Høringssvar: Darabehandling i Digital Post

KL har d. 11. december 2020 modtaget høringsbrev om udkast til bekendtgørelser om Digitaliseringsstyrelsen databehandling i Digital Post for offentlige afsendere og juridiske enheder.

KL har følgende bemærkninger.

KL ser meget positivt på, at databehandleraftaler mellem staten og kommunerne, som i dette tilfælde, indgås via bekendtgørelser. Det medvirker til, at den enkelte kommune ikke skal anvende unødige resurser på at forholde sig til databehandleraftaler med staten, som de har begrænset reel indflydelse på, jf. lov nr. 1941 af 15. december 2020,
§ 2a, stk. 5, "Finansministeren kan fastsætte regler om ansvar, opgaver og tilsyn i forbindelse med Digitaliseringsstyrelsens behandling af personoplysninger i postløsningen på vegne af de dataansvarlige, jf. stk. 3 og 4." Anvendelsen af bekendtgørelsesformen letter kommunernes administrative arbejde.

Det er desuden en stor hjælp, at bekendtgørelserne er udarbejdet med afsæt i Datatilsynets standardkontraktsbestemmelser. Det medvirker til genkendelighed og dermed lettere anvendelse af reglerne for kommunerne.

Samtidig ser KL dog også behov for, at der i forhold til den del af reguleringen, der omhandler overførsler af data til tredjelande er behov for, at Digitaliseringsstyrelsen bidrager med at tilvejebringe gyldige overførselsgrundlag. Den vurdering af tredjelandenes databeskyttelsesniveau, herunder tredjelandenes lovgivning, som er nødvendig for at sikre, at der foreligger gyldige overførselsgrundlag, når EU´s standardkontraktsbestemmelser anvendes, mener KL ikke, det er realistisk, at kommunerne pålægges alene. Se nærmere i bemærkningerne til § 9, stk. 3, nedenfor.

Specifikt i forhold til bekendtgørelse om ansvar, opgaver og tilsyn for behandlingen af personoplysninger i forbindelse med forsendelse af digital post fra offentlige afsendere har KL følgende specifikke bemærkninger:

Selvstændigt dataansvar

KL ser, at der i § 4, stk. 4 og 5, lægges op til, at Digitaliseringsstyrelsen bliver selvstændigt dataansvarlig for videregivelsen af metadata fra Digital Post til fx statistiske eller videnskabelige undersøgelser. KL vil anbefale, at disse bestemmelser udgår af afsnittet, "Databehandleren handler efter instruks", eftersom databehandleren i disse tilfælde ikke handler efter instruks.

Ligeledes vil KL anbefale, at det i stk. 4 præciseres, i hvilke tilfælde Digitaliseringsstyrelsen bliver dataansvarlig for kommunernes data ved videregivelse således, at "f.eks. statistiske eller videnskabelige undersøgelser" erstattes af en mere præcis angivelse af, hvornår Digitaliseringsstyrelsen overtager ansvaret for kommunernes data.

Metadata

Bestemmelserne om videregivelse af metadata og overtagelsen af dataansvaret i den forbindelse fordrer, at metadata reelt er personoplysninger i databeskyttelsesforordningens forstand. Såfremt dette ikke er tilfældet, i fald der fx alene anvendes journalnumre eller lignende som metadata, vil KL anbefale, at § 4, stk. 4 og 5, udgår af bekendtgørelsen. Idet disse oplysninger ikke er reguleret af databeskyttelsesforordningen, herunder forordningens artikel 28, stk. 3, om regulering af databehandlerens behandling af personoplysninger i en kontrakt eller andet retligt bindende dokument.

Sikkerhedsforanstaltninger

Det fremgår af den foreslåede § 6, stk. 5, at "Den enkelte offentlige afsender er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den offentlige afsenders rolle som dataansvarlig i forbindelse med anvendelsen af Digital Post." Dette følger allerede af den foreslåede bestemmelse i § 2, stk. 4, hvorefter "Offentlige afsendere er ansvarlige for, at den behandling af personoplysninger, som finder sted i forbindelse med deres anvendelse af Digital Post, sker inden for rammerne af databeskyttelsesforordningen, databeskyttelsesloven og retshåndhævelsesloven." Bestemmelsen er med andre ord overflødig og følger ikke af Datatilsynets standardkontraktsbestemmelser. KL vil derfor anbefale, at § 6, stk. 5 udgår af bekendtgørelsesudkastet, særligt med henblik på at undgå, at kommunerne får opfattelsen af at blive pålagt yderligere krav som følge af bestemmelsen. Som konsekvens heraf bør § 10, stk. 3, nr.1, hvor forpligtelsen gentages, også udgå.

Da § 6, stk. 6, om Digitaliseringsstyrelsens iagttagelse af reglerne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger ligeledes ikke følger af Datatilsynets standardkontraktsbestemmelser, vil KL også anbefale, at denne bestemmelse udgår af udkastet. Både for at sikre den fornødne genkendelighed i forhold til Datatilsynets standardkontraktsbestemmelser, men også da kravet følger umiddelbart af forslagets § 2, stk. 5, "Digitaliseringsstyrelsen og de dataansvarlige er hver især underlagt de opgaver og ansvar, der følger af databeskyttelsesforordningens generelle regler om den dataansvarlige og databehandleren...". Bestemmelsen er derfor overflødig i relation til bekendtgørelsesudkastet.

Tredjelandsoverførsler

Det fremgår af § 9, at "Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Digitaliseringsstyrelsen på baggrund af dokumenteret instruks herom fra den dataansvarlige offentlige afsender og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V ".

Instruksen fremgår imidlertid ikke af bekendtgørelsesudkastet. Af Datatilsynets standardkontrakts-bestemmelser fremgår instruksen i forhold til tredjelandsoverførsler imidlertid af bilag C, C.6. KL vil anbefale, at det kommer til at fremgå af bekendtgørelsen, hvorledes instruksen vedrørende tredjelandsoverførsler tænkes givet. KL hæfter sig i den forbindelse også ved, at der i § 9, stk. 3, er indføjet en bestemmelse, som ikke følger af Datatilsynets standardkontraktsbestemmelser: "Ved overførsler omfattet af stk. 1, er den offentlige afsender ansvarlig for at sikre, at der foreligger et gyldigt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel V."

KL vil opfordre til, at denne tilføjede bestemmelse ændres således, at ansvaret for et gyldigt overførselsgrundlag er Digitaliseringsstyrelsens i deres rolle som dataeksportør eller, at bestemmelsen eventuelt helt udgår af bekendtgørelsen. KL ser et væsentligt behov for, at de udfordringer med at sikre gyldige overførselsgrundlag ved tredjelandsoverførsler som følge af Schrems II-dommen løftes af Digitaliseringsstyrelsen, da kommunerne ikke kan løfte denne opgave. Både at få indgået standardkontraktsbestemmelser, jf. databeskyttelsesforordningens artikel 46, stk. 2, litra c, med relevante leverandører/underdatabehandlere men i særdeleshed at få udført de påkrævede vurderinger af dabeskyttelsesniveauet i de relevante tredjelande samt udpeget relevante kompenserende foranstaltninger.