REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 463: MFU spm. om der er noget til hinder for, at man i lovgivningen fastsætter, hvilke roller en leverandør persondataretligt indtager, når der leveres til det offentlige, til justitsministeren

Retsudvalget 2019-20
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

18. december 2019

Databeskyttelseskontoret

Mikkel Reenberg

2019-0030-3261

1329150

Hermed sendes besvarelse af spørgsmål nr. 461 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 4. december 2019.

Spørgsmålet er stillet af ikkemedlem af udvalget (MFU) Christoffer Aa-

gaard Melson (V) og ikkemedlem af udvalget (MFU) Eva Kjer Hansen (V).

Nick Hækkerup

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 463: MFU spm. om der er noget til hinder for, at man i lovgivningen fastsætter, hvilke roller en leverandør persondataretligt indtager, når der leveres til det offentlige, til justitsministeren

Spørgsmål nr. 461 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren tage initiativ til at skabe klarhed i lovgivningen

om, hvornår en virksomhed er enten databehandler eller data-

ansvarlig?”

Svar:

Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fra Da-

tatilsynet, der har oplyst følgende, som ministeriet kan tilslutte sig:

”Det fremgår af databeskyttelsesforordningens artikel 4, nr. 7,

at ved dataansvarlig forstås en fysisk eller juridisk person, en of-

fentlig myndighed, en institution eller et andet organ, der alene

eller sammen med andre afgør, til hvilke formål og med hvilke

hjælpemidler der må foretages behandling af personoplysnin-

ger; hvis formålene og hjælpemidlerne til en sådan behandling

er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan

den dataansvarlige eller de specifikke kriterier for udpegelse af

denne fastsættes i EU-retten eller medlemsstaternes nationale

ret.

Det følger af databeskyttelsesforordningens artikel 4, nr. 8, at

ved databehandler forstås en fysisk eller juridisk person, en of-

fentlig myndighed, en institution eller et andet organ, der be-

handler personoplysninger på den dataansvarliges vegne.

Det vil imidlertid efter Datatilsynets opfattelse være vanskeligt

– udover hvad der allerede følger af definitionerne i databeskyt-

telsesforordningens artikel 4, nr. 7 og nr. 8 – i lovgivning nær-

mere at beskrive, hvornår en virksomhed er enten databehand-

ler eller dataansvarlig, idet dette vil bero på en samlet vurdering

af parternes forhold, herunder hvad parterne har aftalt og den af-

talte ydelse.

Som en hjælp til private virksomheder, offentlige myndigheder,

fysiske personer, institutioner og andre organer, som skal vur-

dere, om de handler som dataansvarlig eller databehandler, har

Datatilsynet og Justitsministeriet i samarbejde udarbejdet en

vejledning om dataansvarlige og databehandlere, der er offent-

liggjort på tilsynets hjemmeside. I vejledningen beskrives og

forklares begreberne ”dataansvarlig” og ”databehandler”, lige-

som man kan finde en liste over udsagn, som man kan lægge

vægt på ved vurderingen af, om man er dataansvarlig eller data-

behandler, og en række konkrete eksempler på sådanne vurde-

ringer.”