REU alm. del - svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 253 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 11. november 2019.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva
Kjer Hansen (V).
Nick Hækkerup
/
Anders Lotterup
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato: 6. december 2019
Kontor: Databeskyttelseskontoret
Sagsbeh: Mikkel Reenberg
Sagsnr.: 2019-0030-3021
Dok.: 1296705
Retsudvalget 2018-19 (2. samling)
REU Alm.del - supplerende svar på spørgsmål 149
Offentligt
2
Spørgsmål nr. 253 (Alm. del) fra Folketingets Retsudvalg:
”Kan ministeren bekræfte, at daginstitutionen Idrætsbørnehuset
på Frederiksberg pga. persondataforordningen skal gennemgå
6000 billeder og 335 videoer for at identificere et barn og sløre
alle andre genkendelige børn, der optræder sammen med det ene
barn, hvis forældre har fået aktindsigt i alt billed- og videoma-
teriale, som institutionen ligger inde med? Der henvises til ar-
tiklen ”Forældre kræver billedmateriale fjernet fra daginstitu-
tion. Må nu se 6000 billeder igennem Tv2Lorry.dk”, den 3. sep-
tember 2019.”
Svar:
1. Der er stort fokus på databeskyttelsesreglerne i disse år. Det er naturligt,
fordi det er vigtigt, hvordan vi beskytter personoplysninger, særligt set i ly-
set af den aktuelle teknologiske udvikling.
Det er centralt, at databeskyttelsesreglerne ikke bliver for svære at håndtere
i praksis, og at der ikke skal bruges uforholdsmæssigt mange ressourcer på
dem. Jeg har forståelse for de problemer, som reglerne skaber, og jeg aner-
kender, at databeskyttelsesreglerne efter min opfattelse ikke altid leder til
helt hensigtsmæssige resultater.
2. Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind-
hentet en udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet bemærker, at registerlovene fandt anvendelse fra
den 1. januar 1979, og indtil lovene den 1. juli 2000 blev ophæ-
vet og erstattet af persondataloven, som fandt anvendelse indtil
den 25. maj 2018. Persondataloven blev erstattet af databeskyt-
telsesforordningen og databeskyttelsesloven, som i vidt omfang
svarer til den tidligere gældende retstilstand.
En af ændringerne i forhold til den tidligere retstilstand er imid-
lertid muligheden for at pålægge væsentligt større bøder end tid-
ligere for overtrædelse af databeskyttelsesreglerne. Dette har
bl.a. bevirket, at der er skabt en større bevidsthed omkring be-
tydningen af beskyttelse af personoplysninger, hvilket samtidig
synes at have skabt en udpræget bekymring hos dataansvarlige
og databehandlere for konsekvenserne af en eventuel mang-
lende overholdelse af reglerne.
Datatilsynet bemærker i den forbindelse, at databeskyttelsesreg-
lerne i vidt omfang består af generelle retlige standarder, som i
3
praksis forudsætter, at de dataansvarlige skal foretage en kon-
kret vurdering. Reglerne er med andre ord karakteriseret ved en
høj grad af fleksibilitet, således at reglerne kan tilpasses mange
forskellige behandlingssituationer. I kombination med oven-
nævnte bekymring for konsekvenserne af en eventuel mang-
lende overholdelse af reglerne kan dette i visse tilfælde medføre
en overdreven forsigtighed i forhold til anvendelsen af databe-
skyttelsesreglerne.
I forlængelse heraf kan Datatilsynet oplyse, at tilsynet arbejder
for at fremme dataansvarliges og databehandleres kendskab til
deres forpligtelser. Dette sker bl.a. gennem Datatilsynets gene-
relle oplysningsvirksomhed i form af offentliggørelse af afgø-
relser og vejledninger på tilsynets hjemmeside og de mange te-
lefoniske og skriftlige forespørgsler om reglerne, som tilsynet
hver dag besvarer, ligesom tilsynet holder mange møder med
bl.a. interesse- og brancheorganisationer, men også enkeltstå-
ende dataansvarlige og databehandlere, hvis der måtte være et
særligt behov herfor.
I forbindelse med Datatilsynets rådgivningsarbejde opfordrer
tilsynet ofte dataansvarlige og databehandlere til at anvende reg-
lernes fleksibilitet med henblik på at opnå brugbare og afbalan-
cerede løsninger, hvor både hensynet til beskyttelsen af perso-
noplysninger og andre saglige hensyn, som forfølges med en be-
handling af personoplysninger, tilgodeses. Samtidig opfordrer
Datatilsynet til, at dataansvarlige og databehandlere i sådanne
tilfælde dokumenterer de overvejelser, der har ført til en konkret
løsning, således at der kan gøres rede for denne i forbindelse
med behandlingen af en eventuel klage- eller tilsynssag hos Da-
tatilsynet. Endelig kan det oplyses, at eventuelle uklarheder om
fortolkningen af databeskyttelsesreglerne vil kunne indgå ved
Datatilsynets valg af sanktioner i konkrete sager.
Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at
ved personoplysninger forstås enhver form for information om
en identificeret eller identificerbar fysisk person (den registre-
rede). Ved identificerbar fysisk person forstås en fysisk person,
der direkte eller indirekte kan identificeres, navnlig ved en iden-
tifikator som f.eks. et navn, et identifikationsnummer, lokalise-
ringsdata, en onlineidentifikator eller et eller flere elementer, der
er særlige for denne fysiske persons fysiske, fysiologiske, gene-
tiske, psykiske, økonomiske, kulturelle eller sociale identitet.
Billeder, hvori der indgår genkendelige personer, betragtes som
en personoplysning. Det gælder, uanset om billedet er ledsaget
af en tekst, der identificerer den pågældende. Et billede med
genkendelige/identificerbare personer udgør således oplysnin-
ger om disse personer.
4
Når man som dataansvarlig behandler personoplysninger, følger
der et ansvar med. Som privat virksomhed, offentlig myndig-
hed, institution m.v. skal man derfor være opmærksom på, at de
personer, der behandles oplysninger om (de registrerede), har en
række rettigheder i databeskyttelsesforordningens kapitel 3. En
af de rettigheder, man som registreret har, er retten til indsigt.
Det følger således af databeskyttelsesforordningens artikel 15,
stk. 1, at den registrerede har ret til at få den dataansvarliges be-
kræftelse på, om personoplysninger vedrørende den pågældende
behandles, og i givet fald adgang til personoplysningerne og
yderligere information omkring behandlingen.
Herudover følger det af databeskyttelsesforordningens 15, stk.
3, at den dataansvarlige skal udlevere en kopi af de personop-
lysninger, der behandles.
En anmodning om indsigt fra en registreret kan alene afslås i et
begrænset antal tilfælde.
I et tilfælde, som det, der spørges til i dette spørgsmål, vil den
dataansvarlige som altovervejende hovedregel være forpligtet
til at imødekomme den registreredes anmodning om indsigt,
herunder i eventuelle billeder som den dataansvarlige behand-
ler, hvor den registrerede fremgår.
Den registrerede har alene ret til at modtage en kopi af de per-
sonoplysninger, som den dataansvarlige behandler om den på-
gældende. Den dataansvarlige er derfor forpligtet til at
fjerne/sløre oplysninger om andre personer end den registrerede,
idet den dataansvarlige i modsat fald risikerer uberettiget at vi-
deregive oplysninger om disse andre personer.
Det bemærkes, at det følger af databeskyttelsesforordningens ar-
tikel 5, stk. 1, litra c, at personoplysninger skal være tilstrække-
lige, relevante og begrænset til, hvad der er nødvendigt i forhold
til de formål, hvortil de behandles (»dataminimering«).
Endvidere følger det af databeskyttelsesforordningens artikel 5,
stk. 1, litra e, at personoplysninger skal opbevares på en sådan
måde, at det ikke er muligt at identificere de registrerede i et
længere tidsrum end det, der er nødvendigt til de formål, hvortil
de pågældende personoplysninger behandles (»opbevaringsbe-
grænsning«).
Den dataansvarlige skal derfor (løbende) overveje, hvilke oplys-
ninger der er nødvendige at behandle og hvor længe oplysnin-
ger skal behandles. Dette princip for behandling af personoplys-
ninger vil også have betydning i forhold til den dataansvarliges
forpligtelse til at meddele indsigt efter databeskyttelsesforord-
ningens artikel 15. Det skyldes, at den dataansvarlige alene er
5
forpligtet til at udlevere en kopi af de personoplysninger, som
den dataansvarlige behandler på tidspunktet for den registrere-
des indsigtsanmodning og oplysninger tilvejebragt frem til be-
svarelsen af anmodningen. Bestemmelsen indebærer imidlertid
ikke, at den dataansvarlige skal tilvejebringe (nye) oplysninger,
som den dataansvarlige ikke i forvejen er i besiddelse af, eller
som den dataansvarlige tidligere har slettet.
Datatilsynet kan afslutningsvis oplyse til orientering, at der på-
går en dialog mellem tilsynet og Landsorganisationen Danske
Daginstitutioner (LDD) med henblik på at vejlede om nogle af
de problemstillinger, som også er rejst i dette spørgsmål.”


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 104 (Alm. del), som Folketin-
gets Europaudvalg har stillet til justitsministeren den 9. december 2019.
Spørgsmålet er stillet efter ønske fra Eva Kjer Hansen (V).
Nick Hækkerup
/
Anders Lotterup
Folketinget
Europaudvalget
Christiansborg
1240 København K
DK Danmark
Dato: 6. januar 2020
Kontor: Databeskyttelseskontoret
Sagsbeh: Mie Vinkel Sørensen
Sagsnr.: 2019-0032/06-0104
Dok.: 1333219
Retsudvalget 2018-19 (2. samling)
REU Alm.del - supplerende svar på spørgsmål 149
Offentligt
2
Spørgsmål nr. 104 (Alm. del) fra Folketingets Europaudvalg:
”Ministeren bedes redegøre for Kommissionens arbejde med at
evaluere databeskyttelsesforordningen (GDPR, (EU) 2016/679
af 27. april 2016, jf. især art. 97) og regeringens bidrag til dette
arbejde.”
Svar:
Det følger af databeskyttelsesforordningens artikel 97, at EU-Kommissio-
nen senest den 25. maj 2020 skal foretage en evaluering af databeskyttelses-
forordningen (GDPR). Ministerrådet bidrager til Kommissionens evalue-
ring med et fælles bidrag.
Justitsministeriet har i indlæg i forbindelse med ministerrådets arbejde be-
tonet vigtigheden af det nationale råderum i databeskyttelsesforordningen,
hvorefter Danmark kan fastsætte nærmere nationale regler for behandling af
personoplysninger.
Justitsministeriet har også peget på, at databeskyttelsesforordningen ikke
nødvendigvis altid medfører hensigtsmæssige resultater, fordi reglerne i
visse tilfælde medfører et stort ressourceforbrug, specielt for mindre data-
ansvarlige. Der er derudover peget på, at der er behov for sammenhæng i
initiativer og sektorspecifikke retsgrundlag på tværs af EU samt behovet for
vejledning og støtte for at understøtte et praktisk anvendeligt regelsæt.
Justitsministeriet har endvidere givet udtryk for en bekymring for store tech-
giganters ageren og i den forbindelse også understreget vigtigheden af en
effektiv sammenhængsmekanisme (som handler om samarbejde mellem
medlemsstaternes tilsynsmyndigheder for at skabe en ensartet retstilstand på
tværs af EU-landene). Endelig er der fra dansk side blevet peget på byrderne
for frivillige foreninger samt små og mellemstore virksomheder.
Justitsministeriet har i forbindelse med ovenstående inddraget Erhvervsmi-
nisteriet og Finansministeriet (Digitaliseringsstyrelsen).
Justitsministeriet kan desuden nævne, at ministeriet den 29. november 2019
har afholdt et møde med relevante interessenter om evalueringen af databe-
skyttelsesforordningen.
3
Det bemærkes i den forbindelse, at EU-Kommissionen i juni 2019, som led
i GDPR evalueringen, foretog en høring af en række interessenter, herunder
bl.a. European Banking Federation (EBF), DIGITAL-EUROPE og E-Com-
merce Europe og danske Forbrugerrådet Tænk.
Det kan i øvrigt oplyses, at Justitsministeriet har opfordret EU-Kommissio-
nen til at sikre, at relevante interessenter, særligt Business Europe, ETUC
og Regionsudvalget, inddrages, inden EU-Kommissionens evaluering skal
ligge klar til maj 2020.


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes supplerende besvarelse af spørgsmål nr. 149 (Alm. del), som
Folketingets Retsudvalg har stillet til justitsministeren den 20. august 2019.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva
Kjer Hansen (V).
Nick Hækkerup
/
Anders Lotterup
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato: 6. januar 2020
Kontor: Databeskyttelseskontoret
Sagsbeh: Victoria Maria Ljunggren
Sagsnr.: 2019-0030-2402
Dok.: 1335347
Retsudvalget 2018-19 (2. samling)
REU Alm.del - supplerende svar på spørgsmål 149
Offentligt
2
Spørgsmål nr. 149 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren oversende resultatet af nabotjekket af personda-
taforordningen (GDPR), samt redegøre for, hvordan regeringen
vil følge op på den kritik, der har været rejst af implementerin-
gen af persondataforordningen? Der henvises til REU Alm. del
– svar på spm. 444 (2018-19, 1. samling).”
Svar:
1. Det fremgår af Justitsministeriets besvarelse den 12. september 2019 af
REU spørgsmål 149 (Alm. del), at ministeriet ville iværksætte indhentelse
af oplysninger fra visse andre EU-lande om, hvordan disse lande har imple-
menteret databeskyttelsesforordningen i forhold til mindre virksomheder og
frivillige foreninger. De nævnte oplysninger er nu indhentet, og Justitsmini-
steriet vender hermed tilbage til Retsudvalget.
2. Det kan oplyses, at Justitsministeriet har indhentet de nævnte oplysnin-
ger fra Sverige, Tyskland, Polen, Nederlandene og Tjekkiet. Landende er
udvalgt for at sikre et bredt udsnit af de forskellige EU-lande.
Justitsministeriet har anmodet de pågældende lande om at oplyse, om der i
deres nationale retsorden er fastsat mindre byrdefulde regler end databeskyt-
telsesforordningens udgangspunkt i forhold til mindre virksomheder og fri-
villige foreningers behandling af personoplysninger. Landende er samtidig
blevet bedt om at oplyse, om der fra deres nationale tilsynsmyndighed eller
domstolene er eksempler på praksis, hvor reglerne er blevet håndhævet min-
dre byrdefuldt over for mindre virksomheder og frivillige foreninger.
3. Justitsministeriet har modtaget svar fra alle de adspurgte lande.
Ingen af de adspurgte lande ses at have indført lempeligere regler for min-
dre virksomheder og frivillige foreninger.
De polske myndigheder har oplyst, at mikrovirksomheder og visse forenin-
ger i særlige situationer kan opfylde en del af oplysningspligten i databe-
skyttelsesforordningens artikel 13 ved at fremvise de oplysninger, der skal
gives efter bestemmelsen, på et synligt sted i et forretningslokale eller på en
hjemmeside.
3
Justitsministeriet forstår den polske regel således, at den er et udtryk for fast-
læggelsen af en fremgangsmåde for opfyldelse af (en del) af oplysningsplig-
ten i artikel 13, og den vurderes derfor ikke at være udtryk for en egentlig
lempelse af selve kravene til opfyldelse af oplysningspligten efter databe-
skyttelsesforordningens artikel 13. I Danmark er der ingen specifikke krav
om, at oplysningerne i visse situationer skal gives i et bestemt format. Den
dataansvarlige må således vurdere, hvordan oplysningerne mest hensigts-
mæssigt gives til den registrerede. Oplysningspligten indebærer dog, at den
dataansvarlige på eget initiativ skal tage aktive skridt til at give oplysnin-
gerne til den registrerede, hvilket f.eks. kan ske ved et ”auto-svar”, når man
sender en mail til en virksomhed eller forening. I den forbindelse kan det
desuden oplyses, at det fremgår af databeskyttelsesforordningens præam-
belbetragtning nr. 13, at tilsynsmyndighederne ved anvendelsen af forord-
ningen skal tage hensyn til de dataansvarliges størrelse.
Ingen af de adspurgte lande har oplyst om eksempler på national praksis,
hvorefter reglerne specifikt over for små virksomheder og frivillige forenin-
ger er blevet håndhævet mindre byrdefuldt, end over for større dataansvar-
lige.
Derudover har de adspurgte lande tilkendegivet, at databeskyttelsesforord-
ningens implikationer for mindre virksomheder og frivillige foreninger li-
geledes har stort fokus hos dem.
4. For så vidt angår mindre virksomheder og frivillige foreninger, giver sva-
rene fra de adspurgte lande et overordnet billede af, at databeskyttelsesfor-
ordningen er implementeret på samme måde i EU-landene.
Svarene tegner samtidig et billede af, at databeskyttelsesreglernes hensigts-
mæssighed har stort fokus på tværs af EU-landene. Jeg kan i den forbindelse
henvise til mine svar på Retsudvalgets spørgsmål nr. 253 (Alm. del) og Eu-
ropaudvalgets spørgsmål nr. 104 (Alm. del).
Det kan herudover oplyses, at Justitsministeriet på baggrund af en række
henvendelser fra foreningslivet i december 2018 offentliggjorde ’Vejled-
ning med ofte stillede spørgsmål om frivillige foreningers behandling af per-
sonoplysninger’.