REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1265: MFU spm. om kommentar til artiklen Kommuner får særbehandling, når de bryder databeskyttelsesloven, bragt på DKNYT.dk den 30. april 2020, til justitsministeren

Retsudvalget 2019-20
REU Alm.del
Offentligt

Folketinget Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

28. maj 2020

Databeskyttelseskontoret

Mikkel Reenberg

2020-0030-4132

1480383

Hermed sendes besvarelse af spørgsmål nr. 1265 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 4. maj 2020. Spørgsmålet

er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva Kjer Hansen

(V).

Nick Hækkerup

Mie Vinkel Sørensen

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 1265: MFU spm. om kommentar til artiklen Kommuner får særbehandling, når de bryder databeskyttelsesloven, bragt på DKNYT.dk den 30. april 2020, til justitsministeren

Spørgsmål nr. 1265 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren kommentere artiklen "Kommuner får særbe-

handling, når de bryder databeskyttelsesloven" bragt på

DKNYT.dk den 30. april 2020?”

Svar:

Det fremgår af straffelovens § 27, stk. 2, at statslige myndigheder og kom-

muner alene kan straffes i anledning af overtrædelser, der begås ved udø-

velse af virksomhed, der svarer til eller kan sidestilles med virksomhed udø-

vet af private.

Straffelovens § 27, stk. 2, er dog fraveget i databeskyttelsesloven, jf. lovens

§ 41, stk. 6, 2. pkt. Således fremgår det af denne bestemmelse, at offentlige

myndigheder og institutioner mv., som er omfattet af forvaltningslovens §

1, stk. 1 eller 2, uanset straffelovens § 27, stk. 2, kan straffes i anledning af

overtrædelser, der begås ved udøvelse af virksomhed, der ikke svarer til eller

kan sidestilles med virksomhed udøvet af private.

Råderummet i databeskyttelsesforordningens artikel 83, stk. 7, hvorefter

medlemsstaterne kan bestemme, ”i hvilket omfang” offentlige myndigheder

kan pålægges bøder, anvendes med databeskyttelsesloven til forudsætnings-

vis at angive lavere bødelofter for offentlige myndigheders overtrædelser

end dem, der fremgår af forordningens artikel 83, stk. 4-6. Der henvises i

øvrigt til Datatilsynets redegørelse nedenfor.

Justitsministeriet kan endvidere henvise til afsnit 2.8.3.8 og 2.8.3.10 i de

almindelige bemærkninger til lovforslag nr. L 68 (databeskyttelsesloven)

samt de specielle bemærkninger til § 41.

Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind-

hentet en udtalelse fra Datatilsynet, som har oplyst følgende:

”Hvis der sker en overtrædelse af databeskyttelsesreglerne, har

Datatilsynet en række reaktionsmuligheder, som følger af data-

beskyttelsesforordningens artikel 58, stk. 2.

Overtrædelse af databeskyttelsesreglerne kan efter omstændig-

hederne sanktioneres ved bl.a. at udtale kritik og/eller meddele

den dataansvarlige påbud eller forbud i forhold til en given

handling eller undladelse. Efter omstændighederne kan det også

komme på tale at sanktionere overtrædelsen med en bøde. De

forskellige sanktioner kan enten anvendes alene eller kombine-

res afhængigt af de konkrete omstændigheder, jf. databeskyttel-

sesforordningens præambelbetragtning nr. 148.

Ved vurderingen af en passende sanktion indgår i henhold til

databeskyttelsesforordningens artikel 83, stk. 2:



Overtrædelsens karakter, alvor og varighed



Om overtrædelsen blev begået forsætligt eller uagtsomt



Eventuelle foranstaltninger, der er truffet af den dataansvar-

lige eller databehandleren for at begrænse den skade, som

den registrerede har lidt



Eventuelle relevante tidligere overtrædelser



Graden af samarbejde med tilsynsmyndigheden



De kategorier af personoplysninger, der er berørt af overtræ-

delsen



Den måde, hvorpå tilsynsmyndigheden fik kendskab til over-

trædelsen



Overholdelse af godkendte adfærdskodekser



Om der er andre skærpende eller formildende faktorer ved

sagens omstændigheder, såsom opnåede økonomiske fordele

eller undgåede tab som direkte eller indirekte følge af over-

trædelsen

Hvad der nærmere skal forstås ved de enkelte kriterier afgøres

som udgangspunkt på baggrund af medlemsstaternes nationale

lovgivning, hvilket i Danmarks tilfælde primært vil sige straffe-

lovens §§ 81 og 82.

Det Europæiske Databeskyttelsesråd har dog også udarbejdet

retningslinjer for, hvordan kriterierne skal fortolkes, med hen-

blik på at harmonisere fortolkningen mest muligt.

Ifølge databeskyttelseslovens § 41, stk. 6, 2. pkt., kan offentlige

myndigheder og institutioner mv. – uanset straffelovens § 27,

stk. 2 – straffes for overtrædelse af databeskyttelsesforordnin-

gen og databeskyttelsesloven i fuldt omfang. Det betyder, at of-

fentlige myndigheder også kan straffes, selv om der ikke er tale

om virksomhed, som kan sidestilles med virksomhed udøvet af

private.

Det fremgår af de almindelige bemærkninger til lovforslaget til

databeskyttelsesloven, at bødelofterne for alle offentlige myn-

digheder, er lavere end dem, der fremgår af forordningens arti-

kel 83, stk. 4-6. Bødelofterne for offentlige myndigheder er her-

efter:

Guidelines on the application and setting of administrative files for the purpose of regu-

lation 2016/679, WP 253, adopted on 3 October 2017.

- For overtrædelser omfattet af forordningens artikel 83, stk. 4:

2 % af myndighedens driftsbevilling, dog maksimalt 8.000.000

kroner

- For overtrædelser omfattet af forordningens artikel 83, stk. 5

og 6: 4 % af myndighedens driftsbevilling, dog maksimalt

16.000.000 kroner

Det fremgår endvidere af bemærkningerne, at der ved pålæg-

gelse af bøder til offentlige myndigheder skal tages hensyn til,

at de – i modsætning til private aktører – efter lovgivningen er

pålagt at varetage lovbestemte opgaver, og at myndigheder der-

for heller ikke uden videre i alle tilfælde blot kan standse en be-

handling for derved at bringe en eventuel ulovlig tilstand til op-

hør. Der skal endvidere lægges vægt på myndighedernes ram-

mevilkår, som for nogle kan betyde, at de har en bevilling, der

er bundet tæt op på deres lovbundne opgave.

Der kan på den baggrund være en forskel på bødestørrelsen af-

hængig af, om der er tale om en kommunal daginstitution eller

en privat daginstitution, selv om der er tale samme type over-

trædelse.”

Databeskyttelsesloven indeholder således klare forudsætninger om, at der er

særlige forhold, som der skal tages hensyn til, når offentlige myndigheder

idømmes bøder for overtrædelse af databeskyttelsesreglerne.