Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt
1833180_0001.png
Folketinget
Retsudvalget
Christiansborg Slot 1
1218 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
12. december 2017
Databeskyttelseskontoret
Nanna Due Binø
2017-0037-0005
598738
Hermed sendes besvarelse af spørgsmål 8 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og om fri udveks-
ling af sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til
lov om ændring af lov om retshåndhævende myndigheders behandling af
personoplysninger, lov om massemediers informationsdatabaser og for-
skellige andre love (Konsekvensændringer som følge af databeskyttelses-
loven og databeskyttelsesforordningen samt medieansvarslovens anven-
delse på offentligt tilgængelige informationsdatabaser m.v.) (L 69), som
Folketingets Retsudvalg efter ønske fra Zenia Stampe (RV) har stillet til
justitsministeren den 5. december 2017.
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 69 - 2017-18 - Endeligt svar på spørgsmål 9: Spm., om ministeren og regeringen ikke gør virksomhederne en bjørnetjeneste ved i betænkningen at nedtone nyskabelserne Privacy by Design/indbygget databeskyttelse og databeskyttelse gennem standardindstillinger (artikel 25) og brug af konsekvensanalyse vedrørende databeskyttelse (artikel 35) , til justitsministeren
Spørgsmål 8 fra Folketingets Retsudvalg efter ønske fra Zenia Stampe
(RV) vedrørende L 68 og L 69:
”Er
ministeren opmærksom på, at Institut for Menneskerettighe-
der, Forbrugerrådet Tænk samt Rådet for Digital Sikkerhed,
som primært består af en lang række it-virksomheder og for-
skere, påpeger, at det er helt afgørende for at etablere en højre
grad af databeskyttelse og it-sikkerhed, at begrebet Privacy
by Design fortolkes i overensstemmelse med de canadiske prin-
cipper, hvorfra begrebet oprindeligt stammer, hvilket indebærer,
at virksomheder og myndigheder skal indtænke 7 principper,
som sikrer beskyttelse af data i hele livscyklen, når de bygger it-
systemer?”
Svar:
1.
I databeskyttelsesforordningens artikel 25 fastsættes princippet om data-
beskyttelse gennem design og databeskyttelse gennem standardindstillinger,
der gælder den 25. maj 2018, når forordningen finder anvendelse.
Justitsministeriet har den 24. maj 2017 offentliggjort betænkning nr.
1565/2017 om databeskyttelsesforordningen. Betænkningen indeholder en
nærmere analyse af den gældende retstilstand og forordningens bestemmel-
ser, herunder
bestemmelsen om databeskyttelse gennem design ”Privacy
by
Design”.
2.
I betænkningen er der således en grundig beskrivelse af gældende ret i
form af databeskyttelsesdirektivet, en udtalelse fra den såkaldte Artikel 29-
gruppe (gruppen består af repræsentanter fra tilsynsmyndighederne i EU)
og Datatilsynets praksis. Der er i betænkningen derfor taget afsæt i den for-
ståelse af begrebet databeskyttelse gennem design, som lægges til grund i
Artikel 29-Gruppens
udtalelse ”The future of Privacy”
og Datatilsynets
praksis. Når der netop inddrages en udtalelse fra Artikel 29-Gruppen, er det
et udtryk for, at det er centralt, at den fælles europæiske forståelse af begre-
bet indgår i betænkningen.
De canadiske principper, hvorfra begrebet
”Privacy by Design” oprindeligt
stammer, er ikke direkte nævnt i betænkningen, men principperne er en cen-
tral del i den forståelse af begrebet, der lægges til grund af Artikel 29-grup-
pen og i Datatilsynets praksis. Forståelsen af de 7 principper vil derfor også
være vigtig i den fremadrettede tilgang til databeskyttelse gennem design.
2
L 69 - 2017-18 - Endeligt svar på spørgsmål 9: Spm., om ministeren og regeringen ikke gør virksomhederne en bjørnetjeneste ved i betænkningen at nedtone nyskabelserne Privacy by Design/indbygget databeskyttelse og databeskyttelse gennem standardindstillinger (artikel 25) og brug af konsekvensanalyse vedrørende databeskyttelse (artikel 35) , til justitsministeren
Forordningens artikel 25 skal herudover ses i sammenhæng med de øvrige
bestemmelser i forordningen, herunder særligt artikel 5 om principper for
behandling, artikel 32 om behandlingssikkerhed samt artikel 35 om konse-
kvensanalyse.
Forordningens artikel 25, stk. 1, indebærer efter Justitsministeriets opfat-
telse en
overvejelsesforpligtelse
og en
håndteringsforpligtelse
for den data-
ansvarlige til allerede i forberedelsesfasen at indtænke de relevante foran-
staltninger til sikring af overholdelse af databeskyttelsesforordningen.
Det er endvidere Justitsministeriets opfattelse, at artikel 25, stk. 1, indebærer
en pligt for den
dataansvarlige
til at inddrage tiltag, der konkret fremmer en
effektiv implementering af forordningens databeskyttelsesprincipper i arti-
kel 5 og dens øvrige regler.
Dermed skal den dataansvarlige overveje og håndtere, hvordan databeskyt-
telse generelt, dvs. alle forordningens bestemmelser, kan efterleves med
konkrete foranstaltninger i
design
af IT-systemer, såsom deres tekniske
ind-
retning
og brugergrænseflade, samt ved indretningen af den dataansvarliges
organisation.
Forordningens artikel 25, stk. 2, fastsætter princippet om databeskyttelse
gennem standardindstillinger
. Bestemmelsen foreskriver, at den dataan-
svarlige skal sikre, at det kun er de personoplysninger, der er nødvendige til
hvert specifikt formål med behandlingen, der bliver behandlet. Det skal også
sikres, at personoplysninger ikke uden den pågældende fysiske persons ind-
griben stilles til rådighed for et ubegrænset antal fysiske personer.
Det bemærkes, at kravet
i artikel 25, stk. 2, kan ses som en ”tilføjelse” til
kravet om databeskyttelse gennem design i artikel 25, stk. 1, idet stk. 1 kon-
kret kan indebære, at et system designes med særlige databeskyttelsesfrem-
mende indstillinger indbygget, og bestemmelsen i artikel 25, stk. 2, pålæg-
ger således den dataansvarlige f.eks. at gøre den mest formålsbegrænsende
indstilling af systemet til standardindstillingen.
4.
Artikel 25 skal ses i sammenhæng med artikel 35 om konsekvensanalyse
vedrørende databeskyttelse. Gennemførelsen af en konsekvensanalyse ska-
ber mulighed for
på et bevidst og oplyst grundlag
at designe tekniske
privatlivsbeskyttende løsninger ind i systemet fra start.
3
L 69 - 2017-18 - Endeligt svar på spørgsmål 9: Spm., om ministeren og regeringen ikke gør virksomhederne en bjørnetjeneste ved i betænkningen at nedtone nyskabelserne Privacy by Design/indbygget databeskyttelse og databeskyttelse gennem standardindstillinger (artikel 25) og brug af konsekvensanalyse vedrørende databeskyttelse (artikel 35) , til justitsministeren
For så vidt angår forordningens artikel 35 om konsekvensanalyse fremgår
det af bestemmelsen, at hvis en type behandling, navnlig ved brug af nye
teknologier og i medfør af sin karakter, omfang, sammenhæng og formål,
sandsynligvis vil indebære en
høj risiko
for fysiske personers rettigheder og
frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en
analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse
af personoplysninger.
Justitsministeriet har i betænkning nr. 1565 foretaget en nærmere juridisk
analyse af denne bestemmelse.
Samlet set er det ikke Justitsministeriets opfattelse, at databeskyttelse gen-
nem design og konsekvensanalyser nedtones i betænkning nr. 1565. For at
hjælpe virksomheder og myndigheder med forståelsen af de to bestemmel-
ser, vil Datatilsynet og Justitsministeriet udsende en vejledning om databe-
skyttelse gennem design og standardindstillinger og en vejledning om kon-
sekvensanalyse. Begge vejledning forventes at kunne offentliggøres senest
i januar 2018.
Afslutningsvis skal det bemærkes, at Justitsministeriet er helt enig i, at de to
bestemmelser er vigtige elementer for at forebygge eventuelle sikkerheds-
brud.
4