Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 Bilag 10, L 69 Bilag 10
Offentligt
1823226_0001.png
Folketingets Retsudvalg
Christiansborg
1240 København K
Bilag 1
Henvendelse til Folketingets Retsudvalg om Databeskyttelses-
loven (L 68)
Forsikring & Pension henvender sig til Folketingets Retsudvalg om L 68 af følgende
grunde:
Samtykke som behandlingshjemmel
Forsikring & Pension mener, at lovforslaget bør beskrive og fremhæve betydnin-
gen af de skærpede krav til et gyldigt samtykke og tage højde herfor i lovforslaget.
EU-Kommissionen har ved flere lejligheder også over for forsikringsbranchen til-
kendegivet, at samtykke i nogle situationer er en problematisk behandlingshjem-
mel.
National særregulering
Lovforslaget fastslår, at der ”inden for en lang række områder er mulighed for, at
der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af for-
ordningen.” Der er mange steder i forordningen bestemmelser, der tillader sup-
plerende national regulering. Forsikring & Pension er imidlertid ikke enig i, at der,
uden for de klare bestemmelser i forordningens artikel 6, stk. 2 og 3, er hjemmel
til at opretholde nationale bestemmelser for så vidt angår behandling af artikel 6-
oplysninger
Lukkede høringsprocesser
Databeskyttelsesforordningen vil på en række punkter blive suppleret med bl.a.
vejledninger. Datatilsynet vil sammen med bl.a. Justitsministeriet udstede vejled-
ninger på en række områder. Vejledningerne må forventes i praksis at få stor
betydning for virksomhederne. Tilsvarende vil der på EU-niveau ved Article 29
Working Party (i det følgende WP 29), hvor Datatilsynet er repræsenteret, blive
udstedt en række guidelines. Forsikring & Pension finder det kritisabelt, at vejled-
ninger og guidelines reelt udstedes uden forudgående offentlige høringer.
De nævnte punkter uddybes nedenfor og suppleres med en række yderligere,
mere konkrete bemærkninger til lovforslaget.
…………………………………
23.11.2017
Forsikring & Pension
Philip Heymans Allé 1
2900 Hellerup
Tlf.:
Fax:
41 91 91 91
41 91 91 92
[email protected]
www.forsikringogpension.dk
Claus Tønnesen
Juridisk rådgiver
Dir.
41 91 90 47
[email protected]
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Brancheorganisation
for forsikringsselskaber
og pensionskasser
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
Indledning
Forsikrings- og pensionsselskaber skal, når de tegner forsikringer, bedømme risi-
koen for skaders indtræden og fastsætte pris og vilkår for forsikringen. Derudover
skal de behandle indtrådte skader. I de nævnte situationer er selskaberne helt
afhængige af adgangen til bl.a. personoplysninger. Kernen i forsikringsvirksom-
hed er således bedømmelse af oplysninger om forsikringstagerne og de skade-
lidte.
De nævnte pligter for forsikrings- og pensionsselskaberne er begrundet i hensyn
til de andre forsikringstagere og den finansielle regulering, herunder krav om sol-
vens og forretningsmæssig forsigtighed. Selskaberne må således ikke påtage sig
forpligtelser eller udbetale erstatninger, som de skadelidte ikke har krav på.
Manglende eller urigtige oplysninger om i øvrigt relevante forhold kan føre til be-
grænsning af forsikringsmulighederne og til, at forsikringsselskaberne kan være
nødsaget til at afvise forsikringsdækning.
Forsikring & Pension har i det store og hele under den nuværende persondatalov
kunnet indhente og anvende de nødvendige oplysninger med de nuværende be-
handlingshjemler. Forsikring & Pension bakker derfor på de fleste punkter også
op om den igangværende reform af databeskyttelsesreglerne. På enkelte, men
vigtige punkter, giver reformen imidlertid anledning til væsentlige vanskeligheder
i forsikringsbranchen, jf. nærmere nedenfor.
Samtykke som behandlingshjemmel
Den eksisterende regulering
Forsikrings- og pensionsselskaberne har hidtil i vidt omfang baseret behandlingen
af personoplysninger på samtykke fra forsikringstageren.
Denne praksis har også været nødvendiggjort af de såkaldte videregivelsesregler
i kapitel 9 i lov om finansiel virksomhed. Reglerne kræver som udgangspunkt
skriftligt samtykke fra den pågældende kunde, for at et forsikringsselskab kan
videregive oplysninger. Det bemærkes i den forbindelse, at videregivelse af per-
sonoplysninger også er en nødvendig forudsætning for, at forsikrings- og pensi-
onsselskaber kan indhente oplysninger fra tredjeparter, bl.a. på grund af kravet
om sikker identifikation og begrænsning af indhentede data til det nødvendige.
De nævnte regler i lov om finansiel virksomhed blev i sin tid indført for at forhin-
dre, at fortrolige personoplysninger blev videregivet fra livs- og pensionsforsik-
ringsselskaberne til bankerne inden for de dengang nyetablerede finansielle kon-
cerner. Regelsættet fik imidlertid et langt bredere anvendelsesområde, end det
oprindelige formål tilsagde.
På baggrund af indholdet af L 68 med tilhørende lovbemærkninger og det forhold,
at der ikke i denne omgang vil blive ændret i videregivelsesreglerne i lov om fi-
nansiel virksomhed, er der lagt op til, at samtykke også fremover i de fleste til-
fælde vil være eneste mulige behandlingshjemmel for videregivelse af personop-
lysninger fra forsikrings- og pensionsselskaber.
Det er på den baggrund misvisende, at lovforslaget slet ikke nævner, at der med
databeskyttelsesforordningens artikel 7 sker en vigtig ændring af kravene til et
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 2
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
gyldigt samtykke. Fraværet af oplysninger herom i lovforslaget er især overra-
skende i betragtning af, at der i Betænkning 1565, s. 168-83 udførligt er redegjort
for, at kravene til et gyldigt samtykke er skærpet.
Problemet er, at skærpelsen ikke giver mening i alle sammenhænge. EU-Kom-
missionen har således på et nyligt afholdt møde med deltagelse af bl.a. den eu-
ropæiske forsikringsorganisation, Insurance Europe, udtalt, at brugen af sam-
tykke som behandlingshjemmel i forsikringsselskaber, i forhold til sundhedsoplys-
ninger, må betragtes som problematisk. Kommissionen henviste i den forbindelse
medlemslandene til at gennemføre supplerende national regulering for at afbøde
de dermed forbundne problemer. Insurance Europes referat af det nævnte møde
er vedlagt som
Bilag 2.
Forsikring & Pensions forslag
Konkret foreslår Forsikring & Pension, at det i lovforslaget præciseres, at behand-
lingshjemmelen i forordningens artikel 9, stk. 2, litra f, hhv. artikel 6, stk. 1, litra
b, kan bruges af forsikrings- og pensionsselskaberne som hjemmel for indhent-
ning, behandling og videregivelse af personoplysninger ved såvel tegning og æn-
dring af forsikringer, som ved skadebehandling.
Baggrunden for Forsikring & Pensions forslag er følgende:
Det fremgår af lovudkastets § 7, stk. 1, at forbuddet i forordningens artikel 9, stk.
1 mod at behandle de i bestemmelsen opregnede personoplysninger, herunder
helbredsoplysninger, bl.a. ikke gælder, når betingelserne i artikel 9, stk. 2, litra f
er opfyldt. Betingelserne er, at ”Behandling er nødvendig for, at retskrav kan fast-
lægges, gøres gældende eller forsvares, eller når…”. Formuleringen af litra f svarer
til bestemmelsen i Persondatalovens § 7, stk. 2, nr. 4.
Forsikring & Pension anser denne hjemmel for helt central. Det grundlæggende
formål med en forsikrings- eller en pensionsaftale er således at muliggøre den
registreredes fastlæggelse af et retskrav ved skadesanmeldelse og udbetaling af
erstatning i hele aftaleperioden og også efter aftaleforholdets ophør, men dog
inden for eventuelle anmeldelses- og forældelsesfrister.
Forsikring & Pension skal på den nævnte baggrund foreslå, at det f.eks. af lov-
forslagets § 7, stk. 1 kommer til at fremgå, at retskravshjemmelen i forhold til
forsikrings- og pensionsområdet skal forstås således, at personoplysninger, der
er eller kan vise sig at være relevante i forhold til indgåelse og opfyldelse af en
forsikrings- eller en pensionsaftale, herunder bedømmelse af aktuelle og potenti-
elle skadebegivenheder, kan behandles med hjemmel i bestemmelsen. Dette na-
turligvis forudsat, at kravene i anden lovgivning, herunder sundhedslovens krav
ved indhentelse af helbredsoplysninger fra sundhedssektoren, overholdes.
Som yderligere begrundelse for det nævnte forslag henviser Forsikring & Pension
til, at det helt grundlæggende i at drive forsikrings- og pensionsvirksomhed, som
det er kommet til udtryk i forsikringsaftaleloven (§§ 21-23) og i erstatningsrettens
almindelige principper om dokumentation for tab og tabsbegrænsningspligt, er, at
forsikringsselskaberne har mulighed for at indhente og kontrollere de nødvendige
oplysninger, for at selskaberne kan bedømme rejste erstatningskrav. Kan selska-
berne ikke sikkert og på effektiv måde få disse oplysninger og kontrollere deres
rigtighed, vil konsekvensen ofte være, at selskabet må nægte at betale erstatning
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 3
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
eller evt. reducere erstatningen til skadelidte, hvilket næppe har været meningen
med databeskyttelsesreglerne.
Forsikring & Pensions alternative forslag
Alternativt foreslår Forsikring & Pension, at det klart af lovforslaget eller af forar-
bejderne til dette kommer til at fremgå, at et samtykke til indhentning, behandling
og videregivelse af personoplysninger, som omhandlet i databeskyttelsesforord-
ningens artikel 9, i forbindelse med forsikringstegning, ændring af forsikring eller
skadebehandling i et forsikringsselskab, og med mindre helt særlige forhold gør
sig gældende, kan betragtes som afgivet frivilligt i databeskyttelsesforordningens
artikel 7’s forstand, jf. også forordningens artikel 4, pkt. 11). Den nævnte fortolk-
ning understøttes af formuleringen af artikel 7, stk. 4 i databeskyttelsesforordnin-
gen samt af Datatilsynets vejledning om kravene til et samtykkes frivillighed i
forbindelse med kontraktindgåelse og opfyldelse af kontrakter.
Begrænset hjemmel for supplerende national regulering i forhold til arti-
kel 6-oplysninger
Forsikring & Pension har, som nævnt i det indledende resumé, hæftet sig ved, at
det i pkt. 1.1 i lovforslagets almindelige bemærkninger flere steder er fremhævet,
at databeskyttelsesforordningen inden for en lang række områder indeholder mu-
lighed for at fastsætte nationale regler, herunder regler som supplerer regulerin-
gen i databeskyttelsesforordningen.
Betænkning 1565 indeholder (s. 139-68 og især s. 159-61), bl.a. med henvisning
til præambelbetragtning 10 i databeskyttelsesforordningen, en længere redegø-
relse for, i hvilket omfang der efter Justitsministeriets opfattelse er mulighed for
at fastsætte supplerende behandlingsregler til artikel 6 om de af artiklen omfat-
tede ”almindelige” personoplysninger.
Som Forsikring & Pension læser det nævnte afsnit i betænkningen, ser det ud til,
at der efter ministeriets opfattelse også på dette område er et ganske stort råde-
rum for, at medlemsstaterne kan opretholde at gældende regulering, ligesom ny
regulering kan introduceres.
Forsikring & Pension er ikke enig i denne opfattelse. Grundene er:
Databeskyttelsesforordningen indeholder i artikel 6, stk. 2 og 3 præcise be-
stemmelser, hvorefter medlemsstaterne i forhold til den behandling af person-
oplysninger, som finder sted efter litra c og e i artikel 6, kan opretholde eller
indføre specifikke bestemmelser. For private virksomheder som forsikrings- og
pensionsselskaber er det især litra c, der handler om behandling, som er nød-
vendig for at overholde en retlig forpligtelse, som er relevant. Den meget præ-
cise formulering af artikel 6, stk. 2 og 3 gør det efter Forsikring & Pensions
opfattelse særdeles nærliggende at slutte modsætningsvist fra bestemmel-
serne, således at det ikke i forhold til de andre behandlingshjemler i artikel 6,
stk. 1 er muligt at fastsætte supplerende krav til behandlingen.
Forsikring & Pension finder det nævnte resultat bestyrket af formålet med for-
ordningen, som har været så vidt muligt at skabe ensartede rammer for data-
beskyttelsen i EU. Dette formål må indebære, at hjemler i forordningen til na-
tional regulering må fortolkes indskrænkende og ikke udvidende, som det sker
i Betænkning 1565’s fortolkning i forhold til det nationale råderum i forordnin-
gens artikel 6.
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 4
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
Forsikring & Pension
Forsikring & Pension skal på den baggrund foreslå, at Retsudvalget anmoder
Justitsministeriet om en supplerende redegørelse om det rejste hjemmelsspørgs-
mål og indhenter en udtalelse fra EU-kommissionen om spørgsmålet, inden lov-
behandlingen i Folketinget afsluttes.
Ingen høringsprocesser om vigtig supplerende regulering
Databeskyttelsesforordningen har form af en rammeregulering, som suppleres af
bl.a. en række guidelines fra EU. Frem til foråret 2018 udstedes disse guidelines
af Article 29 Working Party (i det følgende WP 29), som er etableret af EU-Kom-
missionen. WP 29 består i hovedsagen af repræsentanter fra ledelserne af data-
tilsynsmyndighederne i de respektive EU-lande.
Den danske regering har endvidere besluttet, at der skal udstedes et større antal
vejledninger om databeskyttelsesreformen. Datatilsynet står for udarbejdelsen af
de fleste af vejledningerne. Da Datatilsynet deltager i forberedelsen af og god-
kendelsen af de endelige guidelines og vejledninger må det forventes, at begge
typer af regulering i praksis vil få afgørende betydning for fortolkningen og an-
vendelsen i konkrete tilsynssager.
Det er på ovennævnte baggrund uforståeligt, at hverken WP 29 eller de danske
myndigheder iværksætter reelle høringer om udkast til guidelines hhv. de danske
vejledninger på et tidspunkt, hvor indholdet endnu er åbent for input udefra. For-
sikring & Pension har sammen med Insurance Europe kritiseret de manglende
offentlige høringer om udkast, men dette har ikke ført til ændringer.
Eneste tilløb til reel inddragelse af omverdenen er iværksat af WP 29, som i praksis
vedtager og offentliggør færdige vejledninger med en frist på 6 uger til at komme
med bemærkninger. Det siger sig selv, at 28 enige eller ”samtykkende” datatil-
synsrepræsentanter vil være vanskelige at flytte efter offentliggørelsen af et i
princippet færdigt resultat, som i øvrigt ofte er udtryk for et kompromis.
Forsikring & Pension finder, at den nævnte praksis svækker virksomhedernes
ejerskab til databeskyttelsesreformen og ikke svarer til den danske tradition for
åbenhed i forhold til såvel lovgivning som supplerende administrativ regulering.
WP 29’s og datatilsynenes uafhængighed er ikke anfægtet
Forsikring & Pension og Insurance Europe er ved flere lejligheder fra WP 29 og fra
Datatilsynet blev mødt med synspunktet om, at både WP 29 og Datatilsynet, er
uafhængige i deres virksomhed.
Forsikring & Pension mener imidlertid, at ”uafhængigheden” hér strækkes for vidt.
Efter Forsikring & Pensions opfattelse indebærer offentlige, reelle høringer imid-
lertid ikke tab af enekompetence i forhold til de endelige beslutninger om indhol-
det af ny generel regulering.
Forsikring & Pension opfordrer Folketingets Retsudvalg til, at der i forarbejderne
til databeskyttelsesloven kommer til at indgå en klar opfordring til Datatilsynet
om at iværksætte offentlige høringer om udkast til de danske vejledninger. Hø-
ringerne bør iværksættes på et tidspunkt, hvor indholdet ikke ligger fast, og der
bør gives passende frister for høringsbidrag fra omverdenen. Tilsvarende foreslås
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 5
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
1823226_0006.png
det, at Datatilsynet opfordres til i WP 29 og senere i Det Europæiske Databeskyt-
telsesråd at arbejde for tilsvarende offentlige høringer forud for vedtagelsen af
guidelines.
Nabotjek viser ”overimplementering” på vigtige punkter
Forsikring & Pension har i det tidligere afsnit om hjemmelen for national regulering
i forhold til artikel 6-oplysninger peget på, at der efter Forsikring & Pensions op-
fattelse er tale om delvis uhjemlet overimplementering, når det i Betænkning
1565 anføres, at den danske særlovgivning i bl.a. lov om finansiel virksomhed
fuldt ud kan opretholdes, når databeskyttelsesforordningen træder i kraft.
I forlængelse heraf finder Forsikring & Pension anledning til at henlede Folketin-
gets Retsudvalgs opmærksomhed på en række eksempler på en form for ”over-
implementering”, der består i, at Danmark opretholder eller gennemfører supple-
rende regulering, som ikke findes og forventeligt heller ikke kommer til at findes
i EU-lande, som vi i Danmark sædvanligvis sammenligner os med.
Eksemplerne er:
Sverige, der har et
personnummer,
som ligner det danske, opererer i forhold
til private virksomheders behandling af personnummer ikke med et krav om
samtykke (lovforslagets § 11), men planlægger i stedet at gennemføre en ”af-
vejningsregel”, hvor ansvaret for fornuftig og afbalanceret behandling af per-
sonnummer pålægges den dataansvarlige. Der henvises til pkt. 12.4 i SOU
2017:39. En ”afvejningsregel” forekommer i øvrigt Forsikring & Pension umid-
delbart retssikkerhedsmæssigt mere betryggende for den registrerede person
end en samtykkeregel, især når man ser på den gennemsnitlige danskers ad-
færd og omhu i forhold til meddelelse af samtykke.
Den særlige regulering i form af
reglerne om videregivelse af kundeoplys-
ninger i kapital 9 i lov om finansiel
og det deri indeholdte krav om skriftligt
samtykke til videregivelse findes ikke i andre EU-lande, herunder heller ikke i
lande, som vi i Danmark normalt sammenligner os med. Som nævnt tidligere
i denne henvendelse, mener Forsikring & Pension ikke, at der er i databeskyt-
telsesforordningens er hjemmel til at opretholde denne lovgivning i forhold til
videregivelsen af artikel 6-oplysninger, bortset fra tilfælde, hvor dette sker ef-
ter artikel 6, stk. 1. litra c (og e).
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Forsikrings- og pensionsselskabernes behandling af følsomme personop-
lysninger (artikel 9-oplysninger) til statistiske formål
§ 10, stk. 1 i lovforslaget indeholder en begrænsning i forhold til forordningens
art. 89, stk. 1, som efter Forsikring & Pensions opfattelse ikke er hensigtsmæssig,
og som i betydeligt omfang vil vanskeliggøre selskabernes mulighed for at udar-
bejde de statistikker, som de efter den finansielle lovgivning har pligt til at udar-
bejde som grundlag for deres virksomhed og ledelsen af denne.
Det fremgår således af lovforslagets § 10, stk. 1, at oplysninger som nævnt i
databeskyttelsesforordningens art. 9, stk. 1, og artikel 10 må behandles i følgende
situationer (vores understregninger):
”… hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige
undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er
nødvendig af hensyn til udførelsen af undersøgelserne”.
Side 6
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
1823226_0007.png
Forsikring & Pension
Art. 89, stk. 1 i forordningen indeholder ikke et krav om, at statiske formål eller
undersøgelser skal have væsentlig samfundsmæssig betydning, idet bestemmel-
sen har følgende ordlyd:
”Behandling
til arkivformål i samfundets interesse, til videnskabelige eller histori-
ske forskningsformål eller til statistiske formål skal være underlagt fornødne ga-
rantier for registreredes rettigheder og frihedsrettigheder i overensstemmelse
med denne forordning”.
Desuden er formuleringen
”statistiske formål i overensstemmelse med artikel 89,
stk. 1”
anvendt i de øvrige bestemmelser i forordningen, der omfatter behandling
til brug for statistik, herunder i art. 9, stk. 2, litra j.
Det er afgørende for forsikrings- og pensionsselskaberne, at formuleringen i lov-
udkastets § 10, stk. 1, ikke er mere snæver end forordningens art. 89, stk. 1.
Baggrunden er, at selskaberne i vidt omfang og for at leve op til tilsynsmæssige
krav i bl.a. Solvens II-reformen fra EU, der trådte i kraft 1. januar 2016, er for-
pligtet til at sikre, at de påtager sig risici og fastsætter præmier på et grundlag,
som rummer en meget en høj grad af sikkerhed for og kan honorere deres for-
pligtelser på såvel kortere som længere sigt. Statistikkerne ligger til grund for de
løbende aktuarmæssige beregninger af selskabernes forsikringsrisici og hensæt-
telser til dækning af indtrådte skader mv. og danner i mange tilfælde også grund-
laget for selskabernes indberetninger til Finanstilsynet.
Forsikring & Pension forslår på denne baggrund primært, at betingelsen om ”væ-
sentlig samfundsmæssig betydning” udgår af lovforslagets § 10, jf. også den klare
formulering i artikel 5, stk. 1, b i databeskyttelsesforordningen. Som alternativ
forslås det, at det i lovteksten eller i bemærkningerne til § 10 præciseres, at ud-
arbejdelse af statistikker, der er en følge af den finansielle eller anden lovgivning,
opfylder betingelsen i § 10 om at være ”af væsentlig samfundsmæssig betydning”.
Som nærmere begrundelse for dette forslag henviser Forsikring & Pension til, at
forsikrings- og pensionsselskaberne udfører en række statistiske analyser med
henblik på at kvalificere risikoen for bl.a. at dø eller at blive invalid, ligesom år-
sagssammenhænge i forhold til mulige forklarende variable søges afdækket. Dette
gøres for, at selskaberne kan foretage præcise forsikringshensættelser og tilbyde
rimelige priser over for kunderne og for at kunne igangsætte de relevante fore-
byggende indsatser, bl.a. med henblik på at få de syge tilbage på arbejdsmarke-
det. Statistikkerne har – udover at være forudsat i tilsynslovgivningen - derfor i
høj grad også et bredere samfundsmæssigt sigte. Store dele af statistikkerne må
nødvendigvis kræve, at de pågældende personer kan identificeres, således at der
aktuelt og senere tillige kan udarbejdes statistikker, der kombinerer data fra for-
skellige delstatistikker.
Såfremt Retsudvalget ikke umiddelbart kan tilslutte sig Forsikring & Pensions øn-
sker foreslås det, at der indhentes en udtalelse fra Finanstilsynet med henblik på
nærmere belysning af den finansielle lovgivnings krav og forventninger til forsik-
rings- og pensionsselskabernes statistikgrundlag, hvori der indgår følsomme per-
sonoplysninger.
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 7
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
Behov for overgangsordning i forhold til anvendelse af straffebestemmel-
serne i lovforslagets §§ 41-42
Forsikring & Pension har med tilfredshed noteret sig, at regeringen med lovforsla-
get lægger op til, at idømmelse af straffe for overtrædelse af databeskyttelsesfor-
ordningen og databeskyttelsesloven fortsat er et domstolsanliggende. Forsikring
& Pension finder dog, at lovforslagets § 42, der indfører adgang for Datatilsynet
til i en række situationer at anvende administrative bødeforlæg, af retssikkerheds-
mæssige grunde bør udgå. Bøde- og fængselsstraf bør således som på de fleste
andre retsområder i Danmark udelukkende være et domstolsanliggende.
Forsikring & Pension har også med tilfredshed noteret sig, at det i pkt. 2.8.3.10 i
de almindelige lovbemærkninger er fremhævet, at der kan være såvel formildende
som skærpende omstændigheder i den enkelte sag. Og endvidere, ”…at tilsyns-
myndigheden- alt efter omstændighederne – (vil) kunne beslutte, at en overtræ-
delse i første omgang sanktioneres med et påbud, og at der først, hvis påbuddet
overtrædes, skrides til bødeforlæg efter lovforslagets § 42 eller til politianmel-
delse.”
Lempelig sanktionspraksis i den første tid efter ikrafttræden af databeskyttelses-
reformen
Databeskyttelsesreformen rummer meget betydelige udfordringer også for private
virksomheder. Det gælder også virksomheder, som har levet op til de hidtil gæl-
dende reglerne i persondataloven.
Databeskyttelsesreformen vil således indføre en række nye pligter for virksomhe-
derne og nye rettigheder for de registrerede. Eksemplerne er ganske mange, men
blandt de vigtige er de ændrede krav til et samtykkes gyldighed, pligten til at
udpege DPO, som skal være på plads fra ”day one”, retten til dataportabilitet,
krav om DPIA’ere, dokumentation og transparens for alle væsentlige processer
osv.
Forsikringsselskaberne har i princippet været bekendt med hovedtrækkene i da-
tabeskyttelsesreformen siden vedtagelsen af databeskyttelsesforordningen i maj
2016. Det er dog samtidig et faktum, at forordningen på de fleste områder kun
indeholder rammebestemmelser, som i mange tilfælde er uklare, og som også
efter deres indhold kan eller skal udfyldes af supplerende bestemmelser på EU-
niveau. Hertil kommer, at der som bekendt er mange bemyndigelser i forordnin-
gen til supplerende og præciserende national lovgivning, hvad L 68 og L 69 samt
videregivelsesreglerne i lov om finansiel virksomhed er klare eksempler på
Forsikring & Pension har forståelse for, at en reform af det omfang og den karak-
ter, der ligger i databeskyttelsesforordningen, ikke i alle detaljer kan konkretiseres
inden for et kortere tidsrum en det faktisk bliver tilfældet. Forsikring & Pension
finder dog samtidig anledning til at gøre Retsudvalget og de ansvarlige myndig-
heder på databeskyttelsesområdet opmærksom på følgende:
Det første og afgørende fortolkningsbidrag med redegørelse for gældende ret
og indholdet og fortolkningen af databeskyttelsesforordningen forelå først et
lille års tid efter forordningens vedtagelse i form af Betænkning 1565 fra
Justitsministeriet
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 8
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
Det første udkast til lov om gennemførelse og supplering af databeskyttelses-
forordningen forelå først i juli 2017, hvor den almindelige danske sommerfe-
rieperiode netop havde taget sin begyndelse
De første guidelines fra WP 29 fremkom først ca. et år efter forordningens
vedtagelse, og arbejdet med guidelines vil tidligst blive afsluttet i løbet 2018,
uden at der på nuværende tidspunkt ligger konkrete, offentliggjort planer for
arbejdet
De sidste af de indtil nu planlagte vejledninger fra de danske myndigheder vil
først foreligge i januar 2018,
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Sammenfattet har virksomhederne, herunder forsikringsselskaberne, i langt stør-
stedelen af perioden fra reformens vedtagelse og til dens ikrafttræden på mange
vigtige områder manglet og stadig ikke modtaget afgørende oplysninger om de
retlige rammer og krav i databeskyttelsesreformen og har dermed ikke endeligt
kunnet vurdere, hvad der skal til for at leve op til kravene i reformen.
Forsikring & Pensions forslag
Forsikring & Pension anser det på den baggrund af hensyn til virksomhedernes
retssikkerhed for rimeligt, at det i pkt. 2.8.3.10 i de almindelige bemærkninger til
lovforslaget tilføjes, at proportionalitetsprincippet tilsiger en generelt lempelig for-
tolkning og anvendelse af lovens straffebestemmelser i den første tid efter ikraft-
træden af databeskyttelsesreformen. Dette bør ikke kun være gældende på om-
råder, hvor databeskyttelsesreformen stiller helt nye krav til virksomhederne,
men også på områder, hvor hidtil gældende ret har været uklar.
Oplysningerne om de økonomiske og administrative konsekvenser for er-
hvervslivet af lovforslaget er upræcise og misvisende
Forsikring & Pension har noteret sig, at det - i modsætning til hvad tilfældet var i
det lovudkast som var i høring i sommeren 2017 – nu af lovforslaget fremgår, at
databeskyttelsesforordningen har økonomiske og administrative konsekvenser for
erhvervslivet. Forsikring & Pension havde gerne set, at den i korte sætning var
blevet udbygget med ordene ”meget betydelige”.
Det fremgår nu også af det korte afsnit (pkt. 4 i de almindelige bemærkninger),
at lovforslaget”… ikke i sig selv forventes at have økonomiske og administrative
konsekvenser for erhvervslivet mv. af betydning”.
Forsikring & Pension mener, at det havde været mere retvisende at oplyse, at de
økonomiske og administrative konsekvenser for erhvervslivet ”ikke forventes at
ændre sig væsentligt” som følge af lovforslaget, idet der i det store og hele vil
være tale om en videreførelse af gældende ret inden for de områder, som frem-
over reguleres af lovforslaget. Det burde endvidere fremhæves, at den supple-
rende danske regulering, som er en følge af hidtil gældende ret og af lovforslaget,
i sig selv medfører ganske betydelige, løbende omkostninger og administrative
byrder for erhvervslivet.
Afsluttende bemærkninger
Forsikring & Pension står til rådighed for yderligere oplysninger og vil i lyset af det
videre forløb i forhold til behandlingen af L68 overveje at anmode Retsudvalget
om foretræde for udvalget.
Side 9
 L 68 - 2017-18 - Bilag 10: Henvendelse af 23/11-17 fra Forsikring & Pension
Venlige hilsener
Claus Tønnesen
Forsikring & Pension
Vores ref.
Sagsnr.
DokID
CT/hes
GES-2017-00224
349627
Side 10