Retsudvalget 2019-20
REU Alm.del
Offentligt
2146928_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
6. februar 2020
Databeskyttelseskontoret
Mikkel Reenberg
2020-0030-3476
1371019
Hermed sendes besvarelse af spørgsmål nr. 716 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 21. januar 2020. Spørgs-
målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Christoffer
Aagaard Melson (V) og ikkemedlem af udvalget (MFU) Eva Kjer Hansen
(V).
Nick Hækkerup
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 726: MFU spm. om, at en beslutning om at lempe databeskyttelsen og sende følsomme eller fortrolige oplysninger via en sms eller en ukrypteret e-mail skal ske efter en konkret vurdering, og at overvejelserne herom skal dokumenteres, til justitsministeren
Spørgsmål nr. 716 (Alm. del) fra Folketingets Retsudvalg:
”Justitsministeren oplyser i svar på REU alm. del – spørgsmål
260, at det er muligt at sende en SMS eller en ukrypteret e-mail
med følsomt eller fortroligt indhold til en socialt udsat person i
henhold til persondataforordningen efter at have foretaget en
konkret afvejning af borgerens interesser og rettigheder – Data-
tilsynet begrunder bl.a. dette med, at databeskyttelsen må vige
for andre mere tungtvejende hensyn, herunder eksempelvis hen-
synet til liv og død - Vil ministeren oplyse, hvad hjemmel vil
være for en sådan afgørelse og uddybe, om det er hver enkelt
medarbejder, som skal foretage denne vurdering og dermed af-
gøre om en SMS eller en ukrypteret e-mail med følsomt eller
fortroligt indhold lovligt kan sendes til den relevante borger?”
Svar:
Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fra Da-
tatilsynet, der har oplyst følgende:
”1. Reglerne om behandlingssikkerhed ved behandling af per-
sonoplysninger følger af databeskyttelsesforordningens artikel
32, hvorefter der skal indføres passende tekniske og organisato-
riske foranstaltninger for at sikre fysiske personers rettigheder
og frihedsrettigheder.
I lighed med al anden EU-lovgivning skal databeskyttelsesfor-
ordningen læses i lyset af bl.a. Den Europæiske Unions charter
om grundlæggende rettigheder. Det fremgår således af præam-
belbetragtning nr. 4 til databeskyttelsesforordningen, at retten til
beskyttelse af personoplysninger ikke er en absolut ret; den skal
ses i sammenhæng med sin funktion i samfundet og afvejes i
forhold til andre grundlæggende rettigheder i overensstemmelse
med proportionalitetsprincippet. Det gælder således bl.a. chart-
rets artikel 2 om ethvert menneskes ret til livet.
Datatilsynets opfattelse af, at krav til databeskyttelse efter en
konkret vurdering i særlige tilfælde må vige for andre mere
tungtvejende hensyn, herunder eksempelvis hensynet til at sikre
liv og helbred, er således et udtryk for, at tilsynet fortolker data-
beskyttelsesforordningens artikel 32 i lyset af de grundlæggende
rettigheder, der er sikret i chartret.
2. Reglerne om behandlingssikkerhed skal iagttages af både da-
taansvarlige og databehandlere.
2
REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 726: MFU spm. om, at en beslutning om at lempe databeskyttelsen og sende følsomme eller fortrolige oplysninger via en sms eller en ukrypteret e-mail skal ske efter en konkret vurdering, og at overvejelserne herom skal dokumenteres, til justitsministeren
Ifølge databeskyttelsesforordningens artikel 4, nr. 7, er den da-
taansvarlige en fysisk eller juridisk person, en offentlig myndig-
hed, en institution eller et andet organ, der alene eller sammen
med andre afgør, til hvilke formål og med hvilke hjælpemidler
der må foretages behandling af personoplysninger. Det vil sige,
at det i langt størstedelen af tilfældene vil være f.eks. en kom-
mune, en privat virksomhed eller en forening som helhed, der er
den dataansvarlige, og ikke en bestemt person i organisationen.
Efter Datatilsynets opfattelse indeholder forordningens artikel
32 en pligt for den dataansvarlige organisation til – alt efter be-
hovet herfor – at indføre politikker, retningslinjer og lignende
for transmission af personoplysninger, herunder på hvilken
måde medarbejderne kan sende oplysninger af fortrolig eller føl-
som karakter til borgerne. Det er i den forbindelse Datatilsynets
anbefaling, at den dataansvarliges politikker, retningslinjer m.v.
er så specifikke som omstændighederne tillader med henblik på
at reducere – og eventuelt eliminere – behovet for, at medarbej-
derne selv skal foretage de fornødne vurderinger.
Ligeledes vil sådanne retningslinjer kunne bidrage til overhol-
delsen af den dataansvarliges forpligtelse om at påvise overhol-
delsen af databeskyttelsesreglerne, herunder at den dataansvar-
lige organisation har foretaget en konkret vurdering af, hvilke
tekniske og organisatoriske foranstaltninger, der er nødvendige
i den specifikke kontekst. Det vil således – når der eksisterer ret-
ningslinjer herom – ikke være nødvendigt at dokumentere over-
vejelserne bag den enkelte fremsendelse af en sms-besked eller
e-mail. Retningslinjerne skal naturligvis revideres, hvis de fak-
tiske omstændigheder inden for eller uden for organisationen
ændrer sig.
Der henvises i øvrigt til Datatilsynets bidrag til spørgsmål nr.
260 (Alm. del) fra Folketingets Retsudvalg, folketingsåret 2019-
20.”
3