REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 445: MFU spm. om ministeren kan bekræfte, at en arbejdsgiver, der sender en lønseddel til en lønmodtager via en ikke-krypteret mail, har et præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, herunder at persondatalovens krav om datasikkerhed skal overholdes), til justitsministeren

Retsudvalget 2016-17
REU Alm.del
Offentligt

Spørgsmål nr. 445 (Alm. del) fra Folketingets Retsudvalg:

”Kan

ministeren bekræfte, at en arbejdsgiver, der sender en

lønseddel til en lønmodtager via en ikke-krypteret mail, har et

præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver

offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, her-

under at persondatalovens krav om datasikkerhed skal over-

holdes). Hvis dette kan bekræftes, vil ministeren så redegøre

for, om arbejdsgivers præsumptionsansvar ophæves, hvis ar-

bejdsgiveren først, inden lønsedlen sendes via en ikke-

krypteret mail, udstreger navn og CPR-nummer, eller hvis

lønmodtageren præliminært giver hans/hendes samtykke til at

sende lønsedlen via en ikke-krypteret

mail?”

Svar:

Justitsministeriet skal indledningsvis bemærke, at der ikke i alle tilfælde

stilles krav om kryptering ved transmission af personoplysninger over in-

ternettet. Der henvises i den forbindelse til den samtidige besvarelse af

spørgsmål nr. 446 (Alm. del) fra Folketingets Retsudvalg.

For så vidt angår persondatalovens regler om erstatningsansvar, kan det

oplyses, at det følger af persondatalovens § 69, at den dataansvarlige skal

erstatte den skade, der er forvoldt ved behandling i strid med bestemmel-

serne i loven

–

herunder § 41, stk. 3 om behandlingssikkerhed

–

medmin-

dre det godtgøres, at skaden ikke kunne have været afværget ved den agt-

pågivenhed og omhu, der må kræves i forbindelse med behandling af op-

lysninger.

Bestemmelsen har til formål at gennemføre kravet i databeskyttelsesdirek-

tivets artikel 23 om, at der skal påhvile den dataansvarlige et såkaldt præ-

sumptionsansvar (culpa med omvendt bevisbyrde) i tilfælde af behandling

af oplysninger i strid med lovens bestemmelser.

Justitsministeriet har desuden til brug for besvarelsen af spørgsmålet ind-

hentet en udtalelse fra Datatilsynet, som bl.a. har oplyst følgende:

”Vedrørende

spørgsmålet om betydningen af, at navn og cpr-

nummer fjernes, kan Datatilsynet oplyse, at persondataloven

bl.a. gælder for behandling af personoplysninger, som helt el-

ler delvis foretages ved hjælp af elektronisk databehandling, jf.

lovens § 1, stk. 1. Ved ”personoplysninger” forstås enhver

form for information om en identificeret eller identificerbar

person (den registrerede), jf. lovens § 3, nr. 1.

Persondataloven finder således ikke anvendelse for behandling

af oplysninger, der er anonymiseret på en sådan måde, at den

registrerede ikke længere kan identificeres.

Ved afgørelsen af, om en person er identificerbar, skal alle de

hjælpemidler, der med rimelighed kan tænkes bragt i anven-

delse for at identificere den pågældende enten af den dataan-

svarlige eller af enhver anden person, tages i betragtning.

Datatilsynet kan endelig oplyse, at et samtykke fra den regi-

strerede kan udgøre hjemmel til behandling af oplysninger,

idet mulighed herfor er indeholdt i bestemmelserne i personda-

talovens §§ 6, 7, 8 og 11.

Det er imidlertid Datatilsynets opfattelse, at de sikkerhedskrav,

der følger af persondatalovens § 41, stk. 3, og sikkerhedsbe-

kendtgørelsen, ikke kan fraviges på grundlag af et samtykke

fra den registrerede.”