Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt
2036075_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
26. marts 2019
Databeskyttelseskontoret
Cathrine Engsig Søren-
sen
2019-0030-2051
1030045
Hermed sendes besvarelse af spørgsmål nr. 414 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 27. februar 2019. Spørgs-
målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Bertel Haar-
der (V).
Søren Pape Poulsen
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren
Spørgsmål nr. 414 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren redegøre for, hvorvidt undtagelsesbestemmel-
serne i databeskyttelsesforordningens artikel 13 og artikel 30,
og de deri liggende muligheder for at differentiere kravene efter
forordningen, i størst mulig grad har fundet plads i Datatilsynets
anvisninger i forhold til foreningslivet i Danmark, så forenings-
livet i mindst mulig grad belastes af de bureaukratiske krav i
forordningen?”
Svar:
1.
Regeringen prioriterer databeskyttelse højt og vil styrke beskyttelsen af
danskernes personoplysninger.
Det kan i forlængelse heraf oplyses, at et af hovedformålene med de data-
beskyttelsesretlige regler er at beskytte borgernes personoplysninger. Det
betyder, at reglerne i databeskyttelsesforordningen hovedsageligt fokuserer
på karakteren af de oplysninger om fysiske personer, som gøres til genstand
for behandling. Reglerne fokuserer derimod hovedsageligt ikke på, hvor
personoplysninger behandles, hvem der behandler personoplysninger eller
på størrelsen af den dataansvarlige, der behandler personoplysninger. Per-
sonoplysninger om f.eks. religiøs overbevisning eller helbredsoplysninger
er derfor følsomme personoplysninger i databeskyttelsesforordningens for-
stand og skal behandles i overensstemmelse med reglerne herom, uanset
hvem der behandler sådanne personoplysninger, og uanset hvor sådanne
personoplysninger behandles.
Det kan herudover oplyses, at Justitsministeriet på baggrund af en række
henvendelser fra foreningslivet i december 2018 offentliggjorde ’Vejled-
ning med ofte stillede spørgsmål om frivillige foreningers behandling af per-
sonoplysninger’.
Vejledningen er udarbejdet under inddragelse af en række interessenter på
området og kommer omkring mange af de spørgsmål, som foreningerne har
rejst over for Justitsministeriet til databeskyttelsesreglerne.
2.
Justitsministeriet har til brug for besvarelsen af spørgsmålet endvidere
indhentet en udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet bemærker, at databeskyttelsesforordningen over-
2
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren
2036075_0003.png
ordnet ikke er udtryk for en grundlæggende ændring i forhold til
den retlige beskyttelse af personoplysninger.
I Danmark fandt registerlovene – herunder lov om private regi-
stre mv. – anvendelse fra den 1. januar 1979, og indtil lovene
den 1. juli 2000 blev ophævet og erstattet af persondataloven,
som fandt anvendelse indtil den 25. maj 2018.
Det kan i den forbindelse nævnes, at f.eks. kravet om sletning
indeholdt i databeskyttelsesforordningens artikel 5, stk. 1, litra
e, og artikel 17 som sådan ikke er udtryk for en ny forpligtelse
for dataansvarlige. Det fulgte således af § 6, stk. 1, i lov om pri-
vate registre mv., at der i registre, hvor der blev gjort brug af
elektronisk databehandling (edb-registre), skulle ske sletning af
en oplysning, når den på grund af alder eller af andre grunde
havde mistet sin betydning for varetagelsen af registrets opga-
ver. Efter persondatalovens § 5, stk. 5, måtte indsamlede oplys-
ninger ligeledes ikke opbevares på en måde, der gav mulighed
for at identificere den registrerede i et længere tidsrum end det,
der var nødvendigt af hensyn til de formål, hvortil oplysningerne
blev behandlet.
Datatilsynet bemærker endvidere, at rammerne for begrænsning
af forpligtelser og rettigheder, der er omhandlet i databeskyttel-
sesforordningens artikel 12-22 og 34 samt artikel 5, er reguleret
i forordningens artikel 23. Der kan i den forbindelse henvises til
side 396-404 i betænkning nr. 1565 om databeskyttelsesforord-
ningen og de retlige rammer for dansk lovgivning.
For så vidt angår mulighederne for at tage hensyn til, om der er
tale om en ”mindre” dataansvarlig, kan det om kravet om førelse
af fortegnelser over behandlingsaktiviteter indeholdt i databe-
skyttelsesforordningens artikel 30 oplyses, at Artikel 29-grup-
pen
1
har udtalt sig om rækkevidden af undtagelsesbestemmel-
sen i forordningens artikel 30, stk. 5, hvorefter fortegnelseskra-
vet ikke finder anvendelse på et foretagende eller en organisa-
tion, der beskæftiger under 250 personer, medmindre den be-
handling, som den foretager, sandsynligvis vil medføre en risiko
for registreredes rettigheder og frihedsrettigheder, behandlingen
ikke er lejlighedsvis, eller behandlingen omfatter særlige kate-
gorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysnin-
ger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Artikel 29-gruppen har bl.a. udtalt
2
følgende om undtagelse fra
1
Det Europæiske Databeskyttelsesråd har den 25. maj 2018 afløst Artikel 29-gruppen, der
var en gruppe nedsat i medfør af det tidligere databeskyttelsesdirektiv fra 1995 (Europa-
Parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af så-
danne oplysninger, som blev ophævet samtidig med, at databeskyttelsesforordningen fin-
der anvendelse.
2
Working Party 29 Position Paper on the derogations from the obligation to maintain
records of processing activities pursuant to Article 30(5) GDPR.
3
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren
2036075_0004.png
fortegnelses-kravet:
”However, such organisations need only maintain
records of processing activities for the types of pro-
cessing mentioned by Article 30(5).
For example, a small organisation is likely to regu-
larly process data regarding its employees. As a re-
sult, such processing cannot be considered “occa-
sional” and must therefore be included in the record
of processing activities. Other processing activities
which are in fact “occasional”, however, do not need
to be included in the record of processing activities,
provided they are unlikely to result in a risk to the
right and freedoms of data subjects and do not in-
volve special categories of data or personal data re-
lating to criminal convictions and offences.”
Efter Datatilsynets opfattelse indebærer denne fortolkning, at
undtagelsesbestemmelsen har et reelt indhold, og tilsynet var
ved drøftelserne om tilkendegivelsen fra Artikel 29-gruppen i
øvrigt også stor fortaler for netop denne anlagte fortolkning.
Datatilsynet kan supplerende oplyse, at Det Europæiske Data-
beskyttelsesråd på sit første møde den 25. maj 2018 godkendte
de vejledninger, som Artikel 29-gruppen havde udstedt omkring
forståelsen af databeskyttelsesforordningen.
3
For så vidt angår bødeniveauet i henhold til databeskyttelsesfor-
ordningen og databeskyttelsesloven gælder, at bøder under alle
omstændigheder skal være effektive, stå i rimeligt forhold til
overtrædelsen og have afskrækkende virkning. Der skal således
ved fastsættelse af bødeniveauet tages hensyn til de foreliggende
oplysninger om en overtrædelse, herunder den dataansvarliges
”størrelse”.
I den forbindelse bemærkes, at det af databeskyttelsesforordnin-
gens præambelbetragtning nr. 13 bl.a. fremgår, at tilsynsmyn-
dighederne skal tage hensyn til de dataansvarliges størrelse ved
anvendelsen af forordningen:
”Derudover opfordres EU-institutionerne og -orga-
nerne samt medlemsstaterne og deres tilsynsmyn-
digheder til at tage hensyn til mikrovirksomheders
og små og mellemstore virksomheders særlige be-
hov i forbindelse med anvendelsen af denne forord-
ning.”
Datatilsynet kan endvidere pege på, at databeskyttelsesforord-
3
Endorsement 1/2018 af 25. maj 2018 (https://edpb.europa.eu/sites/edpb/files/fi-
les/news/endorsement_of_wp29_documents.pdf).
4
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren
ningen ikke finder anvendelse for behandling af personoplys-
ninger, som foretages af en fysisk person som led i rent person-
lige eller familiemæssige aktiviteter. Tilsynet kan i den forbin-
delse henvise til side 21-22 i Justitsministeriets vejledning med
svar på ofte stillede spørgsmål om frivillige foreningers behand-
ling af personoplysninger.”
3.
Justitsministeriet kan i forhold til Datatilsynets udtalelse og spørgsmålet
særligt henlede opmærksomheden på omtalen af undtagelsen i databeskyt-
telsesforordningens artikel 30, stk. 5, til kravet i artikel 30 om fortegnelser
over behandlingsaktiviteter. Som det også nævnes, fremgår det bl.a. af da-
tabeskyttelsesforordningens præambelbetragtning nr. 13, at tilsynsmyndig-
hederne skal tage hensyn til de dataansvarliges størrelse ved anvendelsen af
forordningen.
Justitsministeriet kan supplerende oplyse, at følgende fremgår af betænk-
ning nr. 1565 om databeskyttelsesforordningen – og de retlige rammer for
dansk lovgivning, del I – bind I, s. 15 f., om forholdet mellem de nye regler
i databeskyttelsesforordningen og de tidligere gældende regler:
”Analysearbejdet har vist, at forordningen i vidt omfang svarer
til den gældende retstilstand efter persondataloven og databe-
skyttelsesdirektivet med tilhørende praksis fra bl.a. EU-Dom-
stolen og Datatilsynet. Bl.a. svarer forordningens centrale be-
stemmelser om anvendelsesområde, definitioner, principper for
behandling af personoplysninger, behandlingsregler, de regi-
streredes rettigheder og behandlingssikkerhed i stort omfang til
gældende ret efter persondataloven og databeskyttelsesdirekti-
vet.
Derudover indeholder forordningen bestemmelser, som er en
nyskabelse i forhold til den gældende retstilstand. Dette er ek-
sempelvis bestemmelserne om databeskyttelsesrådgivere, kon-
sekvensanalyse og fortegnelser over behandlingsaktiviteter
samt en udtrykkelig bestemmelse om ”data protection by de-
sign”.
På den baggrund vil der for myndigheder og private organisa-
tioner, der i forvejen lever op til persondataloven, ikke med for-
ordningen være tale om omfattende ændringer.
Der vil sikkert være offentlige myndigheder og private organi-
sationer mv., som ikke på nuværende tidspunkt opfylder alle
krav i persondataloven og derfor ikke er ”compliant” med gæl-
dende ret. For disse offentlige myndigheder og private er det op-
lagt, at der med databeskyttelsesforordningen er skabt ”aware-
ness” eller ”bevidsthed” omkring betydningen af beskyttelse af
personoplysninger.”
5
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren
Databeskyttelsesforordningens artikel 30 om
fortegnelser
er således en ny-
skabelse i forhold til den tidligere retstilstand. Tidligere har man dog været
underlagt nærmere krav om anmeldelse til Datatilsynet, der nu er ophævet
og erstattet af kravet om fortegnelser over behandlingsaktiviteter.
Justitsministeriet kan i øvrigt oplyse, at undtagelsesmulighederne til den da-
taansvarliges
oplysningspligt
i databeskyttelsesforordningens artikel 13 og
14, der også spørges til i spørgsmålet, svarer til de undtagelsesmuligheder,
der tidligere var gældende i forhold til den dataansvarliges oplysningspligt
i medfør af den dagældende persondatalov.
Der kan i øvrigt henvises til den samtidige besvarelse af spørgsmål nr. 444
(Alm. del) fra Folketingets Retsudvalg.
6