Retsudvalget 2016-17
REU Alm.del
Offentligt
1740673_0001.png
REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 445: MFU spm. om ministeren kan bekræfte, at en arbejdsgiver, der sender en lønseddel til en lønmodtager via en ikke-krypteret mail, har et præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, herunder at persondatalovens krav om datasikkerhed skal overholdes), til justitsministeren
Spørgsmål nr. 445 (Alm. del) fra Folketingets Retsudvalg:
”Kan
ministeren bekræfte, at en arbejdsgiver, der sender en
lønseddel til en lønmodtager via en ikke-krypteret mail, har et
præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver
offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, her-
under at persondatalovens krav om datasikkerhed skal over-
holdes). Hvis dette kan bekræftes, vil ministeren så redegøre
for, om arbejdsgivers præsumptionsansvar ophæves, hvis ar-
bejdsgiveren først, inden lønsedlen sendes via en ikke-
krypteret mail, udstreger navn og CPR-nummer, eller hvis
lønmodtageren præliminært giver hans/hendes samtykke til at
sende lønsedlen via en ikke-krypteret
mail?”
Svar:
Justitsministeriet skal indledningsvis bemærke, at der ikke i alle tilfælde
stilles krav om kryptering ved transmission af personoplysninger over in-
ternettet. Der henvises i den forbindelse til den samtidige besvarelse af
spørgsmål nr. 446 (Alm. del) fra Folketingets Retsudvalg.
For så vidt angår persondatalovens regler om erstatningsansvar, kan det
oplyses, at det følger af persondatalovens § 69, at den dataansvarlige skal
erstatte den skade, der er forvoldt ved behandling i strid med bestemmel-
serne i loven
herunder § 41, stk. 3 om behandlingssikkerhed
medmin-
dre det godtgøres, at skaden ikke kunne have været afværget ved den agt-
pågivenhed og omhu, der må kræves i forbindelse med behandling af op-
lysninger.
Bestemmelsen har til formål at gennemføre kravet i databeskyttelsesdirek-
tivets artikel 23 om, at der skal påhvile den dataansvarlige et såkaldt præ-
sumptionsansvar (culpa med omvendt bevisbyrde) i tilfælde af behandling
af oplysninger i strid med lovens bestemmelser.
Justitsministeriet har desuden til brug for besvarelsen af spørgsmålet ind-
hentet en udtalelse fra Datatilsynet, som bl.a. har oplyst følgende:
”Vedrørende
spørgsmålet om betydningen af, at navn og cpr-
nummer fjernes, kan Datatilsynet oplyse, at persondataloven
bl.a. gælder for behandling af personoplysninger, som helt el-
ler delvis foretages ved hjælp af elektronisk databehandling, jf.
lovens § 1, stk. 1. Ved ”personoplysninger” forstås enhver
2
REU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 445: MFU spm. om ministeren kan bekræfte, at en arbejdsgiver, der sender en lønseddel til en lønmodtager via en ikke-krypteret mail, har et præsumptionsansvar i tilfælde af, at mailen ved et uheld bliver offentliggjort (jf. sikkerhedsbekendtgørelse nr. 528, § 3, herunder at persondatalovens krav om datasikkerhed skal overholdes), til justitsministeren
form for information om en identificeret eller identificerbar
person (den registrerede), jf. lovens § 3, nr. 1.
Persondataloven finder således ikke anvendelse for behandling
af oplysninger, der er anonymiseret på en sådan måde, at den
registrerede ikke længere kan identificeres.
Ved afgørelsen af, om en person er identificerbar, skal alle de
hjælpemidler, der med rimelighed kan tænkes bragt i anven-
delse for at identificere den pågældende enten af den dataan-
svarlige eller af enhver anden person, tages i betragtning.
Datatilsynet kan endelig oplyse, at et samtykke fra den regi-
strerede kan udgøre hjemmel til behandling af oplysninger,
idet mulighed herfor er indeholdt i bestemmelserne i personda-
talovens §§ 6, 7, 8 og 11.
Det er imidlertid Datatilsynets opfattelse, at de sikkerhedskrav,
der følger af persondatalovens § 41, stk. 3, og sikkerhedsbe-
kendtgørelsen, ikke kan fraviges på grundlag af et samtykke
fra den registrerede.”
3