EUU alm. del - endeligt svar på spm. 229 om advarsler eller påbud før bøde ved virksomheders brud på GDPR-reglerne, fra justitsministeren

Udenrigsministeriet
Asiatisk Plads 2
DK-1448 København K
Telefon +45 33 92 00 00
Telefax +45 32 54 05 33
E-mail: um@um.dk
http://www.um.dk
Girokonto 3 00 18 06
Medlemmerne af Folketingets Europaudvalg
Bilag Sagsnummer Kontor
1 2022-45 EKN 25. august 2022
SVAR PÅ UDVALGSSPØRGSMÅL
Til underretning for Folketingets Europaudvalg vedlægges Justitsministe-
riets besvarelse af spørgsmål 229 ad EUU alm. del af 2. juli 2021 vedrø-
rende indholdet af retningslinjerne fra henholdsvis Det Europæiske Da-
tabeskyttelsesråd og det danske Datatilsyn.
Jeppe Kofod
Offentligt
EUU Alm.del - endeligt svar på spørgsmål 229
Europaudvalget 2020-21


Side 1/5
Endelig besvarelse af spørgsmål nr. 229 (Alm. del) fra Folketingets Eu-
ropaudvalg
Hermed sendes endelig besvarelse af spørgsmål nr. 229 (Alm. del), som Fol-
ketingets Europaudvalg har stillet til justitsministeren den 2. juli 2021.
Spørgsmålet er stillet efter ønske fra Eva Kjer Hansen (V).
Nick Hækkerup
/
Mie Vinkel Sørensen
Folketinget
Europaudvalget
Christiansborg
1240 København K
Dato: 25. august 2021
Kontor: Databeskyttelseskontoret
Sagsbeh: Anna Skovrup
Sagsnr.: 2021-0032/06-0165
Dok.: 2089296
Slotsholmsgade 10
1216 København K.
T +45 3392 3340
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Offentligt
EUU Alm.del - endeligt svar på spørgsmål 229
Europaudvalget 2020-21
Side 2/5
Spørgsmål nr. 229 (Alm. del) fra Folketingets Europaudvalg:
”Ministeren bedes redegøre for indholdet af retningslinjerne fra
henholdsvis Det Europæiske Databeskyttelsesråd og det danske
Datatilsyn, herunder hvad angår muligheden for at benytte ad-
varsler eller påbud før bøde ved virksomheders brud på GDPR-
reglerne samt for evt. forskelle mellem disse.”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynets beføjelser er reguleret i databeskyttelsesforord-
ningens1
artikel 58, stk. 1, 2 og 3. Efter disse bestemmelser kan
Datatilsynet bl.a. udstede advarsler, give påbud og udtale kritik.
Hertil kommer muligheden for at foretage politianmeldelse samt
(på sigt2
) at pålægge administrative bøder.
Datatilsynet har hverken udarbejdet interne eller offentligt til-
gængelige retningslinjer, som direkte behandler spørgsmålet
om, hvornår og under hvilket forudsætninger tilsynet foretager
politianmeldelse for overtrædelse af de databeskyttelsesretlige
regler. Tilsynet har med andre ord ikke udarbejdet retningslin-
jer, der berører spørgsmålet om anvendelse af f.eks. advarsler
eller påbud før bøder.
Datatilsynet offentliggjorde i januar 2021 en vejledning om ud-
måling af bøder til virksomheder3
.Vejledningen, som tilsynet
har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten,
behandler, som det fremgår af vejledningens titel, alene spørgs-
målet om fastsættelsen af størrelsen af en bøde, når der i sager
om virksomheders overtrædelse af databeskyttelsesforordnin-
gen og -loven er truffet beslutning om en bødeindstilling/politi-
anmeldelse. Vejledningen beskriver bl.a. en række kriterier, her-
under formildende og skærpende omstændigheder, jf. forord-
ningens artikel 83, stk. 2, som skal påvirke bødens størrelse.
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning
om databeskyttelse)
2
Datatilsynet har med databeskyttelseslovens § 42 fået hjemmel til at udstede administra-
tive bødeforlæg. Det er dog en betingelse for udstedelse af administrative bødeforlæg, at
der, udover at modtageren erkender overtrædelsen, foreligger et klart bødeniveau. Der vil
således med tiden, efterhånden som praksis bliver udbygget, kunne fastsættes ”standardi-
serede” bøder for nærmere angivne overtrædelser af de databeskyttelsesretlige regler.
3
https://www.datatilsynet.dk/Media/1/9/Bødevejledning.pdf
Side 3/5
Datatilsynet skal i tilknytning hertil bemærke, at de i vejlednin-
gen beskrevne kriterier i praksis spiller ind ved tilsynets forud-
gående vurdering af, hvorvidt der er grundlag for at politian-
melde en dataansvarlig eller en databehandler, eller om der i ste-
det for f.eks. skal udtales kritik eller udstedes et påbud. Tilsynet
lægger således bl.a. vægt på karakteren, herunder omfanget af
overtrædelsen, om overtrædelsen må anses som udtryk for
manglende vilje til at overholde reglerne, om der er tale om lem-
fældig omgang med personoplysninger og om der er tale om
gentagelsestilfælde.
Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet)
kan efter databeskyttelsesforordningens artikel 70, stk. 1, litra k,
udarbejde retningslinjer for de nationale tilsynsmyndigheder
vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1,
2 og 3, og fastsættelse af administrative bøder i henhold til arti-
kel 83.
Databeskyttelsesrådet godkendte på sit første plenarmøde den
25. maj 2018 den tidligere Artikel 29-gruppens retningslinjer
vedrørende anvendelse og fastsættelse af administrative bøder i
overensstemmelse med forordning (EU) 2016/679 (wp 253) –
som vedtaget den 3. oktober 2017.4
Det fremgår bl.a. af retningslinjerne, at når der på grundlag af
en vurdering af sagens omstændigheder er konstateret en over-
trædelse af databeskyttelsesforordningen, skal den kompetente
tilsynsmyndighed vælge den mest hensigtsmæssige korrige-
rende foranstaltning for at imødegå overtrædelsen.
Retningslinjerne anfører endvidere, at bøder er et vigtigt værk-
tøj, som tilsynsmyndigheder bør anvende under passende om-
stændigheder. Tilsynsmyndighederne opfordres til at benytte en
velovervejet og afbalanceret tilgang, når de anvender korrige-
rende foranstaltninger med henblik på at sikre en reaktion på
overtrædelsen, som er både effektiv, har afskrækkende virkning
og står i rimeligt forhold til overtrædelsen. Det vigtige er, at bø-
der ikke anvendes som sidste udvej, eller at man undlader at ud-
stede bøder, men de bør på den anden side heller ikke bruges
således, at de mister deres effektivitet som et værktøj.
I forlængelse af ovenstående kan Datatilsynet til orientering op-
lyse, at spørgsmålet om tilsynets brug af advarsel og påbud før
bøde er beskrevet i Justitsministeriets delrapport om national
evaluering af databeskyttelsesreglerne af 29. januar 2021.5
4
Se retningslinjerne her: wp253_da (datatilsynet.dk)
5
https://www.ft.dk/samling/20201/almdel/EUU/bilag/269/2327380.pdf
Side 4/5
Det fremgår således af delrapportens punkt 2.2, at det er Justits-
ministeriet vurdering, at der ikke inden for databeskyttelsesfor-
ordningens rammer kan indføres en generel ordning, hvorefter
Datatilsynet i alle tilfælde forpligtes til at meddele påbud, før
der kan indstilles til bøde eller udstedes et administrativt bøde-
forlæg for overtrædelse af databeskyttelsesreglerne. Justitsmini-
steriet vurderer således, at indførelse af en generel ordning i na-
tional ret, der indebærer en regulering af Datatilsynets sankti-
onsvalg, vil være i strid med databeskyttelsesforordningens krav
om, at Datatilsynet skal udøve sine beføjelser uafhængigt.
Af delrapportens punkt 4.2. fremgår endvidere, at kravet om
uafhængighed efter Justitsministeriets vurdering indebærer, at
Datatilsynet hverken direkte eller indirekte kan pålægges at an-
vende bestemte sanktioner i de sager, som Datatilsynet behand-
ler. Datatilsynet har således i den forstand et frit sanktionsvalg.
Det fremgår desuden af delrapportens punkt 4.2, at det er Justits-
ministeriets vurdering, at det vil være i strid med databeskyttel-
sesforordningen at indføre regler, som påvirker Datatilsynets
mulighed for frit at udøve én eller flere beføjelser i forordnin-
gens artikel 58.
Dog vil der efter Justitsministeriets vurdering kunne indføres en
påbudsordning for offentlige myndigheder, da databeskyttelses-
forordningen specifikt lader det være op til medlemsstaterne at
bestemme, om og i hvilket omfang offentlige myndigheder skal
kunne ifalde bødeansvar for overtrædelse af reglerne.
Delrapporten gengiver i øvrigt et bidrag fra Datatilsynet, som
belyser tilsynets praksis i forhold til at foretage politianmeldel-
ser for overtrædelser af forordningen. Det fremgår i den forbin-
delse af delrapporten, at tilsynet i perioden efter 25. maj 2018,
hvor databeskyttelsesreglerne har fundet anvendelse, og indtil
den 28. januar 2021 havde anmeldt 13 sager om overtrædelser
af reglerne til politiet med anmodning om tiltalerejsning. Tilsy-
net havde endvidere anmeldt 7 sager med henblik på videre ef-
terforskning. Sagerne, hvor der er sket anmeldelse til politiet
med anmodning om tiltalerejsning, fordeler sig som vist i tabel-
len herunder:
Antal Mindste
bødeind-
stilling
(kr.)
Højeste
bøde-
indstil-
ling
(kr.)
Fysiske personer (her-
under enkeltmands-
virksomheder)
4 25.000 50.000
Side 5/5
Offentlige myndighe-
der
4 50.000 100.000
Virksomheder 5 50.000 1,5 mio.
Antallet af sager, som Datatilsynet på daværende tidspunkt
havde anmeldt, skal ses i lyset af hvor mange sager tilsynet i
øvrigt behandler, herunder klagesager, tilsynssager og anmel-
delser af brud på persondatasikkerheden. I nedenstående tabel –
der ligeledes er gengivet i delrapporten – er det angivet, hvor
mange klagesager, tilsynssager og anmeldelser af brud på per-
sondatasikkerhed, der er oprettet i Datatilsynet i 2019 og 2020:
2019 2020
Klagesager 2.259 2.506
Tilsynssager 256 403
Anmeldelser af brud på per-
sondatasikkerheden
7.242 8.773
Som det fremgår af ovenstående er det meget få af de sager, som
Datatilsynet behandler, der fører til en politianmeldelse.”