> Det kan ikke være rigtigt, at administrative problemer skal tilsidesætte en grundlæggende ret til oplysning om databehandling
Den nye danske databeskyttelseslov, som lige nu behandles i Folketinget, vil give ministre mulighed for at tillade helt nye samkøringer af registerdata – uden om Folketingssalen og uden pligt til at oplyse borgerne.
Pligten til at oplyse borgerne, hvis data bruges til nye formål, står angivet flere steder i EU’s persondataforordning, som databeskyttelsesloven skal ledsage, når de begge træder i kraft til maj.
Men ifølge Justitsministeriet ligger pligten en stor administrativ byrde over på myndigheder. Derfor kan oplysningspligten ignoreres, når ministre lader myndigheder genbruge data, oplyser justitsministeren i et svar til Folketinget.
Men det argument holder ikke vand, vurderer Catrine Søndergaard Byrne, der er jurist og partner i advokatfirmaet Labora Legal og en del af tænketanken DataEthics.
»Det kan ikke være rigtigt, at administrative problemer skal tilsidesætte en grundlæggende ret til oplysning om databehandling,« understreger hun.
»Det er jo et grundprincip, så man som individ ved, hvad der foregår med ens data. Og vi har som borgere ikke mulighed for at sige nej. Det er helt grundlæggende modstrid med, at vi som individer skal beskyttes af staten,« siger advokaten om lovforslaget, der blev præsenteret i oktober. Paragraf 5 stk 3 (forkortet) Uanset stk. 1 og 2 kan vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed.Regeringens forslag
Datavagthund: rimelig varsel inden data behandles
Også de europæiske datamyndigheder har en anden opfattelse af, hvordan oplysning og gennemsigtighed skal forstås i forhold til GDPR.
Myndighedernes samarbejdsorgan – Artikel 29-gruppen – skriver i et dokument med retningslinjer (Guidelines on Transparency under Regulation 2016/679), som blev offentliggjort onsdag, at personer skal have rimelig varsel, hvis data skal bruges til andre formål, end det originale.
»Dette giver data-subjektet de praktiske fordele af transparens, og tillader en meningsfuld mulighed til at overveje (og potentielt udøve deres ret i relation til) den videre behandling,« skriver gruppen blandt andet.
Artikel-29-gruppen understreger desuden, at principper om god databehandlingsskik dikterer, at man får en længere frist, jo større indgreb viderebehandlingen repræsenterer.
Endelig understreger de europæiske datamyndigheder, at »information om viderebehandling af data skal leveres inden den viderebehandling finder sted«
Ikke proportionelt
Ingen af ovenstående pointer er dog opfyldt med regeringens forslag om nye data-kombinationer. Tværtimod fremgår det af lovforslaget, at oplysningspligten kan ignoreres, når ministre med bekendtgørelser giver grønt lys til at sammenkøre offentlig data.
I Artikel 29-gruppens fortolkning, er der kun en enkelt undtagelse til oplysningspligten, hvis en myndighed har indhentet data selv, og det er hvis borgeren allerede har oplysningerne.
Hvis myndigheden får data andetsteds fra, er der flere undtagelser til pligten, som er indskrevet i persondataforordningen. Men de skal »fortolkes og implementeres snævert,« skriver Artikel-29-gruppen.
Og det er ikke tilfældet i denne sag, mener Catrine Søndergaard Byrne.
Det samme gælder den henvisning til Artikel 23 i GDPR, som regeringen bruger som ramme for den nye minister-beføjelse.
»Artikel 23 giver et råderum, men man skal altid forstå undtagelser indskrænkende,« siger Catrine Søndergaard Byrne og fortsætter:
»Som jeg læser de her undtagelsesbestemmelser, så skal det have et højere formål – det vil sige være nødvendigt og proportionalt for at beskytte vores demokratiske samfund – før du må afvige fra de øvrige principper.«
Fuldstændig modsat
Endelig fremgår det at viderebehandling af data til et formål, som ikke kan forenes med det originale formål, skal være udtrykkeligt fastsat ved lov.
Her mener Catrine Søndergaard Byrne også, at en praksis, hvor ministre kan bestemme gennem bekendtgørelser, er mangelfuld.
»Privatlivets beskyttelse er en grundrettighed og en del af grundloven. Så det kræver lovhjemmel at krænke den, og det er noget, vi som samfund beslutter. Vi har folkevalgte politikere, som forhandler og har diskussioner om, hvor grænsen går.« understreger hun.
»Det er fuldstændig modsat af, hvad der her foreslås, hvor en enkelt minister ensidigt bestemmer, hvornår privatlivet må krænkes,« slutter Catrine Søndergaard Byrne.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.