Regionerne er positive overfor, at lovforslaget italesætter dataforordningens
krav om at samarbejde med Datatilsynet, som følge af samspillet mellem dataforordningen og de eksisterende regler om beskyttelse af personoplysninger.
Det fremgår imidlertid ikke klart af lovforslaget, hvordan Digitaliseringsstyrelsen og Datatilsynet skal bistå hinanden i det samarbejde. Datatilsynet har efter
dataforordningens artikel 37, stk. 3, ansvaret for at overvåge anvendelsen af
dataforordningen for så vidt angår beskyttelse af personoplysninger. Da Digitaliseringsstyrelsen udpeges som den kompetente tilsynsmyndighed for overholdelse af dataforordningen, savner regionerne en nærmere regulering af, hvordan Digitaliseringsstyrelsen forventes at bistå Datatilsynet i efterlevelse af Datatilsynets forpligtelser.
Det fremgår af de almindelige bemærkningers pkt. 3, at lovforslagets § 5 udgør
et supplerende retsgrundlag til databeskyttelsesforordningens artikel 6, stk. 1,
litra e, og giver Digitaliseringsstyrelsen mulighed for at afkræve ”alle oplysninger, som er nødvendige for Digitaliseringsstyrelsens tilsynsvirksomhed, herunder til fastlæggelse af, om et forhold hører under Digitaliseringsstyrelsens kompetence”. Det er regionernes opfattelse, at der ved enhver anmodning om oplysninger burde ske en overvejelse af, hvorvidt personoplysninger i den sammenhæng er nødvendige for Digitaliseringsstyrelsens opgavevaretagelse efter
dataforordningen. Kravet om nødvendighed efter databeskyttelsesforordningen vil ikke være til stede, hvis behandlingen af personoplysninger i forbindelse
med løsningen af den konkrete opgave, kunne løses ved afkrævning af oplysninger, som ikke indeholder personhenførbare data. Den samme overvejelse burde efter regionernes opfattelse finde sted for så vidt angår følsomme personoplysninger, som omtalt under de almindelige bemærkningers pkt. 3.
Det fremgår desuden af de almindelige bemærkningers pkt. 3, at ”Digitaliseringsstyrelsen er endvidere berettiget – og efter omstændighederne også forpligtet – til at undlade at offentliggøre oplysninger fra sager, som tilsynet har
behandlet, hvis offentlighedens interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private og offentlige interesser. I
tvivlstilfælde vil det være naturligt at indhente en udtalelse herom fra den dataansvarlige, som er part i sagen, og eventuelt tillige fra den registrerede.” I den
forbindelse burde det bemærkes, at den registrerede ikke nødvendigvis kan
overskue den konsekvens, som en offentliggørelse kan medføre. Offentliggørelsen burde derfor ikke hvile på et eventuelt samtykke fra den registrerede,
men en grundig vurdering foretaget af Digitaliseringsstyrelsen i tæt samarbejde
med Datatilsynet.
Læs også Danske Regioners høringssvar i pdf-format herunder: