Retsudvalget 2019-20
REU Alm.del
Offentligt
2270173_0001.png
Folketinget Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
29. oktober 2020
Databeskyttelseskontoret
Mikkel Reenberg
2020-0030-4832
1654373
Slotshmgade1026Købnv.TF
w.justimnerdk
[email protected]
+4572680391
Hermed sendes besvarelse af spørgsmål nr. 1884 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 2. oktober 2020. Spørgs-
målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva Kjer Han-
sen (V).
Nick Hækkerup
/
Mie Vinkel Sørensen
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1886: MFU spm. om det vil være tilladt for fjernvarmeselskaber, jf. persondataforordningen, at varsle en udlejer via almindelig mail, at der vil blive lukket for vandet/varmen i dennes ejendom, til justitsministeren
Spørgsmål nr. 1884 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren oplyse, om fjernvarmeselskaber, jf. persondata-
forordningen må indhente en forbrugers underskrift på en af-
dragsordning på mail, hvis mail er den eneste mulighed for at
returnere den underskrevne afdragsordning?”
Svar:
1.
Når fjernvarmeselskaber indhenter en forbrugers underskrift på en af-
dragsordning, sker der en behandling af personoplysninger, hvilket betyder,
at de databeskyttelsesretlige regler skal iagttages.
Det indebærer bl.a., at personoplysninger, der sendes via mail, skal håndte-
res på en tilstrækkelig sikker måde. Som det fremgår af Datatilsynets udta-
lelse nedenfor, vil fjernvarmeselskaber ofte kunne sende oplysninger til for-
brugere eller udlejere via almindelig e-mail. Dette forudsætter blot, at man
undlader at skrive oplysninger af fortrolig eller følsom karakter i beskeden.
Som det ligeledes fremgår af Datatilsynets udtalelse nedenfor, vil oplysnin-
ger i form af afdragsordninger eller oplysninger om, at der bliver lukket for
vandet eller varmen, efter tilsynets opfattelse som udgangspunkt ikke i sig
selv have en fortrolig eller følsom karakter, og det vil således ikke være
nødvendigt at kryptere.
2.
Justitsministeriet har som nævnt til brug for besvarelsen indhentet en ud-
talelse fra Datatilsynet, der har oplyst følgende:
”1.
Som Datatilsynet forstår spørgsmålene nr. 1884, 1885 og
1886, vedrører de alle spørgsmålet om, hvorvidt der i de be-
skrevne tilfælde skal ske kryptering af e-mail-korrespondance.
Datatilsynet kan i den forbindelse oplyse, at det følger af data-
beskyttelsesforordningens artikel 32, at der skal indføres pas-
sende tekniske og organisatoriske foranstaltninger for at sikre
fysiske personers rettigheder og frihedsrettigheder.
Forsendelse af e-mails sker som udgangspunkt på en måde, hvor
det potentielt er muligt for uvedkommende at overvåge, op-
snappe, læse, kopiere eller ændre de transmitterede oplysninger,
og det er Datatilsynets vurdering, at risikoen for, at dette kan
ske, er relativ høj. På den baggrund er det tilsynets opfattelse, at
det normalt vil være en passende sikkerhedsforanstaltning
for
både offentlige og private aktører
at anvende kryptering ved
2
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1886: MFU spm. om det vil være tilladt for fjernvarmeselskaber, jf. persondataforordningen, at varsle en udlejer via almindelig mail, at der vil blive lukket for vandet/varmen i dennes ejendom, til justitsministeren
transmission af fortrolige og følsomme personoplysninger med
e-mail via internettet.
Datatilsynet har på tilsynets hjemmeside offentliggjort vejle-
dende tekster om brugen af e-mail til transmission af fortrolige
og følsomme personoplysninger. Tilsynet skal i den forbindelse
bemærke, at der bl.a. anvendes kryptering, når beskeder sendes
til borgernes e-Boks. Herudover skal tilsynet bemærke, at langt
de fleste e-mailmodtagere i Danmark kan modtage krypteret
mail også på deres private e-mail, hvis den dataansvarlige ved
afsendelsen påser dette, f.eks. ved såkaldt forceret TLS 1.2
kryptering.
2. Datatilsynet skal generelt bemærke, at det er tilsynets opfat-
telse, at fjernvarmeselskaber ofte vil kunne sende oplysninger
til forbrugere eller udlejere via almindelig ukrypteret e-mail,
forudsat at fjernvarmeselskabet har fokus på at undlade oplys-
ninger af fortrolig eller følsom karakter i beskeden.
En sådan praksis vil også være i overensstemmelse med den da-
taansvarliges pligt til at overholde bl.a. det grundlæggende prin-
cip i databeskyttelsesforordningens artikel 5, stk. 1, litra c, om,
at personoplysninger skal være tilstrækkelige, relevante og be-
grænset til, hvad der er nødvendigt i forhold til de formål, hvortil
de behandles (”dataminimering”).
3. I forhold til spørgsmålet om, hvorvidt fjernvarmeselskaber
må sende opgørelser med gebyr og lignende som almindelig
ukrypteret e-mail til beboere og udlejere (spørgsmål nr. 1885),
er det Datatilsynet vurdering, at sådanne beskeder som udgangs-
punkt kan sendes ukrypteret. Hvis der ud fra opgørelsen kan ud-
ledes oplysninger om den pågældende beboers eller udlejers
gældsforhold eller andre forhold, som kan indikere væsentlige
økonomiske udfordringer hos beboeren eller udlejeren, vil e-
mailen efter tilsynets opfattelse dog skulle sendes via en krypte-
ret forbindelse.
For så vidt angår fremsendelse af e-mails til udlejere om, at der
lukkes for vandet/varmen i en bestemt ejendom (spørgsmål nr.
1886), er det Datatilsynets opfattelse, at denne information ikke
i sig selv indikerer væsentlige økonomiske udfordringer hos ud-
lejeren. I det omfang e-mailen ikke indeholder oplysninger om,
at vandet/varmen lukkes på baggrund af eksempelvis ubetalte
regninger hos udlejeren, og som kan afsløre væsentlige økono-
miske udfordringer hos udlejeren, er det således Datatilsynets
opfattelse, at fjernvarmeselskaber kan varsle for lukningen af
vandet/varmen uden brug af kryptering.
Det bemærkes, at hvor spørgsmålene nr. 1885 og 1886 vedrører
fjernevarmeselskabers forsendelse af beskeder til andre, vedrø-
rer spørgsmål nr. 1884 situationer, hvor fjernevarmeselskaber
3
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1886: MFU spm. om det vil være tilladt for fjernvarmeselskaber, jf. persondataforordningen, at varsle en udlejer via almindelig mail, at der vil blive lukket for vandet/varmen i dennes ejendom, til justitsministeren
indsamler oplysningerne fra forbrugere. Datatilsynet kan i til-
knytning hertil oplyse, at fjernvarmeselskaber
som dataan-
svarlige
også ved indsamlingen af oplysninger skal sørge for
at etablere passende sikkerhed for forbrugerens forsendelse af
oplysninger til fjernvarmeselskabet.
Det er i den forbindelse Datatilsynets opfattelse, at afdragsord-
ninger som udgangspunkt ikke har en sådan fortrolig eller føl-
som karakter, at det er nødvendigt at anvende kryptering ved
transmission af oplysningerne. Hvis det i konkrete tilfælde er
muligt at udlede oplysninger af fortrolig eller følsom karakter,
skal fjernvarmeselskabet dog være opmærksom på, at de skal
tilbyde forbrugerne en løsning, hvor de kan sende f.eks. den un-
derskrevne afdragsordning via en krypteret forbindelse eller
som almindelig fysisk post.”
4