Høringssvar: Data Protection Report
KL.s høringssvar om "Report on the application of the General Data Protection Regulation".
Om KL
KL er de danske kommuners forening og interesseorganisation og repræsenterer alle 98 kommuners interesser:
De danske kommuner behandler dagligt tusindsvis af oplysninger om bor- gerne, og for de danske kommuner har databeskyttelsesforordningen betydet fornyet opmærksomhed på beskyttelse af borgernes data. En opmærksomhed og et fokus, som er en væsentlig forudsætning for udviklingen af et moderne, digitalt sikkert samfund.
Implementeringen af de nye regler har imidlertid også givet kommunerne en lang række udfordringer. Indledningsvis vil KL derfor gerne takke for muligheden for via denne høring at viderebringe disse erfaringer til Kommissionen. KL er opmærksom på, at høringen vil have fokus på navnlig evalueringen af reglerne om overførsel af personoplysninger til tredjelande samt reglerne om samarbejde og sammenhæng mellem de nationale tilsynsmyndig- heder. For de danske kommuner er det imidlertid andre dele af forordningen, som giver udfordringer.
Generelt har databeskyttelsesforordningen betydet et enormt tidsforbrug i kommunerne til forståelse af de mange nye regler. Reglerne er skrevet i et svært tilgængeligt sprog, som ikke umiddelbart er forståeligt for de kommunale medarbejdere. Det skaber utryghed og frygt for at komme til at overtræde reglerne. I særlig grad fordi offentlige myndigheder på lige fod med private virksomheder efter reglerne kan blive pålagt bøder i millionklassen.
KL vil derfor opfordre til, at Kommissionen iværksætter en bredere evaluering af databeskyttelsesforordningens regler med henblik på at se på, om der kunne ske en forenkling af reglerne og deres ordlyd. Det er KL´s erfaring, at selvom både det danske datatilsyn, justitsministerium, advokater, konsulentfirmaer m.fl. har leveret rådgivning og vejledning i reglerne i stort omfang, er det ikke tilstrækkeligt. Reglerne er for svære at forstå.
I Danmark vil Justitsministeriet henover sommeren gennemføre en national evaluering af databeskyttelsesreglerne med henblik på at indsamle viden om, hvilke regler der i særdeleshed giver anledning til udfordringer samt foretage en analyse af, hvilke muligheder der er for en forenkling af reglerne. KL vil opfordre til, at Kommissionen iværksætter en lignende evaluering blandt alle medlemslandene, da det er KL´s opfattelse, at de meget store administrative og resursemæssige konsekvenser af databeskyttelsesreglerne er et samfundsanliggende, som bør adresseres ikke blot i forhold til den nationale implementering af reglerne men også i forhold til den generelle forordning om databeskyttelse.
Eksempelvis giver følgende bestemmelser udfordringer for de danske kommuner:
- Generelt har det i praksis ud fra definitionerne i artikel 4, nr. 7 og 8 vist sig ganske svært at afklare, hvem der er dataansvarlig (og databehandler samt fælles dataansvarlig) for givne databehandlinger. Kommunerne bruger mange resurser på at afklare dette i forhold til leverandører og samarbejdsparter.
- Kravene til omfanget af dokumentation, jf. artikel 5, stk. 2, og artikel 24, stk. 1, er uklare. Derfor er er der stor risiko for overimplementering af administrative processer, som i vidt omfang virker overflødige, eftersom kommunernes opgavevaretagelse, herunder håndtering af persondata, allerede i vidt omfang er detaljeret reguleret ved lov.
- Ifølge artikel 32 skal kommunerne i deres valg af passende sikkerhedsforanstaltninger i forhold til deres behandlinger af data tage hensyn til forskellige forhold. Særligt hvor risikable behandlingerne er i forhold til at kunne beskytte den registreredes/borgerens data. Imidlertid tager bestemmelsen ikke hensyn til den registreredes interesse i behandlingen på trods af den eventuelle risiko. Det betyder, at kommunerne i visse situationer ikke kan give borgerne den bedst mulige service, fx sende SMS´er til udsatte borgere.
Justitsministeriet vil i den nationale evaluering se på mulighederne for at ind- føre en påbudsordning, hvorefter tilsynsmyndigheden i videre omfang end i dag skal meddele påbud, før der kan indstilles til bøde for overtrædelse af reglerne, eller før der udstedes et administrativt bødeforelæg. Ministeriet vil desuden se på mulighederne for at indføre en ordning, hvorefter tilsynsmyndigheden på anmodning kan afgive udtalelse om sin vurdering af lovligheden af en påtænkt aktivitet, der indebærer en behandling af personoplysninger. Det er KL´s opfattelse, at disse tiltag vil medvirke til at fjerne frygten blandt de kommunale medarbejdere for at gøre noget forkert samt spare kommu- nerne for at bruge mange resurser på at vurdere forskellige behandlingers lovlighed. KL vil derfor opfordre til, at sådanne tiltag også medtages i Kommissionens evaluering af reglerne.
KL har i februar 2020 haft Kommissionens meddelelse ”A European strategy for data” (COM(2020) 66 final) i høring og har i den forbindelse gjort opmærksom på, at anvendelsen, herunder genanvendelsen, af data er et væsentligt strategisk fokusområde for de danske kommuner men, at i forhold til kommunernes muligheder for at bedre genbrug af data ser KL en væsentlig udfordring i de retlige rammer i databeskyttelsesforordningen. Datastrategiens vision om innovativ videreanvendelse af data ses ikke på en tilstrækkeligt tilgængelig måde at være understøttet i databeskyttelsesforordningens regler om viderebehandling (artikel 6, stk. 4 og artikel 23, stk, 1), der fordrer konkrete, individuelle vurderinger. KL vil opfordre til, at der ses på mulighederne for at ”tell it once-princippet” i forhold til borgernes data i den offentlige sektor i højere grad understøttes via reglerne i databeskyttelsesforordningen.