Retsudvalget 2019-20
REU Alm.del
Offentligt
2127431_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
18. december 2019
Databeskyttelseskontoret
Mikkel Reenberg
2019-0030-3261
1329150
Hermed sendes besvarelse af spørgsmål nr. 461 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 4. december 2019.
Spørgsmålet er stillet af ikkemedlem af udvalget (MFU) Christoffer Aa-
gaard Melson (V) og ikkemedlem af udvalget (MFU) Eva Kjer Hansen (V).
Nick Hækkerup
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 463: MFU spm. om der er noget til hinder for, at man i lovgivningen fastsætter, hvilke roller en leverandør persondataretligt indtager, når der leveres til det offentlige, til justitsministeren
Spørgsmål nr. 461 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren tage initiativ til at skabe klarhed i lovgivningen
om, hvornår en virksomhed er enten databehandler eller data-
ansvarlig?”
Svar:
Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fra Da-
tatilsynet, der har oplyst følgende, som ministeriet kan tilslutte sig:
”Det fremgår af databeskyttelsesforordningens artikel 4, nr. 7,
at ved dataansvarlig forstås en fysisk eller juridisk person, en of-
fentlig myndighed, en institution eller et andet organ, der alene
eller sammen med andre afgør, til hvilke formål og med hvilke
hjælpemidler der må foretages behandling af personoplysnin-
ger; hvis formålene og hjælpemidlerne til en sådan behandling
er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan
den dataansvarlige eller de specifikke kriterier for udpegelse af
denne fastsættes i EU-retten eller medlemsstaternes nationale
ret.
Det følger af databeskyttelsesforordningens artikel 4, nr. 8, at
ved databehandler forstås en fysisk eller juridisk person, en of-
fentlig myndighed, en institution eller et andet organ, der be-
handler personoplysninger på den dataansvarliges vegne.
Det vil imidlertid efter Datatilsynets opfattelse være vanskeligt
– udover hvad der allerede følger af definitionerne i databeskyt-
telsesforordningens artikel 4, nr. 7 og nr. 8 – i lovgivning nær-
mere at beskrive, hvornår en virksomhed er enten databehand-
ler eller dataansvarlig, idet dette vil bero på en samlet vurdering
af parternes forhold, herunder hvad parterne har aftalt og den af-
talte ydelse.
Som en hjælp til private virksomheder, offentlige myndigheder,
fysiske personer, institutioner og andre organer, som skal vur-
dere, om de handler som dataansvarlig eller databehandler, har
Datatilsynet og Justitsministeriet i samarbejde udarbejdet en
vejledning om dataansvarlige og databehandlere, der er offent-
liggjort på tilsynets hjemmeside. I vejledningen beskrives og
forklares begreberne ”dataansvarlig” og ”databehandler”, lige-
som man kan finde en liste over udsagn, som man kan lægge
vægt på ved vurderingen af, om man er dataansvarlig eller data-
behandler, og en række konkrete eksempler på sådanne vurde-
ringer.”
2