Retsudvalget 2013-14
REU Alm.del
Offentligt
1339144_0001.png
1339144_0002.png
1339144_0003.png
1339144_0004.png
Lovafdelingen
FolketingetRetsudvalgetChristiansborg1240 København K
Dato:Kontor:Sagsbeh:Sagsnr.:Dok.:
25. februar 2014ForvaltningsretskontoretKristian Gyde Poulsen2014-0030-19681084392
Hermed sendes endelig besvarelse af spørgsmål nr. 588 (Alm. del), somFolketingets Retsudvalg har stillet til justitsministeren den 13. februar2014. Spørgsmålet er stillet efter ønske fra Pernille Skipper (EL).
Karen Hækkerup/Carsten Madsen
Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]

Spørgsmål nr. 588 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren indhente en udtalelse fra Datatilsynet vedrø-rende persondatalovens gyldighed samt håndhævelses- og kon-trolmuligheder, hvis Nets sælges til et såkaldt usikkert tredje-land?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet enudtalelse fra Datatilsynet. Datatilsynet, som er den uafhængige myndig-hed, som fører tilsyn med overholdelsen af persondataloven, har oplystfølgende:”Reglerne for persondatalovens1geografiske anvendelsesom-råde – og dermed Datatilsynets geografiske kompetence –fremgår af persondatalovens kapitel 3.Hvis behandlingen af oplysninger udføres foren dataansvar-lig, som er etableret i Danmark,vil persondataloven - indenfor lovens anvendelsesområde - gælde, hvis aktiviteterne findersted inden for Det Europæiske Fællesskabs område.Etablering foreligger, når der er tale om faktisk udøvelse af ak-tiviteter gennem en mere permanent struktur. Det kan f.eks.være aktiviteter, der udøves af en filial eller et datterselskabmed status som juridisk person.2Selv om den dataansvarlige benytter et edb-servicebureau elleren databehandler i et andet EU-land eller i et tredjeland, er detsåledes den danske persondatalov, der - inden for lovens al-mindelige anvendelsesområde - gælder, når den dataansvarligeer etableret i Danmark.Det bemærkes, at overførsel af personoplysninger til tredjelan-de kræver et særskilt hjemmelsgrundlag i persondatalovens §27. Bestemmelsen gælder både vedvideregivelseaf personop-lysninger til en anden dataansvarlig, vedoverladelseaf per-sonoplysninger til en databehandler samt vedintern brug,f.eks. inden for en koncern.Ved et tredjeland forstås en stat, som ikke indgår i Det Euro-pæiske Fællesskab, og som ikke har gennemført aftaler, der er12
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.Betragtning 19 i præamplen til Europa-parlamentets og Rådets direktiv 95/46/EF af 24oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af person-oplysninger og om fri udveksling af sådanne oplysninger. (Herefter: ”databeskyttelsesdi-rektivet”)2
indgået med Det Europæiske Fællesskab, og som indeholderregler svarende til databeskyttelsesdirektivet3.Overførsel af personoplysninger til tredjelande skal altid skalske inden for rammerne af persondataloven.Der må som udgangspunkt kun overføres oplysninger til ettredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelses-niveau.Vurderingen af, om beskyttelsesniveauet i et tredjeland er til-strækkeligt, skal ske på grundlag af samtlige de forhold, derhar indflydelse på en overførsel, herunder navnlig oplysnin-gernes art, behandlingens formål og varighed, oprindelseslan-det og det endelige bestemmelsesland, samt de retsregler, her-under regler for god forretningsskik og sikkerhedsforanstalt-ninger, som gælder i tredjelandet.Europakommissionen (herefter ”Kommissionen”) kan medbindende virkning for medlemsstaterne træffe beslutning om,at et bestemt tredjeland sikrer et tilstrækkeligt beskyttelsesni-veau4.Kommissionen har endvidere truffet beslutning om den såkald-te Safe Harbor-ordning, som amerikanske virksomheder kantilmelde sig og dermed anses for sikre i forbindelse med importaf persondata fra EU.Datatilsynet kan give tilladelse til, at der overføres oplysningertil tredjelande, som ikke er sikre i persondatalovens § 27, stk.1, forstand, såfremt den dataansvarlige yder tilstrækkelige ga-rantier for beskyttelse af de registreredes rettigheder. Der kanfastsættes nærmere vilkår for overførslen.Overførsel til tredjelande, som ikke sikrer et tilstrækkeligt be-skyttelsesniveau, vil endvidere bl.a. kunne ske ved anvendelseaf Kommissionens standardkontraktbestemmelser, eller ved atden dataansvarlige stiller garantier, jf. persondatalovens § 27,stk. 4.Datatilsynet fører tilsyn med enhver behandling af personop-lysninger, der er omfattet af persondataloven. Det gælder dogikke behandling, der foretages for domstolene.Datatilsynet kan i princippet også foretage tilsyn – herunderinspektioner – med databehandlinger, som en dansk dataan-svarlig lader udføre hos en databehandler i udlandet. Datatilsy-Det vil sige de såkaldte EØS-lande. Dette betyder, at f.eks. Norge og Island ikke er atbetragte som tredjelande, men at Grønland og Færøerne skal betragtes som tredjelande4Se Datatilsynets hjemmeside for liste over sikre tredjelande:http://www.datatilsynet.dk/erhverv/tredjelande/sikre-tredjelande/33
nets inspektioner foretages dog i almindelighed hos den data-ansvarlige og ikke hos dennes databehandler.Datatilsynet kan endvidere føre tilsyn med databehandlinger,der foretages i Danmark, uanset at den pågældende behandlinger undergivet lovgivningen i et andet EU-land, jf. persondata-lovens § 64.Hvisen dataansvarlig er etableret i et tredjeland(dvs. et landudenfor EU), finder persondataloven efter lovens § 4, stk. 3,anvendelse, hvis:behandlingen af oplysninger sker under benyttelse afhjælpemidler, der befinder sig i Danmark, medmindrehjælpemidlerne kun benyttes med henblik på forsendelseaf oplysninger gennem Det Europæiske Fællesskabs om-råde, ellerindsamling af oplysninger i Danmark sker med henblikpå behandling i et tredjeland.
I de tilfælde, hvor der anvendes hjælpemidler her i landet, skalden dataansvarlige udpege en repræsentant, som er etableret iDanmark, og underrette Datatilsynet om, hvem der er udpegetsom repræsentant.Som eksempel på et hjælpemiddel er i forarbejderne til lovennævnt teknisk udstyr. Det er uden betydning, om det er EDB-baseret eller ej.Dette indebærer, at hvis en dataansvarlig, der er etableret i ettredjeland, benytter et edb-servicebureau eller en databehand-ler i Danmark, vil persondataloven finde anvendelse for så vidtangår den faktiske behandling, der finder sted her i landet.Datatilsynet skal endelig for god ordens skyld henlede op-mærksomheden på, at persondatalovens § 41, stk. 4, indeholderen særlig regel, hvorefter der for oplysninger, der behandlesfor den offentlige forvaltning, og som er af særlig interesse forfremmede magter, skal træffes foranstaltninger, der gør detmuligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde afkrig eller lignende forhold.I forarbejderne til persondataloven er det bl.a. fremhævet, atnavnlig større landsdækkende systemer, som f.eks. Det Centra-le Personregister (CPR) og centrale skattesystemer, vil væreomfattet af bestemmelsen.Reglen finder efter sin ordlyd alene direkte anvendelse, når deter en offentlig myndighed, der er dataansvarlig.”
4