Retsudvalget 2019-20
REU Alm.del
Offentligt
2200146_0001.png
Folketinget Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
28. maj 2020
Databeskyttelseskontoret
Mikkel Reenberg
2020-0030-4132
1480383
Hermed sendes besvarelse af spørgsmål nr. 1265 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 4. maj 2020. Spørgsmålet
er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva Kjer Hansen
(V).
Nick Hækkerup
/
Mie Vinkel Sørensen
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1268: MFU spm. om, at kommuner og offentlige myndigheder kan slippe billigere end virksomheder, selvom der reelt er tale om samme type af databrud, til justitsministeren
Spørgsmål nr. 1265 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren kommentere artiklen "Kommuner får særbe-
handling, når de bryder databeskyttelsesloven" bragt på
DKNYT.dk den 30. april 2020?”
Svar:
Det fremgår af straffelovens § 27, stk. 2, at statslige myndigheder og kom-
muner alene kan straffes i anledning af overtrædelser, der begås ved udø-
velse af virksomhed, der svarer til eller kan sidestilles med virksomhed udø-
vet af private.
Straffelovens § 27, stk. 2, er dog fraveget i databeskyttelsesloven, jf. lovens
§ 41, stk. 6, 2. pkt. Således fremgår det af denne bestemmelse, at offentlige
myndigheder og institutioner mv., som er omfattet af forvaltningslovens §
1, stk. 1 eller 2, uanset straffelovens § 27, stk. 2, kan straffes i anledning af
overtrædelser, der begås ved udøvelse af virksomhed, der ikke svarer til eller
kan sidestilles med virksomhed udøvet af private.
Råderummet i databeskyttelsesforordningens artikel 83, stk. 7, hvorefter
medlemsstaterne kan bestemme, ”i hvilket omfang” offentlige myndigheder
kan pålægges bøder, anvendes med databeskyttelsesloven til forudsætnings-
vis at angive lavere bødelofter for offentlige myndigheders overtrædelser
end dem, der fremgår af forordningens artikel 83, stk. 4-6. Der henvises i
øvrigt til Datatilsynets redegørelse nedenfor.
Justitsministeriet kan endvidere henvise til afsnit 2.8.3.8 og 2.8.3.10 i de
almindelige bemærkninger til lovforslag nr. L 68 (databeskyttelsesloven)
samt de specielle bemærkninger til § 41.
Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind-
hentet en udtalelse fra Datatilsynet, som har oplyst følgende:
”Hvis der sker en overtrædelse af databeskyttelsesreglerne, har
Datatilsynet en række reaktionsmuligheder, som følger af data-
beskyttelsesforordningens artikel 58, stk. 2.
Overtrædelse af databeskyttelsesreglerne kan efter omstændig-
hederne sanktioneres ved bl.a. at udtale kritik og/eller meddele
den dataansvarlige påbud eller forbud i forhold til en given
handling eller undladelse. Efter omstændighederne kan det også
komme på tale at sanktionere overtrædelsen med en bøde. De
forskellige sanktioner kan enten anvendes alene eller kombine-
2
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1268: MFU spm. om, at kommuner og offentlige myndigheder kan slippe billigere end virksomheder, selvom der reelt er tale om samme type af databrud, til justitsministeren
2200146_0003.png
res afhængigt af de konkrete omstændigheder, jf. databeskyttel-
sesforordningens præambelbetragtning nr. 148.
Ved vurderingen af en passende sanktion indgår i henhold til
databeskyttelsesforordningens artikel 83, stk. 2:
Overtrædelsens karakter, alvor og varighed
Om overtrædelsen blev begået forsætligt eller uagtsomt
Eventuelle foranstaltninger, der er truffet af den dataansvar-
lige eller databehandleren for at begrænse den skade, som
den registrerede har lidt
Eventuelle relevante tidligere overtrædelser
Graden af samarbejde med tilsynsmyndigheden
De kategorier af personoplysninger, der er berørt af overtræ-
delsen
Den måde, hvorpå tilsynsmyndigheden fik kendskab til over-
trædelsen
Overholdelse af godkendte adfærdskodekser
Om der er andre skærpende eller formildende faktorer ved
sagens omstændigheder, såsom opnåede økonomiske fordele
eller undgåede tab som direkte eller indirekte følge af over-
trædelsen
Hvad der nærmere skal forstås ved de enkelte kriterier afgøres
som udgangspunkt på baggrund af medlemsstaternes nationale
lovgivning, hvilket i Danmarks tilfælde primært vil sige straffe-
lovens §§ 81 og 82.
Det Europæiske Databeskyttelsesråd har dog også udarbejdet
retningslinjer for, hvordan kriterierne skal fortolkes, med hen-
blik på at harmonisere fortolkningen mest muligt.
1
Ifølge databeskyttelseslovens § 41, stk. 6, 2. pkt., kan offentlige
myndigheder og institutioner mv. – uanset straffelovens § 27,
stk. 2 – straffes for overtrædelse af databeskyttelsesforordnin-
gen og databeskyttelsesloven i fuldt omfang. Det betyder, at of-
fentlige myndigheder også kan straffes, selv om der ikke er tale
om virksomhed, som kan sidestilles med virksomhed udøvet af
private.
Det fremgår af de almindelige bemærkninger til lovforslaget til
databeskyttelsesloven, at bødelofterne for alle offentlige myn-
digheder, er lavere end dem, der fremgår af forordningens arti-
kel 83, stk. 4-6. Bødelofterne for offentlige myndigheder er her-
efter:
1
Guidelines on the application and setting of administrative files for the purpose of regu-
lation 2016/679, WP 253, adopted on 3 October 2017.
3
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1268: MFU spm. om, at kommuner og offentlige myndigheder kan slippe billigere end virksomheder, selvom der reelt er tale om samme type af databrud, til justitsministeren
- For overtrædelser omfattet af forordningens artikel 83, stk. 4:
2 % af myndighedens driftsbevilling, dog maksimalt 8.000.000
kroner
- For overtrædelser omfattet af forordningens artikel 83, stk. 5
og 6: 4 % af myndighedens driftsbevilling, dog maksimalt
16.000.000 kroner
Det fremgår endvidere af bemærkningerne, at der ved pålæg-
gelse af bøder til offentlige myndigheder skal tages hensyn til,
at de – i modsætning til private aktører – efter lovgivningen er
pålagt at varetage lovbestemte opgaver, og at myndigheder der-
for heller ikke uden videre i alle tilfælde blot kan standse en be-
handling for derved at bringe en eventuel ulovlig tilstand til op-
hør. Der skal endvidere lægges vægt på myndighedernes ram-
mevilkår, som for nogle kan betyde, at de har en bevilling, der
er bundet tæt op på deres lovbundne opgave.
Der kan på den baggrund være en forskel på bødestørrelsen af-
hængig af, om der er tale om en kommunal daginstitution eller
en privat daginstitution, selv om der er tale samme type over-
trædelse.”
Databeskyttelsesloven indeholder således klare forudsætninger om, at der er
særlige forhold, som der skal tages hensyn til, når offentlige myndigheder
idømmes bøder for overtrædelse af databeskyttelsesreglerne.
4