Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt
2036068_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
26. marts 2019
Databeskyttelseskontoret
Cathrine Engsig Søren-
sen
2019-0030-2056
1030122
Hermed sendes besvarelse af spørgsmål nr. 419 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 27. februar 2019. Spørgs-
målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Bertel Haar-
der (V).
Søren Pape Poulsen
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 419: MFU spm., om Datatilsynets anvisninger er strengt nødvendige, når en lokal idrætsforening ved anvendelse af portrætbilleder på nettet af f.eks. førsteholdets spillere som absolut hovedregel skal have samtykke fra hver enkelt spiller m.m., til justitsministeren
2036068_0002.png
Spørgsmål nr. 419 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for og forholde sig til rimeligheden i
følgende tre eksempler på de bureaukratiske konsekvenser af
implementeringen af databeskyttelsesforordningen i forenings-
livet:
a) Ministeren bedes redegøre for, om Datatilsynets anvisninger
er strengt nødvendige, når en lokal idrætsforening ved anven-
delse af portrætbilleder på nettet af f.eks. førsteholdets spillere
som absolut hovedregel skal have samtykke fra hver enkelt spil-
ler?
b) Ministeren bedes redegøre for, om Datatilsynets anvisninger
er strengt nødvendige, når en lokal idrætsforening ved generelle
mailfremsendelser til sine medlemmer skal angive medlemmer-
nes mailadresser i bcc-feltet, så medlemmerne ikke indbyrdes
ser hinandens mailadresser i sådanne generelle mails, selv om
medlemmerne i øvrigt kender hinanden indbyrdes i foreningen
og har tilsluttet sig foreningen frivilligt?
c) Ministeren bedes redegøre for, om Datatilsynets anvisninger
er strengt nødvendige i forhold til krav om kryptering af e-mails,
når der stort set er tale om et obligatorisk krav om kryptering
ved følsomme og fortrolige oplysninger - også i foreningslivet,
således at hvis en almindelig foreningskasserer i en badminton-
klub med 50 medlemmer rammer forkert i sin vurdering af kryp-
teringskvaliteten af sine mails, så er vedkommende principielt
set hjemfalden til kritik fra Datatilsynet og bødestraf?
d) Ministeren bedes redegøre for, om ministeren alene ud fra
ovenstående, hvis Datatilsynets anvisninger står til troende, fin-
der det rimeligt at de 9.000 lokale foreninger i idrætten under
DIF pålægges de nævnte anvisninger?”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en ud-
talelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet forstår spørgsmålets litra a således, at dette vedrø-
rer tilsynets vejledningstekst om billeder på internettet, der er
tilgængelig på tilsynets hjemmeside
1
.
1
https://www.datatilsynet.dk/emner/internet-og-apps/billeder-paa-internettet/.
2
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 419: MFU spm., om Datatilsynets anvisninger er strengt nødvendige, når en lokal idrætsforening ved anvendelse af portrætbilleder på nettet af f.eks. førsteholdets spillere som absolut hovedregel skal have samtykke fra hver enkelt spiller m.m., til justitsministeren
2036068_0003.png
Datatilsynet kan oplyse, at baggrunden for tilsynets vejledning
er, at behandling af personoplysninger – herunder offentliggø-
relse på internettet – skal ske i overensstemmelse med de data-
beskyttelsesretlige regler. Det skal i forbindelse med offentlig-
gørelse af personoplysninger bl.a. sikres, at behandlingen har et
lovligt grundlag.
I forhold til behandling af portrætbilleder vil grundlaget i de fle-
ste tilfælde alene skulle findes i databeskyttelsesforordningens
artikel 6, stk. 1. Efter denne bestemmelse vil behandling af per-
sonoplysninger bl.a. kunne ske, hvis den registrerede har givet
samtykke til behandling af sine personoplysninger til et eller
flere specifikke formål (litra a), eller hvis behandling er nødven-
dig for, at den dataansvarlige eller en tredjemand kan forfølge
en legitim interesse, medmindre den registreredes interesser el-
ler grundlæggende rettigheder og frihedsrettigheder, der kræver
beskyttelse af personoplysninger, går forud herfor, navnlig hvis
den registrerede er et barn (litra f).
Der skal med andre ord foretages en konkret interesseafvejning
mellem formålet med en offentliggørelse af et portrætbillede
over for hensynet til den registreredes integritet. Datatilsynets
vejledningstekst skal således ses i denne sammenhæng.
Efter Datatilsynets praksis kan offentliggørelse af portrætbille-
der på internettet som udgangspunkt ikke ske i medfør af den
såkaldte interesseafvejnings-regel indeholdt i databeskyttelses-
forordningens artikel 6, stk. 1, litra f, hvorfor en offentliggørelse
vil skulle baseres på et databeskyttelsesretligt samtykke. Tilsy-
net henleder opmærksomheden på, at der er tale om et vejle-
dende udgangspunkt, og en forening vil således altid skulle fo-
retage en konkret afvejning.
Det betyder, at det efter de databeskyttelsesretlige regler og til-
synets praksis ikke er udelukket, at der efter en konkret interes-
seafvejning kan offentliggøres portrætbilleder af en idrætsfore-
nings førsteholdsspillere uden indhentelse af samtykke fra de re-
gistrerede. Der vil i den forbindelse kunne lægges vægt på
idrætsforeningens eventuelle særlige interesse i, at portrætbille-
der af netop førsteholdsspillerne er tilgængelig for offentlighe-
den på foreningens hjemmeside.
Datatilsynet kan vedrørende spørgsmålets litra b oplyse, at det
fremgår af en vejledende tekst på tilsynets hjemmeside
2
, at hvis
f.eks. en forening masseudsender en e-mail med informationer
til alle foreningens medlemmer, skal foreningen være opmærk-
som på, hvor modtagernes e-mailadresser angives. E-mailadres-
ser på modtagere af en sådan masseudsendelse bør ikke fremgå
2
https://www.datatilsynet.dk/generelt-om-databeskyttelse/ofte-stillede-spoergsmaal/.
3
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 419: MFU spm., om Datatilsynets anvisninger er strengt nødvendige, når en lokal idrætsforening ved anvendelse af portrætbilleder på nettet af f.eks. førsteholdets spillere som absolut hovedregel skal have samtykke fra hver enkelt spiller m.m., til justitsministeren
2036068_0004.png
af selve e-mailen, men bør placeres i e-mailens bcc-felt, således
at modtagerne ikke kan se hinandens e-mailadresser.
Baggrunden herfor er, at angivelse af fysiske personers e-
mailadresser i cc-feltet eller modtager-feltet ved masseudsen-
delse vil udgøre en videregivelse af personoplysninger. Videre-
givelsen skal have et lovligt grundlag og et sagligt formål i over-
ensstemmelse med de grundlæggende principper for behandling
af personoplysninger.
Det er ikke udelukket, at en forening kan angive sine medlem-
mers e-mailadresser i cc-feltet eller modtager-feltet ved mas-
seudsendelse af e-mails.
Foreningen skal imidlertid sikre sig, at videregivelsen af e-
mailadresser kan rummes inden for de databeskyttelsesretlige
regler.
Med hensyn til spørgsmålets litra c om anvendelse af kryptering
af e-mails kan Datatilsynet oplyse, at tilsynet i juli 2018 tilken-
degav, at det efter tilsynets opfattelse normalt vil være en pas-
sende sikkerhedsforanstaltning – for både offentlige og private
aktører – at anvende kryptering ved transmission af bl.a. føl-
somme personoplysninger med e-mail via internettet.
Baggrunden herfor er, at anvendelse af e-mail som kommunika-
tions- og kontaktform de senere år har antaget karakter af at
være de facto standarden for skriftlig kommunikation. Dette
gælder i såvel den offentlige som den private sektor.
Det har bl.a. betydet, at kommunikationsformen er under betrag-
telig bevågenhed fra de aktører, der ønsker at opnå uretmæssig
adgang til personoplysninger. I kraft af den øgede anvendelse af
e-mail som kommunikationsform – både manuelt, men også i
systemer til automatiseret fremsendelse af oplysninger – er hyp-
pigheden af hændelser, hvor e-mails fejlagtigt sendes til forkerte
modtagere, ligeledes stigende. Ved anvendelse af ukrypteret e-
mail vil sådanne hændelser potentielt kunne medføre store læk
af personoplysninger til uvedkommende.
Risikoprofilen for kompromittering af en ukrypteret e-mail over
et netværk, som den dataansvarlige ikke har fuld kontrol over,
må derfor efter Datatilsynets opfattelse betegnes som værende i
den høje ende af skalaen.
Både offentlige myndigheder og private virksomheder og orga-
nisationer vil med databeskyttelsesforordningen skulle foretage
en vurdering af den risiko, der er forbundet med at transmittere
bl.a. følsomme personoplysninger med e-mail via internettet og
gennemføre passende tekniske og organisatoriske foranstaltnin-
ger for at imødegå den identificerede risiko.
4
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 419: MFU spm., om Datatilsynets anvisninger er strengt nødvendige, når en lokal idrætsforening ved anvendelse af portrætbilleder på nettet af f.eks. førsteholdets spillere som absolut hovedregel skal have samtykke fra hver enkelt spiller m.m., til justitsministeren
2036068_0005.png
Datatilsynet skal imidlertid bemærke, at foreninger ofte vil
kunne sende oplysninger til medlemmer m.fl. ved almindelig
ukrypteret e-mail, forudsat at foreningen er opmærksom på,
hvad der anføres i e-mailen. En idrætsforening, der f.eks. ønsker
at kommunikere oplysninger om spillerafbud til et kommende
sportsarrangement, kan således undlade at oplyse årsagen til af-
buddet – f.eks. oplysning om en konkret skade – og i stedet blot
oplyse, at den pågældende spiller er forhindret i at deltage. Her-
ved undgås det at medtage
følsomme
personoplysninger, og e-
mailen vil kun indeholde almindelige personoplysninger.
En sådan praksis vil også være i overensstemmelse med den da-
taansvarliges pligt til at overholde bl.a. det grundlæggende prin-
cip i databeskyttelsesforordningens artikel 5, stk. 1, litra c, om,
at personoplysninger skal være tilstrækkelige, relevante og be-
grænset til, hvad der er nødvendigt i forhold til de formål, hvortil
de behandles (”dataminimering”).
For så vidt angår spørgsmålets litra d henvises til pkt. 2.1.”
Der kan i forlængelse af ovenstående henvises til den samtidige besvarelse
af spørgsmål nr. 414 (Alm. del) fra Folketingets Retsudvalg.
5