REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren

Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

26. marts 2019

Databeskyttelseskontoret

Cathrine Engsig Søren-

sen

2019-0030-2051

1030045

Hermed sendes besvarelse af spørgsmål nr. 414 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 27. februar 2019. Spørgs-

målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Bertel Haar-

der (V).

Søren Pape Poulsen

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 444: MFU spm., om Danmark har implementeret GDPR-forordningen mere byrdefuldt for foreninger, organisationer og mindre virksomheder, end tilfældet er i nogle andre EU-lande, til justitsministeren

Spørgsmål nr. 414 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren redegøre for, hvorvidt undtagelsesbestemmel-

serne i databeskyttelsesforordningens artikel 13 og artikel 30,

og de deri liggende muligheder for at differentiere kravene efter

forordningen, i størst mulig grad har fundet plads i Datatilsynets

anvisninger i forhold til foreningslivet i Danmark, så forenings-

livet i mindst mulig grad belastes af de bureaukratiske krav i

forordningen?”

Svar:

Regeringen prioriterer databeskyttelse højt og vil styrke beskyttelsen af

danskernes personoplysninger.

Det kan i forlængelse heraf oplyses, at et af hovedformålene med de data-

beskyttelsesretlige regler er at beskytte borgernes personoplysninger. Det

betyder, at reglerne i databeskyttelsesforordningen hovedsageligt fokuserer

på karakteren af de oplysninger om fysiske personer, som gøres til genstand

for behandling. Reglerne fokuserer derimod hovedsageligt ikke på, hvor

personoplysninger behandles, hvem der behandler personoplysninger eller

på størrelsen af den dataansvarlige, der behandler personoplysninger. Per-

sonoplysninger om f.eks. religiøs overbevisning eller helbredsoplysninger

er derfor følsomme personoplysninger i databeskyttelsesforordningens for-

stand og skal behandles i overensstemmelse med reglerne herom, uanset

hvem der behandler sådanne personoplysninger, og uanset hvor sådanne

personoplysninger behandles.

Det kan herudover oplyses, at Justitsministeriet på baggrund af en række

henvendelser fra foreningslivet i december 2018 offentliggjorde ’Vejled-

ning med ofte stillede spørgsmål om frivillige foreningers behandling af per-

sonoplysninger’.

Vejledningen er udarbejdet under inddragelse af en række interessenter på

området og kommer omkring mange af de spørgsmål, som foreningerne har

rejst over for Justitsministeriet til databeskyttelsesreglerne.

Justitsministeriet har til brug for besvarelsen af spørgsmålet endvidere

indhentet en udtalelse fra Datatilsynet, der har oplyst følgende:

”Datatilsynet bemærker, at databeskyttelsesforordningen over-

ordnet ikke er udtryk for en grundlæggende ændring i forhold til

den retlige beskyttelse af personoplysninger.

I Danmark fandt registerlovene – herunder lov om private regi-

stre mv. – anvendelse fra den 1. januar 1979, og indtil lovene

den 1. juli 2000 blev ophævet og erstattet af persondataloven,

som fandt anvendelse indtil den 25. maj 2018.

Det kan i den forbindelse nævnes, at f.eks. kravet om sletning

indeholdt i databeskyttelsesforordningens artikel 5, stk. 1, litra

e, og artikel 17 som sådan ikke er udtryk for en ny forpligtelse

for dataansvarlige. Det fulgte således af § 6, stk. 1, i lov om pri-

vate registre mv., at der i registre, hvor der blev gjort brug af

elektronisk databehandling (edb-registre), skulle ske sletning af

en oplysning, når den på grund af alder eller af andre grunde

havde mistet sin betydning for varetagelsen af registrets opga-

ver. Efter persondatalovens § 5, stk. 5, måtte indsamlede oplys-

ninger ligeledes ikke opbevares på en måde, der gav mulighed

for at identificere den registrerede i et længere tidsrum end det,

der var nødvendigt af hensyn til de formål, hvortil oplysningerne

blev behandlet.

Datatilsynet bemærker endvidere, at rammerne for begrænsning

af forpligtelser og rettigheder, der er omhandlet i databeskyttel-

sesforordningens artikel 12-22 og 34 samt artikel 5, er reguleret

i forordningens artikel 23. Der kan i den forbindelse henvises til

side 396-404 i betænkning nr. 1565 om databeskyttelsesforord-

ningen og de retlige rammer for dansk lovgivning.

For så vidt angår mulighederne for at tage hensyn til, om der er

tale om en ”mindre” dataansvarlig, kan det om kravet om førelse

af fortegnelser over behandlingsaktiviteter indeholdt i databe-

skyttelsesforordningens artikel 30 oplyses, at Artikel 29-grup-

pen

har udtalt sig om rækkevidden af undtagelsesbestemmel-

sen i forordningens artikel 30, stk. 5, hvorefter fortegnelseskra-

vet ikke finder anvendelse på et foretagende eller en organisa-

tion, der beskæftiger under 250 personer, medmindre den be-

handling, som den foretager, sandsynligvis vil medføre en risiko

for registreredes rettigheder og frihedsrettigheder, behandlingen

ikke er lejlighedsvis, eller behandlingen omfatter særlige kate-

gorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysnin-

ger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

Artikel 29-gruppen har bl.a. udtalt

følgende om undtagelse fra

Det Europæiske Databeskyttelsesråd har den 25. maj 2018 afløst Artikel 29-gruppen, der

var en gruppe nedsat i medfør af det tidligere databeskyttelsesdirektiv fra 1995 (Europa-

Parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af så-

danne oplysninger, som blev ophævet samtidig med, at databeskyttelsesforordningen fin-

der anvendelse.

Working Party 29 Position Paper on the derogations from the obligation to maintain

records of processing activities pursuant to Article 30(5) GDPR.

fortegnelses-kravet:

”However, such organisations need only maintain

records of processing activities for the types of pro-

cessing mentioned by Article 30(5).

For example, a small organisation is likely to regu-

larly process data regarding its employees. As a re-

sult, such processing cannot be considered “occa-

sional” and must therefore be included in the record

of processing activities. Other processing activities

which are in fact “occasional”, however, do not need

to be included in the record of processing activities,

provided they are unlikely to result in a risk to the

right and freedoms of data subjects and do not in-

volve special categories of data or personal data re-

lating to criminal convictions and offences.”

Efter Datatilsynets opfattelse indebærer denne fortolkning, at

undtagelsesbestemmelsen har et reelt indhold, og tilsynet var

ved drøftelserne om tilkendegivelsen fra Artikel 29-gruppen i

øvrigt også stor fortaler for netop denne anlagte fortolkning.

Datatilsynet kan supplerende oplyse, at Det Europæiske Data-

beskyttelsesråd på sit første møde den 25. maj 2018 godkendte

de vejledninger, som Artikel 29-gruppen havde udstedt omkring

forståelsen af databeskyttelsesforordningen.

For så vidt angår bødeniveauet i henhold til databeskyttelsesfor-

ordningen og databeskyttelsesloven gælder, at bøder under alle

omstændigheder skal være effektive, stå i rimeligt forhold til

overtrædelsen og have afskrækkende virkning. Der skal således

ved fastsættelse af bødeniveauet tages hensyn til de foreliggende

oplysninger om en overtrædelse, herunder den dataansvarliges

”størrelse”.

I den forbindelse bemærkes, at det af databeskyttelsesforordnin-

gens præambelbetragtning nr. 13 bl.a. fremgår, at tilsynsmyn-

dighederne skal tage hensyn til de dataansvarliges størrelse ved

anvendelsen af forordningen:

”Derudover opfordres EU-institutionerne og -orga-

nerne samt medlemsstaterne og deres tilsynsmyn-

digheder til at tage hensyn til mikrovirksomheders

og små og mellemstore virksomheders særlige be-

hov i forbindelse med anvendelsen af denne forord-

ning.”

Datatilsynet kan endvidere pege på, at databeskyttelsesforord-

Endorsement 1/2018 af 25. maj 2018 (https://edpb.europa.eu/sites/edpb/files/fi-

les/news/endorsement_of_wp29_documents.pdf).

ningen ikke finder anvendelse for behandling af personoplys-

ninger, som foretages af en fysisk person som led i rent person-

lige eller familiemæssige aktiviteter. Tilsynet kan i den forbin-

delse henvise til side 21-22 i Justitsministeriets vejledning med

svar på ofte stillede spørgsmål om frivillige foreningers behand-

ling af personoplysninger.”

Justitsministeriet kan i forhold til Datatilsynets udtalelse og spørgsmålet

særligt henlede opmærksomheden på omtalen af undtagelsen i databeskyt-

telsesforordningens artikel 30, stk. 5, til kravet i artikel 30 om fortegnelser

over behandlingsaktiviteter. Som det også nævnes, fremgår det bl.a. af da-

tabeskyttelsesforordningens præambelbetragtning nr. 13, at tilsynsmyndig-

hederne skal tage hensyn til de dataansvarliges størrelse ved anvendelsen af

forordningen.

Justitsministeriet kan supplerende oplyse, at følgende fremgår af betænk-

ning nr. 1565 om databeskyttelsesforordningen – og de retlige rammer for

dansk lovgivning, del I – bind I, s. 15 f., om forholdet mellem de nye regler

i databeskyttelsesforordningen og de tidligere gældende regler:

”Analysearbejdet har vist, at forordningen i vidt omfang svarer

til den gældende retstilstand efter persondataloven og databe-

skyttelsesdirektivet med tilhørende praksis fra bl.a. EU-Dom-

stolen og Datatilsynet. Bl.a. svarer forordningens centrale be-

stemmelser om anvendelsesområde, definitioner, principper for

behandling af personoplysninger, behandlingsregler, de regi-

streredes rettigheder og behandlingssikkerhed i stort omfang til

gældende ret efter persondataloven og databeskyttelsesdirekti-

vet.

Derudover indeholder forordningen bestemmelser, som er en

nyskabelse i forhold til den gældende retstilstand. Dette er ek-

sempelvis bestemmelserne om databeskyttelsesrådgivere, kon-

sekvensanalyse og fortegnelser over behandlingsaktiviteter

samt en udtrykkelig bestemmelse om ”data protection by de-

sign”.

På den baggrund vil der for myndigheder og private organisa-

tioner, der i forvejen lever op til persondataloven, ikke med for-

ordningen være tale om omfattende ændringer.

Der vil sikkert være offentlige myndigheder og private organi-

sationer mv., som ikke på nuværende tidspunkt opfylder alle

krav i persondataloven og derfor ikke er ”compliant” med gæl-

dende ret. For disse offentlige myndigheder og private er det op-

lagt, at der med databeskyttelsesforordningen er skabt ”aware-

ness” eller ”bevidsthed” omkring betydningen af beskyttelse af

personoplysninger.”

Databeskyttelsesforordningens artikel 30 om

fortegnelser

er således en ny-

skabelse i forhold til den tidligere retstilstand. Tidligere har man dog været

underlagt nærmere krav om anmeldelse til Datatilsynet, der nu er ophævet

og erstattet af kravet om fortegnelser over behandlingsaktiviteter.

Justitsministeriet kan i øvrigt oplyse, at undtagelsesmulighederne til den da-

taansvarliges

oplysningspligt

i databeskyttelsesforordningens artikel 13 og

14, der også spørges til i spørgsmålet, svarer til de undtagelsesmuligheder,

der tidligere var gældende i forhold til den dataansvarliges oplysningspligt

i medfør af den dagældende persondatalov.

Der kan i øvrigt henvises til den samtidige besvarelse af spørgsmål nr. 444

(Alm. del) fra Folketingets Retsudvalg.