REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Retsudvalget 2023-24
REU Alm.del Bilag 289
Offentligt

Domstolsstyrelsens

årsberetning om tilsyn

med domstolenes

behandling af

personoplysninger

2022

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Indhold

Domstolsstyrelsens årsberetning om tilsyn med domstolenes behandling af personoplysninger

2022............................................................................................................................................1

1. Databeskyttelsesrettens anvendelsesområde for de danske domstole .................................2

2. Domstolsstyrelsens kompetence og opgave ..........................................................................2

3. Vejlednings- og tilsynsvirksomhed i 2022...............................................................................3

3.1. Brud på persondatasikkerheden i 2022 .....................................................................3

3.2. Klager over retternes behandling af personoplysninger .............................................5

4. Oversigt over visse retskilder .................................................................................................5

5. Summary in English of the annual report of the supervisory authority 2022

..........................6

A summary in English of the annual report can be found at the end.

1. Databeskyttelsesrettens anvendelsesområde for de danske domstole

Databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.

april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og

om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning

om databeskyttelse), databeskyttelsesloven (lov nr. 502 af 23. maj 2018 om supplerende

bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af

personoplysninger og om fri udveksling af sådanne oplysninger) og retshåndhævelsesloven (lov nr.

410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger) gælder

generelt for domstolenes behandling af personoplysninger.

Domstolenes judicielle virke er dog på enkelte områder undtaget fra persondatareglerne. Et

eksempel på en sådan undtagelse er indsigtsretten efter persondatareglerne, der ikke gælder på

domstolenes judicielle område.

2. Domstolsstyrelsens kompetence og opgave

Domstolsstyrelsens kompetence som tilsynsmyndighed for domstolene i Danmark er reguleret en

række steder i databeskyttelsesforordningen og databeskyttelsesloven, jf. særligt forordningens

kapitel VI og kapitel VII, jf. databeskyttelseslovens § 37, stk. 1 og i retshåndhævelseslovens § 38,

stk. 1.

Domstolsstyrelsen fører efter bestemmelserne tilsyn med domstolenes behandlinger af

personoplysninger, der foretages for domstolene, når disse ikke handler i deres egenskab af domstol

(det administrative område). Tilsynet omfatter herunder spørgsmålet om behandlingssikkerhed.

Tilsynet omfatter også tinglysningssystemet.

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Domstolsstyrelsen skal føre tilsyn med overholdelsen af persondataretten, håndhæve reglerne,

rådgive og håndtere anmodninger og klager fra registrerede. Domstolsstyrelsen skal i den

forbindelse bl.a. behandle retternes anmeldelser af brud på persondatasikkerheden.

Domstolsstyrelsens tilsynsopgave svarer overordnet til den opgave, som Datatilsynet udfører med

hensyn til den offentlige forvaltning og det private erhvervsliv. Datatilsynet og Domstolsstyrelsen

samarbejder, i det omfang det er relevant, for at opfylde pligterne som tilsynsmyndigheder.

Efter den færøske persondatalov for rigsmyndighederne fører Domstolsstyrelsen tilsyn med Retten

på Færøernes behandling af oplysninger der foretages for domstolene, når disse ikke handler i deres

egenskab af domstol.

Den 1. juli 2022 er anordning nr. 1034 af 29. juni 2022 om ikrafttræden for Færøerne af lov om

retshåndhævende myndigheders behandling af personoplysninger trådt i kraft på Færøerne.

Herefter fører Domstolsstyrelsen også tilsyn med Færøernes behandling af personoplysninger der

foretages for domstolene, når disse ikke handler i deres egenskab af domstol på det strafferetlige

område. Færøerne er desuden forpligtet til at anmelde brud på persondatasikkerheden på det

strafferetlige område til Domstolsstyrelsen.

Den grønlandske persondatalov gælder derimod ikke for domstolenes behandling af

personoplysninger. Domstolsstyrelsen fører derfor ikke tilsyn med de grønlandske retters behandling

af personoplysninger.

Domstolsstyrelsens årsberetning for 2022 afgives i medfør af databeskyttelsesforordningens artikel

59 og retshåndhævelseslovens § 45.

3. Vejlednings- og tilsynsvirksomhed i 2022

Domstolsstyrelsen har i 2022 vejledt retterne om EU’s databeskyttelsesforordning og

databeskyttelsesloven samt retshåndhævelsesloven, og herunder om hvordan konkrete brud skal

håndteres.

3.1. Brud på persondatasikkerheden i 2022

Domstolsstyrelsen har i 2022 modtaget 248 brud på persondatasikkerheden ved retterne. I 2022

fordelte bruddene sig nogenlunde jævnt over de fire kvartaler.

Tabel 1. Brud på persondatasikkerheden anmeldt i 2022, fordelt på kvartal

Kvartal

I alt

Anmeldte brud

absolutte tal

248

Anmeldte brud

pct. andel

24 pct.

20 pct.

31 pct.

25 pct.

100 pct.

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Vi har opgjort de modtagne brud på sagstype.

Ligesom i 2021 er størstedelen af bruddene på

persondatasikkerheden sket i forbindelse med behandlingen af sager på enten straffe- eller

fogedretsområderne, ligesom bruddene oftest er sket ved menneskelige fejl i forbindelse med

arbejdet i retternes sagsbehandlingssystemer på straffe- og fogedretsområderne. Dette behøver dog

ikke at betyde, at der er strukturelle problemer i behandlingen af disse sagstyper, da bruddene

fordeler sig proportionalt med sagstypernes andel af det samlede antal sager ved domstolene.

Tabel 2. Brud på persondatasikkerheden anmeldt i 2022, fordelt på sagstype

Sagstype

Civil

Dødsboskifte

Foged

Skifte

Straffe

Andet

I alt

Anmeldte brud

absolutte tal

106

248

Anmeldte brud

pct. andel

8 pct.

2 pct.

28 pct.

15 pct.

43 pct.

4 pct.

100 pct.

Langt størstedelen af bruddene i 2022 kan kategoriseres som enten fejlforsendelser eller fejl i

indhold.

Ved fejlforsendelser forstås, at personoplysninger er blevet sendt til den forkerte modtager.

Forsendelsen har således det ”rigtige” indhold, men er sendt til den forkerte modtager.

Ved fejl i indhold er forsendelsen sendt til den korrekte modtager, men der er fx i forsendelsen

inkluderet dokumenter fra en anden sag, der er uploadet/vedhæftet ved en fejl, og derved er der

videregivet personoplysninger til uvedkommende. Et eksempel på denne brudtype er en indsendt

boopgørelse, der blev sendt til kontaktpersonen i et forkert dødsbo.

Ved en fejloprettelse er der indtastet forkerte oplysninger ved oprettelse af sagen, fx af en advokat.

Et eksempel på denne brudtype er en ret, der skulle oprette en sag på person A, der var fraflyttet

adressen, og da der på adressen boede en person med et navn, der lå tæt op af person A’s navn,

bemærkede medarbejderen ved retten ikke, at der var tale om den forkerte person.

Brud sket i forbindelse med behandling af dødsboskiftesager er i denne forbindelse udskilt fra de øvrige skiftesager, da

dødsboskiftesagerne udgør langt størstedelen af retternes skiftesager. De øvrige skiftesager omfatter bl.a. konkurssager,

tvangsopløsninger, gældssaneringer, rekonstruktioner og ægtefælleskifter.

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Tabel 3. Brud på persondatasikkerheden anmeldt i 2022, fordelt på brudtype

Brudtype

Fejl i indhold

Fejlforsendelse

Fejloprettelse

Manglende

pseudonymisering/anonymisering

Andet

I alt

Anmeldte brud

absolutte tal

134

248

Anmeldte brud

pct. andel

32 pct.

54 pct.

2 pct.

6 pct.

100 pct.

3.2. Klager over retternes behandling af personoplysninger

Domstolsstyrelsen kan behandle klager fra borgere over domstolenes behandling af

personoplysninger på det administrative område og over behandlingssikkerheden generelt.

Domstolsstyrelsen kan også af egen drift undersøge, hvorvidt den behandling af personoplysninger,

der finder sted i forbindelse med domstolenes administrative opgaveløsning, er i overensstemmelse

med persondatareglerne.

Når Domstolsstyrelsen modtager en klage over en domstols behandling af personoplysninger, skal

Domstolsstyrelsen undersøge om den pågældende domstols behandling af personoplysninger er

sket i overensstemmelse med persondatareglerne. Domstolsstyrelsen har i den forbindelse

mulighed for at anvende sine beføjelser, fx at udtale kritik af en dataansvarlig eller en databehandler

eller at give et påbud om at imødekomme en anmodning fra en registreret om at udøve sine

rettigheder.

Hvis Domstolsstyrelsen modtager klager over domstolenes behandling af personoplysninger i

forbindelse med domstolenes judicielle virke, henviser Domstolsstyrelsen klageren til at rette sin

klage til den pågældende ret, der i det tilfælde selv træffer afgørelse. Rettens afgørelse kan kæres

til højere ret. Kære sker efter reglerne i retsplejeloven.

Domstolsstyrelsen har i 2022 modtaget 11 klager over retternes behandling af personoplysninger.

4. Oversigt over visse retskilder

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om

databeskyttelse)

Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af

personoplysninger (retshåndhævelsesloven)

Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesloven)

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022

Anordning nr. 754 af 19. juni 2017 om ikrafttræden af lov om behandling af personoplysninger

for rigsmyndighedernes behandling af oplysninger på Færøerne

Bekendtgørelse nr. 1059 af 12. september 2017 for Færøerne om sikkerhedsforanstaltninger til

beskyttelse af personoplysninger, som behandles for domstolene

Bekendtgørelse nr. 1057 af 12. september 2017 for Færøerne om undtagelse fra pligten til

anmeldelse af visse behandlinger, som foretages for domstolene

Anordning nr. 1034 af 29. juni 2022 om ikrafttræden for Færøerne af lov om retshåndhævende

myndigheders behandling af personoplysninger

5. Summary in English of the annual report of the supervisory authority 2022

This report constitutes the activity report of the Danish Court Administration as the supervisory

authority of the Danish courts for the year 2022 regarding data protection.

The data protection rules apply to the Danish courts. However, certain areas of the judicial activities

of the courts are excepted from the data protection rules.

The supervisory authority of the Danish Court Administration extends to all processing of data by the

courts when the courts are not acting in their capacity as a court. The supervision includes

supervision of the security of processing for the courts. Regarding judicial matters the court in

question ensures the compliance with the data protection law. The decisions of the court can be

appealed to a superior court.

Generally, the Danish Court Administration works as the supervisory authority to promote the

compliance of the data protection laws. The Danish Court Administration also receives notifications

of personal data security breaches from the courts and complaints or requests from data subjects.

Furthermore, the Danish Court Administration receives hearings about new regulation, which

potentially could affect the data protection in the courts.

Ordinance no. 1034 of 29 June 2022 on the entry into force for the Faroe Islands of the law on law

enforcement authorities' processing of personal data entered into force in the Faroe Islands on July

, 2022. As a result of this, the Danish Courts Administration also oversees processing of

information in criminal cases when the courts are not acting in their capacity as a court on the Faroe

Islands. The Faroe Islands are also obligated to report breaches of personal data security within the

area of criminal law to the Danish Judicial Agency.

The supervisory authority has in 2022, among other initiatives, processed 248 cases regarding

breach of data protection in the courts. Furthermore, The Danish Court Administration has processed

11 complaints on the courts’ processing of personal data received in 2022.

REU, Alm.del - 2023-24 - Bilag 289: Domstolsstyrelsens årsberetning vedrørende tilsyn med behandling af personoplysninger 2022