Regeringens nye databeskyttelseslov giver helt nye og udvidede beføjelser til ministre, der vil lade myndigheder bruge borgerdata til nye og urelaterede formål.
En paragraf i lovteksten, der lige nu behandles i Folketinget, giver samtlige ministre lov til at underskrive bekendtgørelser, der tillader myndigheder at samkøre data fra borgere – uden pligt til at informere selv samme borgere om, at det foregår.
Adskillige eksperter har over for Politiken forklaret, hvorfor paragrafen er problematisk.
»Det her er en ladeport for ministerielle regler, der uden reel demokratisk kontrol kan give adgang til hemmelig overvågning af den danske befolkning,« lyder vurderingen fra lektor i persondataret og forvaltningsret ved Aarhus Universitet Hanne Marie Motzfeldt til avisen.
Professor Peter Blume fra Københavns Universitet, der selv har siddet i en ekspert-referencegruppe forud for lovprocessen, kalder tiltaget en »svækkelse af borgernes databeskyttelse og retssikkerhed«.
Det må siges at være lettere ironisk, at målet for ovenstående krasse kritik kaldes Databeskyttelsesloven. Loven er et sæt supplerende bestemmelser til EU’s Persondataforordning – GDPR.
Forordningen blev vedtaget i 2015 og har med stærkere forbrugerrettigheder, kæmpebøder til data-syndere og principper som privacy-by-design i lovteksten varslet nye tider for databeskyttelse i unionen.
Undtagelser til reglen
Borgernes datarettigheder kan begrænses, hvis man »respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder«, og hvis det er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til: a) statens sikkerhed Paragraf 5 stk 3 (forkortet) Uanset stk. 1 og 2 kan vedkommende minister efter
Artikel 23
b) forsvaret
c) den offentlige sikkerhed
d) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
e) andre vigtige målsætninger i forbindelse med beskyttelse af unionens eller en medlemsstats generelle samfundsinteresser, navnlig unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
f) beskyttelse af retsvæsenets uafhængighed og retssager
g) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
h) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a) e) og g)
i) beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder
j) håndhævelse af civilretlige krav.Regeringens forslag
forhandling med justitsministeren og inden for rammerne
af databeskyttelsesforordningens artikel 23 fastsætte nærmere
regler om, at personoplysninger af offentlige myndigheder
må viderebehandles til andre formål, end de oprindeligt
var indsamlet til, uafhængigt af formålenes forenelighed.
Vi starter med loven, som den ser ud fra EU’s hånd.
Her fremgår det, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Så langt, så godt.
Der er dog undtagelser. For det første må man som databehandler viderebehandle data med et nyt formål, hvis det er foreneligt med det oprindelige formål.
For det andet kan EU-retten og den nationale lov »begrænse rækkevidden af de forpligtelser og rettigheder«.
Forordningens artikel 23 forklarer, at begrænsninger fx kan være nødvendige for rigets sikkerhed eller økonomiske interesser (se den fulde liste i boksen til højre).
Og det er netop denne artikel, som regeringen henviser til med lovforslagets kontroversielle § 5 stk. 3.
Her fremgår det, at en minister – i forhandling med justitsministeren – kan fastsætte regler for, hvordan myndigheder må viderebehandle og genbruge data til andre formål; uanset hvad det originale formål var.
Nye regler i bekendtgørelser
I et svar til Folketingets retsudvalg skriver justitsminister Søren Pape Poulsen:
»Baggrunden for forslaget er bl.a., at regeringen ønsker, at det offentlige kan videreanvende og genbruge data på en effektiv, åben og transparent måde, der stadig lever op til kravene om databeskyttelse.«
Loven skal – ifølge regeringen – sikre en effektiv datadeling, så borgere i højere grad kun skal give den samme oplysning én gang.
»Det giver samtidig medarbejdere i det offentlige mere tid til kerneopgaven og fremmer en mere sammenhængende offentlig sektor,« fremgår det.
Alt sammen skal foregå på bekendtgørelses niveau – og altså uden om Folketinget. Om den beslutning skriver ministeren:
»Regler fastsat efter lovforslagets § 5, stk. 3 må forventes ofte at blive af teknisk præget karakter, og på den baggrund er det nærliggende, at sådanne regler fastsættes i bekendtgørelsesform.«
Behøver ikke sige noget
Muligheden for at samkøre data på borgere – f.eks. for at afsløre socialt bedrageri – er ikke ny. Men med lovforslaget ændrer regeringen signifikant på, hvordan det vedtages.
På Datatilsynets hjemmeside fremgår det, at »samkøringer i kontroløjemed« – som manøvren formelt hedder – anses for acceptable, når de er vedtaget af Folketinget.
Det krav bliver altså med det nye lovforslag fjernet.
Det andet krav, som Datatilsynet lister, er, at »de berørte personer på forhånd informeres om, at kontrollen kan blive gennemført«. Også her lemper regeringens forslag på kravene:
»Set fra den dataansvarliges side kan den fornyede oplysningspligt, der nu følger af forordningens artikel 13, stk. 3, og artikel 14, stk. 4, opleves som administrativ byrdefuld. Samtidig synes det tvivlsomt, om en fornyet oplysningspligt i denne situation reelt vil skabe større retssikkerhed for den registrerede,« skriver ministeren.
På mere jordnært dansk: Det er for besværligt - og det hjælper alligevel ikke noget. Mener ministeren.
Derfor har regeringen indskrevet i lovforslagets § 23, at oplysningspligten ikke gælder, når ministrene tager § 5, stk. 3 i brug.
Fritagelsen for pligten gælder dog kun myndigheder, som tidligere har fået samtykke til databehandling fra borgeren (også selvom formålet på det tidspunkt var et helt andet vel og mærke).
Begrænsninger og tilsyn
Trods begrænsningen af borgerens ret til oplysning kommer den nye mulighed ikke til at foregå i absolut mørke.
Datatilsynet kommer til at fungere som uafhængig tilsynsmyndighed og kommentere på alle bekendtgørelser på forhånd. Og justitsministeriet vil løbende overvåge, hvordan den nye mulighed bliver brugt, og vedligeholde en liste over bekendtgørelser.
Derudover er der undtagelser til, hvad ministrene kan tillade af data-brug, hvis reglerne bliver vedtaget, som de er. I selve lovforslaget står der specifikt, at »helbredsoplysninger og genetiske data« kun kan bruges, hvis formålet, er »foreneligt med det formål, som disse personoplysninger oprindeligt blev indsamlet til«.
Med andre ord: Når man giver oplysninger til sin læge kan ingen minister give grønt lys til, at patientdata bruges til andet end din behandling.
Derudover bemærker ministeren, at andre love kan trumfe ministres ønske om data-deling. Som eksempel nævnes en særlig lovbestemt tavshedspligt omfattet af § 35 i lov om offentlighed i forvaltningen – såsom skatteforvaltningslovens § 17, sundhedslovens § 40 og folkeskolelovens § 55. Hvis de regler skal ændres, skal de enkelte love altså op til behandling i Folketinget.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
