Når personoplysninger skal bruges til andet end det formål, de er blevet indhentet til, må det ikke være i strid med princippet om formålsbestemthed. Det kan give udfordringer i den offentlige sektor. Disse udfordringer og mulighederne for at afhjælpe dem er der fokus på i forslaget til en ny databeskyttelseslov.

Persondatalovens § 5 indeholder de grundlæggende principper for behandling af oplysninger. Heriblandt er princippet om formålsbestemthed. Principperne i § 5 skal altid overholdes, samtidig med at behandlingen af personoplysninger skal have hjemmel i behandlings­reglerne i persondatalovens §§ 6-13 eller i særlovgivningen.

Lovens § 5 er derfor ikke til at komme uden om, for selvom der er hjemmel til en given behandling af personoplysninger i behandlingsreglerne, f.eks. i § 6, skal man forbi § 5 og sikre, at bl.a. princippet om formålsbestemthed er overholdt.

Formålsbestemthed

Princippet om formålsbestemthed – det såkaldte finalité-princip – følger af persondatalovens § 5, stk. 2. Det betyder, at oplysninger skal indsamles til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med de oprindelige formål.

Bestemmelsen sætter grænser for videreanvendelse, dvs. “genbrug” af indsamlede oplysninger til andre formål end de oprindelige. Der kan således ikke frit videregives oplysninger inden for den offentlige forvaltning (f.eks. om skatteforhold) til øvrige myndigheder (f.eks. miljømyndigheder), som kunne finde disse oplysninger interessante. Inden oplysninger kan videreanvendes til andre formål end de oprindelige formål, skal der altid laves en konkret vurdering af, om det nye formål er uforeneligt med det oprindelige formål, som personoplysningerne er indsamlet til. Det er dog muligt at videreanvende oplysninger på trods af uforenelighed med det oprindelige formål, hvis der indhentes et samtykke fra de personer, som oplysningerne vedrører.

De kommende regler

Den 25. maj 2018 får persondata­for­ordningen virkning. Som led i den danske tilpasning af reglerne er der i oktober 2017 fremsat et forslag til ny databeskyttelseslov, der skal erstatte den nugældende persondatalov. De nye regler skal supplere reglerne i person­dataforordningen.

Databeskyttelsesloven gentager imidlertid også visse af persondata­forordningens regler, herunder bl.a. den såkaldte ikke-uforenelighedstest i artikel 6, stk. 4, som fremgår af lov­forslagets § 5, stk. 2. Lovforslaget gentager således de fem parametre, der er nævnt i forordningen, som spørgsmålet om forenelighed med det oprindelige formål bl.a. skal vurderes efter.

Parametrene vedrører i hovedtræk:

  • Forbindelsen mellem det formål, som personoplysningerne er indsamlet til, og formålet med viderebehandlingen.
  • Den sammenhæng, hvori person­oplysningerne er indsamlet.
  • Personoplysningernes art, herunder navnlig om der er tale om følsomme oplysninger.
  • Mulige konsekvenser af videre­behandling af oplysningerne.
  • Fornødne garantier såsom kryptering og pseudonymisering.

Herudover er det nyt, at der i lovforslaget foreslås en bestemmelse, som giver bemyndigelse til at udstede bekendt­gørelser med nærmere regler om, at personoplysninger indsamlet af offentlige myndigheder må videre­behandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed (§ 5, stk. 3). Sådanne bekendtgørelser skal dog holde sig inden for rammerne af persondataforordningens artikel 23 om begrænsning af de registreredes rettigheder.

Det fremgår af lovforslaget, at regeringen ønsker, at det offentlige kan videre­anvende og genbruge data på en effektiv, åben og transparent måde, der stadig lever op til kravene om data­beskyttelse. Det er hensigten, at der skal skabes rammer for en effektiv datadeling, så borgerne og virksomhederne kan få en mere effektiv sagsbehandling og mere målrettede, sammenhængende indsatser, der virker bedre for den enkelte.

Forslaget skal bidrage til, at borgere og virksomheder i videst muligt omfang kun skal afgive samme oplysning én gang til den offentlige sektor. På det punkt er forslaget en del af regeringens målsætning om at give medarbejdere i det offentlige mere tid til kerneopgaven.

Bemyndigelsen til at udstede bekendt­gørelser skal ifølge forslaget bidrage til, at den offentlige sektor kan levere en bedre og mere sammenhængende offentlig service ved at muliggøre en mere smidig og effektiv regulering af deling af data.

Perspektiverne for den offentlige sektor

Lovforslaget lægger dermed både op til, at dataansvarlige selv kan foretage en konkret vurdering af, om betingelserne for videreanvendelse er opfyldt, samt til at der på specifikke områder kan fastsættes nærmere regler om videre­anvendelse.

Hvis lovforslaget bliver vedtaget med de nye bestemmelser i § 5, stk. 2-3, i deres nuværende form, bliver det interessant, hvordan bestemmelserne kommer til at virke i praksis.

Genanvendelse af personoplysninger i kommuner og andre offentlige institutioner kan lette administrative byrder og dermed i sidste ende være til gavn for samfundet og borgerne.

Det fremgår af bemærkningerne til lovforslaget, at man ønsker at tydeliggøre den adgang til videreanvendelse af data, som følger af forordningen. Behovet for tydeliggørelse har formentlig baggrund i den måde, princippet om formålsbestemthed hidtil er blevet fortolket på i praksis, og som hidtil kan have virket som en for vidtgående begrænsning for videre­anvendelse af oplysninger i den offentlige forvaltning. I praksis har man ofte bedt borgere eller virksomheder om at indberette de samme oplysninger flere gange, selvom de oplysninger, som forvaltningen havde i forvejen, nok i en del tilfælde kunne genbruges uden at komme i strid med princippet om formålsbestemthed. Dette er blevet oplevet som en hindring for effektiv sagsbehandling. Her vil offentlige myndigheder med den foreslåede nye bestemmelse i § 5, stk. 2, få noget mere konkret at vurdere spørgsmålet om uforenelighed ud fra.

Der kan dog være mere håndgribelige perspektiver i den nye mulighed for at fastsætte nærmere regler om videre­anvendelse, uanset forenelighed. Lovforslaget lægger op til, at bemyndigelsen kunne tænkes udnyttet til nye regler, som kan understøtte digital sagsbehandling i det offentlige.

Det fremgår af lovforslaget, at tanken er, at den nye mulighed for at fastsætte regler i bekendtgørelser både skal kunne anvendes til at fastsætte regler om videregivelse af oplysninger inden for en myndighed, f.eks. en kommune, og fra en myndighed til en anden myndighed.

Hvis lovforslaget bliver vedtaget i sin nuværende form, kan det fremadrettet udvide adgangen til genanvendelse af data i den offentlige sektor. Det har perspektiver både i forhold til eksisterende sagsgange og systemer hos kommuner og andre offentlige myndigheder, men også i forhold til nye projekter.

Samkøring i kontroløjemed

I forhold til “genbrug” af persondata i den offentlige sagsbehandling er det også interessant, at der med forslaget til databeskyttelsesloven lægges op til en ændring i forhold til praksis, hvorefter samkøring i kontroløjemed skal have særskilt hjemmel i en lov, dvs. anden lov end persondataloven.

Det fremgår af bemærkningerne til lovforslaget, at Justitsministeriet vurderer, at særligt persondatafor­ordningens artikel 5 og artikel 6, stk. 4, om principper for behandling af personoplysninger, herunder proportionalitetsprincippet og princippet om formålsbegrænsning, yder tilstrækkelig stærk beskyttelse til de registrerede, samtidig med at forordningen sikrer rum for offentlige myndigheders saglige behov for at kunne samkøre personoplysninger i kontroløjemed.

Hvis lovforslaget bliver vedtaget, vil det formentlig fremover blive enklere for offentlige myndigheder at navigere i denne del af lovgrundlaget, da en hjemmel til saglig samkøring i kontrol­øjemed ikke længere vil skulle søges rundt omkring i særlovgivningen, men vil kunne foretages med hjemmel i alene i persondataforordningen.