat brug i stigende grad sker ved brug af services, som den enkelte har meget lidt kontrol over, f.eks. cloud services. Der kan derfor opstå situationer, hvor data gøres tilgængelig for en bredere kreds uden, at dette var hensigten, eller uden at den enkelte er opmærksom herpå. Dette kan f.eks. være tilfældet, hvis en service ændrer sin politik for dataopbevaring og -deling. 2
Komitéen foreslår desuden, at artikel 3 ændres, således at en medlemsstat kan beslutte, at konventionen skal finde anvendelse for data om juridiske personer, jf. artikel 3, 1ter. Instituttet skal i den forbindelse bemærke, at man i forbindelse med en sådan udvidelse af anvendelsesområdet blandt andet skal være opmærksom på borgerens ret til adgang til information af almen interesse, jf. blandt andet EMRK artikel 10. Ad artikel 5 Komitéen foreslår, at der indsættes en udtrykkelig bestemmelse om samtykke i artikel 5, jf. artikel 5, 2 a. Instituttet skal i den forbindelse bemærke, at samtykke som grundlag for databehandling i stigende grad giver anledning til problemer i praksis på grund af de forhold, hvorunder samtykke ofte skal gives på internettet; f.eks. hvor samtykke gives ved et simpelt klik som accept af bagvedliggende nærmere betingelser, eller hvor samtykke gives med henblik på at gøre brug af en gratis serviceydelse. Institut for Menneskerettigheder anbefaler på den baggrund med henblik på at fremme den enkeltes menneskerettigheder at betingelserne for et samtykke præciseres, herunder at et samtykke skal være meningsfuldt. Komitéen foreslår endvidere, at der indsættes en udtrykkelig bestemmelse om legitim databehandling, hvor der ikke foreligger samtykke. Efter bestemmelsen kan der blandt andet ske databehandling, hvis behandlingen sker i henhold til national ret med henblik på en altovervejende legitim interesse ( an overriding legitimate interest ), jf. artikel 5, 2 b. Det fremgår endvidere, at den forklarende rapport vil forklare betydningen af an overriding legitimate interest. enkeltes menneskerettigheder at ordlyden af artikel 5, 2 b, udbygges og præciseres med henblik på at tydeliggøre betydningen af bestemmelsen (fremfor at lade betydningen fremgå af den forklarende rapport). 3
Ad artikel 6 Det fremgår af den foreslåede bestemmelse i artikel 6, 2, at sensitiv data uanset artikel 6, 1 a-c (om forbud mod behandling af sensitiv data), kan behandles, hvis national ret giver tilstrækkelige garantier ( provides appropriate safeguards ). enkeltes menneskerettigheder at det præciseres i bestemmelsen, hvad der menes med appropriate safeguards. Ad artikel 7 Det fremgår af den foreslåede artikel 7, 2, at medlemsstaterne skal sikre, at den dataansvarlige ( controlleren ) uden forsinkelse skal underrette som minimum tilsynsmyndighederne om enhver krænkelse af data, der kan gribe alvorligt ind i den registreredes grundlæggende rettigheder og frihedsrettigheder. Det fremgår endvidere, at den forklarende rapport vil angive, at den dataansvarlige ( controlleren ) bør tilskyndes til også at underrette den registrerede, hvor det er nødvendigt. enkeltes menneskerettigheder at den registrede som udgangspunkt bør underrettes om enhver krænkelse af data, der kan gribe alvorligt ind i den registreredes grundlæggende rettigheder og frihedsrettigheder, og at bestemmelser herom fremgår direkte af artikel 7 og ikke af den forklarende rapport. Ad artikel 8 Efter den foreslåede bestemmelse i artikel 8 a skal enhver person være berettiget til efter anmodning ikke at være underlagt en afgørelse, der mærkbart berører personen eller skaber retsvirkninger for personen og udelukkende er baseret på automatisk databehandling, uden ret til at udtrykke sine synspunkter. enkeltes menneskerettigheder at der som udgangspunkt ikke træffes afgørelser baseret på automatisk databehandling, som mærkbart berører eller skaber retsvirkninger for en person, uden at personen høres, og at en sådan høring ikke bør forudsætte en konkret anmodning herom. 4
Ad artikel 12 Den foreslåede artikel 12 vedrører overførsel mellem landene af personoplysninger og national lovgivning. Det fremgår af den foreslåede bestemmelse i artikel 12, 1, at hver medlemsstat skal sikre, at personoplysninger kun vil blive videregivet til eller gjort tilgængelige for en modtager, som ikke hører under statens jurisdiktion, forudsat at et passende niveau for databeskyttelse er sikret. Det fremgår endvidere af den foreslåede artikel 12, 3, at såfremt modtageren hører under en stat eller en international organisation, der ikke er part i konventionen, kan et passende beskyttelsesniveau sikres ved: a) lovgivningen i den pågældende stat eller organisation, navnlig ved gældende internationale traktater eller aftaler, eller b) standardiserede eller ad hoc juridiske foranstaltninger, såsom kontraktbestemmelser, interne regler eller lignende foranstaltninger, der er bindende, effektive og underlagt effektive retsmidler, samt implementeret af den person, der videregiver eller gør personlige data tilgængelige, og af modtageren. Den kompetente tilsynsmyndighed, jf. artikel 12 bis, [skal] [kan] informeres om ad hoc gennemførte foranstaltninger og kan anmode om, at den person, der videregiver eller gør data til rådighed, eller modtageren, dokumenterer kvaliteten af og effektiviteten af de gennemførte foranstaltninger. Tilsynsmyndigheden kan suspendere, forbyde eller betinge videregivelse eller tilgængeliggørelse af data. Der henvises til artikel 12, 3, b. enkeltes menneskerettigheder at tilsynsmyndigheden skal informeres om ad hoc gennemførte foranstaltninger m.v., jf. de to alternativer i den foreslåede artikel 12, 3, b. Der henvises til j.nr. 2012-767/03-0006. Med venlig hilsen Sara W. Guldagger 5