Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt
1995930_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
2. januar 2019
Databeskyttelseskontoret
Emilie Liv Loiborg
2018-0030-1850
943095
Hermed sendes besvarelse af spørgsmål nr. 227 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 5. december 2018.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Karin
Gaardsted (S).
Søren Pape Poulsen
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
Spørgsmål nr. 227 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for den generelle praksis i Datatilsy-
net, når tilsynet bliver underrettet om, at virksomheder eller or-
ganisationer ikke opbevarer personfølsomdata korrekt, herunder
om sagen med GoMentor er et enkeltstående tilfælde, jf. artik-
len "Datatilsynet tav om datalæk fra terapiportal: "Det ville spo-
lere
efterforskningen"" fra Version2 den 29. november 2018?”
Svar:
Justitsministeriet har indhentet en udtalelse fra Datatilsynet, der over for mi-
nisteriet har oplyst følgende:
”Datatilsynet er den centrale – uafhængige – statslige myndig-
hed, der fører tilsyn med databeskyttelsesforordningen og data-
beskyttelsesloven samt lov om retshåndhævende myndigheders
behandling af personoplysninger (retshåndhævelsesloven).
Det afgørende for Datatilsynet – tilsynets vision – er, at myn-
digheder og private kender og overholder reglerne for behand-
ling af personoplysninger, og at borgerne kender og kan bruge
deres rettigheder. Datatilsynet gør dette muligt og lettere gen-
nem synlighed, information, dialog og kontrol. Det er samtidig
Datatilsynets mission at rådgive om registrering, videregivelse
og anden behandling af personoplysninger og føre tilsyn med,
at myndigheder, virksomheder og andre dataansvarlige overhol-
der reglerne på området.
Som det fremgår ovenfor, balancerer Datatilsynet således i sit
daglige arbejde på en knivsæg. Tilsynet skal kontrollere og
håndhæve efterlevelsen af databeskyttelsesreglerne, og derigen-
nem opnås en indsigt i de problemer, der er i den private og of-
fentlige sektor. Denne viden bestræber Datatilsynet sig i øvrigt
altid på at omsætte til konkret vejledning og rådgivning til gavn
for borgere, virksomheder og myndigheder mv. herhjemme.
Herudover har Datatilsynet også en mere generel vejlednings-
forpligtelse, hvilket bl.a. udmønter sig i generelle vejledninger
og hjemmesidetekster.
Datatilsynet kan i forlængelse heraf oplyse, at Datatilsynets re-
aktion – når tilsynet af borgere eller andre bliver underrettet om
et brud på persondatasikkerheden – afhænger af det konkrete
brud. Dette har været tilfældet både før og efter den 25. maj
2018, hvor databeskyttelsesforordningen og databeskyttelseslo-
ven fandt anvendelse.
2
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
Hvis et konkret brud på persondatasikkerheden indebærer, at
personoplysninger om borgere ligger frit tilgængelige på f.eks.
internettet, vil Datatilsynet normalt med det samme – for at be-
skytte de registrerede borgeres interesser – rette telefonisk hen-
vendelse til den til den ansvarlige for bruddet og bede virksom-
heden eller myndigheden om at få fjernet personoplysningerne.
Datatilsynet vil samtidig hermed foretage den nødvendige be-
vissikring, som normalt er relativ simpel i forhold til personop-
lysninger, der ligger frit tilgængelige, f.eks. på grund af brud,
der skyldes menneskelige fejl begået af ansatte mv.
Endvidere bemærkes, at i situationer, hvor Datatilsynet er i tvivl
om, hvorvidt den ansvarlige virksomhed eller myndighed vil re-
agere på tilsynets telefoniske henvendelse, vil tilsynet følge op
med et skriftligt påbud om at fjerne personoplysningerne inden
en meget kort frist. Denne fremgangsmåde blev bl.a. benyttet i
tilsynets sag med j.nr. 2013-631-0051, hvor der på en hjem-
meside var blevet offentliggjort personnumre om en række po-
litikere. Datatilsynet undersøger endvidere efterfølgende, om
personoplysningerne er blevet fjernet, og følger herefter mere
generelt op på sagen. Datatilsynet kontrollerer i den forbindelse
bl.a., om der er sket underretning om bruddet til de berørte bor-
gere.
Hvis et konkret brud på persondatasikkerheden derimod inde-
bærer, at personoplysninger om borgere ikke ligger frit tilgæn-
gelige, men alene kan tilgås af et meget begrænset antal perso-
ner – eventuelt også kun forudsat kendskab til bruddets eksi-
stens – vil Datatilsynet alt efter bruddets karakter og alvor nogle
gange vælge at foretage en bevissikring af bruddet, inden tilsy-
net underretter den ansvarlige virksomhed eller myndighed
herom. I disse situationer vil bevissikringen typisk være mere
kompliceret, da bruddet ofte vil skyldes systemtekniske fejl
fremfor menneskelige fejl.
Når Datatilsynet her vælger først at foretage bevissikring inden
underretningen af den ansvarlige virksomhed eller myndighed,
da skyldes dette, at én af Datatilsynets opgaver efter databeskyt-
telsesforordningens artikel 57 er at føre tilsyn med og håndhæve
anvendelsen af forordningen. Datatilsynet kan ikke håndhæve
overtrædelser af databeskyttelsesforordningen, hvis tilsynet
ikke sørger for at have tilstrækkelig dokumentation for, at der
foreligger en overtrædelse af reglerne, herunder reglerne i data-
beskyttelsesforordningens artikel 32 om, at dataansvarlige og
databehandlere skal gennemføre passende sikkerhedsforanstalt-
ninger.
Efter Datatilsynets opfattelse vil en løbende håndhævelse af
overtrædelser af bl.a. databeskyttelsesforordningens artikel 32
om behandlingssikkerhed også generelt medvirke til en øget be-
skyttelse af de registrerede borgeres personoplysninger. Det er
3
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
i den forbindelse Datatilsynets klare indtryk, at virksomheder og
myndigheder gør mere ud af at passe ordentligt på borgernes
personoplysninger, hvis de oplever, at reglerne bliver håndhæ-
vet.
Datatilsynet evaluerer løbende sin håndhævelse og de erfarin-
ger, tilsynet gør sig i forbindelse hermed. Dette sker i øvrigt i
tæt samarbejde med politiet og anklagemyndigheden.
Der henvises i øvrigt til Datatilsynets bidrag til besvarelsen af
spørgsmål nr. 228 fra Folketingets Retsudvalg.”
4