REU alm. del - svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren
Tilhører sager:
- Hovedtilknytning: REU alm. del (Spørgsmål 149)
Aktører:
- Stiller/MFU: Eva Kjer Hansen
- Besvaret af: justitsministeren
- Adressat: justitsministeren
- Relevant for: Europaudvalget
Besvarelse af spørgsmål 253.pdf
https://www.ft.dk/samling/20182/almdel/REU/spm/149/svar/1622740/2131743.pdf
Slotsholmsgade 10 1216 København K. T +45 7226 8400 F +45 3393 3510 www.justitsministeriet.dk jm@jm.dk Hermed sendes besvarelse af spørgsmål nr. 253 (Alm. del), som Folketin- gets Retsudvalg har stillet til justitsministeren den 11. november 2019. Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva Kjer Hansen (V). Nick Hækkerup / Anders Lotterup Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark Dato: 6. december 2019 Kontor: Databeskyttelseskontoret Sagsbeh: Mikkel Reenberg Sagsnr.: 2019-0030-3021 Dok.: 1296705 Retsudvalget 2018-19 (2. samling) REU Alm.del - supplerende svar på spørgsmål 149 Offentligt 2 Spørgsmål nr. 253 (Alm. del) fra Folketingets Retsudvalg: ”Kan ministeren bekræfte, at daginstitutionen Idrætsbørnehuset på Frederiksberg pga. persondataforordningen skal gennemgå 6000 billeder og 335 videoer for at identificere et barn og sløre alle andre genkendelige børn, der optræder sammen med det ene barn, hvis forældre har fået aktindsigt i alt billed- og videoma- teriale, som institutionen ligger inde med? Der henvises til ar- tiklen ”Forældre kræver billedmateriale fjernet fra daginstitu- tion. Må nu se 6000 billeder igennem Tv2Lorry.dk”, den 3. sep- tember 2019.” Svar: 1. Der er stort fokus på databeskyttelsesreglerne i disse år. Det er naturligt, fordi det er vigtigt, hvordan vi beskytter personoplysninger, særligt set i ly- set af den aktuelle teknologiske udvikling. Det er centralt, at databeskyttelsesreglerne ikke bliver for svære at håndtere i praksis, og at der ikke skal bruges uforholdsmæssigt mange ressourcer på dem. Jeg har forståelse for de problemer, som reglerne skaber, og jeg aner- kender, at databeskyttelsesreglerne efter min opfattelse ikke altid leder til helt hensigtsmæssige resultater. 2. Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind- hentet en udtalelse fra Datatilsynet, der har oplyst følgende: ”Datatilsynet bemærker, at registerlovene fandt anvendelse fra den 1. januar 1979, og indtil lovene den 1. juli 2000 blev ophæ- vet og erstattet af persondataloven, som fandt anvendelse indtil den 25. maj 2018. Persondataloven blev erstattet af databeskyt- telsesforordningen og databeskyttelsesloven, som i vidt omfang svarer til den tidligere gældende retstilstand. En af ændringerne i forhold til den tidligere retstilstand er imid- lertid muligheden for at pålægge væsentligt større bøder end tid- ligere for overtrædelse af databeskyttelsesreglerne. Dette har bl.a. bevirket, at der er skabt en større bevidsthed omkring be- tydningen af beskyttelse af personoplysninger, hvilket samtidig synes at have skabt en udpræget bekymring hos dataansvarlige og databehandlere for konsekvenserne af en eventuel mang- lende overholdelse af reglerne. Datatilsynet bemærker i den forbindelse, at databeskyttelsesreg- lerne i vidt omfang består af generelle retlige standarder, som i 3 praksis forudsætter, at de dataansvarlige skal foretage en kon- kret vurdering. Reglerne er med andre ord karakteriseret ved en høj grad af fleksibilitet, således at reglerne kan tilpasses mange forskellige behandlingssituationer. I kombination med oven- nævnte bekymring for konsekvenserne af en eventuel mang- lende overholdelse af reglerne kan dette i visse tilfælde medføre en overdreven forsigtighed i forhold til anvendelsen af databe- skyttelsesreglerne. I forlængelse heraf kan Datatilsynet oplyse, at tilsynet arbejder for at fremme dataansvarliges og databehandleres kendskab til deres forpligtelser. Dette sker bl.a. gennem Datatilsynets gene- relle oplysningsvirksomhed i form af offentliggørelse af afgø- relser og vejledninger på tilsynets hjemmeside og de mange te- lefoniske og skriftlige forespørgsler om reglerne, som tilsynet hver dag besvarer, ligesom tilsynet holder mange møder med bl.a. interesse- og brancheorganisationer, men også enkeltstå- ende dataansvarlige og databehandlere, hvis der måtte være et særligt behov herfor. I forbindelse med Datatilsynets rådgivningsarbejde opfordrer tilsynet ofte dataansvarlige og databehandlere til at anvende reg- lernes fleksibilitet med henblik på at opnå brugbare og afbalan- cerede løsninger, hvor både hensynet til beskyttelsen af perso- noplysninger og andre saglige hensyn, som forfølges med en be- handling af personoplysninger, tilgodeses. Samtidig opfordrer Datatilsynet til, at dataansvarlige og databehandlere i sådanne tilfælde dokumenterer de overvejelser, der har ført til en konkret løsning, således at der kan gøres rede for denne i forbindelse med behandlingen af en eventuel klage- eller tilsynssag hos Da- tatilsynet. Endelig kan det oplyses, at eventuelle uklarheder om fortolkningen af databeskyttelsesreglerne vil kunne indgå ved Datatilsynets valg af sanktioner i konkrete sager. Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at ved personoplysninger forstås enhver form for information om en identificeret eller identificerbar fysisk person (den registre- rede). Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en iden- tifikator som f.eks. et navn, et identifikationsnummer, lokalise- ringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, gene- tiske, psykiske, økonomiske, kulturelle eller sociale identitet. Billeder, hvori der indgår genkendelige personer, betragtes som en personoplysning. Det gælder, uanset om billedet er ledsaget af en tekst, der identificerer den pågældende. Et billede med genkendelige/identificerbare personer udgør således oplysnin- ger om disse personer. 4 Når man som dataansvarlig behandler personoplysninger, følger der et ansvar med. Som privat virksomhed, offentlig myndig- hed, institution m.v. skal man derfor være opmærksom på, at de personer, der behandles oplysninger om (de registrerede), har en række rettigheder i databeskyttelsesforordningens kapitel 3. En af de rettigheder, man som registreret har, er retten til indsigt. Det følger således af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges be- kræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og yderligere information omkring behandlingen. Herudover følger det af databeskyttelsesforordningens 15, stk. 3, at den dataansvarlige skal udlevere en kopi af de personop- lysninger, der behandles. En anmodning om indsigt fra en registreret kan alene afslås i et begrænset antal tilfælde. I et tilfælde, som det, der spørges til i dette spørgsmål, vil den dataansvarlige som altovervejende hovedregel være forpligtet til at imødekomme den registreredes anmodning om indsigt, herunder i eventuelle billeder som den dataansvarlige behand- ler, hvor den registrerede fremgår. Den registrerede har alene ret til at modtage en kopi af de per- sonoplysninger, som den dataansvarlige behandler om den på- gældende. Den dataansvarlige er derfor forpligtet til at fjerne/sløre oplysninger om andre personer end den registrerede, idet den dataansvarlige i modsat fald risikerer uberettiget at vi- deregive oplysninger om disse andre personer. Det bemærkes, at det følger af databeskyttelsesforordningens ar- tikel 5, stk. 1, litra c, at personoplysninger skal være tilstrække- lige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«). Endvidere følger det af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbe- grænsning«). Den dataansvarlige skal derfor (løbende) overveje, hvilke oplys- ninger der er nødvendige at behandle og hvor længe oplysnin- ger skal behandles. Dette princip for behandling af personoplys- ninger vil også have betydning i forhold til den dataansvarliges forpligtelse til at meddele indsigt efter databeskyttelsesforord- ningens artikel 15. Det skyldes, at den dataansvarlige alene er 5 forpligtet til at udlevere en kopi af de personoplysninger, som den dataansvarlige behandler på tidspunktet for den registrere- des indsigtsanmodning og oplysninger tilvejebragt frem til be- svarelsen af anmodningen. Bestemmelsen indebærer imidlertid ikke, at den dataansvarlige skal tilvejebringe (nye) oplysninger, som den dataansvarlige ikke i forvejen er i besiddelse af, eller som den dataansvarlige tidligere har slettet. Datatilsynet kan afslutningsvis oplyse til orientering, at der på- går en dialog mellem tilsynet og Landsorganisationen Danske Daginstitutioner (LDD) med henblik på at vejlede om nogle af de problemstillinger, som også er rejst i dette spørgsmål.”
Besvarelse af spørgsmå 104 alm. del EUU.pdf
https://www.ft.dk/samling/20182/almdel/REU/spm/149/svar/1622740/2131742.pdf
Slotsholmsgade 10 1216 København K. T +45 7226 8400 F +45 3393 3510 www.justitsministeriet.dk jm@jm.dk Hermed sendes besvarelse af spørgsmål nr. 104 (Alm. del), som Folketin- gets Europaudvalg har stillet til justitsministeren den 9. december 2019. Spørgsmålet er stillet efter ønske fra Eva Kjer Hansen (V). Nick Hækkerup / Anders Lotterup Folketinget Europaudvalget Christiansborg 1240 København K DK Danmark Dato: 6. januar 2020 Kontor: Databeskyttelseskontoret Sagsbeh: Mie Vinkel Sørensen Sagsnr.: 2019-0032/06-0104 Dok.: 1333219 Retsudvalget 2018-19 (2. samling) REU Alm.del - supplerende svar på spørgsmål 149 Offentligt 2 Spørgsmål nr. 104 (Alm. del) fra Folketingets Europaudvalg: ”Ministeren bedes redegøre for Kommissionens arbejde med at evaluere databeskyttelsesforordningen (GDPR, (EU) 2016/679 af 27. april 2016, jf. især art. 97) og regeringens bidrag til dette arbejde.” Svar: Det følger af databeskyttelsesforordningens artikel 97, at EU-Kommissio- nen senest den 25. maj 2020 skal foretage en evaluering af databeskyttelses- forordningen (GDPR). Ministerrådet bidrager til Kommissionens evalue- ring med et fælles bidrag. Justitsministeriet har i indlæg i forbindelse med ministerrådets arbejde be- tonet vigtigheden af det nationale råderum i databeskyttelsesforordningen, hvorefter Danmark kan fastsætte nærmere nationale regler for behandling af personoplysninger. Justitsministeriet har også peget på, at databeskyttelsesforordningen ikke nødvendigvis altid medfører hensigtsmæssige resultater, fordi reglerne i visse tilfælde medfører et stort ressourceforbrug, specielt for mindre data- ansvarlige. Der er derudover peget på, at der er behov for sammenhæng i initiativer og sektorspecifikke retsgrundlag på tværs af EU samt behovet for vejledning og støtte for at understøtte et praktisk anvendeligt regelsæt. Justitsministeriet har endvidere givet udtryk for en bekymring for store tech- giganters ageren og i den forbindelse også understreget vigtigheden af en effektiv sammenhængsmekanisme (som handler om samarbejde mellem medlemsstaternes tilsynsmyndigheder for at skabe en ensartet retstilstand på tværs af EU-landene). Endelig er der fra dansk side blevet peget på byrderne for frivillige foreninger samt små og mellemstore virksomheder. Justitsministeriet har i forbindelse med ovenstående inddraget Erhvervsmi- nisteriet og Finansministeriet (Digitaliseringsstyrelsen). Justitsministeriet kan desuden nævne, at ministeriet den 29. november 2019 har afholdt et møde med relevante interessenter om evalueringen af databe- skyttelsesforordningen. 3 Det bemærkes i den forbindelse, at EU-Kommissionen i juni 2019, som led i GDPR evalueringen, foretog en høring af en række interessenter, herunder bl.a. European Banking Federation (EBF), DIGITAL-EUROPE og E-Com- merce Europe og danske Forbrugerrådet Tænk. Det kan i øvrigt oplyses, at Justitsministeriet har opfordret EU-Kommissio- nen til at sikre, at relevante interessenter, særligt Business Europe, ETUC og Regionsudvalget, inddrages, inden EU-Kommissionens evaluering skal ligge klar til maj 2020.
Supplerende svar på spm. 149.pdf
https://www.ft.dk/samling/20182/almdel/REU/spm/149/svar/1622740/2131741.pdf
Slotsholmsgade 10 1216 København K. T +45 7226 8400 F +45 3393 3510 www.justitsministeriet.dk jm@jm.dk Hermed sendes supplerende besvarelse af spørgsmål nr. 149 (Alm. del), som Folketingets Retsudvalg har stillet til justitsministeren den 20. august 2019. Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva Kjer Hansen (V). Nick Hækkerup / Anders Lotterup Folketinget Retsudvalget Christiansborg 1240 København K DK Danmark Dato: 6. januar 2020 Kontor: Databeskyttelseskontoret Sagsbeh: Victoria Maria Ljunggren Sagsnr.: 2019-0030-2402 Dok.: 1335347 Retsudvalget 2018-19 (2. samling) REU Alm.del - supplerende svar på spørgsmål 149 Offentligt 2 Spørgsmål nr. 149 (Alm. del) fra Folketingets Retsudvalg: ”Vil ministeren oversende resultatet af nabotjekket af personda- taforordningen (GDPR), samt redegøre for, hvordan regeringen vil følge op på den kritik, der har været rejst af implementerin- gen af persondataforordningen? Der henvises til REU Alm. del – svar på spm. 444 (2018-19, 1. samling).” Svar: 1. Det fremgår af Justitsministeriets besvarelse den 12. september 2019 af REU spørgsmål 149 (Alm. del), at ministeriet ville iværksætte indhentelse af oplysninger fra visse andre EU-lande om, hvordan disse lande har imple- menteret databeskyttelsesforordningen i forhold til mindre virksomheder og frivillige foreninger. De nævnte oplysninger er nu indhentet, og Justitsmini- steriet vender hermed tilbage til Retsudvalget. 2. Det kan oplyses, at Justitsministeriet har indhentet de nævnte oplysnin- ger fra Sverige, Tyskland, Polen, Nederlandene og Tjekkiet. Landende er udvalgt for at sikre et bredt udsnit af de forskellige EU-lande. Justitsministeriet har anmodet de pågældende lande om at oplyse, om der i deres nationale retsorden er fastsat mindre byrdefulde regler end databeskyt- telsesforordningens udgangspunkt i forhold til mindre virksomheder og fri- villige foreningers behandling af personoplysninger. Landende er samtidig blevet bedt om at oplyse, om der fra deres nationale tilsynsmyndighed eller domstolene er eksempler på praksis, hvor reglerne er blevet håndhævet min- dre byrdefuldt over for mindre virksomheder og frivillige foreninger. 3. Justitsministeriet har modtaget svar fra alle de adspurgte lande. Ingen af de adspurgte lande ses at have indført lempeligere regler for min- dre virksomheder og frivillige foreninger. De polske myndigheder har oplyst, at mikrovirksomheder og visse forenin- ger i særlige situationer kan opfylde en del af oplysningspligten i databe- skyttelsesforordningens artikel 13 ved at fremvise de oplysninger, der skal gives efter bestemmelsen, på et synligt sted i et forretningslokale eller på en hjemmeside. 3 Justitsministeriet forstår den polske regel således, at den er et udtryk for fast- læggelsen af en fremgangsmåde for opfyldelse af (en del) af oplysningsplig- ten i artikel 13, og den vurderes derfor ikke at være udtryk for en egentlig lempelse af selve kravene til opfyldelse af oplysningspligten efter databe- skyttelsesforordningens artikel 13. I Danmark er der ingen specifikke krav om, at oplysningerne i visse situationer skal gives i et bestemt format. Den dataansvarlige må således vurdere, hvordan oplysningerne mest hensigts- mæssigt gives til den registrerede. Oplysningspligten indebærer dog, at den dataansvarlige på eget initiativ skal tage aktive skridt til at give oplysnin- gerne til den registrerede, hvilket f.eks. kan ske ved et ”auto-svar”, når man sender en mail til en virksomhed eller forening. I den forbindelse kan det desuden oplyses, at det fremgår af databeskyttelsesforordningens præam- belbetragtning nr. 13, at tilsynsmyndighederne ved anvendelsen af forord- ningen skal tage hensyn til de dataansvarliges størrelse. Ingen af de adspurgte lande har oplyst om eksempler på national praksis, hvorefter reglerne specifikt over for små virksomheder og frivillige forenin- ger er blevet håndhævet mindre byrdefuldt, end over for større dataansvar- lige. Derudover har de adspurgte lande tilkendegivet, at databeskyttelsesforord- ningens implikationer for mindre virksomheder og frivillige foreninger li- geledes har stort fokus hos dem. 4. For så vidt angår mindre virksomheder og frivillige foreninger, giver sva- rene fra de adspurgte lande et overordnet billede af, at databeskyttelsesfor- ordningen er implementeret på samme måde i EU-landene. Svarene tegner samtidig et billede af, at databeskyttelsesreglernes hensigts- mæssighed har stort fokus på tværs af EU-landene. Jeg kan i den forbindelse henvise til mine svar på Retsudvalgets spørgsmål nr. 253 (Alm. del) og Eu- ropaudvalgets spørgsmål nr. 104 (Alm. del). Det kan herudover oplyses, at Justitsministeriet på baggrund af en række henvendelser fra foreningslivet i december 2018 offentliggjorde ’Vejled- ning med ofte stillede spørgsmål om frivillige foreningers behandling af per- sonoplysninger’.