Retsudvalget 2020-21
REU Alm.del
Offentligt
2311471_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
21. december 2020
Databeskyttelseskontoret
Abulfaz Melikov
2020-0030-5233
1756552
Slotshmgade1026Købnv.TF
w.justimnerdk
[email protected]
+4572680391
Hermed sendes besvarelse af spørgsmål nr. 328 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 4. december 2020.
Spørgsmålet er stillet efter ønske fra Lisbeth Bech-Nielsen (SF).
Nick Hækkerup
/
Mie Vinkel Sørensen
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 328: Spm. om databeskyttelsesregler, til justitsministeren
Spørgsmål nr. 328 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren, på baggrund af Datatilsynets principielle afgø-
relse fra februar 2020 om DMI's indhentning af samtykke til
indsamling og videregivelse af personoplysninger på instituttets
hjemmeside (muligheden for at fravælge cookies), oplyse føl-
gende:
Hvorvidt samtlige offentlige myndigheder har bragt deres
praksis for indhentning af samtykke i overensstemmelse med
GDPR, og vil ministeren, såfremt ikke alle offentlige myndig-
heder har bragt deres praksis i overensstemmelse med GDPR,
oversende en oversigt over, hvilke myndigheder der lever op til
databeskyttelsesreglerne, og hvilke myndigheder der ikke lever
op til reglerne, og vil ministeren endvidere redegøre for, hvilke
tiltag man vil iværksætte for at sikre, at alle offentlige myndig-
heder fremover lever op til reglerne om indhentning af samtykke
til indsamling og videregivelse af personoplysninger ved besøg
på hjemmesiderne?
Hvorledes Datatilsynet følger op på, om alle private organisa-
tioner og virksomheder m.v. lever op til reglerne om indhent-
ning af samtykke til indsamling og videregivelse af personop-
lysninger ved besøg på hjemmesiderne?”
Svar:
1.
Når der behandles personoplysninger i forbindelse med hjemmesidebe-
søg, skal behandlingen ske inden for rammerne af databeskyttelsesreglerne.
I spørgsmålet henvises der til en afgørelse fra Datatilsynet om
DMI’s be-
handling af personoplysninger om hjemmesidebesøgende, hvor tilsynet bl.a.
fandt, at
DMI’s indhentning af samtykke til behandling af personoplysnin-
ger om de besøgende på hjemmesiden ikke var i overensstemmelse med
princippet om lovlighed, rimelighed og gennemsigtighed (databeskyttelses-
forordningens artikel 5, stk. 1, litra a). Endvidere fandt Datatilsynet, at der
ikke forelå et gyldigt behandlingsgrundlag.
Justitsministeriet kan generelt oplyse, at det følger af databeskyttelsesfor-
ordningens artikel 5, stk. 2, at det er den dataansvarlige, som er ansvarlig
for og skal kunne påvise, at de grundlæggende principper, som følger af
artikel 5, stk. 1, overholdes. Som det endvidere fremgår af Datatilsynets ud-
talelse nedenfor, er det således den dataansvarlige, der skal sikre, at enhver
behandling af personoplysninger sker i overensstemmelse med databeskyt-
telsesreglerne. Justitsministeriet kan i forlængelse heraf oplyse, at ministe-
2
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 328: Spm. om databeskyttelsesregler, til justitsministeren
2311471_0003.png
riet ikke er i besiddelse af oversigter over, hvorvidt samtlige offentlige myn-
digheder behandler personoplysninger i overensstemmelse med databeskyt-
telsesreglerne, herunder personoplysninger om hjemmesidebesøgende.
Herudover kan Justitsministeriet oplyse, at det er Datatilsynet, der som uaf-
hængig tilsynsmyndighed påser de enkelte dataansvarliges overholdelse af
databeskyttelsesreglerne, herunder de ovennævnte grundlæggende princip-
per. Som det ligeledes fremgår af Datatilsynets udtalelse nedenfor, behand-
ler Datatilsynet løbende klagesager, ligesom tilsynet kan tage sager op af
egen drift. Det fremgår endvidere af udtalelsen, at Datatilsynet har udarbej-
det en vejledning om behandling af personoplysninger om hjemmesidebe-
søgende.
2.
Justitsministeriet har som nævnt til brug for besvarelsen af spørgsmålet
indhentet et bidrag fra Datatilsynet, der har oplyst følgende:
”Det
er den dataansvarlige, der skal sikre, at enhver behandling
af personoplysninger sker i overensstemmelse med databeskyt-
telsesforordningen
1
og databeskyttelsesloven
2
.
Datatilsynet er ikke i besiddelse af oversigter over, hvorvidt of-
fentlige myndigheder behandler personoplysninger i overens-
stemmelse med de databeskyttelsesretlige regler, herunder be-
handling af personoplysninger om hjemmesidebesøgende.
Datatilsynet har som opfølgning på udstedelsen i februar 2020
af tilsynets vejledning om behandling af personoplysninger om
hjemmesidebesøgende valgt at sætte fokus på, om reglerne på
området overholdes.
Datatilsynet behandler således løbende klagesager og fører end-
videre tilsyn med behandling, der omfattes af databeskyttelses-
loven, databeskyttelsesforordningen og anden lovgivning, som
ligger inden for databeskyttelsesforordningens rammer for sær-
regler om behandling af personoplysninger. Datatilsynet kan
endvidere tage sager op af egen drift.
Det kan i den forbindelse blandt andet nævnes, at Datatilsynet i
efteråret 2020 af egen drift har besluttet at undersøge både Ros-
kilde Kommune og Næstved Kommunes behandling af person-
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direktiv 95/46 EF.
2
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger (databeskyttelsesloven).
3
1
 REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 328: Spm. om databeskyttelsesregler, til justitsministeren
2311471_0004.png
oplysninger om hjemmesidebesøgende. Sagerne er på nuvæ-
rende tidspunkt fortsat under behandling.
For så vidt angår privates behandling af personoplysninger kan
det endvidere oplyses, at Datatilsynet i juni 2020 indledte en
egen-driftssag mod Den Blå
Avis’ hjemmeside. Sagen er også
på nuværende tidspunkt fortsat under behandling.
Datatilsynet har derfor
og vil også fremadrettet have
et stort
fokus på, at reglerne på området overholdes og forventer at of-
fentliggøre flere afgørelser om behandling af personoplysninger
om hjemmesidebesøgende i det kommende år, ligesom tilsynet
i 2021 forventer at iværksætte flere sager af egen drift vedrø-
rende dette emne.
Datatilsynet henleder opmærksomheden på, at betingelserne for
lovlig behandling af personoplysninger findes i databeskyttel-
sesforordningens artikel 6. Det vil sige, at hvis en dataansvarlig
behandler personoplysninger om hjemmesidebesøgende, skal
der være et lovligt behandlingsgrundlag.
For offentlige myndigheder kan behandlingen blandt andet ske,
hvis det er nødvendigt af hensyn til udførelse af en opgave, som
henhører under offentlig myndighedsudøvelse, jf. databeskyttel-
sesforordningens artikel 6, stk. 1, litra e.
For private virksomheders vedkommende kan behandlingen
blandt andet ske, hvis det er nødvendigt for, at organisationen
kan forfølge en legitim interesse, og den registreredes interesser
eller grundlæggende rettigheder ikke går forud herfor, jf. forord-
ningens artikel 6, stk. 1, litra f.
Et samtykke fra en hjemmesidebesøgende er derfor ikke det ene-
ste behandlingsgrundlag, en dataansvarlig kan benytte sig af ved
behandling af personoplysninger. Reglerne i databeskyttelses-
forordningen adskiller sig herved fra cookiebekendtgørelsens
3
regler om information og samtykke ved lagring af eller adgang
til oplysninger i slutbrugerens terminaludstyr. Reglerne i coo-
kiebekendtgørelsen administreres af Erhvervsstyrelsen.”
3
Bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved
lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr (cookiebekendtgørel-
sen).
4