Henvendelse til Kulturudvalget om L 168 (ændring af arkivloven og DAMD-sagen)

I lovforslagets bemærkninger og høringsnotatet fremhæves det, at arkivloven ikke skelner mellem lovligt og ulovligt indsamlede oplysninger, herunder personoplysninger.

I en retsstat virker det absurd, at en offentlig myndighed kan foretage en ulovlig indsamling af følsomme personoplysninger, hvorefter en anden offentlig myndighed (Rigsarkivet) lovligt kan overtage de ulovligt indsamlede oplysninger. IT-Politisk Forening vil opfordre til, at Kulturudvalget og Folketinget benytter lejligheden til at overveje, om det virkelig er en hensigtsmæssig retstilstand.

Som vi redegør for i vores høringssvar til L 168, mener IT-Politisk Forening at de ulovligt indsamlede DAMD-data skal slettes i stedet for at blive arkiveret i Rigsarkivet.

Det primære formål med denne henvendelse er imidlertid at påpege, at arkivering af ulovligt indsamlede oplysninger afskærer borgerne fra den ret til sletning som følger af persondataloven § 37 og artikel 12 i persondatadirektivet 95/46. Vi mener ikke, at der, i samspillet mellem arkivloven og persondataloven (samt persondatadirektivet), er lovhjemmel til at nægte borgerne ret til sletning af deres ulovligt indsamlede personoplysninger efter overførsel til Rigsarkivet.

Vi vil nærmere redegøre for dette synspunkt i det følgende.

Spørgsmålet om ret til sletning hos Rigsarkivet er kun aktuelt, når der er tale om ulovligt indsamlede oplysninger, som i DAMD-sagen. Normalt sker behandlingen af personoplysninger hos offentlige myndigheder på et lovligt grundlag, og borgeren vil i denne situation ikke have nogen ret til sletning hos den dataansvarlige myndighed med henvisning til persondatalovens § 37.

Af bemærkningerne til persondataloven afsnit 4.2.11.3 fremgår det, at persondataloven bygger på den forudsætning, at spørgsmålet om arkivmæssig anvendelse (behandling) af personoplysninger afgøres efter arkivlovgivningens regler herom (og ikke efter reglerne i lov om behandling af personoplysninger kapitel 4), medens de øvrige generelle regler i lov om behandling af personoplysninger finder anvendelse på arkivmæssig behandling af personoplysninger, medmindre det databeskyttelsesretlige spørgsmål er reguleret i arkivlovgivningen.

Arkivlovens kapitel 9 viderefører i § 42 persondatalovens ret til indsigt i egne oplysninger, men der er i kapitel 9 ikke nogen ret til sletning.

Når retten til sletning ikke er reguleret af arkivloven, må bemærkningerne afsnit 4.2.11.3 til persondataloven skulle læses således, at spørgsmålet om sletning stadig er reguleret af persondataloven.

Retten til sletning i persondataloven § 37 hviler på persondatadirektivet 95/46 artikel 12, og artikel 13 i direktivet kræver at undtagelser skal være hjemlet med lov samt opfylde en række betingelser. Vi mener ikke at der i arkivloven, eller bemærkningerne i afsnit 4.2.11.3 til persondataloven, er en tilstrækkelig klar hjemmel til at afskære borgerne fra retten til sletning af ulovligt indsamlede personoplysninger.

Forarbejderne til persondataloven § 14 henviser endvidere til side 145-150 i betænkning 1345/1997 om behandling af personoplysninger. Her redegøres for samspillet mellem persondatalovreglerne (registerloven) og arkivloven.

Af afsnit 5.4.3 i betænkningen ("Sammenfatning vedrørende forholdet mellem lov om offentlige myndigheders registre og arkivlovgivningen") fremgår det:

Som det fremgår af ovennævnte beskrivelse, er reglerne i henholdsvis lov om offentlige myndigheders registre og arkivlovgivningen udtryk for en afvejning mellem på den ene side hensynet til at undgå unødig dataophobning og på den anden side hensynet til forskningens interesse i, at relevante edb-registre bevares.

I registerlovgivningen reguleres den løbende administrative anvendelse af de registrerede personoplysninger, hvorimod arkivlovgivningen regulerer den anvendelse til bl.a. forskningsformål, der finder sted, efter at oplysningerne ikke længere anvendes administrativt.

Der er således ikke tale om et egentligt modsætningsforhold mellem de to love. De sager om arkivering, som forelægges for Registertilsynet, giver derfor kun sjældent anledning til problemer.

Når det i betænkningen fremhæves, at der ikke er noget modsætningsforhold mellem de to love, må det være klart underforstået, at der er tale om en situation, hvor de pågældende personoplysninger er lovligt indsamlet.

Situationen med ulovligt indsamlede personoplysninger er markant anderledes, og i denne situation er der et reelt modsætningsforhold mellem persondatalovens beskyttelse af borgeren og arkivloven. For det første sker arkivering langt tidligere end det normalt vil være tilfældet, fordi der ikke er nogen (lovlig) løbende anvendelse af oplysningerne i det administrative system. For det andet er der retten til sletning af ulovligt indsamlede oplysninger, som Rigsarkivet for nærværende i DAMD-sagen prøver at afskære med henvisning til arkivloven.

Når betænkning 1345/1997 alene beskæftiger sig med det tilfælde hvor personoplysningerne er lovligt indsamlede, kan betænkningen ikke med rimelighed bruges som støtte for, at arkivering skulle afskære borgerne fra ret til sletning af ulovligt indsamlede personoplysninger. Kravet må være, at en sådan indskrænkning specifikt skal fremgå af dansk lov, og det er ikke tilfældet.

Når der som i DAMD-sagen er tale om følsomme personoplysninger, kan en eventuel indskrænkning af borgerens ret til at forlange ulovligt indsamlede oplysninger slettet (jf. artikel 12 i direktivet) meget vel udgøre en indskrænkning af den grundlæggende ret til persondatabeskyttelse i artikel 8 i Charter om Grundlæggende Rettigheder. Det aspekt, og den deraf følgende vurdering af nødvendighed og proportionalitet ved indskrænkningen, jf. artikel 52, stk. 1 i Charteret, er dog kun relevant, hvis Kulturministeren mener, at en sådan indskrænkning af retten til sletning eksisterer i arkivloven eller anden dansk lov.

For at opsummere, mener IT-Politisk Forening at retten til sletning af de ulovligt indsamlede DAMD-data fortsat må bestå, også efter at oplysningerne er overført til Rigsarkivet.

Ud fra et rimelighedssynspunkt må det også være det eneste rigtige, idet alternativet er at borgernes mulighed for at få slettet ulovligt indsamlede oplysninger er afhængig af, om borgerne har reageret inden en arbitrært fastsat tidsfrist. Et sådan retstilstand virker åbenlyst urimelig.

Som det uden tvivl er Kulturudvalget bekendt, har Rigsarkivet imidlertid en anden fortolkning af samspillet mellem arkivloven og borgernes rettigheder efter persondataloven. I DAMD-sagen har Rigsarkivet således meddelt den dataansvarlige myndighed Region Syddanmark et forbud mod at foretage sletninger af de ulovlige DAMD-data i det administrative system, hvis borgernes krav om sletning modtages efter den 27. marts 2015. Denne frist blev tilsyneladende fastsat med endog meget kort varsel, formentlig under 24 timer.

Det anføres, at lovforslaget skulle balancere hensynene til den registreredes retsfølelse på den ene side og til den offentlige tilgængelighed på den anden side. IT-Politisk Forening mener ikke, at der overhovedet er et hensyn til offentlig tilgængelighed til ulovligt indsamlede oplysninger om vores privatliv. Og det krænker vores retsfølelse at lovforslaget medfører, at private oplysninger om os, der ulovligt er indsamlet af offentlige myndigheder, vil blive opbevaret af staten på ubestemt tid. At staten blokerer sig selv og andre fra adgangen til oplysningerne i 120-230 år, gør ingen afgørende forskel i den henseende.