Europaudvalget 2020-21
EUU Alm.del Bilag 269
Offentligt
2327380_0001.png
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
29. januar 2021
Databeskyttelseskontoret
Mikkel Reenberg
2020-790-0757
1810702
Delrapport
om
national evaluering af databeskyttelsesreglerne
1. Indledning og baggrund
Justitsministeriet igangsatte i februar 2020 en national evaluering af databe-
skyttelsesreglerne.
Det fremgår af en procesplan for evalueringsarbejdet, som er oversendt til
Folketingets Europaudvalg i april 2020 (EUU Alm. del, bilag 561, 2019-
20), at evalueringsarbejdet foregår i to parallelle spor. Det ene spor indebæ-
rer en erfaringsindsamling. Det andet spor indebærer en række juridiske un-
dersøgelser, som foretages af Justitsministeriet.
Justitsministeriet har den 23. december 2020 fremsendt en revideret proces-
plan til Folketingets Europaudvalg (EUU Alm. del, bilag 205, 2020-21).
Heraf fremgår det, at Justitsministeriet har fundet det hensigtsmæssigt at
udskille en del af evalueringen til særskilt offentliggørelse.
Det drejer sig for det første om den del af evalueringens juridiske spor, der
vedrører spørgsmålet om mulighederne for at indføre en ordning, hvorefter
tilsynsmyndigheden på anmodning kan afgive udtalelse om sin vurdering af
lovligheden af en påtænkt aktivitet, der indebærer en behandling af person-
oplysninger (afsnit 2.1 og 4.1 nedenfor). For det andet drejer det sig drejer
det sig om den del af evalueringens juridiske spor, der vedrører spørgsmålet
om mulighederne for at indføre en påbudsordning, hvorefter tilsynsmyndig-
heden i videre omfang end i dag skal meddele påbud, før der kan indstilles
til bøde for overtrædelse af reglerne, eller før der udstedes et administrativt
Side 1/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
2327380_0002.png
bødeforelæg (afsnit 2.2 og 4.2 nedenfor). For det tredje drejer det sig om
privates muligheder for at videregive personoplysninger til politiet i forbin-
delse med politiets efterforskning af lovovertrædelser (afsnit 5 nedenfor).
2. Sammenfatning
2.1. Forhåndstilkendegivelsesordning
Justitsministeriet har undersøgt mulighederne for at indføre en ordning,
hvorefter tilsynsmyndigheden på anmodning afgiver en udtalelse om sin
vurdering af lovligheden af en påtænkt aktivitet, der indebærer en behand-
ling af personoplysninger
Sammenfattende er det Justitsministeriets vurdering, at det ikke vil være
foreneligt med databeskyttelsesforordningen at indføre en generel ordning,
hvor Datatilsynet skal meddele en bindende udtalelse om lovligheden af en
påtænkt aktivitet, der indebærer en behandling af personoplysninger.
Endvidere er det Justitsministeriets vurdering, at det kan give anledning til
tvivl, om der inden for rammerne af databeskyttelsesforordningen kan ind-
føres national regulering, der formaliserer rammerne for Datatilsynets kon-
krete vejledning, herunder muligheden for at fremkomme med ikke bin-
dende forhåndstilkendegivelser. Under alle omstændigheder er det dog
Justitsministeriets opfattelse, at en sådan yderligere regulering, som i givet
fald vil kunne gennemføres inden for rammerne af databeskyttelsesforord-
ningen, må forventes at have en meget begrænset merværdi i forhold til den
konkrete vejledning, som Datatilsynet allerede udøver. Efter Datatilsynets
opfattelse er det således allerede i dag en del af tilsynets opgaver at yde
konkret vejledning, herunder fremkomme med ikke bindende forhåndstil-
kendegivelser. Datatilsynet har desuden i de senere år brugt og bruger fortsat
betydelige ressourcer på at rådgive og vejlede om databeskyttelsesreglerne.
I efteråret 2020 har Datatilsynet endvidere taget en række organisatoriske
tiltag for at styrke tilsynets vejledningsindsats yderligere, navnlig med fokus
på at give mere konkret vejledning til virksomheder, myndigheder og bor-
gere.
2.2. Påbudsordning
Sammenfattende er det Justitsministeriets vurdering, at der ikke inden for
databeskyttelsesforordningens rammer kan indføres en
generel
ordning,
hvorefter Datatilsynet i alle tilfælde forpligtes til at meddele påbud, før der
kan indstilles til bøde eller udstedes et administrativt bødeforelæg for over-
trædelse af databeskyttelsesreglerne.
Side 2/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Justitsministeriet vurderer således, at indførelse af en generel ordning i na-
tional ret, der indebærer en regulering af Datatilsynets sanktionsvalg, vil
være i strid med databeskyttelsesforordningens krav om, at Datatilsynet skal
udøve sine beføjelser uafhængigt.
Dog vil der efter Justitsministeriets vurdering kunne indføres en påbudsord-
ning for offentlige myndigheder, da databeskyttelsesforordningen specifikt
lader det være op til medlemsstaterne at bestemme, om og i hvilket omfang
offentlige myndigheder skal kunne ifalde bødeansvar for overtrædelse af
reglerne.
3. Databeskyttelsesforordningen
Databeskyttelsesforordningen sætter rammerne for, om det er muligt at ind-
føre en forhåndstilkendegivelsesordning og en påbudsordning for Datatilsy-
net. I Danmark udgør databeskyttelsesloven et supplerende regelsæt til da-
tabeskyttelsesforordningen. Således er databeskyttelsesloven fastsat inden
for forordningens rammer (og det nationale råderum).
Databeskyttelsesforordningen er en EU-forordning, som gælder umiddel-
bart i hver medlemsstat. Forordningen indeholder bl.a. krav om, at der etab-
leres en tilsynsmyndighed, som skal være ansvarlig for at føre et uafhængigt
tilsyn med anvendelsen af forordningen. Efter databeskyttelsesloven er det
Datatilsynet (og Domstolsstolsstyrelsen), der varetager opgaven som uaf-
hængig(e) tilsynsmyndighed(er) efter databeskyttelsesforordningen.
Databeskyttelsesforordningen indeholder bl.a. detaljerede regler om tilsyns-
myndighedens organisering (artikel 51-54), hvilke opgaver tilsynsmyndig-
heden skal varetage (artikel 57), samt hvilke beføjelser tilsynsmyndigheden
har (artikel 58). Det er navnlig indholdet af disse regler, der bestemmer, om
der kan indføres en forhåndstilkendegivelsesordning og en påbudsordning
for Datatilsynet.
3.1. Datatilsynets organisering og uafhængighed
Med databeskyttelsesforordningens artikel 52, stk. 1, slås det fast, at Data-
tilsynet udøver sine opgaver, jf. artikel 57, og sine beføjelser, jf. artikel 58,
i fuld uafhængighed. Bestemmelsens stk. 2 fastslår desuden, at medlemmet
eller medlemmerne af hver tilsynsmyndighed (Datatilsynet) i forbindelse
med udførelsen af deres opgaver og udøvelsen af deres beføjelser efter for-
ordningens artikel 57 og 58 skal være frie for udefrakommende indflydelse,
Side 3/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
det være sig direkte eller indirekte, og at de hverken må søge eller modtage
instrukser fra andre. Af databeskyttelseslovens § 27, stk. 1, 2. pkt., fremgår
ligeledes, at Datatilsynet udøver sine funktioner i fuld uafhængighed.
Kravet om fuld uafhængighed indebærer, at Datatilsynet ikke kan være un-
derlagt instruktion om, hvordan tilsynets opgaver skal varetages, eller hvor-
dan tilsynet skal udøve sine beføjelser. En anden myndighed kan derfor
f.eks. ikke instruere Datatilsynet i, hvordan en konkret sag skal afgøres, her-
under om der alene skal meddeles en advarsel i bestemte sager. Ligeledes
kan en anden myndighed f.eks. ikke instruere Datatilsynet i, hvordan tilsy-
net skal tilrettelægge udførelsen af sine opgaver.
EU-Domstolen har om kravet om fuld uafhængighed i sag C-518/07, Kom-
missionen mod Tyskland, generelt udtalt, at udtrykket ”uafhængighed” nor-
malt betegner en status, som sikrer, at det pågældende organ kan handle helt
frit uden nogen form for instruks og pression. Videre udtaltes det, at udtryk-
ket ”fuld uafhængighed” indebærer en beslutningsbeføjelse for tilsynsmyn-
digheden, der er unddraget enhver ydre påvirkning, hvad enten denne er di-
rekte eller indirekte (præmis 18-19).
Det fremgår desuden af Traktaten om Den Europæiske Unions Funktions-
måde artikel 16, stk. 2, 2. pkt., at regler om beskyttelse af personoplysninger
er underlagt en uafhængig myndigheds kontrol. Kravet om uafhængighed
fremgår ligeledes af EU’s Charter om grundlæggende
rettigheder. Det følger
således af artikel 8, stk. 3, at overholdelsen af reglerne om behandling af
personoplysninger er underlagt en uafhængig myndigheds kontrol.
Det fremgår af databeskyttelsesforordningens artikel 83, stk. 7, at hver med-
lemsstat kan fastsætte regler om, hvorvidt og i hvilket omfang administra-
tive bøder må pålægges offentlige myndigheder mv. Artikel 83, stk. 7, giver
således medlemsstaterne et nationalt råderum. Med hjemmel i denne be-
stemmelse er der i databeskyttelseslovens § 41, stk. 6, 2. pkt., fastsat særlige
regler om bøder til offentlige myndigheder, hvor der bl.a. gælder særlige
bødelofter for disse sager. Forordningen indrømmer således mulighed for,
at der kan fastsættes særlige regler om, hvornår og i hvilket omfang offent-
lige myndigheder kan ifalde bødeansvar for overtrædelse af reglerne. Det
gælder både, når en sådan myndighed mv. udøver virksomhed, der svarer til
eller kan ligestilles med virksomhed udøvet af private, og når myndigheden
mv. udøver offentlig myndighed.
Side 4/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
3.2. Datatilsynets opgaver og beføjelser
De opgaver, som Datatilsynet skal varetage, er beskrevet i databeskyttelses-
forordningen i artikel 57, stk. 1. Ordlyden af artikel 57, stk. 1, indebærer, at
Datatilsynet ikke helt kan undlade at varetage enkelte opgaver, som opreg-
net i bestemmelsen.
Opregningen af opgaver er ikke udtømmende, da det fremgår af artikel 57,
stk. 1,
litra v, at Datatilsynet kan ”udføre
enhver anden opgave i forbindelse
med beskyttelse af personoplysninger”.
Datatilsynets beføjelser er reguleret i databeskyttelsesforordningens artikel
58, stk. 1, 2 og 3. Efter disse bestemmelser kan Datatilsynet f.eks. udstede
advarsler (stk. 2, litra a) eller give påbud (stk. 2, litra c).
Databeskyttelsesforordningens artikel 58, stk. 6, giver mulighed for at be-
stemme, at Datatilsynet har yderligere beføjelser end dem, der er omhandlet
i stk. 1-3. Udøvelsen af eventuelle yderligere beføjelser må dog ikke hindre
en effektiv anvendelse af reglerne i forordningens kapitel 7 (artikel 60-76)
om særligt one-stop-shop-mekanismen og sammenhængsmekanismen.
Det er som nævnt opgaverne efter forordningens artikel 57 samt beføjel-
serne efter artikel 58, som tilsynsmyndigheden skal udøve i fuld uafhængig-
hed i medfør af artikel 52. Det følger desuden af forordningens præambel-
betragtning nr. 129, at tilsynsmyndighederne i hver medlemsstat bør have
samme opgaver og effektive beføjelser for på den måde at sikre et ensartet
tilsyn og en ensartet håndhævelse af databeskyttelsesforordningen i EU.
3.3. Regulering i andre EU-lande
Justitsministeriet har hørt en række EU-lande (Tyskland, Frankrig, Irland,
Sverige og Holland), om de i deres nationale lovgivning har indført en på-
budsordning og/eller en forhåndstilkendegivelsesordning.
Justitsministeriet har modtaget høringssvar fra Tyskland, Irland, Sverige og
Holland, som alle oplyser, at de ikke har national lovgivning om hverken en
påbuds- eller forhåndstilkendegivelsesordning.
Tyskland bemærker i deres høringssvar, at en generel påbudsordning efter
deres opfattelse vil være i strid med databeskyttelsesforordningen, men at
en påbudsordning for offentlige myndigheder formentlig godt kan lade sig
gøre inden for rammerne af forordningen.
Side 5/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
4. Justitsministeriets overvejelser og vurdering
4.1. Forhåndstilkendegivelsesordning
Det er Justitsministeriets vurdering, at en eventuel forhåndstilkendegivel-
sesordning, vil skulle opfylde en række forudsætninger, således at den re-
spekterer de rammer, som følger af databeskyttelsesforordningen. Således
vil kravet om, at hver tilsynsmyndighed (Datatilsynet) udøver sine opgaver,
jf. artikel 57, og sine beføjelser, jf. artikel 58, i fuld uafhængighed utvivl-
somt skulle respekteres fuldt ud. Det bemærkes i den forbindelse også, at
kravet om uafhængighed nødvendigvis må føre til, at det ikke tilkommer
andre end Datatilsynet at tilrettelægge, hvordan en eventuel forhåndstilken-
degivelsesordning vil skulle administreres, samt hvornår den i givet fald vil
skulle udøves.
Derudover må en forhåndstilkendegivelsesordning ikke begrænse Datatil-
synet i udøvelsen af tilsynets øvrige beføjelser efter forordningens artikel
58. En eventuel forhåndstilkendegivelsesordning må endvidere ikke hindre
en effektiv anvendelse af reglerne i forordningens kapitel 7, og en konkret
forhåndstilkendegivelse må således under alle omstændigheder vige i de til-
fælde, hvor der eksempelvis opstår ny praksis fra Det Europæiske Databe-
skyttelsesråd om fortolkningen af databeskyttelsesreglerne, som influerer på
indholdet af forhåndstilkendegivelsen.
Det er efter Justitsministeriets vurdering ikke foreneligt med databeskyttel-
sesforordningen at indføre en generel ordning, hvor Datatilsynet skal med-
dele en
bindende
udtalelse om lovligheden af en påtænkt aktivitet, der inde-
bærer en behandling af personoplysninger.
Justitsministeriet har herefter overvejet, om der inden for rammerne af da-
tabeskyttelsesforordningen kan indføres en ordning, hvorefter Datatilsynet
på anmodning kan meddele en
ikke bindende
udtalelse om lovligheden af en
påtænkt aktivitet, der indebærer en behandling af personoplysninger.
Justitsministeriet har til brug for belysningen af dette spørgsmål indhentet
en udtalelse fra Datatilsynet, der har oplyst følgende:
”Datatilsynet har allerede i dag i medfør af databeskyttelsesfor-
ordningen en række opgaver, som er nærmere oplistet i artikel
57, stk. 1, litra a-v. Tilsynet har blandt andet til opgave:
Side 6/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
At fremme offentlighedens kendskab til og forståelse af ri-
sici, regler, garantier og rettigheder i forbindelse med be-
handling (litra b),
at rådgive det nationale parlament, regeringen og andre in-
stitutioner og organer om lovgivningsmæssige og admini-
strative foranstaltninger til beskyttelse af fysiske personers
rettigheder og frihedsrettigheder i forbindelse med behand-
ling (litra c),
at fremme dataansvarliges og databehandleres kendskab til
deres forpligtelser i henhold til denne forordning (litra d),
at informere registrerede om udøvelse af deres rettigheder i
henhold til forordningen (litra e),
at rådgive om konsekvensanalyser (litra l), og
at udføre enhver anden opgave i forbindelse med beskyttel-
ses af personoplysninger (litra v).
Datatilsynet fortolker disse bestemmelser således, at tilsynet i
medfør af forordningen har til opgave bl.a. at yde konkret vej-
ledning, herunder fremkomme med ikke bindende forhåndstil-
kendegivelser. At tillægge Datatilsynet en beføjelse til at frem-
komme med ikke bindende forhåndstilkendegivelser i medfør af
forordningens artikel 58, stk. 6, vil efter Datatilsynets opfattelse
indebære, at tilsynet gives beføjelsen til at udføre en opgave,
som tilsynet allerede har i medfør af artikel 57.
I henhold til EU-retten vil man normalt ikke kunne gennemføre
regler, der følger direkte af en forordning i national ret. Det er
dermed efter Datatilsynets opfattelse ikke i overensstemmelse
med EU-retten, hvis der i dansk ret fastsættes regler om, at Da-
tatilsynet skal have beføjelser til at udføre en opgave, som alle-
rede følger af forordningen.”
Som det fremgår af udtalelsen ovenfor, er det Datatilsynets opfattelse, at
tilsynet i medfør af databeskyttelsesforordningens artikel 57 har til opgave
bl.a. at udøve konkret vejledning, herunder fremkomme med ikke bindende
forhåndstilkendegivelser. Det kan efter Justitsministeriets opfattelse give
anledning til tvivl, om en national regulering, der formaliserer rammerne for
Datatilsynets konkrete vejledning, herunder ikke bindende forhåndstilken-
degivelser, kan gennemføres inden for rammerne af forordningen.
Det skyldes, at der efter Justitsministeriets opfattelse kan argumenteres for,
at forordningens artikel 58, stk. 3, litra b, og artikel 58, stk. 6, giver med-
lemsstaterne et vist spillerum til at bestemme, at de nationale tilsynsmyn-
digheder bl.a. har yderligere beføjelser end dem, der er nævnt i artikel 58,
stk. 1-3.
Side 7/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
På den ene side kan det således anføres, at en national regulering om ikke
bindende forhåndstilkendegivelser, der opfylder de ovenfor nævnte forud-
sætninger
navnlig kravene til Datatilsynets uafhængighed
må indebære,
at en sådan regulering vil kunne indføres i overensstemmelse med forord-
ningens artikel 58. Det bemærkes i den forbindelse også, at kravet om uaf-
hængighed nødvendigvis må føre til, at det i givet fald ikke tilkommer andre
end Datatilsynet at tilrettelægge, hvordan en ikke bindende forhåndstilken-
degivelsesordning vil skulle administreres, ligesom en sådan ordning bl.a.
ikke må begrænse Datatilsynet i udøvelsen af de øvrige beføjelser efter for-
ordningens artikel 58.
På den anden side kan det anføres, at national regulering om ikke bindende
forhåndstilkendegivelser vil indebære regulering om forhold, som efter Da-
tatilsynets opfattelse som sådan er en del af selve opgaveporteføljen i data-
beskyttelsesforordningens artikel 57. Dermed kan en sådan regulering siges
at påvirke tilsynets uafhængige opgavevaretagelse og således af denne
grund ikke være forenelig med databeskyttelsesforordningen.
På baggrund af ovenstående, herunder udtalelsen fra Datatilsynet, finder
Justitsministeriet samlet set, at det er tvivlsomt, om der inden for databe-
skyttelsesforordningens rammer kan indføres national regulering, som for-
maliserer Datatilsynets konkrete vejledning, herunder muligheden for at
fremkomme med ikke bindende forhåndstilkendegivelser. Justitsministeriet
bemærker i den forbindelse, at en endelig afklaring af spørgsmålet om, hvor-
vidt en sådan ordning kan indføres inden for forordningens rammer, henhø-
rer under EU-Domstolen.
Justitsministeriet har med forbindelse til spørgsmålet desuden fundet det re-
levant at belyse Datatilsynets nuværende vejledningsindsats. Til brug for
dette har Datatilsynet oplyst følgende:
1.
Datatilsynet arbejder hver dag målrettet på at sikre, at alle
kender og overholder reglerne for behandling af personoplys-
ninger, og at borgerne kender og kan bruge deres rettigheder.
Datatilsynets uafhængige rolle, kompetencer og opgaver er nær-
mere fastsat i databeskyttelsesforordningens artikel 51-59. Om
Datatilsynets opgaver fremgår det af artikel 57, at tilsynet skal
varetage 22 nærmere specificerede opgavetyper, herunder at
Datatilsynet skal føre tilsyn med og håndhæve anvendelsen af
forordningen. For så vidt angår rådgivning og vejledning følger
det af bestemmelsen, at Datatilsynet navnlig har til opgave:
Side 8/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
At fremme offentlighedens kendskab til og forståelse af ri-
sici, regler, garantier og rettigheder i forbindelse med be-
handling (litra b),
at rådgive det nationale parlament, regeringen og andre in-
stitutioner og organer om lovgivningsmæssige og admini-
strative foranstaltninger til beskyttelse af fysiske personers
rettigheder og frihedsrettigheder i forbindelse med behand-
ling (litra c),
at fremme dataansvarliges og databehandleres kendskab til
deres forpligtelser i henhold til denne forordning (litra d),
at informere registrerede om udøvelse af deres rettigheder i
henhold til forordningen (litra e), og
at rådgive om konsekvensanalyser (litra l).
Datatilsynet har samlet set en særdeles omfattende og alsidig
opgaveportefølje, og tilsynets vejledningsopgaver retter sig mod
meget forskelligartede aktører; Folketinget, borgerne, private
organisationer og virksomheder samt statslige, regionale og
kommunale myndigheder.
2.
Et kendetegn ved databeskyttelsesreglerne er, at de i vidt om-
fang består af generelle retlige standarder, som i praksis forud-
sætter, at de dataansvarlige skal foretage en konkret vurdering.
Dette bliver af mange set som en svaghed ved reglerne, men i
virkeligheden er det netop heri, at styrken ligger. Reglernes høje
grad af fleksibilitet indebærer nemlig, at reglerne kan tilpasses
mange forskellige behandlingssituationer. Reglerne kan således
tilpasses både en lille forening, som alene behandler få person-
oplysninger og en større kommune, som behandler en lang
række personoplysninger, herunder følsomme oplysninger, om
en stor gruppe borgere.
Det er i øvrigt ikke nyt, at reglerne på området er udformet på
denne måde. Med databeskyttelsesforordningen skete der såle-
des i høj grad en videreførelse af regler, som allerede fulgte af
databeskyttelsesdirektivet. Direktivet, der er vedtaget i oktober
1995, blev gennemført i dansk ret ved persondataloven fra juli
2000. Loven, som var gældende indtil forordningen begyndte at
finde anvendelse fra maj 2018, bestod ligeledes af generelle ret-
lige standarder. Persondataloven videreførte endvidere på
mange punkter regler om databeskyttelse, der havde været gæl-
dende i dansk ret siden 1. januar 1979.
Det nye er, at der med databeskyttelsesforordningen er kommet
en øget bevidsthed omkring betydningen af beskyttelse af per-
sonoplysninger, hvilket formentlig er en konsekvens af, at for-
ordningen bl.a. indeholder mulighed for at pålægge større bøder
for overtrædelse af forordningens bestemmelser.
Side 9/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Dette i kombination med, at der uden tvivl på tidspunktet for
forordningens anvendelse var
og fortsat er
offentlige myn-
digheder og private organisationer mv., som ikke opfyldte alle
krav i persondataloven og derfor ikke var ”compliant” har
bety-
det, at Datatilsynet er meget bevidste om behovet for konkret
vejledning om, hvordan reglerne skal forstås og efterleves.
Datatilsynet opfordrer derfor også dataansvarlige og borgere til
at kontakte tilsynet, hvis der er tvivl om forståelsen af reglerne,
ligesom tilsynet i forbindelse med rådgivningsarbejdet ofte gør
opmærksom på reglernes fleksibilitet med henblik på at opnå
brugbare og afbalancerede løsninger, hvor både hensynet til be-
skyttelsen af personoplysninger og andre saglige hensyn, som
forfølges med en behandling af personoplysninger, tilgodeses.
3.
Datatilsynet har i de senere år brugt og bruger fortsat betyde-
lige ressourcer på at rådgive og vejlede om de nye databeskyt-
telsesregler. I efteråret 2020 har Datatilsynet endvidere taget en
række organisatoriske tiltag for at styrke netop tilsynets vejled-
ningsindsats yderligere.
Pr. 1. oktober 2020 er der således oprettet en ny enhed
Vejled-
ning og Informationssikkerhed
i Datatilsynet, som skal have
et særligt fokus på at give mere konkret vejledning til virksom-
heder, myndigheder og borgere.
Endvidere har Datatilsynet valgt at ansætte tre nye kommunika-
tionsmedarbejdere, som sammen med tilsynets første kommuni-
kationsmedarbejder, der blev ansat i 2018, bl.a. skal understøtte
Datatilsynets jurister og it-sikkerhedskonsulenter i at kommuni-
kere svært juridisk og teknisk stof på måde, som gør det forstå-
eligt for borgere, virksomheder og myndigheder.
Der er i Datatilsynet i disse år meget stor opmærksomhed på,
hvordan vi formulerer os
og øvelsen er som på så mange andre
områder at finde balancen, hvor formidlingen både er korrekt og
til at forstå. Endvidere arbejder tilsynet målrettet på at stille de
samme budskaber til rådighed i f.eks. korte tekster, små anime-
rede videoer, podcast
og selvfølgelig stadig de lange juridiske
vejledninger til specialisterne. Sidste år afgjorde Datatilsynet
f.eks. en principiel sag om den måde, en offentlig myndighed
via sin hjemmeside indhentede samtykke til behandling af bor-
gernes oplysninger på hjemmesiden. Afgørelsen har fået betyd-
ning for de fleste, der har en hjemmeside. Da den blev offentlig-
gjort, var det i en samlet pakke med en letfordøjelig nyhedstekst,
en helt ny vejledning med en masse konkrete eksempler og en
ny podcast-episode, hvor vi talte om afgørelsen og dens betyd-
ning. Sådan vil Datatilsynet gerne tænke og agere, hver gang der
kommer noget helt nyt og vigtigt.
Side 10/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Der er tale om de første initiativer, Datatilsynet tager i forlæn-
gelse af, at tilsynet har lanceret et helt nyt strategisk grundlag,
som bl.a. bygger på en interessentanalyse, som tilsynet har fået
foretaget i foråret 2020. Datatilsynets vision er således nu at
sikre ansvarlig anvendelse af borgernes data i et digitaliseret
samfund. Det er samtidig Datatilsynets mission fremadrettet at
være en åben myndighed, der arbejder lydhørt, differentieret og
synligt, og som løser sine opgaver gennem anvendelig vejled-
ning og information, tilgængelige afgørelser og målrettede til-
syn, ligesom Datatilsynet sætter aftryk på national lovgivning
og europæisk samarbejde.
Der vil således blive iværksat yderligere initiativer som opfølg-
ning på Datatilsynets nye strategiske grundlag i den kommende
periode.
Opgaven med at vejlede konkret konflikter efter tilsynets opfat-
telse ikke med tilsyns- og kontrolopgaven. Ved siden af den vig-
tige interessentinddragelse er det typisk gennem Datatilsynets
tilsyns- og kontrolaktiviteter, at tilsynet bliver opmærksom på,
hvor der kan være behov for yderligere vejledning. Endvidere
er Datatilsynets afgørelser i disse sager også en vigtig vejled-
nings- og informationskilde for borgere, offentlige myndighe-
der, private virksomheder mv.
Datatilsynet arbejder derfor i disse år løbende på at få offentlig-
gjort så mange afgørelser som muligt på tilsynets hjemmeside.
Afgørelserne bliver i øvrigt offentliggjort med et lille resume,
hvor tilsynet dels ”oversætter” afgørelsen for offentligheden og
dels angiver, hvad den dataansvarlige burde have gjort eller har
gjort godt. Datatilsynet er således også opmærksom på at få
fremhævet de dataansvarlige, som gør det godt og har udviklet
nogle gode løsninger mv. Som eksempel herpå kan nævnes Da-
tatilsynets afsluttende brev i forbindelse med et tilsyn med
Carlsbergs HR-område.
4.
Hver dag håndterer Datatilsynet rigtig mange telefoniske og
skriftlige forespørgsler. Det har i den forbindelse været vigtigt
for Datatilsynet at imødekomme det øgede behov for telefonisk
rådgivning, som tilsynet i særlig grad oplevede i perioden op til
og efter den 25. maj 2018, hvorfor Datatilsynet har udvidet te-
lefontiden, ligesom der er flere medarbejdere til at tage telefo-
nerne. Datatilsynet arbejder endvidere løbende på at forbedre
den telefoniske vejledning.
5.
Datatilsynet udarbejder løbende vejledninger om konkrete
emner, fx om de registreredes rettigheder, databeskyttelse i for-
bindelse med ansættelsesforhold og håndtering af brud på per-
sondatasikkerheden. Relevante interessenter inddrages løbende
i udarbejdelsen af disse vejledninger.
Side 11/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Herudover bidrager Datatilsynet
i regi af Det Europæiske Da-
tabeskyttelsesråd
til udarbejdelsen af fælleseuropæiske vejled-
ninger mv. om reglerne. Alle nationale og fælleseuropæiske vej-
ledninger kan sammen med en række praktisk anvendelige ska-
beloner til opfyldelse af oplysningspligten, en databehandleraf-
tale og en aftale om delt dataansvar findes på Datatilsynets
hjemmeside.
6.
På Datatilsynets hjemmeside lanceres endvidere løbende vej-
ledende tekster mv., ofte med afsæt i aktuelle dagsordener. I for-
året 2020 offentliggjorde Datatilsynet fx en række hjemmeside-
tekster om behandling af personoplysninger i forbindelse med
håndtering af Covid-19, ligesom tilsynet tog initiativ til at udar-
bejde en skabelon og 6 gode råd til manuel registrering af re-
staurantgæster med henblik på smitteopsporing, da restauran-
terne efter sommerferien sidste år blev opfordret af sundheds-
myndighederne til at foretage en sådan registrering.
I december 2020 lancerede Datatilsynet endvidere en underside
til tilsynets hjemmeside rettet mod børn og unge. Materialet på
siden handler især om brug af sociale medier og deling af bille-
der på nettet. Formålet med siden er dels at oplyse om rettighe-
derne på området og dels at invitere børnene og de unge til at
tage kritisk stilling, når andre behandler oplysninger om dem.
Datatilsynet har endvidere en LinkedIn-profil, hvor antallet af
følgere de sidste tre år er steget fra ca. 300 til knap 20.000. På
profilen deler Datatilsynet forskellige nyheder, ligesom tilsynet
i "mandagsmyten" hver uge afliver en udbredt myte om GDPR.
7.
Herudover holder Datatilsynet løbende mange møder med
bl.a. interesse- og brancheorganisationer, men også enkeltstå-
ende dataansvarlige og databehandlere, hvis der måtte være be-
hov herfor. Datatilsynet holder fx hvert kvartal møder med
Kommunernes Landsforening, ligesom tilsynet med jævne mel-
lemrum holder møder med fx Dansk Industri og Dansk Erhverv.
Datatilsynet har endvidere for nylig nedsat to kontaktudvalg
et for erhvervslivet og et for regionerne og kommunerne. Data-
tilsynet inviterer disse to udvalg til et møde to gange årligt, med
det formål at skabe en platform for vidensdeling og drøftelse af
databeskyttelsesretlige problemstillinger.
Datatilsynet prioriterer endvidere altid at komme ud og deltage
med indlæg mv. på konferencer, seminarer o. lign. for at forklare
om de databeskyttelsesretlige regler og tilsynets praksis, men
også for, at tilsynet kan opnå større viden om, hvilke udfordrin-
ger de registrerede, andre offentlige myndigheder og den private
sektor oplever inden for databeskyttelsesområdet.
Side 12/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
8.
Endvidere har Datatilsynet forpligtet til sig til at gennemføre
hele rækken af GDPR-anbefalinger, som Erhvervslivets EU- og
Regelforum har udfærdiget i 2020. Anbefalingerne omfatter
bl.a. udarbejdelse af en vejledning om cloudtjenester, yderligere
vejledning om overførsel af personoplysninger til tredjelande,
udarbejdelse af tjeklister og vejledninger til kontrol af databe-
handlere og udarbejdelse af SMV-koncepter for efterlevelse af
de databeskyttelsesretlige regler.
Herudover lancerede Datatilsynet og Erhvervsstyrelsen sammen
i begyndelsen af 2018 på Virk Startvækst en ny udgave af Pri-
vacyKompasset, så virksomhederne kan få hjælp til at efterleve
de nye databeskyttelsesregler. På PrivacyKompasset kan virk-
somheder således bl.a. tage en online test, der kan hjælpe dem i
gang med at implementere databeskyttelsesreglerne i deres or-
ganisation og få svar på helt basale spørgsmål i forhold til an-
svarlig datahåndtering. PrivacyKompasset er derfor en hjælp til
bedre brug af data inden for lovgivningens rammer og åbner
samtidigt for, at virksomhederne på længere
sigt kan bruge ”pri-
vacy” som et konkurrenceparameter.
Særligt for brugere af CAMPUS
den offentlige sektors e-læ-
ringsplatform
har Datatilsynet endvidere i 2018 sammen med
Moderniseringsstyrelsen udviklet et e-læringskursus i databe-
skyttelsesforordningen.
9.
Datatilsynet har endvidere udarbejdet en podcast om databe-
skyttelsesforordningen, som indtil videre består af 20 episoder,
hvor forskellige medarbejdere fra tilsynet indtager rollen som
vært og fortæller om et emne, der er særligt relevant for små og
mellemstore virksomheder. Podcasten er imidlertid også blevet
taget rigtig godt imod af andre typer af dataansvarlige, bl.a.
kommunerne, og særlig interesserede borgere. Mere end 80.000
gange er en af vores 20 podcast-episoder således blevet afspillet.
Podcasten er tilgængelig bl.a. gennem Datatilsynets hjemme-
side. Datatilsynet udarbejdede endvidere i 2018 i samarbejde
med nonprofitorganisationen e-mærket en podcast med 6 afsnit
om reglerne om databeskyttelse, der særligt henvender sig mod
små og mellemstore virksomheder.
Datatilsynet har endvidere offentliggjort 10 små animerede vi-
deoer om databeskyttelsesreglerne, der er målrettet danskerne
generelt.
10.
Er Datatilsynet så i mål? Langt fra. Men Datatilsynet arbej-
der målrettet videre på at gøre det bedre med de ressourcer, her-
under de pr. 31. december 2020 59 medarbejdere, tilsynet har til
rådighed.
Side 13/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Det fremgår bl.a. af Datatilsynets udtalelse, at tilsynet i de senere år har
brugt og bruger betydelige ressourcer på at rådgive og vejlede om databe-
skyttelsesreglerne. Datatilsynets vejledning henvender sig til både borgere,
offentlige myndigheder, private virksomheder mv. og favner særdeles bredt,
både i omfang og format.
Samtidig fremgår det, at Datatilsynet har et særligt fokus på konkret vejled-
ning. I oktober 2020 har Datatilsynet således taget en række organisatoriske
tiltag for at styrke tilsynets vejledningsindsats yderligere, navnlig med fokus
på at give mere konkret vejledning til virksomheder, myndigheder og bor-
gere. Det fremgår desuden, at Datatilsynet er meget bevidste om behovet for
konkret vejledning om, hvordan databeskyttelsesreglerne skal forstås og ef-
terleves. Samtidig oplyser Datatilsynet, at der også fremadrettet vil blive
iværksat yderligere initiativer som opfølgning på Datatilsynets nye strategi-
ske grundlag.
På baggrund af Datatilsynets udtalelse kan der rejses spørgsmål om, hvor-
vidt en regulering, der formaliserer rammerne for tilsynets konkrete vejled-
ning, herunder muligheden for at fremkomme med ikke bindende forhånds-
tilkendegivelser, vil have en egentlig merværdi i forhold til den omfattende
vejledning, tilsynet allerede udøver. Det kan i den forbindelse fremhæves,
at Datatilsynet som nævnt for nylig har iværksat en række initiativer, som
skal hjælpe til, at tilsynet vejleder mere konkret, herunder en organisations-
ændring, og at den fulde effekt af disse initiativer endnu ikke kan antages at
være realiseret fuldt ud. Det bemærkes desuden, at spørgsmålet om, i hvilket
omfang Datatilsynet kan udøve vejledning, beror på de ressourcer, som til-
synet har til rådighed. Datatilsynet må således nødvendigvis tilpasse vejled-
ningsindsatsen i lyset af den aktuelle bevilling.
Samlet set er det Justitsministeriets opfattelse, at det
som nævnt ovenfor
kan give anledning til tvivl, om der inden for rammerne af databeskyttelses-
forordningen kan indføres national regulering, som formaliserer rammerne
for Datatilsynets konkrete vejledning, herunder muligheden for at frem-
komme med ikke bindende forhåndstilkendegivelser. På baggrund af Data-
tilsynets udtalelse om tilsynets nuværende vejledningsindsats er det dog un-
der alle omstændigheder Justitsministeriets opfattelse, at den regulering,
som i givet fald vil kunne gennemføres inden for rammerne af databeskyt-
telsesforordningen, må forventes at have en meget begrænset merværdi i
forhold til den konkrete vejledning, som Datatilsynet i medfør af forordnin-
gens artikel 57 allerede udøver.
Side 14/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
2327380_0015.png
4.2. Påbudsordning
En påbudsordning vil som nævnt indledningsvist indebære, at Datatilsynet
vil skulle meddele påbud, før der kan indstilles til bøde for overtrædelse af
databeskyttelsesreglerne, eller før der udstedes et administrativt bødefore-
læg. En sådan ordning vil således gøre det muligt for den dataansvarlige at
rette ind før en eventuel bødesanktion. Hyppigheden af anvendelsen af en
påbudsordning vil konkret afhænge af, hvor ofte Datatilsynet gør brug af
muligheden for at indstille, at den dataansvarlige idømmes en bøde.
Justitsministeriet har til brug for belysning af Datatilsynets nuværende prak-
sis om anvendelsen af bødesanktioner indhentet en udtalelse fra tilsynet, der
har oplyst følgende:
”Datatilsynet har i perioden efter 25. maj 2018, hvor databeskyt-
telsesreglerne har fundet anvendelse, og indtil nu anmeldt 13 sa-
ger, om overtrædelser af reglerne til politiet med anmodning om
tiltalerejsning. Tilsynet har endvidere anmeldt 7 sager med hen-
blik på videre efterforskning. Sagerne, hvor der er anmeldt til
politiet med anmodning om tiltalerejsning, fordeler sig som vist
i tabellen herunder:
Antal
Mindste
bødeind-
stilling
25.000
Højeste
bødeind-
stilling
50.000
Fysiske personer (her- 4
under enkeltmands-
virksomheder)
Offentlige myndighe- 4
der
Virksomheder
5
50.000
50.000
100.000
1,5 mio.
Antallet af sager, som Datatilsynet har anmeldt, skal ses i lyset
af hvor mange klagesager, tilsynssager og anmeldelser af brud
på persondatasikkerheden, som Datatilsynet bl.a. behandler. I
nedenstående tabel angives, hvor mange klagesager, tilsynssa-
ger og anmeldelser af brud på persondatasikkerhed, der er op-
rettet i Datatilsynet i 2019 og 2020:
2019
2.259
256
2020
2.506
403
Klagesager
Tilsynssager
Side 15/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
2327380_0016.png
Anmeldelser af brud på per- 7.242
sondatasikkerheden
8.773
Datatilsynet har ifølge databeskyttelsesforordningen en række
korrigerende beføjelser, herunder advarsel, kritik og påbud, og
har dermed reaktionsmuligheder, når tilsynet konstaterer, at reg-
lerne ikke overholdes, og som det fremgår af de ovenstående
tabeller, er det langt fra alle sager, som Datatilsynet behand-
ler, som resulterer i en politianmeldelse. Datatilsynet foretager
altid en konkret vurdering baseret på den enkelte sags omstæn-
digheder, når tilsynet beslutter, hvilken sanktion eller reaktion
den enkelte sag skal ende med. Datatilsynet lægger i den forbin-
delse bl.a. vægt på karakteren, herunder omfanget, af overtræ-
delsen, om overtrædelsen må anses som udtryk for manglende
vilje til at overholde reglerne, lemfældig omgang med person-
oplysninger eller der fx er tale om gentagelsestilfælde.”
Som det fremgår af Datatilsynets udtalelse, er det langt fra alle sager, som
Datatilsynet behandler, der resulterer i en politianmeldelse med indstilling
om bøde. Således afgør Datatilsynet i dag en meget stor andel af deres sager
ved anvendelse af andre sanktioner end bøde.
I forhold til spørgsmålet om, hvorvidt en påbudsordning er mulig inden for
rammerne af databeskyttelsesforordningen, følger det af forordningen, at
Datatilsynet uafhængigt skal varetage de oplistede opgaver i artikel 57, li-
gesom tilsynet skal udøve sine beføjelser efter artikel 58 i fuld uafhængig-
hed. Datatilsynet må således ikke være underlagt instruktionsbeføjelser fra
f.eks. Justitsministeriet eller en anden administrativ myndighed. Datatilsy-
net skal desuden i forbindelse med udførelsen af deres opgaver og udøvelsen
af deres beføjelser efter forordningens artikel 57 og 58 være frie for udefra-
kommende indflydelse, det være sig direkte eller indirekte.
Kravet om uafhængighed indebærer efter Justitsministeriets vurdering bl.a.,
at Datatilsynet hverken direkte eller indirekte kan pålægges at anvende be-
stemte sanktioner i de sager, som tilsynet behandler. Datatilsynet har således
i den forstand et frit sanktionsvalg.
Det er således Justitsministeriets vurdering, at det vil være i strid med data-
beskyttelsesforordningen at indføre regler, som påvirker Datatilsynets mu-
lighed for frit at udøve én eller flere beføjelser i forordningens artikel 58.
En national regel om, at der i alle tilfælde skal meddeles påbud, før der kan
indstilles til bøde, vil således efter Justitsministeriets opfattelse indebære, at
Side 16/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
Datatilsynets frie sanktionsvalg begrænses. Begrænsningen vil konkret be-
stå i, at Datatilsynet ikke frit og uafhængigt kan træffe afgørelse om at ind-
stille til bødestraf uden et forudgående påbud, uanset at tilsynet på baggrund
af en konkret vurdering finder, at der er behov for en bødestraf, jf. også
forordningens artikel 83, stk. 2, der synes at forudsætte, at Datatilsynet vur-
derer nødvendigheden af at anvende bødesanktionen med udgangspunkt i
de i bestemmelsens litra a-k nævnte momenter. En obligatorisk påbudsord-
ning vil således efter Justitsministeriets opfattelse indebære, at Datatilsynet
vil være afskåret fra umiddelbart at udøve den beføjelse, som tilsynet forud-
sættes at have i medfør af databeskyttelsesforordningens artikel 58, stk. 2,
litra i. Der kan desuden argumenteres for, at en sådan ordning umiddelbart
også synes at bryde med forudsætningen i forordningens præambelbetragt-
ning 129 om, at tilsynene i EU skal have samme beføjelser.
Det ovenfor anførte gør sig dog ikke gældende for offentlige myndigheder.
Efter Justitsministeriets vurdering vil det således være muligt inden for ram-
merne af databeskyttelsesforordningen at indføre en ordning, hvorefter of-
fentlige myndigheder kun kan ifalde bøder for brud på alle forordningens
bestemmelser efter forudgående påbud fra Datatilsynet.
Justitsministeriet har herved lagt vægt på, at det følger af databeskyttelses-
forordningens artikel 83, stk. 7, at hver medlemsstaterne kan fastsætte regler
om, hvorvidt og i hvilket omfang bøder må pålægges offentlige myndighe-
der mv. (det såkaldte nationale råderum). Det er Justitsministeriet vurdering,
at en påbudsordning bestemmer ”i hvilket omfang”,
der kan indstilles til
bøde, og at en sådan påbudsordning derfor vil være mulig inden for det na-
tionale råderum for så vidt angår offentlige myndigheder.
5. Privates muligheder for at videregive personoplysninger til politiet i
forbindelse med politiets efterforskning af lovovertrædelser
Den igangsatte erfaringsindsamling har bl.a. vist, at der i praksis kan være
tvivl om, hvorvidt det er lovligt at videregive personoplysninger til politiet
i forbindelse med politiets konkrete efterforskning af lovovertrædelser.
Rigspolitiet har således gennemført en høring af samtlige politikredse (med
undtagelse af Grønlands og Færøernes Politi) med henblik på at belyse em-
net.
Rigspolitiets høring har vist, at der i praksis kan opstå tvivl om rammerne
for lovligt at videregive personoplysninger til politiet. Det er Rigspolitiets
vurdering, at langt de fleste udfordringer på området kan håndteres igennem
Side 17/18
 EUU, Alm.del - 2020-21 - Bilag 269: Brev samt delrapport vedr. en igangværende national evaluering af databeskyttelsesreglerne
konkret dialog og vejledning fra sag til sag. Samtidig findes området at ud-
gøre en løbende
men dog begrænset
udfordring for politiets smidige op-
gavevaretagelse, der efter omstændighederne f.eks. kan forsinke indhentel-
sen af tv-overvågningsmateriale.
Det er afgørende for politiets effektive opgavevaretagelse, at politiet kan få
udleveret relevante oplysninger
herunder personoplysninger
når de som
led i deres myndighedsudøvelse retter henvendelse til både private aktører
og offentlige myndigheder med henblik på at få udleveret sådanne oplys-
ninger.
Som det ligeledes fremgår af forarbejderne til databeskyttelsesloven, jf. lov-
forslag nr. L 68, folketingsåret 2017-18, kan og skal databeskyttelsesreg-
lerne ikke anses at have til formål at begrænse adgangen til at indrette den
del af strafferetsplejen, der vedrører anmeldelse af strafbare forhold til de
kompetente myndigheder. Denne forudsætning gør sig også gældende i an-
dre tilfælde end anmeldelse af strafbare forhold, f.eks. når der videregives
personoplysninger på anmodning fra politiet.
Databeskyttelsesreglerne indeholder således ganske vide rammer for at vi-
deregive personoplysninger til politiet. Uanset dette har erfaringsindsamlin-
gen vist, at der kan opstå tvivl i praksis.
For at imødegå denne tvivl har Datatilsynet under inddragelse af Justitsmi-
nisteriet og Rigspolitiet udarbejdet en ny vejledning om videregivelse af
personoplysninger til politiet (fra januar 2021). Vejledningen
der vedlæg-
ges som bilag
tager bl.a. udgangspunkt i en række konkrete eksempler,
som Rigspolitiet i praksis har oplevet kan give anledning til tvivl.
Side 18/18