Justitsministeriets betænkning om databeskyttelsesforordningen

03 juli 2017

EU-landene vedtog den 14. april 2016 en databeskyttelsespakke, som primært bestod af databeskyttelsesforordningen. Justitsministeriet har i den forbindelse udgivet en betænkning nr. 1565, der analyserer forordningens betydning for dansk lovgivning.

Justitsministeriet konkluderer i betænkningen, at forordningen i vidt omfang svarer til den gældende retstilstand efter persondataloven. Forordningen medfører dog stadig en lang række ændringer i den gældende retstilstand, hvoraf nogle af de vigtigste ændringer vil blive nævnt i denne artikel.

Privacy by design/default

Som noget helt nyt stiller databeskyttelsesforordningen krav til databeskyttelse gennem design og gennem standardindstillinger. Forordningen forpligter den dataansvarlige til at træffe tekniske og organisatoriske foranstaltninger, der er designet og forudindstillet til at opfylde kravene i forordningen.

Ifølge betænkningen skal kravene forstås bredt, så det både omhandler de tekniske foranstaltninger som it-infrastruktur, men også måden hvorpå den dataansvarlige organisatorisk er indrettet. Derfor havde det nok været bedst, om kravet var oversat til "som udgangspunkt" i stedet for "standardindstilling", idet dette henleder tanken på noget udelukkende teknisk. Forpligtelsen indtræder allerede fra "tidspunktet for fastlæggelse af midlerne til behandling." Det indebærer således både en overvejelsesforpligtelse og en håndteringsforpligtelse.

Den dataansvarlige efterlades et væsentligt råderum til at vurdere og fastlægge foranstaltningerne, som er nødvendige under hensynstagen til omkostningerne kontra sandsynligheden for sikkerhedsbrud.

Den dataansvarlige har en forpligtelse til at overveje, hvordan alle forordningens bestemmelser bedst efterleves ved design af it-systemers tekniske indretning og brugergrænseflade. Når den dataansvarlige således køber en it-løsning, vil den dataansvarlige kunne løfte opgaven ved at efterspørge løsninger, som overholder forordningens relevante bestemmelser. Ligeledes fremgår det, at offentlige myndigheder bør "tage hensyn til databeskyttelse gennem design og standardindstillinger i forbindelse med offentlige udbud".

It-systemer skal sikre mulighed for udøvelse af datasubjektets ret til indsigt, dataportabilitet og begrænsning af behandling. Justitsministeriet antager dog, at den dataansvarlige i stedet delvist kan afhjælpe situationen ved at implementere organisatoriske foranstaltninger. Ældre systemer behøver således ikke at blive redesignet, hvis det har uforholdsmæssigt store omkostninger, og organisatoriske foranstaltninger i stedet kan opfylde kravet.

Databeskyttelse gennem standardindstillinger er en tilføjelse til beskyttelse gennem design med det formål at sikre, at den dataansvarlige gør "den mest formålsbegrænsende indstilling af systemet til standardindstillingen."

Standardindstillingskravet i forordningen omfatter ifølge Justitsministeriet f.eks. at apps, når brugeren downloader appen, skal sikre, at appen via standardindstillinger ikke indsamler flere personoplysninger i forhold til appens formål end højst nødvendigt.

Sikkerhedsforanstaltninger

Forordningens krav til sikkerhedsforanstaltninger har i vidt omfang samme ordlyd som direktivets, hvorfor der er en formodning om, at bestemmelserne vil resultere i samme krav til sikkerhed. Det klare udgangspunkt i forordningen er, at "behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder". I den forbindelse skal der af dataansvarlige og databehandlere gennemføres passende tekniske og organisatoriske foranstaltninger for at begrænse disse risici.

Forordningen supplerer direktivets bestemmelse ved at komme med beskrivelser af foranstaltningerne, der kan anvendes i sikkerhedsmæssige sammenhænge. Databeskyttelsesforordningen art. 32, stk. 1, litra a-d, er eksempler på foranstaltninger, der kan gennemføres under hensyn til forbundne risici, såfremt det måtte være relevant. Litra a-d er derved ikke en udtømmende liste, og andre foranstaltninger kan ligeledes være nødvendige. Databeskyttelsesforordningen bliver herved den nye ramme for behandlingssikkerhed, da justitsministerens bemyndigelse til at fastsætte nærmere generelle regler for sikkerhedsforanstaltninger udgår.

Forordningen anvender en risikobaseret tilgang til behandlingssikkerhed, som også kendes i dag fra forskellige guidelines, f.eks. informationssikkerhedsstandarden ISO 27001.

Kravene til den dataansvarliges gennemførelse af passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau giver anledning til overvejelser om, hvordan den dataansvarlige på bedste vis griber opgaven an. Justitsministeriet har i den sammenhæng udarbejdet en vejledning bestående af fire trin, som den dataansvarlige bør inddrage i sine overvejelser.

1. Identifikation og vurdering af risici

Den dataansvarlige skal forsøge at identificere risiciene, som behandlingen udgør for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet har i denne forbindelse publiceret en række vejledninger i form af it-sikkerhedstekster, der belyser og tematiserer udfordringerne forbundet med behandling af personoplysninger.

2. Identifikation af mulige foranstaltninger

Efter den dataansvarlige har konstateret, hvilke risici der skal imødegås, skal den dataansvarlige tage stilling til, hvilke foranstaltninger der kan være relevante i den aktuelle behandlingssituation. Den dataansvarlige kan i denne forbindelse søge vejledning i ISO 27001-standardens anneks A, der beskriver en række kontrolmål og kontroller, som modsvarer foranstaltninger, der kan træffes. I forhold til selve foranstaltningerne kan der igen søges vejledning i Datatilsynets it-sikkerhedstekster.

3. Gennemgang af hvilke foranstaltninger der imødegår relevante risici, så et passende sikkerhedsniveau opnås

Kombinationen af foranstaltninger, som den dataansvarlige bør tage i betragtning, er, udover risikoen, (i) hvordan selve behandlingen af personoplysninger foregår, (ii) midlerne der anvendes til behandlingen samt (iii) den konkrete kontekst behandlingen foregår i. I forbindelse med hvilke kombinationer, som bedst imødegår en risiko, kan den dataansvarlige passende anvende Datatilsynets grundprincipper såsom isolation, adskillelse og forsvar i dybden, se hertil denne afgørelse fra Datatilsynet vedr. sikkerhedsbrud på Rigspolitiets database.

4. Implementering af de foranstaltninger som det besluttes at gennemføre:

På baggrund af overvejelserne i punkt 1-3 afgør den dataansvarlige hvilke foranstaltninger, som skal gennemføres for at sikre det fornødne sikkerhedsniveau. Overvejelserne bør generelt foretages regelmæssigt, ligesom den dataansvarlige kan anvende overvejelserne, hvis der opstår behov for at foretage en konsekvensanalyse i forbindelse med etablering af nye behandlinger eller væsentlige ændringer i de eksisterende.

Sletningsfrister

Urigtige eller vildledende oplysninger skal i henhold til persondataloven slettes snarest muligt, hvorimod det i den nye forordning skal ske straks. Justitsministeriet fastlår, at ændringen medfører, at personoplysninger i fremtiden slettes med det samme.

Indsamlede oplysninger må fortsat ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end nødvendigt. Den dataansvarlige opfordres således stadig til at indføre tidsfrister for sletning eller periodisk gennemgang af oplysningerne.

I tråd med resten af forordningen ændres kravene, så den dataansvarlige ikke længere blot skal overholde kravene, men også kunne dokumentere dette.

Krigsreglen

Det har længe stået som et åbent spørgsmål, hvad der ville ske med krigsreglen, når databeskyttelsesforordningen trådte i kraft. Betænkningen giver dog ikke noget endegyldigt svar herpå og fastslår blot, at det stadig vil være muligt at opretholde krigsreglen, så længe hensynet bag reglen er varetagelse af statens sikkerhed.

Justitsministeriet angiver dog, at der er sket så væsentlig en udvikling rent teknologisk, at den fysiske driftsafvikling i Danmark ikke længere nødvendigvis er tilstrækkelig for at sikre bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Det kan derfor tænkes, at reglen alligevel vil blive ændret i hvert fald med hensyn til at anvende en anden sikkerhedsmodel.

Forpligtelsen til at udpege en databeskyttelsesrådgiver

Som noget helt nyt medfører databeskyttelsesforordningen en forpligtelse hos private dataansvarlige, og i en række tilfælde databehandlere, til at udpege en databeskyttelsesrådgiver (Data Protection Officer).

En privat dataansvarlig eller databehandler er forpligtet til at udpege en databeskyttelsesrådgiver, når de er omfattet af ét af de tre tilfælde i artikel 37, stk. 1, litra b-c. For private vil det være, når deres kerneaktivitet består af behandlingsaktiviteter, "der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang", eller hvis kerneaktivitet består af behandling af særlige kategorier af personoplysninger, f.eks. helbredsoplysninger.

I henhold til begrebet "kerneaktivitet" er det ikke tilstrækkeligt, at virksomheden som en del af deres foretagende regelmæssigt behandler personoplysninger. Den dataansvarlige eller databehandleren skal tilbyde et produkt, som består i behandling af personoplysninger, før behandling af personoplysninger anses som hovedaktivitet og derved er omfattet af begrebet kerneaktivitet.

Behandlinger, som er uløseligt forbundet med behandling af persondataoplysninger, anses dog for at være omfattet af begrebet "kerneaktivitet". Et privathospital, hvis produkt er at udbyde patientbehandling, vil basere sin aktivitet på behandling af særligt personfølsomme personoplysninger i en sådan grad, at de må anses for at være uløseligt forbundet med kerneaktiviteten. Tilsvarende vil forsikringsselskaber ofte være omfattet i forbindelse med deres risikovurderinger, mens fx privatskoler eller produktionsvirksomheder typisk ikke vil være omfattet.

Behandlingen skal samtidig foretages i stort omfang, hvilket efter ordlyden både kan henvise til mængden af oplysninger samt antallet af personer, hvis oplysninger behandles. En behandling af patientdata på et hospital vil således ses som stort omfang, hvorimod en lægepraksis med et begrænset antal læger tilknyttet højst sandsynligt ikke vil blive omfattet.

Overvågning i stort omfang omfatter ifølge betænkningen, som i øvrigt henviser til bl.a. præambel 24 i forordningen, alle former for sporing via internettet, som navnligt har til formål at træffe beslutninger om datasubjektet eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger, hvor et aktuelt typeeksempel kunne være adfærdsbaseret annoncering. Det omfatter dog også andre former for overvågning, der ikke sker via internettet, fx videoovervågning i stort, systematisk og regelmæssigt omfang.

Såfremt en virksomhed opfylder alle kravene i enten litra b eller c, er virksomheden forpligtet til at udnævne en databeskyttelsesrådgiver. Det er muligt for flere private virksomheder at udpege en fælles databeskyttelsesrådgiver. Selvstændige konsulentfirmaer vil eksempelvis kunne varetage opgaven, så længe de overholder forordningens krav til stilling, opgaver, uafhængighed samt tilgængelighed.

Løbende udvikling af praksis

Betænkningen kommer ikke til at stå alene som fortolkningsbidrag, og den indeholder forslag til mulige løsninger ved tvivlstilfælde. Fortolkning af forordningen forventes ligeledes at blive udviklet gennem det Europæiske Databeskyttelsesråd og Datatilsynet. Samtidig vil de strengere krav og højere fokus formentlig medføre flere kendelser fra de danske domstole og EU-Domstolen.

Ministeriet vil ligeledes udarbejde en lang række vejledninger vedrørende forståelse af forordningen fra efteråret 2017, efter lovforslaget til den ny persondatalov forventes at være fremsat i Folketinget.