Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt
1831987_0001.png
Folketinget
Retsudvalget
Christiansborg Slot 1
1218 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
8. december 2017
Databeskyttelseskontoret
Nanna Due Binø
2017-0037-0005
586402
Hermed sendes besvarelse af spørgsmål 6 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og om fri udveks-
ling af sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til
lov om ændring af lov om retshåndhævende myndigheders behandling af
personoplysninger, lov om massemediers informationsdatabaser og for-
skellige andre love (Konsekvensændringer som følge af databeskyttelses-
loven og databeskyttelsesforordningen samt medieansvarslovens anven-
delse på offentligt tilgængelige informationsdatabaser m.v.) (L 69), som
Folketingets Retsudvalg har stillet til justitsministeren den 23. november
2017.
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 69 - 2017-18 - Endeligt svar på spørgsmål 6: Spm. om ministerens kommentar til henvendelsen af 21/11-17 fra N.N., til justitsministeren
Spørgsmål 6 fra Folketingets Retsudvalg vedrørende L 68 og L 69:
”Ministeren
bedes kommentere henvendelsen af 21. november
2017 fra N. N., jf. L 68/L 69 - bilag 7.”
Svar:
1.
N.N. har i sin henvendelse af 21. november 2017 anført, at der er konsta-
teret to fejl i bilag 4 til L 68 fra Folketingets sekretariat.
N.N. har i henvendelsen bemærket, at det er en fejl, at der i bilag 4 står, at
forordningen stiller større krav til virksomheder og myndigheder i forhold
til at dokumentere deres overholdelse af forordningen, men at kravene dog
ikke gælder virksomheder med under 250 ansatte.
Databeskyttelsesforordningen lægger op til en anden ordning end anmeldel-
sespligten til Datatilsynet i persondatalovens §§ 43, stk. 1 og 48. Det følger
således af forordningens artikel 30, at den dataansvarlige og databehandle-
ren i visse tilfælde skal føre interne fortegnelser over deres behandling af
personoplysninger.
Det følger af forordningens artikel 5, stk. 2, at den dataansvarlige er ansvar-
lig for og skal kunne påvise, at principperne for behandling af personoplys-
ninger i artikel 5, stk. 1, er overholdt. I lighed med gældende ret skal den
dataansvarlige således have et overblik over de behandlinger af personop-
lysninger, som denne foretager for at efterleve forordningens artikel 5, her-
under stk. 2.
Det følger endvidere af forordningens artikel 24, stk. 1, om den dataansvar-
liges ansvar, at denne under hensyntagen til behandlingens karakter, sam-
menhæng, omfang og formål samt sandsynligheden for og graden af de ri-
sici, der er for den registreredes rettigheder og frihedsrettigheder, skal gen-
nemføre passende tekniske og organisatoriske foranstaltninger og kunne de-
monstrere, at behandlingen af personoplysninger er i overensstemmelse
med forordningen. Disse foranstaltninger skal om nødvendigt revideres og
ajourføres.
Ansvarligheden kommer således til udtryk ved, at den dataansvarlige både
skal efterleve forordningens forskrifter og ligeledes skal være i stand til at
påvise, at dette rent faktisk er tilfældet. Dermed er det, i overensstemmelse
med gældende ret, op til den dataansvarlige at påvise over for henholdsvis
2
L 69 - 2017-18 - Endeligt svar på spørgsmål 6: Spm. om ministerens kommentar til henvendelsen af 21/11-17 fra N.N., til justitsministeren
tilsynsmyndigheder og de registrerede personer, at de pågældende behand-
lingsaktiviteter efterlever forordningens regler.
For netop at påvise, at en behandling overholder forordningens regler, følger
det af præambelbetragtning nr. 82 til databeskyttelsesforordningen, at den
dataansvarlige eller databehandleren bør føre fortegnelse over behandlings-
aktiviteter under sit ansvar.
Endvidere følger det af præambelbetragtningen, at hver dataansvarlig og da-
tabehandler bør have pligt til at samarbejde med tilsynsmyndigheden og ef-
ter anmodning stille disse fortegnelser til rådighed for tilsynsmyndigheden,
så de kan bruges til at føre tilsyn med behandlingsbetingelserne i forordnin-
gen.
Et af formålene med kravet om, at dataansvarlige og databehandlere skal
føre en fortegnelse, er at bidrage til den samlede dokumentation af, hvordan
databeskyttelsesreglerne efterleves. Herudover er det f.eks. et formål, at for-
tegnelsen kan anvendes i tilsynsmyndighedens arbejde.
Selve forpligtelsen til at føre en fortegnelse følger af forordningens artikel
30. Det fremgår heraf, at den dataansvarlige samt dennes eventuelle repræ-
sentant skal føre fortegnelse over behandlingsaktiviteter under deres ansvar.
Endvidere skal databehandlere og deres eventuelle repræsentanter efter be-
stemmelsen føre fortegnelse over alle kategorier af behandlingsaktiviteter,
der foretages på vegne af den dataansvarlige. Der er i betænkning nr. 1565
om databeskyttelsesforordningen på side 461 givet et eksempel på, hvordan
en fortegnelse kan se ud.
Det følger af databeskyttelsesforordningens artikel 30, stk. 5, at kravet om
fortegnelse i artikel 30, stk. 1 og 2, for henholdsvis dataansvarlige og data-
behandlere i visse tilfælde kan undtages.
Det følger således af artikel 30, stk. 5, at de i artikel 30, stk. 1 og 2, omhand-
lede forpligtelser ikke finder anvendelse på virksomheder eller en organisa-
tion, der beskæftiger under 250 personer, medmindre den behandling, som
den foretager, sandsynligvis vil medføre en risiko for registreredes rettighe-
der og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behand-
lingen omfatter særlige kategorier af oplysninger eller personoplysninger
vedrørende straffedomme og lovovertrædelser.
3
L 69 - 2017-18 - Endeligt svar på spørgsmål 6: Spm. om ministerens kommentar til henvendelsen af 21/11-17 fra N.N., til justitsministeren
Man skal således som dataansvarlig under alle omstændigheder leve op til
fortegnelseskravet i artikel 30, stk. 1 og 2
også selvom man beskæftiger
under 250 personer
hvis den dataansvarliges behandling af personoplys-
ninger (1) sandsynligvis vil medføre en risiko for registreredes rettigheder
og frihedsrettigheder, (2) vil foregå oftere end blot lejlighedsvis, eller hvis
(3) behandlingen omfatter de nævnte særlige kategorier af oplysninger.
Det må i øvrigt antages at behandling af personoplysninger i forbindelse
med sædvanlig personaleadministration under normale omstændigheder
ikke vil kunne undtages efter artikel 30, stk. 5, selvom den foregår i virk-
somheder eller organisationer med under 250 ansatte, da en sådan behand-
lingsaktivitet må antages normalt at foregå oftere end blot lejlighedsvis.
Justitsministeriet er enig i det i henvendelsen af 21. november 2017 anførte
om, at det kun er vedrørende fortegnelseskravet, jf. databeskyttelsesforord-
ningens artikel 30, at virksomheder eller organisationer, der beskæftiger un-
der 250 personer, er undtaget.
Det skal dog bemærkes, at EU-institutionerne og -organerne samt medlems-
staterne og deres tilsynsmyndigheder derudover opfordres til at tage hensyn
til mikrovirksomheders og små og mellemstore virksomheders særlige be-
hov i forbindelse med anvendelsen af forordningen.
2.
N.N. har i henvendelsen endvidere bemærket, at det er en fejl, at der i
bilag 4 står, at bødeniveauet er fastsat på op til 10 mio. euro eller op til 2
pct. af virksomhedens globale årlige omsætning i det foregående regn-
skabsår.
Det følger af databeskyttelsesforordningens artikel 83, stk. 4, at overtræ-
delse af en række bestemmelser, bl.a. overtrædelse af den dataansvarliges
pligter i forhold til et barns samtykke i forbindelse med informationssam-
fundstjenester, straffes med administrative bøder på op til 10 mio. EUR, el-
ler hvis det drejer sig om en virksomhed, med op til 2 pct. af dens samlede
globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb
er højere.
Det følger endvidere af databeskyttelsesforordningens artikel 83, stk. 5, at
overtrædelse af en række bestemmelser, bl.a. overtrædelse af de grundlæg-
gende principper eller overtrædelse af reglerne om overførsel af personop-
lysninger til et tredjeland, straffes med administrative bøder på op til 20 mio.
EUR, eller hvis det drejer sig om en virksomhed, med op til 4 pct. af dens
4
L 69 - 2017-18 - Endeligt svar på spørgsmål 6: Spm. om ministerens kommentar til henvendelsen af 21/11-17 fra N.N., til justitsministeren
samlede globale årlige omsætning i det foregående regnskabsår, såfremt
dette beløb er højere.
Virksomheder, der ikke overholder forordningens regler om eksempelvis de
grundlæggende principper, vil således kunne ifalde en bøde på ca. 150 mio.
danske kr. eller op til 4 pct. af dens samlede globale årlige omsætning i det
foregående regnskabsår, såfremt dette beløb er højere.
5