Børne- og Undervisningsudvalget 2021-22
BUU Alm.del
Offentligt
2616599_0001.png
Ministeren
Børne- og Undervisningsudvalget
Christiansborg
Frederiksholms Kanal 21
1220 København K
Tlf. nr.: 33 92 50 00
E-mail: [email protected]
www.uvm.dk
CVR-nr.: 20453044
Svar på alm. del – spørgsmål 347:
I brev af 18. juli 2022 har udvalget efter ønske fra Mette Thiesen (NB)
stillet mig følgende spørgsmål:
Alm. del – spørgsmål 347:
Ministeren bedes redegøre for baggrunden for og konsekvenserne ved
afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022
‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på
danske skoler’, herunder om Datatilsynets afgørelse er en for hård for-
tolkning af afgørelsen fra EU-Domstolen, og hvad regeringens holdning
er til afgørelsen, herunder blandt andet hvorvidt regeringen finder det
hensigtsmæssigt, at en afgørelse fra en domstol langt væk fra Danmark
skal kunne påvirke danskernes hverdag.
https://politiken.dk/viden/Tech/art8882501/Chromebooks-bliver-for-
budt-på-danske-skoler
Svar:
Spørgsmål vedrørende databeskyttelsesreglerne hører under Justitsmini-
steriet, som oplyser følgende:
”Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet
en udtalelse fra Datatilsynet, der har oplyst følgende:
”Om
overførsel af personoplysninger til tredjelande
Retten til databeskyttelse er en grundlæggende europæisk rettighed.
I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende
rettigheder (”Chartret”), som har været bindende for Danmark siden
Danmarks ratifikation af Lissabontraktaten, fastsættes det, at enhver har
ret til beskyttelse af personoplysninger, der vedrører den pågældende.
Derudover fremgår det af artikel 8, stk. 3, i Chartret, at retten til databe-
skyttelse skal være underlagt en uafhængig myndigheds kontrol.
31. august 2022
Sagsnr.: 22/14860
BUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 347: Spm. om baggrunden for og konsekvenserne ved afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022 ‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på danske skoler’, til børne- og undervisningsministeren
2616599_0002.png
På den baggrund indeholder databeskyttelsesforordningen
1
, som gælder
for enhver form for behandling af personoplysninger, en række nærmere
regler om beskyttelse af personoplysninger. Derudover indeholder data-
beskyttelsesloven
2
en række supplerende regler til databeskyttelsesforord-
ningen.
Databeskyttelsesforordningen indeholder særlige regler, som skal være
opfyldt, når en dansk organisation, f.eks. en offentlig myndighed, ønsker
at overføre personoplysninger til tredjelande. Et tredjeland er et land,
som ikke er medlem af EU/EØS, f.eks. USA.
Der vil som udgangspunkt være tale om overførsel til et tredjeland, når
de personoplysninger, som en offentlig myndighed behandler, forlader
eller gøres tilgængelige uden for EU/EØS. At oplysningerne gøres til-
gængelige uden for EU/EØS betyder, at også situationer, hvor modtage-
ren i et tredjeland alene har adgang til at se oplysningerne via en fjernad-
gang, udgør en overførsel.
Organisationer, der overfører personoplysningerne betegnes typisk som
”dataeksportøren”, og modtageren i tredjelandet betegnes ”dataimportø-
ren”.
Når en offentlig myndighed ønsker at overføre oplysninger til et tredje-
land, skal myndigheden etablere et overførselsgrundlag.
Det hyppigst anvendte overførselsgrundlag er EU-Kommissionens stan-
dardbestemmelser om databeskyttelse. Der er tale om et sæt kontraktbe-
stemmelser, der fungerer som en skabelon, og som skal udfyldes og un-
derskrives af dataeksportøren og dataimportøren. Standardbestemmel-
serne betegnes også ofte som EU-Kommissionens standardkontrakt.
Når man benytter sig af standardbestemmelserne skal man sikre sig, at
kontrakterne er indgået korrekt, og at parterne kan leve op til de forplig-
telser, som kontrakterne indeholder. Derudover skal man sikre sig, at
standardbestemmelserne er effektive i praksis.
EU-Domstolen fastslog i den såkaldte Schrems II-sag
3
, at dataeksportø-
ren er forpligtet til at sikre sig, at beskyttelsesniveauet i det tredjeland,
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om
fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger (databeskyttelsesloven).
EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Data Protection Commissio-
ner mod Facebook Ireland Ltd. og Maximillian Schrems.
2
3
2
BUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 347: Spm. om baggrunden for og konsekvenserne ved afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022 ‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på danske skoler’, til børne- og undervisningsministeren
2616599_0003.png
hvortil personoplysningerne overføres, i det væsentlige svarer til beskyt-
telsesniveauet i EU/EØS. Det afgørende er i den forbindelse, at beskyt-
telsen ikke undermineres af forholdene i tredjelandet. Dataeksportøren
skal i den forbindelse – på baggrund af de konkrete omstændigheder ved
overførslen – vurdere, om lovgivning og praksis i det pågældende tredje-
land påvirker effektiviteten af de standardbestemmelser, der påtænkes
indgået. Det Europæiske Databeskyttelsesråd har udarbejdet anbefalinger
om de europæiske væsentlige overvågningsgarantier, som kan være til
hjælp, når man skal foretage denne vurdering.
4
Hvis dataeksportørens vurdering viser, at lovgivning og praksis i modta-
gerlandet er til hinder for, at dataeksportøren og dataimportøren alene
ved indgåelse af standardbestemmelser kan tilvejebringe et beskyttelses-
niveau, som i det væsentligste svarer til det i EU, skal dataeksportøren –
oftest i samarbejde med dataimportøren – træffe supplerende foranstalt-
ninger således, at beskyttelsesniveauet samlet set bringe op på et niveau,
som i det væsentlige svarer til beskyttelsesniveauet i EU. Det Europæiske
Databeskyttelsesråd har vedtaget et sæt anbefalinger om sådanne supple-
rende foranstaltninger
5
, der kan være af teknisk, organisatorisk eller kon-
traktuel karakter.
EU-Domstolen fandt endvidere i forhold til USA, at visse amerikanske
lovregler – så som Foreign Intelligence Surveillance Act (FISA) sektion
702 og Executive Order 12 333, sammenholdt med Presidential Policy
Directive-28 – ikke opfylder EU-rettens krav om proportionalitet ved
indgreb i grundlæggende rettigheder, ligesom de (europæiske) registre-
rede ikke har adgang til effektive retsmidler. For dataimportører i USA,
som er omfattet af disse lovregler, foreligger der dermed forhold som på-
virker effektiviteten af de standardbestemmelser, der vil skulle indgås
med importøren.
Om Datatilsynets opgaver og forpligtelser
I overensstemmelse med artikel 8, stk. 3, i Chartret, er Datatilsynets rolle,
kompetence og opgaver nærmere fastsat i databeskyttelsesforordningens
artikel 51-59.
Det følger af disse bestemmelser, at Datatilsynet først og fremmest har
til opgave at føre tilsyn med og håndhæve anvendelsen af databeskyttel-
sesforordningen og sikre dens overholdelse.
Det fremgår i den forbindelse af forordningens artikel 58, at Datatilsynet
har en række korrigerende beføjelser. Det omfatter bl.a. beføjelsen om
4
Det Europæiske Databeskyttelsesråds anbefalinger 02/2020 om de europæiske væ-
sentlige garantier for overvågningsforanstaltninger.
European Data Protection Board's Recommendations 1/2020 on measures that sup-
plement transfer tools to ensure compliance with the EU level of protection of per-
sonal data
5
3
BUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 347: Spm. om baggrunden for og konsekvenserne ved afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022 ‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på danske skoler’, til børne- og undervisningsministeren
2616599_0004.png
midlertidigt eller definitivt at begrænse, herunder forbyde, behandling af
personoplysninger, jf. artikel 58, stk. 2, litra f, samt beføjelsen at påbyde
suspension af overførsel af personoplysninger til en modtager i et tredje-
land, jf. artikel 58, stk. 2, litra j.
I den forbindelse udtalte EU-Domstolen i Schrems II-sagen endvidere,
at en tilsynsmyndighed – Datatilsynet – har pligt til at reagere på en pas-
sende måde, når myndigheden i forbindelse med sin undersøgelse af en
sag finder, at den registrerede person, hvis personoplysninger er blevet
overført til et tredjeland, ikke nyder godt af et tilstrækkeligt beskyttelses-
niveau i dette land.
Datatilsynet har således – ifølge EU-Domstolen – i henhold til databe-
skyttelsesforordningens artikel 58, stk. 2, litra f og j, pligt til at suspen-
dere eller forbyde en overførsel af personoplysninger til et tredjeland,
hvis tilsynet i lyset af alle omstændighederne ved overførslen finder, at
EU-Kommissionens standardbestemmelser ikke er overholdt eller ikke
kan overholdes i dette tredjeland, og at det ikke er muligt ved andre mid-
ler at sikre den beskyttelse af de overførte oplysninger, som kræves efter
EU-retten.
Om Datatilsynets afgørelse af 14. juli 2022
Datatilsynet har den 14. juli 2022 truffet afgørelse over for Helsingør
Kommune, hvor tilsynet bl.a. fandt, at personoplysninger, som Helsingør
Kommune havde instrueret sin databehandler om at overføre til USA
ikke blev sikret et beskyttelsesniveau, der i det væsentlige svarer til be-
skyttelsesniveauet i EU/EØS, og at kommunen ikke havde truffet de
fornødne supplerende foranstaltninger for at bringe beskyttelsesniveauet
op til det påkrævede niveau.
Derfor suspenderede Datatilsynet enhver overførsel af personoplysnin-
ger til USA, som Helsingør Kommune havde instrueret sin databehand-
ler om at foretage, indtil kommunen kan påvise, at databeskyttelsesfor-
ordningens særlige regler om overførsel af personoplysninger til tredje-
lande er iagttaget.
Datatilsynets afgørelse er således truffet i overensstemmelse med databe-
skyttelsesforordningen, EU-Domstolens dom af 16. juli 2020, samt ret-
ningslinjer fra Det Europæiske Databeskyttelsesråd.
Der henvises derudover til afgørelsen i sin helhed. Afgørelsen er offent-
liggjort på Datatilsynets hjemmeside:
https://www.datatilsynet.dk/afgoe-
relser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-
i-chromebook-sag
4
BUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 347: Spm. om baggrunden for og konsekvenserne ved afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022 ‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på danske skoler’, til børne- og undervisningsministeren
Datatilsynet bemærker afslutningsvis, at afgørelsen – separat fra suspen-
sionen af overførsel af personoplysninger til USA – omfatter et behand-
lingsforbud, indtil Helsingør Kommune har bragt sin behandlingsaktivi-
tet i overensstemmelse med databeskyttelsesforordningen og udarbejdet
fyldestgørende dokumentation herfor.
Afgørelsen er alene stilet til Helsingør Kommune.
Der har endvidere – efter opfordring fra Datatilsynet – som opfølgning
på tilsynets afgørelse den 19. august 2022 været afholdt et møde i Data-
tilsynet med deltagelse af Helsingør Kommune, KL og Styrelsen for It
og Læring.
Formålet med mødet var at nå frem til en fælles forståelse af, hvordan
parterne sammen kan finde en løsning, så skolerne hurtigst muligt kan
tage elevernes vante arbejdsredskaber i brug igen på en lovlig måde.
Under mødet erkendte Helsingør Kommune, at der er en høj risiko ved
behandlingen, og alle parter er på den baggrund enige om at arbejde hur-
tigt og effektivt sammen om en lovliggørelse af kommunens brug af løs-
ningen.”.
Der har endvidere – efter opfordring fra Datatilsynet – som opfølgning
på tilsynets afgørelse den 19. august 2022 været afholdt et møde i Data-
tilsynet med deltagelse af Helsingør Kommune, KL og Styrelsen for It
og Læring om den videre proces”.
Datatilsynet er efter databeskyttelsesforordningens artikel 52 uafhængigt,
og Justitsministeriet kan derfor ikke gå nærmere ind i den konkrete afgø-
relse.
Justitsministeriet kan dog oplyse, at Kommissionen og USA’s regering i
marts 2022 indgik en principaftale om en ny ramme for udveksling af
personoplysninger mellem EU og USA. Rammen skal imødegå de be-
tænkeligheder om tredjelandsoverførsler, som EU-Domstolen har rejst i
Schrems II-afgørelsen fra juli 2020, og sikre, at der i videre omfang end i
dag kan overføres personoplysninger fra EU til USA til gavn for bl.a.
samhandlen. Justitsministeriet følger arbejdet med gennemførelse af afta-
len tæt. Kommissionen har oplyst, at arbejdet tidligst forventes afsluttet
inden udgangen af 2022.
Endelig bemærkes det, at det følger af artikel 19 i Traktaten om Den Eu-
ropæiske Union, at EU-Domstolen har kompetence til at træffe afgørelse
i henhold til traktaterne. EU-Domstolen træffer således bl.a. afgørelser
om fortolkningen af EU-retten, hvilket er en integreret del af EU-samar-
bejdet.”
5
BUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 347: Spm. om baggrunden for og konsekvenserne ved afgørelsen fra EU-Domstolen, jf. artiklen i Politiken den 15. juli 2022 ‘Lærere står med »kæmpestort problem«: Chromebooks bliver forbudt på danske skoler’, til børne- og undervisningsministeren
Med venlig hilsen
Pernille Rosenkrantz-Theil
6