24. maj  2006	Vedrørende høring over forslag til lov om ændring af lov om fødevarer og lov om næringsbrev til fødevarebutikker

 

 

Ved e-post af 17. maj 2006 har Fødevarestyrelsen anmodet om Datatilsynets bemærkninger til et foreløbigt udkast til forslag til lov om ændring af lov om fødevarer og lov om næringsbrev til fødevarebutikker.

 

Der er indhentet supplerende oplysninger telefonisk.

 

På baggrund af den korte høringsfrist har Datatilsynet umiddelbart følgende bemærkninger:

 

1. Det følger af udkastets § 1, nr. 2, at der i lov om fødevarer foreslås indsat et nyt § 54, stk. 5, hvorefter et laboratorium, der udfører analyser efter fødevarelovgivningen, efter anmodning fra tilsynsmyndigheden skal give alle oplysninger om analyseresultater, fødevaren og om den virksomhed, analyserne er udført for, der er nødvendige i forbindelse med eftersporing af udbrud.

 

Datatilsynet går umiddelbart ud fra, at der – idet omfang der måtte være tale om indhentelse af personoplysninger, herunder oplysninger om enkeltmands-ejede virksomheder – alene vil blive indsamlet almindelige ikke-følsomme oplysninger, og at dette vil være inden for rammerne af persondataloven[1].

 

Såfremt det med bestemmelsen tilsigtes, at der skal ske videregivelse af følsomme oplysninger, herunder f.eks. helbredsoplysninger om smittede personer, oplysninger om strafbare forhold mv., skal Datatilsynet anbefale, at Fødevarestyrelsen overvejer, med hvilken hjemmel i persondatalovens § 7 henholdsvis § 8 dette kan ske.

 

Under alle omstændigheder forudsætter Datatilsynet, at persondataloven respekteres, herunder de materielle betingelser for behandlings lovlighed, kravene om datasikkerhed og de registreredes rettigheder.

 

2. Det følger af udkastets § 1, nr. 3, at der i lov om fødevarer foreslås indsat en ny § 54a, hvorefter ministeren for familie- og forbrugeranliggender kan indhente de oplysninger hos andre offentlige myndigheder, der er nødvendige for at kontrollere, at fødevarelovgivningen overholdes, bl.a. med henblik på registersamkøring og sammenstilling af oplysninger i kontroløjemed, herunder oplysninger om skatteforhold.

 

Af de almindelige bemærkninger til lovforslaget fremgår det af pkt. 3.3, at ”af hensyn til en effektiv kontrol bør der skabes mulighed for indhentning af oplysninger fra andre offentlige myndigheder, og herunder mulighed for samkøring og sammenstilling af data til kontrolformål. Det foreslås således, at ministeren for familie- og forbrugeranliggender tillægges denne mulighed. Bestemmelsen indebærer bl.a., at ministeren kan bestemme, hvilke oplysninger, herunder fortrolige oplysninger, som andre offentlige myndigheder skal udlevere.”

 

Datatilsynet skal bemærke, at andre myndigheders mulighed for at udlevere oplysninger er underlagt de begrænsninger, der følger af persondataloven. Der kan herved bl.a. henvises til grundprincipperne i persondatalovens § 5, stk. 2, om formålsbestemthed og behandlingsreglerne i lovens §§ 6, 7 og 8. Det er den udleverende myndighed, der i forhold til persondataloven har ansvaret for, at lovens regler respekteres. Datatilsynet skal derfor anbefale, at den i lovforslagets anvendte formulering ændres eller udelades.

 

Såfremt formuleringen opretholdes i sin nuværende form, skal Datatilsynet henstille, at Fødevarestyrelsen foretager en vurdering af den foreslåede ændrings forenelighed med persondataloven og persondatabeskyttelsesdirektivet[2], og at denne vurdering indgår i bemærkningerne.

 

Af de almindelige bemærkninger til lovforslaget fremgår endvidere, at ”bestemmelsen tænkes primært brugt til at indhente oplysninger om skatteforhold, men den kan efter en konkret vurdering også kunne blive anvendt med hensyn til oplysninger fra andre offentlige myndigheder. Under alle omstændigheder vil der i hvert enkelt tilfælde skulle foretages en vurdering af behovet for indhentning af oplysninger fra andre myndigheder. Herudover tilstræbes det, at sagsbehandlere kun får adgang til de nævnte systemer, i det omfang det er absolut påkrævet for deres opgavevaretagelse. Der vil i denne forbindelse blive taget skridt til at begrænse denne adgang elektronisk.”

 

Datatilsynet har noteret sig, at Fødevarestyrelsen telefonisk har oplyst, at der ikke er tale om, at de sagsbehandlere, der er beskæftiget med kontrollen, får elektronisk adgang til andre myndigheders elektroniske systemer.

 

Datatilsynet skal endvidere bemærke, at tilsynet i sin praksis forudsætter, at myndigheder i forbindelse med sammenstilling og samkøring i kontroløjemed bl.a. har et klart og utvetydigt retsgrundlag at arbejde på, og at de personer, der berøres af kontrolordningen, skal have forudgående information om kontrolordningen, jf. persondatalovens § 5, stk. 1.

 

Mulighederne for at foretage sammenstilling og samkøring i kontroløjemed svarer således til den praksis, som var gældende før persondatalovens ikrafttræden, og som er kommet til udtryk ved en tilkendegivelse fra flertallet i Retsudvalget i betænkning af 16. maj 1991 over forslag til lov om ændring af lov om offentlige myndigheders registre (L 50). Det er her forudsat, at myndighederne i forbindelse med samkøring i kontroløjemed har et klart og utvetydigt retsgrundlag at arbejde på, og at myndighederne kun lader kontrolordningen tage sigte på fremtidige forhold, medmindre særlige forhold gør sig gældende. Flertallet lagde vægt på, at de borgere, som berøres af en kontrolordning, i almindelighed gøres opmærksom på myndighedernes adgang til at foretage samkøring i kontroløjemed, inden kontrollen iværksættes, og at samkøringen så vidt muligt kun finder sted, hvis de personer, der omfattes af kontrollen, har fået meddelelse om kontrolordningen, inden de afgiver oplysninger til myndigheden.

 

Sammenstilling og samkøring i kontroløjemed forudsætter endvidere, at behandlingen anmeldes til Datatilsynet, jf. §§ 43-44, samt at tilsynets udtalelse

indhentes, forinden behandlingen iværksættes, jf. § 45, stk. 1, nr. 4.

 

Det er i øvrigt Datatilsynets opfattelse, at antallet af sagsbehandlere, som er

beskæftiget med sammenstilling og samkøring i kontroløjemed, skal begrænses mest muligt.

 

Med hensyn til tilrettelæggelsen af sagsbehandlingen hos kontrolmyndigheden kan Datatilsynet generelt henvise til persondatalovens § 41, stk. 3, samt sikkerhedsbekendtgørelsen[3] og vejledningen[4] hertil.

 

Af sikkerhedsbekendtgørelsens § 11 fremgår, at kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Efter § 11, stk. 2, må der kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Efter bestemmelsens stk. 3 må der endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.

    

I medfør af sikkerhedsbekendtgørelsens § 12, skal der træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.

 

Datatilsynet forudsætter, at Fødevarestyrelsen iagttager persondatalovens sikkerhedsregler fra ordningens iværksættelse. Datatilsynet skal derfor foreslå, at sætningen ”Der vil i denne forbindelse blive taget skridt til at begrænse denne adgang elektronisk” ændres til ”Der vil inden ordningen iværksættes blive etableret en løsning, hvor denne adgang begrænses elektronisk”. Alternativt kan der i lovforslaget i stedet henvises til, at adgangen til oplysningerne vil blive tilrettelagt i overensstemmelse med persondatalovens sikkerhedsregler.

 

3. Det følger af udkastets § 2, nr. 2, vedrørende ændring af § 1, stk. 1, i lov om næringsbrev til fødevarebutikker, at loven finder anvendelse ved enhver selvstændig erhvervsvirksomhed med detailsalg af fødevarer eller med øvrig produktion, tilvirkning eller distribution af fødevarer efter primærproduktionen.

 

Det fremgår af bemærkningerne til § 2, nr. 2, at den foreslåede bestemmelse udvider lovens anvendelsesområde fra kun at omfatte virksomheder, der udøver detailsalg af fødevarer, til alle, der har en erhvervsvirksomhed med salg af fødevarer i alle led efter primærproduktionen. Derved bliver også salg af varer til andre næringsdrivende til videresalg eller forarbejdning omfattet. Derimod er produktionsleddet ikke omfattet.

 

Det er Datatilsynets opfattelse, at udvidelsen af lovens anvendelsesområde kan medføre, at der vil ske en – formentlig ikke ubetydelig – udvidelse af den personkreds, der kan blive omfattet af Erhvervs- og Selskabsstyrelsens ”Overtrædelsesregister for personer med næringsbrev”, jf. lov om næringsbrev til fødevarebutikker § 7.

 

Datatilsynet kan i den forbindelse henvise til tilsynets udtalelse af 4. maj 2004 vedrørende høring i forbindelse med forslag til lov om næringsbrev til fødevarebutikker. Kopi af udtalelsen er vedhæftet.

 

Datatilsynet skal på den baggrund anbefale, at det i bemærkningerne til lovforslaget tydeliggøres, at ændringen kan medføre en udvidelse af den personkreds, der kan blive omfattet af det omtalte register.

 

4. Det bemærkes for god ordens skyld, at det følger af persondatalovens § 57, at der ved udarbejdelse af bekendtgørelser, cirkulærer eller lignede generelle retsforskrifter, der har betydning for beskyttelse af privatlivet i forbindelse med behandling af personoplysninger, skal indhentes en udtalelse fra Datatilsynet.

 

Kopi af dette brev er dags dato sendt til Justitsministeriet til orientering.

 

 

Med venlig hilsen

 

 

Jens Harkov Hansen