EUU, Alm.del - 2019-20 - Bilag 298: Kopi af REU alm. del - supplerende svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

Europaudvalget 2019-20
EUU Alm.del Bilag 298
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

DK Danmark

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

6. december 2019

Databeskyttelseskontoret

Mikkel Reenberg

2019-0030-3021

1296705

Hermed sendes besvarelse af spørgsmål nr. 253 (Alm. del), som Folketin-

gets Retsudvalg har stillet til justitsministeren den 11. november 2019.

Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Eva

Kjer Hansen (V).

Nick Hækkerup

Anders Lotterup

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

EUU, Alm.del - 2019-20 - Bilag 298: Kopi af REU alm. del - supplerende svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

Spørgsmål nr. 253 (Alm. del) fra Folketingets Retsudvalg:

ministeren bekræfte, at daginstitutionen Idrætsbørnehuset

på Frederiksberg pga. persondataforordningen skal gennemgå

6000 billeder og 335 videoer for at identificere et barn og sløre

alle andre genkendelige børn, der optræder sammen med det ene

barn, hvis forældre har fået aktindsigt i alt billed- og videoma-

teriale, som institutionen ligger inde med? Der henvises til ar-

tiklen ”Forældre kræver billedmateriale fjernet fra daginstitu-

tion. Må nu se 6000 billeder igennem Tv2Lorry.dk”, den 3. sep-

tember 2019.”

Svar:

Der er stort fokus på databeskyttelsesreglerne i disse år. Det er naturligt,

fordi det er vigtigt, hvordan vi beskytter personoplysninger, særligt set i ly-

set af den aktuelle teknologiske udvikling.

Det er centralt, at databeskyttelsesreglerne ikke bliver for svære at håndtere

i praksis, og at der ikke skal bruges uforholdsmæssigt mange ressourcer på

dem. Jeg har forståelse for de problemer, som reglerne skaber, og jeg aner-

kender, at databeskyttelsesreglerne efter min opfattelse ikke altid leder til

helt hensigtsmæssige resultater.

Justitsministeriet har til brug for besvarelsen af spørgsmålet desuden ind-

hentet en udtalelse fra Datatilsynet, der har oplyst følgende:

”Datatilsynet bemærker, at registerlovene fandt anvendelse fra

den 1. januar 1979, og indtil lovene den 1. juli 2000 blev ophæ-

vet og erstattet af persondataloven, som fandt anvendelse indtil

den 25. maj 2018. Persondataloven blev erstattet af databeskyt-

telsesforordningen og databeskyttelsesloven, som i vidt omfang

svarer til den tidligere gældende retstilstand.

En af ændringerne i forhold til den tidligere retstilstand er imid-

lertid muligheden for at pålægge væsentligt større bøder end tid-

ligere for overtrædelse af databeskyttelsesreglerne. Dette har

bl.a. bevirket, at der er skabt en større bevidsthed omkring be-

tydningen af beskyttelse af personoplysninger, hvilket samtidig

synes at have skabt en udpræget bekymring hos dataansvarlige

og databehandlere for konsekvenserne af en eventuel mang-

lende overholdelse af reglerne.

Datatilsynet bemærker i den forbindelse, at databeskyttelsesreg-

lerne i vidt omfang består af generelle retlige standarder, som i

”

Kan

EUU, Alm.del - 2019-20 - Bilag 298: Kopi af REU alm. del - supplerende svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

praksis forudsætter, at de dataansvarlige skal foretage en kon-

kret vurdering. Reglerne er med andre ord karakteriseret ved en

høj grad af fleksibilitet, således at reglerne kan tilpasses mange

forskellige behandlingssituationer. I kombination med oven-

nævnte bekymring for konsekvenserne af en eventuel mang-

lende overholdelse af reglerne kan dette i visse tilfælde medføre

en overdreven forsigtighed i forhold til anvendelsen af databe-

skyttelsesreglerne.

I forlængelse heraf kan Datatilsynet oplyse, at tilsynet arbejder

for at fremme dataansvarliges og databehandleres kendskab til

deres forpligtelser. Dette sker bl.a. gennem Datatilsynets gene-

relle oplysningsvirksomhed i form af offentliggørelse af afgø-

relser og vejledninger på tilsynets hjemmeside og de mange te-

lefoniske og skriftlige forespørgsler om reglerne, som tilsynet

hver dag besvarer, ligesom tilsynet holder mange møder med

bl.a. interesse- og brancheorganisationer, men også enkeltstå-

ende dataansvarlige og databehandlere, hvis der måtte være et

særligt behov herfor.

I forbindelse med Datatilsynets rådgivningsarbejde opfordrer

tilsynet ofte dataansvarlige og databehandlere til at anvende reg-

lernes fleksibilitet med henblik på at opnå brugbare og afbalan-

cerede løsninger, hvor både hensynet til beskyttelsen af perso-

noplysninger og andre saglige hensyn, som forfølges med en be-

handling af personoplysninger, tilgodeses. Samtidig opfordrer

Datatilsynet til, at dataansvarlige og databehandlere i sådanne

tilfælde dokumenterer de overvejelser, der har ført til en konkret

løsning, således at der kan gøres rede for denne i forbindelse

med behandlingen af en eventuel klage- eller tilsynssag hos Da-

tatilsynet. Endelig kan det oplyses, at eventuelle uklarheder om

fortolkningen af databeskyttelsesreglerne vil kunne indgå ved

Datatilsynets valg af sanktioner i konkrete sager.

Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at

ved personoplysninger forstås enhver form for information om

en identificeret eller identificerbar fysisk person (den registre-

rede). Ved identificerbar fysisk person forstås en fysisk person,

der direkte eller indirekte kan identificeres, navnlig ved en iden-

tifikator som f.eks. et navn, et identifikationsnummer, lokalise-

ringsdata, en onlineidentifikator eller et eller flere elementer, der

er særlige for denne fysiske persons fysiske, fysiologiske, gene-

tiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Billeder, hvori der indgår genkendelige personer, betragtes som

en personoplysning. Det gælder, uanset om billedet er ledsaget

af en tekst, der identificerer den pågældende. Et billede med

genkendelige/identificerbare personer udgør således oplysnin-

ger om disse personer.

EUU, Alm.del - 2019-20 - Bilag 298: Kopi af REU alm. del - supplerende svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

Når man som dataansvarlig behandler personoplysninger, følger

der et ansvar med. Som privat virksomhed, offentlig myndig-

hed, institution m.v. skal man derfor være opmærksom på, at de

personer, der behandles oplysninger om (de registrerede), har en

række rettigheder i databeskyttelsesforordningens kapitel 3. En

af de rettigheder, man som registreret har, er retten til indsigt.

Det følger således af databeskyttelsesforordningens artikel 15,

stk. 1, at den registrerede har ret til at få den dataansvarliges be-

kræftelse på, om personoplysninger vedrørende den pågældende

behandles, og i givet fald adgang til personoplysningerne og

yderligere information omkring behandlingen.

Herudover følger det af databeskyttelsesforordningens 15, stk.

3, at den dataansvarlige skal udlevere en kopi af de personop-

lysninger, der behandles.

En anmodning om indsigt fra en registreret kan alene afslås i et

begrænset antal tilfælde.

I et tilfælde, som det, der spørges til i dette spørgsmål, vil den

dataansvarlige som altovervejende hovedregel være forpligtet

til at imødekomme den registreredes anmodning om indsigt,

herunder i eventuelle billeder som den dataansvarlige behand-

ler, hvor den registrerede fremgår.

Den registrerede har alene ret til at modtage en kopi af de per-

sonoplysninger, som den dataansvarlige behandler om den på-

gældende. Den dataansvarlige er derfor forpligtet til at

fjerne/sløre oplysninger om andre personer end den registrerede,

idet den dataansvarlige i modsat fald risikerer uberettiget at vi-

deregive oplysninger om disse andre personer.

Det bemærkes, at det følger af databeskyttelsesforordningens ar-

tikel 5, stk. 1, litra c, at personoplysninger skal være tilstrække-

lige, relevante og begrænset til, hvad der er nødvendigt i forhold

til de formål, hvortil de behandles (»dataminimering«).

Endvidere følger det af databeskyttelsesforordningens artikel 5,

stk. 1, litra e, at personoplysninger skal opbevares på en sådan

måde, at det ikke er muligt at identificere de registrerede i et

længere tidsrum end det, der er nødvendigt til de formål, hvortil

de pågældende personoplysninger behandles (»opbevaringsbe-

grænsning«).

Den dataansvarlige skal derfor (løbende) overveje, hvilke oplys-

ninger der er nødvendige at behandle og hvor længe oplysnin-

ger skal behandles. Dette princip for behandling af personoplys-

ninger vil også have betydning i forhold til den dataansvarliges

forpligtelse til at meddele indsigt efter databeskyttelsesforord-

ningens artikel 15. Det skyldes, at den dataansvarlige alene er

EUU, Alm.del - 2019-20 - Bilag 298: Kopi af REU alm. del - supplerende svar på MFU spm. 149 om at oversende resultatet af nabotjekket af persondataforordningen (GDPR), fra justitsministeren

forpligtet til at udlevere en kopi af de personoplysninger, som

den dataansvarlige behandler på tidspunktet for den registrere-

des indsigtsanmodning og oplysninger tilvejebragt frem til be-

svarelsen af anmodningen. Bestemmelsen indebærer imidlertid

ikke, at den dataansvarlige skal tilvejebringe (nye) oplysninger,

som den dataansvarlige ikke i forvejen er i besiddelse af, eller

som den dataansvarlige tidligere har slettet.

Datatilsynet kan afslutningsvis oplyse til orientering, at der på-

går en dialog mellem tilsynet og Landsorganisationen Danske

Daginstitutioner (LDD) med henblik på at vejlede om nogle af

de problemstillinger, som også er rejst i dette spørgsmål.”