PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2014-15 (1. samling)
REU Alm.del
Offentligt

Lovafdelingen

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

10. november 2014

Forvaltningsretskontoret

Kristian Gyde Poulsen

2014-0030-2673

1357235

Hermed sendes besvarelse af spørgsmål nr. 90 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 24. oktober 2014.

Mette Frederiksen

Carsten Madsen

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

Spørgsmål nr. 90 (Alm. del) fra Folketingets Retsudvalg:

”Hvilke krav og regler angående datasikkerhed er gældende for

private virksomheder, der beskæftiger sig med kritisk infra-

struktur, og er der forskel på krav og regler angående datasik-

kerhed hos private virksomheder generelt og hos private virk-

somheder, der beskæftiger sig med kritisk infrastruktur?”

Svar:

Lov om behandling af personoplysninger (persondataloven) gælder bl.a.

for behandling af personoplysninger, som helt eller delvis foretages ved

hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af

personoplysninger, der er eller vil blive indeholdt i et register, jf. lovens §

1, stk. 1. Lovens almindelige anvendelsesområde indeholder ikke nogen

organisatorisk afgrænsning, og lovens område omfatter således som ud-

gangspunkt al behandling, uanset for hvem behandlingen måtte blive fore-

taget, herunder såvel behandling foretaget af den offentlige forvaltning

som af private.

Det følger af lovens § 2, stk. 1, at regler om behandling af personoplysnin-

ger i anden lovgivning, som giver den registrerede en bedre retsstilling, går

forud for reglerne i persondataloven.

Persondatalovens kapitel 11 indeholder regler om såkaldt behandlingssik-

kerhed. Det følger af § 41, stk. 3, at den dataansvarlige skal træffe de for-

nødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at op-

lysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,

samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i

øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Kravene i § 41, stk. 3, er for den offentlige forvaltnings vedkommende ud-

dybet i den såkaldte sikkerhedsbekendtgørelse (bekendtgørelse nr. 528 af

15. juni 2000).

Af § 41, stk. 4, fremgår, at der for oplysninger, som behandles for den of-

fentlige forvaltning, og som er af særlig interesse for fremmede magter,

skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse

i tilfælde af krig eller lignende forhold.

Det følger herudover af § 42, stk. 1, at når en dataansvarlig overlader en

behandling af oplysninger til en databehandler, skal den dataansvarlige

PDF to HTML - Convert PDF files to HTML files

sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske

og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Af § 42, stk. 2, 1. pkt., følger desuden, at gennemførelse af en behandling

ved en databehandler skal ske i henhold til en skriftlig aftale parterne imel-

lem. Af aftalen skal det fremgå, at databehandleren alene handler efter in-

struks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gæl-

der for behandlingen ved databehandleren.

Der gælder ikke efter persondataloven i anden lovgivning på Justitsmini-

steriets område særlige regler om behandlingssikkerhed for virksomheder,

der beskæftiger sig med kritisk infrastruktur.