EU´s persondataforordning træder i kraft i morgen – fredag den 25. maj. Forordningen styrker bl.a. den enkelte persons ret til indsigt i oplysninger om egne forhold (egen acces). Den nye danske persondatalov gør derimod ikke, men forordningens minimumskrav skal respekteres.
Anvendelsen af persondata er øget eksplosivt både hos myndigheder og private virksomheder. Egen acces er derfor afgørende for vore muligheder for at kontrollere, hvilke oplysninger myndigheder og virksomheder indsamler og anvender. Egen acces kan desuden give grundlag for at bruge forordningens rettigheder om korrektion, flytning og sletning.
Til forskel fra det gamle EU-direktiv gælder forordningen direkte i de enkelte lande. Den omfatter ligesom direktivet offentlige myndigheder, organisationer og private virksomheder – både små og større og meget store som Facebook.
Forordningen pointerer, at den også omfatter automatiske behandlinger af persondata f.eks. samling af oplysninger til personprofiler, der bruges som grundlag for mere eller mindre automatiserede beslutninger.
Læs forordningen med indledende betragtninger i præamblen
Egen acces omfatter både persondata og information om anvendelse
Forordningens art. 15 fastslår retten til egen acces og sikrer ret til kopi af de data om personen, den dataansvarlige myndighed, organisation eller virksomhed råder over.
Retten til egen acces omfatter desuden supplerende information om:
- myndighedens eller virksomhedens formål med at råde over oplysningerne,
- enhver tilgængelig information om, hvorfra oplysningerne stammer,
- modtagere af oplysninger,
- anvendelse til automatiske beslutninger herunder profilering, som minimum med meningsfulde oplysninger om logikken heri samt betydningen og forventede konsekvenser,
- tidsrummet for opbevaring om muligt og ellers kriterier for fastlæggelse af tidsrummet,
- retten til anmode om korrektioner, sletning eller begrænsninger for anvendelse,
- klageadgang
Sammenlignet med det gamle direktiv er det nyt, at dataansvarlige skal give oplysninger om de enkelte modtagere og ikke kun om kategorier af modtagere. Det er også nyt, at dataansvarlige skal informere om opbevaringsperioden og om retten til korrektion, sletning og klageadgang.
Begrænsninger
Forordningens art. 23 fastsætter rammerne for de begrænsninger af retten til egen acces og andre rettigheder, der kan fastsættes ved særlige EU-regler eller nationale regler. Begrænsninger skal respektere det væsentligste indhold af de grundlæggende rettigheder og skal kunne begrundes som nødvendige og forholdsmæssige i et demokratisk samfund.
Sådanne begrænsninger kan fastsættes ved for at varetage hensyn til:
- statens sikkerhed og forsvaret,
- den offentlige sikkerhed,
- forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed,
- andre vigtige generelle samfundsinteresser navnlig økonomiske eller finansielle interesser herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed,
- forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv,
- kontrol-. tilsyns- eller reguleringsfunktioner, der er forbundet med offentlig myndighedsudøvelse i de oven for nævnte tilfælde,
- beskyttelse af retsvæsenets uafhængighed og retssager,
- beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og
- håndhævelse af civilretlige krav.
Begrænsninger forudsætter præcisering af retsgrundlag
Det er nyt, at art. 23, stk. 2 supplerer med en række vigtige minimumskrav til præcisering af begrænsninger, der kan fastsættes f.eks. ved national lov. Det gælder krav til præcisering af formålene, kategorier af personoplysninger, rækkevidden af begrænsninger, garantier for at undgå misbrug, specifikation af dataansvarlige eller kategorier af dataansvarlige, opbevaringsperioder, risici for registreredes rettigheder og retten til at blive underrettet om begrænsninger, medmindre det kan skade begrænsningens formål.
Forordningens rammer for begrænsninger gælder for alle rettigheder: oplysning fra dataansvarlige ved indsamling, egen acces, korrektion, sletning, begrænsning af behandling, flytning (dataportabilitet), indsigelser mod behandlinger og automatiske beslutninger herunder profilering. Enkelte elementer i forordningens krav til præcisering kan være uden relevans ved nogle af rettighederne. Ved begrænsninger af egen acces har alle forordningens minimumskrav til præcisering klar relevans.
Ny persondatalov
Den nye danske persondatalov blev 17. maj vedtaget af Folketinget med usædvanlige stemmetal: 55 stemmer for (S, V, LA, KF), 0 stemmer imod, og 46 stemmer hverken for eller imod forslaget (DF, EL, ALT, RV, SF).
Lovens officielle titel er: Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven). Læs loven
Den nye danske lov kunne præcisere og forklare de begreber, forordningen anvender om egen acces, men det gør den ikke. Loven kopierer forordningens rammer for begrænsninger uden forklaringer og uden de præciseringer, forordningen kræver.
Den danske lov har flere begrænsninger for egen acces end EU-forordningen:
For det første har loven en tilføjelse ved kopieringen af de hensyn, der ifølge forordningen kan begrunde begrænsninger. Forordningens liste over de hensyn får i loven en tilføjelse (“navnlig til”), der signalerer, at flere hensyn (uden nogen angivelse) kan begrunde begrænsninger af egen acces (§ 22, stk. 2).
For det andet har loven en regel om afgørende hensyn til private interesser, herunder hensynet til den pågældende selv (§ 22, stk. 1). I lovforslagets bemærkninger nævnes eksempler på mulige begrænsninger for at beskytte kommercielle interesser efter konkret vurdering bl.a.: oplysninger, der bruges til beslutninger om kontrakter, og mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller har forsøgt at unddrage sig en forpligtelse f.eks. i en lånekontrakt. Vedrørende information om automatiske afgørelser, herunder profilering nævner lovforslagets bemærkninger, at dataansvarlige ikke er forpligtede til at udlevere oplysninger, som må anses for at være forretningshemmeligheder. Se lovforslagets bemærkninger til § 22
Der er ikke holdepunkter i forordningen for at beskytte kommercielle interesser med sådanne bredt formulerede begrænsninger (jf. art. 23, stk. 2 og præamblens betragtninger 63 og 73).
For det tredje tilføjer den danske lov, at offentlige myndigheder kan bruge offentlighedslovens undtagelser (§ 22, stk. 3). Det holder slet ikke. Offentlighedslovens generelle undtagelser for interne dokumenter, ministerbetjening, lovgivningssager og udveksling med folketingsmedlemmer strider mod forordningen. Det samme gør offentlighedslovens generalklausul om undtagelser for “private og offentlige interesser” (§ 33, nr. 5).
Hvordan opnås egen acces
En person, der vil have indsigt i oplysninger sig selv, skal rette henvendelse herom til den dataansvarlige myndighed, organisation eller private virksomhed. Det er muligt at give en anden f.eks. en journalist fuldmagt til at søge og modtage oplysningerne.
Offentlighedslovens § 8 giver også ret til egen acces, men fremover er det oplagt at henvise til forordningen også ved anmodninger om indsigt ved kommuner, ministerier og andre offentlige forvaltninger.
Der er ikke særlige krav til anmodninger om egen acces. En person kan anmode om alle oplysninger, den dataansvarlige har om vedkommende med supplerende information jf. forordningens art.15.
Hvis en dataansvarlig behandler en stor mængde oplysninger om den pågældende, kan den dataansvarlige anmode om præcisering af hvilken information eller aktiviteter, anmodningen vedrører. For at lette arbejdet kan det være fornuftigt, at personen præciserer på eget initiativ.
Den dataansvarlige skal træffe rimelige foranstaltninger for at sikre den rette identitet på en person, der anmoder om egen acces bl.a. i forbindelse med onlinetjenester.
Oplysninger skal leveres uden unødig forsinkelse og senest 1 måned efter modtagelsen. Ved begrundet underretning kan fristen dog forlænges til 2 måneder, hvis det er nødvendigt på grund af anmodningens kompleksitet og omfang (art. 12, stk. 3).
Forordningens krav til hurtighed er svagere end offentlighedslovens krav om afgørelse snarest og som hovedregel inden syv arbejdsdage. Det retsgrundlag, der giver den bedste retsstilling for borgeren skal anvendes. Ved anmodning om egen acces hos offentlige forvaltninger kan det derfor være klogt at henvise til offentlighedslovens § 36, stk. 2.
Når anmodning om indsigt er sendt elektronisk, skal oplysninger udleveres elektronisk typisk pr. mail, medmindre der er anmodet om anden form.
Egen acces skal være gratis. Forordningen har blot en undtagelse for åbenbart grundløse og overdrevent gentagne anmodninger (art. 12, stk. 5). Desuden kan kræves et gebyr baseret på administrative omkostninger, hvis der anmodes om flere kopier af de samme data (art. 15, stk.3). Det er nyt, at egen acces ved private organisationer og organisationer skal være gratis.
Begrænsninger skal bygge på konkret afvejning
Afvisning eller beskæring af egen acces skal bygge på konkret afvejning af de modstående interesser. Afvejningen skal foretages for hver enkelt oplysning for sig.
Konkrete begrænsninger kan ikke bygge på hypotetiske risici, men kræver nærliggende risici for væsentlig skade.
Hensynet til begrænsning skal afvejes mod hensynet til egen acces. Dette betyder bl.a., at den dataansvarlige skal overveje, hvilke risici der er forbundet med begrænsning af indsigtsretten f.eks. om der vil være en risiko for, at de indsamlede oplysninger er forkerte. Der skal lægges vægt på personens interesse i at kunne kontrollere oplysningers rigtighed.
Klage til Datatilsynet
Forordningen stiller krav om effektive tilsyns- og klageorganer, der har de nødvendige kompetencer og sanktionsmuligheder (art. 51 – 59).
I Danmark vil Datatilsynet fortsat være tilsyns- og klageorgan. Datatilsynet kan forlange adgang til oplysninger hos dataansvarlige, træffe bindende afgørelser og give påbud. Overtrædelse af forordningen er strafbare. Datatilsynet har mulighed for at afgøre en sag med bødeforelæg, hvis den dataansvarlige erkender lovovertrædelsen og er villig til at betale. Ellers skal Datatilsynet anlægge retssag for at få sagen afgjort med straf (loven § 39 – 43).
Datatilsynet skal bl.a. behandle klager over afvisninger eller mangelfulde oplysninger ved egen acces. Klager sendes direkte til Datatilsynet f.eks. pr. mail med henvisning til forordningens regler for egen acces. Det letter arbejdet, hvis dokumentation for anmodningen om aktindsigt og evt. skriftligt afslag bliver vedhæftet.
Forordningen næver udtrykkeligt, at en person har ret til at bemyndige en non profit organisation til at varetage sine interesser bl.a. ved klager (art. 80).
Klager over private virksomheder og organisationers afslag eller beskæring af egen acces kan kun rettes til Datatilsynet.
Klager over offentlige myndigheder kunne også rettes til klageorganerne efter offentlighedsloven, men de har hverken Datatilsynets ekspertise i forordningens krav eller effektive midler til gennemførelse. Jeg anbefaler at bruge Datatilsynet – også ved klager over offentlige forvaltninger f.eks. kommuner og ministerier.
Datatilsynets afgørelser kan ikke indbringes for andre administrative organer, men det er ikke udelukket at Folketingets Ombudsmand kan vurdere en sag. Datatilsynets afgørelser kan indbringes for domstolene, der i så fald kan stille spørgsmål til EU-domstolen.
Det Europæiske Databeskyttelsesråd har til opgave at sikre ensartet anvendelse af forordningen i hele EU (art. 70). Databeskyttelsesrådet kan både rådgive og udstede retningslinjer.
Sager om egen acces er ikke en ny opgave for Datatilsynet, men der er grund til at forvente mange flere sager fremover. Forordningen gælder direkte, den styrker retten til egen acces med nye krav til præcisering af begrænsninger, den giver gratis acces både i den offentlige og private sektor og den styrker mulighederne for effektiv håndhævelse.
Andre emner
Forordningen respekterer pressefrihed og nationale regler om offentlighed. Se tidligere blog herom
Forordningen kræver et retsgrundlag for aktiv information f.eks. postlister. Myndigheders retningslinjer efter offentlighedslovens § 17 kan give offentlige forvaltninger et sikkert retsgrundlag. Se tidligere blog herom
Skriv et svar