GRU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 54: Spm. om at tilsende udvalget et notat, evt. med indhentelse af bidrag fra Datatilsynet, som forklarer den problematik, som omhandler, at Grønland er at betragte som persondatabeskyttelsesretligt usikkert 3. land, til justtisministeren

Grønlandsudvalget 2021-22
GRU Alm.del
Offentligt

Folketinget

Grønlandsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

8. marts 2022

Nordatlantkontoret

Maise Biørn Jørgensen

2022-0032/09-0166

2325037

Besvarelse af spørgsmål nr. 54 (Alm. del) fra Folketingets Grønlands-

udvalg

Hermed sendes besvarelse af spørgsmål nr. 54 (Alm. del), som Folketingets

Grønlandsudvalg har stillet til justitsministeren den 10. februar 2022.

Spørgsmålet er stillet efter ønske fra Christoffer Aagaard Melson (V).

Nick Hækkerup

Marie Mølsted

Slotsholmsgade 10

1216 København K.

T +45 3392 3340

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

Side 1/8

GRU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 54: Spm. om at tilsende udvalget et notat, evt. med indhentelse af bidrag fra Datatilsynet, som forklarer den problematik, som omhandler, at Grønland er at betragte som persondatabeskyttelsesretligt usikkert 3. land, til justtisministeren

Spørgsmål nr. 54 (Alm. del) fra Folketingets Grønlandsudvalg:

”Vil ministeren tilsende udvalget et notat, evt. med indhentelse

af bidrag fra Datatilsynet, som forklarer den problematik, der

blev nævnt på Grønlandsudvalgets høring 9. februar 2022 om

fremtidens retsvæsen i Grønland, som omhandler, at Grønland

er at betragte som persondatabeskyttelsesretligt usikkert 3. land,

hvilket bl.a. indebærer, at det komplicerer retterne i Grønlands

anvendelse af IT-systemer, idet medarbejderne f.eks. er nødt til

at tilgå IT-systemerne via fjernskriveborde i Danmark? Vil mi-

nisteren desuden oplyse, hvilke muligheder der findes for løs-

ninger af denne uhensigtsmæssige problematik indenfor Rigs-

fællesskabet og hvilke tidsmæssige horisonter der er for at få

problematikken løst?”

Svar:

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en

udtalelse fra Domstolsstyrelsen og Datatilsynet.

Domstolsstyrelsen har i forhold til den konkrete problemstilling om anven-

delse af IT-systemer ved retterne i Grønland, oplyst følgende:

”I

dag er medarbejderne ved Grønlands Domstole nødsaget til at tilgå

de juridiske fagsystemer via et fjernskrivebord fra Grønland til Dan-

mark. Årsagen til dette er primært af sikkerhedsmæssige hensyn for at

sikre en beskyttet og krypteret dataforbindelse mellem Danmarks

Domstole og Grønlands Domstole. Grønlands Domstole benytter del-

vist egen it-infrastruktur med egne leverandøraftaler. Det er således

kun de juridiske fagsystemer, der tilgås via fjernskrivebord, og ikke

kontorapplikationer, kommunikationsløsninger og økonomisystemer

mv. Med den nuværende løsning opbevares personoplysninger i fag-

systemerne inden for Danmarks grænser.

Der er to løsningsmuligheder for at afskaffe Grønlands Domstoles

brug af fjernskriveborde, når de skal tilgå de juridiske fagsystemer.

Den ene løsningsmulighed er at ”udvide” det interne danske netværk

til Grønland og indlejre de juridiske fagsystemer direkte til medarbej-

derne ved Grønlands Domstole. Selv med en eventuel implementering

af denne netværksmulighed, vil medarbejderne ved Grønlands Dom-

stole potentielt opleve et langsommere it-miljø end i dag, da alle fore-

spørgsler skal transporteres fra Grønland til Danmark og retur. Den

netværksmæssige forsinkelse (’latency’) vil være høj på grund

af den

store fysiske afstand.

Side 2/8

Den anden løsningsmulighed er at etablere en kopi af de nuværende

danske fagsystemer ved Grønlands Domstole. En sådan løsning er dog

ikke realistisk, eftersom det vil det kræve etableringsudgifter for mil-

lioner af kroner til it-infrastruktur, licenser, yderligere vedligeholdel-

sesaftaler og ”housing” (opstilling i datacentre). Hertil vil sikkerheds-

indsatsen med implementering af ISO27001 og sikring af it-sikkerhe-

den være yderst krævende og fordyrende, og leverandørmarkedet til

it-systemer i Grønland er stærk begrænset. Flere af de juridiske fagsy-

stemer der i dag anvendes ved Danmarks Domstole er klassificeret

som såkaldte ”legacy”-systemer.

Det er således en større udfordring

at finde kompetencer og leverandører, som kan foretage vedligehold

af systemerne.”

Datatilsynet har mere generelt oplyst følgende:

”Databeskyttelsesforordningen

Databeskyttelsesforordningen indeholder særlige regler, som skal

være opfyldt, når en dansk organisation, f.eks. en offentlig myndig-

hed, ønsker at overføre oplysninger til tredjelande. Et tredjeland er et

land, som ikke er medlem af EU/EØS. Selvom Grønland er en del af

Rigsfællesskabet, betragtes Grønland således i databeskyttelsesfor-

ordningens

forstand som et tredjeland.

Der vil som udgangspunkt være tale om en overførsel til et tredjeland,

når de personoplysninger, som en offentlig myndighed behandler, for-

lader eller gøres tilgængelige uden for EU/EØS. At oplysningerne gø-

res tilgængelige uden for EU/EØS betyder, at også situationer hvor

modtageren i et tredjeland alene har adgang til at se oplysningerne via

en fjernadgang, udgør en overførsel. Organisationen, der overfører

personoplysningerne betegnes typisk som

”dataeksportøren”, og mod-

tageren i tredjelandet betegnes ”dataimportøren”.

Når en offentlig myndighed ønsker at overføre oplysninger til et tred-

jeland, skal myndigheden etablere et overførselsgrundlag. Det kan ek-

sempelvis være tilfældet, at EU-Kommissionen ved en såkaldt til-

strækkelighedsafgørelse har fastslået, at et tredjeland er sikkert og har

et beskyttelsesniveau, som i det væsentlige svarer til det beskyttelses-

niveau, der gælder i EU/EØS. I så fald kan den offentlige myndighed

henvise til EU-Kommissionens tilstrækkelighedsafgørelse som sit

overførselsgrundlag til det pågældende tredjeland. Lande, hvor EU-

Kommissionen har truffet en tilstrækkelighedsafgørelse, betegnes

også som ”sikre tredjelande”.

EU-Kommissionen har imidlertid ikke truffet en tilstrækkelighedsaf-

gørelse vedrørende Grønland, hvorfor Grønland betragtes som et

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt-

telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-

veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning

om databeskyttelse)

Side 3/8

usikkert tredjeland. Det betyder, at en offentlig myndighed, der ønsker

at overføre personoplysninger til Grønland, skal etablere et andet

overførselsgrundlag. De mulige overførselsgrundlag fremgår af data-

beskyttelsesforordningens artikel 46.

Nedenfor følger en kort gennemgang af de overførselsgrundlag, der i

givet fald navnlig vil være relevante for en offentlig myndighed at

overveje.

Standardkontrakt

Det hyppigst anvendte overførselsgrundlag er EU-Kommissionens

standardbestemmelser om databeskyttelse (ofte benævnt standardkon-

trakt). Der er tale om et sæt kontraktbestemmelser, der fungerer som

skabelon, og som skal udfyldes og underskrives af dataeksportøren og

dataimportøren.

Standardbestemmelserne kan indgå som en del af en bredere kontrakt,

og det er muligt at tilføje andre klausuler eller yderligere garantier,

forudsat at disse ikke er i strid med standardbestemmelserne. Det er

imidlertid ikke muligt at ændre standardbestemmelserne i strid med

deres indhold.

Når man benytter sig af standardbestemmelserne skal man sikre sig,

at kontrakterne er indgået korrekt, og at parterne kan leve op til de

forpligtelser, som kontrakterne indeholder. Derudover skal man sikre

sig, at standardbestemmelserne er effektive i praksis.

Ad hoc kontrakter

Et andet muligt overførselsgrundlag er ad hoc kontrakter. Ad hoc kon-

trakter er kontrakter, der typisk tager udgangspunkt i EU-Kommissi-

onens standardkontrakt, men som samtidig er sprogligt og formmæs-

sigt tilpasset den enkelte virksomhed eller myndigheds behov. Forde-

len ved en ad hoc kontrakt er muligheden for at tilpasse indholdet af

kontrakten til den konkrete situation. Anvendelsen af ad hoc kontrak-

ter forudsætter imidlertid, at kontrakten er godkendt af Datatilsynet

efter forelæggelse for Det Europæiske Databeskyttelsesråd.

Retligt bindende aftaler mellem offentlige myndigheder

Et tredje muligt overførselsgrundlag er et retligt bindende instrument

mellem offentlige myndigheder. Det kan eksempelvis være en inter-

national traktat eller konvention. Hvis overførslen sker på baggrund

af en traktat eller lignende, der er retligt bindende og som kan hånd-

hæves, kræver overførslen ikke godkendelse fra Datatilsynet. Hvis

traktaten ikke er retligt bindende, skal Datatilsynet imidlertid god-

kende overførslen.

Administrative ordninger mellem offentlige myndigheder

Endelig kan offentlige myndigheder også overføre personoplysninger

til en anden offentlig myndighed i et tredjeland på baggrund af en ad-

ministrativ ordning, der omfatter effektive rettigheder, som kan

Side 4/8

håndhæves, for de registrerede. Det kan eksempelvis være et aftale-

memorandum, hvorved parterne tilkendegiver en fælles intention om

at samarbejde, uden at parterne er retligt forpligtet hertil.

Det er et krav, at ordningen sikrer rettigheder for de registrerede, som

kan håndhæves.

Når der er tale om administrative ordninger, som ikke er juridisk bin-

dende, kræver ordningen godkendelse fra Datatilsynet, hvilket oftest

også vil kræve inddragelse af Det Europæiske Databeskyttelsesråd.

Undtagelser

I databeskyttelsesforordningens artikel 49 findes en række undtagel-

ser i særlige situationer, hvor overførsler i mangel på en tilstrække-

lighedsafgørelse eller et andet overførselsgrundlag alligevel kan finde

sted. Undtagelserne skal imidlertid fortolkes restriktivt og kan kun be-

nyttes i begrænset omfang. Undtagelserne kan eksempelvis ikke an-

vendes ved overførsler, der må betegnes som masseoverførsler eller

systematiske overførsler, ligesom ikke alle undtagelser kan anvendes

af offentlige myndigheder.

Det betyder, at en offentlig myndighed almindeligvis vil skulle etab-

lere et af de overførselsgrundlag, der fremgår overfor, hvis myndig-

heden i forbindelse med sin sædvanlige og faste myndighedsudøvelse

har behov for at overføre personoplysninger til Grønland.

Retshåndhævelsesloven

Der gælder særlige regler for retshåndhævende myndigheders behand-

ling af personoplysninger, når behandlingen sker med henblik på at

forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger

eller fuldbyrde strafferetlige sanktioner. Ved retshåndhævende myn-

digheder forstås politiet, anklagemyndigheden, kriminalforsorgen,

Den Uafhængige Politiklagemyndighed og domstolene. Disse regler,

der følger af retshåndhævelsesloven

, omfatter også regler om over-

førsel af personoplysninger til tredjelande. Reglerne findes i retshån-

dhævelseslovens §§ 32-36.

Når en retshåndhævende myndighed skal overføre oplysninger til

f.eks. Grønland i retshåndhævende øjemed skal myndigheden iagttage

en række generelle principper, ligesom myndigheden skal sikre, at der

er et overførselsgrundlag.

Generelle principper

Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af person-

oplysninger med senere ændringer. Loven gennemfører Europa-Parlamentets og Rådets

direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse

med kompetente myndigheders behandling af personoplysninger med henblik på at fore-

bygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferet-

lige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets

rammeafgørelse 2008/977/RIA (retshåndhævelsesdirektivet).

Side 5/8

Af retshåndhævelseslovens § 32 fremgår en række betingelser, der al-

tid skal være opfyldt ved overførsel af personoplysninger til et tredje-

land.

Overførslen skal således bl.a. være nødvendig i forhold til de rets-

håndhævende formål, som er omfattet af retshåndhævelsesloven, og

skal ske til en myndighed, der er kompetent for så vidt angår disse

formål (retshåndhævende myndighed).

Der skal derudover foreligge et overførselsgrundlag.

Tilstrækkelighedsafgørelse

Som det er tilfældet under de generelle databeskyttelsesregler, kan

EU-Kommissionen for så vidt angår retshåndhævelsesloven træffe af-

gørelse om, at et tredjeland, et område eller en eller flere sektorer i

dette tredjeland har et tilstrækkeligt beskyttelsesniveau. I så fald kan

den retshåndhævende myndighed henvise til EU-Kommissionens til-

strækkelighedsafgørelse som sit overførselsgrundlag til det pågæl-

dende tredjeland.

Tilstrækkelighedsafgørelser under retshåndhævelsesdirektivet adskil-

ler sig imidlertid fra tilstrækkelighedsafgørelser under databeskyttel-

sesforordningen. Retshåndhævende myndigheder kan dermed ikke in-

den for anvendelsesområdet af retshåndhævelsesloven overføre per-

sonoplysninger til tredjelande, som EU-Kommissionen har vurderet

som sikre i henhold til databeskyttelsesforordningen.

For nuværende har EU-Kommissionen under retshåndhævelsesdirek-

tivet alene truffet en tilstrækkelighedsafgørelse vedrørende Storbri-

tannien. Det betyder, at en retshåndhævende myndighed, der ønsker

at overføre personoplysninger til f.eks. Grønland, skal etablere et an-

det overførselsgrundlag.

International aftale eller fornødne garantier

Foreligger der ikke en tilstrækkelighedsafgørelse fra EU-Kommissio-

nen, kan retshåndhævende myndigheder overføre personoplysninger

til et tredjeland, såfremt der i en international aftale er givet de for-

nødne garantier, hvad angår beskyttelsen af personoplysninger.

Sådanne aftaler kunne f.eks. være juridisk bindende bilaterale aftaler,

der er indgået med et tredjeland og som kan håndhæves af de registre-

rede i disse stater, og som sikrer, at databeskyttelseskravene og de re-

gistreredes rettigheder opfyldes, herunder retten til effektiv admini-

strativ eller retslig prøvelse.

Overførsel kan også ske, hvis myndigheden har vurderet alle forhold

i forbindelse med overførslen og konkluderet, at der findes fornødne

garantier for beskyttelsen af personoplysninger.

Præambelbetragtning nr. 71 til retshåndhævelsesdirektivet.

Side 6/8

Hvis overførslen sker på baggrund af myndighedens vurdering af, at

der findes fornødne garantier, skal myndigheden over for Datatilsynet

–

efter anmodning

–

kunne dokumentere dato og tidspunkt for over-

førslen, oplysninger om den modtagende kompetente myndighed, be-

grundelsen for overførslen og de overførte oplysninger.

Undtagelser

Ligesom databeskyttelsesforordningen indeholder retshåndhævelses-

loven også en række undtagelser, hvor en overførsel eller en kategori

af overførsler kan ske i mangel på en tilstrækkelighedsafgørelse eller

fornødne garantier.

Overførsel i medfør af undtagelserne kan imidlertid

–

ligesom undta-

gelserne i databeskyttelsesforordningen

–

alene ske undtagelsesvist og

skal begrænses til de oplysninger, som er strengt nødvendige for at

varetage det pågældende formål.

Bestemmelsen kan således ikke

danne grundlag for hyppige, omfattende og strukturelle overførsler af

personoplysninger eller omfattende overførsler af personoplysninger.

Overførsel til andre end retshåndhævende myndigheder

Endelig kan retshåndhævende myndigheder overføre personoplysnin-

ger til andre end retshåndhævende myndigheder og internationale or-

ganisationer i tredjeland.

Overførsel kan for det første ske på baggrund af en international af-

tale. For det andet kan overførsler

–

i undtagelsestilfælde

–

ske i en-

keltstående og specifikke tilfælde, hvis en række nærmere angivne be-

tingelser er opfyldt.

Det bemærkes afslutningsvis, at retshåndhævende myndigheder ty-

pisk varetager både myndighedsopgaver i retshåndhævende øjemed

samt opgaver som led i almindelig offentlig myndighedsudøvelse.

Dette indebærer, at retshåndhævende myndigheder almindeligvis er

omfattet af såvel retshåndhævelsesloven som de generelle databeskyt-

telsesregler.

Hvis retshåndhævende myndigheder skal overføre personoplysninger

til tredjelande, f.eks. Grønland, vil myndighederne derfor almindelig-

vis have behov for et overførselsgrundlag efter såvel databeskyttelses-

forordningen som retshåndhævelsesloven. Det beror på formålet med

den pågældende overførsel af personoplysninger, hvilket retsgrundlag

–

og dermed overførselsgrundlag

–

der er relevant.”

Justitsministeriet kan oplyse, at Naalakkersuisut med henblik på lettere

overførsel af personoplysninger fra Danmark til Grønland har ønsket, at

Lovforslag L 168 til lov om retshåndhævende myndigheders behandling af personoplys-

ninger, de særlige bemærkninger til § 35.

Præambelbetragtning nr. 72 til retshåndhævelsesdirektivet.

Side 7/8

arbejdet med godkendelse af Grønland som sikkert tredjeland efter databe-

skyttelsesforordningen prioriteres, herunder ved at der indgives en ansøg-

ning om en tilstrækkelighedsafgørelse til Europa-Kommissionen. Justitsmi-

nisteriet er i dialog med Naalakkersuisut herom, men det må forventes, at

processen med godkendelse vil kunne tage flere år. Justitsministeriet arbej-

der derudover på at sætte retshåndhævelsesloven i kraft for de retshåndhæ-

vende myndigheder i Grønland, bl.a. for at lette disse myndigheders over-

førsel af personoplysninger fra Danmark til Grønland. Det forventes i den

forbindelse, at et udkast til anordning kan sendes i offentlig høring i løbet af

foråret.

Side 8/8