Nummer: 54

DATATILSYNET SKAL KUNNE FORHANDLE RETNINGSLINJER I SAMARBEJDE MED RELEVANTE INTERESSENTER

Uklarhed om fortolkningen af GDPR gør det omkostningstungt for virksomhederne at efterleve reglerne. 

Regelforum anbefaler, at det undersøges, om det er muligt inden for rammerne af Databeskyttelsesforordningen at give hjemmel til, at Datatilsynet kan forhandle retningslinjer sammen med relevante interessenter. 

Dato:
30. september 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges ikke

Databeskyttelsesforordningen (GDPR) og den supplerende databeskyttelseslovgivning er svært stof at omsætte til virkeligheden hos erhvervslivet, særligt for mindre og mellemstore virksomheder. Både for erhvervslivet og det offentlige skaber det en situation, hvor vurdering af den dataansvarliges persondata behandlingsaktiviteter falder meget forskelligt ud. Det skaber en usikkerhed, der i mange tilfælde betyder, at der skal bruges unødigt mange ressourcer for at fastlægge, hvordan den pågældende behandlingsaktivitet skal tilrettelægges. 

GDPR giver mulighed for, at der laves adfærdskodekser og/eller certificeringsordninger, som kan medvirke til at ensrette behandlingsaktiviteterne i en branche eller på et givet område inden for det offentlige. Det er dog en meget omfattende og dyr øvelse at iværksætte både adfærdskodekser og certificeringsordninger. 

Derfor er der behov for en løsning, der kan imødekomme behovet for yderligere fortolkning af databeskyttelsesreglerne, og som indeholder en meget høj grad af interessentinddragelse. Her er forhandlede retningslinjer en oplagt løsning. 

Anbefaling

Regelforum anbefaler, at regeringen undersøger, om det er muligt inden for rammerne af GDPR at give en lovfæstet hjemmel til, at Datatilsynet kan forhandle retningslinjer med relevante interessenter på lignende måde, som der er hjemmel til, at Forbrugerombudsmanden i dag kan forhandle retningslinjer jf. markedsføringslovens § 29. 

Formålet med at give Datatilsynet hjemmel til at forhandle retningslinjer er, at databeskyttelsesreglerne via retningslinjer kan udlægges mere konkret og præcist i forhold til konkrete aktiviteter til behandling af persondata inden for forskellige brancher og myndigheder. Med forhandling af retningslinjer menes, at retningslinjerne kun bliver til noget, såfremt der opnås enighed om teksten. 

Eksempler på emner hvor retningslinjer kunne udformes:

  • Efterlevelse af kravene til information til registrerede i forhold til konkrete brancher eller situationer fx tv-overvågning i detailhandlen, udveksling af oplysninger mellem forsikringsselskaber mv. 
  • Opbevaringsfrister og sletning i forhold til konkrete behandlingsaktiviteter fx kundeoplysninger i e-handel
  • Kontrol med databehandlere og underdatabehandlere i forhold til konkrete behandlingsaktiviteter fx kontrol af databehandlere, der benyttes til udsendelse af markedsføring, lønadministration mv.
  • Præcisering af anmeldelsesforpligtelsen i forbindelse med mistanke om databrud, herunder afdækning af, om der er situationer, hvor det generelt vil være usandsynligt, at der er tale om et anmeldelsespligtigt databrud. 

Erhvervslivet har erfaring med at forhandle retningslinjer på markedsføringsområdet, hvor Forbrugerombudsmanden med hjemmel i markedsføringsloven § 29, stk. 1 gennem retningslinjer kan udstede meget præcis vejledning, (en form for bred forhåndsbesked), hvilket er en succes både for tilsynsmyndigheden og erhvervslivet. De forhandlede retningslinjer har ikke yderligere retsvirkninger end fx vejledninger har, men en lovfæstet hjemmel indikerer, at der er et politisk ønske om, at erhvervslivet og andre interessenter bliver inddraget og hørt på et andet niveau end fx gennem en almindelig høringsproces.

Erfaringerne fra Forbrugerombudsmanden viser, at der med en lovfæstet hjemmel skabes en kultur herom, hvor parterne er mere lydhør overfor hinanden og loyalt indgår i forhandlinger inden for den lovgivningsmæssige ramme. 

Hvis det konkluderes, at det er muligt at give Datatilsynet hjemmel til at kunne forhandle retningslinjer inden for rammen af GDPR, anbefales det, at regeringen igangsætter det nødvendige lovforberedende arbejde og får fremsat et lovforslag herom.

Anbefalingen må forventes at være mere ressourcekrævende for Datatilsynet end fx udarbejdelse af vejledninger, da tilblivelsen af disse retningslinjer sker via forhandlinger.

Derfor bør tildeling af øgede ressourcer til Datatilsynet være en forudsætning for den udvidede beføjelse. 

Regelforum anbefaler desuden, at der tages kontakt til Forbrugerombudsmanden for at høre mere om erfaringer med forhandlede retningslinjer. 

Desuden bør regeringen sikre, at arbejdsmarkedets parter inddrages i arbejdet med at forhandle retningslinjer.

Erfaringer fra udlandet    

Regelforum har ikke viden om erfaringer fra udlandet. 

Potentiale     

Der hersker ikke tvivl om, at det for både erhvervslivet og det offentlige er vanskeligt og ressourcekrævende at efterleve databeskyttelsesreglerne. Dette skyldes i høj grad usikkerhed om, hvad der er den rette fortolkning af reglerne samt praksis eller andre pejlemærker, der kan bidrage til at vurdere, om den konkrete fortolkning/efterlevelse er udformet korrekt.  

Hvis Datatilsynet får hjemmel til at kunne forhandle retningslinjer med relevante interessenter, giver det både de dataansvarlige (erhvervslivet og det offentlige) og Datatilsynet bedre adgang til at kunne afklare usikkerheden.

Dette vil bidrage til bedre efterlevelse af databeskyttelsesreglerne og mindske virksomhedernes omkostninger forbundet hermed.    

Relevant regulering    

Databeskyttelsesforordningen.

Selve hjemmelsgrundlaget til, at Datatilsynet skal kunne forhandle retningslinjer med relevante interessenter, skal indsættes i databeskyttelsesloven. 

Svar til Regelforum

Regelforum anbefaler, at regeringen undersøger, om det er muligt inden for rammerne af GDPR at give en lovfæstet hjemmel til, at Datatilsynet kan forhandle retningslinjer med relevante interessenter på lignende måde, som der er hjemmel
til, at Forbrugerombudsmanden i dag kan forhandle retningslinjer jf. markedsføringslovens § 29. Med ”forhandling af retningslinjer” menes ifølge anbefalingen fra Regelforum, at retningslinjerne kun bliver til noget, hvis der opnås enighed om teksten.

Efter Datatilsynets opfattelse vil det ikke være foreneligt med reglerne i navnlig databeskyttelsesforordningens kapitel VI om den uafhængige tilsynsmyndighed, herunder EU-Domstolens fortolkning af kravet om uafhængighed, at indføre en sådan hjemmel i databeskyttelsesloven.

Datatilsynet kan således ikke som uafhængig tilsynsmyndighed indgå i ”forhandlinger” om tilsynets fortolkning af de databeskyttelsesretlige regler. Der kan i den forbindelse i øvrigt også henvises til artikel 8, stk. 3, i EU’s charter om grundlæggende rettigheder, som fastslår, at overholdelsen af chartrets artikel 8, stk. 1 og 2, om retten til beskyttelse af personoplysninger er underlagt en uafhængig myndigheds kontrol.

Hertil kommer, at Datatilsynet er forpligtet til at følge reglerne i databeskyttelsesforordningens
kapitel VII om samarbejde og sammenhæng. Reglerne i dette kapitel foreskriver forskellige former for samarbejde, herunder regler om fælles beslutningstagen i visse sager, gensidig bistand og fælles aktiviteter, ligesom kapitlet indeholder regler om en såkaldt ”sammenhængsmekanisme”, som skal sikre en ensartet anvendelse af forordningen, og som betyder, at Det Europæiske Databeskyttelsesråd i visse tilfælde skal udstede vejledende udtalelser og i visse tilfælde træffe afgørelser, som er bindende for tilsynsmyndighederne.

Datatilsynet vil i den forbindelse være forpligtet til at følge bl.a. de vejledninger, som Det Europæiske Databeskyttelsesråd udarbejder, og dette uagtet, om der eventuelt nationalt måtte være udarbejdet vejledninger med et andet indhold.