DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 73: Spm. i forlængelse af besvarelsen af DIU alm. del – spm. 49 om placeringen af cookie-tilsynet samt med henvisning til erhvervslivets EU- og Regelforums anbefaling 12 om, at håndhævelsen af e-privacyforordningen placeres under én myndighed

Udvalget for Digitalisering og It 2023-24
DIU Alm.del
Offentligt

Folketingets Udvalg for Digitalisering og It

Stormgade 2-6

1470 København K

Telefon 72 28 24 00

[email protected]

Sagsnr.

2023 - 4377

Doknr.

57612

Dato

16-01-2024

Svar på spørgsmål fra Lisbeth Bech-Nielsen (SF) stillet den 20. december 2023.

Spørgsmål nr. 73:

”Vil

ministeren i forlængelse af besvarelsen af DIU alm. del

–

spm. 49 om placeringen af coo-

kie-tilsynet samt med henvisning til erhvervslivets EU- og Regelforums anbefaling 12 om, at

håndhævelsen af e-privacyforordningen placeres under én myndighed, besvare følgende:

Hvordan forholder ministeren sig til Erhvervslivets EU- og Regelforums Anbefaling num-

mer 12: Uens fortolkning af reglerne for samtykke på tværs af myndigheder, jf. www.re-

gelforum.dk?

Er ministeren enig i, at det vil være hensigtsmæssigt placere håndhævelsen af e-privacy-

forordningen og dermed cookie-tilsynet under Datatilsynet, idet der i dag er tale om

uens fortolkning på tværs af myndigheder, og Datatilsynet fører tilsyn med GDPR, som

har forrang, ligesom flere af medlemslandenes datatilsyn varetager opgaven med både

e-privacyforordningen og GDPR?

Vil ministeren redegøre for status for forhandlingerne om e-privacyforordningen?

Vil ministeren redegøre for, hvad i e-privacyforordningen og forhandlinger herom der

skulle være til hinder for at placere cookie-tilsynet i Datatilsynet?

Vil ministeren i forhold til forhandlingerne om e-privacyforordningen redegøre for, i hvil-

ket omfang regeringen arbejder for, at håndhævelsen af e-privacyforordningen kan pla-

ceres i Datatilsynet, som varetager håndhævelsen af GDPR, således at man fremover

undgår uens fortolkning af reglerne på tværs af myndigheder?”

Svar:

Lad mig starte med at slå fast, at jeg deler Erhvervslivets EU- og Regelforums fokus på nød-

vendigheden af enkle regler: Det skal være klart og tydeligt for virksomheder og borgere,

hvordan de lever op til gældende regler, herunder cookie-reglerne.

Cookie-reglerne håndhæves i dag af Digitaliseringsstyrelsen. Cookie-reglerne

følger af EU’s e-

databeskyttelsesregler, der gælder for elektronisk kommunikation og udbydere af sådanne

tjenester, herunder behandling af personoplysninger og metadata såsom trafik- og lokalise-

ringsdata. Ud over at regulere anvendelsen af cookies og lignende teknologier indeholder e-

databeskyttelsesreglerne bl.a. også krav til, hvordan udbydere af elektroniske kommunikati-

onstjenester må behandle data, hvordan de skal sikre kommunikationshemmelighed og kun-

deoplysninger samt håndtere brud herpå. Håndhævelsen af disse krav varetages også af Digi-

taliseringsstyrelsen.

DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 73: Spm. i forlængelse af besvarelsen af DIU alm. del – spm. 49 om placeringen af cookie-tilsynet samt med henvisning til erhvervslivets EU- og Regelforums anbefaling 12 om, at håndhævelsen af e-privacyforordningen placeres under én myndighed

Forhandlingerne af forslaget til e-privacyforordningen

De nuværende e-databeskyttelsesregler udspringer af EU-direktivet fra 2002 om behandling

af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikations-

sektor (direktiv 2002/58/EF). Der eksisterer således ikke en e-privacyforordning, som det el-

lers fremlægges i Regelforums anbefaling. I 2017 fremsatte EU-Kommissionen imidlertid et

forslag til en forordning, der skulle erstatte det gældende direktiv. Af Kommissionens forslag

fremgik, at tilsynsmyndigheden, der er ansvarlig for at føre tilsyn med GDPR, også skulle være

tilsynsmyndighed for e-databeskyttelsesreglerne. Under forhandlingerne i EU vedtog Rådet

en forhandlingsposition, der lagde op til større fleksibilitet, hvor medlemslandene har mere

frihed til selv at bestemme, hvor tilsynsopgaverne placeres, forudsat at visse krav om uaf-

hængighed og myndighedssamarbejde er opfyldt. Regeringen har støttet denne tilgang, da

det bør være overladt til den enkelte medlemsstat at beslutte hvilken eller hvilke kompetente

myndigheder, der skal være ansvarlig for tilsynet. Der er således ikke noget til hinder for,

hverken i Kommissionens oprindelige forslag eller Rådets forhandlingsposition, at cookietilsy-

net kan placeres i Datatilsynet. Forhandlingerne af forslaget har dog ligget stort set stille siden

2021. Det er tvivlsomt, om forhandlingerne vil blive genoptaget efter Europa- Parlamentsval-

get og tiltrædelsen af ny EU-Kommission senere i 2024.

Relationen mellem e-databeskyttelsesreglerne og de generelle regler om beskyttelse af per-

sonoplysninger (GDPR)

Eftersom e-databeskyttelsesreglerne alene vedrører elektronisk kommunikation og denne

sektor, betegnes de som særregler, der specificerer og supplerer det generelle regelgrundlag,

herunder GDPR. Denne særlovgivning har bl.a. til formål at sikre beskyttelse af de grundlæg-

gende rettigheder og frihedsrettigheder, og navnlig privatlivets fred, under hensyn til de sær-

lige omstændigheder for området, som de mere generelle regler ikke tager højde for. Ifølge

princippet om lex specialis og lex generalis betyder dette, at e-databeskyttelsesreglerne som

udgangspunkt har forrang over GDPR - ikke omvendt, som det fremgår af Regelforums anbe-

faling.

Fortolkningen af samtykkebegrebet ved anvendelsen af cookies udgør en af de konkrete snit-

flader mellem håndhævelsen af henholdsvis e-databeskyttelsesreglerne og GDPR-reglerne.

Det skyldes, at e-databeskyttelsesreglernes krav om samtykke ved brug af cookies og lignende

indeholder en henvisning til de generelle databeskyttelsesregler, og derfor også skal læses i

sammenhæng med GDPR, hvor samtykkebegrebet p.t. er defineret. Det betyder i praksis, at

Datatilsynets fortolkning af samtykkebegrebet i håndhævelsen af GDPR har betydning for,

hvordan samtykkebegrebet i håndhævelsen af e-databeskyttelsesreglerne skal fortolkes.

Derfor skal fortolkning af reglerne for samtykke naturligvis være ens på tværs af de to myn-

digheder. Digitaliseringsstyrelsen tilpasser således også løbende egen tilsynspraksis i forlæn-

gelse af de praksisændringer, der følger af Datatilsynets tilsyn. For at gøre det lettest muligt

for virksomheder og borgere at forstå og efterleve reglerne om samtykke er Digitaliseringssty-

relsen og Datatilsynet i gang med at udarbejde en fælles vejledning om samtykke ift. anven-

delsen af cookies og lignende teknologier.

Jeg mener, at dialogen mellem Digitaliseringsstyrelsen og Datatilsynet samt fælles udvikling af

vejledningsmateriale i tilstrækkelig grad understøtter ensartet fortolkning af regler på tværs

af de to myndigheder. Denne praksis bidrager samtidig også til at styrke parternes forståelse

af forskellige perspektiver og hensyn på tværs af sektorer, regler og teknologier. Derfor ser jeg

hverken behov for, eller større værdi i, at cookietilsynet placeres under Datatilsynet.

Med venlig hilsen

Marie Bjerre