L 68 - 2017-18 - Endeligt svar på spørgsmål 59: Spm. om ministerens talepapir fra samrådet den 23/1-18 om databeskyttelseslovforslagets bestemmelser om viderebehandling af personoplysninger og oplysningspligt, til justitsministeren

Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

16. januar 2018

Datebeskyttelseskontoret

Anders Lotterup

2018-0035-0017

629879

UDKAST TIL TALE

til brug for besvarelsen af samrådsspørgsmål A

fra Folketingets Retsudvalg den 23. januar 2018

Samrådsspørgsmål A:

”Vil

ministeren kommentere kritikken i høringssvar og i artiklerne i Politi-

ken fra december 2017 og januar 2018 vedrørende § 5, stk. 3 og § 23, som

fremsat af eksperter, organisationer og folketingsmedlemmer, herunder re-

degøre for ministerens holdning til paragrafferne set i lyset af denne kritik,

samt redegøre for om kritikken giver ministeren anledning til at genover-

veje lovforslagets udformning?”

Spørgsmålet er stillet efter ønske fra Josephine Fock (ALT), Zenia

Stampe (RV), Eva Flyvholm (EL) og Lisbeth Bech Poulsen (SF).

L 68 - 2017-18 - Endeligt svar på spørgsmål 59: Spm. om ministerens talepapir fra samrådet den 23/1-18 om databeskyttelseslovforslagets bestemmelser om viderebehandling af personoplysninger og oplysningspligt, til justitsministeren

[Indledning]

Tak for spørgsmålet.

Jeg vil gerne starte med at gøre en ting klart, så vi lige

har proportionerne på plads. Regeringen prioriterer data-

beskyttelse højt og arbejder for at styrke beskyttelsen af

danskernes personoplysninger. Vi har både en ny EU-

forordning og en ny databeskyttelseslov på vej.

Det er et hovedformål med disse nye regler at beskytte

borgernes personoplysninger. Jeg er overbevist om, at de

kommende regler – bl.a. dém om de høje bøder – vil

sikre, at man både i det offentlige og i det private vil

passe bedre på vores alle sammens oplysninger, og det er

som sagt en vigtig prioritering for regeringen.

[Generelt om lovforslaget]

De store linjer på databeskyttelsesområdet er allerede

lagt med EU-forordningen. Det drejer sig f.eks. om det

nye krav om såkaldt ”privacy by design” og kravet om,

at man i visse tilfælde skal have en såkaldt ”databeskyt-

telsesrådgiver”.

Det er gode og fornuftige tiltag, som vil styrke beskyttel-

sen af danskernes personoplysninger.

Formålet med

lovforslaget

er alene at supplere reglerne i

forordningen, og forslaget sikrer, at vi på langt de flest

områder viderefører den gældende retstilstand. Det gæl-

der f.eks. i forhold til reglerne om de registreredes rettig-

heder. Det er min opfattelse, at den gældende retstilstand

har en fin balance mellem hensynet til de registrerede og

hensynet til virksomheder og myndigheder.

Det er dog ingen hemmelighed, at vi i lovforslaget til

databeskyttelsesloven

har

truffet en række valg.

Det drejer sig først og fremmest om lovforslagets be-

stemmelse om, at offentlige myndigheder skal kunne

ifalde bøder for overtrædelse af databeskyttelsesreglerne.

Vi har også truffet et valg med forslagets § 5, stk. 3, om

offentlige myndigheders videreanvendelse af oplysnin-

ger, som vi skal tale om i dag.

[Lovforslagets § 5, stk. 3, om datadeling]

Man må ikke uden videre anvende personoplysninger

til andre formål, end de oprindeligt var tiltænkt.

Der er to regler i lovforslaget, der handler om, hvornår

man alligevel må anvende personoplysninger til et andet

formål end det oprindelige formål.

Den

ene

regel er forslagets § 5, stk. 2. Den handler om,

at man i hver enkelt

konkrete

sag skal afgøre, om det nye

formål er ”foreneligt” med det gamle formål. Bestem-

melsen giver nogle momenter, man kan lægge vægt på

ved denne vurdering.

Det er ligesom, det er i dag, og jeg kan forstå, at det i det

praktiske liv kan være en meget vanskelig juridisk vur-

dering, om ét formål er foreneligt med et andet formål.

Den

anden

regel er forslagets § 5, stk. 3, om, at man i en

bekendtgørelse kan bestemme, at personoplysninger, der

behandles af offentlige myndigheder, må behandles til et

andet formål. Man kan sige, at en sådan bekendtgørelse

”en gang for alle” bestemmer, at en bestemt type videre-

behandling af oplysninger er i orden.

Vores formål med bestemmelsen er at skabe klarhed om-

kring videreanvendelse af data, så myndighederne kan

yde borgerne en effektiv sagsbehandling. Det er til for-

del for den enkelte, og det giver medarbejderne i det of-

fentlige mere tid til kerneopgaven, hvilket er i vores alle

sammens interesse.

Med en bekendtgørelse undgår man således svære

kon-

krete

vurderinger i praksis af, om en bestemt viderebe-

handling må finde sted.

Lad mig give eksempel fra praksis, der viser problemstil-

lingen:

I 2006 besluttede Udenrigsministeriet at evakuere flere

tusinde danske statsborgere fra Libanon på grund af kri-

gen mellem Israel og Hizbollah. Politiet stod naturligvis

for indrejsekontrollen, og de udarbejdede et register med

navne og personnumre på de evakuerede personer. Uden-

rigsministeriet var koordinerende myndighed og modtog

derfor en kopi af politiets register over evakuerede per-

soner.

Udenrigsministeriet modtog efterfølgende henvendelser

fra kommuner, der ønskede en kopi af registret med hen-

blik på at kontrollere, om personer, der stod i politiets re-

gister, havde begået socialt bedrageri.

Spørgsmålet var nu, om det var ”foreneligt” – og dermed

lovligt – at anvende oplysningerne, der var brugt i for-

bindelse med indrejsekontrollen efter evakueringen, i et

kommunalt arbejde mod socialt bedrageri.

Svaret på spørgsmålet om de to formål var forenelige var

bestemt ikke givet på forhånd. Der er alligevel et stykke

vej mellem de to formål. Det er rimeligt at sige, at der i

hvert fald var tale om et grænsetilfælde.

Datatilsynet endte med at udtale, at Udenrigsministeriet

lovligt kunne oplyse kommunerne om, hvorvidt bestemte

personer stod i registret eller ej. Datatilsynet endte såle-

des med at acceptere, at de to formål var forenelige, og

kommunerne fik dermed mulighed for at undersøge, om

der konkret var begået socialt bedrageri.

Som sagt var dét svar ikke givet på forhånd. Jeg forstår,

at der i virkelighedens verden findes mange af sådanne

grænsetilfælde, hvor kommunerne i den daglige sagsbe-

handling er i tvivl, om oplysninger, der er brugt i én sag,

må bruges i en anden sag. Det fører til forskellig praksis

i kommunerne for anvendelse af data.

Her kan en bekendtgørelse bidrage med

på forhånd

skabe klarhed, så den kommunale medarbejder ikke er i

tvivl om, hvilke oplysninger vedkommende

må

bruge, og

hvilke oplysninger, der

ikke

må bruges. Formålet er som

sagt at sikre, at det offentlige kan videreanvende og gen-

bruge data på en effektiv, ensartet og åben måde.

Og jeg vil bare slå fuldstændig fast, at en sådan effekti-

vitet og åbenhed vil jeg meget gerne bidrage til. Jeg vil

f.eks. ikke finde mig i socialt bedrageri.

Derfor vil jeg heller ikke stå på mål for, at databeskyttel-

sesreglerne udelukker, at oplysninger, som en kommune

har modtaget i én sammenhæng, ikke kan bruges i en an-

den sammenhæng i kommunen. F.eks. for at kontrollere

for socialt bedrageri.

Selvfølgelig skal man ude i kommunerne f.eks. kunne

danne sig et overblik over, hvilke ydelser og indsatser en

borger modtager på tværs af forvaltningerne i kommu-

nen. Så selvfølgelig skal vores databeskyttelseslov un-

derstøtte, at kommunerne f.eks. kan

kontrollere

for soci-

alt bedrageri.

Med bestemmelsen vil vi samtidigt undgå, at én kom-

mune vurderer, at formålet er foreneligt, mens en anden

kommune vurderer, det er uforeneligt. Det stiller bor-

gerne forskelligt, og denne usikkerhed og vilkårlighed vil

jeg gerne til livs.

Og så vil jeg godt lige imødegå det billede, der har væ-

ret tegnet af, at der med en sådan bekendtgørelse er tale

om, at regeringen indfører overvågningssamfundet.

Hvis man udnytter bemyndigelsen i lovforslagets § 5,

stk. 3, skal man leve op til forordningens artikel 23. En-

hver bekendtgørelse

skal

således være i fuld overens-

stemmelse med EU-reglerne. Det betyder, at man i be-

kendtgørelsen specifikt skal regulere, hvilke formål der

må

ske videreanvendelse til, og hvilke formål, der

ikke

kan ske videreanvendelse til.

Der skal også i bekendtgørelsen fastsættes garantier, der

beskytter borgerne, såsom bestemmelser om, hvor lang

tid personoplysningerne må opbevares, ligesom der skal

fastsættes regler, som sikrer, at oplysninger ikke kan mis-

bruges eller tilgås ulovligt.

Derudover skal Datatilsynet som uafhængig tilsynsmyn-

dighed på forhånd udtale sig om hver enkelt bekendtgø-

relse. Datatilsynet vil udtale sig om, hvorvidt bekendtgø-

relsen er i strid med EU-reglerne eller i øvrigt giver an-

ledning til betænkeligheder.

Og må jeg i den forbindelse ikke lige minde om, at Data-

tilsynet

ikke

i sit ellers fyldige høringssvar over lovfor-

slaget har haft indholdsmæssige bemærkninger til lovfor-

slagets § 5, stk. 3.

Og så må jeg også lige minde om, at bemyndigelsen kun

gælder offentlige myndigheders behandling af personop-

lysninger. Og i det offentlige gælder i forvejen en række

garantier, bl.a. i forvaltningsloven, som også sikrer, at

borgernes retssikkerhed respekteres. Disse garantier be-

røres på ingen måde af dette lovforslag.

Folk skal således også i fremtiden partshøres, inden der

træffes en afgørelse – f.eks. en afgørelse om, at de mister

retten til en ydelse, det har vist sig, at de ikke var beretti-

get til.

Jeg vil derudover henvise til, at vi i lovforslaget i øv-

rigt har sat nogle hegnspæle op for bekendtgørelserne ef-

ter § 5, stk. 3.

Det betyder, at der f.eks. ikke kan udstedes en bekendt-

gørelse, der strider mod en særlig lovbestemt tavsheds-

pligt, som vi har vedtaget her i Folketinget. F.eks. sund-

hedslovens § 40 om sundhedspersoners tavshedspligt og

folkeskolelovens § 55 b om tavshedspligt omkring testre-

sultater.

Vi kan således ikke i en bekendtgørelse ændre på f.eks.

vores praktiserende lægers tavshedspligt. Det ville kræve

en lovændring.

[Lovforslagets § 23 – samme myndighed skal ikke op-

fylde oplysningspligt

igen]

Jeg er også blevet spurgt til lovforslagets § 23. Det er

en regel om, at når der

udstedt en bekendtgørelse efter

§ 5, stk. 3, og en myndighed har viderebehandlet oplys-

ninger med baggrund i bekendtgørelsen, er det ikke nød-

vendigt, at den

samme

myndighed

igen

giver sig til kende

over for den pågældende borger.

Myndigheden har allerede én gang givet sig til kende og

opfyldt sin såkaldte oplysningspligt, nemlig i forbindelse

med den første behandling. Og det er efter § 23 altså ikke

nødvendigt at give disse oplysninger igen.

Til gengæld sker videreanvendelsen på baggrund af en

ministergodkendt bekendtgørelse, der lever op til alle de

retsgarantier, som jeg tidligere var inde på.

Det finder jeg fuldt ud forsvarligt. Det er faktisk ikke så

dramatisk. Vi snyder ikke folk – de er jo én gang blevet

orienteret om, at myndigheden behandler oplysninger

om dem. Man er altså som borger i denne situation fuldt

ud bekendt med, at den pågældende myndighed har regi-

streret oplysninger om én. Ved videreanvendelse i

samme myndighed sikres deres rettigheder i bekendtgø-

relsen.

Til gengæld skal borgeren ikke forstyrres med en ny ori-

enteringsskrivelse om, at nu behandler kommunen de

samme oplysninger i en anden sag, ligesom kommunen,

der har behandlet oplysninger i en sag om én social

ydelse, ikke skal sende et nyt brev til borgeren om, at op-

lysningerne nu behandles i en anden social sag om bor-

geren.

Det bidrager til en mere effektiv offentlig forvaltning, og

det passer mig fint. Jeg foretrækker, at socialrådgiveren

bruger sin tid på at behandle sagen og ikke at sende rene

orienteringsbreve.

Hvis der videregives oplysninger til en

anden

myndig-

hed, skal denne anden myndighed selv sikre sig, at bor-

geren bliver underrettet om, at der nu er en ny myndig-

hed på banen. Lovforslagets § 23 handler

alene

om vide-

reanvendelse inden for

samme

myndighed.

Det bliver hurtigt meget teknisk, og jeg vil derfor også

henvise Retsudvalget til mit svar på udvalgets spørgsmål

4, men også svarerne på spørgsmål 20 og 37.

Men samlet set vil jeg gerne understrege, at der altså er

tale om en ganske snæver undtagelse.

[Tilsagn om opfølgning på lovforslagets § 5, stk. 3]

Jeg er med på, at lovforslagets § 5, stk. 3, har fået no-

get opmærksomhed, og at der er en vis skepsis om be-

stemmelsen. Det er helt fair.

Som vi har tilkendegivet allerede i lovforslaget, vil Ju-

stitsministeriet da også løbende overvåge brugen af be-

myndigelsen i lovforslagets § 5, stk. 3, forstået på den

måde, at ministeriet vil føre en liste over bekendtgørelser

udstedt i medfør af bestemmelsen.

Jeg vil i forlængelse heraf i dag da også gerne give til-

sagn om, at vi i Justitsministeriet et par år efter, at den

nye databeskyttelseslov er trådt i kraft, sender en

evalu-

ering

til Folketinget om, hvordan bemyndigelsen i § 5,

stk. 3, er blevet brugt og har fungeret i praksis. Så kan

man tegne sig et billede af bestemmelsen efter, at den har

fungeret ude i virkeligheden et stykke tid. En sådan eva-

luering kunne passende falde i begyndelsen af folketings-

året 2020-2021.

[Afslutning]

. Tak for ordet.