REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 499: Spm. om, hvorvidt GDPR-reglerne er blevet overimplementeret i Danmark på et eller flere områder, til justitsministeren

Retsudvalget 2019-20
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

6. januar 2020

Databeskyttelseskontoret

Mikkel Reenberg

2019-0030-3292

1339236

Hermed sendes besvarelse af spørgsmål nr. 499 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 13. december 2019.

Spørgsmålet er stillet efter ønske fra Dennis Flydtkjær (DF).

Nick Hækkerup

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 499: Spm. om, hvorvidt GDPR-reglerne er blevet overimplementeret i Danmark på et eller flere områder, til justitsministeren

Spørgsmål nr. 499 (Alm. del) fra Folketingets Retsudvalg:

”Vil ministeren redegøre for, hvorvidt GDPR-reglerne er blevet

overimplementeret i Danmark på et eller flere områder samt i

bekræftende fald redegøre for baggrunden for denne overimple-

mentering?”

Svar:

Databeskyttelsesforordningen er bindende og gælder umiddelbart i hver

medlemsstat i EU. Databeskyttelsesforordningen giver dog inden for en lang

række områder mulighed for, at der i national ret kan fastsættes bestemmel-

ser for at tilpasse anvendelsen af forordningen.

Dette er bl.a. baggrunden for vedtagelsen af databeskyttelsesloven (lov nr.

502 af 23. maj 2018), som har til formål at supplere reglerne i databeskyt-

telsesforordningen.

Databeskyttelsesloven indeholder bestemmelser, som også fandtes i person-

dataloven, og som kan siges at gå videre end databeskyttelsesforordningens

minimumskrav. Bestemmelserne og baggrunden herfor er omtalt i lovfor-

slaget til databeskyttelsesloven, jf. lovforslag nr. L 68 af 25. oktober 2017,

under punkt 7 om forholdet til EU-retten:

”Det foreslås i lovforslaget bl.a. at videreføre de danske særreg-

ler om kreditoplysningsbureauer, jf. lovforslagets kapitel 4 og 5,

en tilladelsesordning med advarselsregistre samt en tilladelses-

ordning for behandling i retsinformationssystemer fra den nu-

gældende persondatalov, jf. lovforslagets § 26, selvom databe-

skyttelsesforordningen ikke indeholder regler herom.

Dernæst foreslås det, at reglerne om behandlingssikkerhed, da-

tabehandlere samt ret til erstatning og erstatningsansvar for me-

diernes behandling opretholdes, jf. lovforslagets § 3, stk. 5-8,

selvom databeskyttelsesforordningen ikke indeholder regler

herom.

Endvidere foreslås det, at den nuværende praksis om behandling

af oplysninger om personnummer og markedsføring, jf. lovfor-

slagets §§ 11 og 13, videreføres, selvom databeskyttelsesforord-

ningen ikke indeholder regler herom.

Endelig foreslås det bl.a., at der i lovforslaget sker en præcise-

ring af den særlige danske gældende praksis om afdøde perso-

ner, således at lovforslaget og databeskyttelsesforordningen

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 499: Spm. om, hvorvidt GDPR-reglerne er blevet overimplementeret i Danmark på et eller flere områder, til justitsministeren

som hovedregel finder anvendelse på oplysninger om afdøde

personer i 10 år efter vedkommendes død, jf. lovforslagets § 2,

stk. 5 og 6.

Lovforslaget går således på disse punkter videre end minimums-

kravene i databeskyttelsesforordningen og er derfor i strid med

de fem principper for implementering af erhvervsrettet EU-re-

gulering. Det er dog vurderet, at den danske databeskyttelseslo-

vgivning fortsat bør gå videre end forordningens krav, bl.a. fordi

der er tale om afgørende hensyn til de registreredes interesser,

som begrunder et fortsat behov for at opretholde disse regler, og

da ulovlige behandlinger på disse områder vil kunne medføre

meget alvorlige skadevirkninger for de involverede parter. De

ovennævnte bestemmelser foreslås således videreført.”

Der kan derudover henvises til databeskyttelseslovens § 2, stk. 4, hvorefter

loven og databeskyttelsesforordningen gælder for enhver form for behand-

ling af personoplysninger i forbindelse med tv-overvågning. Hensigten med

reglen er at sikre, at al tv-overvågning er omfattet af databeskyttelsesreg-

lerne, herunder også analog tv-overvågning. Denne regel er også en videre-

førelse af en tilsvarende regel i persondataloven. Der kan også henvises til

databeskyttelseslovens § 2, stk. 1, hvorefter en række regler i loven og da-

tabeskyttelsesloven også gælder for manuel videregivelse til en anden for-

valtningsmyndighed, der ligeledes er en regel, som fandtes i persondata-

loven.

Det skal desuden bemærkes, at der også var regler i persondataloven, som

ikke blev videreført i databeskyttelsesloven. Det drejer sig om persondata-

lovens § 1, stk. 2, hvorefter loven under visse omstændigheder fandt anven-

delse for private i forbindelse med ikke-elektronisk systematisk behandling

af personoplysninger. Tilsvarende blev reglen i persondatalovens § 13 om

forbud mod automatisk registrering af telefonnumre uden tilladelse ikke

medtaget i databeskyttelsesloven.

Der findes i øvrigt et stort antal regler i anden lovgivning, som regulerer be-

handling af personoplysninger, og som kan siges at tilpasse anvendelsen af

forordningen. Til illustration kan der henvises til betænkning nr. 1565/2017,

bind II, som indeholder en oversigt over lovgivning på de enkelte ministe-

riers område, der regulerer behandling af personoplysninger ved betænknin-

gens udgivelsestidspunkt i maj 2017.