Kopi af GRU alm. del - svar på spm. 26 om ministeren er enig med Naalakkersuisut i, at Grønland ikke har status som sikkert tredjeland i relation til EU's persondatadirektiv, fra justitsministeren

Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 26 (Alm. del), som Folketin-
gets Grønlandsudvalg har stillet til justitsministeren den 2. marts 2016.
Spørgsmålet er stillet efter ønske fra Anja Chemnitz Larsen (IA).
Søren Pind
/
Jakob Lundsager
Folketinget
Grønlandsudvalget
Christiansborg
1240 København K
Lovafdelingen
Dato: 21. marts 2016
Kontor: Databeskyttelseskontoret
Sagsbeh: André Dybdal Pape
Sagsnr.: 2016-0032/09-0014
Dok.: 1897084
Europaudvalget 2012
KOM (2012) 0011 Bilag 18
Offentligt
2
Spørgsmål nr. 26 (Alm. del) fra Folketingets Grønlandsudvalg:
”Er ministeren enig med Naalakkersuisut i (som det fremgår af
indstillingen til forslaget om kongelig anordning om overgang
til Persondataloven), at Grønland ikke har status som sikkert
tredjeland i relation til EU's persondatadirektiv? Hvis ja, kan
ministeren så gøre rede for, hvilke tiltag Datatilsynet har taget
for at sikre Persondatalovens § 27 overholdt i forbindelse med
overførsel af persondata fra Danmark til Grønland?”
Svar:
Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”Overførsel af personoplysninger til tredjelande kræver et sær-
skilt hjemmelsgrundlag i persondatalovens1
§ 27. Bestemmel-
sen, der har baggrund i databeskyttelsesdirektivets2
artikel 25 og
26, gælder både ved videregivelse af personoplysninger til en
anden dataansvarlig, ved overladelse af personoplysninger til en
databehandler samt ved intern brug, f.eks. inden for en koncern.
Ved et tredjeland forstås en stat, som ikke indgår i Det Europæi-
ske Fællesskab, og som ikke har gennemført aftaler, der er ind-
gået med Det Europæiske Fællesskab, og som indeholder regler
svarende til databeskyttelsesdirektivet – det vil sige de såkaldte
EØS-lande, jf. persondatalovens § 3, nr. 9. Dette betyder, at
f.eks. Norge og Island ikke er at betragte som tredjelande, men
at Grønland og Færøerne skal betragtes som tredjelande.
Det må som udgangspunkt kun overføres oplysninger til et tred-
jeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau,
jf. persondatalovens § 27, stk. 1.
Efter persondatalovens § 27, stk. 2, skal vurderingen af, om be-
skyttelsesniveauet i et tredjeland er tilstrækkeligt, ske på grund-
lag af samtlige de forhold, der har indflydelse på en overførsel,
herunder navnlig oplysningernes art, behandlingens formål og
varighed, oprindelseslandet og det endelige bestemmelsesland,
1
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2
Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger (databeskyttelsesdirektivet).
3
samt de retsregler, herunder regler for god forretningsskik og
sikkerhedsforanstaltninger, som gælder i tredjelandet.
Ud over den mulighed, som Datatilsynet har efter persondatalo-
vens § 27, stk. 2, til at foretage en vurdering af databeskyttelses-
niveauet, kan Europa-Kommissionen i medfør af artikel 25, stk.
6, i databeskyttelsesdirektivet, fastslå, at visse lande sikrer et til-
strækkeligt beskyttelsesniveau og derved udgør et såkaldt sik-
kert tredjeland. Denne mulighed har Europa-Kommissionen be-
nyttet i forhold til en række lande.3
Grønland er ikke et af de
lande, der anses for et sikkert tredjeland.
Det følger endvidere af persondatalovens § 27, stk. 4, at Datatil-
synet kan give tilladelse til, at der overføres oplysninger til tred-
jelande, som ikke er sikre i persondatalovens § 27, stk. 1, for-
stand, såfremt den dataansvarlige yder tilstrækkelige garantier
for beskyttelse af de registreredes rettigheder. Det kan fastsættes
nærmere vilkår for overførslen.
Overførsel til tredjelande, som ikke sikrer et tilstrækkeligt be-
skyttelsesniveau, vil endvidere bl.a. kunne ske uden tilladelse fra
Datatilsynet, hvis den anvendte kontrakt er i fuld overensstem-
melse med Europa-Kommissionens standardkontraktbestemmel-
ser, jf. persondatalovens § 27, stk. 5. Er der ændret i standard-
kontrakten, skal Datatilsynets tilladelse fortsat indhentes.
Herudover kan der i medfør af persondatalovens § 27, stk. 3,
overføres personoplysninger til et tredjeland, der ikke sikrer et
tilstrækkeligt beskyttelsesniveau, hvis én af undtagelserne i be-
stemmelsen er opfyldt. Herefter kan overførsel bl.a. ske med den
registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis
overførslen er nødvendig af hensyn til opfyldelsen af en aftale
mellem den registrerede og den dataansvarlige, jf. stk. 3, nr. 2.
Det følger endvidere af persondatalovens § 27, stk. 6, at overfør-
sel af personoplysninger til tredjelande altid skal ske inden for
rammerne af persondataloven. Dette indebærer bl.a., at der skal
være hjemmel til behandlingen i lovens kapitel 4, og at reglerne
3
Se Datatilsynets hjemmeside for liste over sikre tredjelande:
http://www.datatilsynet.dk/erhverv/tredjelande/sikre-tredjelande/
4
for anmeldelse iagttages. Man skal således både have hjemmel
til overførslen og behandlingen i øvrigt.
For så vidt angår spørgsmålet om, hvilke tiltag Datatilsynet har
taget for at sikre persondatalovens § 27 overholdt i forbindelse
med overførsel af persondata fra Danmark til Grønland, skal Da-
tatilsynet bemærke, at det er den dataansvarlige myndighed eller
virksomheds ansvar, at behandling af personoplysninger sker
under iagttagelse af persondataloven.
Herudover kan Datatilsynet oplyse, at tilsynet fører tilsyn med
enhver behandling, der omfattes af persondataloven, idet Dom-
stolsstyrelsen dog fører tilsyn med behandling af oplysninger,
der foretages for domstolene, jf. persondatalovens § 55, stk. 1.
Det følger endvidere af persondatalovens § 56, at Datatilsynet
udøver sine funktioner i fuld uafhængighed.
Ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende
generelle retsforskrifter, som har betydning for beskyttelsen af
privatlivet i forbindelse med behandling af oplysninger, skal der
indhentes en udtalelse fra Datatilsynet, jf. persondatalovens §
57.
Datatilsynet påser af egen drift eller efter klage fra en registreret,
at behandlingen finder sted i overensstemmelse med persondata-
loven og regler udstedt i medfør af loven, jf. persondatalovens §
58, stk. 1. Det fremgår endvidere af samme bestemmelses stk. 3,
at tilsynet i særlige tilfælde kan forbyde eller suspendere over-
førsel af personoplysninger, som er omfattet af § 27, stk. 5.
Datatilsynets virksomhed er i høj grad baseret på rådgivning til
og vejledning af offentlige myndigheder, virksomheder og pri-
vate. Tilsynet er i persondataloven imidlertid også tillagt en
række beføjelser til at meddele forbud og påbud samt træffe
bindende afgørelser mv., jf. reglerne herom i lovens §§ 59, 60
og 62.
Datatilsynet kan f.eks. i medfør af lovens § 59 påbyde en privat
dataansvarlig at ophøre med en behandling, der ikke må finde
sted efter persondataloven, og at berigtige, slette eller blokere
5
bestemte oplysninger, som er omfattet af en sådan behandling.
Tilsynet kan endvidere forbyde en privat dataansvarlig at an-
vende en nærmere angiven fremgangsmåde i forbindelse med
behandlingen af oplysninger, hvis tilsynet finder, at den pågæl-
dende fremgangsmåde medfører en væsentlig risiko for, at der
behandles oplysninger i strid med loven.
I forhold til offentlige myndigheder træffer Datatilsynet binden-
de afgørelser i de sager, der er opregnet i persondatalovens § 60,
stk. 1, mens tilsynet i andre tilfælde afgiver udtalelser over for
den dataansvarlige myndighed.
Datatilsynet kan af både offentlige myndigheder og private da-
taansvarlige kræve enhver oplysning, der er af betydning for
dets virksomhed, herunder til afgørelse af, om et forhold falder
ind under lovens bestemmelser. Datatilsynet har endvidere en
række muligheder for at gennemføre inspektioner hos offentlige
og private.
Hertil kommer, at overtrædelse af persondatalovens regler i vidt
omfang er strafsanktioneret, ligesom undladelse af at efterkom-
me Datatilsynets afgørelser i en række tilfælde er strafbart, jf.
nærmere herom lovens § 70.”