kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Europaudvalget 2022-23 (2. samling)
KOM (2023) 0348 Bilag 1
Offentligt

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

7. september 2023

Databeskyttelseskontoret

Cathrine Hjortdam

2023-793-0227

2930140

GRUND- OG NÆRHEDSNOTAT

Forslag til Europa-Parlamentets og Rådets forordning om supple-

rende procedureregler for håndhævelse af forordning (EU) 2016/679

(databeskyttelsesforordningen)

Nyt notat.

Notatet oversendes også til Folketingets Udvalg for Digitalisering og IT.

KOM (2023) 348

1. Resumé

Europa-Kommissionen har den 4. juli 2023 fremsat forslag til forordning

om supplerende procedureregler for håndhævelse af forordning (EU)

2016/679 (databeskyttelsesforordningen). Forordningsforslaget har til for-

mål at sikre en effektiv håndhævelse af

EU’s databeskyttelsesregler i græn-

seoverskridende sager. Forslaget bygger på de grundlæggende principper i

databeskyttelsesforordningen og supplerer disse ved at præcisere reglerne

for behandling af klager, samarbejdet mellem tilsynsmyndigheder og tvist-

bilæggelsesproceduren i grænseoverskridende sager. Forslaget er ikke om-

fattet af retsforbeholdet. Forslaget vurderes at være i overensstemmelse

med nærhedsprincippet. Forslaget vurderes ikke at have at lovgivningsmæs-

sige konsekvenser. Forslaget skønnes at kunne medføre statsfinansielle kon-

sekvenser. Regeringen er foreløbigt overordnet positiv over for Kommissi-

onens forslag.

Side 1/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

2. Baggrund

Europa-Kommissionen fremsatte den 4. juli 2023 forslag til Europa-Parla-

mentets og Rådets forordning om supplerende procedureregler for håndhæ-

velse af forordning (EU) 2016/679.

Forslaget er oversendt til Rådet i dansk sprogversion den 10. juli 2023.

Forslaget er fremsat med hjemmel i artikel 16 i Traktaten om den Europæi-

ske Unions Funktionsmåde (TEUF) om beskyttelse af personoplysninger.

Forslaget skal behandles efter den almindelige lovgivningsprocedure i

TEUF artikel 294. Forslaget er ikke omfattet af retsforbeholdet.

Forslaget til forordning supplerer databeskyttelsesforordningen ved at præ-

cisere de procedureregler for behandling af grænseoverskridende sager, der

er fastsat i databeskyttelsesforordningen. Databeskyttelsesforordningen ind-

førte et ”one-stop-shop”-håndhævelsessystem,

som er relevant, når en virk-

somhed er etableret i mere end en EU-medlemsstat. I den situation skal en

sag mod virksomheden behandles af den tilsynsmyndighed (den ledende til-

synsmyndighed) i den medlemsstat, hvor virksomheden har sit hovedsæde.

One-stop-shop-ordningen forudsætter, at tilsynsmyndighederne i de berørte

medlemsstater samarbejder om sagen. Hvis tilsynsmyndighederne ikke kan

nå til enighed i en grænseoverskridende sag, indeholder databeskyttelses-

forordningen bestemmelser om tvistbilæggelse i Det Europæiske Databe-

skyttelsesråd (EDPB).

Baggrunden for forordningsforslaget er Kommissionens første rapport om

evaluering og revision af databeskyttelsesforordningen, hvori Kommissio-

nen bemærkede, at der var et behov for at gøre behandlingen af grænseover-

skridende sager mere effektiv og harmoniseret i hele EU

. I 2022 fremsendte

EDPB en liste over proceduremæssige aspekter, der kan drage fordel af

yderligere harmonisering i EU-retten. Forordningsforslaget bygger således

på Kommissionens rapport fra 2020 om databeskyttelsesforordningen og

EDPB’s

liste fra oktober 2022.

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet, Databeskyttelse som en

hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling

—

to års an-

vendelse af den generelle forordning om databeskyttelse (KOM(2020) 264 af 24. juni

2020).

Side 2/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

3. Formål og indhold

3.1. Indledning

Forslaget har overordnet til formål at bidrage til at sikre en effektiv hånd-

hævelse af EU’s databeskyttelsesregler i grænseoverskridende sager.

For-

slaget bygger på de grundlæggende principper i databeskyttelsesforordnin-

gen og supplerer disse ved at præcisere reglerne for indgivelse og behand-

ling af klager, samarbejdet mellem tilsynsmyndigheder og tvistbilæggelses-

proceduren i grænseoverskridende sager. Forslaget berører ikke de registre-

redes rettigheder, de dataansvarliges og databehandlernes forpligtelser eller

retsgrundlaget for behandlingen af personoplysninger som fastsat i databe-

skyttelsesforordningen.

For det første indføres der med forslaget detaljerede regler for indgivelse og

behandling af klager i grænseoverskridende sager. Der lægges således bl.a.

op til at indføre en klageformular i sager om grænseoverskridende sager.

For det andet indeholder forslaget procedureregler for behandling af græn-

seoverskridende sager. Forslaget giver den part, der er genstand for en un-

dersøgelse, ret til at blive hørt og fremsætte sine synspunkter under behand-

lingen af sagen, bl.a. under tvistbilæggelsen i EDPB. Samtidig lægger for-

slaget op til at sikre, at der ikke gives adgang til forretningshemmeligheder

eller andre fortrolige oplysninger, der tilhører andre parter involveret i sa-

gen. Med forslaget indføres bestemmelser om partens ret til aktindsigt i de

administrative sagsakter. Forslaget giver desuden klageren mulighed for at

fremsætte sine synspunkter inden en klage afvises helt eller delvist samt ret

til aktindsigt i en ikkefortrolig udgave af de dokumenter, der ligger til grund

for den foreslåede afvisning af klagen.

For det tredje indføres der med forslaget bestemmelser om samarbejdet mel-

lem tilsynsmyndighederne i grænseoverskridende sager. Forslaget præcise-

rer reglerne for, hvilke oplysninger tilsynsmyndighederne skal dele med

hinanden. Forslaget lægger op til, at den ledende tilsynsmyndighed skal dele

et ”resumé af centrale spørgsmål”

med angivelse af de vigtigste faktiske

omstændigheder og den ledende tilsynsmyndigheds synspunkter i sagen

med de berørte tilsynsmyndigheder. Hvis tilsynsmyndighederne ikke kan nå

til enighed om omfanget af undersøgelsen i en sag, giver forslaget mulighed

for, at EDPB kan bilægge tvisten ved at vedtage en hurtig bindende afgø-

relse i henhold til databeskyttelsesforordningens artikel 66, stk. 3.

Side 3/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Endelig indeholder forslaget regler for tvistbilæggelsesproceduren i databe-

skyttelsesforordningens artikel 65. Når den ledende databeskyttelsesmyn-

dighed forelægger et udkast til afgørelse i sagen, har andre tilsynsmyndig-

heder mulighed for at fremsætte relevante og begrundede indsigelser mod

udkastet. Med forslaget fastsættes frister og ordninger for vurdering af,

hvorvidt EDPB kan behandle de relevante og begrundede indsigelser fra be-

rørte tilsynsmyndigheder. Det præciseres, hvilke oplysninger den ledende

tilsynsmyndighed skal give EDPB, når den forelægger en sag til tvistbilæg-

gelse.

4. Europa-Parlamentets udtalelser

Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure

(TEUF artikel 294) medlovgiver. Forslaget behandles i Europa-Parlamentet

af Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

(LIBE) med Sergey Lagodinsky (EFA), som ordfører. Derudover høres

Retsudvalget (JURI) over forslaget. Udvalget om Industri, Forskning og

Energi (ITRE), Udvalget om Beskæftigelse og Sociale Anliggender

(EMPL) samt Udvalget om Indre Marked og Forbrugerbeskyttelse (IMCO)

har besluttet ikke at ville give udtalelse til forslaget. Der foreligger endnu

ikke en udtalelse fra Europa-Parlamentet, og tidsplanen for Europa-Parla-

mentets behandling af forslaget kendes endnu ikke.

5. Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at forslaget vedrører

en eksisterende procedure, som blev indført ved databeskyttelsesforordnin-

gen, og som involverer tilsynsmyndighederne i flere medlemsstater og

EDPB. Det er derfor Kommissionens opfattelse, at problemerne vedrørende

håndhævelsen af databeskyttelsesreglerne i grænseoverskridende sager ikke

kan løses af medlemsstaterne hver for sig. Kommissionen vurderer på den

baggrund, at forslaget er i overensstemmelse med nærhedsprincippet.

Regeringen er enig i Kommissionens vurdering af, at nærhedsprincippet er

overholdt.

6. Gældende dansk ret

Datatilsynet er en offentlig myndighed omfattet af bl.a. forvaltningsloven.

Datatilsynet træffer bl.a. afgørelser om dataansvarliges behandling af oplys-

ninger om de registrerede. Datatilsynet vil skulle behandle grænseoverskri-

dende sager efter reglerne i databeskyttelsesforordningen samt forordnings-

forslaget.

Side 4/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Databeskyttelsesforordningens artikel 60 regulerer samarbejdsproceduren

mellem tilsynsmyndigheder i grænseoverskridende sager. Den ledende til-

synsmyndighed og de berørte tilsynsmyndigheder skal udveksle alle rele-

vante oplysninger med hinanden med henblik på at nå til enighed. Når den

ledende databeskyttelsesmyndighed forelægger et udkast til afgørelse i sa-

gen, har andre tilsynsmyndigheder mulighed for at fremsætte relevante og

begrundede indsigelser mod udkastet. Det følger af databeskyttelsesforord-

ningens artikel 65, at EDPB kan træffe bindende afgørelser, bl.a. hvis til-

synsmyndigheder, der samarbejder efter artikel 60 ikke kan blive enige om

et udkast til en afgørelse.

Det følger bl.a. af forvaltningslovens § 9, stk. 1, at den, der er part i en sag,

hvori der er eller vil blive truffet afgørelse af en forvaltningsmyndighed, kan

forlange at blive gjort bekendt med sagens dokumenter. Efter § 9, stk. 2,

omfatter en parts ret til aktindsigt bl.a. alle dokumenter, der vedrører sagen,

med visse nærmere opregnede undtagelser. Det følger endvidere af forvalt-

ningslovens § 19, stk. 1, at hvis en part ikke kan antages at være bekendt

med, at myndigheden er i besiddelse af bestemte oplysninger om en sags

faktiske grundlag eller eksterne faglige vurderinger, der er til ugunst for den

pågældende part og er af væsentlig betydning for sagens afgørelse, må der

ikke træffes afgørelse, før myndigheden har gjort parten bekendt med op-

lysningerne eller vurderingerne og givet denne lejlighed til at fremkomme

med en udtalelse (partshøring). Myndigheden kan fastsætte en frist for afgi-

velsen af den nævnte udtalelse.

7. Konsekvenser

Lovgivningsmæssige konsekvenser

Forslaget vurderes ikke at have lovgivningsmæssige konsekvenser.

Økonomiske konsekvenser

Forslaget skønnes at kunne medføre væsentlige statsfinansielle konsekven-

ser, da der forventes øgede udgifter til Datatilsynet for 0,6 mio. kr. årligt,

svarende til ét årsværk, forbundet med administration af forordningens krav,

herunder behandling af grænseoverskridende sager samt deltagelse i samar-

bejdet mellem tilsynsmyndighederne ved behandling af disse sager. Det

fremgår af budgetvejledningen, at afledte udgifter som følge af EU-retsakter

afholdes inden for de berørte ministeriers eksisterende bevillingsramme.

Side 5/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Forslaget skønnes ikke at medføre samfundsøkonomiske og erhvervsøko-

nomiske konsekvenser.

8. Andre konsekvenser

Forslaget giver på det foreliggende grundlag ikke anledning til at fremhæve

andre konsekvenser.

9. Høring

Forordningsforslaget har i perioden fra den 5. juli til den 23. august 2023

været sendt i høring i Specialudvalget for politimæssigt og retligt samar-

bejde og Specialudvalget for konkurrenceevne, vækst og forbrugerspørgs-

mål. Der er indkommet høringssvar fra Landbrug & Fødevarer og Finans

Danmark.

Landbrug & Fødevarer

anerkender betydningen af et harmoniseret sam-

arbejde mellem de nationale tilsynsmyndigheder i grænseoverskridende sa-

ger vedrørende databeskyttelse.

Landbrug & Fødevarer bemærker bl.a., at tanken bag en one-stop-shop-me-

kanisme er god, men i praksis kan virksomhedernes retsstilling blive forrin-

get betragteligt, såfremt virksomhedernes aktiviteter pågår i flere medlems-

stater, idet håndhævelses- og sanktionspraksis kan være ganske forskellig

fra land til land.

Landbrug & Fødevarer bemærker, at nye procedureregler kan føre til øget

administrative byrder for virksomheder, især hvis de skal tilpasse sig nye

klage- og samarbejdsprocedurer. Det er derfor vigtigt, at der skabes klare

retningslinjer og eksempler på, hvordan procedurereglerne og den fælles

formular skal anvendes i praksis.

Landbrug & Fødevarer anfører om muligheden for at bilægge en klage ved

en mindelig løsning mellem klager og de parter, der er genstand for under-

søgelsen, at hvis den mindelige løsning dækker det grundlæggende problem,

og virksomheden har taget skridt til at rette op på situationen, kan det være

unødvendigt, at tilsynsmyndigheden starter en yderligere undersøgelse op

på eget initiativ.

Finans Danmark

er positiv over for regler, der har til formål at sikre ens-

artede processer for grænseoverskridende klager og undersøgelser/tilsyn i

henhold til databeskyttelsesforordningen.

Side 6/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Finans Danmark bemærker dog, at man med fordel kunne tydeliggøre an-

vendelsesområdet for forordningen yderligere.

Finans Danmark ser det som positivt, at der med forslaget indføres sagsbe-

handlingsfrister.

Balancen omkring ”rimelige” frister kan imidlertid efter

Finans Danmarks opfattelse være vanskelig, da nogle sager kan være meget

enkle, mens andre sager kan være meget komplicerede. Finans Danmark

udtrykker bekymring for, om sagsbehandlingstiden i simple (klage)sager

kan blive unødig lang til ulempe for både klager og den dataansvarlige/da-

tabehandleren.

Finans Danmark ser det som positivt, at der med forslagets indsættes en pligt

til i en række situationer at foretage en partshøring. I den forbindelse finder

Finans Danmark, at man med fordel kunne indføre enkelte af disse rettighe-

der for klager og den dataansvarlige/databehandler i rene nationale sager

(som ikke er grænseoverskridende). I dag høres klager eller den dataansvar-

lige/databehandler ikke om et udkast til afgørelse, inden der træffes en en-

delig afgørelse i sagen. Det gælder både i nationale og grænseoverskridende

sager, der behandles i Danmark.

Finans Danmark bemærker om adgangen til administrative sagsakter, at

man er bekymret for, om der i visse situationer vil blive delt forretnings-

hemmeligheder/fortrolige oplysninger med klager, da enkelte formuleringer

i forslaget synes at åbne op for deling trods fortrolighed. Finans Danmark

finder derfor, at der er behov for en tydeliggørelse af, hvordan denne vurde-

ring konkret foretages, herunder hvad der lægges vægt på. Finans Danmark

finder f.eks., at det bør afklares, om der er risiko for, at forretningshemme-

ligheder kan videregives, selvom de er markeret fortrolige/forretningshem-

meligheder og med behørig begrundelse for, hvorfor oplysningerne ikke bør

videregives.

Finans Danmark udtrykker bekymring for forordningsforslagets bestem-

melse om at dokumenter, der indeholder fortrolige oplysninger, er udelukket

fra aktindsigt, så længe sagen verserer Finans Danmark anfører, at det bør

præciseres, at fortrolige oplysninger ikke udleveres, når klagesagen er af-

sluttet.

Side 7/8

kom (2023) 0348 - Bilag 1: Grund- og nærhedsnotat vedr. Databeskyttelsesforordningen

Finans Danmark udtrykker bekymring for, om forordningsforslaget indebæ-

rer, at tilsynsmyndigheden kan dele fortrolige informationer/forretnings-

hemmeligheder med klager.

Finans Danmark bemærker, at i Danmark har Datatilsynet den praksis, at

hvis klageren ikke har været i dialog med den dataansvarlige forud for ind-

sendelse af klage til Datatilsynet,

”oversender” Datatilsynet klagen til den

dataansvarlige med henblik på, at denne svarer klageren direkte uden yder-

ligere involvering fra Datatilsynet. Denne proces kan i visse tilfælde være

nyttig, da mange sager kan løses uden en formel klagesag via Datatilsynet.

Finans Danmark ser det gerne afklaret, om denne praksis kan fortsætte i

henhold til forordningen. Den nuværende praksis fungerer efter Finans Dan-

marks opfattelse godt.

Finans Danmark bemærker endelig, at grænseoverskridende sikkerhedsbrud

ikke er omfattet af forordningsforslaget, hvilket efter Finans Danmarks op-

fattelse ikke forekommer hensigtsmæssigt. Finans Danmark bemærker, at

der i koncerner, der er etableret i mere end ét land, kan forekomme grænse-

overskridende brud. Det kan være nyttigt med flere retningslinjer for, hvil-

ken tilsynsmyndighed, der skal indberettes til (home or host tilsynsmyndig-

hed) og samarbejdet mellem tilsynsmyndighederne om behandling af og op-

følgning på anmeldelser af brud på persondatasikkerheden.

10. Generelle forventninger til andre landes holdninger

Der foreligger ikke offentlige tilkendegivelser om de øvrige medlemsstaters

holdninger til sagen.

11. Regeringens

foreløbige

generelle holdning

Regeringen er overordnet positiv over for Kommissionens forslag, herunder

etableringen af en ramme, der understøtter effektiv håndhævelse af databe-

skyttelsesreglerne i grænseoverskridende sager og samarbejde mellem til-

synsmyndighederne i medlemsstaterne.

12. Tidligere forelæggelser for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.

Side 8/8