Retsudvalget 2014-15 (1. samling)
REU Alm.del
Offentligt
1418408_0001.png
Lovafdelingen
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
10. november 2014
Forvaltningsretskontoret
Kristian Gyde Poulsen
2014-0030-2673
1357271
Hermed sendes besvarelse af spørgsmål nr. 92 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 24. oktober 2014.
Mette Frederiksen
/
Carsten Madsen
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
PDF to HTML - Convert PDF files to HTML files
Spørgsmål nr. 92 (Alm. del) fra Folketingets Retsudvalg:
”Ifølge Datatilsynets hjemmeside er det som udgangspunkt den
dataansvarlige, der er ansvarlig for overholdelse af persondata-
loven. Hvor i persondataloven eller i direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger er dette fastsat, og kan databehandler gø-
res ansvarlig for overholdelse af persondataloven i stedet for
dataansvarlig?”
Svar:
1.
Det følger af § 3, nr. 4, i lov om behandling af personoplysninger (per-
sondataloven), at der ved ”den dataansvarlige” forstås den fysiske eller ju-
ridiske person, offentlige myndighed, institution eller ethvert andet organ,
der alene eller sammen med andre afgør, til hvilket formål og med hvilke
hjælpemidler der må foretages behandling af oplysninger.
Af lovens § 3, nr. 5, følger, at der ved ”databehandleren” forstås den fysi-
ske eller juridiske person, offentlige myndighed, institution eller ethvert
andet organ, der behandler oplysninger på den dataansvarliges vegne.
Af lovens § 41, stk. 1, følger, at personer, virksomheder mv., der udfører
arbejde under den dataansvarlige eller databehandleren, og som får adgang
til oplysninger, kun må behandle disse efter instruks fra den dataansvarli-
ge, medmindre andet følger af lov eller bestemmelser fastsat i henhold til
lov.
En databehandler kendetegnes således ved kun at behandle personoplys-
ninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren
må således ikke behandle personoplysninger til egne formål, ligesom data-
behandleren ikke må bruge de overladte oplysninger til andet end udførel-
sen af opgaven for den dataansvarlige.
2.
Det er som udgangspunkt den dataansvarlige, der har ansvaret for at
overholde lovens regler. Det antages at være indeholdt i definitionerne af
begreberne dataansvarlig og databehandler, ligesom det følger af eller er
forudsat i flere af lovens bestemmelser. Som eksempler på sådanne be-
stemmelser kan nævnes § 4 om lovens geografiske anvendelsesområde, §
35 om den registreredes indsigelsesret, § 37 om retten til at få berigtiget,
slettet eller blokeret urigtige og vildledende oplysninger, §§ 41-42 om be-
2
PDF to HTML - Convert PDF files to HTML files
handlingssikkerhed, reglerne om anmeldelse i lovens kapitel 12 og 13, §
59 om påbud og forbud samt § 69 om erstatningsansvar.
At det som udgangspunkt er den dataansvarlige, der har ansvaret for at
overholde lovens regler, er også forudsat i loven på den måde, at det i lo-
ven specifikt er nævnt, hvis databehandleren (også) er ansvarlig for at
overholde lovens regler.
Det følger således af lovens § 41, stk. 3, 2. pkt., at bestemmelsen i § 41,
stk. 3, 1. pkt. – hvorefter den dataansvarlige skal træffe de fornødne tekni-
ske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger
hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at
de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behand-
les i strid med loven – gælder tilsvarende for databehandlere. Bestemmel-
sen antages at skulle forstås sådan, at der er tale om en selvstændig pligt
for databehandleren til at sørge for, at kravene i § 41, stk. 3, 1. pkt., bliver
overholdt i forbindelse med behandlingen, jf.
Lov om behandling af per-
sonoplysninger med kommentarer
(Henrik Waaben og Kristian Korfits Ni-
elsen, 2. udgave, 2008), s. 434.
Af lovens § 53 følger desuden, at databehandlere, der er etableret i Dan-
mark, og som udøver edb-servicevirksomhed, forinden påbegyndelsen af
behandlingen skal foretage anmeldelse til Datatilsynet. Der er således tale
om en selvstændig pligt for visse databehandlere til at foretage anmeldelse
til Datatilsynet.
Herudover følger det af lovens § 59, stk. 4, at Datatilsynet i særlige tilfæl-
de kan meddele databehandlere påbud eller forbud. Dette kan ifølge forar-
bejderne til bestemmelsen være relevant, såfremt det ikke er muligt for til-
synet at meddele den dataansvarlige de nødvendige påbud eller forbud,
f.eks. fordi det ikke er muligt at komme i kontakt med den dataansvarlige,
eller hvis den dataansvarlige ikke ønsker at efterleve en afgørelse, som er
truffet af tilsynet i henhold til bestemmelsens stk. 1-3.
3.
Hvis en databehandler selv disponerer over personoplysninger, som den
pågældende ligger inde med på vegne af en dataansvarlig myndighed eller
virksomhed mv., vil databehandleren derved kunne siges at have påtaget
sig rollen som selvstændigt dataansvarlig. Det indebærer, at databehandle-
ren vil kunne gøres selvstændigt ansvarlig for (manglende) overholdelse af
persondataloven.
3