Erhvervsråd vil lempe databeskyttelsen

Danmarks DPO-forening er blevet præsenteret for 13 forslag fra Erhvervslivets EU- og Regelforum til lempelser af databeskyttelsesforordningen. Forslagene er et led i Erhvervslivets EU- og Regelforums rådgivning af regeringen. Læs klummen:

Vi er naturligvis opløftet over, at man fra Erhvervslivets side ønsker øget debat og opmærksomhed omkring området. Vi er dog i lige så høj grad oprørte over, at man fra Erhvervslivets EU- og Regelforums side, ønsker at foretage lempelser af borgernes helt grundlæggende lovsikrede rettigheder og indføre nye og mere lempelige grænseværdier for anmeldelser af overtrædelse af de databeskyttelsesretslige regler til Datatilsynet.

Af de i alt 13 forslag fra Erhvervslivets EU- og Regelforum, har vi i Danmarks DPO-forening valgt i første omgang at hæfte os ved forslaget om oprettelse af stående GDPR-kontaktudvalg samt de lempelser til databeskyttelsesloven, som rådet også anbefaler.

Danmarks DPO-Forening støtter tanken om et stående GDPR-kontaktudvalg som faciliteres af Datatilsynet og Justitsministeriet med sigte på at drøfte de databeskyttelsesretlige problemstillinger og erfaringsudveksle på området. De databeskyttelsesretslige regler gælder ikke kun for erhvervslivet. Medarbejderne og borgerne har en afgørende vigtig interesse i at være repræsenteret i drøftelserne om tolkningen af de databeskyttelsesretslige problemstillinger. Vi mener derfor, at kontaktudvalget skal bestå af en bred vifte af repræsentanter for erhvervslivet, fagforeningerne og foreninger som Danmarks DPO-Forening.

Vi skal også bemærke, at vi i Danmarks DPO-Forening er noget overrasket over forslaget fra Erhvervslivet EU- og Regelforum om at indføre såkaldte ”minimumsværdier” for overtrædelse af lovgivningen, som skal anmeldes til Datatilsynet. Sådanne grænseværdier eksisterer nemlig allerede i forvejen i den eksisterende lovgivning. Konkret fremgår det af databeskyttelsesforordningens artikel 33, stk. 1.: ”Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse […] medmindre, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. I Danmarks DPO-Forening er vi derfor meget nysgerrige efter at få præsenteret et konkret forslag fra Erhvervslivets EU- og Regelforum ift. hvad en ny minimumsgrænse burde være.

I stil med Erhvervslivet EU- og Regelforums forslag om, at indføre nye ”minimumsgrænser” for anmeldelser til Datatilsynet - er vi i Danmarks DPO-Forening ligeledes overrasket over anbefalingen om, at undtage virksomhederne for oplysningspligten i de tilfælde ”Hvor indsamlingen af oplysninger sker ved, at den registrerede selv henvender sig […].” Sådanne undtagelser findes nemlig allerede flere steder i den eksisterende lovgivning. Konkret fremgår det af databeskyttelsesforordningens artikel 13, stk. 4, at hvis den registrerede er bekendt med oplysningerne, så er virksomhederne ikke forpligtet til at iagttage deres oplysningspligt overfor den registrerede. Hvad vi derfor er overrasket – og lettere bekymret over – er i hvilke tilfælde, at virksomhederne ikke ønsker at fortælle borgerne, hvilke oplysninger, de indhenter omkring dem.

I Danmarks DPO-Forening er vi særligt bekymret over Erhvervslivets EU- og Regelforums forslag om en forringelse af hvad der i fagsprog hedder ”Oplysningspligten”. Oplysningspligten er en nemlig en grundlæggende forpligtigelse for offentlige myndigheder og private virksomheder til at oplyse borgerne om 1. Hvilke personoplysninger behandler vi om dig og 2. Hvilke rettigheder har du som borger efter lovgivningen. Meget enkelt, og relativt betryggende – særligt, hvis man ikke lige er ekspert i databeskyttelsesretslige spørgsmål.

 

 

Tags

Skrevet af

David Ulrik Kristiansen

David Ulrik Kristiansen, Data Protection Officer og bestyrelsesmedlem i Danmarks DPO-forening

Klummer

Se alle