Høringssvar: Dataansvarlig og databehandler

Justitsministeriet har i supplerende høring af 3. oktober 2022 bedt KL

1) oplyse om de udfordringer, som KL har peget på i forbindelse med den nationale evaluering af databeskyttelsesreglerne fsva. kommunernes databehandleraftaler med staten fortsat er aktuelle, og om KL har identificeret yderligere udfordringer. Hvis dette er tilfældet

2) beskrive i hvilke situationer eventuelle yderligere udfordringer opstår ved brug af konkrete eksempler, ligesom KL bedes

3) pege på eventuelle løsningsforslag.

Udfordringen

I forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne i 2020 påpegede KL i sit høringssvar, at anvendelsen af databehandlerkonstruktionen i samarbejdet mellem stat og kommuner gav udfordringer for kommunerne.

Før GDPR havde databehandleraftaler og databehandlerkonstruktioner typisk været noget, som var forbeholdt kommunernes aftaler med it- leverandører. Ved indførelsen af konstruktionen i fællesoffentlige projekter og samarbejder blev det tydeligt, at konstruktionen havde uhensigtsmæssige konsekvenser både administrative og resursemæssige, men også i yderste konsekvens for sikkerheden omkring borgernes data.

Kommunerne som dataansvarlige

Det typiske setup, som kommunerne bliver part i, er, at en statslig styrelse tilvejebringer en digital løsning, portal etc., som kommunerne (evt. via regulering) er forpligtede til at anvende. Da det er kommunale data, som kommunerne skal lægge ind i den givne løsning, vil kommunerne i databehandleraftalen typisk få rollen som dataansvarlig. Imidlertid vil det være den pågældende styrelse, der udarbejder udbud, der beskriver hvilke behandlinger, der skal foretages i en given løsning samt formålet hermed, indgår kontrakt med leverandører og forvalter leverandørkontrakten. Dvs. at styrelsen de facto udøver rollen som dataansvarlig.

Kommunerne står formelt som dataansvarlige på trods af, at den enkelte kommune ikke har nogen indflydelse på hverken formål eller hjælpemidler og dermed reelt ikke kan siges at være dataansvarlig, jf. databeskyttelsesforordningens artikel 4, nr. 7. Dette giver anledning til tvivl i forhold til forståelsen af reglerne.

Det giver ligeledes udfordringer for kommunerne, at statslige myndigheder, som fastsætter reglerne for kommunernes behandling af personoplysninger, i databehandleraftaler mellem kommunerne og de statslige myndigheder juridisk defineres som "databehandlere", som kommunerne skal indgå databehandleraftaler med, instruere og føre tilsyn med. Kommunerne oplever, at definitionen af databehandlere, "... der behandler personoplysninger på den dataansvarliges vegne", jf. databeskyttelsesforordningens artikel 4, nr. 8, ikke afspejler det reelle setup, når der samarbejdes med staten.

Bliver kommunen via regulering pålagt fx at anvende et statsligt it-system til givne behandlinger, har kommunen ikke mulighed for at udøve den dataansvarliges dispositionsret, sikre behandlingshjemmel og behandlingssikkerhed. Mulighederne for at kunne efterleve registreredes rettigheder er ligeledes begrænsede. Kommunerne oplever derfor reelt databehandleraftalerne med staten som uden værdi og af proformakaraktér. I Datatilsynets vejledning om dataansvarlige og databehandlere er setuppet beskrevet således:

"En særlig situation kan foreligge i tilfælde, hvor du som dataansvarlig, ved lov, er pålagt at bruge en bestemt leverandør. I disse situationer, kan du komme i tvivl om din og de øvrige parters rolle, idet du som dataansvarlig ikke har mulighed for at vælge en anden leverandør, selvom behandlingen – efter din vurdering – ikke er tilfredsstillende eller lovlig. Den manglende mulighed for at fravælge en leverandør betyder dog ikke nødvendigvis, at der ikke kan foreligge en databehandlerkonstruktion." (vejledningen s. 10n.).

Det er efter KL´s mening ikke hensigtsmæssigt med en juridisk ramme, som ikke giver den dataansvarlige mulighed for at sikre, at der ikke sker uønskede eller eventuelt ulovlige behandlinger. Idet dette er intentionen med databehandleraftalerne.

Kommunerne som databehandlere

I nogle konkrete samarbejdssituationer er kommunerne blevet tildelt rollen som databehandlere for de statslige myndigheder desuagtet, at kommunerne har myndighedsansvaret for opgaven ved lov. Det giver heller ikke mening for kommunerne.

For så vidt angår kommunerne anvender de typisk den udviklede løsning som led i udførelsen af de opgaver, de er blevet pålagt ved lov og dermed har ansvaret for. At gøre kommunerne til databehandlere for staten, hvor staten instruerer kommunerne i, hvordan de skal behandle de givne personoplysninger, begrænser kommunernes mulighed for selv at tilrettelægge deres opgavevaretagelse bedst muligt ud fra lokale hensyn.

Resurseforbrug

Nedgørelse af databehandleraftaler er en resursekrævende opgave for kommunerne, som har indgået mange hundrede databehandleraftaler som følge af GDPR. Derfor har det stor betydning for kommunerne, at resurserne anvendes der, hvor det reelt medvirker til øget datasikkerhed for borgerne.

Det er derfor hensigtsmæssigt, at alle databehandleraftaler mellem kommunerne og staten reguleres centralt via bekendtgørelser sådan, som det eksempelvis er sket ved bekendtgørelse nr. 529 af 2. maj 2019 om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. Det vil betyde, at den enkelte kommune ikke skal anvende unødige resurser på at gennemlæse og forholde sig til aftaler, som de ikke har nogen indflydelse på, herunder mulighed for at stille individuelle krav til aftalerne.

Aktuel status

KL har i forbindelse med Justitsministeriets supplerende høring spurgt kommunerne, om de fortsat oplever udfordringer med databehandlerkonstruktionen i samarbejder med staten. Dette er bl.a. sket via det fælleskommunale sikkerhedsprograms Yammer-gruppe. Medlemmer af gruppen er kommunale praktikere, som arbejder med it- sikkerhed og databeskyttelse.

Inden for en kort frist på en uge, har KL modtaget en række eksempler på udfordringer med statslige databehandleraftaler. Det er KL´s indtryk, at dette afspejler, at udfordringerne fortsat er aktuelle og, at hvis Justitsministeriet gennemfører en ny national evaluering af databeskyttelsesreglerne, vil langt flere eksempler blive identificeret.

I forbindelse med KL´s høringssvar til den nationale evaluering af databeskyttelsesreglerne i 2020 foreslog KL, at ministeriet igen i 2022 gennemførte en national evaluering af reglerne for bl.a. at vurdere, om der er behov for i EU-regi at bede om forenkling af reglerne i forbindelse med EU-Kommissionens evaluering af GDPR-reglerne i 2024.

Det er KL´s opfattelse, at problematikken omkring dataansvarsforholdet, når offentlige myndigheder samarbejder, er en problematik, der ikke kan løses via mere vejledning. Problematikken fordrer en principiel stillingtagen til forståelsen af databeskyttelsesforordningens artikel 4, nr. 7 (definition af "dataansvarlig") og artikel 4, nr. 8 (definition af "databehandler"), når der er tale om offentlige myndigheders samspil, evt. via tilpasning af reglerne.

Input fra kommunerne

I KL´s høringssvar til den nationale evaluering af databeskyttelsesreglerne i 2020 opregnede KL på baggrund af input fra kommunerne en række konkrete eksempler på problemstillingen:

"Aktuelle eksempler, som kommunerne nævner, er indberetningen af Utilsigtede hændelser (Sundhedsdatastyrelsen), Danmarks Adresseregister (DAR), Borger.dk (Digitaliseringsstyrelsen) og Unilogin (Styrelsen for IT og Læring), klageportaler, Professionshøjskolernes Praktikportal, EGU-portalen, FMK (Fælles medicinkort), geodata-Dk, BBR, Byg Og Miljø, Danmarks Miljøportal, Husdyrgodkendelse.dk, Jupiter - Danmarks geologiske & hydrologiske database, KMD ESR (Ejendoms-stamregistret), DSPD, Telesår, FUT, system for trivselsmåling, systemet ”ydelsesrefusion", Det Fælles Datagrundlag under STAR, den nye telemedicinske løsning, de lovpligtige indberetninger til hhv. NAB og SMDB (rusmiddelområdet), undersøgelser, der udarbejdes for/sammen med statslige myndigheder." (KL´s høringssvar af 9. okt. 2010, Bilag I, "Kommunernes 10 højest prioriterede GDPR-problemstillinger", s. 5).

I forbindelse med nærværende supplerende høring har kommunerne desuden nævnt følgende nye eksempler:

• Databehandleraftale med Styrelsen for Patientsikkerhed ift. indberetningsportalen til EESSI.
• Databehandleraftale med Sundhedsdatastyrelsen ift. Dansk Patientsikkerhedsdatabase (DPSD).
• På STIL´s område oplever kommunerne, at styrelsen agerer som myndighed og ikke databehandler for kommunerne. Det betyder, at kommunerne som dataansvarlige ikke bliver inddraget i valget af underdatabehandlere og ikke har mulighed for at kontrollere hvilke underdatabehandlere, STIL anvender. Kommunerne oplever manglende inddragelse.
• Kommunerne nævner, at Folketinget udarbejder digitalt undervisningsmateriale, hvor de anmoder om adgang til kommunernes data via tilslutning.stil.dk uden databehandleraftale. Kommunerne har som dataansvarlige ingen viden om, hvem der anvendes som underdatabehandlere.
• Kommunerne påpeger generelt, at det er en udfordring at afklare, om der i konkrete setups er tale om to selvstændige dataansvarlige uden fælles dataansvar (videregivelse) eller om der er tale om en databehandlerkonstruktion. Her nævnes som eksempler Ejerfortegnelsen, CPR-kontoret og Den digitale tinglysning.
• Kommunerne nævner ligeledes, at det på udlændingeområdet, hvor kommunerne er asyloperatører, er svært at skabe klarhed omkring, hvem der har hvilke roller ift. dataansvaret. I sidste ende betyder det usikkerhed omkring behandlingssikkerheden.

Input fra KL

Som supplement til kommunernes input har KL selv i dialogen med STIL og STUK om udkast til vejledning om Folkeskolens Nationale Overgangstest oplevet udfordringerne med rollefordelingen ift. dataansvaret. Kommunerne er som dataansvarlige for gennemførelsen af nationale overgangstest blevet pålagt at gemme testresultater fra overgangstestene på lærernes bærbare computere i en overgangsperiode, indtil STIL har færdigudviklet et system til opbevaring af testene. Dette er for kommunerne en både uhensigtsmæssig og langt fra datasikkerhedsmæssigt optimal løsning. Imidlertid har kommunerne ikke mulighed for at vælge en anden, mere sikker løsning. I stedet henviser STIL til, at kommunerne som dataansvarlige har ansvaret for personoplysningerne:

”En elevs testresultat falder ind under almindelige personoplysninger jf. Databeskyttelsesforordningen. Opbevaring af downloadede resultater skal derfor ske på en sikker måde, der ikke muliggør misbrug af og eksponering af data til uvedkommende. I dette tilfælde er kommunen dataansvarlig, men Styrelsen for It og Læring opbevarer logfiler og vil kunne kontaktes i tilfælde af mistanke om misbrug af elevdata.” (Mail fra STIL til KL den 3. okt. 2022).

For KL at se, er dette et godt eksempel på, hvorledes kommunerne i praksis ikke har mulighed for at varetage deres dataansvar, når der samarbejdes med staten i databehandlerkonstruktioner.

Løsningsforslag

I KL´s høringssvar til den nationale evaluering af databeskyttelsesreglerne i 2020 foreslog kommunerne, at der ses på, om fælles dataansvar er en mere juridisk korrekt model frem for, at kommunerne er dataansvarlige for statslige myndigheder.

Alternativt at der ses på de juridiske muligheder for, at der ikke indgås databehandleraftaler, når staten er aftalepart. Idet en forudsætning for, at der er tale om databehandlerkonstruktion er, at databehandleren ikke kan disponere over oplysningerne eller i øvrigt uden den dataansvarliges accept hvilket, jf. ovenfor, ikke kan siges at være tilfældet i praksis.

Kerneområdet for databehandlere er private virksomheder, der foretager behandlinger med kommercielt sigte – hvor man skal sikre sig mod at profithensyn fx vejer tungere en datasikkerhed. Dette vil ikke være tilfældet hos offentlige myndigheder.

Et alternativt forslag er at se på, om det i højere grad er muligt i forhold til de konkrete løsninger at tale om, at der sker videregivelse af personoplysninger mellem to selvstændige dataansvarlige i stedet for overladelse af personoplysninger fra en dataansvarlig til en databehandler. Dette vil på alle måder tydeliggøre og forenkle parternes individuelle ansvar. Hvis en styrelse via en it-løsning modtager personoplysninger og i løsningen behandler oplysningerne på en måde, som kommunen ikke har været med til at definere og instruere styrelsen i, ligner konstruktionen en reel videregivelse. Har kommunerne behov for adgang til oplysningerne efterfølgende, kunne det juridisk defineres som en "videregivelse retur".

KL vil derfor foreslå, at den tværministerielle arbejdsgruppe drøfter, om det i samarbejdskonstruktionerne mellem kommunerne og staten reelt er tale om, at der i it-løsningen sker behandling på egne eller den dataansvarliges vegne.

Hvis databehandlerkonstruktionen opretholdes eller der i stedet indføres brug af aftaler om fælles dataansvar mellem kommuner og stat, vil KL gentage ønsket om at alle databehandleraftaler eller aftaler om fælles dataansvar mellem kommunerne og staten reguleres af bekendtgørelser, "andet retligt dokument", jf. databeskyttelsesforordningens artikel 28, stk. 3. Således, at den enkelte kommune ikke skal anvende unødvendige resurser på at indgå og forholde sig til aftalerne, men kan lade KL kommentere aftalerne på vegne af alle kommuner.

Videre dialog

KL deltager gerne i den videre dialog om hensigtsmæssige dataansvarsroller, når kommunerne samarbejder med staten.

Blandt andet afholder KL netværksmøder for kommunale jurister i hele landet i løbet af november måned. Spørgsmålene fra Justitsministeriets supplerende høring om rollefordelingen som dataansvarlig og databehandler vil blive drøftet på disse møder. Resultatet af disse drøftelser vil KL meget gerne sende til Justitsministeriet i løbet af december måned.