FOB 2016

Offentlighedslovens nye paragraf om dataudtræk har begrænsninger

Lisbeth Adserballe, kontorchef

En af nydannelserne i offentlighedsloven fra 2014 var mulig­heden for at kræve udtræk fra databaser. Pressen og andre kan nu bede myndighederne om at trække store mængder af offentlige data. Flere sager hos ombudsmanden viser dog, at en række forhold i praksis kan begrænse den mulighed.

Offentlighedslovens § 11 om ret til dataudtræk er med god grund fremhævet som en af de bestemmelser i loven, der skaber mere åbenhed. Tidligere var der ikke ret til at få indsigt i forvaltningens mange databaser. Det er der nu.

Det var – og er – uomtvisteligt, at bestemmelsen om dataudtræk har åbnet for nye muligheder for aktindsigt, som journalister og andre ikke havde før.

Men efter tre års erfaringer hos ombudsmanden er det også klart, at den nye bestemmelse har begrænsninger.

F.eks. skal myndighederne være helt sikre på, at der blandt mange oplysninger i et ønsket dataudtræk ikke gemmer sig enkelte fortrolige data. Hvis det er res­sourcekrævende at undersøge, om der skulle være noget fortroligt, kan myndig­heden med god ret sige nej til en anmodning om dataudtræk.

Krav om produktion af nye dokumenter

Da offentlighedsloven blev præsenteret tilbage i 2013, blev den nye mulighed for at få indsigt i databaser begrundet i den teknologiske udvikling. Den offent­lige forvaltning anvender i stigende omfang databaser i sin virksomhed, og man mente, at loven burde tilpasses denne udvikling.

Her skal det dog nævnes, at man allerede inden den nye offentlighedslov havde mulighed for at få indsigt i databaser, hvis der var tale om miljøoplysninger.

De nye regler i offentlighedsloven gav dog ikke uden videre fuld indsigt i myn­dighedernes databaser. Databaserne er som sådan stadig undtaget fra aktindsigt. Men med § 11 kan man nu under visse betingelser forlange, at en myndighed foretager et dataudtræk.

Bestemmelsen brød dermed også med det princip, at der kun kan gives akt­indsigt i eksisterende dokumenter. Med § 11 blev der åbnet for, at journalister og andre kan bede myndighederne om at producere nye dokumenter i form af dataudtræk.

Af hensyn til myndighedernes ressourceforbrug vedtog man den betingelse, at udtrækket skal kunne ske ved ”få og enkle kommandoer”.

Hos ombudsmanden har vi fra 2014 til 2016 modtaget ca. 700 klager om aktindsigt efter offentlighedsloven. Heraf har ca. 25 handlet om afslag på dataudtræk. Der er forskellige grunde til, at myndighederne har givet afslag på dataudtræk fra en database. I nogle tilfælde kunne udtrækket ikke foretages ved få og enkle kommandoer, men der har også været andre barrierer.

Hvad er en database?

For det første har det vist sig, at det ikke altid er indlysende, hvad en database er. Man har nemlig ikke ønsket at definere en database nærmere i offentlig­hedsloven af frygt for at blive overhalet af de teknologiske fremskridt.

I den betænkning, der ligger til grund for loven, er der dog anført følgende om databaser:

”(…) de indeholder en datamængde, der er organiseret og struktureret således, at der fra denne datamængde efter individuelle kriterier, som bestemmes af brugeren, kan fremkaldes bestemte data.”

Hos ombudsmanden har vi i to sager været ude for, at der kunne være tvivl om, hvorvidt der var tale om en database eller ej.

I det ene tilfælde ville en mand vide, hvem der havde slået hans navn op i et CPR-register. Disse oplysninger fandtes i sikkerhedsloggen til CPR-registeret. Økonomi- og Indenrigsministeriet mente dog ikke, at sikkerhedsloggen var en database, selv om den rummede store mængder data. Ministeriet afslog man­dens anmodning, fordi man ikke var inden for § 11. Ombudsmanden kunne ikke hjælpe. Han pegede bl.a. på, at § 11 – ifølge forarbejderne til loven – ikke har tanke på registre, der ”føres med henblik på at tjene nogle interne, admini­strative formål” (FOB 2014-16).

I det andet tilfælde kom ombudsmanden frem til det modsatte resultat. En journalist ville have oplysninger om bl.a. navn og løn for samtlige ansatte i Aarhus Kommune og for nogle bestemte chefgrupper i Københavns Kommune. Ombudsmanden slog fast, at de to kommuners lønsystemer var databaser. Han lagde vægt på, at lønsystemerne opfyldte de tekniske betingelser for at være databaser, og at oplysningerne i systemerne blev anvendt i forbindelse med sags­behandlingen, bl.a. i forbindelse med lønudbetaling og fastsættelse af løn (FOB 2016-5).

Fortrolige oplysninger lukker ned for databasetræk

Et andet vigtigt forbehold i § 11 er, at man ikke kan udlevere fortrolige oplys­ninger i forbindelse med et dataudtræk. Der er dog en pligt til så vidt muligt at anonymisere oplysninger for at kunne give indsigt alligevel, men også anonymi­sering skal kunne ske ved ”få og enkle kommandoer”.

Vi har haft flere sager, hvor det forhold, at et dataudtræk indeholder fortrolige oplysninger, er til hinder for indsigt.

En journalist ville f.eks. gerne have oplysninger om antallet af ansatte i for­skellige virksomheder. Han skulle bruge oplysningerne ”til at belyse forhold om virksomhedernes arbejdsmiljø, der også må siges at have åbenlys offentlig interesse”. Oplysningerne kunne trækkes fra det såkaldte CVR-register (Det Centrale Virksomhedsregister), og det kunne faktisk ske ved ”få og enkle kom­mandoer”. Alligevel fik journalisten afslag, og det godkendte ombudsmanden. Forklaringen var at finde i en bestemmelse i CVR-loven, der på baggrund af bl.a. konkurrenceforhold ikke tillader, at der gives nøjagtige oplysninger om antal ansatte, men kun, at der gives oplysninger i ”større intervaller” (FOB 2014-32).

I en anden situation ønskede en borger at få nøgletal om danske andelsbolig­foreninger fra en særlig database. Problemet var imidlertid, at nogle af oplys­ningerne var omfattet af en særlig tavshedspligtbestemmelse i lov om finansiel virksomhed. Derfor krævede et dataudtræk anonymisering. Ombudsmanden var enig med Ministeriet for By, Bolig og Landdistrikter i, at det ville kræve mere end ”få og enkle kommandoer” at anonymisere oplysningerne. Derfor fik borgeren heller ikke i dette tilfælde et dataudtræk (FOB 2016-35).

Begge sager er eksempler på, at regler om fortrolighed i enten offentlighedslo­ven eller anden lovgivning kan være til hinder for, at der foretages dataudtræk.

Den lille risiko er nok

Som det fremgår, kan myndigheder afvise at lave dataudtræk, hvis det er for omfattende enten at foretage selve udtrækket eller at anonymisere resultatet af udtrækket.

Men et par sager (FOB 2016-47 og FOB 2016-48) viser også, at alene en risiko for, at der kan være fortrolige oplysninger i et ønsket dataudtræk med store datamængder, er nok til at afvise.

Det hænger sådan sammen: Ombudsmanden har i de to sager udtalt, at § 11 må fortolkes sådan, at der i opgørelsen af en myndigheds ressourceforbrug også kan medregnes den tid, der går med at foretage de sagsbehandlingsskridt, som er nødvendige for at fastslå, om et dataudtræk indeholder fortrolige oplysninger.

Den tidligere omtalte journalist, der ønskede bl.a. navn og lønoplysninger på ansatte i Aarhus Kommune og Københavns Kommune, blev afvist med den be­grundelse. Efter reglerne i offentlighedsloven er der normalt ret til indsigt i så­danne oplysninger i konkrete personalesager, men der kan være særlige tilfælde, hvor oplysningerne ikke udleveres. Hvis en medarbejder er udsat for chikane fra en tidligere ægtefælle, bør man f.eks. holde det fortroligt, hvor hun er ansat.

De to kommuner afslog da også journalistens anmodning, og dette blev stadfæ­stet af Statsforvaltningen, Tilsynet. Begrundelsen var, at det var nødvendigt at høre samtlige medarbejdere for at være sikker på, at dataudtrækket ikke inde­holdt fortrolige oplysninger. Ombudsmanden godkendte denne forklaring.

Sagen viser, at blot en lille risiko for, at der kan være fortrolige oplysninger i det ønskede dataudtræk, kan udløse afslag på hele udtrækket.

Regler om betaling

En sidste begrænsning, der skal nævnes, drejer sig om betaling. Det fremgår nemlig af den betænkning, der ligger til grund for offentlighedsloven, at § 11 ikke gælder, hvis en myndighed har ret til at opkræve betaling for at sammen­stille oplysninger.

Det var tilfældet i en sag om dataudtræk fra Den Offentlige Informationsserver (OIS). En journalist havde bedt om en række oplysninger om samtlige danske ejendomme og grunde. Ministeriet for By, Bolig og Landdistrikter skrev til journalisten, at han kunne betale 72.000 kr. for at få adgang til databasen, hvis han ønskede at blive såkaldt datadistributør på linje med f.eks. ejendomsmæg­lere. Han kunne også henvende sig til en af de eksisterende datadistributører og få udtrækket væsentligt billigere.

Journalisten mente, at han havde ret til dataudtrækket efter offentlighedslovens § 11. Ombudsmanden kunne imidlertid ikke kritisere ministeriets afgørelse, da ministeriet netop havde hjemmel til at opkræve betaling for salg af sammenstil­ling af oplysninger, og denne særlige lovregel går forud for § 11 (FOB 2015-1).

It-systemer kan gøres ”trækningsvenlige”

Ombudsmanden har underrettet Folketingets Retsudvalg om sagerne, der dre­jer sig om fortrolige oplysninger i databaser. Det skyldes, at der var tale om en fortolkning af § 11, der begrænsede retten til dataudtræk.

Ombudsmanden har i samme ombæring henledt myndighedernes opmærksom­hed på, at de efter bestemmelsen i offentlighedslovens § 1, stk. 2, er forpligtede til at indtænke åbenhed, når de udvikler nye IT-systemer eller reviderer eksi­sterende. Ombudsmanden påpegede bl.a. muligheden for at markere fortrolige oplysninger i databaser for derved hurtigt at kunne anonymisere et dataudtræk.

 

Regler


§ 1. (...)
Stk. 2. Myndigheder m.v., der er omfattet af loven, skal sørge for, at det i stk. 1 nævnte hensyn til åbenhed i videst muligt omfang varetages ved valg, etablering og udvikling af nye it-løsninger.

§ 11. Enhver kan forlange, at en forvaltningsmyndighed foretager og udleverer en sammenstilling af foreliggende oplysninger i myndighedens databaser, hvis sammenstillingen kan foretages ved få og enkle kommandoer. Såfremt oplysningerne er omfattet af §§ 19-35, gælder sammenstillingsretten kun, hvis de hensyn, der er nævnt i disse bestemmelser, kan tilgodeses gennem anonymisering el.lign., der kan foretages ved få og enkle kommandoer. Retten til at få foretaget en sammenstilling gælder ikke, hvis oplysningerne allerede er offentliggjort i egnet form eller format. 
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse med hensyn til personoplysninger omfattet af § 10 i lov om behandling af personoplysninger.