Grund- og nærhedsnotat om supplerende procedureregler til håndhævelse af Databeskyttelsesforordningen

Udenrigsministeriet
Asiatisk Plads 2
DK-1448 København K
Telefon +45 33 92 00 00
Telefax +45 32 54 05 33
E-mail: um@um.dk
http://www.um.dk
Girokonto 3 00 18 06
Medlemmerne af Folketingets Europaudvalg
Bilag Sagsnummer Kontor
1 2023-1 EKN 7. september 2023
GRUND- OG NÆRHEDSNOTAT
”Databeskyttelsesforordningen”
Til underretning for Folketingets Europaudvalg vedlægges Justitsministe-
riets grund- og nærhedsnotat vedrørende forslag til Europa-Parlamentets
og Rådets forordning om supplerende procedureregler for håndhævelse
af forordning (EU) 2016/679 (databeskyttelsesforordningen), KOM
(2023) 0348.
Notatet er ligeledes oversendt til Folketingets Udvalg for Digitalisering
og IT.
Lars Løkke Rasmussen
Offentligt
KOM (2023) 0348 - Bilag 1
Europaudvalget 2023


Side 1/8
GRUND- OG NÆRHEDSNOTAT
Forslag til Europa-Parlamentets og Rådets forordning om supple-
rende procedureregler for håndhævelse af forordning (EU) 2016/679
(databeskyttelsesforordningen)
Nyt notat.
Notatet oversendes også til Folketingets Udvalg for Digitalisering og IT.
KOM (2023) 348
1. Resumé
Europa-Kommissionen har den 4. juli 2023 fremsat forslag til forordning
om supplerende procedureregler for håndhævelse af forordning (EU)
2016/679 (databeskyttelsesforordningen). Forordningsforslaget har til for-
mål at sikre en effektiv håndhævelse af EU’s databeskyttelsesregler i græn-
seoverskridende sager. Forslaget bygger på de grundlæggende principper i
databeskyttelsesforordningen og supplerer disse ved at præcisere reglerne
for behandling af klager, samarbejdet mellem tilsynsmyndigheder og tvist-
bilæggelsesproceduren i grænseoverskridende sager. Forslaget er ikke om-
fattet af retsforbeholdet. Forslaget vurderes at være i overensstemmelse
med nærhedsprincippet. Forslaget vurderes ikke at have at lovgivningsmæs-
sige konsekvenser. Forslaget skønnes at kunne medføre statsfinansielle kon-
sekvenser. Regeringen er foreløbigt overordnet positiv over for Kommissi-
onens forslag.
Dato: 7. september 2023
Kontor: Databeskyttelseskontoret
Sagsbeh: Cathrine Hjortdam
Sagsnr.: 2023-793-0227
Dok.: 2930140
Offentligt
KOM (2023) 0348 - Bilag 1
Europaudvalget 2023
Side 2/8
2. Baggrund
Europa-Kommissionen fremsatte den 4. juli 2023 forslag til Europa-Parla-
mentets og Rådets forordning om supplerende procedureregler for håndhæ-
velse af forordning (EU) 2016/679.
Forslaget er oversendt til Rådet i dansk sprogversion den 10. juli 2023.
Forslaget er fremsat med hjemmel i artikel 16 i Traktaten om den Europæi-
ske Unions Funktionsmåde (TEUF) om beskyttelse af personoplysninger.
Forslaget skal behandles efter den almindelige lovgivningsprocedure i
TEUF artikel 294. Forslaget er ikke omfattet af retsforbeholdet.
Forslaget til forordning supplerer databeskyttelsesforordningen ved at præ-
cisere de procedureregler for behandling af grænseoverskridende sager, der
er fastsat i databeskyttelsesforordningen. Databeskyttelsesforordningen ind-
førte et ”one-stop-shop”-håndhævelsessystem, som er relevant, når en virk-
somhed er etableret i mere end en EU-medlemsstat. I den situation skal en
sag mod virksomheden behandles af den tilsynsmyndighed (den ledende til-
synsmyndighed) i den medlemsstat, hvor virksomheden har sit hovedsæde.
One-stop-shop-ordningen forudsætter, at tilsynsmyndighederne i de berørte
medlemsstater samarbejder om sagen. Hvis tilsynsmyndighederne ikke kan
nå til enighed i en grænseoverskridende sag, indeholder databeskyttelses-
forordningen bestemmelser om tvistbilæggelse i Det Europæiske Databe-
skyttelsesråd (EDPB).
Baggrunden for forordningsforslaget er Kommissionens første rapport om
evaluering og revision af databeskyttelsesforordningen, hvori Kommissio-
nen bemærkede, at der var et behov for at gøre behandlingen af grænseover-
skridende sager mere effektiv og harmoniseret i hele EU1
. I 2022 fremsendte
EDPB en liste over proceduremæssige aspekter, der kan drage fordel af
yderligere harmonisering i EU-retten. Forordningsforslaget bygger således
på Kommissionens rapport fra 2020 om databeskyttelsesforordningen og
EDPB’s liste fra oktober 2022.
1
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en
hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års an-
vendelse af den generelle forordning om databeskyttelse (KOM(2020) 264 af 24. juni
2020).
Side 3/8
3. Formål og indhold
3.1. Indledning
Forslaget har overordnet til formål at bidrage til at sikre en effektiv hånd-
hævelse af EU’s databeskyttelsesregler i grænseoverskridende sager. For-
slaget bygger på de grundlæggende principper i databeskyttelsesforordnin-
gen og supplerer disse ved at præcisere reglerne for indgivelse og behand-
ling af klager, samarbejdet mellem tilsynsmyndigheder og tvistbilæggelses-
proceduren i grænseoverskridende sager. Forslaget berører ikke de registre-
redes rettigheder, de dataansvarliges og databehandlernes forpligtelser eller
retsgrundlaget for behandlingen af personoplysninger som fastsat i databe-
skyttelsesforordningen.
For det første indføres der med forslaget detaljerede regler for indgivelse og
behandling af klager i grænseoverskridende sager. Der lægges således bl.a.
op til at indføre en klageformular i sager om grænseoverskridende sager.
For det andet indeholder forslaget procedureregler for behandling af græn-
seoverskridende sager. Forslaget giver den part, der er genstand for en un-
dersøgelse, ret til at blive hørt og fremsætte sine synspunkter under behand-
lingen af sagen, bl.a. under tvistbilæggelsen i EDPB. Samtidig lægger for-
slaget op til at sikre, at der ikke gives adgang til forretningshemmeligheder
eller andre fortrolige oplysninger, der tilhører andre parter involveret i sa-
gen. Med forslaget indføres bestemmelser om partens ret til aktindsigt i de
administrative sagsakter. Forslaget giver desuden klageren mulighed for at
fremsætte sine synspunkter inden en klage afvises helt eller delvist samt ret
til aktindsigt i en ikkefortrolig udgave af de dokumenter, der ligger til grund
for den foreslåede afvisning af klagen.
For det tredje indføres der med forslaget bestemmelser om samarbejdet mel-
lem tilsynsmyndighederne i grænseoverskridende sager. Forslaget præcise-
rer reglerne for, hvilke oplysninger tilsynsmyndighederne skal dele med
hinanden. Forslaget lægger op til, at den ledende tilsynsmyndighed skal dele
et ”resumé af centrale spørgsmål” med angivelse af de vigtigste faktiske
omstændigheder og den ledende tilsynsmyndigheds synspunkter i sagen
med de berørte tilsynsmyndigheder. Hvis tilsynsmyndighederne ikke kan nå
til enighed om omfanget af undersøgelsen i en sag, giver forslaget mulighed
for, at EDPB kan bilægge tvisten ved at vedtage en hurtig bindende afgø-
relse i henhold til databeskyttelsesforordningens artikel 66, stk. 3.
Side 4/8
Endelig indeholder forslaget regler for tvistbilæggelsesproceduren i databe-
skyttelsesforordningens artikel 65. Når den ledende databeskyttelsesmyn-
dighed forelægger et udkast til afgørelse i sagen, har andre tilsynsmyndig-
heder mulighed for at fremsætte relevante og begrundede indsigelser mod
udkastet. Med forslaget fastsættes frister og ordninger for vurdering af,
hvorvidt EDPB kan behandle de relevante og begrundede indsigelser fra be-
rørte tilsynsmyndigheder. Det præciseres, hvilke oplysninger den ledende
tilsynsmyndighed skal give EDPB, når den forelægger en sag til tvistbilæg-
gelse.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure
(TEUF artikel 294) medlovgiver. Forslaget behandles i Europa-Parlamentet
af Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender
(LIBE) med Sergey Lagodinsky (EFA), som ordfører. Derudover høres
Retsudvalget (JURI) over forslaget. Udvalget om Industri, Forskning og
Energi (ITRE), Udvalget om Beskæftigelse og Sociale Anliggender
(EMPL) samt Udvalget om Indre Marked og Forbrugerbeskyttelse (IMCO)
har besluttet ikke at ville give udtalelse til forslaget. Der foreligger endnu
ikke en udtalelse fra Europa-Parlamentet, og tidsplanen for Europa-Parla-
mentets behandling af forslaget kendes endnu ikke.
5. Nærhedsprincippet
Kommissionen har om nærhedsprincippet bl.a. anført, at forslaget vedrører
en eksisterende procedure, som blev indført ved databeskyttelsesforordnin-
gen, og som involverer tilsynsmyndighederne i flere medlemsstater og
EDPB. Det er derfor Kommissionens opfattelse, at problemerne vedrørende
håndhævelsen af databeskyttelsesreglerne i grænseoverskridende sager ikke
kan løses af medlemsstaterne hver for sig. Kommissionen vurderer på den
baggrund, at forslaget er i overensstemmelse med nærhedsprincippet.
Regeringen er enig i Kommissionens vurdering af, at nærhedsprincippet er
overholdt.
6. Gældende dansk ret
Datatilsynet er en offentlig myndighed omfattet af bl.a. forvaltningsloven.
Datatilsynet træffer bl.a. afgørelser om dataansvarliges behandling af oplys-
ninger om de registrerede. Datatilsynet vil skulle behandle grænseoverskri-
dende sager efter reglerne i databeskyttelsesforordningen samt forordnings-
forslaget.
Side 5/8
Databeskyttelsesforordningens artikel 60 regulerer samarbejdsproceduren
mellem tilsynsmyndigheder i grænseoverskridende sager. Den ledende til-
synsmyndighed og de berørte tilsynsmyndigheder skal udveksle alle rele-
vante oplysninger med hinanden med henblik på at nå til enighed. Når den
ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse i sa-
gen, har andre tilsynsmyndigheder mulighed for at fremsætte relevante og
begrundede indsigelser mod udkastet. Det følger af databeskyttelsesforord-
ningens artikel 65, at EDPB kan træffe bindende afgørelser, bl.a. hvis til-
synsmyndigheder, der samarbejder efter artikel 60 ikke kan blive enige om
et udkast til en afgørelse.
Det følger bl.a. af forvaltningslovens § 9, stk. 1, at den, der er part i en sag,
hvori der er eller vil blive truffet afgørelse af en forvaltningsmyndighed, kan
forlange at blive gjort bekendt med sagens dokumenter. Efter § 9, stk. 2,
omfatter en parts ret til aktindsigt bl.a. alle dokumenter, der vedrører sagen,
med visse nærmere opregnede undtagelser. Det følger endvidere af forvalt-
ningslovens § 19, stk. 1, at hvis en part ikke kan antages at være bekendt
med, at myndigheden er i besiddelse af bestemte oplysninger om en sags
faktiske grundlag eller eksterne faglige vurderinger, der er til ugunst for den
pågældende part og er af væsentlig betydning for sagens afgørelse, må der
ikke træffes afgørelse, før myndigheden har gjort parten bekendt med op-
lysningerne eller vurderingerne og givet denne lejlighed til at fremkomme
med en udtalelse (partshøring). Myndigheden kan fastsætte en frist for afgi-
velsen af den nævnte udtalelse.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Forslaget vurderes ikke at have lovgivningsmæssige konsekvenser.
Økonomiske konsekvenser
Forslaget skønnes at kunne medføre væsentlige statsfinansielle konsekven-
ser, da der forventes øgede udgifter til Datatilsynet for 0,6 mio. kr. årligt,
svarende til ét årsværk, forbundet med administration af forordningens krav,
herunder behandling af grænseoverskridende sager samt deltagelse i samar-
bejdet mellem tilsynsmyndighederne ved behandling af disse sager. Det
fremgår af budgetvejledningen, at afledte udgifter som følge af EU-retsakter
afholdes inden for de berørte ministeriers eksisterende bevillingsramme.
Side 6/8
Forslaget skønnes ikke at medføre samfundsøkonomiske og erhvervsøko-
nomiske konsekvenser.
8. Andre konsekvenser
Forslaget giver på det foreliggende grundlag ikke anledning til at fremhæve
andre konsekvenser.
9. Høring
Forordningsforslaget har i perioden fra den 5. juli til den 23. august 2023
været sendt i høring i Specialudvalget for politimæssigt og retligt samar-
bejde og Specialudvalget for konkurrenceevne, vækst og forbrugerspørgs-
mål. Der er indkommet høringssvar fra Landbrug & Fødevarer og Finans
Danmark.
Landbrug & Fødevarer anerkender betydningen af et harmoniseret sam-
arbejde mellem de nationale tilsynsmyndigheder i grænseoverskridende sa-
ger vedrørende databeskyttelse.
Landbrug & Fødevarer bemærker bl.a., at tanken bag en one-stop-shop-me-
kanisme er god, men i praksis kan virksomhedernes retsstilling blive forrin-
get betragteligt, såfremt virksomhedernes aktiviteter pågår i flere medlems-
stater, idet håndhævelses- og sanktionspraksis kan være ganske forskellig
fra land til land.
Landbrug & Fødevarer bemærker, at nye procedureregler kan føre til øget
administrative byrder for virksomheder, især hvis de skal tilpasse sig nye
klage- og samarbejdsprocedurer. Det er derfor vigtigt, at der skabes klare
retningslinjer og eksempler på, hvordan procedurereglerne og den fælles
formular skal anvendes i praksis.
Landbrug & Fødevarer anfører om muligheden for at bilægge en klage ved
en mindelig løsning mellem klager og de parter, der er genstand for under-
søgelsen, at hvis den mindelige løsning dækker det grundlæggende problem,
og virksomheden har taget skridt til at rette op på situationen, kan det være
unødvendigt, at tilsynsmyndigheden starter en yderligere undersøgelse op
på eget initiativ.
Finans Danmark er positiv over for regler, der har til formål at sikre ens-
artede processer for grænseoverskridende klager og undersøgelser/tilsyn i
henhold til databeskyttelsesforordningen.
Side 7/8
Finans Danmark bemærker dog, at man med fordel kunne tydeliggøre an-
vendelsesområdet for forordningen yderligere.
Finans Danmark ser det som positivt, at der med forslaget indføres sagsbe-
handlingsfrister. Balancen omkring ”rimelige” frister kan imidlertid efter
Finans Danmarks opfattelse være vanskelig, da nogle sager kan være meget
enkle, mens andre sager kan være meget komplicerede. Finans Danmark
udtrykker bekymring for, om sagsbehandlingstiden i simple (klage)sager
kan blive unødig lang til ulempe for både klager og den dataansvarlige/da-
tabehandleren.
Finans Danmark ser det som positivt, at der med forslagets indsættes en pligt
til i en række situationer at foretage en partshøring. I den forbindelse finder
Finans Danmark, at man med fordel kunne indføre enkelte af disse rettighe-
der for klager og den dataansvarlige/databehandler i rene nationale sager
(som ikke er grænseoverskridende). I dag høres klager eller den dataansvar-
lige/databehandler ikke om et udkast til afgørelse, inden der træffes en en-
delig afgørelse i sagen. Det gælder både i nationale og grænseoverskridende
sager, der behandles i Danmark.
Finans Danmark bemærker om adgangen til administrative sagsakter, at
man er bekymret for, om der i visse situationer vil blive delt forretnings-
hemmeligheder/fortrolige oplysninger med klager, da enkelte formuleringer
i forslaget synes at åbne op for deling trods fortrolighed. Finans Danmark
finder derfor, at der er behov for en tydeliggørelse af, hvordan denne vurde-
ring konkret foretages, herunder hvad der lægges vægt på. Finans Danmark
finder f.eks., at det bør afklares, om der er risiko for, at forretningshemme-
ligheder kan videregives, selvom de er markeret fortrolige/forretningshem-
meligheder og med behørig begrundelse for, hvorfor oplysningerne ikke bør
videregives.
Finans Danmark udtrykker bekymring for forordningsforslagets bestem-
melse om at dokumenter, der indeholder fortrolige oplysninger, er udelukket
fra aktindsigt, så længe sagen verserer Finans Danmark anfører, at det bør
præciseres, at fortrolige oplysninger ikke udleveres, når klagesagen er af-
sluttet.
Side 8/8
Finans Danmark udtrykker bekymring for, om forordningsforslaget indebæ-
rer, at tilsynsmyndigheden kan dele fortrolige informationer/forretnings-
hemmeligheder med klager.
Finans Danmark bemærker, at i Danmark har Datatilsynet den praksis, at
hvis klageren ikke har været i dialog med den dataansvarlige forud for ind-
sendelse af klage til Datatilsynet, ”oversender” Datatilsynet klagen til den
dataansvarlige med henblik på, at denne svarer klageren direkte uden yder-
ligere involvering fra Datatilsynet. Denne proces kan i visse tilfælde være
nyttig, da mange sager kan løses uden en formel klagesag via Datatilsynet.
Finans Danmark ser det gerne afklaret, om denne praksis kan fortsætte i
henhold til forordningen. Den nuværende praksis fungerer efter Finans Dan-
marks opfattelse godt.
Finans Danmark bemærker endelig, at grænseoverskridende sikkerhedsbrud
ikke er omfattet af forordningsforslaget, hvilket efter Finans Danmarks op-
fattelse ikke forekommer hensigtsmæssigt. Finans Danmark bemærker, at
der i koncerner, der er etableret i mere end ét land, kan forekomme grænse-
overskridende brud. Det kan være nyttigt med flere retningslinjer for, hvil-
ken tilsynsmyndighed, der skal indberettes til (home or host tilsynsmyndig-
hed) og samarbejdet mellem tilsynsmyndighederne om behandling af og op-
følgning på anmeldelser af brud på persondatasikkerheden.
10. Generelle forventninger til andre landes holdninger
Der foreligger ikke offentlige tilkendegivelser om de øvrige medlemsstaters
holdninger til sagen.
11. Regeringens foreløbige generelle holdning
Regeringen er overordnet positiv over for Kommissionens forslag, herunder
etableringen af en ramme, der understøtter effektiv håndhævelse af databe-
skyttelsesreglerne i grænseoverskridende sager og samarbejde mellem til-
synsmyndighederne i medlemsstaterne.
12. Tidligere forelæggelser for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.