Justitsministeriet Databeskyttelseskontoret Slotsholmsgade 10
1216 København K
sendt elektronisk til jm@jm.dk og mir@jm.dk
8. oktober 2020
National evaluering af databeskyttelsesreglerne
Danske Medier har med tak modtaget invitationen til at bidrage med erfaringer til brug for den nationale evaluering af databeskyttelsesreglerne. Foreningen finder det meget positivt, at ministeriet har iværksat en erfaringsindsamling baseret på en bred interessentskare, der med de mange forskelligartede erhvervs- og interesseområder kan bidrage til at belyse konkrete situationer, hvor persondatareglerne er uklare eller medfører utilsigtede konsekvenser, bl.a. fordi de scenarier, som databeskyttelsesreglerne skal virke i, i praksis ofte ikke er beskrevet og/eller endda forudset, da reglerne blev til.
Danske Medier repræsenterer ca. 300 private medievirksomheder, hvis aktiviteter ikke kun omfatter behandlinger af personoplysninger i journalistisk øjemed, men også vedrører behandlinger af personoplysninger som led i virksomhedernes erhvervsmæssige aktiviteter. Disse aktiviteter spænder vidt og omfatter bl.a. digital markedsføring, indhentelse af markedsføringspermissioner, indgåelse af abonnementsaftaler, kundeklubber, distribution, ligesom virksomhederne har ansatte og indgår aftaler om IT-bistand mv. Alle aktiviteter, der medfører en daglig stillingtagen til og praktisk håndtering af databeskyttelsesreglerne.
Indsamling af eksempler fra Danske Mediers medlemmer
Som anmodet i høringsbrevet har Danske Medier samlet de mest relevante eksempler på situationer, hvor der i praksis opleves tvivl om databeskyttelsesreglerne, og/eller hvor en given aktivitet opgives eller forsøges løst på bedste vis ud fra, hvad der kan udledes af generelle vejledninger eller konkrete sager hos Datatilsynet. Eksemplerne uddybes i det vedhæftede bilag.
Danske Medier vil dog allerede her pege på nogle af de centrale betragtninger og problemstillinger, som foreningens medlemmer er fremkommet med – hvoraf nogle er medtaget i det påkrævede skema.
Databehandlerkonstruktioner og det svære samspil med store internationale spillere
Foreningen modtager løbende mange spørgsmål fra medlemmerne om databehandleraftaler, herunder hvorvidt et givent samarbejde må betegnes som en databehandlerkonstruktion eller en aftale om en anden ydelse. Ligeledes oplever foreningen ofte, at medlemmer har udfordringer med at nå til enighed med en samarbejdspartner om dette. Datatilsynets vejledning om dataansvarlige og databehandlere anviser elementer, der kan inddrages i afvejningen, men kan ikke give et endegyldigt svar, da vurderingen nødvendigvis må afgøres med afsæt i den konkrete aftale mellem de to parter. Da indgåelsen af en databehandleraftale er en væsentlig persondataretlig forpligtelse (med dertilhørende bødeansvar), og et af de områder, som generelt synes at volde virksomheder vanskeligheder, er det meget beklageligt, at Datatilsynet afviser at rådgive i konkrete henvendelser om databehandlerkonstruktioner. Der henvises til afsnittet om vejledninger og forhåndsgodkendelser nedenfor.
Som digital medievirksomhed er samarbejde med store internationale tech virksomheder en nødvendighed, hvis man ønsker adgang til de fornødne værktøjer. Dette samarbejde nødvendiggør ofte indgåelse af databehandleraftaler og en sikring af, at dataoverførsler sker i overensstemmelse med bestemmelserne i GDPR. Udfordringen er dog, at de store internationale techvirksomheder kun accepterer egne standardvilkår og er afvisende overfor dialog eller forhandling om indholdet i disse standardvilkår. Da der ofte ikke er noget reelt alternativ til de løsninger/værktøjer, som disse techvirksomheder udbyder, stiller det medievirksomheden i et svært dilemma, da de enten skal fravælge den ønskede teknologi eller acceptere standardvilkårene og risikere en mulig kritik fra det nationale data- tilsyn. Problemstillingen er beskrevet i vedlagte skema og tager udgangspunkt i værktøjer, der licenseres hos Google, men udfordringerne gør sig tillige gældende for andre store internationale spillere som fx Facebook, Microsoft og Amazon.
Vejledning og forhåndsgodkendelser
Implementering af de mange krav og forpligtelser, der følger af databeskyttelseslovgivningen, kræver mange ressourcer hos erhvervslivet, og behovet for kompetent vejledning og konkret vurdering af forskellige aktiviteter er i høj grad påkrævet.
De mange spørgsmål som Danske Medier modtager fra medlemmerne vidner om, at det langt fra er nemt at håndtere de databeskyttelsesretlige forpligtelser og krav, og ønsket om flere vejledninger spænder vidt og omfatter emner som uddybning af de forskellige behandlingsgrundlag i artikel 6 og artikel 9 og hvilke situationer, de kan anvendes til, uddybning af slettepligten med eksempler på slettefrister, samt en afdækning af samspillet mellem markedsføringsloven og GDPR.
Foreningen anerkender, at Datatilsynet og Justitsministeriet har bestræbt sig på at få udarbejdet vej- ledninger på udvalgte områder, men efterlyser samtidig, at indholdet i disse vejledninger i højere grad har fokus på de aktuelle tendenser i samfundet, samspillet mellem reglerne og den teknologiske udvikling og ikke mindst de erhvervsmæssige behov og udfordringer, som virksomhederne har. Som myndighed kan det være svært at besidde den nødvendige viden og indsigt heri, og foreningen skal derfor opfordre til, at erhvervslivet samt andre relevante interessenter får mulighed for at bidrage til indholdet i tilsynets vejledninger. Denne tilgang ses hos andre tilsynsmyndigheder, herunder Forbrugerombudsmanden, og er til gavn for såvel myndighed som interessenter, idet det sikrer, at myndig- heden i højere grad får indsigt i aktuelle problemstillinger og erhvervslivet får mulighed for en kvalificeret sparring, der udgør grundlaget for en brugbar vejledning, der indeholder relevante og opdaterede eksempler på problemstillinger og en lovlig databeskyttelsesretlig håndtering heraf.
Foreningens medlemmer savner dog især en mulighed for at få en konkret vurdering af igangværende og/eller påtænkte aktiviteter. Vurdering af databehandlerkonstruktioner er et oplagt eksempel herpå, men gør sig også gældende på andre områder. Danske Medier skal derfor opfordre til, at der etableres en ordning, hvorved erhvervsvirksomheder kan anmode Datatilsynet om en vurdering af lovligheden af en aktivitet. Datatilsynet vil i så fald alene kunne udtale sig i forhold til de oplysninger, som virksomheden afgiver, og kan derfor fortsat agere tilsynsmyndighed i sagen, såfremt oplysningerne ikke er fyldestgørende eller omstændighederne i sagen efterfølgende ændrer sig. Det er i den forbindelse oplagt at drage en parallel til ordningen om ”forhåndsbesked”, som praktiseres hos For- brugerombudsmanden, og som giver erhvervsvirksomheder mulighed for at få tilsynsmyndighedens vurdering af en påtænkt aktivitet omfattet af markedsføringslovens regler. Dette er et meget fint eksempel på, at der er lydhørhed overfor erhvervslivets behov for konkret rådgivning.
Schrems II og dataoverførsler til tredjelande
EU-Domstolens afgørelse af 16. juli 2020 ”Schrems II” (C-311/18), der erklærede særordningen for overførsel af personoplysninger til amerikanske virksomheder – kaldet Privacy Shield – for ugyldig, har vidtrækkende konsekvenser for ikke blot medievirksomheder, men alle virksomheder, offentlige myndigheder og organisationer, der anvender leverandører, der medfører overførsel af personoplys- ninger til amerikanske virksomheder. Dette er fx ofte tilfældet ved cloud baserede it-leverancer som anvender datacentre i EU og servicecentre uden for EU.
EU-Domstolen fastslog ganske vist, at EU-Kommissionens standardkontrakter (SCC’s) fortsat er gyldige som grundlag for overførsel til lande udenfor EU/EØS, men det er svært at se, hvordan dette løser udfordringen med dataoverførsler til USA, da underkendelsen af Privacy Shield blandt andet skyl- des USA’s lovgivning om national sikkerhed og manglende effektive retsmidler for de registrerede personer, hvilket må antages kun kan løses ved ændringer i lovgivningen.
Dette er selvsagt ikke noget, som de danske tilsynsmyndigheder kan løse egenhændigt, men det er et presserende problem, som EU-Kommissionen og det Europæiske Databeskyttelsesråd tilsammen må løse hurtigst muligt, så der igen etableres en ordning, der kan fastsætte rammerne for lovlige data- overførsler til amerikanske virksomheder – og hindrer etableringen af en såkaldt ”Fort EU” til skade både for virksomheder indenfor og udenfor EU.
Indtil en ny løsning er etableret, er der et tillige et presserende behov for, at de danske tilsynsmyndigheder fremkommer med konkret og brugbar vejledning til danske virksomheder, der foretager dataoverførsler ud af EU, herunder hvordan virksomheder, der ønsker at anvende SCC’s til brug for tredjelandsoverførsler, i praksis skal foretage den konkrete vurdering af beskyttelsesniveauet i det pågældende tredjeland, som personoplysningerne ”overføres” til.
Vejledning, påbud og bøder
Resultatet af Justitsministeriets erfaringsindsamling vil formentlig bekræfte antagelsen om, at der er flere områder, hvor virksomheder og organisationer oplever tvivl om databeskyttelsesreglerne og/el- ler finder det ganske vanskeligt at forene reglerne med en hensigtsmæssig drift af en virksomhed.
Dette vil forhåbentlig også bekræfte ministeriet i, at der er behov for mere rådgivning med udgangs- punkt i den virkelighed, som reglerne skal implementeres og efterleves i. En mere lydhør, rådgivende og proaktiv tilgang til de problemer og den tvivl, som erhvervslivet giver udtryk for, vil i sidste ende medføre en mere helstøbt, gennemtænkt og hensigtsmæssig databeskyttelse end en, der er drevet af frygten for tilsyn og høje bøder. Danske Medier finder det af samme grund positivt, at Datatilsynet i beskrivelsen af det strategiske udgangspunkt for tilsynets arbejde netop betoner vigtigheden af en åben dialogbaseret rådgivning, ligesom Justitsministeriets angivelse af, at ét af formålene med evalueringen vil være at undersøge mulighederne for at indføre en ordning, hvorefter tilsynet i større ud- strækning skal meddele et påbud i stedet for bøde, også noteres med tilfredshed.
Danske Medier står naturligvis til rådighed, såfremt ovenstående ønskes uddybet. Henvendelse kan rettes til mail@danskemedier.dk.