PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del
Offentligt

Lovafdelingen

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

30. oktober 2014

Forvaltningsretskontoret

Kristian Gyde Poulsen

2014-0030-2566

1329039

Hermed sendes besvarelse af spørgsmål nr. 1603 (Alm. del), som Folke-

tingets Retsudvalg har stillet til justitsministeren den 2. oktober 2014.

Mette Frederiksen

Carsten Madsen

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

Spørgsmål nr. 1603 (Alm. del) fra Folketingets Retsudvalg:

”Vil man inden for de gældende EU-regler og de EU-regler,

der aktuelt er under gennemførelse, kunne erstatte de eksiste-

rende anmeldelsesordninger for virksomheder og myndigheder

med udpegningen af en data protection officer hos hver enkelt

virksomhed/myndighed, og vil dette i givet fald kunne føre til

en mere effektiv databeskyttelse?”

Svar:

Om de gældende regler i EU’s databeskyttelsesdirektiv (direktiv

95/46/EF) kan Justitsministeriet oplyse, at direktivets artikel 18-20 inde-

holder regler om anmeldelse og forudgående kontrol. Det følger af artikel

18, stk. 1, at medlemsstaterne fastsætter bestemmelser om, at den register-

ansvarlige eller dennes eventuelle repræsentant forud for iværksættelsen af

en behandling, der helt eller delvis udføres ved brug af elektronisk databe-

handling, eller en række sådanne behandlinger, hvis formål er identiske el-

ler indbyrdes relaterede, skal foretage anmeldelse til den i artikel 28 om-

handlede tilsynsmyndighed.

Det følger af artikel 18, stk. 2, 2. pind, at medlemsstaterne kan give mulig-

hed for forenklet anmeldelse eller fritagelse for anmeldelse i bl.a. tilfælde,

hvor de registeransvarlige i overensstemmelse med den nationale lovgiv-

ning, som de er underlagt, udpeger en person med ansvar for beskyttelse af

personoplysninger, som bl.a. har til opgave 1) i fuld uafhængighed at sikre

den interne anvendelse af de nationale bestemmelser, der er truffet i med-

før af direktivet, og 2) at føre et register over de behandlinger, der gen-

nemføres af den registeransvarlige, og som omfatter de i artikel 21, stk. 2,

omhandlede oplysninger, for på denne måde at sikre, at det ikke er sand-

synligt, at de registreredes rettigheder og frihedsrettigheder vil kunne

krænkes som følge af behandlingen.

Om denne undtagelsesmulighed er anført følgende i Registerudvalgets be-

tænkning nr. 1345/1997 om behandling af personoplysninger, s. 336-337:

”Den i artikel 18, stk. 2, 2. pind, skitserede mulighed for und-

tagelse er ikke anvendt. Undtagelsesbestemmelsen forudsætter

udpegelsen af en person med ansvar for beskyttelse af person-

oplysninger. Den udpegede person skal bl.a. have til opgave i

fuld uafhængighed at sikre den interne anvendelse af de natio-

nale bestemmelser, der er truffet i medfør af direktivet. Endvi-

dere skal vedkommende have til opgave at føre et register over

de behandlinger, der gennemføres af den dataansvarlige, og

PDF to HTML - Convert PDF files to HTML files

som omfatter de i artikel 21, stk. 1, omhandlede oplysninger.

Der findes ingen tilsvarende konstruktion i den nugældende

registerlovgivning. I den føderale tyske databeskyttelseslov er

der i dag regler om udpegning af en uafhængig ”databeskyttel-

sesofficer” i virksomheder m.v. med over et vist antal ansatte.

Denne ”officer” skal føre et vist tilsyn med overholdelsen af

lovgivningen på området samt føre en fortegnelse over de be-

handlinger, som finder sted i den pågældende virksomhed.

Indførelsen af en sådan ordning vil rejse en række problemstil-

linger af ansættelsesretlig og ledelsesmæssig karakter, navnlig

som følge af kravet om at den pågældende person skal fungere

i fuld uafhængighed. F.eks. vil der kunne opstå problemer i til-

fælde af uenighed mellem ledelsen i en myndighed eller virk-

somhed og den pågældende person, ligesom der også i det dag-

lige samarbejde vil kunne opstå problemer. Udvalget er endvi-

dere af den opfattelse, at et krav om udpegelse af en person,

som har ansvaret for at påse overholdelsen af reglerne i lovud-

kastet, vil pålægge virksomhederne en stor byrde. Hertil kom-

mer, at udvalget finder det væsentligt, at tilsynet føres centralt

af instanser med en særlig ekspertise på området samt erfarin-

ger med behandlinger, som foretages for

alle

typer af virksom-

heder, hvorved det sikres, at praksisdannelsen bliver ensartet

og sammenhængende. Ordningen er under alle omstændighe-

der heller ikke egnet til at finde anvendelse i mindre virksom-

heder, institutioner m.v. På denne baggrund har udvalget ikke

foreslået indførelsen af en sådan ordning.”

Undtagelsesmuligheden i artikel 18, stk. 2, 2. pind, er således ikke imple-

menteret i Danmark. Justitsministeriet er imidlertid bekendt med, at dette

er tilfældet i Sverige, Tyskland, og Norge (direktivet gælder også for EØS-

landene, jf. EØS-komitéens beslutning nr. 83/1999 af 25. juni 1999).

Muligheden for at udpege databeskyttelsesansvarlige indgår også i det

forslag til en generel databeskyttelsesforordning, som i øjeblikket forhand-

les i EU. Det følger således af den affattelse af forslagets artikel 35, som

for tiden er under forhandling på arbejdsgruppeniveau, at den dataansvar-

lige eller databehandleren

kan

udpege en databeskyttelsesansvarlig. Hvis

EU-lovgivning eller en medlemsstats lovgivning stiller krav herom,

skal

den dataansvarlige eller databehandleren udpege en databeskyttelsesan-

svarlig.

Artikel 35 til 37 i forordningsforslaget indeholder regler, der finder anven-

delse, såfremt der udpeges en databeskyttelsesansvarlig.

Det fremgår af artikel 35, stk. 5, at den databeskyttelsesansvarlige skal ud-

peges på baggrund af professionelle kvaliteter og især dennes ekspertviden

PDF to HTML - Convert PDF files to HTML files

om databeskyttelseslovgivning og -praksis samt evne til at udføre de opga-

ver, som følger af forordningen.

Den databeskyttelsesansvarlige tildeles ved forordningen en høj grad af

beskyttelse i ansættelsen. Det følger bl.a. af artikel 35, stk. 7, at den data-

beskyttelsesansvarlige i sin embedsperiode som udgangspunkt kun kan af-

skediges, såfremt denne ikke længere opfylder betingelserne for at vareta-

ge de opgaver, som pålægges efter forordningen.

Det følger af artikel 36, stk. 1, at den databeskyttelsesansvarlige for at

kunne udføre sine opgaver skal inddrages tilstrækkeligt og rettidigt i alle

spørgsmål vedrørende beskyttelse af personoplysninger. Den dataansvarli-

ge eller databehandleren skal støtte den databeskyttelsesansvarlige i udfø-

relsen af disse opgaver såvel ved at tilvejebringe ressourcer, som er nød-

vendige, som ved at give adgang til personoplysninger og databehandlin-

ger, jf. artikel 36, stk. 2.

Forordningsforslaget indeholder i artikel 36, stk. 3 og 4, desuden bestem-

melser, der har til formål at sikre, at den databeskyttelsesansvarlige skal

kunne handle uafhængigt i forbindelse med udførelsen af dennes opgaver

og ikke må modtage instruktioner om udøvelsen af disse opgaver.

Om den databeskyttelsesansvarliges opgaver fremgår det af forordningens

artikel 37, at den databeskyttelsesansvarlige bl.a. skal oplyse og rådgive

den dataansvarlige eller databehandleren om deres forpligtelser i henhold

til forordningen samt overvåge overholdelsen af forordningen.

Det bemærkes, at den anmeldelsesordning, som er indeholdt i persondata-

loven (og det gældende databeskyttelsesdirektiv), ikke foreslås videreført i

forordningsforslaget. I stedet lægges der i forslagets artikel 28, stk. 1, op

til, at den dataansvarlige skal opbevare optegnelser over de behandlinger

af personoplysninger, som foretages. Disse optegnelser skal bl.a. indeholde

oplysning om navn og kontaktoplysninger for den dataansvarlige og for-

målet med behandlingen. Efter artikel 28, stk. 2, litra a, skal også databe-

handleren opbevare optegnelser over de behandlinger af personoplysnin-

ger, som foretages på den dataansvarliges vegne. Kravet om opbevaring af

optegnelser kan ikke fraviges ved, at der udpeges en databeskyttelsesan-

svarlig.

Med forslaget om en ny generel EU-retsakt på databeskyttelsesområdet

lægges op til, at området fremover reguleres af en forordning. Det følger af

PDF to HTML - Convert PDF files to HTML files

artikel 288 i EUF-Traktaten, at forordninger er almengyldige og gælder

umiddelbart i hver medlemsstat. En forordning gælder således direkte – på

samme måde som en lov – i medlemsstaterne, og danske myndigheder,

virksomheder og borgere har pligt til at rette sig efter en forordning.

Justitsministeriet kan oplyse, at der på rådsmødet for retlige og indre an-

liggender den 9. og 10. oktober 2014 blev opnået politisk enighed om for-

ordningsforslagets kapitel 4, hvori ovennævnte bestemmelser indgår.

Enigheden blev opnået med forbehold for, at den ikke er til hinder for, at

man på et senere tidspunkt i forhandlingerne vender tilbage til teksten, at

den ikke berører udestående horisontale spørgsmål (om f.eks. valget af

retsakt), og at den ikke giver formandskabet beføjelse til at indgå i trilog-

forhandlinger med Europa-Parlamentet.

På mødet i Folketingets Europaudvalg den 3. oktober 2014 orienterede

justitsministeren udvalget om, at regeringen kunne tilslutte sig den foreslå-

ede enighed om kapitel 4 med de nævnte forbehold.

Justitsministeriet er ikke bekendt med undersøgelser af, om erstatning af

anmeldelsesordninger med ordninger med databeskyttelsesansvarlige fører

til en mere effektiv databeskyttelse. Ministeriet finder derfor ikke grundlag

for at udtale sig herom.