GRU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 26: Spm. om ministeren er enig med Naalakkersuisut i, at Grønland ikke har status som sikkert tredjeland i relation til EU's persondatadirektiv, til justitsministeren

Grønlandsudvalget 2015-16
GRU Alm.del
Offentligt

Lovafdelingen

Folketinget

Grønlandsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

21. marts 2016

Databeskyttelseskontoret

André Dybdal Pape

2016-0032/09-0014

1897084

Hermed sendes besvarelse af spørgsmål nr. 26 (Alm. del), som Folketin-

gets Grønlandsudvalg har stillet til justitsministeren den 2. marts 2016.

Spørgsmålet er stillet efter ønske fra Anja Chemnitz Larsen (IA).

Søren Pind

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

GRU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 26: Spm. om ministeren er enig med Naalakkersuisut i, at Grønland ikke har status som sikkert tredjeland i relation til EU's persondatadirektiv, til justitsministeren

Spørgsmål nr. 26 (Alm. del) fra Folketingets Grønlandsudvalg:

”Er ministeren enig med Naalakkersuisut i (som det fremgår af

indstillingen til forslaget om kongelig anordning om overgang

til Persondataloven), at Grønland ikke har status som sikkert

tredjeland i relation til EU's persondatadirektiv? Hvis ja, kan

ministeren så gøre rede for, hvilke tiltag Datatilsynet har taget

for at sikre Persondatalovens § 27 overholdt i forbindelse med

overførsel af persondata fra Danmark til Grønland?”

Svar:

Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet en

udtalelse fra Datatilsynet, der har oplyst følgende:

”Overførsel af personoplysninger til tredjelande kræver et sær-

skilt hjemmelsgrundlag i persondatalovens

§ 27. Bestemmel-

sen, der har baggrund i databeskyttelsesdirektivets

artikel 25 og

26, gælder både ved

videregivelse

af personoplysninger til en

anden dataansvarlig, ved

overladelse

af personoplysninger til en

databehandler samt ved

intern brug,

f.eks. inden for en koncern.

Ved et tredjeland forstås en stat, som ikke indgår i Det Europæi-

ske Fællesskab, og som ikke har gennemført aftaler, der er ind-

gået med Det Europæiske Fællesskab, og som indeholder regler

svarende til databeskyttelsesdirektivet – det vil sige de såkaldte

EØS-lande, jf. persondatalovens § 3, nr. 9. Dette betyder, at

f.eks. Norge og Island ikke er at betragte som tredjelande, men

at Grønland og Færøerne skal betragtes som tredjelande.

Det må som udgangspunkt kun overføres oplysninger til et tred-

jeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau,

jf. persondatalovens § 27, stk. 1.

Efter persondatalovens § 27, stk. 2, skal vurderingen af, om be-

skyttelsesniveauet i et tredjeland er tilstrækkeligt, ske på grund-

lag af samtlige de forhold, der har indflydelse på en overførsel,

herunder navnlig oplysningernes art, behandlingens formål og

varighed, oprindelseslandet og det endelige bestemmelsesland,

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling

af sådanne oplysninger (databeskyttelsesdirektivet).

samt de retsregler, herunder regler for god forretningsskik og

sikkerhedsforanstaltninger, som gælder i tredjelandet.

Ud over den mulighed, som Datatilsynet har efter persondatalo-

vens § 27, stk. 2, til at foretage en vurdering af databeskyttelses-

niveauet, kan Europa-Kommissionen i medfør af artikel 25, stk.

6, i databeskyttelsesdirektivet, fastslå, at visse lande sikrer et til-

strækkeligt beskyttelsesniveau og derved udgør et såkaldt sik-

kert tredjeland. Denne mulighed har Europa-Kommissionen be-

nyttet i forhold til en række lande.

Grønland er ikke et af de

lande, der anses for et sikkert tredjeland.

Det følger endvidere af persondatalovens § 27, stk. 4, at Datatil-

synet kan give tilladelse til, at der overføres oplysninger til tred-

jelande, som ikke er sikre i persondatalovens § 27, stk. 1, for-

stand, såfremt den dataansvarlige yder tilstrækkelige garantier

for beskyttelse af de registreredes rettigheder. Det kan fastsættes

nærmere vilkår for overførslen.

Overførsel til tredjelande, som ikke sikrer et tilstrækkeligt be-

skyttelsesniveau, vil endvidere bl.a. kunne ske uden tilladelse fra

Datatilsynet, hvis den anvendte kontrakt er i fuld overensstem-

melse med Europa-Kommissionens standardkontraktbestemmel-

ser, jf. persondatalovens § 27, stk. 5. Er der ændret i standard-

kontrakten, skal Datatilsynets tilladelse fortsat indhentes.

Herudover kan der i medfør af persondatalovens § 27, stk. 3,

overføres personoplysninger til et tredjeland, der ikke sikrer et

tilstrækkeligt beskyttelsesniveau, hvis én af undtagelserne i be-

stemmelsen er opfyldt. Herefter kan overførsel bl.a. ske med den

registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis

overførslen er nødvendig af hensyn til opfyldelsen af en aftale

mellem den registrerede og den dataansvarlige, jf. stk. 3, nr. 2.

Det følger endvidere af persondatalovens § 27, stk. 6, at overfør-

sel af personoplysninger til tredjelande altid skal ske inden for

rammerne af persondataloven. Dette indebærer bl.a., at der skal

være hjemmel til behandlingen i lovens kapitel 4, og at reglerne

Se Datatilsynets hjemmeside for liste over sikre tredjelande:

http://www.datatilsynet.dk/erhverv/tredjelande/sikre-tredjelande/

for anmeldelse iagttages. Man skal således både have hjemmel

til overførslen og behandlingen i øvrigt.

For så vidt angår spørgsmålet om, hvilke tiltag Datatilsynet har

taget for at sikre persondatalovens § 27 overholdt i forbindelse

med overførsel af persondata fra Danmark til Grønland, skal Da-

tatilsynet bemærke, at det er den dataansvarlige myndighed eller

virksomheds ansvar, at behandling af personoplysninger sker

under iagttagelse af persondataloven.

Herudover kan Datatilsynet oplyse, at tilsynet fører tilsyn med

enhver behandling, der omfattes af persondataloven, idet Dom-

stolsstyrelsen dog fører tilsyn med behandling af oplysninger,

der foretages for domstolene, jf. persondatalovens § 55, stk. 1.

Det følger endvidere af persondatalovens § 56, at Datatilsynet

udøver sine funktioner i fuld uafhængighed.

Ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende

generelle retsforskrifter, som har betydning for beskyttelsen af

privatlivet i forbindelse med behandling af oplysninger, skal der

indhentes en udtalelse fra Datatilsynet, jf. persondatalovens §

57.

Datatilsynet påser af egen drift eller efter klage fra en registreret,

at behandlingen finder sted i overensstemmelse med persondata-

loven og regler udstedt i medfør af loven, jf. persondatalovens §

58, stk. 1. Det fremgår endvidere af samme bestemmelses stk. 3,

at tilsynet i særlige tilfælde kan forbyde eller suspendere over-

førsel af personoplysninger, som er omfattet af § 27, stk. 5.

Datatilsynets virksomhed er i høj grad baseret på rådgivning til

og vejledning af offentlige myndigheder, virksomheder og pri-

vate. Tilsynet er i persondataloven imidlertid også tillagt en

række beføjelser til at meddele forbud og påbud samt træffe

bindende afgørelser mv., jf. reglerne herom i lovens §§ 59, 60

og 62.

Datatilsynet kan f.eks. i medfør af lovens § 59 påbyde en privat

dataansvarlig at ophøre med en behandling, der ikke må finde

sted efter persondataloven, og at berigtige, slette eller blokere

bestemte oplysninger, som er omfattet af en sådan behandling.

Tilsynet kan endvidere forbyde en privat dataansvarlig at an-

vende en nærmere angiven fremgangsmåde i forbindelse med

behandlingen af oplysninger, hvis tilsynet finder, at den pågæl-

dende fremgangsmåde medfører en væsentlig risiko for, at der

behandles oplysninger i strid med loven.

I forhold til offentlige myndigheder træffer Datatilsynet binden-

de afgørelser i de sager, der er opregnet i persondatalovens § 60,

stk. 1, mens tilsynet i andre tilfælde afgiver udtalelser over for

den dataansvarlige myndighed.

Datatilsynet kan af både offentlige myndigheder og private da-

taansvarlige kræve enhver oplysning, der er af betydning for

dets virksomhed, herunder til afgørelse af, om et forhold falder

ind under lovens bestemmelser. Datatilsynet har endvidere en

række muligheder for at gennemføre inspektioner hos offentlige

og private.

Hertil kommer, at overtrædelse af persondatalovens regler i vidt

omfang er strafsanktioneret, ligesom undladelse af at efterkom-

me Datatilsynets afgørelser i en række tilfælde er strafbart, jf.

nærmere herom lovens § 70.”