Justitsministeriet
 

National evaluering af databeskyttelsesreglerne

Justitsministeriet Databeskyttelseskontoret Slotsholmsgade 10

1216 København K

 

sendt elektronisk til jm@jm.dk og mir@jm.dk

 8. oktober 2020

National evaluering af databeskyttelsesreglerne

Danske Medier har med tak modtaget invitationen til at bidrage med erfaringer til brug for den natio- nale evaluering af databeskyttelsesreglerne. Foreningen finder det meget positivt, at ministeriet har iværksat en erfaringsindsamling baseret på en bred interessentskare, der med de mange forskelligar- tede erhvervs- og interesseområder kan bidrage til at belyse konkrete situationer, hvor persondata- reglerne er uklare eller medfører utilsigtede konsekvenser, bl.a. fordi de scenarier, som databeskyt- telsesreglerne skal virke i, i praksis ofte ikke er beskrevet og/eller endda forudset, da reglerne blev til.

Danske Medier repræsenterer ca. 300 private medievirksomheder, hvis aktiviteter ikke kun omfatter behandlinger af personoplysninger i journalistisk øjemed, men også vedrører behandlinger af person- oplysninger som led i virksomhedernes erhvervsmæssige aktiviteter. Disse aktiviteter spænder vidt og omfatter bl.a. digital markedsføring, indhentelse af markedsføringspermissioner, indgåelse af abonnementsaftaler, kundeklubber, distribution, ligesom virksomhederne har ansatte og indgår afta- ler om IT-bistand mv. Alle aktiviteter, der medfører en daglig stillingtagen til og praktisk håndtering af databeskyttelsesreglerne.

Indsamling af eksempler fra Danske Mediers medlemmer

Som anmodet i høringsbrevet har Danske Medier samlet de mest relevante eksempler på situationer, hvor der i praksis opleves tvivl om databeskyttelsesreglerne, og/eller hvor en given aktivitet opgives eller forsøges løst på bedste vis ud fra, hvad der kan udledes af generelle vejledninger eller konkrete sager hos Datatilsynet. Eksemplerne uddybes i det vedhæftede bilag.

Danske Medier vil dog allerede her pege på nogle af de centrale betragtninger og problemstillinger, som foreningens medlemmer er fremkommet med – hvoraf nogle er medtaget i det påkrævede skema.

Databehandlerkonstruktioner og det svære samspil med store internationale spillere

Foreningen modtager løbende mange spørgsmål fra medlemmerne om databehandleraftaler, herun- der hvorvidt et givent samarbejde må betegnes som en databehandlerkonstruktion eller en aftale om en anden ydelse. Ligeledes oplever foreningen ofte, at medlemmer har udfordringer med at nå til enighed med en samarbejdspartner om dette. Datatilsynets vejledning om dataansvarlige og databe- handlere anviser elementer, der kan inddrages i afvejningen, men kan ikke give et endegyldigt svar, da vurderingen nødvendigvis må afgøres med afsæt i den konkrete aftale mellem de to parter. Da indgåelsen af en databehandleraftale er en væsentlig persondataretlig forpligtelse (med dertil hø- rende bødeansvar), og et af de områder, som generelt synes at volde virksomheder vanskeligheder, er det meget beklageligt, at Datatilsynet afviser at rådgive i konkrete henvendelser om databehand- lerkonstruktioner. Der henvises til afsnittet om vejledninger og forhåndsgodkendelser nedenfor.

Som digital medievirksomhed er samarbejde med store internationale tech virksomheder en nødven- dighed, hvis man ønsker adgang til de fornødne værktøjer. Dette samarbejde nødvendiggør ofte ind- gåelse af databehandleraftaler og en sikring af, at dataoverførsler sker i overensstemmelse med be- stemmelserne i GDPR. Udfordringen er dog, at de store internationale tech virksomheder kun accep- terer egne standardvilkår og er afvisende overfor dialog eller forhandling om indholdet i disse stan- dardvilkår. Da der ofte ikke er noget reelt alternativ til de løsninger/værktøjer, som disse tech virk- somheder udbyder, stiller det medievirksomheden i et svært dilemma, da de enten skal fravælge den ønskede teknologi eller acceptere standardvilkårene og risikere en mulig kritik fra det nationale data- tilsyn. Problemstillingen er beskrevet i vedlagte skema og tager udgangspunkt i værktøjer, der li- censeres hos Google, men udfordringerne gør sig tillige gældende for andre store internationale spil- lere som fx Facebook, Microsoft og Amazon.

Vejledning og forhåndsgodkendelser

Implementering af de mange krav og forpligtelser, der følger af databeskyttelseslovgivningen, kræver mange ressourcer hos erhvervslivet, og behovet for kompetent vejledning og konkret vurdering af forskellige aktiviteter er i høj grad påkrævet.

De mange spørgsmål som Danske Medier modtager fra medlemmerne vidner om, at det langt fra er nemt at håndtere de databeskyttelsesretlige forpligtelser og krav, og ønsket om flere vejledninger spænder vidt og omfatter emner som uddybning af de forskellige behandlingsgrundlag i artikel 6 og artikel 9 og hvilke situationer, de kan anvendes til, uddybning af slettepligten med eksempler på slet- tefrister, samt en afdækning af samspillet mellem markedsføringsloven og GDPR.

Foreningen anerkender, at Datatilsynet og Justitsministeriet har bestræbt sig på at få udarbejdet vej- ledninger på udvalgte områder, men efterlyser samtidig, at indholdet i disse vejledninger i højere grad har fokus på de aktuelle tendenser i samfundet, samspillet mellem reglerne og den teknologiske udvikling og ikke mindst de erhvervsmæssige behov og udfordringer, som virksomhederne har. Som myndighed kan det være svært at besidde den nødvendige viden og indsigt heri, og foreningen skal derfor opfordre til, at erhvervslivet samt andre relevante interessenter får mulighed for at bidrage til indholdet i tilsynets vejledninger. Denne tilgang ses hos andre tilsynsmyndigheder, herunder Forbru- gerombudsmanden, og er til gavn for såvel myndighed som interessenter, idet det sikrer, at myndig- heden i højere grad får indsigt i aktuelle problemstillinger og erhvervslivet får mulighed for en kvalifi- ceret sparring, der udgør grundlaget for en brugbar vejledning, der indeholder relevante og opdate- rede eksempler på problemstillinger og en lovlig databeskyttelsesretlig håndtering heraf.

Foreningens medlemmer savner dog især en mulighed for at få en konkret vurdering af igangvæ- rende og/eller påtænkte aktiviteter. Vurdering af databehandlerkonstruktioner er et oplagt eksempel herpå, men gør sig også gældende på andre områder. Danske Medier skal derfor opfordre til, at der etableres en ordning, hvorved erhvervsvirksomheder kan anmode Datatilsynet om en vurdering af lovligheden af en aktivitet. Datatilsynet vil i så fald alene kunne udtale sig i forhold til de oplysninger, som virksomheden afgiver, og kan derfor fortsat agere tilsynsmyndighed i sagen, såfremt oplysnin- gerne ikke er fyldestgørende eller omstændighederne i sagen efterfølgende ændrer sig. Det er i den forbindelse oplagt at drage en parallel til ordningen om ”forhåndsbesked”, som praktiseres hos For- brugerombudsmanden, og som giver erhvervsvirksomheder mulighed for at få tilsynsmyndighedens vurdering af en påtænkt aktivitet omfattet af markedsføringslovens regler. Dette er et meget fint ek- sempel på, at der er lydhørhed overfor erhvervslivets behov for konkret rådgivning.

Schrems II og dataoverførsler til tredjelande

EU-Domstolens afgørelse af 16. juli 2020 ”Schrems II” (C-311/18), der erklærede særordningen for overførsel af personoplysninger til amerikanske virksomheder – kaldet Privacy Shield – for ugyldig, har vidtrækkende konsekvenser for ikke blot medievirksomheder, men alle virksomheder, offentlige myndigheder og organisationer, der anvender leverandører, der medfører overførsel af personoplys- ninger til amerikanske virksomheder. Dette er fx ofte tilfældet ved cloud baserede it-leverancer som anvender datacentre i EU og servicecentre uden for EU.

EU-Domstolen fastslog ganske vist, at EU-Kommissionens standardkontrakter (SCC’s) fortsat er gyl- dige som grundlag for overførsel til lande udenfor EU/EØS, men det er svært at se, hvordan dette lø- ser udfordringen med dataoverførsler til USA, da underkendelsen af Privacy Shield blandt andet skyl- des USA’s lovgivning om national sikkerhed og manglende effektive retsmidler for de registrerede personer, hvilket må antages kun kan løses ved ændringer i lovgivningen.

Dette er selvsagt ikke noget, som de danske tilsynsmyndigheder kan løse egenhændigt, men det er et presserende problem, som EU-Kommissionen og det Europæiske Databeskyttelsesråd tilsammen må løse hurtigst muligt, så der igen etableres en ordning, der kan fastsætte rammerne for lovlige data- overførsler til amerikanske virksomheder – og hindrer etableringen af en såkaldt ”Fort EU” til skade både for virksomheder indenfor og udenfor EU.

Indtil en ny løsning er etableret, er der et tillige et presserende behov for, at de danske tilsynsmyn- digheder fremkommer med konkret og brugbar vejledning til danske virksomheder, der foretager da- taoverførsler ud af EU, herunder hvordan virksomheder, der ønsker at anvende SCC’s til brug for tredjelandsoverførsler, i praksis skal foretage den konkrete vurdering af beskyttelsesniveauet i det pågældende tredjeland, som personoplysningerne ”overføres” til.

Vejledning, påbud og bøder

Resultatet af Justitsministeriets erfaringsindsamling vil formentlig bekræfte antagelsen om, at der er flere områder, hvor virksomheder og organisationer oplever tvivl om databeskyttelsesreglerne og/el- ler finder det ganske vanskeligt at forene reglerne med en hensigtsmæssig drift af en virksomhed.

Dette vil forhåbentlig også bekræfte ministeriet i, at der er behov for mere rådgivning med udgangs- punkt i den virkelighed, som reglerne skal implementeres og efterleves i. En mere lydhør, rådgivende og proaktiv tilgang til de problemer og den tvivl, som erhvervslivet giver udtryk for, vil i sidste ende medføre en mere helstøbt, gennemtænkt og hensigtsmæssig databeskyttelse end en, der er drevet af frygten for tilsyn og høje bøder. Danske Medier finder det af samme grund positivt, at Datatilsynet i beskrivelsen af det strategiske udgangspunkt for tilsynets arbejde netop betoner vigtigheden af en åben dialogbaseret rådgivning, ligesom Justitsministeriets angivelse af, at ét af formålene med evalu- eringen vil være at undersøge mulighederne for at indføre en ordning, hvorefter tilsynet i større ud- strækning skal meddele et påbud i stedet for bøde, også noteres med tilfredshed.

Danske Medier står naturligvis til rådighed, såfremt ovenstående ønskes uddybet. Henvendelse herom kan rettes til undertegnede på cm@danskemedier.dk.

Venlig hilsen

Christina Mary Moshøj

Seniorkonsulent, cand. jur.

Læs også

Facebook har præsenteret trylleformular, som skal skabe forvirring i mediebranchen

“Det er en skam, at Facebook også i Danmark har valgt bøllemetodernes brede sti. Man kan kun håbe det er en fejl. Fra Danske Mediers side havde vi virkelig troet, at man ville have ændret tilgang efter skandalen i Australien, hvor Facebook udelukkede nyhedsmedierne fra platformen,” udtaler formand for Danske Medier, Jesper Rosener.

Velkommen til Danske Mediers Nyhedsbreve

Modtag Aktuelt fra Danske Medier.

Danske Mediers nyhedsbreve giver dig aktuelt indhold fra og viden om mediebranchen. Samtidig indeholder nyhedsbrevene holdninger og nyt fra Danske Medier – herunder om events, gå-hjem-møder og kurser. Nyhedsbrevet Danske Medier kan herudover indeholde annoncer fra interessenter i mediebranchen. 

Danske Medier udkommer med følgende nyhedsbreve: 

  • Nyhedsbrevet Danske Medier udkommer hver fredag i ulige uger, undtagen i ferieperioder.
  • Nyhedsbrevet Digitalt udkommer hver fredag i lige uger, undtagen i ferieperioder.

Ved tilmelding til nyhedsbrevet samtykker du til, at Danske Medier må sende dig de valgte nyhedsbreve via e-mail. Du kan til enhver tid trække samtykket tilbage. Afmelding kan ske ved at klikke på linket i bunden af nyhedsbrevene eller skrive til  mail@danskemedier.dk. Du kan her læse mere om, hvordan vi håndterer dine personoplysninger.

Vælg nyhedsbrev