Retsudvalget 2012-13
REU Alm.del
Offentligt
FolketingetRetsudvalgetChristiansborg1240 København K
Dato:Kontor:Sagsbeh:Sagsnr.:Dok.:
22. maj 2013ForvaltningsretskontoretKristian Gyde Poulsen2013-0030-1435755553
Hermed sendes besvarelse af spørgsmål nr. 792 (Alm. del), som Folketin-gets Retsudvalg har stillet til justitsministeren den 22. april 2013. Spørgs-målet er stillet efter ønske fra Stine Brix (EL).
Morten Bødskov/Morten N. Jakobsen
Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]
Spørgsmål nr. 792 (Alm. del) fra Folketingets Retsudvalg:
”Er det hensigtsmæssigt, at danske offentlige virksomheder ogmyndigheder benytter sig af såkaldte cloud-løsninger fra ud-bydere i lande som f.eks. USA til databehandling, når man ta-ger de gældende regler om persondata og udtalelser fra f.eks.cloud-udbyderen Microsoft om, at de ikke kan garantere, at deikke udleverer data ejet af internationale cloud-kunder til deamerikanske myndigheder i betragtning? Der henvises til artik-len ”Pas på dine data i skyen” på Amino.dk den 7. juli 2011. Erdet derudover hensigtsmæssigt, at danske offentlige virksom-heder og myndigheder benytter amerikansk ejede virksomhe-der til behandling af data, såfremt disse også kan pålægges atudlevere data til amerikanske myndigheder uden dansk dom-stolskontrol og med forbud mod at gøre opmærksom på udle-veringen af data?”Svar:
Justitsministeriet kan oplyse, at persondatalovens regler skal iagttages, nåren dansk virksomhed eller myndighed overlader behandling af personop-lysninger til en såkaldt cloud-udbyder. Persondataloven indeholder bl.a.regler om overførsel af oplysninger til tredjelande (§ 27) og om behand-lingssikkerhed (§§ 41-42).En dansk virksomhed eller myndighed vil alene kunne gøre brug af encloud-løsning, hvori der vil blive overført personoplysninger til et eller fle-re tredjelande, hvis betingelserne i persondatalovens § 27 er opfyldt. Efterstk. 1 i bestemmelsen må der kun overføres oplysninger til et tredjeland,såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Stk. 3 inde-holder en række nærmere tilfælde, hvor der herudover kan overføres op-lysninger til et tredjeland.Ved et ”tredjeland” forstås efter persondatalovens § 3, nr. 9, en stat, somikke indgår i Det Europæiske Fællesskab, og som ikke har gennemført af-taler, der er indgået med Det Europæiske Fællesskab, og som indeholderregler svarende til direktiv 95/46/EF af 24. oktober 1995 om beskyttelse affysiske personer i forbindelse med behandling af personoplysninger og omfri udveksling af sådanne oplysninger.Reglerne om behandlingssikkerhed i lovens §§ 41-42 indebærer bl.a., at encloud-udbyder alene må behandle overladte oplysninger efter instruks fraden dataansvarlige virksomhed eller myndighed. Reglerne indebærer end-videre, at den dataansvarlige virksomhed eller myndighed skal sikre sig, at2cloud-udbyderen kan træffe de fornødne sikkerhedsforanstaltninger, og på-se, at dette sker. Der stilles desuden krav om, at der skal indgås en skriftligdatabehandleraftale mellem den dataansvarlige virksomhed eller myndig-hed og cloud-udbyderen, hvoraf det bl.a. skal fremgå, at cloud-udbyderenalene må handle efter instruks fra den dataansvarlige virksomhed ellermyndighed, og at reglerne om behandlingssikkerhed i persondataloven §41, stk. 3-5, ligeledes gælder for behandlingen ved cloud-udbyderen.I sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000),som vil skulle iagttages, når en cloud-udbyder på vegne af en offentligmyndighed foretager behandling af personoplysninger, er der fastsat yder-ligere regler om behandlingssikkerhed.I forhold til amerikanske cloud-udbyderes udlevering af oplysninger tilamerikanske myndigheder kan der henvises til Justitsministeriets besvarel-se af 23. maj 2012 af spørgsmål nr. 700 (Alm. del) fra Folketingets Rets-udvalg.
3
