EUU alm. del - endeligt svar på spm. 229 om advarsler eller påbud før bøde ved virksomheders brud på GDPR-reglerne, fra justitsministeren
Tilhører sager:
- Hovedtilknytning: EUU alm. del (Spørgsmål 229)
Aktører:
- Besvaret af: justitsministeren
- Adressat: justitsministeren
- Stiller: Eva Kjer Hansen
- Kopi til: udenrigsministeren
JMs besvarelse af spm. 229 ad EUU alm. del.docx
https://www.ft.dk/samling/20201/almdel/euu/spm/229/svar/1903223/2613681.pdf
Udenrigsministeriet Asiatisk Plads 2 DK-1448 København K Telefon +45 33 92 00 00 Telefax +45 32 54 05 33 E-mail: um@um.dk http://www.um.dk Girokonto 3 00 18 06 Medlemmerne af Folketingets Europaudvalg Bilag Sagsnummer Kontor 1 2022-45 EKN 25. august 2022 SVAR PÅ UDVALGSSPØRGSMÅL Til underretning for Folketingets Europaudvalg vedlægges Justitsministe- riets besvarelse af spørgsmål 229 ad EUU alm. del af 2. juli 2021 vedrø- rende indholdet af retningslinjerne fra henholdsvis Det Europæiske Da- tabeskyttelsesråd og det danske Datatilsyn. Jeppe Kofod Offentligt EUU Alm.del - endeligt svar på spørgsmål 229 Europaudvalget 2020-21
Endelig besvarelse af spørgsmål 229 (Alm. del) EUU.docx
https://www.ft.dk/samling/20201/almdel/euu/spm/229/svar/1903223/2613682.pdf
Side 1/5 Endelig besvarelse af spørgsmål nr. 229 (Alm. del) fra Folketingets Eu- ropaudvalg Hermed sendes endelig besvarelse af spørgsmål nr. 229 (Alm. del), som Fol- ketingets Europaudvalg har stillet til justitsministeren den 2. juli 2021. Spørgsmålet er stillet efter ønske fra Eva Kjer Hansen (V). Nick Hækkerup / Mie Vinkel Sørensen Folketinget Europaudvalget Christiansborg 1240 København K Dato: 25. august 2021 Kontor: Databeskyttelseskontoret Sagsbeh: Anna Skovrup Sagsnr.: 2021-0032/06-0165 Dok.: 2089296 Slotsholmsgade 10 1216 København K. T +45 3392 3340 F +45 3393 3510 www.justitsministeriet.dk jm@jm.dk Offentligt EUU Alm.del - endeligt svar på spørgsmål 229 Europaudvalget 2020-21 Side 2/5 Spørgsmål nr. 229 (Alm. del) fra Folketingets Europaudvalg: ”Ministeren bedes redegøre for indholdet af retningslinjerne fra henholdsvis Det Europæiske Databeskyttelsesråd og det danske Datatilsyn, herunder hvad angår muligheden for at benytte ad- varsler eller påbud før bøde ved virksomheders brud på GDPR- reglerne samt for evt. forskelle mellem disse.” Svar: Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en udtalelse fra Datatilsynet, der har oplyst følgende: ”Datatilsynets beføjelser er reguleret i databeskyttelsesforord- ningens1 artikel 58, stk. 1, 2 og 3. Efter disse bestemmelser kan Datatilsynet bl.a. udstede advarsler, give påbud og udtale kritik. Hertil kommer muligheden for at foretage politianmeldelse samt (på sigt2 ) at pålægge administrative bøder. Datatilsynet har hverken udarbejdet interne eller offentligt til- gængelige retningslinjer, som direkte behandler spørgsmålet om, hvornår og under hvilket forudsætninger tilsynet foretager politianmeldelse for overtrædelse af de databeskyttelsesretlige regler. Tilsynet har med andre ord ikke udarbejdet retningslin- jer, der berører spørgsmålet om anvendelse af f.eks. advarsler eller påbud før bøder. Datatilsynet offentliggjorde i januar 2021 en vejledning om ud- måling af bøder til virksomheder3 .Vejledningen, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, behandler, som det fremgår af vejledningens titel, alene spørgs- målet om fastsættelsen af størrelsen af en bøde, når der i sager om virksomheders overtrædelse af databeskyttelsesforordnin- gen og -loven er truffet beslutning om en bødeindstilling/politi- anmeldelse. Vejledningen beskriver bl.a. en række kriterier, her- under formildende og skærpende omstændigheder, jf. forord- ningens artikel 83, stk. 2, som skal påvirke bødens størrelse. 1 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt- telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud- veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) 2 Datatilsynet har med databeskyttelseslovens § 42 fået hjemmel til at udstede administra- tive bødeforlæg. Det er dog en betingelse for udstedelse af administrative bødeforlæg, at der, udover at modtageren erkender overtrædelsen, foreligger et klart bødeniveau. Der vil således med tiden, efterhånden som praksis bliver udbygget, kunne fastsættes ”standardi- serede” bøder for nærmere angivne overtrædelser af de databeskyttelsesretlige regler. 3 https://www.datatilsynet.dk/Media/1/9/Bødevejledning.pdf Side 3/5 Datatilsynet skal i tilknytning hertil bemærke, at de i vejlednin- gen beskrevne kriterier i praksis spiller ind ved tilsynets forud- gående vurdering af, hvorvidt der er grundlag for at politian- melde en dataansvarlig eller en databehandler, eller om der i ste- det for f.eks. skal udtales kritik eller udstedes et påbud. Tilsynet lægger således bl.a. vægt på karakteren, herunder omfanget af overtrædelsen, om overtrædelsen må anses som udtryk for manglende vilje til at overholde reglerne, om der er tale om lem- fældig omgang med personoplysninger og om der er tale om gentagelsestilfælde. Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet) kan efter databeskyttelsesforordningens artikel 70, stk. 1, litra k, udarbejde retningslinjer for de nationale tilsynsmyndigheder vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til arti- kel 83. Databeskyttelsesrådet godkendte på sit første plenarmøde den 25. maj 2018 den tidligere Artikel 29-gruppens retningslinjer vedrørende anvendelse og fastsættelse af administrative bøder i overensstemmelse med forordning (EU) 2016/679 (wp 253) – som vedtaget den 3. oktober 2017.4 Det fremgår bl.a. af retningslinjerne, at når der på grundlag af en vurdering af sagens omstændigheder er konstateret en over- trædelse af databeskyttelsesforordningen, skal den kompetente tilsynsmyndighed vælge den mest hensigtsmæssige korrige- rende foranstaltning for at imødegå overtrædelsen. Retningslinjerne anfører endvidere, at bøder er et vigtigt værk- tøj, som tilsynsmyndigheder bør anvende under passende om- stændigheder. Tilsynsmyndighederne opfordres til at benytte en velovervejet og afbalanceret tilgang, når de anvender korrige- rende foranstaltninger med henblik på at sikre en reaktion på overtrædelsen, som er både effektiv, har afskrækkende virkning og står i rimeligt forhold til overtrædelsen. Det vigtige er, at bø- der ikke anvendes som sidste udvej, eller at man undlader at ud- stede bøder, men de bør på den anden side heller ikke bruges således, at de mister deres effektivitet som et værktøj. I forlængelse af ovenstående kan Datatilsynet til orientering op- lyse, at spørgsmålet om tilsynets brug af advarsel og påbud før bøde er beskrevet i Justitsministeriets delrapport om national evaluering af databeskyttelsesreglerne af 29. januar 2021.5 4 Se retningslinjerne her: wp253_da (datatilsynet.dk) 5 https://www.ft.dk/samling/20201/almdel/EUU/bilag/269/2327380.pdf Side 4/5 Det fremgår således af delrapportens punkt 2.2, at det er Justits- ministeriet vurdering, at der ikke inden for databeskyttelsesfor- ordningens rammer kan indføres en generel ordning, hvorefter Datatilsynet i alle tilfælde forpligtes til at meddele påbud, før der kan indstilles til bøde eller udstedes et administrativt bøde- forlæg for overtrædelse af databeskyttelsesreglerne. Justitsmini- steriet vurderer således, at indførelse af en generel ordning i na- tional ret, der indebærer en regulering af Datatilsynets sankti- onsvalg, vil være i strid med databeskyttelsesforordningens krav om, at Datatilsynet skal udøve sine beføjelser uafhængigt. Af delrapportens punkt 4.2. fremgår endvidere, at kravet om uafhængighed efter Justitsministeriets vurdering indebærer, at Datatilsynet hverken direkte eller indirekte kan pålægges at an- vende bestemte sanktioner i de sager, som Datatilsynet behand- ler. Datatilsynet har således i den forstand et frit sanktionsvalg. Det fremgår desuden af delrapportens punkt 4.2, at det er Justits- ministeriets vurdering, at det vil være i strid med databeskyttel- sesforordningen at indføre regler, som påvirker Datatilsynets mulighed for frit at udøve én eller flere beføjelser i forordnin- gens artikel 58. Dog vil der efter Justitsministeriets vurdering kunne indføres en påbudsordning for offentlige myndigheder, da databeskyttelses- forordningen specifikt lader det være op til medlemsstaterne at bestemme, om og i hvilket omfang offentlige myndigheder skal kunne ifalde bødeansvar for overtrædelse af reglerne. Delrapporten gengiver i øvrigt et bidrag fra Datatilsynet, som belyser tilsynets praksis i forhold til at foretage politianmeldel- ser for overtrædelser af forordningen. Det fremgår i den forbin- delse af delrapporten, at tilsynet i perioden efter 25. maj 2018, hvor databeskyttelsesreglerne har fundet anvendelse, og indtil den 28. januar 2021 havde anmeldt 13 sager om overtrædelser af reglerne til politiet med anmodning om tiltalerejsning. Tilsy- net havde endvidere anmeldt 7 sager med henblik på videre ef- terforskning. Sagerne, hvor der er sket anmeldelse til politiet med anmodning om tiltalerejsning, fordeler sig som vist i tabel- len herunder: Antal Mindste bødeind- stilling (kr.) Højeste bøde- indstil- ling (kr.) Fysiske personer (her- under enkeltmands- virksomheder) 4 25.000 50.000 Side 5/5 Offentlige myndighe- der 4 50.000 100.000 Virksomheder 5 50.000 1,5 mio. Antallet af sager, som Datatilsynet på daværende tidspunkt havde anmeldt, skal ses i lyset af hvor mange sager tilsynet i øvrigt behandler, herunder klagesager, tilsynssager og anmel- delser af brud på persondatasikkerheden. I nedenstående tabel – der ligeledes er gengivet i delrapporten – er det angivet, hvor mange klagesager, tilsynssager og anmeldelser af brud på per- sondatasikkerhed, der er oprettet i Datatilsynet i 2019 og 2020: 2019 2020 Klagesager 2.259 2.506 Tilsynssager 256 403 Anmeldelser af brud på per- sondatasikkerheden 7.242 8.773 Som det fremgår af ovenstående er det meget få af de sager, som Datatilsynet behandler, der fører til en politianmeldelse.”