Retsudvalget 2018-19 (2. samling)
REU Alm.del Bilag 17
Offentligt
2062637_0001.png
Datatilsynet
Årsberetning
2018
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0002.png
Datatilsynet
Årsberetning
2018
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0003.png
Indhold
Til Folketinget
Nyt retsgrundlag
Databeskyttelsesforordningen
Databeskyttelsesloven
Om Datatilsynet
Datatilsynets opgaver
Datatilsynets organisation
Datarådet
Sekretariatet
Året i tal
Lovforberedende arbejde, folketingsspørgsmål mv.
Rådgivning og vejledning
Klager
Tilsynssager og sager på Datatilsynets eget initiativ
Ansøgninger, tilladelser, godkendelser mv.
Internationale sager
Rådgivning og vejledning
Databeskyttelsesdagen 2018
Vejledning om ansættelsesretlige forhold
Vejledning om tilsyn med databehandlere
Kryptering af e-mails
CAMPUS-kursus
Podcast om databeskyttelsesforordningen
Informationssportalen sikkerdigital.dk
Specialesamlinger på Det Kgl. Bibliotek
Høringer over lovforslag mv.
Lov om ændring af lov om Udbetaling Danmark
Lov om ægteskabs indgåelse og opløsning og udlændingeloven
Tilsyn
Klagesagsbehandling
Afgørelse om modelaftale/sletning
Afgørelse om indsigt i sikkerhedsbrud
Sager på eget initiativ
Plan for tilsyn
Tilsyn i 2018
Tilsyn vedr. behandlingssikkerhed
Juridiske tilsyn
Internationale tilsyn
Oversigt over udførte tilsyn i 2018
4
6
6
7
9
9
9
10
11
14
15
16
17
18
19
20
22
23
23
23
24
25
26
26
26
27
28
29
30
31
31
32
33
33
33
35
36
36
37
Årsberetning 2018
2
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Anmeldelse af brud på persondatasikkerheden
Antallet af anmeldelser af brud på persondatasikkerheden i 2018
Baggrunden for persondatasikkerhedsbruddene
Behandlingen af anmeldelser af brud på persondatasikkerheden
Internationalt samarbejde
Artikel 29-gruppen
Det Europæiske Databeskyttelsesråd (EDPB)
Særlige internationale tilsynsforpligtelser
Schengen-informationssystemet (SIS)
Told-informationssystemet (CIS)
Eurodac
Visum-informationssystemet (VIS)
Indre Markeds-informationssystemet (IMI)
Eurojust
Europarådet
Berlin-gruppen
Nordisk samarbejde
Den europæiske konference
Den internationale konference
Grønland og Færøerne
Regler for Grønlandsk virksomhed med fast driftssted i Danmark
2. del: Retshåndhævelsesloven
Klage - Rigsadvokatens videregivelse af tredjemand
Tilsyn hos Direktoratet for Kriminalforsorgen
Bilag 1: Oversigt over lovgivning mv.
Love, bekendtgørelser og vejledninger
Bilag 2: Persondataloven
Statistiske oplysninger om persondataloven
Lov om ændring af tv-overvågningsloven
Klage over SKATs behandling af personoplysninger
39
39
41
43
44
45
45
46
46
47
47
48
48
48
49
49
51
51
52
53
53
56
57
57
61
61
64
64
65
66
Årsberetning 2018
3
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0005.png
ke
Til Folketinget
Persondataloven er pr. 25. maj 2018 blevet afløst af nye databeskyttelsesreg-
ler i form af en generel forordning fra EU om beskyttelse af personoplysnin-
ger, som gælder i både den private og offentlige sektor (databeskyttelsesfor-
ordningen), og den danske databeskyttelseslov, der supplerer reglerne i
forordningen. Retshåndhævelsesdirektivet, som også var en del af EU’s data-
beskyttelsespakke, blev gennemført i dansk ret ved lov nr. 410 af 27. april 2017
om retshåndhævende myndigheders behandling af personoplysninger.
Årsberetning 2018
4
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Datatilsynet har i 2018 brugt betydelige ressourcer på at rådgive og vejlede om de nye databeskyt-
telsesregler. Det gælder herhjemme, hvor tilsynet hver dag håndterer mange telefoniske og skriftlige
forespørgsler, og samtidig hermed løbende træffer afgørelser i konkrete sager, der kan tjene som vej-
ledning for andre, og udarbejder vejledninger mv. Datatilsynet har bl.a. i forlængelse af tilsynets arbejde
med betænkningen om databeskyttelsesforordningen i 2018 været ansvarlig for offentliggørelse af 8
nye nationale vejledninger om reglerne, som supplerer de 5 vejledninger, som tilsynet offentliggjorde i
2017. Datatilsynet yder imidlertid også en aktiv indsats på dette område i europæiske sammenhænge.
Tilsynet har i 2018 – i regi af Det Europæiske Databeskyttelsesråd – således bidraget til udarbejdelsen af
13 nye fælleseuropæiske vejledninger mv. om forordningen. Alle de nævnte vejledninger kan sammen
med en række praktisk anvendelige danske skabeloner til f.eks. opfyldelse af oplysningspligten og ind-
sigtsretten findes på Datatilsynets hjemmeside.
I 2018 har Datatilsynet også brugt ressourcer på internt at sikre, at tilsynet er i stand til at håndtere det
nye retsgrundlag og ikke mindst de mange nye opgaver, som Datatilsynet har fået i den forbindelse.
Der er som følge heraf bl.a. i løbet af året foretaget en opnormering i antallet af medarbejdere i tilsynet
på en række helt centrale områder.
Fra og med den 25. maj 2018 gælder der – som noget nyt – f.eks. en generel forpligtelse for alle da-
taansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet. For at
gøre det nemt og enkelt for virksomheder og myndigheder at indberette sikkerhedshændelser på da-
tabeskyttelsesområdet og en række andre områder, har Datatilsynet og en række andre myndigheder
i samarbejde med Erhvervsstyrelsen i maj 2018 på Virk.dk lanceret én fælles digital løsning for anmel-
delser af sikkerhedshændelser. Initiativet skal understøtte, at virksomhederne og myndighederne kun
skal indberette hændelser én gang, ét sted frem for at skulle indberette stort set samme information
flere steder. Datatilsynet har i andet halvår af 2018 brugt mange ressourcer på at behandle de mange
anmeldelser af brud på persondatasikkerheden, som tilsynet modtager.
Til trods for de mange ressourcer, som tilsynet har brugt på at forberede overgangen til de ny databe-
skyttelsesregler, jf. ovenfor, er det i 2018 alligevel lykkedes for Datatilsynet at foretage 147 tilsyn. Når det
gælder Datatilsynets tilsynsvirksomhed, er det i øvrigt vigtigt at være opmærksom på, at foruden de
planlagte tilsyn, tager tilsynet også hvert år et antal sager op på eget initiativ (ad hoc tilsyn) som følge af
konkrete hændelser, ligesom Datatilsynet i løbet af året behandler et betydeligt antal klagesager. I 2018
har tilsynet således behandlet flere større og ganske principielle sager om behandling af personoplys-
ninger hos såvel offentlige myndigheder som private virksomheder.
Datatilsynet har i 2018 endvidere i samarbejde med nonprofitorganisationen e-mærket udarbejdet en
række podcasts om reglerne om databeskyttelse, der særligt henvender sig mod små og mellemstore
virksomheder. De første podcasts blev lanceret i april og den sidste i rækken af podcasts blev lanceret
i oktober 2018.
I slutningen af oktober 2018 har Erhvervsstyrelsen og Digitaliseringsstyrelsen endvidere lanceret en ny
informationsportal, hvor borgere, virksomheder og myndigheder kan finde viden, vejledning og kon-
krete værktøjer til en sikker digital hverdag. Datatilsynet har bidraget til portalen med information om
databeskyttelse.
Særligt for brugere af CAMPUS - den offentlige e-læringsplatform – har Datatilsynet endvidere i 2018
sammen med Moderniseringsstyrelsen udviklet et e-læringskursus i databeskyttelsesforordningen.
Årsberetning 2018
5
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0007.png
Nyt retsgrundlag
Fra og med den 25. maj 2018 har EU’s databeskyttelsespakke fundet fuldt ud
anvendelse. Samme dag trådte også den nye danske databeskyttelseslov i
kraft. Loven supplerer reglerne i databeskyttelsesforordningen på en række
punkter.
Databeskyttelsesforordningen
Den officielle titel på databeskyttelsesforordningen er Europa-Parlamentets og Rådets forordning
(EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af per-
sonoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF
(generel forordning om databeskyttelse) (EØS-relevant tekst).
Årsberetning 2018
6
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Forordningen, der også ofte omtales som persondataforordningen eller bare GDPR, som er den engel-
ske forkortelse for forordningen (General Data Protection Regulation), har fra den 25. maj 2018 afløst
direktiv 95/46/EF (databeskyttelsesdirektivet). Dette direktiv var i dansk ret gennemført ved person-
dataloven, jf. den tidligere gældende lov nr. 429 af 31. maj 2000 om behandling af personoplysninger,
som senest ændret ved lov nr. 410 af 27. april 2017.
Mange af databeskyttelsesforordningens begreber, principper og regler er allerede kendt fra den tidli-
gere gældende persondatalov. Forordningen indeholder imidlertid nogle nyskabelser, der har til formål
at styrke beskyttelsen af personoplysninger.
En forordning er ifølge EU’s regler almen gyldig, ligesom den er bindende i alle enkeltenheder og gæl-
der umiddelbart i hver medlemsstat. En forordning virker med andre ord som en lov i medlemsstaterne,
og den gælder i den form, den er vedtaget, og den må som udgangspunkt ikke gennemføres i national
ret. Der må som udgangspunkt heller ikke være anden dansk lovgivning, der regulerer behandling af
personoplysninger, i det omfang dette er reguleret i forordningen. Der er imidlertid i forordningen en
lang række områder, hvor medlemsstaterne har ret til at fastsætte supplerende regler for at tilpasse
anvendelsen af forordningen eller ligesom skal gennemføre forordningen i national lovgivning.
Efter den 25. maj 2018 er det herefter databeskyttelsesforordningen suppleret af databeskyttelseslo-
ven, som fastsætter de generelle regler for databeskyttelse. Hertil kommer reglerne om behandling af
personoplysninger i særlovgivningen.
Databeskyttelsesloven
Den 25. maj 2018 trådte lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger (databeskyttelsesloven) i kraft. Formålet med databeskyttelsesloven er at sup-
plere og præcisere reglerne i databeskyttelsesforordningen. Loven indeholder f.eks. regler om:
• personnummer (CPR-numre).
• behandling af personoplysninger i ansættelsesforhold.
• videregivelse af personoplysninger fra en virksomhed til en anden med henblik på markedsføring,
der kræver udtrykkeligt samtykke fra forbrugeren i overensstemmelse med markedsføringslovens
§ 10.
• begrænsninger i de registreredes rettigheder.
Årsberetning 2018
7
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0009.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0010.png
Om Datatilsynet
Datatilsynets opgaver
Datatilsynet er den centrale, uafhængige myndighed, der fører tilsyn med, at reglerne på databeskyt-
telsesområdet overholdes. Tilsynet med domstolenes behandling af personoplysninger ligger dog hos
Domstolsstyrelsen.
Tilsynet med reglerne på databeskyttelsesområdet indebærer et stort antal forskelligartede opgaver.
Datatilsynet har i 2018 bl.a. haft følgende opgaver:
Information, rådgivning og vejledning
Behandling af klagesager
Udtalelser om lovforslag og udkast til bekendtgørelser og cirkulærer mv.
Behandling af anmeldelser af brud på persondatasikkerheden
Bidrag til besvarelse af spørgsmål fra Folketinget
Sager på Datatilsynets eget initiativ (inkl. ad hoc tilsyn) herunder tilsyn hos offentlige myndigheder
og private dataansvarlige mv.
• Deltagelse i internationale tilsynsmyndigheder og internationalt samarbejde med andre datatilsyn-
smyndigheder
• Deltagelse i arbejdsgrupper, udvalg mv. i f.eks. EU
• Oplæg på konferencer, seminarer o. lign.
Datatilsynet er endvidere national tilsynsmyndighed for behandling af personoplysninger i en række
fælleseuropæiske informationssystemer (bl.a. Schengen-, visum og toldområdet), hvilket betyder at
tilsynet fører tilsyn med de danske myndigheders behandling af oplysninger i forbindelse med disse
systemer.
Datatilsynets vision er, at myndigheder og private kender og overholder reglerne for behandling af per-
sonoplysninger, og at borgerne kender og kan bruge deres rettigheder. Datatilsynet gør dette muligt
og lettere gennem synlighed, information, dialog og kontrol.
Det er endvidere Datatilsynets mission at rådgive om registrering, videregivelse og anden behandling
af personoplysninger og føre tilsyn med, at myndigheder, virksomheder og andre dataansvarlige over-
holder reglerne på området.
Datatilsynets organisation
Datatilsynet består af et råd – Datarådet – og et sekretariat. Datatilsynet udøver sine funktioner i fuld
uafhængighed, men har en finanslovsmæssig og en vis personalemæssig tilknytning til Justitsministe-
riet.
Datatilsynets afgørelser er endelige og kan ikke indbringes for anden administrativ myndighed. Data-
tilsynets afgørelser kan dog indbringes for domstolene. Datatilsynet er en del af den offentlige forvalt-
ning og er dermed i forbindelse med sin virksomhed omfattet af den regulering, der gælder for forvalt-
ningsmyndigheder. Det vil bl.a. sige offentlighedsloven og forvaltningsloven. Datatilsynet er derfor, når
det gælder tilsynets sagsbehandling, undergivet sædvanlig kontrol af Folketingets Ombudsmand.
Årsberetning 2018
9
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0011.png
Datarådet
Sekretariatet
Direktør
Cristina Angela
Gulisano
Databeskyttelses-
rådgiver (DPO)
Stab
Journal
Internationalt område
Peter Fogh Knudsen
Tilsyn
Jesper Husmer Vang
Databeskyttelse
Birgit Kleis og
Astrid Mavrogenis
Datarådet
I forbindelse med overgangen til nyt retsgrundlag blev der efter 25. maj 2018 nedsat nyt Dataråd. Ju-
stitsministeren nedsætter Datarådet, som består af 1 formand, der skal være landsdommer eller høje-
steretsdommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation
udnævner hver 1 af de 7 andre medlemmer. Datarådet træffer primært afgørelse i sager af principiel
karakter. Datarådets forretningsorden, der fastsættes af rådet selv, blev vedtaget på Datarådets første
møde den 20. december 2018.
Datarådets medlemmer (pr. 31. december 2018)
Formand, højesteretsdommer Kristian Korfits Nielsen
Professor, dr.jur. Henrik Udsen
Kommunaldirektør, Jesper Thyrring Møller
Advokat, Pia Kirstine Voldmester
Direktør, Anette Christoffersen
Formand for Rådet for Digital Sikkerhed, Henning Mortensen
Sundhedsdirektør, Svend Hartling,
Advokat, Martin von Haller Grønbæk
Årsberetning 2018
10
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0012.png
Datarådet udnævnes for 4 år. Der kan ske genudpegning to gange. Udpegelsen sker på baggrund af
medlemmernes faglige kvalifikationer.
Sekretariatet
Sekretariatet beskæftiger omkring 57 medarbejdere (jurister, it-sikkerhedskonsulenter, kontorperso-
nale og studenter m.fl.) og varetager Datatilsynets daglige drift under ledelse af en direktør, cand. jur.
Cristina Angela Gulisano. De bevillingsmæssige forhold mv. fremgår af Datatilsynets årsrapport for
2018, der er offentliggjort på tilsynets hjemmeside.
Datatilsynets medarbejdere (pr. 31. december 2018)
Direktør, cand.jur. Cristina Angela Gulisano
Kommitteret, cand.jur. Birgit Kleis
Kontorchef, cand.jur. Astrid Mavrogenis
Kontorchef, cand.jur. Jesper Husmer Vang
Kontorchef, cand.jur. Peter Fogh Knudsen
It-chef, civilingeniør, HD, Sten Hansen
Chefkonsulent, cand.jur. Kia Hee Gade
Chefkonsulent, cand.jur. Mia Staal Klintrup
Chefkonsulent, cand.jur. Susanne Richter (Orlov)
Chefkonsulent, cand.jur. Katrine Valbjørn Trebbien
Specialkonsulent, cand.jur. Amanda Lærke Vad
Stabsmedarbejder, cand.soc. Anne Bech
Stabsmedarbejder, cand.scient.adm. Sofie Astrup Malm
Kommunikationskonsulent, cand. mag. Anders Due
It-sikkerhedskonsulent, cand. jur. Allan Frank
It-sikkerhedskonsulent, diplomingeniør Erik Stig Christensen
It-sikkerhedskonsulent, cand.polyt. Marcus Vinther Tanghøj
It-sikkerhedskonsulent, Ph.d., Martin Mehl Lauridsen Schadegg
It-sikkerhedskonsulent, diplomingeniør Walther Starup-Jensen
It-medarbejder Flemming Nielsen
It-medarbejder Thomas Klarskov Jensen
Kontorfuldmægtig Anne-Marie Müller
Kontorfuldmægtig Helle Jensen
Kontorfuldmægtig Lisbeth Søndberg Liljekrans (Vikar)
Kontorfuldmægtig Mette-Maj Aner Leilund
Kontorfuldmægtig Pernille Jensen
Kontorfuldmægtig Suzanne Stenkvist
Assistent Camilla Knutsdotter Hallingby
Fuldmægtig, cand.jur. Ahang Faraje (Orlov)
Fuldmægtig, cand.jur. Anne Mette Brinch Boll
Fuldmægtig, cand.jur. Betty Nielsen Husted
Fuldmægtig, cand.jur. Camilla Andersen
Fuldmægtig, cand.jur. Camilla Meineche
Fuldmægtig, cand.jur. Cecilie Spendrup Slagslunde
Fuldmægtig, cand.jur. Christine Børglum Sørensen
Fuldmægtig, cand.jur. Ditte Malene Kieler Koefoed
Årsberetning 2018
11
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0013.png
Fuldmægtig, cand.jur. Eva Poskute Winther
Fuldmægtig, cand.jur. Karen Valgreen Knudsen (Orlov)
Fuldmægtig, cand.jur. Kenni Elm Olsen
Fuldmægtig, cand.jur. Lea Bruun (Orlov)
Fuldmægtig, cand.jur. Lise Fredskov
Fuldmægtig, cand.jur. Makar Juhl Holst
Fuldmægtig, cand.jur. Marie Raahauge Christiansen
Fuldmægtig, cand.jur. Michala Nehammer (Orlov)
Fuldmægtig, cand.jur. Mikkel Brandenborg Stenalt
Fuldmægtig, cand.jur. Neda Marica
Fuldmægtig, cand.jur. Nina Donovan Anker
Fuldmægtig, cand.jur. Pernille Ørum Walther
Fuldmægtig, cand.jur. Rasmus Arslev
Fuldmægtig, cand.jur. Rasmus Møller Jakobsen
Fuldmægtig, cand.jur. Sara Koch Jørgensen
Fuldmægtig, cand.jur. Victor Christopher Olsen
Fuldmægtig, cand.jur. Viktor Herskind Ingemann
Fuldmægtig, cand.jur. Zenia Dinesen
Stud.jur. Asta Sprogøe Biilmann
Stud.jur. Hakan Fehmi Secilmis
Stud.jur. Freja Gudmundsson
Årsberetning 2018
12
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0014.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0015.png
Året i tal
Nedenfor er oplysninger om antallet af nye sager oprettet i Datatilsynets journalsystem i perioden 25.
maj 2018 til 31. december 2018. En del af Datatilsynets sagsbehandling er imidlertid en fortsættelse af
eksisterende sager. Dette er for eksempel tilfældet, når en anmeldelse ændres, eller en tilladelse for-
længes. Disse sager er af praktiske årsager ikke medtaget i statistikken.
Datatilsynet registrerede i alt 8756 nye sager i perioden 25. maj 2018 til 31. december 2018.
Nyoprettede sager 25. maj 2018 til 31. december 2018
Lovforberedende arbejde
Sager vedr. rådgivning og vejledning
Klager
Tilsynssager og sager på Datatilsynets eget initiativ
Ansøgninger, tilladelser, godkendelser og lign.
Internationale sager inkl. EU
Anmeldelser af it-sikkerhedsbrud
Sager om Grønland og Færøerne
Øvrige sager
Sager i alt
412
2310
1376
225
214
734
2780
42
663
8756
Nyoprettede sager 25. maj 2018 til 31. december 2018
42
412
663
Lovforberedende arbejde
Sager vedr. rådgivning og vejledning
Klager
Tilsynssager og sager på Datatilsynets eget initiativ
2310
2780
Ansøgninger, tilladelser, godkendelser og lign.
Internationale sager inkl. EU
Anmeldelser af it-sikkerhedsbrud
Sager om Grønland og Færøerne
Øvrige sager
1376
734
214 225
Årsberetning 2018
14
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0016.png
Lovforberedende arbejde, folketingsspørgsmål mv.
Sager vedrørende lovforberedende arbejde, folketingsspørgsmål o. lign.
 
Høringer over betænkninger, lovforslag, EU-retsakter, konventioner mv.
Høringer over bekendtgørelser, cirkulærer, vejledninger, anordninger mv.
Folketingsspørgsmål, private lovforslag, folketingsbeslutninger, høringer mv.
Forskelligt
Sager i alt
164
238
4
6
412
Sager vedrørende lovforberedende arbejde,
folketingsspørgsmål o. lign.
4
6
Høringer over betænkninger, lovforslag, EU-retsakter
konventioner mv.
Høringer over bekendtgørelser, cirkulærer,
vejledninger anordninger mv.
164
238
Folketingsspørgsmål, private lovforslag,
folketingsbeslutninger, høringer mv.
Forskelligt
Årsberetning 2018
15
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0017.png
Rådgivning og vejledning
Sager vedr. rådgivning og vejledning
Konkrete sager (f.eks. forespørgsler, møder, projekter mv.)
Vejledninger, cirkulærer mv.
Pjecer og anden information om Datatilsynet og lovgivningen
Konsekvensanalyser, Databeskyttelsesrådgivere mv.
I alt
2249
32
19
10
2310
Sager vedr.
rådgivning og vejledning (forespørgsler)
32 19 10
Konkrete sager (f.eks. forespørgsler, møder,
projekter mv.)
Vejledninger, cirkulærer mv.
Pjecer og anden information om Datatilsynet og
lovgivning
Konsekvensanalyser, Databeskyttelsesrådgivere mv.
2249
Årsberetning 2018
16
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0018.png
Klager
Klagesager
Klager vedr. private
Klager vedr. offentlige myndigheder
Særlige kategorier af klager
Forskelligt
I alt
1005
311
58
2
1376
Klagesager
2
58
Klager vedr. private
Klager vedr. offentlige myndigheder
Særlige kategorier af klager
311
Forskelligt
1005
Særlige kategorier af klager dækker over klager over kreditoplysningsbureauer.
Årsberetning 2018
17
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0019.png
Tilsynssager og sager på Datatilsynets eget initiativ
Tilsynssager og sager på Datatilsynets eget initiativ
Tilsyn vedr. private
Tilsyn vedr. offentlige myndigheder
Sager, der rejses pga. medieomtale, borgerhenvendelse og lign.
Tips, orientering mv. fra borgere, private, andre myndigheder mv.
Generelle sager og forskelligt
I alt
12
135
11
61
6
225
Tilsynssager og sager på Datatilsynets eget initiativ
6
12
Tilsyn vedr. private
Tilsyn vedr. offentlige myndigheder
61
Sager, der rejses pga medieomtale,
borgerhenvendelser o. lign.
Tips, orientering mv. fra borger, private,
andre myndigheder mv.
Generelle sager og forskelligt
11
135
Med til tilsynssager hører også anmeldelser af brud på persondatasikkerheden, som er en større grup-
pe sager, der behandles særskilt.
Af de 135 tilsyn vedrørende offentlige myndigheder er 103 kommuner, 20 statslige myndigheder, 11 re-
gioner og en enkelt generel sag.
De 11 sager der rejses pga. medieomtale fordeler sig på 8 sager vedrørende private og 3 sager vedrøren-
de offentlige myndigheder.
Årsberetning 2018
18
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0020.png
Ansøgninger, tilladelser, godkendelser mv.
Sager vedr. ansøgninger, tilladelser, godkendelser mv.
Privates behandling af oplysninger
Forskning og statistik
Advarselsregistre, spærrelister
Kreditoplysningsbureauer
Retsinformationssystemer
Adfærdskodekser
Certificering- og mærkningsordninger
Overførsel af oplysninger til lande mv. uden for EU
Generelle sager og forskelligt
I alt
26
114
7
9
1
2
1
51
3
214
Ansøgninger, tilladelser, godkendelser mv.
3
26
51
Privates behandling af oplysninger
Forskning og statistik
Advarselsregistre, spærrelister
Kreditoplysningesbureauer
Retsinformationssystemer
1
2
1
9
7
114
Adfærdskodekser
Certificering- og mærkningsordninger
Overførsel af oplysninger til lande mv. uden for EU
Generelle sager og forskelligt
Årsberetning 2018
19
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0021.png
Internationale sager
Internationale sager
Forespørgsler om lovgivning til/fra udlandet (ikke særlig EU-procedure)
Nordiske tilsynssamarbejde
EU
Europarådet
Datakommissærarbejdet (andet end EU)
I alt
68
1
661
1
3
734
Internationale sager
1
3
1
68
Forespørgsler om lovgivning til/fra udlandet
(ikke særlig EU-procedure)
Nordiske tilsynssamarbejde
EU
Europarådet
Datakommissærarbejdet (andet end EU)
661
De i alt 661 sager om EU fordeler sig på forskellige sagstyper, jf. tabellen næste side.
Årsberetning 2018
20
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0022.png
EU sager
Databeskyttelsesrådet
One-stop-shop-mekanismen
Fælles europæiske systemer mv.
Konferencer, møder, arbejdsgrupper mv.
Forskelligt
I alt
32
597
30
1
1
661
EU
sager
1
30
1
32
Databeskyttelsesrådet
One-stop-shop-mekanismen
Fælles europæiske systemer mv.
Konferencer, møder, arbejdsgrupper mv.
Forskelligt
597
Årsberetning 2018
21
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0023.png
Rådgivning og vejledning
Datatilsynets forpligtelse til at yde en serviceorienteret og anvendelig rådgivning er ikke kun en del
af tilsynets vision og mission. Det følger således også direkte af databeskyttelsesforordningen. Dette
sikres bl.a. gennem de mange telefoniske og skriftlige forespørgsler om reglerne, som Datatilsynet hver
dag håndterer, ligesom tilsynet også holder mange møder med bl.a. interesse- og brancheorganisati-
oner, men også enkeltstående dataansvarlige og databehandlere, hvis der måtte være behov herfor.
I 2018 offentliggjorde Datatilsynet 8 nationale vejledninger om forordningen, som supplerer de 5 vej-
ledninger, som tilsynet offentliggjorde om forordningen i 2017. Herudover har tilsynet i 2018 – i regi
af Det Europæiske Databeskyttelsesråd – bidraget til udarbejdelsen af 13 fælleseuropæiske vejlednin-
ger og en udtalelse om reglerne. Alle de nævnte vejledninger kan findes på Datatilsynets hjemmeside
sammen med en række praktisk anvendelige danske skabeloner til opfyldelse af oplysningspligten, en
databehandleraftale og en aftale om delt dataansvar.
Årsberetning 2018
22
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Datatilsynet prioriterer også at komme ud og deltage med indlæg mv. på konferencer, seminarer og
lignende for at informere om de nye databeskyttelsesretlige regler og tilsynets praksis, men også for,
at tilsynet kan opnå større viden om, hvilke udfordringer de registrerede, andre offentlige myndighe-
der og den private sektor oplever inden for databeskyttelsesområdet. Datatilsynet har i 2018 således
deltaget med indlæg mv. på 67 konferencer, seminarer og lignende, hvilket er udtryk for en fordobling
sammenlignet med 2017, hvor tallet var 34.
Datatilsynet lancerede i forbindelse med det nye retsgrundlag en ny hjemmeside i maj 2018. Den nye
hjemmeside har fået et helt nyt visuelt udtryk og en ny struktur sammen med nye tekster. Fokus har
bl.a. været på at formidle databeskyttelsesreglerne og Datatilsynets praksis mv. på en mere forståelig
og brugervenlig måde sammenholdt med den tidligere hjemmeside. Datatilsynet bruger også aktivt
tilsynets LinkedIn-profil til at bidrage med rådgivning og vejledning.
Databeskyttelsesdagen 2018
Datatilsynet planlagde Databeskyttelsesdagen 2018 sammen med Justitsministeriet, Erhvervsstyrel-
sen og Digitaliseringsstyrelsen. Dagen blev markeret i form af en konference den 31. januar 2018 med
ca. 180 deltagere, hvor der bl.a. blev holdt oplæg om, hvordan man i praksis både i den private og of-
fentlige sektor forbereder sig på, at forordningen finder anvendelse.
Vejledning om ansættelsesretlige forhold
I november 2018 offentliggjorde Datatilsynet en vejledning om de regler om databeskyttelse, der er
særligt relevante i forbindelse med ansættelsesforhold.
Databeskyttelse i forbindelse med ansættelsesforhold er karakteriseret ved, at både de overordnede
databeskyttelsesretlige regler som ansættelsesretlige regler og kollektive overenskomster og aftaler
har betydning for de behandlinger af personoplysninger, der sker på arbejdspladser og i fagforeninger,
mv.
Arbejdsgivere – såvel private som offentlige – behandler en stor mængde personoplysninger om ansø-
gere i forbindelse med rekruttering og om medarbejdere, både under ansættelsen og efter ansættel-
sens ophør. Tilsvarende behandler faglige organisationer og tillidsrepræsentanter personoplysninger
om både deres medlemmer og om andre medarbejdere på arbejdspladsen. Hertil kommer, at der i vidt
omfang udveksles oplysninger mellem de enkelte aktører.
Datatilsynets vejledning fokuserer på de mest almindeligt forekommende databeskyttelsesretlige
problemstillinger ved behandling af personoplysninger i forbindelse med ansættelsesforhold. I den
forbindelse omtales bl.a. dataansvar, behandlingsgrundlag (hjemmel) for behandling af personoplys-
ninger, herunder ved kontrol af medarbejdere, videregivelse af oplysninger og sletning, samt rettighe-
der for de registrerede (dvs. de ansatte samt ansøgere til ledige stillinger).
Vejledningen går på tværs af flere af de områder, Datatilsynet i øvrigt har udgivet vejledninger om. Den
går derfor ikke i dybden med enhver situation, der kan opstå i forbindelse med ansættelsesforhold, men
kan med fordel læses i sammenhæng med de øvrige vejledninger, herunder navnlig vejledningerne om
samtykke, registreredes rettigheder og om dataansvarlige og databehandlere.
Vejledning om tilsyn med databehandlere
Datatilsynet offentliggjorde i maj 2018 en ny vejledende tekst om tilsyn med databehandlere og under-
databehandlere.
Årsberetning 2018
23
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0025.png
I teksten redegøres der for, hvorfor det er vigtigt, at en dataansvarlig løbende følger op på den behand-
ling af personoplysninger, der sker hos databehandlere og eventuelle underdatabehandlere.
Af teksten fremgår det endvidere, at det løbende tilsyn med behandlingen hos databehandlere og un-
derdatabehandlere hænger sammen med databeskyttelsesforordningens ansvarlighedsprincip, og at
formen på og hyppigheden af det løbende tilsyn bør tilpasses efter den risiko, der er forbundet med
behandlingen hos de eksterne parter. Datatilsynet giver i vejledningen nogle eksempler på, hvordan
den dataansvarlige kan vælge at føre sit løbende tilsyn.
Kryptering af e-mails
Datatilsynet offentliggjorde den 23. juli 2018 en gennemgang af forhold omkring behandlinger, hvor
fortrolige og følsomme oplysninger blev fremsendt i e-mail over netværk uden for den dataansvarliges
kontrol (f.eks. internettet).
Konklusionen i denne gennemgang var:
• at dataansvarlige – for alle de behandlinger de foretager – skal fortage en vurdering af risikoen for
den registreredes rettigheder,
• at risikoprofilen for kompromittering, af en ukrypteret e-mail, sendt på et netværk den dataansvarli-
ge ikke har kontrol over, er i den høje ende af skalaen, og
• at Datatilsynet er af den opfattelse, at det er en passende sikkerhedsforanstaltning at kryptere
e-mail, der indeholder fortrolige og følsomme oplysninger.
Datatilsynet modtog efterfølgende en række konkrete spørgsmål til gennemgangen, og Datatilsynet
offentliggjorde derfor den 20. september 2018 en uddybende tekst med en konkretisering af de tekni-
ske muligheder for en sådan kryptering. Datatilsynet beskrev i den uddybende tekst to mulige tilgange
til kryptering. Enten kryptering på transporten af de datapakker som indeholder e-mailen, når de sen-
des over netværket, eller kryptering af selve indholdet af e-mailen hos afsenderen, inden den sendes
over netværket.
Årsberetning 2018
24
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Det er den dataansvarlige, der – med udgangspunkt i sin risikovurdering – skal vurdere, hvilket sikker-
hedsniveau, og dermed krypteringsform, der er passende.
Datatilsynet slog endvidere fast, at der er typer af behandling, hvor kryptering på transportlaget er pas-
sende. Herudover fastslog tilsynet, at kryptering på transportlaget bør betragtes som et minimumsni-
veau for sikkerheden, når der fremsendes fortrolige eller følsomme personoplysninger via e-mail.
Hvor risikoen for de registreredes rettigheder er højere, vil den mere sikre end-to-end kryptering være
passende. Det kunne f.eks. være tilfældet, hvis en dataansvarlig sender en fil med helbredsoplysnin-
ger om et stort antal registrerede til en databehandler med henblik på udsendelse af breve. Her kan
den dataansvarlige, på baggrund af en risikovurdering, beslutte, at end-to-end kryptering vil være en
passende sikkerhedsforanstaltning. Et løbende samarbejde med databehandleren kunne foregå ved,
at de to parter har udvekslet S/MIME certifikater, og derfor kan sende e-mails frem og tilbage til hinan-
den, som er end-to-end krypteret.
Det er den dataansvarlige, der har ansvaret for den sikre fremsendelse til modtagerens mailserver. Når
e-mailen leveres til modtagerens mailserver, overleveres ansvaret for behandlingen af denne e-mail
som udgangspunkt til modtageren selv. En dataansvarlig kan således ikke stilles ansvarlig for, at en bor-
ger har valgt at oprette en gratis e-mailkonto hos en tjenesteudbyder, der potentielt anvender e-mailen
til egne formål.
Som dataansvarlig skal man dog holde sig for øje, at man altid er ansvarlig for den behandling af per-
sonoplysninger, der foregår på sin egen mailserver, hvad enten den bliver drevet internt i virksomhe-
den, myndigheden eller lignende, eller om der er indgået en aftale med en tredjepart om håndtering af
e-mails på vegne af den dataansvarlige.
CAMPUS-kursus
Datatilsynet udviklede i 2018 i samarbejde med Moderniseringsstyrelsen et e-læringskursus i databe-
skyttelse til CAMPUS, som er statens fælles platform for strategisk og digital kompetenceudvikling for
medarbejdere og chefer i staten.
Kursets formål er at sikre, at medarbejdere og ledere i den offentlige sektor er bekendt med reglerne
om databeskyttelse. Kurset består af seks moduler og en afsluttende test.
Modulerne omhandler følgende emner:
Hvad er databeskyttelse?
Dataansvarlig og databehandler
Hvornår må du behandle personoplysninger?
De registreredes rettigheder
Hvordan skal du passe på personoplysninger?
Hvad skal du være opmærksom på?
Datatilsynet har tidligere været med til at udvikle et e-læringskursus i persondata til CAMPUS. Særligt
i lyset af databeskyttelsesforordningen og databeskyttelsesloven var der imidlertid behov for at udvikle
et nyt kursus, hvor grafikken også var mere tidssvarende. Kurset, der varer ca. halvanden time, giver en
god overordnet indføring i databeskyttelsesretten. Datatilsynet har i øvrigt planer om med tiden at gøre
noget lignende tilgængeligt for alle på tilsynets hjemmeside.
Årsberetning 2018
25
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Podcast om databeskyttelsesforordningen
I foråret 2018 producerede nonprofitorganisationen e-mærket en podcastserie om databeskyttel-
ses-forordningen særligt rettet mod mindre virksomheder og webshops. Datatilsynet medvirkede i
podcastserien, hvor tilsynet forsøgte at udlægge databeskyttelsesreglerne og omsætte dem til praktisk
virkelighed.
Datatilsynet medvirkede også, da e-mærket i oktober 2018 producerede et opfølgende afsnit, som fo-
kuserede på de ofte stillede spørgsmål om de nye regler, herunder eksempelvis spørgsmål om sletning
af oplysninger og fordeling af dataansvar.
Informationssportalen sikkerdigital.dk
Erhvervsstyrelsen og Digitaliseringsstyrelsen lancerede i oktober 2018 informationsportalen sikkerdi-
gital.dk. På denne portal kan borgere, virksomheder og myndigheder finde viden, vejledning og kon-
krete værktøjer til en sikker digital hverdag.
Datatilsynet har i den forbindelse bidraget til portalen under de punkter, hvor bl.a. myndigheder kan få
information om databeskyttelse. Datatilsynet vil ligeledes løbende fungere som bidragsyder til porta-
len.
Specialesamlinger på Det Kgl. Bibliotek
Datatilsynet besvarede i 2018 en henvendelse fra Det Kgl. Bibliotek om databeskyttelsesforordningens
anvendelsesområde.
Biblioteket oplyste, at biblioteket er blevet universitetsbibliotek for Aarhus Universitet og Københavns
Universitet og i den forbindelse har fået overdraget specialeopgaver, som nu indgår i bibliotekets of-
fentligt tilgængelige samlinger.
Endvidere oplyste biblioteket, at der af en specialeopgaveforside fremgår oplysninger om bl.a. forfat-
terens navn, adresse, telefonnummer, e-mail, studienummer og eventuelt personnummer. Biblioteket
oplyste herudover, at specialerne er opstillet i forskellige samlinger og sorteret efter det opstillingssy-
stem, som anvendes i den pågældende samling. Fælles for disse er, at specialerne ikke er opstillet efter
forfatternavn, men efter et løbenummer, specialenummer eller emnekode kombineret med et løbe-
nummer.
Datatilsynet udtalte, bl.a. på baggrund af tilsynets tidligere praksis, at der ved afgørelse af spørgsmå-
let om, hvornår samlinger af materiale skal betragtes som et manuelt register, vil blive lagt vægt på,
om materialet er struktureret efter bestemte kriterier. Struktureringen kan bestå i inddeling efter f.eks.
personnummer, fødselsdato, navn i alfabetisk rækkefølge, dato for udgående breve eller blot inddeling
efter sagskategorier/emneområder. Det vil endvidere være en betingelse, at formålet med den struk-
turerede samling af materiale er at kunne finde frem til oplysninger om bestemte personer.
Som udgangspunkt vil diverse praksisoversigter såsom visdomsbøger eller medarbejdernes egne ring-
bind og lignende som udgangspunkt ikke være et register, idet formålet hermed som regel kun er at
skabe et overblik over praksis inden for forskellige områder eller genfinde velegnede standardformu-
leringer. Ligeledes vil komplette samlinger af en myndigheds/virksomheds udgående breve som ud-
gangspunkt heller ikke være at betegne som et register. Formålet med sådanne ”brevbøger” vil hoved-
sagelig være af arkivmæssig karakter eller anvendelse til rekonstruktion af almindelige sagsakter.
I lyset af de ovennævnte betingelser tilkendegav Datatilsynet, at det er tilsynets umiddelbare opfattel-
se, at en trykt specialesamling som udgangspunkt ikke kan betegnes som et register i databeskyttel-
Årsberetning 2018
26
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0028.png
sesforordningens forstand, idet formålet med en specialesamling må antages at være af videnskabelig
og uddannelsesmæssig karakter, herunder udlån til andre studerende, forskere og andre med interesse
inden for det givne fagområde.
Høringer over lovforslag mv.
I perioden 25. maj 2018 til 31. december 2018 registrerede Datatilsynet 412 sager vedrørende høringer
over lovforslag mv.
Der skal efter databeskyttelseslovens § 28 indhentes en udtalelse fra Datatilsynet ved udarbejdelse
af lovforslag, bekendtgørelser, cirkulærer eller lign. generelle retsforskrifter, der har betydning for
beskyttelsen af privatlivet i forbindelse med behandling af personoplysninger.
Datatilsynet forholder sig i sine udtalelser til de eventuelle databeskyttelsesretlige problemstillinger i
de foreliggende lovforslag mv. Datatilsynet anser sine udtalelser som et væsentligt bidrag i lovgivnings-
processen, dels fordi tilsynet besidder en ekspertviden om databeskyttelse, og dels fordi tilsynet efter
databeskyttelsesreglerne udøver sine funktioner i fuld uafhængighed. Datatilsynet prioriterer derfor
denne opgave højt.
Årsberetning 2018
27
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0029.png
Lov om ændring af lov om Udbetaling Danmark
Styrelsen for Arbejdsmarked og Rekruttering anmodede i 2018 Datatilsynet om eventuelle bemærk-
ninger til forslag til lov om ændring af lov om Udbetaling Danmark (Udsøgning af målgrupper til brug
for rådgivning om aldersforsikring, aldersopsparing eller supplerende engangssum i obligatoriske ar-
bejdsmarkedspensioner).
Efter forslaget skulle Udbetaling Danmark have mulighed for, ved hjælp af samkøring af oplysninger
om personer, der modtager specifikke indkomstafhængige ydelser, at udsøge kunder hos pensionsin-
stitutter, som har behov for rådgivning om påvirkningen af disse indkomstafhængige ydelser, når kun-
den er eller kan blive omfattet af en aldersforsikring, aldersopsparing eller supplerende engangssum i
en obligatorisk arbejdsmarkedspension.
Datatilsynet fandt, at den behandling af personoplysninger, som lovforslaget indebar, generelt var be-
tænkelig, navnlig under henvisning til kravet om proportionalitet jf. databeskyttelsesforordningens ar-
tikel 6, stk. 3, sidste pkt. og artikel 5, stk. 1, litra c. Datatilsynet fandt, at kravet om proportionalitet ikke
var opfyldt, da den mulige behandling af personoplysninger om en stor kreds af personer, som ikke var
kunder i pensionsinstitutterne, ikke stod i rimeligt forhold til lovforslagets formål. Herudover var udsøg-
ningsordningen frivillig for de enkelte pensionsinstitutter, hvilket efter Datatilsynet opfattelse betød, at
formålet ville kunne opnås på anden måde end den foreslåede.
Datatilsynet fandt endvidere, at lovforslaget ikke var klart og/eller tilstrækkeligt i overensstemmelse
med de databeskyttelsesretlige regler på en række væsentlige punkter i forhold til:
De grundlæggende principper i databeskyttelsesforordningens artikel 5.
Det nationale råderum i henhold til databeskyttelsesforordningens artikel 6, stk. 2, og artikel 23.
Behandlingsgrundlag i henhold til databeskyttelsesforordningens artikel 6.
Oplysningspligten i henhold til databeskyttelsesforordningens artikel 13 og 14
Behandlingssikkerheden i henhold til databeskyttelsesforordningens artikel 32.
Årsberetning 2018
28
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Lov om ægteskabs indgåelse og opløsning og udlændingeloven
Børne- og Socialministeriet anmodede i 2018 om Datatilsynets bemærkninger til lov om ændring af
lov om ægteskabs indgåelse og opløsning og udlændingeloven (Forbud mod proformaægteskaber og
Nationalt ID-Centers rolle og funktion m.v.).
Udkastet til lovforslag vedrørte bl.a. etablering af en særskilt lovhjemmel til, at Statsforvaltningen kan
videregive oplysninger til Udlændingestyrelsen, Styrelsen for International Rekruttering og Integrati-
on og politiet om parter, hvis Statsforvaltningen har afslået parternes ansøgning om prøvelse af ægte-
skabsbetingelserne, fordi betingelserne i ægteskabslovens § 8 a eller § 11 a ikke er opfyldte, eller hvis der
er foretaget en indberetning om parterne efter den foreslåede bestemmelses stk. 2.
Det fremgik af bemærkningerne, at databeskyttelsesforordningen, herunder artikel 5-10 og data-
beskyttelsesloven, herunder §§ 5-10, ikke regulerer videregivelsen af oplysninger i situationer omfattet
af bestemmelsen.
Datatilsynet bemærkede indledningsvis, at tilsynet forstod lovforslagets bemærkninger således, at
Børne- og Socialministeriet med indførelsen af bestemmelsen tilsigtede en fravigelse af databeskyttel-
sesforordningens artikel 5-10 og databeskyttelseslovens §§ 5-10 om behandling af personoplysninger.
Datatilsynet bemærkede i den forbindelse, at en eventuel national lovgivning skal indrettes i overens-
stemmelse med databeskyttelsesforordningen inden for det nationale råderum, og at det var en nød-
vendig forudsætning for lovforslagets udformning, at Børne- og Socialministeriet forholdt sig til, om
den omhandlede lovændring kunne indeholdes i det nationale råderum. Efter Datatilsynets opfattelse
burde denne vurdering i øvrigt klart fremgå af lovforslagets bemærkninger.
Datatilsynet bemærkede endvidere, at Børne- og Socialministeriet burde forholde sig til, hvorvidt sam-
tykke til videregivelse skulle tjene som en ”garanti” i forhold til sagsbehandlingen, eller om parternes
samtykke udgjorde grundlaget for behandlingen.
I den forbindelse henviste Datatilsynet til betingelserne for et gyldigt samtykke i databeskyttelsesfor-
ordningens artikel 4, nr. 11 og artikel 7 samt forordningens artikel 5, stk. 1, litra a.
Årsberetning 2018
29
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0031.png
Tilsyn
For at sikre en effektiv beskyttelse af personoplysninger styrkes og præciseres med databeskyttel-
ses-forordningen bl.a. de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om be-
handling af personoplysninger, ligesom tilsynsmyndighedernes beføjelser til at føre tilsyn med og sikre
overholdelse af reglerne øges. Der lægges endvidere op til en væsentlig forøgelse af bødeniveauet for
overtrædelser af forordningens bestemmelser i forhold til, hvad overtrædelser af den tidligere gælden-
de persondatalov blev takseret til. Straffesager forventes som følge heraf fremover at komme til at spille
en større rolle i Datatilsynet end hidtil.
Det er derfor afgørende, at Datatilsynets medarbejdere har et godt kendskab til de mange forhold, som
det er vigtigt at være opmærksomme på helt fra en sags begyndelse til dens afgørelse ved domstolene,
herunder bevissikring, retssikkerhedslov og udformning af anklageskrift. Datatilsynet har derfor i sam-
arbejde med Rigspolitiet (herunder Nationalt Cyber Crime Center, NC3) og Rigsadvokaten udarbejdet
Årsberetning 2018
30
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
interne retningslinjer om disse emner og undervist Datatilsynets medarbejdere heri. Samtidig har Da-
tatilsynet bidraget til udarbejdelsen af en Rigsadvokatmeddelelse om håndteringen af sådanne sager
og aftalt løbende opfølgninger med såvel Rigspolitiet som Rigsadvokaten.
Datatilsynet har i samarbejde med Erhvervsstyrelsen implementeret et system på virk.dk, hvor dataan-
svarlige kan anmelde brud på persondatasikkerheden. Systemet har været operationelt fra den 25. maj
2018, hvor databeskyttelsesforordningen fandt anvendelse.
I november 2018 lancerede Datatilsynet en klageformular på tilsynets hjemmeside, som alle, der øn-
sker at klage til Datatilsynet, opfordres til at benytte. Klageformularen gør det lettere for borgerne at
indgive en klage til Datatilsynet, idet det med klageformularen er blevet tydeliggjort, hvilke oplysninger
Datatilsynet har brug for, for at kunne behandle klagen. Klagere har dermed fået nemmere ved at ind-
give en fyldestgørende klage, hvilket samtidig medvirker til at forkorte sagsbehandlingstiden, idet der
ofte kan spares et opfølgende sagsbehandlingsskridt.
Klagesagsbehandling
I klagesagerne træffer Datatilsynet afgørelse om, hvorvidt en behandling af personoplysninger er sket i
overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven.
Når Datatilsynet modtager en klage fra en registreret, foretager tilsynet i første omgang en vurdering
af, hvad der klages over, herunder om klagen hører under tilsynets kompetence. Hvis det er tilfældet, vil
Datatilsynet i de fleste tilfælde sende en høring til den dataansvarlige. Svaret fra den dataansvarlige vil
som udgangspunkt blive sendt til klageren med henblik på, at denne kan komme med eventuelle yder-
ligere bemærkninger til sagen. I nogle tilfælde kan bemærkningerne fra klager give anledning til endnu
en høring af den dataansvarlige, inden Datatilsynet kan træffe afgørelse i sagen.
Datatilsynet kan afvise at indlede en sag over for den dataansvarlige, hvis en henvendelse må anses
for åbenbart grundløs eller uforholdsmæssig, jf. databeskyttelsesforordningens artikel 57, stk. 4. En
henvendelse fra en registeret anses bl.a. for at være åbenbart grundløs, hvis den ikke indeholder rele-
vante elementer omfattet af databeskyttelsesforordningen, eller hvis den allerede på det foreliggende
grundlag kan siges at være klart udsigtsløs. Vurderingen af, om en anmodning om behandling af en sag
kan anses for uforholdsmæssig, holdes op imod Datatilsynets opgaver og forpligtelser og formålet med
tilsynet, ligesom styrken af den interesse, der er i, at sagen behandles, inddrages i vurderingen. Datatil-
synet kan for eksempel inddrage ressourcehensyn ved vurderingen af, om en anmodning skal afvises.
Datatilsynet har efter den 25. maj 2018 konstateret en væsentlig stigning i antallet af klagesager. Der
vurderes især at være sket en stigning i antallet af sager om retten til indsigt og om andre rettigheder
for den registrerede.
Nedenfor ses eksempler på klagesager, som Datatilsynet traf afgørelse i efter den 25. maj 2018.
Afgørelse om modelaftale/sletning
Datatilsynet har i 2018 behandlet en sag, hvor en kvinde klagede over, at en fotograf havde afvist at
slette billeder af hende, herunder billeder af mere intim karakter, som desuden var offentliggjort til
stockbrug.
Klager og fotografen havde indgået en skriftlig aftale, som angav, hvordan billederne kunne anvendes.
Af aftalen fremgik det bl.a., at fotografen kunne bruge og offentliggøre billederne.
Klager gjorde i sagen gældende, at fotografen skulle slette billederne og anførte i den forbindelse bl.a.,
at hun havde trukket sit samtykke tilbage, og at aftalen ikke var gyldig efter dansk ret.
Årsberetning 2018
31
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0033.png
Fotografen afviste at slette billederne og anførte i den forbindelse bl.a., at aftalen tydeligt angav at være
til erhvervsformål, og at det var en normal aftale på området.
Efter en samlet vurdering fandt Datatilsynet, at behandlingen af oplysninger i form af billeder skete på
baggrund af en kontrakt og ikke et databeskyttelsesretligt samtykke, som kan trækkes tilbage. Efter til-
synets opfattelse havde fotografen således et lovligt grundlag for at behandle oplysningerne, og klager
havde derfor ikke krav på at få billederne slettet i henhold til databeskyttelsesforordningens artikel 17,
stk. 1.
Ved vurderingen heraf lagde Datatilsynet vægt på, at det fremgik af aftalen, at der var tale om en ”Uni-
versal Adult Model Release for all Agencies”, at aftalen ”Shall be binding upon me my heirs, legal repre-
sentatives and assigns”, og at klager ved at underskrive aftalen bekræftede, at ”I hereby affirm that I am
over the age of majority and have the right to contract in my own name”.
Datatilsynet udtalte endvidere, at tilsidesættelse af en aftale mellem to parter falder uden for tilsynets
kompetence, idet tilsynet ikke kan gå ind i en nærmere fortolkning af en aftales gyldighed. Hvis en afta-
le ønskes tilsidesat, må dette spørgsmål i stedet indbringes for domstolene.
Datatilsynet fandt imidlertid, at fotografen skulle slette oplysninger om klagers personnummer, som
fremgik af aftalen, da fotografen ikke havde hjemmel til at behandle dette.
Årsberetning 2018
32
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Afgørelse om indsigt i sikkerhedsbrud
Datatilsynet har i 2018 afvist at behandle en sag, hvor en borger klagede til tilsynet over, at Skattestyrel-
sen havde afslået at give klager indsigt i udtræk af Skattestyrelsens sikkerhedslog over, hvilke medar-
bejdere der havde været inde på de oplysninger, som fandtes om klager i Gældsstyrelsen.
Efter Datatilsynets opfattelse var der ikke udsigt til, at tilsynet ville komme frem til, at klagers person-
oplysninger blev behandlet i strid med databeskyttelsesreglerne, og tilsynet afviste derfor at behandle
klagen, da den var åbenbart grundløs, jf. databeskyttelsesforordningens artikel 57, stk. 4.
Ved vurderingen heraf lagde Datatilsynet vægt på, at der var tale om udtræk af logningsoplysninger,
som var en systemmæssig facilitet, hvor der ikke skete en selvstændig behandling af klagers personop-
lysninger, og at logningen var afledt af den egentlige behandling.
Datatilsynet fandt derfor, at Skattestyrelsens sikkerhedslog ikke var omfattet af klagers ret til indsigt, og
at der derfor ikke var udsigt til, at Datatilsynet ville give klager ret i klagen.
Sager på eget initiativ
Hvert år tager Datatilsynet en række sager op på eget initiativ.
Blandt disse sager er Datatilsynets planlagte tilsyn og Datatilsynets behandling af anmeldelser af brud
på persondatasikkerhed.
Herudover tager Datatilsynet også en række sager op ad hoc på baggrund af konkrete hændelser, her-
under på baggrund af presseomtale, henvendelser fra borgere mv.
Plan for tilsyn
Datatilsynet foretager hvert år et antal planlagte tilsyn.
Tilsynene bliver planlagt for cirka et halvt år ad gangen, hvor Datatilsynet i første omgang finder frem til,
hvilke temaer og myndigheder/virksomhedsbrancher tilsynene skal dække, og herefter finder frem til
de enkelte dataansvarlige, som skal være genstand for Datatilsynets tilsyn.
Når Datatilsynet udvælger, hvilke temaer og myndigheder/virksomhedsbrancher tilsynene skal dæk-
ke, fokuserer Datatilsynet navnlig på behandlinger af personoplysninger, som på grund af deres formål,
omfang eller karakter indebærer en særlig risiko for at krænke de registreredes ret til databeskyttelse
og privatliv, samt på behandlinger, som indebærer brug af ny teknologi. Andre parametre indgår imid-
lertid også i Datatilsynets vurdering, herunder f.eks. områder, hvor der har vist sig at være udfordrin-
ger, henvendelser fra borgere og medier mv. omkring specifikke problemstillinger og en vis geografisk
spredning.
Datatilsynet offentliggør en udgave af tilsynsplanen på Datatilsynets hjemmeside med angivelse af det
pågældende halvårs temaer og kategorier af myndigheder/virksomhedsbrancher, men uden angivelse
af hvilke konkrete dataansvarlige, der er udvalgt.
Årsberetning 2018
33
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0035.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Tilsyn i 2018
I hele 2018 foretog Datatilsynet 147 planlagte tilsyn. Disse planlagte tilsyn var fordelt med 135 tilsyn over
for offentlige myndigheder og 12 tilsyn over for private virksomheder. På alle tilsynene har der været
anvendt oplysningsindsamling bl.a. ved hjælp af spørgeskema. Herudover har Datatilsynet over for 19
af myndighederne og virksomhederne fulgt op med et fysisk tilsynsbesøg.
Datatilsynet fokuserede i 2018 på følgende temaer:
Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
Sletning af personoplysninger hos private virksomheder
Anvendelse af databehandlere hos kommunerne
Persondatasikkerheden i større it-systemer på sundhedsområdet
Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder
Udarbejdelse af en fortegnelse hos kommunerne
De registreredes rettigheder efter retshåndhævelsesloven
Persondatasikkerhed efter retshåndhævelsesloven
Databehandlingsaktiviteter i forhold til en række EU-informationssystemer
Tilsyn vedr. behandlingssikkerhed
Datatilsynet har i 2018 afholdt tilsyn omkring behandlingssikkerhed, konkret på området for sletning af
personoplysninger i private virksomheder og på persondatasikkerheden i større IT-systemer på sund-
hedsområdet.
Ét af de grundlæggende principper for behandling af personoplysninger i databeskyttelsesforordnin-
gen er, at virksomheder ikke må behandle personoplysninger længere end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles. Det vil med andre ord sige, at når personoplys-
ningerne ikke længere er nødvendige for virksomheden, skal denne sørge for, at oplysningerne slettes.
Reglen bidrager til at sikre mod en unødvendig ophobning af oplysninger. En sådan ophobning inde-
bærer nemlig principielt altid en vis forøget risiko for krænkelse af de registrerede, f.eks. ved at oplys-
ninger kommer uvedkommende i hænde.
Da sletning af oplysninger var et stort tema i perioden op til, at databeskyttelsesforordningen skulle
finde anvendelse, har Datatilsynet fulgt op på, om private virksomheder har styr på deres sletterutiner,
så de sletter personoplysninger, når der ikke længere er grundlag for at opbevare dem. Datatilsynet
har udført tilsyn hos en hotelkæde, en møbelkæde og et taxaselskab for at kontrollere forhold omkring
sletning.
Generelt har Datatilsynet påset om oplysninger er blevet opbevaret længere end det var nødvendigt
for at opfylde formålet ved de pågældende behandlinger, herunder om der ved fastsættelsen af slet-
tefrister er taget fornøden stilling til behandlingernes formål. Herudover er det påset, om der har været
fastsat de fornødne tekniske og organisatoriske procedurer, til at sikre at sletning rent faktisk også sker.
Datatilsynet har endvidere valgt at fokusere netop på sundhedsområdet, da myndighederne på dette
område er blandt dem der her i Danmark behandler flest følsomme personoplysninger. Myndigheder-
ne på sundhedsområdet skal sikre, at disse data opbevares, så de ikke kommer til uvedkommendes
kendskab, men også at de er tilgængelige og pålidelige, så patienter kan få den rette behandling til den
rette tid. Datatilsynet har derfor ført tilsyn med persondatasikkerheden ved Region Sjælland og Region
Hovedstaden, særligt brugen af Sundhedsplatformen.
Årsberetning 2018
35
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Tilsynet var en gennemgang af aspekter som adgangskontrol, generel systemsikkerhed, informations-
sikkerhed ved kommunikation med randsystemer, dataintegritet og den risikobaserede tilgang til per-
sondatasikkerheden.
Generelt blev det påset, om der i den kompleksitet, en sådan central ny IT-platform medfører, også var
blevet kortlagt de risici, som behandlingerne af personoplysningerne har for de registrerede fysiske
personer. Der blev ført tilsyn med udmøntningen af de pågældende vurderinger i konkrete sikkerheds-
mæssige tiltag, dokumentationen af disse, og hvordan tiltagene fungerede ved den praktiske daglige
brug af systemet. Herudover blev der ført tilsyn med, om der løbende blev fulgt op på vurderingerne og
reageret herpå, såfremt det blev konstateret, at det oprindelige grundlag var forrykket.
Tilsynene forventes afsluttet fra Datatilsynets side i løbet af 2019.
Juridiske tilsyn
Datatilsynet foretog i 2018 en række planlagte tilsyn, hvor Datatilsynet kontrollerede, om myndigheder
og virksomheder overholder nærmere angivne bestemmelser i databeskyttelsesreglerne.
Et af temaerne for Datatilsynets tilsyn i 2018 var offentlige myndigheders og et antal større privathospi-
talers udpegelse af databeskyttelsesrådgiver og meddelelse af dennes kontaktoplysninger til Datatil-
synet.
Datatilsynet har ført tilsyn med i alt 128 myndigheder og virksomheder, herunder samtlige ministerier,
kommuner og regioner og 6 større privathospitaler.
Herudover førte Datatilsynet i 2018 tilsyn med, om udvalgte kommuner overholder databeskyttelses-
forordningens krav til fortegnelser, og om udvalgte kommuner overholder kravene til at anvende da-
tabehandlere, herunder har de fornødne databehandleraftaler og fører kontrol med databehandlerne.
Tilsynene forventes afsluttet i 2019.
I 2018 førte Datatilsynet i samarbejde med Forbrugerombudsmanden ligeledes tilsyn med, om et da-
tingsite og et par kundeklubber overholder databeskyttelsesforordningens og markedsføringslovens
krav til samtykke i forhold til brugerne. På tilsynene blev der også ført tilsyn med, om virksomhederne
kunne dokumentere at have foretaget risikovurderinger med fokus på de registreredes rettigheder i
forhold til behandlingen af brugernes oplysninger. Tilsynene forventes afsluttet i 2019.
Endelig førte Datatilsynet i 2018 tilsyn med, om en række udvalgte retshåndhævende myndigheder
overholder reglerne om de registreredes rettigheder, herunder f.eks. oplysningspligten og indsigtsret-
ten. Et af tilsynene er afsluttet og gennemgået nedenfor i afsnittet om retshåndhævelsesloven. De øv-
rige tilsyn forventes afsluttet i 2019.
Tilsynene forventes afsluttet fra Datatilsynets side i løbet af 2019.
Internationale tilsyn
Datatilsynet har i 2018 gennemført tilsyn i relation til to af tilsynets internationale tilsynsforpligtelser:
• Rigspolitiets behandling af personoplysninger i Schengen-informationssystemet
• Udlændinge- og Integrationsministeriets behandling af personoplysninger i Visum-informationssy-
stemet
Tilsynene forventes afsluttet fra Datatilsynets side i løbet af 2019.
Årsberetning 2018
36
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Oversigt over udførte tilsyn i 2018
Staten:
Tilsyn med databeskyttelsesrådgiver:
Samtlige 19 ministerier
Tilsyn med retshåndhævelsesloven:
Auditørkorpset
Den Uafhængige Politiklagemyndighed
Direktoratet for Kriminalforsorgen
Rigspolitiet
Internationale tilsyn:
Rigspolitiet
Udlændinge- og Integrationsministeriet
Kommuner:
Tilsyn med databeskyttelsesrådgiver:
Samtlige 98 kommuner
Tilsyn med databehandlere:
Randers Kommune
Viborg Kommune
Tilsyn med fortegnelsen:
Holstebro Kommune
Ringkøbing-Skjern Kommune
Varde Kommune
Regioner:
Tilsyn med databeskyttelsesrådgiver:
Samtlige 5 regioner
Tilsyn med persondatasikkerhed:
Region Hovedstaden
Region Sjælland
Private virksomheder:
Tilsyn med databeskyttelsesrådgiver:
Aleris Hamlet Hospitaler A/S
Aleris Hamlet Ringsted A/S
Capio CFR A/S
GHP Gildhøj Privathospital ApS
Kysthospitalet Skodsborg A/S
Privathospitalet Danmark A/S
Tilsyn med behandlingsgrundlag og persondatasikkerhed:
Dating.dk ApS
Gyldendal A/S
Matas A/S
Tilsyn med sletning:
Arp-Hansen Hotel Group A/S
IDdesign A/S
Taxa 4x35
Årsberetning 2018
37
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0039.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0040.png
Anmeldelse af brud på persondata-
sikkerheden
Antallet af anmeldelser af brud på persondatasikkerheden i 2018
Efter den 25. maj 2018 – hvorfra databeskyttelsesforordningen finder anvendelse – er der blevet indført
en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatil-
synet. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataan-
svarlige er blevet bekendt med bruddet.
Udgangspunktet er, at brud på persondatasikkerheden altid skal anmeldes med mindre det er usand-
synligt, at det pågældende brud indebærer en risiko for fysiske personers rettigheder eller frihedsret-
tigheder.
Datatilsynet har i perioden fra den 25. maj til 31. december 2018 modtaget 2.780 anmeldelser om per-
son- datasikkerhedsbrud, ligesom tilsynet i samme periode har modtaget henvendelser om grænse-
overskridende persondatasikkerhedsbrud gennem Det Europæiske Databeskyttelsesråds samarbejd-
sportal.
Der er kun ganske få af anmeldelserne, der ikke har indeholdt et brud på persondatasikkerheden, og
det må derfor konstateres, at der generelt ikke bliver indgivet anmeldelser, der ikke er pligt til.
Anmeldelserne fordeler sig med:
• 53 % fra private dataansvarlige
• 44 % fra offentlige dataansvarlige
• 3 % i gruppen forskellige.
De forskellige anmeldelser er typisk grænseoverskridende brud for private dataansvarlige, anmeldt di-
rekte til Datatilsynet her i Danmark.
Anmeldelser
Private
3
Offentlige
Forskellige
53
44
Årsberetning 2018
39
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0041.png
Det bemærkes, at hvor der i den første del af perioden efter 25. maj 2018 var en overvægt af anmeldel-
ser fra private dataansvarlige, har fordelingen mod slutningen af perioden bevæget sig mod en svag
overvægt af offentlige anmeldelser.
Dette skyldes blandt andet, at anmeldelser fra dataansvarlige på området for behandlinger af person-
oplysninger, der er foregået som led i udbud af offentligt tilgængelige elektroniske kommunikations-
tjenester, særligt telesektoren, nu primært tilgår Erhvervsstyrelsen.
Generelt gælder det for både de private og de offentlige anmeldelser, at de grupper af dataansvar-
lige, der har meget udadvendt kontakt med de registrerede, også er de dataansvarlige, der har flest
anmeldelser. Mange af anmeldelserne vedrører forhold, hvor oplysninger om en eller få registrerede
er sendt på en sikker måde f.eks. via e-Boks, krypteret eller på en lukket kundeportal, men til en forkert
modtager.
Private – fordeling mellem brancher
Banker / sparekasser
251
546
206
Forsikring / pension
Tele og bredbånd
Kreditoplysning og inkassor
Advokater / revision
Øvrige
36
101
340
Offentlige – fordeling mellem institutioner
27
104
71
Styrelser
Ministerier (departementer)
Universiteter / uddannelsesinstitutioner
225
705
Øvrige
115
Årsberetning 2018
©¨§¦#
¥¤£¢¡ )
40
K
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0042.png
Baggrunden for persondatasikkerhedsbruddene
Datatilsynet har konstateret, at langt de fleste anmeldelser - ca. 2/3 - går på oplysninger, der er sendt
til den ”forkerte” modtager, oftest ved en menneskelig fejl i afsendelsesøjeblikket. I tillæg til denne
gruppe er der en særlig variant heraf, der tegner sig for ca. 5 % af anmeldelserne. Det drejer sig om
situationer, hvor brev- post er sendt til den rette modtagers sidste folkeregisteradresse, men ved en fejl
åbnes af en anden person, typisk fordi den registrerede er fraflyttet eller fordi brevet bliver fejlafleveret
af postbefordreren.
En anden udbredt gruppe af anmeldelser er oplysninger, der ved en fejl ikke er undergivet den fortro-
lighed, som den dataansvarlige selv har vurderet nødvendig for behandlingen, f.eks. hvor e-mails, der
efter intern instruks skulle sendes krypteret, bliver sendt uden at være det.
Tyveri af udstyr eller dokumenter fra aflåste lokaler, boliger og biler eller de tilfælde, hvor udskrifterne
eller enheden bliver mistet i det offentlige rum, typisk i offentlige transportmidler, forekommer også
relativt ofte.
Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning såsom phishing, malware,
hacking eller tilsvarende udgør mindre end 5 % af de samlede anmeldelser. Typisk vil denne type hæn-
delser dog berøre et højere antal registrerede.
Årsberetning 2018
41
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0043.png
Den umiddelbare læring af de anmeldte brud på persondatasikkerheden er, at visse typer af funk-
tionalitetsunderstøttelse såsom autoudførelse af e-mailadresser, standardbreve, der flettes til mange
modtagere, og udsendelse af grafer, hvor de underliggende data ikke er fjernet, skal revurderes hos
de respektive dataansvarlige. I hvert fald skal det som minimum overvejes at indføre tekniske og/eller
organisatoriske foranstaltninger, der kan formindske risikoen ved brugen af de pågældende typer af
behandlinger. Herudover skal Datatilsynet erindre om at benytte bcc og ikke cc ved afsendelse af mail
til flere modtagere.
Der er behov for bedre sikring af personoplysninger, der opbevares på fysiske enheder og især de en-
heder, der enten hyppigt er udsat for tyveri eller let mistes under transport (telefoner, tablets, trans-
portable harddiske, usb-sticks, hukommelseskort og bærbare computere). Disse enheder skal som
udgangspunkt slet ikke indeholde personoplysninger, men i det omfang, det er vurderet af den da-
taansvarlige, at de kan indeholde sådanne oplysninger, skal kryptering af indholdet være foretaget på
en sådan måde, at ingen uvedkommende kan læse de pågældende oplysninger, hvis enheden mistes.
Herudover kan de dataansvarlige med fordel instruere deres egne it-afdelinger og/eller deres respek-
tive databehandlere om at foretage relevante løbende opdateringer af alle de system- og applikations-
komponenter der benyttes og samtidig beskytte de netværk, de selv kontrollerer, mod trusler udefra
ved en altid rigtigt konfigureret firewall.
Årsberetning 2018
42
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Generelt vedrører den altovervejende del af de indkomne anmeldelser brud, hvor antallet af berørte
er én eller ganske få registrerede. Således vedrører ca. 80 % af anmeldelserne mindre end fem berørte
registrerede. Der findes grupper af anmeldelser, hvor antallet af berørte er højere, nemlig udsendelse
af e-mails til flere modtagere, hvor bcc-feltet ikke er brugt, og flettebreve, hvor navn/adresse/andre
personoplysninger er blevet ”forskubbet”, så alle på flettelisten har fået en andens oplysninger. Som
nævnt tidligere, berører de fleste typer af påvirkning af informationssikkerheden begået af eksterne
aktører også flere registrerede. Herudover er dette tilfældet, hvor en dataansvarlig har eksponeret hele
eller store dele af datasæt indeholdende personoplysninger, på grund af fejl, manglende agtpågiven-
hed eller slet og ret fordi risikoen ved behandlingen enten ikke er vurderet eller er vurderet forkert.
Behandlingen af anmeldelser af brud på persondatasikkerheden
Når et brud bliver anmeldt til Datatilsynet, foretager tilsynet en vurdering af risikoen for de registrere-
des rettigheder, risikoprofilen af den hændelse, der ligger til grund for bruddet, omfanget af bruddet
og forhold, der kan relateres til den dataansvarlige, herunder om der er sket en vurdering af, om de re-
gistrerede skal underrettes og i givet fald om underretning er sket. Sikkerhedsbruddet vil herefter – på
baggrund af denne vurdering – blive sagsbehandlet.
Datatilsynet er af den opfattelse, at sikkerhedsbrud, der udsætter fysiske personers rettigheder for ri-
siko, generelt vil have karakter af forhold, som vil give anledning til - som minimum - kritik fra tilsynet.
Ved brud på persondatasikkerheden, der fremstår som en afgrænset og enkeltstående hændelse med
en ringe risiko for de registreredes rettigheder, og hvor den dataansvarliges foranstaltninger i forlæn-
gelse af bruddet vurderes som umiddelbart tilstrækkelige i forhold til beskyttelsen af de registreredes
rettigheder, vil Datatilsynet normalt afslutte sagen uden at udtale egentlig kritik.
Datatilsynet vil dog, hvis der fremkommer nye oplysninger i sagen, eller hvis der modtages nye anmel-
delser om brud på persondatasikkerheden fra den pågældende dataansvarlige, kunne genoptage sa-
gen og/eller lade denne indgå i vurderingen af eventuelle fremtidige brud.
Halvdelen af de indkomne sager – ca. 1.400 – forventes afsluttet af Datatilsynet på den anførte måde,
og af disse er ca. 900 allerede afsluttet med et brev til de dataansvarlige. Omkring 700 sager var ved
udgangen af 2018 stadig under behandling, hvilket betyder, at de er ved at blive oplyst eller vurderet.
De sidste ca. 600 sager er sager, hvori der, på grund af antallet af anmeldelser hos den enkelte dataan-
svarlige, pågår en genvurdering fra tilsynets side. Begge disse grupper af sager behandles med henblik
på, at Datatilsynet træffer en afgørelse og fastsætter en sanktion, herunder f.eks. politianmeldelse.
55 af sagerne har været undergivet hastesagsbehandling grundet bruddets karakter. Dette kan f.eks.
skyldes, at risikoen for de registreredes rettigheder har været høj, typisk på grund af at eksponering af
data stadig skete efter anmeldelsen, eller at akut underretning af de registrerede har været vurderet
nødvendigt.
Årsberetning 2018
43
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0045.png
Internationalt samarbejde
Databeskyttelsesforordningen har bl.a. betydet en helt ny proces for, hvordan grænseoverskridende
sager skal behandles. I 2018 er der derfor blevet lagt et stort arbejde i at få såvel de juridiske som de
praktiske rammer omkring disse nye processer på plads; et arbejde, der har bestået i dels et samarbejde
med de øvrige europæiske datatilsyn omkring fælles retningslinjer for samarbejdet og dels i en imple-
mentering af disse processer nationalt, især gennem interne retningslinjer og undervisning af Datatil-
synets medarbejdere heri.
Datatilsynet har i øvrigt intensiveret sin deltagelse i det internationale samarbejde i 2018 i forlængelse
af oprettelsen af en dedikeret international enhed i tilsynet slutningen af 2017. Tilsynet har således i
højere grad end hidtil været repræsenteret i de forskellige arbejdsgrupper i EU-regi med henblik på
Årsberetning 2018
44
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
at gøre danske synspunkter gældende. En strategi for det internationale arbejde nåede ikke at blive
udarbejdet i 2018, men arbejdet hermed er påbegyndt i januar 2019 og forventes afsluttet i det første
halvår af 2019.
Artikel 29-gruppen
Artikel 29-gruppen var nedsat i henhold til artikel 29 i det tidligere gældende generelle databeskyt-
telsesdirektiv fra 1995. Gruppen var uafhængig og rådgav EU-Kommissionen om persondataretlige
emner. Den bestod af repræsentanter for de nationale tilsynsmyndigheder i EU (samt andre europæi-
ske lande der havde status som observatører), en repræsentant for Den Europæiske Tilsynsførende for
Databeskyttelse (EDPS) samt en repræsentant for EU-Kommissionen. Datatilsynets direktør repræ-
senterede Danmark.
I de første 5 måneder af 2018 fyldte arbejdet med forberedelserne op til 25. maj 2018, hvorfra det nye
retsgrundlag fandt anvendelse, meget, og Artikel 29-gruppen udarbejdede i den forbindelse en række
vejledninger til de dataansvarlige om forståelsen af det nye retsgrundlag, ligesom gruppen vedtog en
række interne procedurer i relation til det fremtidige samarbejde mellem tilsynsmyndighederne.
Artikel 29-gruppen afholdt i 2018 tre møder i Bruxelles, inden gruppen blev erstattet af Det Europæi-
ske Databeskyttelsesråd.
Det Europæiske Databeskyttelsesråd (EDPB)
Den 25. maj 2018 erstattede Det Europæiske Databeskyttelsesråd Artikel 29-gruppen som kollektivet
af de europæiske datatilsyn.
Det Europæiske Databeskyttelsesråd er et uafhængigt EU-organ, som skal sikre en ensartet anven-
delse af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU. På engelsk hedder
rådet European Data Protection Board (EDPB). Rådets medlemmer består – som den tidligere Artikel
29-gruppe – af repræsentanter for medlemsstaternes tilsynsmyndigheder og Den Europæiske Tilsyns-
førende for Databeskyttelse (EDPS). EU-Kommissionen kan deltage i rådets aktiviteter og møder, men
har ikke stemmeret. Danmark er repræsenteret ved Datatilsynets direktør.
Med henblik på at sikre en ensartet anvendelse af reglerne om persondatabeskyttelse kan Det Euro-
pæiske Databeskyttelsesråd bl.a.:
• give generel vejledning for at præcisere lovgivningen (udkast til vejledninger sendes ofte i offentlig
høring),
• fremme samarbejdet og en effektiv udveksling af oplysninger og bedste praksis mellem nationale
tilsynsmyndigheder,
• komme med udtalelser om ethvert spørgsmål om den generelle anvendelse af databeskyttelsesfor-
ordningen eller ethvert spørgsmål, der har indvirkning i mere end én medlemsstat samt udtalelser
om visse afgørelser, der træffes af medlemsstaters tilsynsmyndigheder, og som har grænseoverskri-
dende virkninger,
• træffe bindende afgørelser omkring fortolkningen af reglerne, f.eks. hvor tilsynsmyndigheder har
forskellige opfattelser af, hvordan en konkret sag skal afgøres, eller hvis en national myndighed ikke
følger rådets udtalelse om et udkast til afgørelse, og
• rådgive EU-Kommissionen om ethvert spørgsmål om beskyttelse af personoplysninger i EU
En oversigt over alle Det Europæiske Databeskyttelsesråds opgaver fremgår af databeskyttelses-for-
ordningens artikel 70.
Årsberetning 2018
45
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Det Europæiske Databeskyttelsesråd har sin egen forretningsorden, som indeholder de vigtigste reg-
ler for rådets drift, herunder organisering, samarbejdet mellem medlemmer og arbejdsmetoder. Rådet
bistås af et sekretariat, som udfører sine opgaver efter instruks fra formanden. Sekretariat ligger i Bru-
xelles, hvor rådets møder også afholdes.
Det Europæiske Databeskyttelsesråd holder møder af 2 dages varighed en gang om måneden. Rådet
afholdt fra maj 2018 og året ud fem møder. Datatilsynet deltager i møderne. Hvor afstemning er nød-
vendig, træffer rådet afgørelse med simpelt flertal blandt sine medlemmer, medmindre andet følger af
databeskyttelsesforordningen.
I 2018 var der stadig stor fokus på udarbejdelse af vejledninger, men i tillæg hertil behandlede rådet
også de første sager i den såkaldte sammenhængsmekanisme, som skal være med til at sikre en ensar-
tet anvendelse af reglerne i de enkelte lande.
Det Europæiske Databeskyttelsesråd har sin egen hjemmeside, www.edpb.europa.eu, ligesom det har
sin egen Twitter-profil, @EU_EDPB, og egen LinkedIn profil, European Data Protection Board, hvor det
er muligt at følge rådets arbejde.
Allerede som følge af den indflydelse Det Europæiske Databeskyttelsesråd fremover får på databe-
skyttelsesområdet – også i Danmark – er Datatilsynet aktivt involveret i rådets arbejde bl.a. gennem
deltagelse i flere ekspertarbejdsgrupper under rådet og i forberedelsen af vejledninger og afgørelser.
Arbejdet med forberedelsen af vejledninger, udtalelser, afgørelser mv., som Databeskyttelsesrådet skal
træffe beslutninger om, forestås primært af pt. 12 ekspertarbejdsgrupper, som mødes med 1-2 måne-
ders intervaller, og imellem de fysiske møder udveksles der skriftlige bemærkninger og afholdes tele-
fonmøder.
Særlige internationale tilsynsforpligtelser
Schengen-informationssystemet (SIS)
Som en del af Schengen-samarbejdet om et fælles område uden indre grænser samarbejder med-
lemslandene om kriminalitetsbekæmpelse og kontrol ved de ydre grænser via bl.a. et fælles informa-
tionssystem (SIS II), som indeholder personoplysninger. Datatilsynet fører tilsyn med, at de danske
myndigheder med adgang til systemet overholder en række regler i den forbindelse. Som led i tilsynet
med behandling af personoplysninger i SIS II deltager Datatilsynet i Koordinationsgruppen for tilsynet
med anden generation af Schengen-informationssystemet (SIS II SCG). Koordinationsgruppen består
af repræsentanter for Den Europæiske Tilsynsførende for Databeskyttelse, de nationale datatilsyn i
EU-medlemslandene samt de nationale datatilsyn i Island, Norge, Liechtenstein og Schweiz. I 2018 har
der været afholdt to møder, hvor gruppen bl.a. har haft besøg af repræsentanter for EU-Kommissionen
og eu-LISA med henblik på orienteringer om den seneste udvikling på området og drøftelser af de ak-
tuelle databeskyttelsesretlige problemstillinger.
Gruppen har herudover bl.a. drøftet følgende emner:
• Opbevaring af SIS II-logs på nationalt niveau
• Nationale kriterier for anvendelse af artikel 24-indberetninger (nægtelse af indrejse og ophold)
På Datatilsynets hjemmeside under punktet ”Internationalt” findes generel information om Schen-
gen-samarbejdet, Schengen-informationssystemet (SIS II) og Datatilsynets opgaver i relation til SIS II,
herunder muligheden for at klage til Datatilsynet over behandling af personoplysninger i SIS II.
Datatilsynet foretog i slutningen af 2018 et tilsyn med Rigspolitiets behandling af personoplysninger i
Schengen-informationssystemet. Tilsynet forventes afsluttet i 2019.
Årsberetning 2018
46
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0048.png
Told-informationssystemet (CIS)
Toldinformationssystemet har til formål at bekæmpe svig inden for EU ved gennem hurtig deling af
informationer mellem EU-landenes myndigheder at kunne forebygge, efterforske og retsforfølge
transaktioner, der er i strid med EU’s told- og landbrugsbestemmelser. Formålet er endvidere at kunne
forebygge, efterforske og retsforfølge overtrædelser af nationale love vedrørende toldadministration.
SKAT er dataansvarlig for toldinformationssystemet i Danmark, mens Datatilsynet er tilsynsmyndighed.
Datatilsynet fører således tilsyn med behandlingen af informationer i den danske del af det fælleseuro-
pæiske toldinformationssystem.
På EU-niveau deltager Datatilsynet i Den Fælles Tilsynsmyndighed for Toldinformationssystemet (JSA
Customs) og Koordinationsgruppen for tilsynet med Toldinformationssystemet (CIS SCG).
Der har i 2018 været afholdt to møder i Koordinationsgruppen for tilsynet med Toldinformationssyste-
met.
Eurodac
Eurodac er et centralt fingeraftryksregister over asylansøgere i EU, som er oprettet med henblik på at
fremme asylproceduren i EU. Datatilsynet fører tilsyn med, at de danske myndigheder med adgang til
systemet overholder en række regler i den forbindelse. Som led i tilsynet med Eurodac deltager Data-
tilsynet i Koordinationsgruppen for tilsynet med Eurodac (Eurodac SCG). Koordinationsgruppen be-
står af repræsentanter for Den Europæiske Tilsynsførende for Databeskyttelse, de nationale datatilsyn i
EU-medlemslandene samt de nationale datatilsyn i Island, Norge, Liechtenstein og Schweiz. I 2018 har
der været afholdt to møder, hvor gruppen bl.a. har haft besøg af repræsentanter for EU-Kommissionen
og eu-LISA med henblik på orienteringer om den seneste udvikling på området og drøftelser af de ak-
tuelle databeskyttelsesretlige problemstillinger.
Årsberetning 2018
47
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Endvidere har gruppen bl.a. drøftet følgende emner:
• EU-Kommissionens forslag af 4. maj 2016 til revision af Eurodac-forordningen
• Udøvelsen af de registreredes rettigheder
På Datatilsynets hjemmeside under punktet ”Internationalt” findes generel information om Eurodac
og Datatilsynets opgaver i relation til Eurodac, herunder muligheden for at klage til Datatilsynet over
behandling af personoplysninger i Eurodac.
Visum-informationssystemet (VIS)
Til håndteringen af ansøgninger om visa til kortvarige ophold inden for Schengen-landene er der i EU
oprettet et centralt register over visumansøgernes fingeraftryk og ansigtsbilleder. Datatilsynet fører til-
syn med, at de danske myndigheder med adgang til systemet overholder en række regler i den forbin-
delse. Som led i tilsynet med behandling af personoplysninger i VIS deltager Datatilsynet i Koordina-
tionsgruppen for tilsynet med Visum-informationssystemet (VIS SCG). Koordinationsgruppen består
af repræsentanter for Den Europæiske Tilsynsførende for Databeskyttelse, de nationale datatilsyn i
EU-medlemslandene samt de nationale datatilsyn i Island, Norge, Liechtenstein og Schweiz. I 2018 har
der været afholdt to møder, hvor gruppen bl.a. haft besøg af repræsentanter for EU-Kommissionen og
EU-LISA, som har orienteret gruppen om den seneste udvikling på området, herunder EU-Kommissi-
onens forslag til en ny VIS-forordning.
Gruppen har herudover bl.a. drøftet følgende emner:
• Databeskyttelsesretlig træning af personale hos myndigheder, der har adgang til VIS
• Gennemførelsen af VIS-forordningens artikel 41, der omhandler tilsyn ved de nationale tilsynsmyn-
digheder
• Anbefalinger vedrørende brugen af Eksterne Service Providers (ESP)
På Datatilsynets hjemmeside under punktet ”Internationalt” findes generel information om VIS og Da-
tatilsynets opgaver i relation til VIS, herunder muligheden for at klage til Datatilsynet over behandling
af personoplysninger i VIS.
Datatilsynet foretog i slutningen af 2018 et tilsyn med Udlændinge- og Integrationsministeriets be-
handling af personoplysninger i Visum-informationssystemet. Tilsynet forventes afsluttet i 2019.
Indre Markeds-informationssystemet (IMI)
Indre Markeds-Informationssystemet, der er udarbejdet af EU-Kommissionen, og som giver offentlige
myndigheder i EU mulighed for at samarbejde medlemsstaterne imellem.
Datatilsynet er udpeget som tilsynsmyndighed i relation til behandlingen af personoplysninger i den
danske del af systemet. På EU-niveau deltager Datatilsynet i Koordinationsgruppen for tilsynet med
Indre Markeds-informationssystemet (IMI SCG)
Der har i 2018 ikke været afholdt møde i Koordinationsgruppen.
Eurojust
Eurojust er et EU-organ, som blev oprettet i 2002 for at forbedre kompetente myndigheders effekti-
vitet inden for EU’s medlemsstater, når myndighederne beskæftiger sig med efterforskning og rets-
Årsberetning 2018
48
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
forfølgning af alvorlig grænseoverskridende og organiseret kriminalitet. For at udføre sine opgaver
behandler Eurojust væsentlige mængder oplysninger, ofte persondata, der relaterer sig til mistænkte,
dømte personer, vidner og ofre for forbrydelser.
Datatilsynet er repræsenteret i den Fælles Kontrolinstans (JSB), som er en uafhængig kontrolinstans
oprettet i medfør af paragraf 23 i Eurojust-afgørelsen (Rådets afgørelse af 28. februar 2002 om op-
rettelse af Eurojust for at styrke bekæmpelsen af grov kriminalitet som ændret ved Rådets afgørelse
af 16. december 2008), og som kollektivt overvåger Eurojusts aktiviteter, der involverer behandling af
persondata, og sikrer, at disse udføres i henhold til Eurojust-afgørelsen. JSB’s medlemmer er domme-
re eller personer, der har tilsvarende uafhængighed (i praksis databeskyttelseskommissærer), og som
derfor har væsentlig ekspertise inden for både databeskyttelse og retligt samarbejde.
Der har i 2018 været afholdt ét møde i den fælles kontrolinstans.
Europarådet
Europarådet blev oprettet i 1949 og danner i dag rammen om et samarbejde mellem 47 lande, herun-
der de 28 EU-lande. Danmark var blandt de 10 stiftende medlemmer af Europarådet i 1949. Medlem-
skab af Europarådet kræver, at staterne underskriver Den Europæiske Menneskerettighedskonven-
tion (EMRK). I databeskyttelsessammenhæng har Danmark ratificeret Europarådets konvention om
beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysnin-
ger (konvention 108) og tillægsprotokollen om tilsynsmyndigheder og grænseoverskridende dataud-
veksling (konvention 181). Datatilsynet er udpeget som tilsynsmyndighed i forhold til konvention 108.
I 2018 har det fra dansk side være Justitsministeriet, der har mødt i Europarådets arbejdsgruppe for
databeskyttelse, hvor man i 2018 bl.a. har tilendebragt forhandlingerne om en modernisering af kon-
vention 108.
Berlin-gruppen
International Working Group on Data Protection in Telecommunications, også kaldet Berlin-gruppen,
er en arbejdsgruppe under Den Internationale Konference. Berlin-gruppen fokuserer på nye informa-
tions-teknologier og tendenser med henblik på at afdække implikationer for databeskyttelse og privat-
liv, ligesom gruppen kommer med anbefalinger til interessenter. Gruppens arbejde afspejles i rækken af
publicerede udtalelser, såkaldte Working Papers, som er tilgængelige på Berlin-gruppens hjemmeside.
I 2018 afholdt Berlin-gruppen to møder. I april mødtes gruppen i Budapest, Ungarn, og i november
afholdtes gruppens møde i Queenstown, New Zealand.
Berlin-gruppens fokus på privatliv og sikkerhed har i 2018 ført til vedtagelsen af to Working Papers.
Det ene omkring brugen af kunstig intelligens, AI. Det andet om Wider Area Location Tracking, som
vedrører forhold omkring brugen af de positions- og lokaliseringsdata, som mobiltelefoner og anden
bærbar elektronik afgiver.
Dokumentet om kunstig intelligens tager udgangspunkt i brugen af algoritmer på oplysninger om fysi-
ske personer, algoritmers mulige forudindtagethed, og metoderne til træning af algoritmer. Herudover
fokuseres der særligt på de problemstillinger, som kunstig intelligens giver, når en sammenstilling af
store datamængder gør, at der kan genskabes personhenførbar information ud af datasæt, der ellers
isoleret set bliver betragtet som værende ”anonyme”.
Dokumentet om Wider Area Location Tracking, tager udgangspunkt i de forhold for persondatabe-
skyttelse, der opstår i de såkaldte ”smart cities” eller ved brug af ”urban connectivity”, hvor der på store
Årsberetning 2018
49
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0051.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
mængder data blandt andet mastedata, wi-fi- og bluetooth-forbindelser kan følges og målrettes både
fremtidig brug af f.eks. offentlig transport og andre ydelser, eller hvor der på baggrund af indsamling af
metadata målrettes markedsføring mod det enkelte individ, når bestemte reklameskilte passeres.
Herudover foreligger der et næsten færdigt Working Paper om det såkaldte ”internet of things”, IOT.
Denne opkobling på internettet af diverse husholdningsartikler, aktivitetsmålere og legetøj til børn,
skaber en betydelig informationsindsamling hos den enkelte, og enhederne har typisk ingen eller kun
ringe sikkerhed. Berlin-gruppens mål har været at få lavet beskrivelser og oplæg til standarder, der gi-
ver brugere af sådant udstyr mulighed for dels at vide, hvordan og hvor oplysninger indsamles og lag-
res, dels at sikre at enhederne kan opdateres sådan, at sikkerheden ikke kompromitteres.
Berlin-gruppen har endvidere fortsat arbejdet med de såkaldte ”connected cars”. Der bliver arbejdet
på at få konsolideret viden fra de forskellige bilproducenter og de forskellige udviklingshuse og ser-
viceleverandører, der leverer denne type af teknologi til biler. Der kigges på alt fra brug af telemetri,
færdselsovervågning, kørestilsanalyse og til ”infotainment”. Udviklingen går mere og mere hen imod
biler med fast opkobling og brug af internetbaserede apps. Herudover er også de såkaldte autonome
køretøjer såsom førerløse biler på dagsordenen i gruppen. Der arbejdes på beskrivelser af den betyd-
ning, teknologien har for såvel privatliv som databeskyttelse, og hvordan brugen kan ske gennemsigtigt
og under brugerens kontrol.
Disse emner vil gruppen komme med udtalelser om i 2019.
I årets løb har Berlin-gruppen endvidere fortsat arbejdet med andre aktuelle emner, som indeholder
problemstillinger med hensyn til databeskyttelse og beskyttelse af privatliv, eksempelvis anvendelse
af biometri i elektronisk online autentifikation, ISO-standardisering, privatlivsbeskyttelse ved ICANN’s
RDS (Registration Directory Services) for internettet, og forhold omkring forfølgelse og uønsket op-
mærksomhed i digital forstand, det såkaldte cyber bullying and stalking.
Nordisk samarbejde
Datatilsynet lægger stor vægt på at have et tæt samarbejde med de øvrige nordiske datatilsyn som
følge af mange fælles interesser og synspunkter. De nordiske tilsyn er derfor i jævnlig kontakt om såvel
konkrete som generelle emner og drøfter også emner af fælles interesse i forbindelse med deltagelse i
møder i Det Europæiske Databeskyttelsesråd og dets ekspertarbejdsgrupper.
I tillæg hertil afholder tilsynene en gang om året et fællesnordisk samarbejdsmøde med deltagelse af
såvel ledelse, som sagsbehandlere og it-eksperter samt et mindre opfølgningsmøde senere på året.
Datatilsynet var vært for disse to møder i 2018, hvor en såkaldt Københavnererklæring om det fremti-
dige samarbejde blev vedtaget med henblik på at uddybe og konkretisere samarbejdet i endnu højere
grad. Det var første gang, at der blev vedtaget en sådan erklæring.
Den europæiske konference
Sammen med de øvrige europæiske datatilsyn deltager Datatilsynet normalt i den årlige Europæiske
Konference for datatilsynsmyndigheder, også kaldet Forårskonferencen. Konferencen, der kun er for
europæiske datatilsyn, blev i 2018 afholdt i Albanien. Datatilsynet deltog ikke i konferencen i 2018.
Årsberetning 2018
51
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0053.png
Den internationale konference
Den Internationale Konference for Databeskyttelsesmyndigheder er en årlig konference med deltage-
re fra hele verden. Konferencen består dels af en lukket del forbeholdt ledere af de forskellige datatil-
syn, som er medlem af konferencen, og en åben del tilgængelig for alle.
Konferencen har sin egen hjemmeside, www.icdppc.org, hvor man kan følge konferencens arbejde,
herunder de resolutioner, der vedtages på de årlige konferencer. I 2018 vedtog man på konferencen,
der blev afholdt i Bruxelles, bl.a. resolutioner om etik og databeskyttelse i kunstig intelligens, e-lærings-
portaler og samarbejdet mellem databeskyttelses- og forbrugermyndigheder.
Den internationale konference gennemgår p.t. en udvikling over imod at blive et egentlig internationalt
netværk for databeskyttelsesmyndigheder fremfor som nu primært at være en årlig konference.
I regi af den internationale konference er der nedsat forskellige arbejdsgrupper, herunder den såkaldte
Berlin-gruppe, som Datatilsynet deltager i.
Årsberetning 2018
52
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0054.png
Grønland og Færøerne
Efter anmodning fra Grønlands Selvstyre blev en særlig udgave af den tidligere gældende personda-
talov ved kongelig anordning pr. 1. december 2016 sat i kraft for Grønland. Loven afløste de hidtil gæl-
dende registerlove fra 1978.
Persondataloven er endvidere med virkning fra den 1. juli 2017 sat i kraft for rigsmyndighedernes be-
handling af oplysninger på Færøerne. For den behandling af personoplysninger på Færøerne, der fore-
tages af færøske myndigheder og af private virksomheder, organisationer mv. gælder den færøske per-
sondatalov. Tilsynsmyndighed i forhold til denne lov er det færøske datatilsyn Dátueftirlitið.
Regler for grønlandsk virksomhed med fast driftssted i Danmark
Et grønlandsk advokatfirma rettede henvendelse til Datatilsynet med en forespørgsel om databeskyt-
telsesforordningens territoriale anvendelsesområde.
Advokatfirmaet, som udelukkende driver virksomhed i Grønland, har en medarbejder, der befinder sig i
Danmark, men som driver virksomhed i Grønland, og som via en fjernadgang arbejder i advokatfirmaets
sagsbehandlingssystem, der hostes i Grønland.
Da medarbejderen er bosiddende i Danmark, har det været nødvendigt for firmaet at registrere et fast
driftssted i Danmark for denne medarbejder alene under virksomhedsformen ”Anden udenlandsk virk-
somhed” med et selvstændigt CVR-nummer.
Datatilsynet lagde i sin besvarelse indledningsvis til grund, at medarbejderen ikke var at betragte som
advokatfirmaets databehandler, men derimod som en del af virksomheden – den dataansvarlige – som
sådan.
Det følger af databeskyttelsesforordningens artikel 3, stk. 2, at forordningen finder anvendelse på be-
handling af personoplysninger om registrerede, der er i Unionen, og som foretages af en dataansvarlig
eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører udbud af
varer eller tjenester til sådanne registrerede i Unionen, uanset om betaling fra den registrerede er på-
krævet (litra a), eller overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted
i Unionen (litra b).
Datatilsynet fremhævede i den forbindelse præambelbetragtning nr. 23 til forordningen, hvoraf det
fremgår, at det med henblik på at afgøre, om en dataansvarlig eller databehandler udbyder varer eller
tjenesteydelser til registrerede, der befinder sig i Unionen, bør undersøges, om det er åbenbart, at den
dataansvarlige eller databehandleren påtænker at udbyde tjenesteydelser til registrerede i en eller fle-
re EU-medlemsstater. Selv om det forhold, at der er adgang til den dataansvarliges, databehandlerens
eller en mellemmands websted i Unionen, til en e-mailadresse eller til andre kontaktoplysninger, eller at
der anvendes et sprog, der almindeligvis anvendes i det tredjeland, hvor den dataansvarlige er etable-
ret, i sig selv er utilstrækkeligt til at fastslå en sådan hensigt, kan faktorer såsom anvendelse af et sprog
eller en valuta, der almindeligvis anvendes i en eller flere medlemsstater, med mulighed for at bestille
varer og tjenesteydelser på det pågældende sprog eller omtale af kunder eller brugere, der befinder sig
i Unionen, gøre det åbenbart, at den dataansvarlige påtænker at udbyde varer eller tjenesteydelser til
registrerede i Unionen.
Årsberetning 2018
53
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
På baggrund af det oplyste til sagen var det Datatilsynets opfattelse, at advokatfirmaet ikke udbyder
tjenester til registrerede i Unionen. Datatilsynet lagde i den forbindelse vægt på, at advokatfirmaet ale-
ne behandler sager om grønlandske forhold, samt at de foreliggende oplysninger og indholdet af ad-
vokatfirmaets hjemmeside ikke taler for, at advokatfirmaet har til direkte og åbenbar hensigt at udbyde
tjenesteydelser til registrerede i Danmark.
Datatilsynet lagde endvidere til grund, at advokatfirmaet ikke har intentioner om at etablere eller for-
øge sine kommercielle relationer til registrerede i Danmark. Tilsynet pegede endvidere på, at den blot-
te adgang til en hjemmeside, hvor der anvendes et europæisk sprog, ikke i sig selv er tilstrækkeligt til at
fastslå en sådan hensigt.
Der var derfor efter Datatilsynets opfattelse ikke tale om sådanne behandlingsaktiviteter, der udgør
udbud af varer eller tjenesteydelser til registrerede, der er i Unionen, for en dataansvarlig eller data-
behandler, der ikke er etableret i Unionen, i henhold til databeskyttelsesforordningens artikel 3, stk. 2,
litra a.
Det grønlandske advokatfirmas behandlingsaktiviteter var således ikke omfattet af databeskyttelses-
forordningens anvendelsesområde.
Årsberetning 2018
54
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0056.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0057.png
2. del: Retshåndhævelsesloven
Den 30. april 2017 trådte lov om retshåndhævende myndigheders behandling af personoplysninger
(retshåndhævelsesloven) i kraft. Denne del af årsberetningen omhandler derfor retshåndhævelseslo-
ven i perioden 1. maj 2017 til 31. december 2018.
Loven gælder for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, krimi-
nal-forsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplys-
ninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikke-auto-
matisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen
foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den of-
fentlige sikkerhed.
Datatilsynet fører tilsyn med enhver behandling omfattet af loven med undtagelse af behandling af op-
lysninger, der foretages for domstolene. Tilsynet med domstolene foretages af henholdsvis Domstols-
styrelsen og retterne i overensstemmelse med retshåndhævelseslovens regler. Siden retshåndhævel-
seslovens trådte i kraft har Datatilsynet bl.a. behandlet klagesager og foretaget en række planlagte
tilsyn med de retshåndhævende myndigheders overholdelse af retshåndhævelsesloven. Temaerne for
tilsynene har været de registreredes rettigheder og persondatasikkerhed.
Årsberetning 2018
56
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Klage - Rigsadvokatens videregivelse af tredjemand
Datatilsynet behandlede i 2018 en klagesag om Rigsadvokatens videregivelse af helbredsoplysninger
til de forurettede i en sag, hvor anklagemyndigheden havde truffet afgørelse om påtaleopgivelse og
tiltalefrafald
Klager var tiltalt i sagen, hvor Rigsadvokaten havde truffet afgørelse om tiltalefrafald og påtaleopgi-
velse under henvisning til, at der forelå særlig formildende omstændigheder, og at videre forfølgning
i øvrigt ikke kunne ventes at føre til, at sigtede fandtes skyldig. Videregivelse af oplysninger om klager
skete i forbindelse med underretning efter retsplejelovens § 724, stk. 1, af sagens forurettede.
Rigsadvokaten havde i brevet til de forurettede oplyst, at der ved afgørelsen om tiltalefrafald var lagt
vægt på oplysninger om klagers helbred. I den forbindelse beskrev Rigsadvokaten i detaljer klagers
fysiske og psykiske helbredsforhold.
Datatilsynet fandt, at videregivelsen var sket som led i Rigsadvokatens afgørelse i en straffesag, og til-
synet behandlede derfor klagesagen efter reglerne i retshåndhævelsesloven.
Efter retshåndhævelseslovens § 10 må oplysninger om helbredsforhold ikke behandles, medmindre
det er strengt nødvendigt. Oplysninger, som behandles, skal endvidere være relevante og tilstrække-
lige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne
indsamles og de formål, hvortil oplysningerne senere behandles, jf. lovens § 4, stk. 3.
Datatilsynet fandt, at retsplejelovens regler om underretning af sagens forurettede kunne være op-
fyldt uden at videregive oplysninger om klagers helbredsforhold. Tilsynet fandt således, at det ikke var
strengt nødvendigt at videregive oplysningerne til de forurettede i sagen, og at videregivelsen omfat-
tede mere, end hvad der var påkrævet af hensyn til de formål, hvortil oplysningerne var indsamlet og
senere behandlet. Ved vurderingen lagde Datatilsynet vægt på navnlig detaljeringsgraden i beskrivel-
sen af klagers helbredsforhold.
Datatilsynet fandt det herefter kritisabelt, at Rigsadvokaten havde videregivet oplysninger om klagers
helbredsforhold til de forurettede.
På baggrund af klagesagen og ændringen af databeskyttelsesreglerne, udtalte Datatilsynet endvidere,
at Rigsadvokaten burde træffe de fornødne foranstaltninger med henblik på at sikre, at fremtidige un-
derretninger vil ske i overensstemmelse med retshåndhævelsesloven. Datatilsynet anbefalede heref-
ter, at Rigsadvokaten tog initiativ til at ændre en Rigsadvokatmeddelelse om vejledning af forurettede
mv., som senest var blevet revideret den 16. juli 2014, således at den fremover kommer til at indeholde
oplysninger om behandling af personoplysninger efter retshåndhævelsesloven i forbindelse med rets-
plejelovens § 724, stk. 1.
Tilsyn hos Direktoratet for Kriminalforsorgen
I 2018 gennemførte Datatilsynet et planlagt tilsyn hos Direktoratet for Kriminalforsorgen (DfK) med
fokus på de registreredes rettigheder, som findes i afsnit 3 i retshåndhævelsesloven.
Under selve tilsynsbesøget i april blev Datatilsynet bekendt med, at der ikke i Kriminalforsorgen, her-
under i DfK, var taget endelig stilling til fordelingen af dataansvar. På tilsynsbesøget oplyste DfK, at
direktoratet forventede, at konstruktionen for fordelingen af dataansvaret ville være på plads før som-
meren 2018.
Efter anmodning fra Datatilsynet oplyste DfK den 19. oktober 2018, at der fortsat ikke var taget endelig
stilling til fordelingen af dataansvar i Kriminalforsorgen.
Årsberetning 2018
57
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Den 12. december 2018 udtalte Datatilsynet alvorlig kritik af DfK for ikke at have taget endelig stilling til
fordelingen af dataansvar og for ikke i tilstrækkeligt omfang at have levet op til kravene om oplysnings-
pligten og meddelelse af indsigt.
Datatilsynet udtalte bl.a., at tilsynet fandt det yderst bekymrende og langt fra tilfredsstillende, at der
ikke i Kriminalforsorgen på tidspunktet for tilsynsbesøget var taget endelig stilling til fordelingen af da-
taansvar, og at der heller ikke 6 måneder efter tilsynsbesøget var taget endelig stilling hertil på trods af,
at DfK under tilsynsbesøget oplyste, at direktoratet forventede, at fordelingen ville være på plads før
sommeren 2018.
Datatilsynet bemærkede i den forbindelse, at tilsynet kunnet konstatere, at den manglende stillingta-
gen til dataansvaret bl.a. har medført, at Kriminalforsorgen, herunder DfK, ikke har været i stand til at
angive den/de korrekte dataansvarlige(s) identitet(er) i forskellige meddelelser til de registrerede.
Herudover anmodede Datatilsynet DfK om senest den 16. januar 2019 at sende tilsynet en redegørelse
for den endelige fordeling af dataansvar, herunder også fordelingen af dataansvar i hele Kriminalfor-
sorgen. Datatilsynet anmodede endvidere DfK om senest 16. januar 2019 at sende en redegørelse for,
hvilke skridt der er taget, eller vil blive taget, for at sikre, at direktoratet fremadrettet efterlever kravene
til oplysningspligten og meddelelse af indsigt.
I et brev af 19. december 2018 orienterede DfK Datatilsynet om, at Kriminalforsorgens koncernledelse
den 18. december 2018 har truffet beslutning om, at Kriminalforsorgen er dataansvarlig for behandling
af personoplysninger i DfK samt de fire underliggende kriminalforsorgsområder. Herudover har DfK i
senere breve til Datatilsynet redegjort for, hvilke skridt der er taget og vil blive taget for at sikre, at direk-
toratet efterlever kravene til oplysningspligten og meddelelse af indsigt.
Årsberetning 2018
58
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0060.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0061.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0062.png
Bilag 1: Oversigt over lovgivning mv.
Love, bekendtgørelser og vejledninger
Databeskyttelsesforordningen
• Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys-
ninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
Databeskyttelsesloven
• Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys-
ninger (databeskyttelsesloven).
Retshåndhævelsesdirektivet
• Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med hen-
blik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde straf-
feretlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets ram-
meafgørelse 2008/977/RIA.
Retshåndhævelsesloven
• Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger.
Loven er senest ændret ved lov nr. 506 af 23. maj 2018 om ændring af lov om tv-overvågning og lov
om retshåndhævende myndigheders behandling af personoplysninger.
Relevante forarbejder mv.
• Justitsministeriets betænkning nr. 1565 om databeskyttelsesforordningen (2016/679) - og de retlige
rammer for dansk lovgivning.
• Lovforslag nr. L 68 af 25. oktober 2017 om lov om supplerende bestemmelser til forordning om be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger (databeskyttelsesloven).
• Retsudvalgets betænkning af den 9. maj 2018 over Forslag til lov om supplerende bestemmelser til
forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Årsberetning 2018
61
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0063.png
Relevante bekendtgørelser
• Bekendtgørelse nr. 594 af 29. maj 2018 om behandling af personoplysninger i forbindelse med For-
svarets internationale operative virke.
• Bekendtgørelse nr. 881 af 4. juli 2014 om behandling af personoplysninger i Det Centrale Kriminal-
register (Kriminalregisteret).
• Bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse af personoplysninger i forbindelse
med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og
Schengen-samarbejdet.
• Bekendtgørelse nr. 1757 af 27. december 2018 om PNR-enhedens behandling af PNR-oplysninger i
en overgangsperiode.
• Bekendtgørelse nr. 1134 af 13. oktober 2017 om underretning ved udgang og løsladelse mv. samt ved
medvirken i tv- eller radioprogrammer eller portrætinterview.
• Bekendtgørelse nr. 1080 af 20. september 2017 om politiets anvendelse af automatisk nummerpla-
degenkendelse (ANPG).
• Bekendtgørelse nr. 1079 af 20. september 2017 om behandling af personoplysninger i Politiets Efter-
forskningsstøttedatabase (PED).
• Bekendtgørelse nr. 1078 af 20. september 2017 om politiets behandling af oplysninger i forbindelse
med tværgående informationsanalyser.
Årsberetning 2018
62
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Danske vejledninger
• Vejledning af 10. oktober 2017 om databeskyttelsesforordningen (Generel informationspjece)
• Vejledning af 8. november 20187 om samtykke
• Vejledning af 15. november 2017 om dataansvarlige og databehandlere
• Vejledning af 29. september 2017 om databeskyttelsesrådgivere
• Vejledning af 28. september om overførsel af personoplysninger til tredjelande
• Vejledning af 17. januar 2018 om adfærdskodekser og certificeringsordninger.
• Vejledning af 1. februar 2018 om fortegnelse.
• Vejledning af 28. februar 2018 om håndtering af brud på persondatasikkerheden.
• Vejledning af 14. marts 2018 om de registreredes rettigheder.
• Vejledning af 22. marts 2018 om konsekvensanalyse.
• Vejledning af 25. maj 2018 om overførelse af personoplysninger til tredjelande.
• Vejledning af 29. juni 2018 om databeskyttelse gennem design og standardindstillinger.
• Vejledning af 26. november 2018 om databeskyttelse og ansættelsesforhold.
Fælleseuropæiske vejledninger
• Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42
and 43 of the Regulation 2016/679
• Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
• Recommendation on the Standard Application form for Approval of Processor Binding Corporate
Rules for the Transfer of Personal Data (WP265)
• Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules
for the Transfer of Personal Data (WP264)
• Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corpora-
te Rules” for controllers and processors under the GDPR (WP263 rev.01)
• Working Document setting up a table with the elements and principles to be found in Processor
Binding Corporate Rules (WP 257rev.01)
• Working Document setting up a table with the elements and principles to be found in Binding Cor-
porate Rules (WP256rev.01)
• Automated individual decision-making and Profiling for the purposes of Regulation 2016/679
(wp251rev.01)
• Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)
• Working document on Adequacy Referential (wp254rev.01)
• Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
• Guidelines on Consent under Regulation 2016/679 (wp259rev.01)
• Guidelines on transparency under Regulation 2016/679 (WP260rev.01)
Den nævnte lovgivning og bekendtgørelser findes på Retsinformations hjemmeside. Reglerne er end-
videre tilgængelige via Datatilsynets hjemmeside under ”Lovgivning”, hvor også alle de nævnte vejled-
ninger (danske og fælleseuropæiske) er offentliggjort under ”Vejledninger og skabeloner”.
Årsberetning 2018
63
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0065.png
Bilag 2: Persondataloven
Statistiske oplysninger om persondataloven
Indtil den 25. maj 2018, hvorefter databeskyttelsesforordningen og databeskyttelsesloven finder an-
vendelse, gjaldt lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven)
med senere ændringer. Der var endvidere med baggrund i loven udstedt en række bekendtgørelser,
ligesom der var udarbejdet enkelte vejledninger mv.
Datatilsynet har derfor i 2018 behandlet en række sager efter denne tidligere lovgivning. Der blev i
perioden 1. januar 2018 til 24. maj 2018 oprettet 3449 sager. Til sammenligning blev der i hele 2017 op-
rettet 5024 sager.
Nedenfor følger et par eksempler på sager, som Datatilsynet behandlede i denne periode.
Årsberetning 2018
64
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Lov om ændring af tv-overvågningsloven
I januar 2018 anmodede Justitsministeriet om Datatilsynets eventuelle bemærkninger til udkast til lov
om ændring af tv-overvågningsloven mv. Lovforslaget havde bl.a. til formål at efterkomme et ønske fra
regeringen om, at erhvervsdrivende virksomheder – som noget nyt – skulle have mulighed for at advare
hinanden om f.eks. omrejsende kriminelle ved bl.a. at videregive billeder af gerningspersoner optaget
med tv-overvågning.
Efter at sagen havde været forelagt for det daværende Dataråd, udtalte Datatilsynet, at selv om tilsynet
fuldt ud anerkender regeringens ønske om, at erhvervsdrivende effektivt skal kunne beskytte sig selv,
sine ansatte og værdier mod kriminelles aktiviteter, fandt tilsynet, at lovforslaget indeholdt en række
databeskyttelses-retlige udfordringer og uklarheder.
Datatilsynet udtalte i den forbindelse bl.a., at det er tilsynets opfattelse, at der skal stilles strenge krav
til videregivelse – mellem private erhvervsdrivende – af oplysninger om strafbare forhold i form af bil-
leder, som er optaget i kriminalitetsforebyggende øjemed. Datatilsynet bemærkede i den forbindelse,
at en udvidelse af private erhvervsdrivendes mulighed for at videregive tv-overvågningsbilleder bør
være nøje afbalanceret i forhold til hensynet til den registrerede – dvs. personen på billedet. Efter Da-
tatilsynets opfattelse vil det være særdeles belastende og indgribende, hvis der ved en fejl videregives
tv-overvågningsbilleder af en person, der viser sig ikke at være gerningspersonen.
Med lovforslaget havde Justitsministeriet bl.a. lagt op til, at der kunne videregives tv-overvågningsbil-
leder af formodede gerningspersoner.
Hertil udtalte Datatilsynet, at det efter tilsynets opfattelse er tvivlsomt, om videregivelse af tv-overvåg-
ningsbilleder mellem erhvervsdrivende af formodede gerningspersoner vil være i overensstemmelse
med databeskyttelsesforordningens artikel 5, stk. 1, litra c, om dataminimering. Datatilsynet opfordrede
på den baggrund Justitsministeriet til at ændre lovforslaget med henblik på at stille strengere krav til,
hvilke personer der må videregives tv-overvågningsbilleder af. Det var endvidere tilsynets opfattelse, at
der skal være en betydelig grad af sikkerhed for, at personen, på de tv-overvågningsbilleder, der ønskes
videregivet, rent faktisk er gerningspersonen.
Med lovforslaget havde Justitsministeriet endvidere lagt op til, at der flere steder skulle foretages en
række subjektive vurderinger, før der kunne ske videregivelse. Datatilsynet opfordrede i den forbin-
delse Justitsministeriet til at ændre de foreslåede betingelser for videregivelse, således at disse i videst
muligt omfang bliver baseret på objektive krav. Som alternativ opfordrede Datatilsynet Justitsministe-
riet til i meget videre omfang end tilfældet at præcisere i forarbejderne til lovforslaget, hvornår de sub-
jektive krav kan antages at være opfyldt.
Lovforslaget stillede endvidere krav om, at der alene kan ske videregivelse af tv-overvågningsbilleder
til andre erhvervsdrivende i kriminalitetsforebyggende øjemed, hvis videregivelsen sker i et lukket sy-
stem inden for en erhvervsorganisation, erhvervssammenslutning eller lignende, hvor vurderingen af,
om billedet kan videregives i systemet, foretages af en eller flere kvalificerede fagpersoner, og hvor det
sikres, at billedet kun kan tilgås af et begrænset antal autoriserede personer hos de relevante erhvervs-
drivende og den systemansvarlige.
Af bemærkninger til lovforslaget fremgik, at det forhold, at organisationen mv. skal være ansvarlig for
selve systemet, ikke samtidig betyder, at organisationen er dataansvarlig for videregivelsen af billeder-
ne, og at videregivelsen af billederne vil kunne foretages af organisationen mv. på vegne af den er-
hvervsdrivende, dvs. som databehandler.
Datatilsynet udtalte, at tilsynet finder det problematisk, at de erhvervsdrivende skal være dataansvarli-
ge for de enkelte videregivelser af tv-overvågningsbilleder, når det ikke er de erhvervsdrivende selv, der
er kompetente til at vurdere, om betingelserne for videregivelse er opfyldt mv.
Årsberetning 2018
65
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Datatilsynet bemærkede endvidere, at det sædvanligvis er den dataansvarlige der afgør, til hvilke for-
mål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Herudover gjorde
Datatilsynet opmærksom på, at efter databeskyttelsesforordningens artikel 29 må en databehandler
kun behandle personoplysninger efter instruks fra den dataansvarlige, medmindre det kræves i hen-
hold til EU-retten eller medlemsstaternes nationale ret. Datatilsynet udtalte, at med den foreslåede
ordning må der derfor stilles spørgsmålstegn ved, om databehandleren (organisationen) alene handler
efter instruks fra de dataansvarlige (de erhvervsdrivende). Datatilsynet bemærkede herefter, at Justits-
ministeriet umiddelbart havde valgt at fravige udgangspunktet om, at instruksen skal komme fra de
dataansvarlige, uden at der i lovforslagets almindelige eller specielle bemærkninger var redegjort nær-
mere for Justitsministeriets overvejelser i den forbindelse.
Endelig havde Datatilsynet forskellige bemærkninger til lovforslagets bestemmelse om, at der skul-
le indhentes tilladelse fra tilsynet til systemet, forinden der kunne iværksættes en videregivelse af
tv-overvågningsbilleder i systemet.
Klage over SKATs behandling af personoplysninger
Datatilsynet behandlede i 2018 en klagesag om SKATs behandling af oplysninger, som SKAT havde
modtaget fra Statsadvokaten for Særlig Økonomisk og International Kriminalitet (SØIK).
Klager i sagen havde i en årrække været under efterforskning af SØIK for skattesvig på baggrund af
en anmeldelse indgivet af SKAT. Som led i efterforskningen blev klagers telefon aflyttet, og en række
dokumenter blev beslaglagt.
De oplysninger, der var blevet tilvejebragt ved efterforskningen, blev videregivet til SKAT. SØIK opgav
efterfølgende påtale, mens SKAT fortsatte behandlingen af sagen mod klager og anvendte de oplys-
ninger, der var indhentet af SØIK i forbindelse med efterforskningen i straffesagen.
Både byretten og landsretten fastslog, at visse af de oplysninger, der var videregivet til SKAT, var ind-
hentet i strid med retsplejelovens regler.
Efter at sagen var blevet forelagt for Datarådet, traf Datatilsynet den 17. maj 2018 afgørelse i sagen.
Datatilsynet fandt, at de oplysninger, der var indhentet i strid med retsplejelovens regler, og som fortsat
indgik i SKATs behandling af klagers skattesag, blev behandlet i strid med persondataloven, og at op-
lysningerne derfor skulle slettes.
Datatilsynet har vurderet, at afgørelsen ville være den samme, hvis den var truffet efter de gældende
regler i databeskyttelsesforordningen.
Årsberetning 2018
66
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0068.png
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
Årsberetning
© 2018 Datatilsynet
Eftertryk med kildeangivelse er tilladt
Udgivet af:
Datatilsynet
Borgergade 28, 5.
1300 København K
T 33 19 32 00
[email protected]
datatilsynet.dk
Foto: Datatilsynet
ISBN nr. 978-87-999222-3-9
 REU, Alm.del - 2018-19 (2. samling) - Bilag 17: Datatilsynets årsberetning 2018
2062637_0070.png
Datatilsynet
Borgergade 28, 5.
1300 København K
T 33 19 32 00
[email protected]
datatilsynet.dk