Retsudvalget 2023-24
REU Alm.del Bilag 288
Offentligt
2892596_0001.png
Domstolsstyrelsens
årsberetning om tilsyn
med domstolenes
behandling af
personoplysninger
2021
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
Indhold
Domstolsstyrelsens årsberetning om tilsyn med domstolenes behandling af personoplysninger
2021............................................................................................................................................1
1. Databeskyttelsesrettens anvendelsesområde for de danske domstole .................................2
2. Domstolsstyrelsens kompetence og opgave ..........................................................................2
3. Vejlednings- og tilsynsvirksomhed i 2021...............................................................................3
3.1. Brud på persondatasikkerheden i 2021 .....................................................................3
3.1.1. Bunkeafvikling som følge af COVID-19-pandemien ................................................5
3.2. Klager over retternes behandling af personoplysninger i 2021 ..................................5
4. Oversigt over visse retskilder .................................................................................................5
5. Summary in English of the annual report of the supervisory authority 2021 ..........................6
A summary in English of the annual report can be found at the end.
1. Databeskyttelsesrettens anvendelsesområde for de danske domstole
Databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning
om databeskyttelse), databeskyttelsesloven (lov nr. 502 af 23. maj 2018 om supplerende
bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger) og retshåndhævelsesloven (lov nr.
410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger) gælder
generelt for domstolenes behandling af personoplysninger.
Domstolenes judicielle virke er dog på enkelte områder undtaget fra persondatareglerne. Et
eksempel på en sådan undtagelse er indsigtsretten efter persondatareglerne, der ikke gælder på
domstolenes judicielle område.
2. Domstolsstyrelsens kompetence og opgave
Domstolsstyrelsens kompetence som tilsynsmyndighed for domstolene i Danmark er reguleret en
række steder i databeskyttelsesforordningen og databeskyttelsesloven, jf. særligt forordningens
kapitel VI og kapitel VII, jf. databeskyttelseslovens § 37, stk. 1 og i retshåndhævelseslovens § 38,
stk. 1.
Domstolsstyrelsen fører efter bestemmelserne tilsyn med domstolenes behandlinger af
personoplysninger, der foretages for domstolene, når disse ikke handler i deres egenskab af domstol
(det administrative område). Tilsynet omfatter herunder spørgsmålet om behandlingssikkerhed.
Tilsynet omfatter også tinglysningssystemet.
Domstolsstyrelsen skal føre tilsyn med overholdelsen af persondataretten, håndhæve reglerne,
rådgive og håndtere anmodninger og klager fra registrerede. Domstolsstyrelsen skal i den
forbindelse bl.a. behandle retternes anmeldelser af brud på persondatasikkerheden.
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
2892596_0003.png
Domstolsstyrelsens tilsynsopgave svarer overordnet til den opgave, som Datatilsynet udfører med
hensyn til den offentlige forvaltning og det private erhvervsliv. Datatilsynet og Domstolsstyrelsen
samarbejder, i det omfang det er relevant, for at opfylde pligterne som tilsynsmyndigheder.
Efter den færøske persondatalov for rigsmyndighederne fører Domstolsstyrelsen tilsyn med Retten
på Færøernes behandling af oplysninger på det administrative område. Den grønlandske
persondatalov gælder derimod ikke for domstolenes behandling af personoplysninger.
Domstolsstyrelsen fører derfor ikke tilsyn med de grønlandske retters behandling af
personoplysninger.
Domstolsstyrelsens årsberetning for 2021 afgives i medfør af databeskyttelsesforordningens artikel
59 og retshåndhævelseslovens § 45.
3. Vejlednings- og tilsynsvirksomhed i 2021
Domstolsstyrelsen har i 2021 vejledt retterne om EU’s databeskyttelsesforordning og
databeskyttelsesloven samt retshåndhævelsesloven, og herunder om hvordan konkrete brud skal
håndteres.
3.1. Brud på persondatasikkerheden i 2021
Domstolsstyrelsen har i 2021 modtaget 254 anmeldelser af brud på persondatasikkerheden ved
retterne.
De registrerede brud har fordelt sig nogenlunde jævnt over de fire kvartaler – dog med en lille
overvægt i Q3. Det er Domstolsstyrelsens vurdering, at dette formentlig skyldes tilfældigheder.
Tabel 1. Brud på persondatasikkerheden anmeldt i 2021, fordelt på kvartal
Kvartal
Q1
Q2
Q3
Q4
I alt
Anmeldte brud
absolutte tal
72
32
90
60
254
Anmeldte brud
pct. andel
28 pct.
13 pct.
35 pct.
24 pct.
100 pct.
Vi har opgjort de modtagne brud på sagstype
1
. Ligesom i 2020 er størstedelen af bruddene på
persondatasikkerheden sket i forbindelse med behandlingen af sager på enten straffe- eller
fogedretsområderne, ligesom bruddene oftest er sket ved menneskelige fejl i forbindelse med
arbejdet i retternes sagsbehandlingssystemer på straffe- og fogedretsområderne. Dette behøver dog
ikke at betyde, at der er nogen strukturelle problemer i behandlingen af disse sagstyper, da bruddene
fordeler sig proportionalt med sagstypernes andel af det samlede antal sager ved domstolene.
sket i forbindelse med behandling af dødsboskiftesager er i denne forbindelse udskilt fra de øvrige skiftesager, da
dødsboskiftesagerne udgør langt størstedelen af retternes skiftesager. De øvrige skiftesager omfatter bl.a. konkurssager,
tvangsopløsninger, gældssaneringer, rekonstruktioner og ægtefælleskifter.
1
Brud
3
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
2892596_0004.png
Tabel 2. Brud på persondatasikkerheden anmeldt i 2021, fordelt på sagstype
Sagstype
Civil
Dødsboskifte
Foged
Skifte
Straffe
Andet
I alt
Anmeldte brud
absolutte tal
35
12
75
25
98
9
254
Anmeldte brud
pct. andel
14 pct.
5 pct.
29 pct.
10 pct.
39 pct.
3 pct.
100 pct.
Langt størstedelen af bruddene i 2021 kan kategoriseres som enten fejlforsendelser eller fejl i
indhold.
Ved fejlforsendelser forstås, at personoplysninger er blevet sendt til den forkerte modtager.
Forsendelsen har således det ”rigtige” indhold, men er sendt til den forkerte modtager.
Ved fejl i indhold er forsendelsen sendt til den korrekte modtager, men der er fx i forsendelsen
inkluderet dokumenter fra en anden sag, der er uploadet/vedhæftet ved en fejl, og derved er der
videregivet personoplysninger til uvedkommende.
Brud, som skyldes manglende pseudonymisering eller anonymisering af personoplysninger, udgør
ca. 10 pct. af den samlede mængde brud, hvilket gør det til den tredjehyppigste observerede
brudtype.
Et eksempel på et sådant brud fra 2021 er fremsendelse af en dom, hvor Domstolsstyrelsen blev
bekendt med, at pseudonymiseringen af et cpr-nummer kunne brydes. Domstolsstyrelsen udsendte
på den baggrund information til samtlige retter med en gennemgang af, hvilke former for
pseudonymiseringer, der er sikre at anvende.
Tabel 3. Brud på persondatasikkerheden anmeldt i 2021, fordelt på brudtype
Brudtype
Fejl i indhold
Fejlforsendelse
Fejloprettelse
Manglende
pseudonymisering/anonymisering
Andet
I alt
Anmeldte brud
absolutte tal
94
119
5
26
10
254
Anmeldte brud
pct. andel
37 pct.
47 pct.
2 pct.
10 pct.
4 pct.
100 pct.
4
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
2892596_0005.png
3.1.1. Bunkeafvikling som følge af COVID-19-pandemien
COVID-19-pandemien i 2020 medførte for Domstolsstyrelsen en stor mængde ekstraordinære
opgaver, der måtte prioriteres. Det medførte, at andre opgaver og aktiviteter måtte nedprioriteres,
herunder behandlingen af sager om brud.
Domstolsstyrelsen har udover de 254 brud, som blev anmeldt i 2021, færdigbehandlet 293 brud,
som blev anmeldt i 2020. Dermed er bunkerne som følge af COVID-19-pandemien afviklet i 2021.
Statistik over sagerne fra 2020 fremgår af årsrapporten for 2019-2020
2
.
3.2. Klager over retternes behandling af personoplysninger i 2021
Domstolsstyrelsen kan behandle klager fra borgere over domstolenes behandling af
personoplysninger på det administrative område og over behandlingssikkerheden generelt.
Domstolsstyrelsen kan også af egen drift undersøge, hvorvidt den behandling af personoplysninger,
der finder sted i forbindelse med domstolenes administrative opgaveløsning, er i overensstemmelse
med persondatareglerne.
Når Domstolsstyrelsen modtager en klage over en domstols behandling af personoplysninger, skal
Domstolsstyrelsen undersøge om den pågældende domstols behandling af personoplysninger er
sket i overensstemmelse med persondatareglerne. Domstolsstyrelsen har i den forbindelse
mulighed for at anvende sine beføjelser, fx at udtale kritik af en dataansvarlig eller en databehandler
eller at give et påbud om at imødekomme en anmodning fra en registreret om at udøve sine
rettigheder.
Hvis Domstolsstyrelsen modtager klager over domstolenes behandling af personoplysninger i
forbindelse med domstolenes judicielle virke, henviser Domstolsstyrelsen klageren til at rette sin
klage til den pågældende ret, der i det tilfælde selv træffer afgørelse. Rettens afgørelse kan kæres
til højere ret. Kære sker efter reglerne i retsplejeloven.
Domstolsstyrelsen har i 2021 modtaget 23 klager over retternes behandling af personoplysninger.
Domstolsstyrelsen har i 2021 også behandlet klager modtaget i 2019 og 2020, som på grund af
andre prioriterede opgaver ikke kunne behandles under COVID-19-pandemien. Dermed er bunkerne
som følge af COVID-19-pandemien afviklet. Statistik over sagerne fra 2019 og 2020 fremgår af
årsrapporten for 2019-2020
3
.
4. Oversigt over visse retskilder
-
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om
databeskyttelse)
Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af
personoplysninger (retshåndhævelsesloven)
-
2
3
https://domstol.dk/media/2txpijff/persondata-aarsberetning-2019-2020.pdf
https://domstol.dk/media/2txpijff/persondata-aarsberetning-2019-2020.pdf
5
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
2892596_0006.png
-
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven)
Anordning nr. 754 af 19. juni 2017 om ikrafttræden af lov om behandling af personoplysninger
for rigsmyndighedernes behandling af oplysninger på Færøerne
Bekendtgørelse nr. 1059 af 12. september 2017 for Færøerne om sikkerhedsforanstaltninger til
beskyttelse af personoplysninger, som behandles for domstolene
Bekendtgørelse nr. 1057 af 12. september 2017 for Færøerne om undtagelse fra pligten til
anmeldelse af visse behandlinger, som foretages for domstolene
-
-
-
5. Summary in English of the annual report of the supervisory authority 2021
This report constitutes the activity report of the Danish Court Administration as the supervisory
authority of the Danish courts for the year 2021 regarding data protection.
The data protection rules apply to the Danish courts. However, certain areas of the judicial activities
of the courts are excepted from the data protection rules.
The supervisory authority of the Danish Court Administration extends to all processing of data by the
courts when the courts are not acting in their capacity as a court. The supervision includes
supervision of the security of processing for the courts. Regarding judicial matters the court in
question ensures the compliance with the data protection law. The decisions of the court can be
appealed to a superior court.
Generally, the Danish Court Administration works as the supervisory authority to promote the
compliance of the data protection laws. The Danish Court Administration also receives notifications
of personal data security breaches from the courts and complaints or requests from data subjects.
Furthermore, the Danish Court Administration receives hearings about new regulation, which
potentially could affect the data protection in the courts.
The Danish Court Administration has processed a total of 254 cases regarding breaches of data
protection in the courts which were reported in 2021. In addition to this, The Danish Court
Administration has processed 293 cases regarding breach of data protection in the courts, reported
to the Danish Court Administration in 2020, which the supervisory authority did not have the
resources to expedite following the COVID-19 pandemic. The data in this report is limited to the
breaches of data protection, which were reported in 2021. Data on cases from 2020 can be found in
the activity report for 2019-2020
4
.
In 2021, The Danish Court Administration has received 23 complaints on the courts’ processing of
personal data. The Danish Court Administration has in 2021 also processed complaints received in
2019 and 2020. Data on cases from 2019 and 2020 can be found in the activity report for 2019-
2020
5
.
4
5
https://domstol.dk/media/2txpijff/persondata-aarsberetning-2019-2020.pdf
https://domstol.dk/media/2txpijff/persondata-aarsberetning-2019-2020.pdf
6
 REU, Alm.del - 2023-24 - Bilag 288: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2021
2892596_0007.png
7