Retsudvalget 2018-19 (2. samling)
REU Alm.del
Offentligt
2131743_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
6. december 2019
Databeskyttelseskontoret
Mikkel Reenberg
2019-0030-3021
1296705
Hermed sendes besvarelse af spørgsmål nr. 253 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 11. november 2019.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva
Kjer Hansen (V).
Nick Hækkerup
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (2. samling) - Supplerende svar på spørgsmål 149: MFU spm. om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), til justitsministeren
Spørgsmål nr. 253 (Alm. del) fra Folketingets Retsudvalg:
ministeren bekræfte, at daginstitutionen Idrætsbørnehuset
på Frederiksberg pga. persondataforordningen skal gennemgå
6000 billeder og 335 videoer for at identificere et barn og sløre
alle andre genkendelige børn, der optræder sammen med det ene
barn, hvis forældre har fået aktindsigt i alt billed- og videoma-
teriale, som institutionen ligger inde med? Der henvises til ar-
tiklen ”Forældre kræver billedmateriale fjernet fra daginstitu-
tion. Må nu se 6000 billeder igennem Tv2Lorry.dk”, den 3. sep-
tember 2019.”
Svar:
1.
Der er stort fokus på databeskyttelsesreglerne i disse år. Det er naturligt,
fordi det er vigtigt, hvordan vi beskytter personoplysninger, særligt set i ly-
set af den aktuelle teknologiske udvikling.
Det er centralt, at databeskyttelsesreglerne ikke bliver for svære at håndtere
i praksis, og at der ikke skal bruges uforholdsmæssigt mange ressourcer på
dem. Jeg har forståelse for de problemer, som reglerne skaber, og jeg aner-
kender, at databeskyttelsesreglerne efter min opfattelse ikke altid leder til
helt hensigtsmæssige resultater.
2.
Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind-
hentet en udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet bemærker, at registerlovene fandt anvendelse fra
den 1. januar 1979, og indtil lovene den 1. juli 2000 blev ophæ-
vet og erstattet af persondataloven, som fandt anvendelse indtil
den 25. maj 2018. Persondataloven blev erstattet af databeskyt-
telsesforordningen og databeskyttelsesloven, som i vidt omfang
svarer til den tidligere gældende retstilstand.
En af ændringerne i forhold til den tidligere retstilstand er imid-
lertid muligheden for at pålægge væsentligt større bøder end tid-
ligere for overtrædelse af databeskyttelsesreglerne. Dette har
bl.a. bevirket, at der er skabt en større bevidsthed omkring be-
tydningen af beskyttelse af personoplysninger, hvilket samtidig
synes at have skabt en udpræget bekymring hos dataansvarlige
og databehandlere for konsekvenserne af en eventuel mang-
lende overholdelse af reglerne.
Datatilsynet bemærker i den forbindelse, at databeskyttelsesreg-
lerne i vidt omfang består af generelle retlige standarder, som i
2
Kan
REU, Alm.del - 2018-19 (2. samling) - Supplerende svar på spørgsmål 149: MFU spm. om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), til justitsministeren
praksis forudsætter, at de dataansvarlige skal foretage en kon-
kret vurdering. Reglerne er med andre ord karakteriseret ved en
høj grad af fleksibilitet, således at reglerne kan tilpasses mange
forskellige behandlingssituationer. I kombination med oven-
nævnte bekymring for konsekvenserne af en eventuel mang-
lende overholdelse af reglerne kan dette i visse tilfælde medføre
en overdreven forsigtighed i forhold til anvendelsen af databe-
skyttelsesreglerne.
I forlængelse heraf kan Datatilsynet oplyse, at tilsynet arbejder
for at fremme dataansvarliges og databehandleres kendskab til
deres forpligtelser. Dette sker bl.a. gennem Datatilsynets gene-
relle oplysningsvirksomhed i form af offentliggørelse af afgø-
relser og vejledninger på tilsynets hjemmeside og de mange te-
lefoniske og skriftlige forespørgsler om reglerne, som tilsynet
hver dag besvarer, ligesom tilsynet holder mange møder med
bl.a. interesse- og brancheorganisationer, men også enkeltstå-
ende dataansvarlige og databehandlere, hvis der måtte være et
særligt behov herfor.
I forbindelse med Datatilsynets rådgivningsarbejde opfordrer
tilsynet ofte dataansvarlige og databehandlere til at anvende reg-
lernes fleksibilitet med henblik på at opnå brugbare og afbalan-
cerede løsninger, hvor både hensynet til beskyttelsen af perso-
noplysninger og andre saglige hensyn, som forfølges med en be-
handling af personoplysninger, tilgodeses. Samtidig opfordrer
Datatilsynet til, at dataansvarlige og databehandlere i sådanne
tilfælde dokumenterer de overvejelser, der har ført til en konkret
løsning, således at der kan gøres rede for denne i forbindelse
med behandlingen af en eventuel klage- eller tilsynssag hos Da-
tatilsynet. Endelig kan det oplyses, at eventuelle uklarheder om
fortolkningen af databeskyttelsesreglerne vil kunne indgå ved
Datatilsynets valg af sanktioner i konkrete sager.
Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at
ved personoplysninger forstås enhver form for information om
en identificeret eller identificerbar fysisk person (den registre-
rede). Ved identificerbar fysisk person forstås en fysisk person,
der direkte eller indirekte kan identificeres, navnlig ved en iden-
tifikator som f.eks. et navn, et identifikationsnummer, lokalise-
ringsdata, en onlineidentifikator eller et eller flere elementer, der
er særlige for denne fysiske persons fysiske, fysiologiske, gene-
tiske, psykiske, økonomiske, kulturelle eller sociale identitet.
Billeder, hvori der indgår genkendelige personer, betragtes som
en personoplysning. Det gælder, uanset om billedet er ledsaget
af en tekst, der identificerer den pågældende. Et billede med
genkendelige/identificerbare personer udgør således oplysnin-
ger om disse personer.
3
REU, Alm.del - 2018-19 (2. samling) - Supplerende svar på spørgsmål 149: MFU spm. om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), til justitsministeren
Når man som dataansvarlig behandler personoplysninger, følger
der et ansvar med. Som privat virksomhed, offentlig myndig-
hed, institution m.v. skal man derfor være opmærksom på, at de
personer, der behandles oplysninger om (de registrerede), har en
række rettigheder i databeskyttelsesforordningens kapitel 3. En
af de rettigheder, man som registreret har, er retten til indsigt.
Det følger således af databeskyttelsesforordningens artikel 15,
stk. 1, at den registrerede har ret til at få den dataansvarliges be-
kræftelse på, om personoplysninger vedrørende den pågældende
behandles, og i givet fald adgang til personoplysningerne og
yderligere information omkring behandlingen.
Herudover følger det af databeskyttelsesforordningens 15, stk.
3, at den dataansvarlige skal udlevere en kopi af de personop-
lysninger, der behandles.
En anmodning om indsigt fra en registreret kan alene afslås i et
begrænset antal tilfælde.
I et tilfælde, som det, der spørges til i dette spørgsmål, vil den
dataansvarlige som altovervejende hovedregel være forpligtet
til at imødekomme den registreredes anmodning om indsigt,
herunder i eventuelle billeder som den dataansvarlige behand-
ler, hvor den registrerede fremgår.
Den registrerede har alene ret til at modtage en kopi af de per-
sonoplysninger, som den dataansvarlige behandler om den på-
gældende. Den dataansvarlige er derfor forpligtet til at
fjerne/sløre oplysninger om andre personer end den registrerede,
idet den dataansvarlige i modsat fald risikerer uberettiget at vi-
deregive oplysninger om disse andre personer.
Det bemærkes, at det følger af databeskyttelsesforordningens ar-
tikel 5, stk. 1, litra c, at personoplysninger skal være tilstrække-
lige, relevante og begrænset til, hvad der er nødvendigt i forhold
til de formål, hvortil de behandles (»dataminimering«).
Endvidere følger det af databeskyttelsesforordningens artikel 5,
stk. 1, litra e, at personoplysninger skal opbevares på en sådan
måde, at det ikke er muligt at identificere de registrerede i et
længere tidsrum end det, der er nødvendigt til de formål, hvortil
de pågældende personoplysninger behandles (»opbevaringsbe-
grænsning«).
Den dataansvarlige skal derfor (løbende) overveje, hvilke oplys-
ninger der er nødvendige at behandle og hvor længe oplysnin-
ger skal behandles. Dette princip for behandling af personoplys-
ninger vil også have betydning i forhold til den dataansvarliges
forpligtelse til at meddele indsigt efter databeskyttelsesforord-
ningens artikel 15. Det skyldes, at den dataansvarlige alene er
4
REU, Alm.del - 2018-19 (2. samling) - Supplerende svar på spørgsmål 149: MFU spm. om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), til justitsministeren
forpligtet til at udlevere en kopi af de personoplysninger, som
den dataansvarlige behandler på tidspunktet for den registrere-
des indsigtsanmodning og oplysninger tilvejebragt frem til be-
svarelsen af anmodningen. Bestemmelsen indebærer imidlertid
ikke, at den dataansvarlige skal tilvejebringe (nye) oplysninger,
som den dataansvarlige ikke i forvejen er i besiddelse af, eller
som den dataansvarlige tidligere har slettet.
Datatilsynet kan afslutningsvis oplyse til orientering, at der på-
går en dialog mellem tilsynet og Landsorganisationen Danske
Daginstitutioner (LDD) med henblik på at vejlede om nogle af
de problemstillinger, som også er rejst i dette spørgsmål.”
5