REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 716: MFU spm. om, at det er muligt at sende en SMS eller en ukrypteret e-mail med følsomt eller fortroligt indhold til en socialt udsat person i henhold til persondataforordningen efter at have foretaget en konkret afvejning af borgerens interesser og rettigheder, til justitsministeren

Retsudvalget 2019-20
REU Alm.del
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

6. februar 2020

Databeskyttelseskontoret

Mikkel Reenberg

2020-0030-3476

1371019

Hermed sendes besvarelse af spørgsmål nr. 716 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 21. januar 2020. Spørgs-

målet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Christoffer

Aagaard Melson (V) og ikkemedlem af udvalget (MFU) Eva Kjer Hansen

(V).

Nick Hækkerup

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 716: MFU spm. om, at det er muligt at sende en SMS eller en ukrypteret e-mail med følsomt eller fortroligt indhold til en socialt udsat person i henhold til persondataforordningen efter at have foretaget en konkret afvejning af borgerens interesser og rettigheder, til justitsministeren

Spørgsmål nr. 716 (Alm. del) fra Folketingets Retsudvalg:

”Justitsministeren oplyser i svar på REU alm. del – spørgsmål

260, at det er muligt at sende en SMS eller en ukrypteret e-mail

med følsomt eller fortroligt indhold til en socialt udsat person i

henhold til persondataforordningen efter at have foretaget en

konkret afvejning af borgerens interesser og rettigheder – Data-

tilsynet begrunder bl.a. dette med, at databeskyttelsen må vige

for andre mere tungtvejende hensyn, herunder eksempelvis hen-

synet til liv og død - Vil ministeren oplyse, hvad hjemmel vil

være for en sådan afgørelse og uddybe, om det er hver enkelt

medarbejder, som skal foretage denne vurdering og dermed af-

gøre om en SMS eller en ukrypteret e-mail med følsomt eller

fortroligt indhold lovligt kan sendes til den relevante borger?”

Svar:

Justitsministeriet har til brug for besvarelsen indhentet en udtalelse fra Da-

tatilsynet, der har oplyst følgende:

”1. Reglerne om behandlingssikkerhed ved behandling af per-

sonoplysninger følger af databeskyttelsesforordningens artikel

32, hvorefter der skal indføres passende tekniske og organisato-

riske foranstaltninger for at sikre fysiske personers rettigheder

og frihedsrettigheder.

I lighed med al anden EU-lovgivning skal databeskyttelsesfor-

ordningen læses i lyset af bl.a. Den Europæiske Unions charter

om grundlæggende rettigheder. Det fremgår således af præam-

belbetragtning nr. 4 til databeskyttelsesforordningen, at retten til

beskyttelse af personoplysninger ikke er en absolut ret; den skal

ses i sammenhæng med sin funktion i samfundet og afvejes i

forhold til andre grundlæggende rettigheder i overensstemmelse

med proportionalitetsprincippet. Det gælder således bl.a. chart-

rets artikel 2 om ethvert menneskes ret til livet.

Datatilsynets opfattelse af, at krav til databeskyttelse efter en

konkret vurdering i særlige tilfælde må vige for andre mere

tungtvejende hensyn, herunder eksempelvis hensynet til at sikre

liv og helbred, er således et udtryk for, at tilsynet fortolker data-

beskyttelsesforordningens artikel 32 i lyset af de grundlæggende

rettigheder, der er sikret i chartret.

2. Reglerne om behandlingssikkerhed skal iagttages af både da-

taansvarlige og databehandlere.

Ifølge databeskyttelsesforordningens artikel 4, nr. 7, er den da-

taansvarlige en fysisk eller juridisk person, en offentlig myndig-

hed, en institution eller et andet organ, der alene eller sammen

med andre afgør, til hvilke formål og med hvilke hjælpemidler

der må foretages behandling af personoplysninger. Det vil sige,

at det i langt størstedelen af tilfældene vil være f.eks. en kom-

mune, en privat virksomhed eller en forening som helhed, der er

den dataansvarlige, og ikke en bestemt person i organisationen.

Efter Datatilsynets opfattelse indeholder forordningens artikel

32 en pligt for den dataansvarlige organisation til – alt efter be-

hovet herfor – at indføre politikker, retningslinjer og lignende

for transmission af personoplysninger, herunder på hvilken

måde medarbejderne kan sende oplysninger af fortrolig eller føl-

som karakter til borgerne. Det er i den forbindelse Datatilsynets

anbefaling, at den dataansvarliges politikker, retningslinjer m.v.

er så specifikke som omstændighederne tillader med henblik på

at reducere – og eventuelt eliminere – behovet for, at medarbej-

derne selv skal foretage de fornødne vurderinger.

Ligeledes vil sådanne retningslinjer kunne bidrage til overhol-

delsen af den dataansvarliges forpligtelse om at påvise overhol-

delsen af databeskyttelsesreglerne, herunder at den dataansvar-

lige organisation har foretaget en konkret vurdering af, hvilke

tekniske og organisatoriske foranstaltninger, der er nødvendige

i den specifikke kontekst. Det vil således – når der eksisterer ret-

ningslinjer herom – ikke være nødvendigt at dokumentere over-

vejelserne bag den enkelte fremsendelse af en sms-besked eller

e-mail. Retningslinjerne skal naturligvis revideres, hvis de fak-

tiske omstændigheder inden for eller uden for organisationen

ændrer sig.

Der henvises i øvrigt til Datatilsynets bidrag til spørgsmål nr.

260 (Alm. del) fra Folketingets Retsudvalg, folketingsåret 2019-

20.”