Sundheds- og Ældreudvalget 2016-17
SUU Alm.del
Offentligt
1747833_0001.png
SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 737: Spm. om, hvad Datatilsynets overordnede forpligtigelser er i forhold til tilsyn med myndigheders behandling af personfølsomme oplysninger, til justitsministeren
Spørgsmål nr. 737 (Alm. del) fra Folketingets Sundheds- og Ældreud-
valg:
”Ministeren
bedes oplyse, hvad Datatilsynets overordnede for-
pligtigelser er i forhold til tilsyn med myndigheders behandling
af personfølsomme oplysninger.”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet
fører tilsyn med enhver behandling, der omfattes af
persondataloven, idet Domstolsstyrelsen dog fører tilsyn med be-
handling af oplysninger, der foretages for domstolene, jf. persondata-
lovens § 55, stk. 4. Det følger endvidere af persondatalovens § 56, at
Datatilsynet udøver sine funktioner i fuld uafhængighed.
Persondataloven gælder både for private virksomheder, foreninger
og organisationer og for alle offentlige myndigheder.
Persondataloven gælder som hovedregel for al elektronisk behand-
ling af personoplysninger. Endvidere gælder loven for manuel be-
handling af personoplysninger, som er indeholdt i et register.
Persondataloven opdeler personoplysninger i tre typer: Følsomme
oplysninger, oplysninger om andre rent private forhold og almindeli-
ge ikke-følsomme oplysninger.
Opdelingen findes, fordi der gælder forskellige betingelser og proce-
durer for behandling af personoplysninger afhængigt af oplysninger-
nes følsomhed.
Følsomme oplysninger om menneskers rent private forhold. Det dre-
jer sig om oplysninger om racemæssig eller etnisk baggrund, poli-
tisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige til-
hørsforhold og oplysninger om helbredsforhold og seksuelle forhold.
Andre typer af oplysninger om rent private forhold anses også for at
være følsomme. Det drejer sig om oplysninger om strafbare forhold,
2
SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 737: Spm. om, hvad Datatilsynets overordnede forpligtigelser er i forhold til tilsyn med myndigheders behandling af personfølsomme oplysninger, til justitsministeren
væsentlige sociale problemer og lignende følsomme privatoplysnin-
ger, f.eks. om interne familieforhold.
De oplysninger, der ikke vedrører rent private forhold, kan kaldes
almindelige personoplysninger. Almindelige personoplysninger kan
f.eks. være identifikationsoplysninger, oplysninger om økonomiske
forhold, kundeforhold eller andre lignende ikke-følsomme oplysnin-
ger.
Datatilsynet påser af egen drift eller efter klage fra en registreret, at
behandlingen finder sted i overensstemmelse med persondataloven
og regler udstedt i medfør af loven, jf. persondatalovens § 58, stk. 1.
Som led i denne tilsynsvirksomhed kan Datatilsynet tage sager op af
egen drift, hvis tilsynet finder anledning dertil.
Datatilsynet opererer overordnet med to typer af tilsyn:
Planlagte til-
syn,
der iværksættes som led i Datatilsynets årlige tilsynsplanlæg-
ning, og
ad hoc tilsyn,
der iværksættes som følge af konkrete hæn-
delser mv.
Datatilsynet kan efter persondatalovens § 62, stk. 1, kræve enhver
oplysning, der er af betydning for dets virksomhed, herunder til af-
gørelse af, om et forhold falder ind under lovens bestemmelser.
I forhold til behandlinger, som foretages for den offentlige forvalt-
ning, har Datatilsynets personale efter lovens § 62, stk. 2, til enhver
tid adgang til alle lokaler, hvorfra behandlinger administreres, eller
oplysninger kan benyttes, samt til lokaler, hvor oplysninger eller de
tekniske hjælpemidler opbevares eller anvendes. Tilsynet skal fore-
vise behørig legitimation, men der kræves ikke retskendelse. Det
fremgår af persondatalovens forarbejder, at det er forudsat, at tilsynet
har mulighed for selv at gøre sig bekendt med oplysningerne efter at
have fået adgang til lokaler, hvorfra der er adgang til disse.
Datatilsynet har mulighed for at gennemføre uanmeldte tilsynsbesøg.
I praksis varsles tilsynsbesøgene som regel nogle uger i forvejen, da
det er vigtigt, at de relevante medarbejdere hos den dataansvarlige
kan være til stede. Datatilsynet opfatter ikke kun tilsynsbesøgene
som en kontrolforanstaltning, men lægger også stor vægt på at kom-
me i dialog med de dataansvarlige. Tilsynets repræsentanter informe-
rer og vejleder om lovens regler og Datatilsynets praksis.
3
SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 737: Spm. om, hvad Datatilsynets overordnede forpligtigelser er i forhold til tilsyn med myndigheders behandling af personfølsomme oplysninger, til justitsministeren
Hvis Datatilsynet i forbindelse med et tilsynsbesøg eller på anden vis
må konstatere, at en myndighed har overtrådt persondataloven, og
der er tale om overtrædelser af en vis alvor, udtaler tilsynet kritik
over for myndigheden.
Datatilsynets kompetence i forhold til tilsynsbesøg hos private virk-
somheder er i lovens § 62, stk. 3 og 4, begrænset til de typer af be-
handlinger, der er omfattet af tilladelseskravet i lovens § 50 samt til
edb-servicevirksomheder omfattet af anmeldelsespligten i lovens §
53.
Over for private virksomheder mv. har tilsynet mulighed for at give
påbud og forbud med henblik på overholdelse af loven og kan i
yderste konsekvens skride til politianmeldelse.
Datatilsynet benytter sig både af
tilsynsbesøg
dvs. adgangen til
kontrol på stedet hos de dataansvarlige i medfør af lovens § 62, stk.
2-4, og
oplysningsindsamling
altså muligheden for at stille
spørgsmål med hjemmel i persondatalovens § 62, stk. 1.
De nævnte værktøjer kan anvendes både ved planlagte tilsyn og ved
ad hoc tilsyn. Hidtil er egentlige tilsynsbesøg mest anvendt ved plan-
lagte tilsyn og kun undtagelsesvist i forbindelse med ad hoc tilsyn.
Et eksempel på det sidste er imidlertid tilsynsbesøget på Rigshospita-
let som led i Datatilsynets afklaring af den såkaldte Se og Hør-sag.
Tilsynet kan f.eks. bruge oplysningsindsamling til en målrettet ind-
sats over for dataansvarlige i offentlig eller privat sektor vedrørende
en eller flere specifikke problemstillinger. Datatilsynet vil i den for-
bindelse kunne fortage tilsyn afholdt via besvarelse af spørgeskema-
er, hvor dette er hensigtsmæssigt. Tilsynet benytter adgangen til op-
lysningsindsamling over for alle slags dataansvarlige, også de kate-
gorier af virksomheder, hvor tilsynet ikke kan komme på tilsynsbe-
søg.
Datatilsynet er en del af den offentlige forvaltning og er dermed i
forbindelse med sin virksomhed omfattet af den regulering, der gæl-
der for forvaltningsmyndigheder. Det vil bl.a. sige offentlighedslo-
ven, forvaltningsloven og retssikkerhedsloven. Datatilsynet er end-
4
SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 737: Spm. om, hvad Datatilsynets overordnede forpligtigelser er i forhold til tilsyn med myndigheders behandling af personfølsomme oplysninger, til justitsministeren
videre omfattet af Folketingets Ombudsmands kompetence, jf. lov
om Folketingets Ombudsmand, § 7, stk. 1.”
5