Spørgsmål nr. 913 (Alm. del) fra Folketingets Retsudvalg:

”Ministeren bedes redegøre for, hvorvidt persondataloven be-skytter danske borgere imod overvågning foretaget af ameri-kanske myndigheder af amerikanske internetvirksomhedersservere, eller hvorvidt denne form for overvågning er lovlig?”

Svar:

Justitsministeriet har til brug for besvarelse af spørgsmålet indhentet enudtalelse fra Datatilsynet, der har oplyst følgende:”Persondataloven gælder som udgangspunkt kun for behand-ling af personoplysninger, som foretages af eller for danskemyndigheder og virksomheder, der er etableret som dataan-svarlige i Danmark. Dette følger af persondatalovens § 4, stk.1.Danske datterselskaber af amerikanske virksomheder skal så-ledes leve op til persondataloven i forhold til de personoplys-ninger, som de er dataansvarlige for.En amerikansk myndigheds overvågning af en amerikansk in-ternetvirksomheds servere vil efter Datatilsynets umiddelbarevurdering ikke være en behandling omfattet af persondatalo-ven.Hvis en dansk dataansvarlig vil benytte en tjeneste hos en ame-rikansk internetudbyder, er det den danske virksomhed ellermyndigheds ansvar at sikre sig, at behandlingen af personop-lysninger i løsningen sker på betryggende vis og under iagtta-gelse af persondataloven. Eksempelvis må en dansk dataan-svarlig, der vil benytte en cloud-løsning hos en amerikansk ud-byder, foretage en risikovurdering i forhold til samtlige aspek-ter af den påtænkte anvendelse af cloud-løsningen baseret påindsigt i de reelle forhold hos udbyderen. Se nærmere i Datatil-synets udtalelse af 10. juli 2012 til IT-Universitetet angåendebrug af Microsofts cloud-løsning Office 3651. Datatilsynet hari den udtalelse endvidere anbefalet, at IT-Universitetet under-søger mulighederne for – og så vidt muligt sørger for – at per-sonoplysninger lagres i krypteret form hos Microsoft.”