Bidrag fra Datatilsynet

Justitsministeren har i februar 2020 iværksat en national evaluering af databeskyttelsesreg- lerne. Evalueringen indebærer bl.a. en erfaringsindsamling, i hvilken forbindelse der har væ- ret gennemført en høring af relevante interessenter og en offentlig høring, således at enhver har haft mulighed for at bidrage til erfaringsindsamlingen, herunder belyse konkrete situatio- ner, hvor der opleves uklarhed, når databeskyttelsesreglerne skal efterleves i praksis, og for- midle mulige løsninger og eventuel vejledning om konkrete problemstillinger.

Justitsministeriet har modtaget høringssvar fra:

3F, Akademikerne, Danmarks DPO-forening, Danmarks Idrætsforbund, Dansk Arbejdsgiver- forening, Dansk Erhverv og IT-Branchen (fælles), Dansk Industri, Dansk Ungdoms Fællesråd (DUF), Danske Advokater, Danske Arkiver, Danske Handicaporganisationer, Danske Medier, Danske Regioner, Danske Universiteter, DGI, EjendomDanmark, Erhvervslivets EU- og Re- gelforum, Fagbevægelsens Hovedorganisation, Finans Danmark, Finans og Leasing, FOA, Folkeoplysningens Brancheorganisation, Forbrugerrådet Tænk, Danske Revisorer, HK, KL, Kræftens Bekæmpelse, MyData Denmark, Xxxxxx Xxxxxxxxx, PriWay, PROSA, Rigsarkivet, Rigspolitiet, Rådet for Digital Sikkerhed, Sikkerhedsbranchen, SMVdanmark.

Nedenfor er gengivet de mest centrale spørgsmål og udfordringer, som er kommet frem i for- bindelse med erfaringsindsamlingen. Datatilsynets bemærkninger hertil er anført med kursiv.

2. Behov for mere (konkret) vejledning

Akademikerne, Dansk Arbejdsgiverforening, Dansk Erhverv og IT-branchen, Dansk In- dustri, DUF, Danske Handicaporganisationer, Danske Medier, Danske Regioner, Ejen- domDanmark, Erhvervslivets EU- og Regelforum, Finans Danmark, Forbrugerrådet Tænk, KL, Kræftens Bekæmpelse, Rådet for Digital Sikkerhed, Sikkerhedsbranchen og SMVdanmark anfører, at der er behov for mere konkret og branchespecifik vejledning med praksisnære eksempler om databeskyttelsesreglerne. Der peges i den forbindelse også på, at relevante parter i højere grad bør inddrages, ligesom Datatilsynet bør offentliggøre flere og mere operationelle afgørelser samt udarbejde flere konkrete værktøjer, herunder tjeklister, skabeloner, flowcharts, FAQ’er, videoer mv.

Der har siden 1970’erne været regler for behandling af personoplysninger i Danmark. I 1979 blev adgangen til at registrere og videregive oplysninger om personer, virksomheder, forenin- ger mv. således fastlagt i lov om offentlige myndigheders registre og lov om private registre.

Formålet med disse regler, som var nogle af de første af sin slags på verdensplan, var at sikre, at behandling af personoplysninger skete på en sådan måde, at den enkelte borgers retsbe- skyttelse og integritet ikke blev krænket, idet den stigende anvendelse af elektronisk databe- handling i Danmark skabte en frygt i befolkningen for registreringsaktiviteterne og for, at de indsamlede oplysninger blev udnyttet på en måde, der krænkede den personlige fred og fri- hed.

I 1990 fremsatte EF-Kommissionen et forslag til Rådets direktiv om beskyttelse af fysiske per- soner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne op- lysninger, som blev endeligt vedtaget den 24. juli 1995. Formålet var at harmonisere beskyt- telsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingsaktiviteter og at sikre den frie udveksling af personoplysninger mellem medlems- staterne. Direktivet blev gennemført i dansk ret ved lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven), som trådte i kraft den 1. juli 2000.

Den hastige teknologiske udvikling og globaliseringen har imidlertid skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af per- sonoplysninger er steget betydeligt. Teknologien har givet både private virksomheder og of- fentlige myndigheder mv. mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Endvidere deler fysiske personer i stigende grad deres perso- noplysninger offentligt og globalt.

Denne udvikling fandt EU’s medlemslande krævede en stærk og mere sammenhængende da- tabeskyttelsesramme, som understøttes af effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig på det indre marked. Dette var baggrunden for, at databeskyttelsesforordningen den 27. april 2016 blev vedtaget, og si- den 25. maj 2018 erstattede reglerne i persondataloven (med senere ændringer), der som nævnt havde været gældende siden år 2000.

Samme tanker er i øvrigt også kommet til udtryk i den fællesoffentlige digitaliseringsstrategi 2016-2020, som er blevet til i et samarbejde mellem den tidligere regering, KL og Danske Re- gioner. Det fremgår således bl.a. af strategien, at: ”Velfærdssamfundet bygger på en høj grad af tillid til den offentlige sektor. Den tillid skal vi værne om, også når den offentlige kommuni-

kation og service bliver mere og mere digital. Det er derfor helt afgørende, at der skabes trygge rammer for, at borgere og virksomheder kan agere digitalt i samspillet med den offentlige sek- tor. Borgernes og virksomhedernes digitale tryghed er en central forudsætning for, at vi i fæl- lesskab kan udnytte de muligheder, digitalisering giver os for at udvikle og forbedre vores vel- færdssamfund. For digitalisering rummer store muligheder såvel for den enkelte som for sam- fundet som helhed.”

Endvidere har Xxxxxx den 24. maj 2018 bragt et debatindlæg skrevet af Dansk Industris tidli- gere administrerede direktør, Xxxxxxx Xxxxxx, under overskriften: ”Tillid til virksomhedernes datahåndtering er hård valuta”. Af debatindlægget fremgår det bl.a., at stort set alle virksom- heder arbejder i dag med data – og med rette. Men det kan ifølge debatindlægget kun lade sig gøre, hvis kunderne har tillid til, at deres data bliver brugt forsvarligt og ikke bliver misbrugt. Her har Danmark og danske virksomheder et fantastisk udgangspunkt for at gøre digitalise- ring og datasikkerhed til en styrkeposition, på samme vis som eksempelvis høj fødevaresik- kerhed er det i dag. Dermed kan persondataforordningen ifølge debatindlægget faktisk også blive den håndsrækning til danske virksomheder, der gør os mere konkurrencedygtige. Debat- indlægget slutter af med at slå fast, at i en tid, hvor data ofte bliver beskrevet som det nye olie, kan den tillid blive en uvurderlig konkurrenceparameter for danske virksomheder.

****

Selv om det ikke nævnes direkte i de indkomne erfaringer fra de hørte myndigheder, organi- sationer mv., synes det efter Datatilsynets opfattelse i øvrigt i et vist omfang at være et gen- nemgående tema i mange af disse erfaringer, at det er en svaghed ved databeskyttelsesreg- lerne, at reglerne i vidt omfang består af retlige standarder, som forudsætter, at den data- ansvarlige foretager en konkret vurdering, hvilket skaber bekymring for, om man som data- ansvarlig gør det rigtigt.

Formålet med at udforme reglerne som retlige standarder, som forudsætter den dataansvarli- ges konkrete stillingtagen, er ikke at skabe usikkerhed eller bekymring, men at sikre, at reg- lerne har den fornødne fleksibilitet. Det er således hensigten med databeskyttelsesreglerne, at de skal kunne tilpasses den enkelte behandlingssituation og den enkelte dataansvarlige.

Det er derimod ikke hensigten med reglerne, ligesom det formentlig heller ikke er i de data- ansvarliges interesse, at Datatilsynet udtømmende gør op med, om og hvordan personoplys- ninger skal behandles. Dette skyldes, at tilsynet i sagens natur ikke har de samme forudsæt- ninger som de dataansvarlige, der til daglig har behov for at behandle personoplysninger, for at vurdere, hvad der i det enkelte tilfælde ”er det rigtige at gøre”. Datatilsynet har f.eks. ikke indgående kendskab til, hvilke og hvor mange personoplysninger der skal behandles for at drive en virksomhed eller en daginstitution.

Når man som dataansvarlig i henhold til reglerne selv forventes at foretage de nødvendige vurderinger i forhold til, hvordan man tilrettelægger sin behandling af personoplysninger, be- tyder dette naturligvis også, at i det omfang disse vurderinger bygger på relevante og saglige overvejelser, vil behandlingen som regel være inden for rammerne af databeskyttelsesreg- lerne. Samtidig er det vigtigt at være opmærksom på, at tiden efter 25. maj 2018 har vist, at man som dataansvarlig ikke skal være nervøs for, at det første, Datatilsynet altid tyr til, er en bøde, hvis tilsynet – på trods af den dataansvarliges relevante og saglige overvejelser – und- tagelsesvis måtte komme frem til en anden vurdering i et konkret tilfælde.

Datatilsynet har ifølge databeskyttelsesforordningen en række reaktionsmuligheder, når tilsy- net konstaterer, at reglerne ikke overholdes. Overtrædelse af databeskyttelsesreglerne kan ef-

ter omstændighederne således sanktioneres ved bl.a. at udtale kritik og/eller meddele den da- taansvarlige påbud eller forbud i forhold til en given handling eller undladelse. Efter omstæn- dighederne kan det også komme på tale at sanktionere overtrædelsen med en bøde. De for- skellige sanktioner kan enten anvendes alene eller kombineres afhængigt af de konkrete om- stændigheder. Datatilsynet foretager altid en konkret vurdering baseret på den enkelte sags omstændigheder, når tilsynet beslutter, hvilken sanktion eller reaktion den enkelte sag skal ende med. Datatilsynet lægger i den forbindelse bl.a. vægt på karakteren, herunder omfanget, af overtrædelsen, om overtrædelsen må anses som udtryk for manglende vilje til at overholde reglerne, lemfældig omgang med personoplysninger eller der fx er tale om gentagelsestil- fælde. Det er langt fra alle sager, som Datatilsynet behandler, som resulterer i en politianmel- delse med indstilling om bøde. Således afgør Datatilsynet i dag en meget stor andel af tilsy- nets sager ved anvendelse af andre sanktioner end bøde.

****

Datatilsynet har i de senere år brugt og bruger fortsat betydelige ressourcer på at rådgive og vejlede om de nye databeskyttelsesregler. Alligevel har de aktører, som har en interesse i Da- tatilsynets arbejde, oplevet, at tilsynets vejledning ikke har været tilstrækkelig konkret eller til- strækkelig anvendelig i praksis.

Datatilsynet har derfor foretaget en række organisatoriske tiltag for at styrke tilsynets vejled- ningsindsats yderligere, idet fokus på mere konkret og anvendelig vejledning nu er en del af tilsynets strategiske grundlag, hvilket gerne skulle bidrage til at sikre, at tilsynets vejledning også opleves sådan i praksis. Et af disse initiativer er, at Datatilsynet har oprettet en ny en- hed – Vejledning og Informationssikkerhed – som bl.a. skal have et særligt fokus på at give mere konkret vejledning til virksomheder, myndigheder og borgere, herunder ved udarbejdelse af vejledninger, skabeloner, tjeklister mv.

I forlængelse heraf har Datatilsynet nedsat to forskellige kontaktudvalg, som har til formål at skabe et tættere samspil mellem tilsynet og centrale interessenter i såvel den private som den offentlige sektor, for at tilsynet kan være tæt på de problemer, som virksomheder og myndig- hederne står med, således at tilsynet bedre kan hjælpe dem til at overholde reglerne, hvilket i sidste ende også er til gavn for alle de borgere, hvis oplysninger det hele drejer sig om.

Datatilsynet arbejder endvidere på at få offentliggjort så mange afgørelser som muligt på tilsy- nets hjemmeside. Afgørelserne vil blive offentliggjort med et lille resume, hvor tilsynet dels ”oversætter” afgørelsen for offentligheden og dels angiver, hvad den dataansvarlige burde have gjort eller har gjort godt. Datatilsynet er således også opmærksom på at få fremhævet de dataansvarlige, som gør det godt og har udviklet nogle gode løsninger mv.

Herudover arbejder Datatilsynet målrettet på at stille de samme budskaber til rådighed i flere forskellige formater, f.eks. vejledninger, korte tekster, små animerede videoer og podcasts, li- gesom tilsynet i disse år har stor opmærksomhed på, hvordan tilsynet formulerer sig, og hvor øvelsen som på så mange andre områder består i at finde den rette balance, så formidlingen ikke kun er korrekt, men også til at forstå. Dette har bl.a. betydet, at Datatilsynet har valgt at ansætte flere kommunikationsmedarbejdere.

Er Datatilsynet så i mål? Langt fra. Men Datatilsynet arbejder målrettet videre på at gøre det bedre med de ressourcer, som tilsynet har til rådighed.

3. Begreberne dataansvarlig og databehandler

3.1 Afklaring af roller

3F, Dansk Erhverv og IT-branchen, Dansk Industri, Danske Medier, Danske Regioner, EjendomDanmark, KL og Sikkerhedsbranchen anfører, at det i praksis er vanskeligt at pla- cere og afgrænse dataansvaret, herunder i forhold til leverandører, samarbejdspartnere, til- lidsrepræsentanter mv.

Når der behandles personoplysninger, er det vigtigt at være opmærksom på rollefordelingen. Det gælder i særdeleshed, hvis der er flere parter involverede i behandlingen. Hvis de parter, der deltager i en behandling af personoplysninger, er usikre på, hvem der har ansvaret for at leve op til de forskellige regler om databeskyttelse, er der en risiko for, at ingen af parterne på- tager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende reelt ikke har.

De indkomne høringssvar viser, at det i praksis ikke altid er lige let at afklare rollefordelingen, og at der er behov for yderligere – praksisnær – vejledning på området. Datatilsynet vil derfor tage initiativ til, at det vejledende materiale om dataansvarlige og databehandlere, som pt. er tilgængelig på Datatilsynets hjemmeside, løbende opdateres og udbygges med praksisnære eksempler. En opdateret vejledning med spørgsmålet om offentlige myndigheders anvendelse af private leverandører forventes offentliggjort inden længe.

Datatilsynet har også i regi af Det Europæiske Databeskyttelsesråd (EDPB) bidraget til udar- bejdelsen af en fælleseuropæisk vejledning om databeskyttelsesforordningens begreber da- taansvarlige og databehandlere (vejledning 07/2020). Vejledningen har været sendt i offentlig høring og forventes snart vedtaget med de ændringer, som de indkomne høringssvar måtte give anledning til. Når den endelige vejledning foreligger, vil Datatilsynets nationale vejledning blive opdateret i overensstemmelse hermed.

For så vidt angår bemærkningen fra 3F om, at det i praksis giver udfordringer at afgøre, hvor- vidt dataansvaret skal placeres hos enten den faglige organisation eller tillidsrepræsentanten, fremgår det af Datatilsynets reviderede vejledning fra december 2020 om databeskyttelse i forbindelse med ansættelsesforhold, at det beror på en konkret vurdering af rollefordelingen og de aftaler mv., der måtte ligge til grund herfor på det pågældende område. Hvis den faglige organisation har indrettet sig på en sådan måde, at organisationen har instruktionsbeføjelser over for tillidsrepræsentanten i form af mandat, bemyndigelse, vejledning eller lign., vil der som udgangspunkt foreligge dataansvar for de faglige organisationer, hvorimod tillidsrepræsentan- ten som udgangspunkt vil være at betragte som selvstændigt dataansvarlig, hvis organisatio- nen ikke har en sådan instruktionsbeføjelse over for tillidsrepræsentanten.

Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, der blev udgivet første gang i november 2018, sætter fokus på de regler inden for databeskyttelsesret- ten, der især kommer i spil i forbindelse med ansættelsesforhold, herunder en række afsnit om dataansvaret i en ansættelsesretlig sammenhæng og de faglige organisationers og tillidsre- præsentanters behandling af personoplysninger. Vejledningen, som senest er revideret i de- cember 2020, er bl.a. blevet til på baggrund af drøftelser med repræsentanter for arbejdsmar- kedets parter. Datatilsynet forventer i øvrigt bl.a. på baggrund af nærværende nationale eva-

luering af databeskyttelsesreglerne at påbegynde en yderligere gennemgang og revision af vejledningen inden udgangen af 2021.

3.2 Tilsyn med databehandlere

Akademikerne, Danmarks DPO-Forening, Dansk Erhverv og IT-branchen, Danske Re- gioner, DUF, Finans Danmark, KL og Sikkerhedsbranchen giver udtryk for, at det er en ud- fordring at føre tilsyn med – og påse behandlingssikkerheden hos – databehandlere, herun- der at det er uklart, hvad der reelt er genstanden for tilsynet med databehandlere. Det er ifølge de nævnte organisationer mv. ressourcekrævende, og det vil være forenklende med en tjekli- ste eller andre værktøjer. Herudover er det svært at føre tilsyn med, hvad de nævnte organi- sationer betegner som ”techgiganter”, og ikke alle it-leverandører er forberedt på, hvad den dataansvarliges kontrol indebærer.

For så vidt angår udfordringerne i forhold til at få påset behandlingssikkerheden hos databe- handlere udarbejdede Datatilsynet i maj 2018 en vejledende tekst om tilsyn med databehand- lere og underdatabehandlere, hvori der redegøres for, hvorfor det er nødvendigt at påse be- handlingssikkerheden hos databehandlere, ligesom der redegøres for, hvem der kan påse be- handlingssikkerheden, hvordan behandlingssikkerheden kan påses og hvor ofte behandlings- sikkerheden bør påses.

Endvidere lancerede Datatilsynet og FSR - danske revisorer sammen i februar 2019 en re- visorerklæring, som skal hjælpe dataansvarlige med at påse, at deres databehandlere lever op til kravene i GDPR. I november 2020 blev erklæringen fulgt op af en ny udgave med en be- grænset grad af sikkerhed, når der f.eks. er mindre kompleksitet i behandlingen af personop- lysninger. Formålet med den nye erklæring var at bidrage til at sikre, at brugen af revisorer- klæringer står mål med behovet i den konkrete situation. Det er ikke nødvendigt at benytte re- visorerklæringer for at efterleve databeskyttelsesforordningen, men kan være en god måde at sikre, at de relevante områder bliver belyst, og at man får foretaget en uvildig kontrol af sikker- hedsniveauet. Begge revisorerklæringer er tilgængelige på FSR – danske revisorers og Data- tilsynets hjemmesider.

De indkomne høringssvar viser imidlertid, at der, som det er tilfældet i forhold til afklaringen af rollefordelingen, er behov for yderligere vejledning på området, herunder ved inddragelsen af praksisnære eksempler, tjeklister mv. Datatilsynet forventer derfor i 2. kvartal 2021 at opda- tere og supplere tilsynets vejledende materiale om tilsyn med databehandlere og underdata- behandlere.

3.3 Aftaler om fælles dataansvar og databehandleraftaler

DUF, Danske Medier, Finans Danmark og KL oplyser, at det er vanskeligt at indgå et retvi- sende aftalegrundlag (databehandleraftaler eller aftale om fælles dataansvar) med techgigan- ter, herunder Facebook, Google og Microsoft, da disse opererer med standardvilkår og er af- visende over for dialog eller forhandling.

Finans Danmark finder endvidere, at databeskyttelsesforordningens artikel 28, stk. 4, ikke ta- ger højde for, at de aktiviteter, som underdatabehandleren udfører på vegne af databehand- leren, kan divergere væsentligt fra den samlede aktivitet, der er outsourcet til databehandle- ren – både for så vidt angår selve behandlingsaktiviteterne, kategorierne af personoplysnin- ger og dermed det samlede risikobillede. Finans Danmark ønsker derfor oplyst, om en prak- tisk løsning kan være, at databehandleren foretager en selvstændig risikovurdering af under- databehandlerens aktiviteter med henblik på fastsættelse af tekniske og organisatoriske sik-

kerhedsforanstaltninger, hvorefter denne risikovurdering og beskrivelse af sikkerhedsforan- staltningerne forelægges den dataansvarlige til godkendelse.

FSR – danske revisorer bemærker, at det er den dataansvarliges forpligtelse at sikre, at der er en databehandleraftale på plads. Dataansvarlige har ofte tolket dette således, at den data- ansvarlige også skal udarbejde krav til bl.a. tekniske og organisatoriske foranstaltninger. Dette giver udfordringer for mange – særligt mindre databehandlere – da de bliver mødt med mange forskelligartede databehandleraftaler med forskellige krav til blandt andet tekniske og organi- satoriske foranstaltninger.

Det følger af databeskyttelsesforordningens artikel 28, stk. 3, at en databehandlers behand- ling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlin- gens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Endvidere følger det af forordningens artikel 26, at fælles dataansvarlige skal fastlægge deres respektive ansvar for overholdelse af forpligtel- serne i forordningen.

Der er imidlertid efter Datatilsynets opfattelse ikke noget til hinder for, at det er databehandle- ren, som tager initiativ til udarbejdelsen af databehandleraftalen, eller i øvrigt fastlægger ind- holdet heraf. Dette vil særligt være relevant, hvor den ydelse, som databehandleren leverer, kan karakteriseres som en standardydelse, hvor det ikke vil være muligt individuelt at ”for- handle” spørgsmålet om f.eks. tekniske og organisatoriske foranstaltninger. Den dataansvar- lige må i disse tilfælde vurdere, om den tilbudte aftale, de beskrevne foranstaltninger og for- holdene, behandlingerne sker under, indebærer, at forordningen overholdes, jf. forordningens artikel 28, stk. 1. Det samme gælder i forhold til den ordning, som skal fastlægges i henhold til forordningens artikel 26.

De egentlige vilkår må således baseres på markedet, men Datatilsynet forventer, at de ydel- ser, der tilbydes, også bliver tilbudt på en måde og under kontrakter, der sætter alle aktører – både (fælles) dataansvarlige og databehandlere – i stand til at overholde forordningen.

I forhold til det af Finans Danmark forespurgte er det den dataansvarliges opgave at vurdere hele behandlingskæden, inden behandlinger overlades til en databehandler, der benytter un- derdatabehandlere, jf. artikel 28, stk. 1. For at foretage denne vurdering kan den dataansvar- lige rent praktisk godt benytte vurderinger foretaget af andre – også en databehandlers beskri- velse af overholdelsen af de databeskyttelsesforpligtelser, som underdatabehandleren foreta- ger som led i de behandlinger, der hidrører fra den dataansvarlige.

Der kan dog aldrig foretages behandlinger, hverken med hensyn til type, formål og midler, der ikke til fulde er omfattet af – og tilgodeser – de databeskyttelsesretlige forpligtelser, der er fast- sat i kontrakten mv. mellem den oprindelige databehandler og den dataansvarlige. Dette gæl- der, uanset hvor mange underdatabehandlere der benyttes. Hvis de behandlinger, hvortil der bruges en underdatabehandler, alene tilsiger anvendelse af en del af de samlede forhold, der udgør databeskyttelsesforpligtelsen i den oprindelige kontrakt mv., kan dette afspejles i afta- len med denne.

Databeskyttelsesforordningens artikel 28, stk. 4, har til formål at sikre, at der ikke ved kæder af databehandlere sker en udvanding af de oprindelige krav, den dataansvarlige har indføjet i kontrakten mv., over for den oprindelige databehandler, ligesom bestemmelsen holder den oprindelige databehandler ansvarlig for eventuel manglede overholdelse i de efterfølgende led

i forholdet til den dataansvarlige. Det er væsentligt at erindre, at det er den dataansvarlige, der ultimativt står til ansvar for overholdelsen af forordningen i forhold til varetagelsen af de regi- streredes rettigheder, uanset om der benyttes ingen, en eller flere databehandlere.

4. Overførsel til lande uden for EØS (såkaldte tredjelande)

Dansk Erhverv og IT Branchen, DUF, Danske Medier, Danske Regioner, Dansk Industri, DGI, Finans Danmark, FSR – danske revisorer, KL og Kræftens Bekæmpelse oplyser, at der er usikkerhed og udfordringer forbundet med overførsel af oplysninger til tredjelande efter Schrems II-afgørelsen, herunder ved anvendelsen af cloud. Det fremhæves i den forbindelse særligt, at dataansvarlige ikke har den nødvendige viden eller kapital til at vurdere forholdene i tredjelandet eller til at fastsætte eventuelle yderligere foranstaltninger, som kan sikre et til- strækkeligt beskyttelsesniveau, og at der bør arbejdes på en fælles europæisk løsning.

Akademikerne oplyser, at der er udfordringer ved udveksling af personoplysninger med Grøn- land i forhold til bl.a. fagforeningsaktiviteter, og organisationen efterlyser yderligere vejledning i den forbindelse.

Schrems II-afgørelsen giver anledning til en række overvejelser i forhold til den fremtidige over- førsel af personoplysninger til lande uden for EØS, såkaldte tredjelande, og Datatilsynet er enig i behovet for praktisk vejledning i den henseende.

På den baggrund har Datatilsynet – i regi af Det Europæiske Databeskyttelsesråd (EDPB) – udarbejdet anbefalinger om, (1) hvilke kriterier man som dataeksportør skal lægge vægt på ved vurderingen af beskyttelsesniveauet i et tredjeland, og (2) hvilke supplerende foranstalt- ninger man som dataeksportør kan iværksætte, hvis beskyttelsesniveauet i et tredjeland vur- deres utilstrækkeligt. Anbefalingerne indeholder en række eksempler vedrørende praktisk fo- rekommende overførselssituationer, herunder anvendelse af cloud-baserede løsninger. Begge disse anbefalinger har til formål at give praktisk vejledning til dataeksportører i lyset af Schrems II-afgørelsen.

Datatilsynet er endvidere i gang med at opdatere Datatilsynets egen nationale vejledning om overførsel til tredjelande efter Schrems II-afgørelsen. Datatilsynet har som led i arbejdet her- med afholdt et møde med relevante aktører med henblik på, at den opdaterede vejledning kan adressere de udfordringer, man som dataeksportør oplever i praksis. Vejledningen vil også komme til at indeholde en række praktiske eksempler, herunder om anvendelse af cloud-ba- serede løsninger, ligesom den vil adressere spørgsmålet om overførsel til Grønland. Vejled- ningen forventes offentliggjort i juli 2021. Datatilsynet vil i øvrigt løbende overveje, om der er behov for yderligere vejledning på området.

I forhold til opfordringen om, at der nationalt eller i EU-regi foretages en generel vurdering af forholdene i relevante tredjelande, kan Datatilsynet oplyse, at man som dataeksportør er an- svarlig for at sikre sig, at man overholder reglerne i databeskyttelsesforordningen, når man overfører personoplysninger til et tredjeland. Det er derfor dataeksportøren, som selv skal sikre sig, at beskyttelsesniveauet i tredjelandet er tilstrækkeligt, hvilket også er bekræftet af EU- Domstolen i Schrems II-afgørelsen.

Ved vurderingen af beskyttelsesniveauet i tredjelandet vil det være naturligt for dataeksportø- ren at involvere dataimportøren, men også f.eks. brancheorganisationer vil kunne spille en vig- tig rolle i den forbindelse. Datatilsynet er opmærksom på, at det kan være en vanskelig vurde- ring at foretage i praksis, og det er også bagrunden for, at EDPB har udarbejdet anbefalinger herom.

Det bemærkes i øvrigt, at ifølge databeskyttelsesforordningens artikel 45 er det EU-Kommis- sionen, der kan fastslå, at et tredjeland, et område i et tredjeland, en sektor i et tredjeland el- ler en internationale organisation beliggende i et tredjeland er sikkert, og dermed har et be- skyttelsesniveau, som i det væsentlige svarer til det beskyttelsesniveau, der gælder i EU. Ved sin vurdering foretager EU-Kommissionen bl.a. en analyse af de regler, der gælder for be- handling af personoplysninger i tredjelandet eller den internationale organisation, men også en analyse af, hvordan landet eller organisationen efterlever retsstatsprincippet, regler for kla- geadgang og domstolsprøvelse osv. EU-Kommissionen er i den forbindelse endvidere forplig- tet til at indhente en udtalelse fra Det Europæiske Databeskyttelsesråd om, hvorvidt rådet er enig i analysen mv.

Når EU-Kommissionen har truffet afgørelse om, at et tredjeland eller en organisation er sik- kert betyder det, at der kan overføres personoplysninger til en modtager i det pågældende land eller i den pågældende organisation, uden at der først skal søges om godkendelse fra en kompetent tilsynsmyndighed eller lignende – dog under forudsætning af, at forordningens øv- rige regler, herunder behandlingsreglerne i forordningens kapitel II overholdes.

5. Anmeldelse af brud på persondatasikkerheden

Dansk Erhverv og IT-branchen, Danske Regioner, EjendomDanmark, Finans Danmark og KL anfører, at det er uklart, hvornår et brud på persondatasikkerheden er omfattet af plig- ten til at anmelde til Datatilsynet efter databeskyttelsesforordningens artikel 33, herunder at til- synets vejledning om brud på persondatasikkerheden bør revideres og gerne angive flere ek- sempler på, hvornår brud ikke skal anmeldes til tilsynet.

Akademikerne, EjendomDanmark, Fagbevægelsens Hovedorganisation og KL anfører, at håndtering af intern dokumentation og anmeldelse af sikkerhedsbrud til Datatilsynet er om- fattende og ressourcekrævende. Det synes især uproportionelt, at dokumentationspligten i for- bindelse med brud følger samme procedure uanset bruddets omfang og de forbundne risici for de registrerede.

Dataansvarlige skal anmelde brud på persondatasikkerheden til Datatilsynet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller friheds- rettigheder.

For at vejlede dataansvarlige om, hvornår det er usandsynligt, at der er risiko for den fysiske persons rettigheder og frihedsrettigheder, har Datatilsynet i februar 2018 udarbejdet en vej- ledning om håndteringen af brud på persondatasikkerheden. Datatilsynet kommer i den for- bindelse med konkrete eksempler for at illustrere, hvornår en anmeldelse til Datatilsynet er på- krævet, herunder også i forhold til tab af fortrolighed for oplysninger der er omfattet af tavs- hedspligt.

Datatilsynet har også i regi af Det Europæiske Databeskyttelsesråd (EDPB) bidraget til udar- bejdelsen af en fælleseuropæisk vejledning fra anmeldelse af brud på persondatasikkerheden (wp 250 rev. 01). Vejledningen, der senest er revideret og vedtaget den 6. februar 2018, inde- holder bl.a. eksempler på forskellige typer brud og på, hvem der skal underrettes i de forskel- lige scenarier. EDPB har den 14. januar i år vedtaget en ny vejledning, som følger op på de erfaringer, de europæiske tilsynsmyndigheder har gjort på området. I vejledningen, der har været sendt i offentlig høring, og som forventes endelig vedtaget i løbet af i år, gennemgår EDPB 18 konkrete eksempler på brud på persondatasikkerheden og redegør for, hvilke hand- linger den dataansvarlige bør tage i forlængelse heraf. Kan den dataansvarlige ”nøjes” med at skrive bruddet på den liste over alle sikkerhedshændelser, som den dataansvarlige skal føre efter databeskyttelsesforordningens artikel 33, stk. 5, eller skal der ske anmeldelse til tilsyns- myndigheden, ligesom vejledningen også forholder sig spørgsmålet om underretning af de re- gistrerede i hver af de 18 konkrete eksempler på brud på persondatasikkerheden.

Herudover har Datatilsynet i efteråret 2019 udgivet en podcast om databeskyttelsesreglerne, som bl.a. indeholder en episode under titlen ”Hvad er et sikkerhedsbrud, og hvad gør jeg, hvis der opstår et sikkerhedsbrud?”, som herunder også kommer ind på, hvornår der skal ske an- meldelse til tilsynet.

Datatilsynet har alligevel forståelse for, at afvejningen af, hvorvidt der skal ske anmeldelse til tilsynet, til tider kan være vanskelig. Datatilsynet vil derfor se på en revision af tilsynets vejled-

ning om håndtering af brud på persondatasikkerheden med henblik på at supplere med flere konkrete eksempler.

Datatilsynet kan imidlertid oplyse, at tilsynet i perioden 2018-2020 har modtaget 18.737 an- meldelser om brud på persondatasikkerheden. Kun et fåtal af disse anmeldelser havde en så- dan karakter, at de efter Datatilsynets opfattelse ikke burde have været anmeldt til tilsynet.

Endvidere har Datatilsynet i november 2020 afsluttet 15 planlagte tilsyn, der skulle belyse de dataansvarliges evne til at foretage de relevante anmeldelser af brud på persondatasikkerhe- den. Der blev særligt fokuseret på de dataansvarliges udbredelse af viden og redskaber så- dan, at alle relevante medarbejdere ved, hvordan et brud opfanges og indmeldes til den data- ansvarliges kontaktpunkt eller direkte til tilsynet. Derudover blev de dataansvarliges dokumen- tation gennemgået med henblik på at vurdere, om alle relevante brud var blevet indberettet til Datatilsynet.

Der var udvalgt såvel offentlige virksomheder (fem kommuner, en region, to statslige styrelser og to universiteter), som private dataansvarlige (to fagforeninger, en bank, et forsikringssel- skab og et privathospital).

Generelt har det været glædeligt at kunne konstatere, at alle de undersøgte dataansvarlige har haft fokus på opgaven, hvor der i de respektive organisationer var den fornødne viden og rutine, sådan at sikkerhedshændelser blev opfanget og indberettet. Det har vist sig, at de da- taansvarlige er gode til at vurdere, hvilke af sikkerhedshændelserne der udgør brud på per- sondatasikkerheden, og hvilke af disse der udgør en risiko for de registreredes rettigheder, og som derfor skal anmeldes til Datatilsynet.

****

Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de fak- tiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne af- hjælpende foranstaltninger. Medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal bruddet anmeldes til Datatilsynet.

Formålet med denne dokumentationspligt er at sætte Datatilsynet i stand til at kontrollere, om forpligtelsen i databeskyttelsesforordningen til at anmelde visse brud på persondatasikkerhe- den er overholdt, men hænger også sammen med forordningens princip om ansvarlighed (”ac- countability”). Intern dokumentation er derudover et vigtigt redskab i arbejdet med informa- tionssikkerhed.

For så vidt angår bemærkningen om, at det synes uproportionelt, at dokumentationspligten i forbindelse med databrud følger samme procedure uanset bruddets omfang og de forbundne risici for de registrerede, skal Datatilsynet for en god ordens skyld bemærke, at kravet om do- kumentation varierer i forhold til bruddets karakter.

Datatilsynet er opmærksom på, at ressourceforbruget ved håndtering af intern dokumentation og anmeldelse til tilsynet er ressourcekrævende. Datatilsynet er derfor ved at undersøge løs- ninger, som vil lette ressourceforbruget ved anmeldelser af brud. Datatilsynet vil som nævnt ovenfor endvidere se på en revision af vejledningen om håndtering af brud på persondatasik- kerheden med henblik på at supplere med flere konkrete eksempler, og tilsynet vil i den for- bindelse også præcisere dokumentationskravet.

Dansk Erhverv og IT-branchen, Danske Regioner, EjendomDanmark, Finans Danmark og KL anfører, at det vil lette byrden, hvis der kan etableres en bagatelgrænse i forbindelse med, hvornår et brud skal anmeldes til Datatilsynet, herunder at det vil have en større effekt og værdi for de registrerede, hvis ressourcerne i stedet bruges på de sager, hvor risikoen for den registrerede er moderat eller høj. KL foreslår, at stikprøvekontroller af den dataansvarli- ges hændelseslog eventuelt erstatter anmeldelsesordningen.

Efter Datatilsynets opfattelse vil det ikke være foreneligt med reglerne i databeskyttelsesfor- ordningens artikel 33 at indføre en bagatelgrænse, hvor mindre sikkerhedsbrud undtages fra anmeldelsespligten. Datatilsynet er derudover af den opfattelse, at intern dokumentation og anmeldelse til tilsynet – uanset bruddets karakter – varetager en række saglige hensyn i den dataansvarliges arbejde med at styrke informationssikkerheden.

Finans Danmark anfører, at det vil lette byrden, hvis konsekvenserne ved tab af fortrolighed kan indgå i vurderingen af, hvornår der skal ske anmeldelse og underretning til de registre- rede, og at der savnes vejledning om forståelsen af betragtning 85 (”tab af fortrolighed for op- lysninger, der er omfattet af tavshedspligt”) i forhold til vurderingen af, hvornår ”det er usand- synligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettig- heder eller frihedsrettigheder”.

Det er Datatilsynets opfattelse, at alle brud på persondatasikkerheden, jf. databeskyttelsesfor- ordningens artikel 4, nr. 12, skal anmeldes til tilsynet, med mindre det er usandsynligt, at der er en risiko for den registreredes rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1. Dette er ikke begrænset til brud på persondatasikkerheden for oplysninger, der er omfattet af tavs- hedspligt.

Fagbevægelsens Hovedorganisation og KL foreslår ændringer til anmeldelsesblanketten, herunder at der eksempelvis udarbejdes en kortere anmeldelsesblanket ved anmeldelsen af mindre brud, og at det bliver muligt at kunne tilføje nye oplysninger til eksisterende anmeldel- ser.

Anmeldelser af brud på persondatasikkerheden sker via en fællesdigital indberetningsløsning, som administreres af Erhvervsstyrelsen. Datatilsynet er ved at undersøge mulighederne for – og de praktiske konsekvenser af – at revidere anmeldelsesblanketten for at smidiggøre an- meldelsesprocessen for de dataansvarlige. Det bemærkes i den forbindelse, at indholdet af den nuværende anmeldelsesblanket bl.a. er baseret på en skabelon, som Det Europæiske Databeskyttelsesråd (EDPB) har udarbejdet, og at der fra tid til anden er anmeldelser af brud på persondatasikkerheden, som skal håndteres i overensstemmelse med den såkaldte One- Stop-Shop mekanisme.

Dansk Erhverv og IT-branchen anfører, at det bør præciseres, at den dataansvarlige er for- pligtet til at meddele databehandleren, hvem der skal modtage oplysning om sikkerhedsbrud, og at denne oplysning jævnligt opdateres.

Danske Regioner anfører, at Datatilsynet bør udarbejde en vejledning om, hvordan ansvaret for et sikkerhedsbrud fastlægges i komplekse databehandlerkonstruktioner, f.eks. tværoffent- lige digitale løsninger hvor en myndighed stiller et system til rådighed for andre aktører i sund- hedssektoren. Danske Regioner anfører endvidere, at der i sagsbehandlingen af konkrete brudsager ofte bruges uforholdsmæssigt meget tid på at afklare det konkrete dataansvar, og at der i nogle situationer sker en dobbeltanmeldelse af bruddet, hvilket er uhensigtsmæssigt for alle parter.

Datatilsynet vil se nærmere på de nævnte udfordringer, herunder i forbindelse med den oven- for nævnte revision af tilsynets vejledning om brud på persondatasikkerheden.

6. Behandlingssikkerhed, risikovurderinger og konsekvensanalyser

Danske Regioner anfører, at barren for, hvornår der skal udarbejdes metodemæssigt formali- serede risikovurderinger, efter den seneste praksis fra Datatilsynet (x.xx. 2019-441-3399) og Rigsrevisionen (beretning om outsourcede data i det offentlige 15/2019) synes at være meget lav, herunder at praksis tegner et billede af, at der er krav om metodemæssigt formaliserede risikovurderinger for samtlige behandlingsaktiviteter hos den dataansvarlige – store som små, og at dokumenter, der afspejler en reel risikovurdering, ikke bliver anerkendt som en risikovur- dering, medmindre dokumentet hedder ”risikovurdering” og følger en bestemt metodik. Dan- ske Regioner finder, at dette er uhensigtsmæssigt, fordi risikovurderingerne skal fungere i praksis ude hos aktørerne, hvor det ofte er mest hensigtsmæssigt, at risikovurderingerne ind- bygges i konkrete processer og koncepter, og foreslår derfor, at krav til form og detaljerings- niveau for risikovurderinger bliver mere fleksible, så der bliver mulighed for at tilpasse arbej- det med risikovurderinger til de faktiske organisatoriske forhold og konkrete organisatoriske processer hos den dataansvarlige. Dansk Regioner foreslår herudover, at forordningens mu- ligheder for adfærdskodekser og certificeringsordninger udnyttes og anvendes som et led i på- visningen af efterlevelsen af forordningen jf. artikel 24, stk. 3.

Databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24 stiller krav om, at den dataansvar- lige kan påvise overholdelsen af forordningen. Det fremgår ikke direkte af forordningen, hvor- dan form eller indhold af denne dokumentation skal være.

Tankegangen om ansvarlighed i artikel 24 udmøntes også i andre bestemmelser i forordnin- gen, såsom artikel 30 om fortegnelser over behandlingsaktiviteter og artikel 35 om konse- kvensanalyse vedrørende databeskyttelse.

I forhold til de tidligere regler er der ikke noget nyt i, at der efter forordningens artikel 24 stilles krav om, at den dataansvarlige skal efterleve de databeskyttelsesretlige regler. Størstedelen af de krav, som stilles til den dataansvarlige efter bestemmelsen fandtes således allerede i tidligere lovgivning, om end mindre eksplicit. Se f.eks. Artikel 29-gruppens udtalelse nr. 173/2010 om princippet om ansvarlighed.

Ud over kravet om, at den dataansvarlige skal kunne påvise, at dennes behandling er i over- ensstemmelse med forordningen, pålægges den dataansvarlige således ikke krav, som ikke var gældende tidligere.

Formålet med en nærmere angivelse af den dataansvarliges ansvar i databeskyttelseslovgiv- ningen er at skabe klarhed over, at det er den dataansvarlige, der som udgangspunkt er an- svarlig for overholdelsen af databeskyttelsesreglerne. Identificeringen af ansvaret for behand- lingen betyder ligeledes, at der skabes klarhed over, hvem de registrerede kan udøve deres rettigheder efter databeskyttelsesretten over for, herunder bl.a. retten til at blive glemt, retten til indsigt samt retten til oplysning mv.

Det er Datatilsynets opfattelse, at det direkte af måden, databeskyttelsesforordningen er op- bygget på, er forudsat, at der – for en given behandlings udstrækning, fra vugge til grav – fo- retages en vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder.

Dels fremgår det af artikel 25, at dette skal ske i hele behandlingens livscyklus (”fra fastlæg- gelse af midlerne”), dels forudsætter artikel 35, at ingen behandling, hvor der er en høj risiko for den registreredes rettigheder og frihedsrettigheder, må påbegyndes, uden en konsekvens- analyse er blevet udført. En sådan analyse kan betragtes som en endnu grundigere risikovur- dering, hvortil der er knyttet yderligere formkrav, der skal sikre, at den identificerede høje ri- siko nedbringes.

Dette kan ses i sammenhæng med databeskyttelsesforordningens artikel 32, hvor fastsættel- sen af de ”passende tekniske og organisatoriske foranstaltninger” sker i en afvejning af risi- koen for de registreredes rettigheder og frihedsrettigheder. Artikel 32, stk. 2, giver herudover en beskrivelse af, hvilke typer af scenarier der navnligt skal indgå i vurderingen.

Samlet set skal den dataansvarlige derfor kunne dokumentere, at disse overvejelser er fore- taget, og kunne godtgøre dette også i tilfælde, hvor risikoen for den registrerede er mindre end høj.

Det er Datatilsynets opfattelse, at dette mest hensigtsmæssigt foretages ved en struktureret tilgang, men der er intet krav herom. Uanset tilgang og form er det dog væsentligt, at Datatil- synet – hvis der kommer en klagesag eller ved tilsyn – kan modtage et samlet sæt af informa- tioner fra den dataansvarlige, der betrygger tilsynet i, at vurderingerne er foretaget, og på de påkrævede tidspunkter i behandlingens levetid.

Datatilsynet er herudover af den overbevisning, at der kan være betragtelige forretnings- og udviklingsmæssige synergieffekter ved en sådan struktureret tilgang.

Et godt eksempel er netop sagen, som Danske Regioner henviser til, om en virksomhed, der tre gange inden for kort tid havde sikkerhedsbrud. Datatilsynet var ikke betrygget af de oplys- ninger, virksomheden fremkom med, dels fordi der ikke var nogen dokumentation af de fore- tagne vurderinger, dels fordi virksomhedens vurdering af "lav risiko" syntes i strid med de er- faringer, som virksomheden og registrerede havde haft gennem flere brud på persondatasik- kerheden.

Det blot at gøre gældende, at "der er gennemført en risikovurdering, og den viste lav risiko" uden nogen dokumentation til at understøtte en sådan påstand, er derfor ikke nødvendigvis nok til at betrygge Datatilsynet. Det er dog væsentligt at fastslå, at Datatilsynet i sin praksis normalt kun spørger til vurderingen i det omfang, der rent faktisk er opstået tvivl om databe- skyttelsesreglernes overholdelse. Datatilsynet har herudover oplevet, at "vurderingen" af ri- siko først er foretaget, efter der er opstået en problematisk situation, som den dataansvarlige er havnet i (f.eks. gentagne sikkerhedsbrud). Dokumentationskravet skal derfor også sikre, at en dataansvarlig ikke blot kan påstå at have foretaget en risikovurdering (uden faktisk at have gjort det) eller påstå, at en databehandling var fundet forsvarlig grundet lav risiko uden doku- mentation for, hvordan man har vurderet risikoen til at være lav.

Databeskyttelsesforordningen stiller i øvrigt ingen formkrav til risikovurderinger eller konse- kvensanalyser ud over indholdskravet i databeskyttelsesforordningens artikel 35, stk. 7. Dette giver netop råderum til, at den dataansvarlige selv kan vælge en metode.

Datatilsynet vurderer altid sagens oplysninger samlet, og en vurdering eller afvejning af risi- koen for den registreredes rettigheder, som den dataansvarlige har foretaget, vil altid indgå heri, selv om den ikke har titlen "Xxxxxxxxxxxxxxx", og uanset hvilken metodik den følger. En

titel på et dokument kan dog indikere noget om formålet/hensigten med dokumentet og kan derved være med til at henlede opmærksomheden på dets relevans.

Datatilsynet udviser en betydelig accept af en mere summarisk beskrivelse af de nødvendige overvejelser, når det gælder de små og mellemstore virksomheder samt for de behandlinger, der generisk (som følge af deres natur og oplysningernes karakter) eller grundet stor ensar- tethed alene udgør en begrænset risiko for de registreredes rettigheder.

Datatilsynet har igennem en længere periode forsøgt at tydeliggøre dette i afgørelser, der of- fentliggøres, ligesom tilsynet fremadrettet – i oplysende og vejledende tekster på tilsynets hjemmeside – vil fremkomme med konkrete eksempler på behandlinger af denne karakter.

Datatilsynet tilslutter sig til fulde ønsket om, at forordningens muligheder for anvendelse af ad- færdskodeks bliver udnyttet til påvisning af efterlevelsen af forordningen, men det kræver, at sådanne adfærdskodeks eksisterer, og at dataansvarlig/databehandler anvender dem og hen- viser til dem som en del af påvisningen af efterlevelsen. Det skal endvidere bemærkes, at ad- færdskodeks kan udarbejdes af sammenslutninger og andre organer, der repræsenterer ka- tegorier af dataansvarlige eller databehandlere, jf. databeskyttelsesforordningens artikel 40, stk. 2. Dette kunne f.eks. være Danske Regioner. Datatilsynets rolle i forhold til adfærdsko- dekser angår godkendelse af disse, jf. forordningens artikel 40, stk. 5.

Akademikerne anfører, at det ved udarbejdelse af risikovurdering og konsekvensanalyse er tæt på umuligt at forudse konsekvenserne i tilfælde af sikkerhedsbrud som følge af de enkelte behandlingsaktiviteter.

Danske Regioner anfører, at det kan være svært at vægte kriterierne for passende sikker- hed, herunder hvor stor en rolle "implementeringsomkostningerne" må spille i forhold til slet- ning af personoplysninger.

KL anfører, at det er uklart, hvad der konkret skal til for at overholde artikel 32 om behand- lingssikkerhed og efterlyser støtte til arbejdet hermed.

Datatilsynet anerkender, at det kan være overvældende for den enkelte dataansvarlige, første gang vedkommende skal foretage en vurdering af risici for registreredes rettigheder.

For mange offentlige og private dataansvarlige er denne type af vurderinger og processerne til at foretage disse dog ikke helt ukendte, da de allerede har en ramme for it-sikkerhed og ri- sikostyring at tage udgangspunkt i. En ramme hvor fokus måske mere har været forretningens risiko og ikke den registreredes rettigheder, men også en ramme hvor de oprindelige redska- ber og processer har et betydeligt overlap med de vurderinger, der skal foretages af risikoen for de registrerede. Disse processer og rammeværk kan derfor i stort omfang genbruges.

Datatilsynet kan i lighed med tidligere udgivne vejledninger og betænkningen om databeskyt- telsesforordningen pege på internationale standarder som ISO 27001, 27002, 27005, 29151, 29134, 27701. Digitaliseringsstyrelsen udbyder værktøjer, der angår risikovurdering til brug ved implementering af ISO 27001. Dog skal dataansvarlige og databehandlere være opmærk- somme på, hvornår et værktøj eller en standard har fokus på organisationen, hvor databeskyt- telsesforordningens fokus er på de registrerede. Det betyder, at risici og dermed konsekven- ser skal tage udgangspunkt i de registreredes rettigheder og frihedsrettigheder og ikke i f.eks. virksomhedens bundlinje.

Risikovurdering er en særlig disciplin, men der er hjælp at hente. De to centrale elementer i en risikovurdering er sandsynlighed og konsekvens (eller "alvor" som det betegnes i artikel 24 og 32). For så vidt angår vurderinger af sandsynligheder for, at trusler manifesterer sig, og vur- dering af deraf følgende potentielle konsekvenser for de registrerede kan der findes inspira- tion her:

• Førnævnte værktøjer kan indeholde generelle vurderinger af sandsynligheder for, at trusler manifesterer sig, baseret på internationale erfaringer med f.eks. cyberangreb og insidertrusler.

• Nogle af førnævnte internationale standarder indeholder lister over, hvad der bør overvejes.

• Trusselsvurderinger fra sikkerhedsfirmaer eller Center for Cybersikkerhed (CFCS), hvoraf sidstnævnte kan være mere målrettet et område, som f.eks. sundhedssekto- ren i Danmark.

• Medieomtaler af sikkerhedsbrud, herunder Datatilsynets afgørelser.

• Organisationens egen erfaring med sikkerhedsbrud.

• Databeskyttelsesforordningens præambelbetragtning nr. 75.

• Justitsministeriets betænkning nr. 1565/2017 (særligt s. 469-490 om forordningens artikel 32)

• Danske vejledninger, herunder vejledning af februar 2018 om håndtering af brud på persondatasikkerheden (Datatilsynet), vejledning af juni 2018 om behandlingssikker- hed og databeskyttelse gennem design og standardindstillinger (Datatilsynet, Justits- ministeriet og Digitaliseringsstyrelsen) og den vejledende tekst om risikovurdering af juni 2019, som Datatilsynet har udarbejdet i samarbejde med Rådet for Digital Sikker- hed.

• Det Europæiske Databeskyttelsesråds vejledninger, f.eks. vejledning af februar 2018

om anmeldelse af brud på persondatasikkerheden (wp 250 rev. 01) og vejledning 01/2021 om yderligere eksempler på anmeldelse af brud.

• Datatilsynets podcastepisode: ”Hvad er en risikovurdering, hvornår skal jeg lave den,

og hvordan gør jeg”.

Endvidere kan nævnes ISO/IEC DIS 29134 ”Information technology – Security techniques – Privacy impact assesment – Guidelines”, som er en international standard udarbejdet af den internationale standardiseringsorganisation, International Organization for Standardization, ISO. Standarden er en vejledning i, hvorledes en konsekvensanalyse (Privacy Impact Asses- ment proces) kan udføres. Standarden beskriver processen i en række trin, hvoraf et trin f.eks. vedrører identifikation af risici, mens et senere trin f.eks. vedrører beslutning om foranstaltnin- ger. Standarden sætter bl.a. fokus på, at behandlingssikkerhed bliver iagttaget og indarbejdet i f.eks. design og implementeringen af IT-løsninger.

Datatilsynet har også bidraget til Det Europæiske Databeskyttelsesråds (EDPB) vejledning af oktober 2017 (wp 248rev.01) om ”konsekvensanalyser vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen "sandsynligvis indebærer en høj risiko"”, ligesom tilsynet i samarbejde med Justitsministeriet har udarbejdet en national vejledning om konsekvensana- lyser, der er offentliggjort i marts 2018. I januar 2019 offentliggjorde Xxxxxxxxxxxx i overens- stemmelse med databeskyttelsesforordningen endvidere en endelig liste over situationer, hvor dataansvarlige altid skal udarbejde konsekvensanalyser, efter at listen i udkastform havde væ- ret forelagt EDPB til udtalelse.

Angående udtrykket ”passende tekniske og organisatoriske foranstaltninger", jf. f.eks. artik- lerne 5, stk. 1, litra f, 24, 25 og 32, skal Datatilsynet bemærke, at efter § 41, stk. 3, i person- dataloven, som var gældende fra 2000 til 2018, skulle dataansvarlige og databehandlere

træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Det er dermed ikke nyt, at det er op til dataansvarlige og databehandlere selv at finde frem til foranstaltninger.

Databeskyttelsesforordningen specificerer, at det tidligere "fornødne" nu skal være "passende" i forhold til risikoen for de registreredes rettigheder. Da der i disse vurderinger er et betydeligt sammenfald, kan de dyder og måder at tænke organisatoriske og tekniske foranstaltninger på, som blev brugt dengang, heldigvis videreføres. Herudover er det Datatilsynets opfattelse, at de foranstaltninger, der korrekt var anset som ”fornødne” efter den tidligere retstilstand, gene- relt også vil være ”passende” i dag. Den dataansvarlige skal dog kunne håndtere de få for- skelle, der er, f.eks. rettigheden om dataportabilitet. Også ændringer i det generelle trussels- billede over de seneste år kan indebære et behov for nye/anderledes foranstaltninger – især på cybersikkerhedsområdet.

Det fremgår af vejledningen om behandlingssikkerhed (af juni 2018, ved Datatilsynet, Justits- ministeriet og Digitaliseringsstyrelsen), at man skal have et passende sikkerhedsniveau for at forhindre, at man behandler oplysninger i strid med forordningen, herunder at de personoplys- ninger, man behandler, enten hændeligt eller bevidst tilintetgøres, misbruges eller lignende. Hvornår et sådant ”passende sikkerhedsniveau” er etableret vil bero på en konkret vurdering. Som vejledende pejlemærke kan nævnes, at et passende sikkerhedsniveau vil afhænge af, hvilke og hvor store risici der er for sikkerhedsbrud og dermed for, at fysiske personers rettig- heder og frihedsrettigheder krænkes.

Hertil kan Datatilsynet tilføje, at formuleringen "passende foranstaltninger" giver dataansvar- lige/databehandlere flere typer af råderum, som kan være vigtige, f.eks.:

• I stedet for foranstaltninger, der øger beskyttelsen af personoplysninger mod f.eks. misbrug, kan man vælge foranstaltninger, der begrænser behandlingen, f.eks. xxxx- xxxx eller pseudonymisering.

• Man kan justere på forholdet mellem valgte tekniske og organisatoriske foranstalt- ninger.

• Man kan vælge imellem meget forskellige typer foranstaltninger med samme effekt på risikoen.

Datatilsynet har forståelse for, at det umiddelbart kan føles lettere at få en normativ ramme, der siger, hvad man skal gøre i en given situation, men det er netop det givne råderum, der gør, at den dataansvarlige kan forretningsudvikle eller benytte nye teknologiske muligheder nøjagtig på den måde, som denne dataansvarlige ønsker at gøre det og på den måde, som er mest optimal for netop denne dataansvarlige.

Det er tilsynets opfattelse, at der gennem sammenhængen med artikel 25 og tanken om, at når der laves forretningsudvikling, allerede i designet af behandlingerne af persondata bliver indlejret de fornødne garantier for, at databeskyttelsesforordningen overholdes, ligger en be- tydelig fokus på redskaber, der netop realiserer det "passende", også set i forhold til det tek- nologiske niveau og implementeringsomkostninger.

Datatilsynet skal i den anledning henlede opmærksomheden på Det Europæiske Databeskyt- telsesråds (EDPB) vejledning nr. 4/2019 af 20. oktober 2020 om artikel 25 og databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

De mange aspekter, som kan påvirke risikoniveauet, betyder også, at der ikke kan defineres et sæt "passende foranstaltninger" alene ud fra information om, hvilken type personoplysnin- ger der behandles. Spørgsmål som "Er TLS-kryptering f.eks. en tilstrækkelig sikkerhedsforan-

staltning til forsendelse af alle typer personoplysninger?" kan derfor ikke umiddelbart besva- res. Hvad der er en passende foranstaltning afhænger af flere omstændigheder, f.eks.: Angår spørgsmålet hele eller dele af forsendelsen fra afsender til modtager, eller angår det kun for- sendelse mellem to mailservere eller mellem en webserver og en browser? Hvordan er data beskyttet i hele forsendelsen (også den del, som evt. ikke er krypteret)? Hvordan bliver kryp- teringen etableret? Hvem har mulighed for at dekryptere? Er der tale om en forsendelse, som også kræver validering af den endelige modtager, og altså ikke kun beskyttelse imod uved- kommendes adgang til selve transmissionen? Er der tale om en forsendelse, som også kræ- ver uafviselighed – dokumentation for at indholdet er uændret undervejs fra afsender til mod- tager?

Dataansvarlige inden for samme område, brancher og lovgivningsområde vil typisk have mange identiske behandlinger og betydeligt sammenfald i opgavetilgangen til løsningen heraf. Det er Datatilsynets opfattelse, at der i disse tilfælde er en stor synergi i at benytte fælles til- gang til at finde et passende niveau af sikkerhed. Det kunne være med fælles udarbejdede vurderinger af behandlinger foretaget med samme software på samme måde i flere kommu- ner. I den yderste konsekvens ville det antageligt svare til adfærdskodekser, jf. artikel 40, idet et adfærdskodeks netop er tænkt rettet imod specifikke behandlingssektorer, brancher, mv., med sammenlignelige behandlinger af personoplysninger, ensartede behov, ens organisatio- ner, osv.

Adfærdskodekser kan udarbejdes af sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, jf. artikel 40, stk. 2. Dette kunne f.eks. være en interesseorganisation, et fagforbund, KL eller Danske Regioner.

Det er dog væsentligt at minde om, at både adfærdskodeks og certificeringer i en eller anden udstrækning begrænser autonomien i opgaveløsningen.

Datatilsynet arbejder på at gøre tilsynets vejledninger mere konkrete, f.eks. ved at lave vejled- ning om specifikke emner. Dette kunne være forhold om kryptering, sletning, sikkerhed ved flytbare medier, brug af produktionsdata til test og andre emner inden for sikkerhed. Datatilsy- net vil have fokus på, at vejledninger så vidt muligt kommer til at indeholde lister over de trusler, som er vigtige at have for øje og undersøge, og forslag til foranstaltninger. Begge dele kan hjælpe ved gennemførsel af risikovurderinger og iværksættelse af passende foranstaltninger.

Datatilsynet opfordrer i øvrigt til, at organisationer, der udfører samme typer af behandlinger under sammenlignelige forhold, kan hjælpe hinanden ved at dele risikovurderinger. Man skal blot være opmærksom på, at ansvaret ikke derved deles eller overføres, og den enkelte data- ansvarlige/databehandler skal stadig sikre sig, at risikovurdering også passer til egne behand- linger af personoplysninger.

Hertil kan tilføjes, at databeskyttelsesforordningens frihed til at vælge foranstaltninger også in- debærer, at nøjagtig samme risikovurdering for to organisationer ofte vil kunne føre til to fuldt lovlige, men forskellige sæt af foranstaltninger i de to organisationer.

Danske Regioner anfører, at udgangspunktet i dag er, at de enkelte offentlige myndigheder selv skal udføre risikovurderinger af konkrete behandlingsaktiviteter eller systemer. Men i prak- sis er myndighederne indbyrdes afhængige af hinandens risikovurderinger og sikkerhedsni- veau. Et eksempel på dette er videokommunikationstjenester, som blev højaktuelle med COVID-19. Her lavede de offentlige myndigheder forskellige risikovurderinger på baggrund af de trusselsvurderinger, Center for Cybersikkerhed kom med. Dette besværliggjorde samarbej- det på tværs af myndighederne, da myndighederne ikke var enige om, hvordan den digitale

kommunikation på tværs af myndighederne skulle foregå. Danske Regioner oplyser endvi- dere, at i projekter, hvor regionerne enten er pålagt at implementere en bestemt digital løs- ning, eller der er tale om en tværoffentlig løsning, som skal implementeres hos flere aktører, skal hver enkelt dataansvarlig udarbejde hver deres konsekvensanalyse uden nogen reel mu- lighed for at vurdere risici i sammenhæng med den samlede tværregionale løsning og uden reelt at have et mitigerende råderum i forhold til eventuelle risici. Danske Regioner foreslår på den baggrund bl.a., at der i regi af det fællesoffentlige samarbejde om digitalisering sam- men med Justitsministeriet og Datatilsynet hurtigt skabes klarhed i forhold til de juridiske ram- mer for tværoffentlige it-projekter, herunder indgåelse af databehandleraftaler, risikovurderin- ger, konsekvensanalyser og modeller for tilsyn på tværs af myndigheder, og at der i forlæn- gelse heraf sættes et arbejde i gang, som skal skabe bedre betingelser for den fællesoffent- lige digitalisering og deling af data på tværs af myndigheder, f.eks. igennem øget brug af ad- færdskodeks og certificeringer.

Datatilsynet er positivt indstillet over for alle initiativer, der øger databeskyttelsen i situationer, hvor opgaveløsningen går på tværs af flere myndigheder. Datatilsynet medvirker gerne med generel vejledning og sparring til et sådant samarbejde mellem offentlige myndigheder, hvis dette kan reducere den enkelte myndigheds arbejdsbyrde med at lave risikovurderinger. Se også det tidligere anførte om at dele risikovurderinger.

Det er endvidere Datatilsynets erfaring, at sikring af et passende sikkerhedsniveau i grænse- flader mellem dataansvarlige kan være en udfordring. En fælles tilgang til både risikovurde- ring og etablering af passende tekniske og organisatoriske foranstaltninger bydes derfor vel- kommen.

En udfordring, som også nævnes af Danske Regioner, er, hvis forskellige dataansvarlige har forskellige opfattelser af risici på trods af, at samme trusselsvurdering har været udgangspunk- tet. Der kan være flere helt reelle forskelle, hvor to dataansvarlige ikke ser samme risiko ved en given behandling, og det kan have en naturlig forklaring i en af følgende årsager:

• Der er tale om vurderinger af risici, herunder vurderinger af sandsynligheder og po- tentielle konsekvenser.

• Forskellige risikovurderingsmodeller kan med samme input give forskellige resulta- ter.

• Risici afhænger af de foranstaltninger, som den enkelte dataansvarlige har gennem- ført (eller planlægger gennemført), og som derfor indgår i risikovurderingen.

• Risici afhænger af, hvilke trusler der er kendt/overvejet i vurderingen. En højere risi- kovurdering kan skyldes, at én part har kendskab til trusler, som andre ikke har tænkt på/overvejet ved deres egen risikovurdering.

Selv om den enkelte dataansvarlige har ansvaret for, at der er etableret tilstrækkelig sikker- hed, kan man som dataansvarlige blive bedre og lære af hinanden, og særligt når der er et it- løsningsfælleskab, er dette i højeste grad påkrævet. Men det er også Datatilsynets opfattelse, at databeskyttelsesforordningens hovedregel er, at det er den dataansvarlige, der bestemmer over formål og midler og vurderingen af, hvad den pågældende mener er passende sikkerhed, uanset om der laves en risikovurdering i fællesskab med andre.

Datatilsynet gør endvidere opmærksom på forordningens artikel 35, stk. 10, om muligheden for at udarbejde konsekvensanalyser i forbindelse med lovforslag. Det er dog væsentligt at no- tere, at dette kræver, at de krav, der er til en konsekvensanalyse, alle er iagttaget under det lovforberedende arbejde. Datatilsynet skal også erindre om, at en sådan fælles konsekvensa-

nalyse skal holdes opdateret i forhold til uforudsete trusler, ændringer i it-miljøer, organisato- risk implementering og ændringer i det generelle trusselsbillede.

Finans Danmark anfører, det i praksis er vanskeligt at afgøre, hvornår pligten i databeskyttel- sesforordningens artikel 35, stk. 9, om indhentelse af de registreredes eller deres repræsen- tanters synspunkter vedrørende en planlagt behandling finder anvendelse, og hvordan den faktisk skal efterleves, herunder hvor meget information de registrerede eller deres repræsen- tanter skal modtage om den påtænkte behandling – ikke mindst henset til den dataansvarli- ges forretning (nye forretningsområder) og konkurrenceretlige position.

Datatilsynet og Justitsministeriet har i marts 2018 offentliggjort en vejledning om konsekvensa- nalyser, hvoraf det bl.a. fremgår (afsnit 8, side 24), at den dataansvarlige – for at sikre den bedste databeskyttelse – bør være omhyggelig ved udførelsen af en konsekvensanalyse, og hvis det er relevant, bør de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling indhentes. Det skal gøres, uden at det berører beskyttelsen af kom- mercielle eller samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed. Hvor- vidt, det er relevant, afhænger af en konkret vurdering af risiciene for de registrerede, hver gang den dataansvarlige foretager en behandling.

I den danske vejledning er der dette sted endvidere indsat en henvisning til Det Europæiske Databeskyttelsesråds (EDPB) vejledning om konsekvensanalyser fra oktober 2017 (wp 248rev.01). Rådet angiver i denne fælleseuropæiske vejledning, at de registreredes eller de- res repræsentanters synspunkter kan indhentes ved hjælp af forskellige midler afhængigt af situationen (f.eks. en generel undersøgelse i relation til formålet med og hjælpemidlerne til be- handlingsaktiviteten, et spørgsmål til medarbejderrepræsentanterne eller almindelige under- søgelser, der sendes til den dataansvarliges fremtidige kunder), der sikrer, at den dataansvar- lige har et retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af sådanne synspunkter. EDPB bemærker i forlængelse heraf, at samtykke til behandling ikke er en metode til at indhente synspunkter fra de registrerede.

Det fremgår endvidere af vejledningen fra EDPB, at hvis de registrerede høres, men den da- taansvarliges endelige beslutning afviger fra de registreredes synspunkter, skal dette begrun- des. De registreredes synspunkt kan således ikke uden videre udelades. Den dataansvarlige bør også dokumentere sin begrundelse for ikke at høre de registrerede.

Det er Datatilsynets vurdering, at det kan være vanskeligt for en dataansvarlig at gennemskue, hvilke konsekvenser en databehandling potentielt kan medføre for enkeltpersoner blandt de registrerede, fordi konsekvenser kan være meget personlige. F.eks. kan sociale konsekven- ser være så komplicerede, at det kan kræve personlig erfaring, før man eventuelt kan spotte muligheden for sådanne konsekvenser i en behandling af personoplysninger. Inddragelse af de registreredes synspunkter kan derfor være en forudsætning for en fyldestgørende konse- kvensanalyse, men særligt hvor der er høje risici for grupper af registrerede, og hvor der fin- des organisationer, som varetager disse interesser, bør høring forekomme. Datatilsynet fin- der, at det i denne situation er relevant at inddrage de registreredes synspunkter, jf. databe- skyttelsesforordningens artikel 35, stk. 9.

Angående hensynet til den dataansvarliges forretning (nye forretningsområder) og konkurren- ceretlige position, så nævner EDPB’s vejledning virksomheders forretningsplaner som en po- tentiel begrundelse for ikke at inddrage de registrerede. Efter Datatilsynets opfattelse skal dette imidlertid suppleres med en forklaring på, hvordan den dataansvarlige – uden inddra- gelse af de registreredes synspunkter – har sikret sig en fyldestgørende konsekvensanalyse. Det samme synes også at være angivet som en forventning i EDPB’s vejledning.

Sikkerhedsbranchen efterlyser konkret vejledning om, hvordan manuelle registre og fysisk tilgængelige elektroniske enheder indeholdende persondata skal opbevares.

Datatilsynet har offentliggjort flere sager omhandlende opbevaringen af fysiske registre og bærbare/transportable lagringsmedier.

Det er vurderingen af risikoen for den registreredes rettigheder, der lægger niveauet. Normalt anser Datatilsynet det for en passende sikkerhedsforanstaltning, hvis oplysninger, der forelig- ger i fysisk format (og er omfattet af databeskyttelsesforordningen), låses ned eller opbevares i faciliteter under fornødent opsyn. Et fastmonteret brandsikret pengeskab vil sædvanligvis være tilstrækkeligt til alle typer oplysninger. Hvis tyveri af oplysninger ikke er den væsentlig- ste risiko kan nedlåsning i skrivebordsskuffer mv. være tilstrækkeligt, hvis offentliggørelse el- ler uretmæssig adgang ikke vil indebære en vis risiko for den registrerede.

Transportable lagringsmedier bør som udgangspunkt krypteres. Dette gælder i alle tilfælde, hvor oplysningerne medbringes ud af huset.

Danmarks Idrætsforbund og DUF angiver, at det er en udfordring at konkretisere den pas- sende sikkerhed i en organisation med frivillige, herunder hvis de frivillige udfører opgaverne med deres egne computere.

Datatilsynet har forståelse for, at der i foreninger, hvor de frivillige benytter egne computere til opgaveløsningen, kan være særlige problemstillinger omkring håndteringen af dataansvaret – særligt de passende sikkerhedsforanstaltninger. Datatilsynet er af den opfattelse, at det bedst håndteres i to tempi. For det første, at man stiller redskaber (eventuelt centralt) til rådighed, hvis der behandles personoplysninger, der bør holdes fortroligt. For det andet, i de tilfælde, hvor dette ikke er muligt, skal der være oplysning af de frivillige om håndteringen af personop- lysninger. Hvis der fyldestgørende er instrueret herom, vil dette altovervejende være pas- sende, hvis der fra den dataansvarlige forenings side bliver fulgt op, hvis det konstateres, at behandling sker mod de fastsatte instruktioner.

Datatilsynets generelle retningslinjer for brugen af e-mail og SMS er ikke ufravigelige, men ud- tryk for det, der normalt må anses for passende sikkerhed ved behandling af følsomme og for- trolige oplysninger. Det er ikke Datatilsynets opfattelse, at der ved behandlingen af lav-risiko personoplysninger (f.eks. hvem der skal vaske holdets trøjer eller køre til næste kamp) nor- malt skal foretages en individuel vurdering, inden en given e-mail kan afsendes.

Datatilsynet har endvidere stor forståelse for de forhold, foreningskulturen er udtryk for. Der vil forekomme fejl og situationer med brud baseret på det faktum, at det er frivillige, der vareta- ger opgaven ude i foreningerne. Hvis der som anført er foretaget en vejledning af de frivillige om håndtering af de typetilfælde, hvor der påregneligt indgår særligt beskyttelsesværdige per- sonoplysninger, vil dette normalt være passende foranstaltninger. Dette vil naturligvis også blive tillagt vægt ved Datatilsynets eventuelle vurdering af forholdet, f.eks. i forbindelse med en klagesag.

7. Fortegnelse og andre dokumentationskrav

Dansk Arbejdsgiverforening oplever, at mange virksomheder har svært ved at leve op til de omfattende dokumentationskrav, som virksomhederne først har skullet udarbejde og nu skal vedligeholde. Der er hos mange virksomheder og rådgivere en oplevelse af aldrig at være i mål med opfyldelsen og egenkontrollen af reglernes efterlevelse, som beror på en tilbageven- dende usikkerhed om, ”hvad der er nok”. I mindre virksomheder og i særdeleshed enkelt- mandsvirksomheder kan udfærdigelsen af skriftlig dokumentation – såsom fortegnelsen – være en selvstændig udfordring. Dansk Arbejdsgiverforening foreslår, at Datatilsynet udar- bejder en standardfortegnelse, der kun kræver afkrydsning eller lignende. Dansk Arbejdsgi- verforening oplyser endvidere, at Datatilsynet har foretaget ændringer i tilsynets vejledning om opfyldelsen af fortegnelseskravet i databeskyttelsesforordningens artikel 30 for så vidt an- går sammenkædningen mellem kategorier af registrerede og kategorier af oplysninger. Mange virksomheder har arbejdet med databeskyttelse i flere år og kan ikke blot tilføje de supple- rende oplysninger. Det vil derfor være hensigtsmæssigt, at Datatilsynet tænker grundigt over, hvilke konsekvenser det har for virksomhederne, og at der gives længere tid til implemente- ring, når tilsynet ændrer fortolkning af kravene.

DUF anfører, at det kan virke meget voldsomt og tidskrævende for en gruppe at skulle doku- mentere compliance.

KL mener, at det er uklart, hvilke og hvor mange foranstaltninger den enkelte dataansvarlige kommune skal iagttage for at leve op til kravet om at kunne påvise ansvarlighed i forhold til overholdelsen af behandlingsprincipperne. KL oplyser i den forbindelse, at kommunernes op- gavevaretagelse, herunder håndtering af persondata, allerede i vidt omfang er detaljeret regu- leret ved lov. KL efterlyser konkretisering og uddybning af påvisningskravet via mere vejled- ning, så det undgås, at kommunerne indfører unødvendige procedurer, og at der sker overim- plementering af kravet. I den forbindelse bør det ligeledes afklares, hvorvidt der stilles de samme dokumentationskrav til behandlingsaktiviteter, der har fundet sted forud for databe- skyttelsesforordningens ikrafttræden, eller om kravet gælder i forhold til behandlingsaktivite- ter, som kommunerne har iværksat efter, at databeskyttelsesreglerne trådte i kraft. Ved en eventuel revision af databeskyttelsesforordningen foreslår KL, at det overvejes, om de mange dokumentationskrav kan erstattes med andre modeller til sikring af, at reglerne overholdes, f.eks. at registrerede og kommunalt ansatte bliver spurgt, om de føler sig trygge i forhold til kommunens databehandlinger.

Databeskyttelsesforordningen stiller overordnet ingen formkrav til, hvordan dokumentation skal foretages. Dette giver netop råderum til, at den dataansvarlige selv kan vælge en metode. Det væsentlige er, at Datatilsynet bliver betrygget i, at principperne overholdes, og at den da- taansvarlige kan demonstrere, hvordan dette sker.

Datatilsynet vurderer altid sagens oplysninger samlet, og alle bidrag omkring den dataansvarli- ges forretningsvaretagelse kan benyttes til dokumentation. Særligt relevant er de overvejel- ser, der indeholder en vurdering eller afvejning af risikoen for den registreredes rettigheder, som den dataansvarlige har foretaget.

Datatilsynet udviser en betydelig accept af en mere summarisk beskrivelse af de nødvendige overvejelser, når det gælder behandlinger, der som følge af deres natur og oplysningernes ka- rakter alene udgør en begrænset risiko for de registreredes rettigheder. Her vil kravet efter omstændighederne også kunne dokumenteres i mere generelle brancheanbefalinger eller den blotte konstatering af forholdene omkring behandlingen. Dette gælder også, hvis forholdet er reguleret ved lov.

Konkrete dele af databeskyttelsesforordningen kan give støtte til påvisningen, f.eks. kravene til fortegnelse, konsekvensanalyse og databehandleraftaler.

Kravet om at føre en fortegnelse er ikke helt nyt. Persondatalovens kapitel 12-14 indeholdt så- ledes regler om anmeldelse af behandling af personoplysninger til Datatilsynet mv. Ud over denne generelle anmeldelsespligt var den dataansvarlige forpligtet til at stille de i lovens § 43, stk. 2, nr. 1, 2 og 4-6, nævnte oplysninger om alle de behandlinger af personoplysninger, som vedkommende udførte, til rådighed for enhver, som anmodede herom, jf. persondatalovens § 54, stk. 2. Dette betød, at den dataansvarlige på anmodning havde pligt til at udarbejde og in- den for rimelig tid udlevere en oversigt over alle behandlinger, denne foretog, herunder be- handlingsaktiviteter som ikke var anmeldelsespligtige.

Den generelle forpligtelse til at anmelde behandling af personoplysninger til Datatilsynet med- førte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre be- skyttelsen af personoplysninger. Der var derfor behov for mere effektive procedurer og meka- nismer, som fokuserer på de typer behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder i medfør af deres karakter, omfang, sammenhæng og formål, jf. præambelbetragtning nr. 89, hvilket er baggrunden for, at den generelle anmeldelsespligt med databeskyttelsesforordningen er blevet erstattet af kra- vet om at føre interne fortegnelser, jf. databeskyttelsesforordningens artikel 30. Dette ligger fint i tråd med forordningens risikobaserede tilgang og fokus på ansvarlighed (”accountabi- lity”).

Forpligtelsen til at føre fortegnelse gælder såvel behandlingsaktiviteter, der har fundet sted forud for reglernes ikrafttræden, som behandlingsaktiviteter, som er iværksat efter, at reglerne trådte i kraft. Det er endvidere Datatilsynets opfattelse, at formålsafgrænsningen, som data- ansvarlige kan foretage i forbindelse med oplysningspligten, også gælder ved kravet om for- tegnelse.

For så vidt angår bemærkningerne om Datatilsynets reviderede vejledning om fortegnelses- kravet fra august 2020 bemærkes indledningsvis, at opdateringen skete på baggrund af en række erfaringer, som Datatilsynet – som led i sin tilsynsopgave – havde gjort sig efter den

25. maj 2018, hvor databeskyttelsesforordningen begyndte at finde anvendelse. Opdateringen af vejledningen bestod primært i en tydeliggørelse af, at fortegnelsen over behandlingsaktivi- teter – efter Datatilsynets vurdering, når man ser på formålene med fortegnelseskravet – skal indeholde en tydelig angivelse af, hvilke kategorier af personoplysninger der behandles om de enkelte kategorier af registrerede. Hvis der bliver eller vil blive videregivet personoplysninger i forbindelse med en behandlingsaktivitet, skal fortegnelsen også indeholde information om, hvilke kategorier af personoplysninger der bliver eller vil blive videregivet til den pågældende modtager. I tilknytning hertil skal det også fremgå, hvilke kategorier af registrerede de pågæl- dende oplysninger vedrører.

Datatilsynet kan ikke afvise, at der vil være dataansvarlige, der vil skulle foretage visse æn- dringer i deres fortegnelser efter artikel 30 som følge af tilsynets ændringer fra august 2020. Datatilsynet forventer imidlertid ikke, at dataansvarlige – som følge af ændringerne – genåb-

ner deres fortegnelse. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af for- tegnelsen sker løbende, når dokumenterne alligevel skal justeres eller ajourføres.

Når det gælder muligheden for, at Datatilsynet udarbejder en standardfortegnelse, der kun kræver afkrydsning eller lignende fra virksomhedens side af, er der som bilag til tilsynets vej- ledning om fortegnelse udarbejdet et eksempel på en fortegnelse over behandlingsaktiviteter vedrørende HR. I eksemplet gives der bl.a. mulighed for at afkrydse, hvilke kategorier af regi- strerede og kategorier af personoplysninger der behandles af den dataansvarlige. Det vil imid- lertid være vanskeligt og uhensigtsmæssigt at udarbejde én standardfortegnelse, som data- ansvarlige generelt skal kunne benytte sig af, da der kan være mange forskellige formål med behandlingsaktiviteter, som ikke har en sådan sammenhæng, at de kan samles i én forteg- nelse.

Hvis en kommune behandler personoplysninger som led i sin myndighedsudøvelse, vil der imidlertid inden for myndighedsudøvelsen ofte kunne rummes en række ”delformål”, som f.eks. kan bestå i udbetaling af kommunale ydelser, vejledningsopgaver, kommunal indsats vedrø- rende jobformidling mv. I en sådan situation vil fortegnelseskravet ikke indebære, at kommu- nen er forpligtet til at lave en fortegnelse til hvert eneste delformål. Delformålene egner sig i stedet til at blive beskrevet under et samlet, logisk og sammenhængende formål, da de en- kelte delformål typisk vil have en indbyrdes sammenhæng, eksempelvist fordi er tale om den samme opgave eller samme lovgrundlag for behandlingerne, og vil derfor med fordel kunne indgå i én fortegnelse.

8. Offentlige myndigheders anvendelse af artikel 6, stk. 1, litra e

KL anfører, at der er en udbredt tvivl om afgrænsningen af behandlingsgrundlaget i databe- skyttelsesforordningens artikel 6, stk. 1, litra e, og det hertil knyttede nødvendighedskrav, som også findes artikel 5, stk. 1, litra c, om dataminimering. Det gælder i forbindelse med udveks- ling af oplysninger inden for samme forvaltning, mellem forvaltninger og mellem myndigheder, men også i forbindelse med brug af billeder i kommunernes kommunikationsarbejde, herun- der på sociale platforme, og i forbindelse med dagligdagen i kommunale skoler og institutio- ner. KL oplyser, at denne uklarhed fører til, at mange kommuner tyr til samtykke som behand- lingsgrundlag.

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra e, at behandling er lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået på- lagt.

Efter bestemmelsens stk. 2 kan medlemsstaterne opretholde eller indføre mere specifikke be- stemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af bl.a. artikel 6, stk. 1, litra e, ved at fastsætte mere specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling.

Efter bestemmelsens stk. 3 skal grundlaget for behandling i henhold til forordningens artikel 6, stk. 1, litra e, fremgå af enten EU-retten eller medlemsstaternes nationale ret, som den data- ansvarlige er underlagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med hen- blik på at tilpasse anvendelsen af bestemmelserne i forordningen.

Bestemmelserne i forordningens artikel 6, stk. 2 og 3, indebærer for det første, at behandlin- gen – for at kunne ske i medfør af 6, stk. 1, litra e – skal fremgå af EU-retten eller medlems- staternes nationale ret. Det betyder, at anvendelsen af artikel 6, stk. 1, litra e, kræver, at be- handlingen er forudsat i EU-retten eller national ret, men ikke nødvendigvis, at der er en na- tional implementerende hjemmelslovgivning om selve behandlingen.

For det andet indebærer forordningens artikel 6, stk. 2 og 3, at medlemsstaterne har mulighed for at fastsætte krav til behandlingen, som skal være opfyldt, for at behandlingen er lovlig.

Der er i særlovgivningen fastsat en lang række bestemmelser, som fastsætter krav til behand- lingen, typisk bestemmelser som kræver borgerens samtykke.

Et sådant eksempel på en national behandlingshjemmel, hvorefter behandling af oplysninger alene kan ske, hvis bestemte betingelser er opfyldt, findes i forvaltningslovens § 29. Det frem- går af denne bestemmelse, at der i ansøgningssager alene må indhentes oplysninger om an- søgerens rent private forhold fra andre dele af forvaltningen eller fra en anden forvaltningsmyn- dighed, hvis ansøgeren har givet samtykke hertil, andet følger af lov eller bestemmelser fast- sat i henhold til lov, eller særlige hensyn til ansøgeren eller tredjemand klart overstiger ansø- gerens interesse i, at oplysningen ikke indhentes.

Selvom der i særlovgivningen stilles krav om, at myndigheden indhenter samtykke, betyder dette ikke, at myndighedens hjemmel efter forordningen dermed bliver samtykke. Myndighe- dens hjemmelsgrundlag vil i disse tilfælde fortsat være forordningens artikel 6, stk. 1, litra e, men myndigheden skal ikke særskilt overveje, om behandlingen er lovlig efter denne bestem- melse, idet behandlingen vil være lovlig, hvis den overholder de krav, som følger af særlovgiv- ningen – f.eks. kravene til et samtykke i den pågældende lovgivning.

I andre og langt de fleste tilfælde vil særlovgivningen imidlertid ikke indeholde specifikke krav til behandlingen af personoplysninger eller i øvrigt foreskrive specifikt, om og hvilke personop- lysninger der skal behandles. Behandling af personoplysninger vil imidlertid typisk være en forudsætning for, at myndigheden kan løse de opgaver, som lovgivningen foreskriver. Dette kunne f.eks. være en myndigheds vurdering af en borgers ret til sociale ydelser efter den so- ciale lovgivning eller lovgivning om myndighedens opgaver på børne- og skoleområdet.

Hvornår behandling i henhold til forordningens artikel 6, stk. 1, litra e, kan anses for nødven- dig, skal i disse tilfælde holdes op imod de opgaver og forpligtelser, som myndigheden har i henhold til den lovgivning, som regulerer dens virke. Tilsvarende gælder i forhold til det krav om nødvendighed, som følger af forordningens artikel 5, stk. 1, litra c.

Det er i den forbindelse vigtigt at understrege, at databeskyttelsesreglerne ikke har til formål at stå i vejen for eller besværliggøre offentlige myndigheders opgavevaretagelse. Databeskyt- telsesreglerne, herunder kravet om nødvendighed, indebærer således ikke, at offentlige myn- digheder for enhver pris skal tilrettelægge deres opgavevaretagelse på en sådan måde, at der behandles færrest muligt personoplysninger, hvis dette vil afskære myndigheden fra at løse sine opgaver på den i lovgivningen tiltænkte måde.

Det databeskyttelsesretlige krav om nødvendighed er derimod fleksibelt og giver den data- ansvarlige – i denne kontekst offentlige myndigheder – muligheden for at vurdere, hvad der i det enkelte tilfælde er relevant og sagligt, dvs. nødvendigt, for at myndigheden kan varetage sine opgaver på den måde, som er tiltænkt med lovgivningen. I den forbindelse er det også vigtigt at holde sig for øje, at den myndighed, som i lovgivningen forudsættes at udføre en op- gave, i sagens natur har de bedste forudsætninger for at vurdere, hvad der er sagligt og rele- vant for at løse opgaven, idet det netop er den pågældende myndighed, som har mest kend- skab til, hvordan eventuel sektorspecifik lovgivning udmøntes i praksis.

Det vil således ligge inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, li- tra e, hvis myndigheden kan pege på et lovgrundlag som årsagen til behandlingen, og hvis be- handlingen ikke – ud fra en generel betragtning – er unødigt indgribende for den registrerede, f.eks. fordi behandlingen udelukkende er en praktisk måde for myndigheden at opfylde formå- let på, som ikke tager hensyn til den registrerede.

Med andre ord har offentlige myndigheder ganske vide rammer for at vurdere, hvilken behand- ling af oplysninger der er nødvendig for at varetage myndighedens opgaver i henhold til lov- givningen.

I forhold til eksemplet fra KL om anvendelsen af billeder i kommunernes kommunikationsar- bejde og i forbindelse med dagligdagen i kommunale skoler og institutioner, er det efter Da- tatilsynets opfattelse vigtigt at skelne mellem de forskellige situationer. Det må antages, at for- ældreinddragelse, herunder at forældrene orienteres om børnenes dagligdag, er en væsent- lig – og vel også nødvendig – forudsætning i medfør af kommunens forpligtelse til at drive dag- tilbud/skole. Derfor kan det også anses for en nødvendig del af kommunens opgaver som myndighed, at daginstitutionen/skolen tager billeder og deler dem (internt) med forældrene for

at orientere om børnenes dagligdag, og kommunens mulighed herfor er således ikke betinget af, at der indhentes samtykke fra forældrene. Man skal blot huske på, at man ikke bør tage bil- leder af børnene (eller personalet) i situationer, som kan opfattes udstillende, ligesom man – i det omfang en forælder af forskellige årsager ikke måtte ønske, at der bliver taget billeder af vedkommendes barn – som en naturlig del af forholdet mellem daginstitution/skole og foræl- dre indgår i en dialog herom.

Det kan heller ikke afvises, at det i andre tilfælde må anses for en del af myndighedens opga- ver, at myndigheden informerer offentligheden omkring myndighedens aktiviteter på et givent område – f.eks. skoleområdet. I det omfang dette er tilfældet, vil man også kunne anvende bil- leder i den sammenhæng, uden at der indhentes samtykke. I disse situationer er det imidler- tid vigtigt at være opmærksom på, at offentliggørelse på internettet sædvanligvis må anses for at være mere indgribende end en deling af billeder internt på et (forældre)intranet. Man bør derfor i sådanne tilfælde bruge sund fornuft og ikke vælge billeder, hvor specifikke personer har en fremtrædende rolle – f.eks. portrætfotoer. Derimod er der typisk ikke noget til hinder for at anvende fotos, hvor enkeltpersoner ikke er i særligt fokus, f.eks. et harmløst foto af en gruppe legende børn eller et luftfoto af en hel skole. Hvis man er i tvivl om, hvorvidt nogen med rimelighed kan føle sig udstillet, vil det naturlige være, at man spørger vedkommende, hvilket ikke nødvendigvis betyder, at der skal indhentes et egentligt samtykke.

9. Opbevaringsbegrænsning og sletning

Dansk Industri anfører, at der i praksis opleves usikkerhed og stort ressourceforbrug ved fast- læggelse af slettefrister. Selv om slettefrister ofte afhænger af det konkrete formål, er der også mange opbevaringsperioder, hvor det bør være muligt at lave vejledning fra Datatilsynet til gavn for virksomhederne, f.eks. i forhold til oplysninger om dokumentation efter bogførings- reglerne og skattelovgivningen, tidligere ejere i selskabers ejerbøger, tilbagetrukne markeds- føringssamtykker og HR-oplysninger.

Danske Regioner oplyser, at spørgsmålet om sletning af oplysninger i patientjournaler giver anledning til diskussioner om samspillet mellem journalføringsbekendtgørelsen og databeskyt- telsesreglerne, da det følger af journalføringsbekendtgørelsen, at der ikke må slettes eller ret- tes i patientjournaler. Diskussionen omhandler, hvornår fejlagtige oplysninger i patientjourna- ler som følge af f.eks. systemtekniske fejl, anvendelsesfejl og forvekslingsfejl kan/må slettes. Det er ikke altid klart, hvilket regelsæt der regulerer hvad og hvornår. Danske Regioner anfø- rer endvidere, at der mangler afklaring af det mere generelle spørgsmål om, hvor lang tid pa- tientjournaler må opbevares, når de 10 års opbevaringspligt i journalføringsbekendtgørelsen er gået.

Danske Medier oplyser, at medier i enkelte situationer oplever en diskrepans mellem slette- forpligtelsen og andre lovgivningskrav, der giver anledning til tvivl om den rette databeskyttel- sesretlige håndtering. Forbrugeraftalelovens regler om uanmodede henvendelser og adgan- gen til at foretage telefonsalg af abonnementer på aviser, ugeblade og tidsskrifter, indebærer en forpligtelse for mediet til at notere, når en person i forbindelse med telefonopkaldet frabe- der sig yderligere henvendelse fra den erhvervsdrivende. Dette medfører, at medierne for at undgå at kontakte pågældende fører lister over personer, som ikke ønsker yderligere opring- ninger. Spørgsmålet er, hvor længe disse lister bør opbevares. Mediet har ingen interesse i at opbevare kontaktoplysninger på en forbruger i længere tid end nødvendigt, men ønsker heller ikke at overtræde forbrugeraftelovens regler om uanmodede henvendelser. Da lovgivningen som udgangspunkt ikke giver mulighed for at kontakte forbrugeren for at høre, hvorvidt pågæl- dende fortsat ønsker at stå på listen, kan dette i yderste konsekvens føre til, at disse lister op- bevares i meget lang tid.

DGI anfører, at det er en udfordring at fastlægge, hvor længe og hvor mange oplysninger en forening kan gemme om udmeldte medlemmer. DGI har overvejet, at foreningen i et år efter udmeldelsen kan gemme alle data af hensyn til genaktivering, at foreningen i 5 år efter udmel- delse kan gemme alle stamdata af hensyn til dokumentation over for kommunen ved tilbuds- kontrol efter folkeoplysningsloven, og at foreningen efter interesseafvejningsreglen kan gemme de persondata, herunder resultater, der har historisk værdi. I forhold hertil er det – ud fra Datatilsynets udtalelse om at kunne invitere til jubilæum – imidlertid usikkert, hvor mange data der kan gemmes alene for at kunne kontakte et tidligere medlem.

EjendomDanmark oplyser, at et flerårigt lejeforhold kan generere en del dokumenter med persondata, hvoraf langt de fleste vil indeholde de samme data, som f.eks. navn og adresse, der har karakter af almindelige personoplysninger. Som eksempel herpå nævnes breve med oplysninger om ny kontaktperson hos administrator og breve med varsling af lejestigninger, som begge er dokumenter, som indeholder navn og adresse på lejeren, hvoraf det ene ikke

har værdi efter fraflytning, hvorimod varsling af lejestigning bør opbevares af hensyn til risiko for at blive mødt med et retskrav. Disse dokumenter har således forskellige forældelsesfrister, og en løbende sletning af dokumenterne i forbindelse med forældelse medfører et omfattende administrativt arbejde.

Finans Danmark anfører, at det i praksis er vanskeligt for dataansvarlige at vurdere, hvad der udgør det rette tidsrum.

Folkeoplysningens Brancheorganisation anfører, at reglerne om opbevaringsbegrænsning kræver, at foreninger – årligt – gennemgår de steder, hvor foreninger opbevarer persondata, for at sikre, at der sker rettidig sletning, hvilket kræver mange ressourcer. Folkeoplysningens Brancheorganisation foreslår derfor bedre og mere præcise vejledninger til foreninger.

Det er et grundlæggende princip, at personoplysninger ikke må opbevares længere, end det er nødvendigt i forhold til de(t) formål, hvortil de behandles. Når det ikke længere er nødven- digt at opbevare oplysningerne for at opfylde formålet, skal oplysningerne således slettes. Al- ternativt kan der ske anonymisering af oplysningerne, så de ikke længere er personhenfør- bare. Dog gælder der en undtagelse, hvis oplysningerne udelukkende behandles til arkivfor- mål, til videnskabelige formål eller til statistiske formål. Dette princip er i øvrigt ikke nyt, idet der er tale om en videreførelse af en tilsvarende regel i den tidligere gældende persondatalov (lovens § 5, stk. 5).

Hvis der gælder et krav om opbevaring af personoplysninger i anden lovgivning, skal en så- dan opbevaringsfrist overholdes. Der gælder f.eks. særlige krav i forhold til opbevaring af per- sonoplysninger efter reglerne i bogføringsloven og journalføringsbekendtgørelsen.

Hvis et forhold ikke reguleres af anden lovgivning, gælder de almindelige databeskyttelses- regler. I de tilfælde er det ikke altid lige let at fastlægge, for hvilket tidsrum opbevaring af per- sonoplysninger kan ske, idet databeskyttelsesreglerne ikke indeholder faste grænser herfor.

Den omstændighed, at databeskyttelsesreglerne ikke specifikt angiver, hvor længe personop- lysninger må opbevares, er dog ikke nødvendigvis en dårlig ting, idet databeskyttelsesreglerne herved giver den enkelte dataansvarlige mulighed for at fastsætte slettefrister, som passer til deres virksomhed, myndighed mv. Reglerne giver således den enkelte dataansvarlige et rå- derum til at vurdere, hvor længe det er nødvendigt at opbevare personoplysninger for at op- fylde de(t) formål, som den enkelte dataansvarlige har.

At den enkelte dataansvarlige har et råderum til at vurdere, hvor længe det er nødvendigt at opbevare personoplysninger for at opfylde de(t) formål, som den enkelte dataansvarlige har, indebærer samtidig, at Datatilsynet som udgangspunkt ikke vil tilsidesætte fastsatte slettefri- ster, som bygger på relevante og saglige overvejelser, da det jo netop er den virksomhed, myndighed mv., som behandler personoplysninger, der også ved, hvor længe der et formål, som nødvendiggør behandling (f.eks. opbevaring) af personoplysninger.

Det skal i øvrigt påpeges, at dataansvarlige – så længe der er fastsat procedurer, som sikrer sletning i overensstemmelse med fastsatte slettefrister – ikke har pligt til løbende at gennemgå samtlige sager eller dokumenter mv. med henblik på at sikre, at der ikke opbevares enkeltstå- ende personoplysninger i strid med reglerne om opbevaringsbegrænsning.

Selv om det således i udgangspunktet er den dataansvarlige, som i første omgang er nær- mest til at vurdere, hvor længe det er nødvendigt at opbevare personoplysninger, vil Datatil-

synet også løbende gennem tilsynets vejledninger og praksis mv. fastsætte kriterier, som da- taansvarlige kan lade indgå i sin vurdering af slettefrister.

Datatilsynet har bl.a. – i forhold til noget af det, der her spørges ind til – i forbindelse med et konkret tilsyn udtalt, at der ikke var grundlag for at tilsidesætte en virksomheds vurdering af, at oplysninger om ansøgere efter endt rekrutteringsforløb kan opbevares i op til seks måne- der, uagtet om formålet med behandlingen er at tilbyde ansøgeren en anden stilling eller at dokumentere, hvorledes udvælgelsen er sket i rekrutteringsprocessen. Det betyder imidlertid ikke, at det ikke efter omstændighederne kan være berettiget at opbevare sådanne oplysnin- ger i en længere periode end seks måneder, hvis dette vurderes nødvendigt.

I forhold til det, som Danske Regioner oplyser, skal man se på, om reglerne i journalførings- bekendtgørelsen regulerer forholdet. Er dette tilfældet, vil man overholde databeskyttelsesreg- lerne, hvis man gør som bekendtgørelsen foreskriver. Reguleres forholdet derimod ikke af journalføringsbekendtgørelsen – enten fordi det falder helt uden for bekendtgørelsens anven- delsesområde eller fordi opbevaringskravet på 10 år er udløbet – gælder de almindelige data- beskyttelsesregler, herunder også at oplysninger kan behandles, så længe det er nødvendigt af hensyn til formålet.

Særligt for så vidt angår de slettefrister, som DGI har overvejet, så synes disse efter Datatil- synets opfattelse umiddelbart velbegrundede. Spørgsmålet om slettefrister skal dog ses i sam- menhæng med princippet om dataminimering, og det er derfor vigtigt at være opmærksom på, at man ikke opbevarer flere oplysninger, end det der er nødvendigt. F.eks. synes det ikke nød- vendigt at opbevare andet end en e-mailadresse – eventuelt i kombination med et navn – for at kunne invitere tidligere medlemmer til jubilæumsarrangementer.

10. Oplysningspligt

Dansk Arbejdsgiverforening anfører, at der er uklarhed om omfanget af oplysningspligten i forbindelse med brugen af kontrolforanstaltninger over for medarbejdere, og at Datatilsynets seneste afgørelser har efterladt et indtryk af, at der kræves mere, end der umiddelbart frem- går af Datatilsynets egen skabelon. Dansk Arbejdsgiverforening bemærker i den forbin- delse, at uklarheden i et vist omfang kan imødegås ved en opdatering af vejledningen om de registreredes rettigheder.

Danske Advokater angiver, at der foreligger tvivl om rækkevidden af oplysningspligten efter databeskyttelsesforordningens artikel 14 i forhold til advokaters tavshedspligt og de begræns- ninger af de registreredes rettigheder, som følger af databeskyttelseslovens § 22. Danske Ad- vokater oplyser i den forbindelse, at advokater i deres arbejde modtager en række oplysnin- ger om registrerede, herunder vidner, skønsmænd mv., som stammer fra advokatens klienter, og som udgør en grundforudsætning for advokatens rådgivning af klienten.

Danske Regioner er i tvivl om, hvor konkret og specifikt den registrerede skal oplyses om for- målene med den behandling, som personoplysningerne skal bruges til, og i hvor stort et om- fang den dataansvarlige kan gå ud fra, at den registrerede allerede er bekendt med formålet, når behandlingen af personoplysninger sker med henblik på at løse myndighedens kerneop- gaver, f.eks. patientbehandling.

DGI anfører, at det er uklart, hvornår undtagelserne til oplysningspligten kan anvendes, og at der savnes praktiske eksempler på, hvornår oplysningspligten ikke skal opfyldes af foreninger.

EjendomDanmark anfører, at oplysningspligten ikke skal opfyldes i forhold til bipersoner. EjendomDanmark savner dog en klar definition af en biperson, og om der kan skelnes mel- lem forbrugere og erhvervsdrivende. EjendomDanmark oplyser endvidere, at der ved afgø- relse af tvister inden for lejeretten er behov for at indsamle og eventuelt udlevere oplysninger om sammenligningslejemål og i forbindelse hermed behandles der personoplysninger i form af adresse og eventuelt navn. Det er uklart for EjendomDanmark, om denne behandling ud- løser en oplysningspligt, eller om forholdet er omfattet af undtagelsesbestemmelserne i data- beskyttelsesforordningens artikel 14, stk. 5.

KL angiver, at der i kommunerne ofte er tvivl om, hvordan og i hvilke tilfælde oplysningsplig- ten skal opfyldes. Tvivlen opstår bl.a. i forhold til, hvornår der er tale om et nyt formål, hvor bredt et formål må være, og hvor specifikt oplysningspligten skal gives. KL oplyser endvidere, at oplysningspligten over for bipersoner er en udfordring for kommunerne.

Databeskyttelsesforordningens artikel 13 og 14 pålægger den dataansvarlige at give den re- gistrerede en række oplysninger om den behandling af personoplysninger, som den data- ansvarlige foretager, når oplysningerne er indsamlet fra den registrerede eller fra andre. Det betyder bl.a., at den dataansvarlige skal oplyse om de formål, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen.

Reglerne om oplysningspligt er ikke nye, selvom forordningen med artikel 13 og 14 generelt udvider omfanget af den dataansvarliges oplysningspligt. Reglerne om oplysningspligt blev al- lerede indført i dansk ret i forbindelse med, at den tidligere gældende persondatalov trådte i kraft den 1. juli 2000.

Formålsangivelsen har til formål at sikre en gennemsigtig behandling, og den registrerede skal derfor have tilstrækkelig information til, at den pågældende bliver klar over, hvad der er bag- grunden for, at der indsamles oplysninger om vedkommende.

Forordningens artikel 12, stk. 1, stiller krav om, at den dataansvarlige skal træffe foranstaltnin- ger til at give enhver oplysning som omhandlet i artikel 13 og 14 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysningerne speci- fikt er rettet mod et barn.

Hvis den dataansvarlige agter at viderebehandle personoplysninger til et andet formål end de(t) oprindelige, skal den dataansvarlige forud for behandlingen bl.a. give den registrerede oplysninger om det nye formål. Formålet hermed er at sikre, at behandling af personoplysnin- ger ikke kommer bag på den registrerede.

Arbejdsgivere skal bl.a. iagttage oplysningspligten i forbindelse med, at der iværksættes kon- trolforanstaltninger over for medarbejderne, hvilket indebærer, at arbejdsgiveren skal give de ansatte information om behandlingen forud for, at kontrolforanstaltningen iværksættes. Infor- mationen skal (udover at opfylde kravene efter forordningens artikel 13 eller artikel 14) gives i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, så- ledes at den ansatte sættes i stand til at forstå de(n) pågældende kontrolforanstaltning(er), herunder særligt kontrolformålet. Datatilsynets skabelon til oplysningspligten skal i denne hen- seende ses som en vejledende skabelon, som skal tilrettes og eventuelt suppleres i forhold til den kontrolforanstaltning, som arbejdsgiveren ønsker at iværksætte. Oplysning om visse for- hold kan efter omstændighederne undlades, hvis den ansatte allerede er bekendt med oplys- ningerne.

Arbejdsgiver vil efter omstændighederne ikke være forpligtet til forud at underrette den ansatte om en konkret kontrolforanstaltning, hvis oplysningspligten sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med kontrollen.

Der gælder en række undtagelser til den dataansvarliges oplysningspligt, hvorefter den data- ansvarlige ikke er forpligtet til at opfylde oplysningsforpligtelsen for så vidt angår samtlige op- lysninger. Det gælder bl.a., hvis det vurderes, at den registrerede allerede er bekendt med (en del af) de oplysninger, der skal gives.

Dette gælder også ved offentlige myndigheders behandling af oplysninger i forbindelse med f.eks. patientbehandling. Myndigheden vil dog, hvis den én gang har opfyldt oplysningspligten i forbindelse med patientbehandling, forholdsvis ofte kunne gå ud fra, at den registrerede alle- rede er bekendt med oplysningerne, medmindre behandlingens karakter har ændret sig, eller hvis det er længe siden, den registrerede har modtaget de pågældende oplysninger, som op- lysningspligten foreskriver.

Oplysningspligten er i et vist omfang også begrænset i forhold til bipersoner, jf. forordningens artikel 14, stk. 5, litra b, hvorefter oplysningspligten bl.a. ikke finder anvendelse, hvis og i det omfang meddelelse af oplysningerne viser sig umulig eller vil kræve en uforholdsmæssig stor indsats.

Ved en biperson forstås en person, der ikke er genstand for behandlingen af personoplysnin- ger, men derimod alene optræder accessorisk i tilknytning til oplysninger om den registrerede. Det kan f.eks. være pårørende til en registreret eller en fagperson som en læge eller lign. En

biperson er således en person, som alene har en perifer eller underordnet betydning i forhold til den behandling, som den dataansvarlige foretager.

Det er i forhold til behandling af personoplysninger ved brugen af sammenligningslejemål Da- tatilsynets umiddelbare vurdering, at oplysningspligten ofte vil kunne undlades i medfør af ar- tikel 14, stk. 5, litra b, da personoplysningerne, efter det af EjendomDanmark oplyste, synes at være accessoriske i forhold til det formål, hvortil oplysningerne om sammenligningslejemå- lene behandles til.

For så vidt angår advokaters behandling af personoplysninger bemærkes, at i det omfang ad- vokaten kommer i besiddelse af personoplysninger, som ikke er indsamlet fra den registre- rede selv (modparten, vidner, skønsmænd mv.), skal det overvejes, om oplysningspligten i artikel 14, skal iagttages.

Det fremgår bl.a. af artikel 14, stk. 5, litra d, at oplysningspligten ikke finder anvendelse, hvis og i det omfang personoplysningerne skal forblive fortrolige som følge af tavshedspligt i hen- hold til EU-retten eller medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt. Undtagelsen finder bl.a. anvendelse i forhold til advokaters tavshedspligt, jf. retsplejelovens §

129. Oplysningspligten gælder derfor ikke, hvis oplysningspligten efter omstændighederne vil medføre en overtrædelse af advokatens tavshedspligt.

I det omfang oplysningspligten ikke kan undlades efter artikel 14, stk. 5, litra d, vil advokaten efter omstændighederne kunne undlade at opfylde oplysningspligten (eller en del heraf), hvis oplysningerne vedrører bipersoner, eller efter databeskyttelseslovens § 22, stk. 1 og 2, hvis oplysningspligten bør vige for afgørende hensyn til private eller offentlige interesser.

Foreninger kan som øvrige dataansvarlige undlade at opfylde oplysningspligten, hvis én eller flere af undtagelserne i databeskyttelsesforordningen eller –loven gør sig gældende. F.eks. vil foreninger kunne undlade at opfylde oplysningspligten, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne, f.eks. hvis medlemmer har fået oplysningerne i for- bindelse med indmeldelse.

Datatilsynet vil løbende offentliggøre afgørelser, som kan belyse omfanget af oplysningsplig- ten, ligesom tilsynet arbejder på en opdatering af vejledningen om de registreredes rettighe- der.

11. Retten til indsigt

Dansk Arbejdsgiverforening oplyser, at der blandt virksomheder er tvivl om omfanget af ret- ten til indsigt, når nuværende eller tidligere medarbejdere anmoder om indsigt, herunder i hvil- ket omfang der skal udleveres arbejdsdokumenter og oplysninger om interne vurderinger.

Dansk Industri anfører, at det er uklart, hvilke oplysninger en medarbejder har ret til at få ind- sigt i, og hvilke dokumenter som er undtaget fra indsigtsretten. Mere konkret anfører Dansk Industri, at der særligt er tvivl om omfanget af undtagelserne i forordningens artikel 15, stk. 4, databeskyttelseslovens § 22, stk. 1, og udstrækningen af eksempel 2 i afsnit 4.2. i Datatilsy- nets vejledning om databeskyttelse i forbindelse med ansættelsesforhold (tidligere version fra november 2018) uden for de tilfælde, som er indeholdt i eksemplet.

EjendomDanmark oplyser, at retten til indsigt benyttes af de registrerede til at skaffe sig ad- gang til dokumenter, som den registrerede tidligere har modtaget, eller som den registrerede selv har fremsendt til den dataansvarlige, og dette gøres for at omgå andre regler, hvorefter den registrerede skal betale administrationsgebyr herfor. EjendomDanmark anfører endvi- dere, at der opbevares en stor mængde dokumenter om beboere, som f.eks. lejevarslinger og opkrævninger, hvoraf de samme personoplysninger fremgår. EjendomDanmark er i tvivl om, hvorvidt disse dokumenter skal udleveres, eller om det er tilstrækkeligt at udlevere oplysnin- ger om, hvilke personoplysninger som behandles, og i hvilke sammenhæng oplysninger be- handles.

Finans Danmark angiver, at der generelt er tvivl om årtier gamle transaktionsdata og kon- toudtog kan undtages fra retten til indsigt, eller om indsigt skal gives i det samlede datamate- riale gennem en livsalder. Finans Danmark oplyser i forhold hertil, at et kundeforhold kan strække sig over mange årtier. Finans Danmark anfører endvidere, at der savnes mere be- vågenhed og klarhed i forhold til undtagelserne til retten til indsigt.

SMVdanmark ønsker afklaring af, hvornår og i hvilket omfang virksomheder kan kræve et ge- byr, jf. forordningens artikel 15, stk. 3, hvis den registrerede ønsker at få udleveret oplysnin- ger, som vedkommende allerede har fået en gang tidligere. SMVdanmark oplyser, at en med- lemsvirksomhed i en opsigelsessituation modtog en anmodning om at få udleveret lønsedler fra 5 år tilbage på trods af, at disse oplysninger var modtaget tidligere, og at retten til indsigt generelt kan bruges af den registrerede i chikanøst øjemed i konfliktsituationer.

Reglerne om indsigt er ikke nye. De blev indført i dansk ret i forbindelse med, at den tidligere gældende persondatalov trådte i kraft den 1. juli 2000, men forordningen udvider med artikel 15 generelt omfanget af den information, som den dataansvarlige skal give den registrerede, herunder i henhold til bestemmelsens stk. 1, litra a-h.

Den registrerede har efter databeskyttelsesforordningens artikel 15 ret til at få den dataansvar- liges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i gi- vet fald adgang til personoplysningerne og informationer om den dataansvarlige og dennes behandling af de pågældende personoplysninger. Om formålet med indsigtsretten fremgår det af databeskyttelsesforordningens præambelbetragtning nr. 63, at en registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mel- lemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed.

Den dataansvarlige skal i forbindelse hermed udlevere en kopi af de personoplysninger, som behandles. Ønsker den registrerede yderligere kopier, kan den dataansvarlige opkræve et ri- meligt gebyr herfor som baseres på de administrative omkostninger.

Det er indsigt i indholdet af de personoplysninger, som den dataansvarlige behandler, der skal udleveres. Dette kan gøres ved at udlevere kopier af originale dokumenter, sagsmapper, tv- overvågningsoptagelser, loggede teletrafikoplysninger mv. Den dataansvarlige kan dog også vælge at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registrerede modtager en egentlig kopi af selve oplysningerne.

Kravet om kopi af oplysningerne, jf. forordningens artikel 15, stk. 3, kan ikke opfyldes ved, at der blot udleveres en liste over de personoplysninger, som den dataansvarlige behandler. Dette gælder, uagtet om personoplysninger går igen eller ej i de forskellige dokumenter. Der skal gives en egentlig kopi af de pågældende personoplysninger. Kravet kan eksempelvis op- fyldes ved at give den registrerede fjernadgang til et sikkert system, som giver den registre- rede direkte adgang til vedkommendes personoplysninger.

Retten til indsigt og til at modtage kopi af de personoplysninger, som behandles, skal være gratis, jf. databeskyttelsesforordningens artikel 12, stk. 5.

Er anmodninger åbenbart grundløse eller overdrevne, især fordi de gentages, kan den data- ansvarlige enten opkræve et rimeligt gebyr eller afvise at efterkomme anmodningen, jf. artikel 12, stk. 5, 2. pkt. Anmodninger af chikanøs karakter vil ofte kunne anses for åbenbart grund- løse. Der kan i øvrigt henvises til eksempel 1 og 2 i Datatilsynets vejledning om de registrere- des rettigheder fra juli 2018.

Den registrerede har ret til at udøve retten til indsigt med rimelige mellemrum, og dette må indgå i vurderingen af, om der er tale om ”gentagne” anmodninger, således at en anmodning f.eks. kan afslås.

Retten til indsigt gælder som udgangspunkt alle personoplysninger om den registrerede, som anmoder om indsigt, uanset om personoplysningerne er meget omfangsrige eller gamle. Den dataansvarlige kan bede den registrerede præcisere anmodningen i forhold til år, dato, ind- hold eller lignende, men den dataansvarlige må som udgangspunkt ikke afvise den registrere- des anmodning, hvis den registrerede ikke ønsker at præcisere anmodningen.

I forhold til medarbejdere gælder indsigtsretten f.eks. indsigt i og kopi af bl.a. dokumenter på en personalesag, vagtplaner, telefonoptagelser, videoovervågninger, medarbejderudviklings- samtaler, korrespondance med den registrerede, personoplysninger fra et intranet mv.

For så vidt angår interne vurderinger mv., som vedrører medarbejderen, kan hensynet til f.eks. en arbejdsgivers forhandlingsposition i forbindelse med lønforhandlinger og hensynet til gene- relle forhold på arbejdspladsen, herunder forholdet mellem arbejdsgiver og den ansatte, imid- lertid efter omstændighederne begrunde, at retten til indsigt ikke gælder, jf. databeskyttelses- lovens § 22, stk. 1. En arbejdsgiver kan endvidere som udgangspunkt undtage dokumenter, som er udarbejdet af den pågældende medarbejder som led i dennes arbejde under hensyn til bl.a. arbejdsgiverens forretningsgrundlag.

Det følger af forordningens artikel 15, stk. 4, at retten til at modtage kopi ikke må krænke an- dres rettigheder og frihedsrettigheder. Hertil kommer bestemmelserne i databeskyttelseslo-

vens § 22 om begrænsning af retten til bl.a. indsigt, hvis den registreredes interesse i oplys- ningerne findes at burde vige for afgørende hensyn til private eller offentlige interesser.

Den registreredes ret kan bl.a. begrænses, hvis indsigt vil krænke andres (private eller virk- somheder) rettigheder eller frihedsrettigheder, som f.eks. forretningshemmeligheder eller in- tellektuel ejendomsret.

Den registrerede har ikke i forbindelse med en anmodning efter artikel 15 ret til at få indsigt i personoplysninger om andre end den pågældende selv. Efter omstændighederne kan dette indebære, at dokumenter helt undtages, hvis dokumenterne indeholder oplysninger om andre, jf. hhv. forordningens artikel 15, stk. 4, eller databeskyttelseslovens § 22. Dette vil normalt kun kunne komme på tale, hvis den registrerede, som anmoder om indsigt, må anses for at være biperson i forhold til de pågældende dokumenter.

Endelig kan indsigtsretten i forhold til oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, også begrænses i samme omfang som efter §§ 19-29 og 35 i lov om offentlighed i forvaltningen, jf. databeskyttelseslovens § 22, stk. 3.

12. Forskning

Danske Regioner anfører, at kravet om et behandlingsgrundlag ofte giver anledning til usik- kerhed i forbindelse med forskningsprojekter, herunder hvornår personoplysninger i forsk- ningsprojekter behandles på baggrund af et databeskyttelsesretligt samtykke eller med hjem- mel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, eller databeskyttelseslovens § 10. Det er ifølge Danske Regioner endvidere uklart, om der kan ske skift af behandlingsgrund- lag, f.eks. hvis oplysningerne er indhentet med samtykke i forbindelse med en spørgeske- maundersøgelse, og man senere ønsker at skifte til databeskyttelsesforordningens artikel 6, stk. 1, litra e, eller databeskyttelseslovens § 10. Herudover ønsker Danske Regioner oplyst, om oplysninger, som er indhentet med hjemmel i sundhedslovens § 46, og som ønskes vide- regivet fra ét forskningsprojekt til et andet, kan videregives med hjemmel i databeskyttelseslo- vens § 10, eller om videregivelsen skal ske med fornyet hjemmel i sundhedsloven, og om der i den forbindelse skal sondres mellem rådata og berigede data fra patientjournalen.

Enhver behandling af personoplysninger kræver, at den dataansvarlige har et lovligt behand- lingsgrundlag. Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den da- taansvarlige har fået samtykke fra den registrerede, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a og artikel 9, stk. 2, litra a.

Særligt i forbindelse med forskning er det vigtigt ikke at forveksle samtykke til at behandle per- sonoplysningerne med krav om samtykke, som følger af eventuel anden lovgivning. Det kan følge af anden lovgivning, at der kræves ”samtykke”, men dette samtykke er ikke ensbety- dende med, at der er givet et samtykke i databeskyttelsesretlig forstand. Et sådant ”samtykke” vil ofte udgøre en garantiforskrift for borgerne, men er ikke nødvendigvis grundlaget for be- handlingen af personoplysningerne.

For yderligere information om gyldighedsbetingelserne for et samtykke kan Datatilsynet hen- vise til tilsynets vejledning om samtykke. Datatilsynet kan endvidere oplyse, at tilsynet i sam- arbejde med Sundhedsministeriet forventer at udarbejde en vejledning vedrørende forskellige former for samtykke i forbindelse med sundhedsvidenskabelig forskning.

Ud over samtykke findes der andre behandlingsgrundlag, og hvis behandlingen kan baseres på et andet behandlingsgrundlag, behøver man ikke at indhente et databeskyttelsesretligt samtykke. Personoplysninger kan bl.a. behandles, hvis behandlingen af oplysningerne er nød- vendig for at udføre en opgave i samfundet interesse, jf. databeskyttelsesforordningens arti- kel 6, stk. 1, litra e. Behandling af særlige kategorier af oplysninger, f.eks. helbredsoplysnin- ger, er som udgangspunkt ikke lovlig, jf. databeskyttelsesforordningens artikel 9, stk. 1. Sær- lige kategorier af oplysninger må imidlertid ifølge databeskyttelseslovens § 10, jf. forordnin- gens artikel 9, stk. 2, litra j, behandles, hvis dette alene sker med henblik på at udføre statisti- ske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis be- handlingen er nødvendig af hensyn til udførelsen af undersøgelsen.

I forbindelse med forskningsprojekter, hvori der indgår helbredsoplysninger eller andre føl- somme oplysninger omfattet af forordningens artikel 9, vil databeskyttelseslovens § 10 oftest være det mest hensigtsmæssige behandlingsgrundlag. Databeskyttelseslovens § 10, stk. 1 og 2 – og de næsten tilsvarende bestemmelser i den tidligere gældende persondatalov – hviler på en forudsætning om, at behandlingen af personoplysninger sker på en ansvarlig måde, her-

under at behandlingen er underlagt fornødne garantier for registreredes rettigheder og friheds- rettigheder, jf. databeskyttelsesforordningens artikel 89.

Den dataansvarlige må på forhånd overveje, hvilket behandlingsgrundlag der er relevant og hensigtsmæssigt at benytte i forbindelse med det konkrete projekt. Det er vigtigt, at den data- ansvarlige på forhånd nøje foretager denne overvejelse, bl.a. fordi et skift af behandlings- grundlag ikke altid er muligt. Eksempelvis er det som udgangspunkt ikke muligt at skifte fra (databeskyttelsesretligt) samtykke til et andet behandlingsgrundlag, da et samtykke efter da- tabeskyttelsesforordningen er udtryk for, at den registrerede gives et reelt valg og kontrol over, hvordan vedkommendes personoplysninger behandles, og det derfor ikke er rimeligt over for den registrerede, hvis behandlingsgrundlaget ændres.

For så vidt angår spørgsmålet om sundhedslovens § 46 er det ud fra bestemmelsens ordlyd Datatilsynets umiddelbare forståelse, at bestemmelsen sætter rammer for, hvornår sundheds- væsnet kan videregive personoplysninger. Når den dataansvarlige for et forskningsprojekt modtager oplysningerne, skal denne som beskrevet ovenfor vurdere, hvilket behandlings- grundlag den dataansvarlige kan benytte som grundlag for behandling af oplysningerne. I den forbindelse vil det som nævnt ovenfor være naturligt at tage udgangspunkt i databeskyttelses- lovens § 10.

Danske Universiteter anfører, at det er uklart, hvorvidt man skal have tilladelse til videregi- velse af oplysninger omfattet af databeskyttelseslovens artikel 6, eftersom lovens § 10, stk. 3, henviser til ”oplysninger omfattet af stk. 1 og 2”, og § 10, stk. 2, både omfatter oplysninger i forordningens artikel 6, 9 og 10. Danske Universiteter anfører endvidere, at der er tvivl om, hvordan begrebet ”tredjemand” i § 10, stk. 3, skal forstås, herunder hvorvidt en deltager i et forskningssamarbejde uden fælles dataansvar er en ”tredjemand”, og der derfor ikke skal ind- hentes tilladelse til videregivelse til andre universiteter eller forskningsinstitutioner, som indgår i et forskningssamarbejde, som omfatter de omhandlede oplysninger.

Kræftens Bekæmpelse bemærker, at Danmark er forpligtet til at fortolke databeskyttelses- forordningens artikel 1, stk. 3, således, at den gælder hele EØS og ikke kun EU, og der bør derfor ikke være nogen begrænsninger for eksempelvis overførsel til Norge eller Island.

Det følger af databeskyttelseslovens § 10, stk. 3, at videregivelse af oplysninger omfattet af bestemmelsens stk. 1 og 2 til tredjemand kræver forudgående tilladelse fra tilsynsmyndighe- den, når videregivelsen

1) sker til behandling uden for databeskyttelsesforordningens territoriale anvendelses- område, jf. databeskyttelsesforordningens artikel 3,

2) vedrører biologisk materiale eller

3) sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign.

Databeskyttelseslovens § 10, stk. 3, indebærer, at den dataansvarlige i de nævnte tilfælde skal have forudgående tilladelse fra Datatilsynet, hvis den dataansvarlige har behandlet op- lysningerne med hjemmel i lovens § 10, stk. 1, og ønsker at videregive oplysningerne med henblik på behandling i overensstemmelse med § 10, stk. 2. Hvis der alene er tale om vide- regivelse af personoplysninger omfattet af databeskyttelsesforordningens artikel 6, vil videre- givelsen ikke være omfattet af tilladelseskravet.

Det følger af databeskyttelsesforordningens artikel 4, stk. 1, nr. 10, at ”tredjemand” er en an- den fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den data- ansvarlige eller databehandlerens direkte myndighed, der er beføjet til at behandle personop-

lysninger. Begrebet ”tredjemand” i databeskyttelsesloven må fortolkes i overensstemmelse hermed.

En tredjemand kan således være alle udenforstående, som bliver selvstændig dataansvarlig for oplysningerne. Hvis et universitet indgår i et forskningssamarbejde med et andet universi- tet, og det andet universitet anses for selvstændig dataansvarlig, vil der være tale om en vide- regivelse til tredjemand, som kræver Datatilsynets tilladelse i de i § 10, stk. 3, nr. 1-3, nævnte tilfælde.

Som følge af databeskyttelseslovens § 10, stk. 3, nr. 1, skal Datatilsynet give tilladelse, når vi- deregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendel- sesområde, jf. databeskyttelsesforordningens artikel 3.

Efter spørgsmålet har været forelagt EU-Kommissionen og Justitsministeriet er det (nu) Data- tilsynets opfattelse, at databeskyttelsesforordningens artikel 3, stk.1, skal fortolkes således, at forordningen gælder for såvel EU-lande som EØS-lande, hvilket indebærer, at videregivelse til EØS-lande ikke længere vil kræve Datatilsynets forudgående tilladelse.

Danske Universiteter foreslår, at der udarbejdes standardkontrakter for videregivelse og overladelse af forskningsdata til universiteter i usikre tredjelande.

Det er Datatilsynets forståelse, at EU-Kommissionens nye standardkontrakter bliver mere an- vendelige i forbindelse med overførsel af personoplysninger til et (usikkert) tredjeland i forbin- delse med forskning.

Kræftens Bekæmpelse anfører, at rollefordelingen i forskningsmæssige samarbejder er van- skelig, og at vurderingen af dataansvar bliver yderligere kompliceret af, at forskere i forbin- delse med sager om påstået videnskabelig uredelighed skal kunne stille rådata til rådighed, hvilket udelukker rollen som databehandler, da parten vil skulle råde over data til eget formål. Vurderingen ender derfor ofte med at være, at der er fælles dataansvar, hvilket er kompliceret i forhold til bl.a. oplysningspligten.

Danske Regioner anfører, at der er tvivl om, hvad der helt konkret skal til for at klarlægge an- svarsfordelingen mellem parterne i forbindelse med fælles dataansvar og i hvor høj grad en region kan risikere kritik og bøder, hvis den anden part ikke lever op til sine forpligtelser.

Danske Universiteter oplyser, at hvis der er tale om længerevarende databehandlerkonstruk- tioner, skal universiteterne – som dataansvarlige – kontrollere, at databehandleren fortsat le- ver op til de aftalte sikkerhedskrav. Denne kontrol kan være bekostelig, hvis kontrollen gen- nemføres af en uvildig tredjepart. Danske Universiteter oplyser endvidere, at der er tilbage- holdenhed med at indgå i fælles dataansvar, og at der er behov for flere retningslinjer på om- rådet. Danske Universiteter forespørger, i hvilket omfang det er muligt at anvende fælles da- taansvar i forbindelse med forskningssamarbejder, hvor der deltager universiteter fra usikre tredjelande. Datatilsynet har på et møde oplyst, at det er lovligt at inddrage universiteter i usikre tredjelande i et fælles dataansvar, hvis en konkret risikovurdering fører til, at det er forsvarligt.

En dataansvarlig er den fysiske eller juridiske person, offentlige myndighed mv., der bestem- mer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personop- lysningerne må behandles (hjælpemidlerne), jf. databeskyttelsesforordningens artikel 4, stk. 1, nr. 7.

En databehandler er derimod en fysisk eller juridisk person, offentlig myndighed mv., der be- handler personoplysninger på vegne af den dataansvarlige, jf. databeskyttelsesforordningens artikel 4, stk. 1, nr. 8. Databehandleren bestemmer i modsætning til den dataansvarlige hver- ken hvordan eller med hvilke formål, der må behandles personoplysninger, og databehandle- ren behandler således oplysningerne efter den dataansvarliges instruks.

Det er således afgørende for vurderingen at fastlægge, hvem der reelt bestemmer formål og hjælpemidler for behandlingen af oplysningerne. Det kan være behjælpeligt at se det som en vurdering af, hvem der reelt har kontrollen med oplysningerne og således kan bestemme, hvad der skal ske med oplysningerne, f.eks. om oplysningerne skal slettes eller videregives. Hvis det viser sig, at begge parter i forbindelse med den pågældende behandling kan bestemme disse væsentlige sagsbehandlingsskridt, kan der i stedet for en databehandlerkonstruktion være tale om to selvstændige dataansvarlige, eller efter omstændighederne fælles data- ansvar.

I det omfang der er tale om en databehandlerkonstruktion, skal der indgås en databehandler- aftale. Den dataansvarlige må endvidere føre et (større eller mindre) tilsyn med databehand- leren for at sikre, at den indgåede databehandleraftale overholdes, herunder de aftalte tekni- ske og organisatoriske sikkerhedsforanstaltninger.

Datatilsynet bemærker i den forbindelse, at den dataansvarlige kan vælge at lade kontrollen udføre af en uvildig tredjepart, men at det ikke er et krav. Den dataansvarlige kan således ud- føre kontrollen selv, hvilket kan være en fordel, da den dataansvarlige ofte har bedre kend- skab til de konkret aftalte foranstaltninger og således ved, hvad det vil være relevant at påse i forbindelse med et tilsyn.

Ved vurderingen af, hvilke roller de forskellige parter har, kan det i nogle tilfælde være rele- vant at overveje, om der foreligger fælles dataansvar, jf. databeskyttelsesforordningens artikel 26, stk. 1.

Hvis to eller flere parter i fællesskab bestemmer, hvorfor der skal behandles personoplysnin- ger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidlerne), er de fæl- les dataansvarlige for behandlingen. Fælles dataansvar kan altså kun komme på tale, hvis en dataansvarlig og en eller flere andre parter sammen har ansvaret for en behandling, og hvis de alle har ret til at bruge oplysningerne til egne formål. Der er altså ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.

Hvis man vurderer, at der er tale om fælles dataansvar, skal de dataansvarlige på en gennem- sigtig måde fastlægge deres respektive ansvar for overholdelse af de forpligtelser, som følger af databeskyttelsesreglerne, navnlig hvad angår udøvelsen af de registreredes rettigheder. De dataansvarlige skal således sammen lave en aftale og fordele forpligtelserne i forbindelse med overholdelse af databeskyttelsesreglerne. Hensynet bag reglerne er at sikre, at de dataansvar- lige ikke bare forventer, at en anden dataansvarlig opfylder forpligtelserne med den konse- kvens, at databeskyttelsesreglerne slet ikke iagttages.

Den aftalte og ”interne” ansvarsfordeling mellem de dataansvarlige ændrer imidlertid ikke på, at de dataansvarlige – over for de registrerede – er fælles ansvarlige for hele behandlingen. De personer, der behandles oplysninger om, kan derfor stadig henvende sig til enhver af de dataansvarlige for at udøve deres rettigheder, f.eks. indgive en klage eller en anmodning om indsigt.

Fælles dataansvar indebærer grundlæggende, at man har et fælles ansvar, hvorfor man også bør forsikre sig om, at den anden part iagttager sine ansvarsområder. Hvorvidt man kan blive genstand for bøde eller kritik, hvis en anden dataansvarlig i det fælles dataansvar ikke lever op til sine forpligtelser, må bero på en konkret vurdering, hvor der bl.a. ses på indholdet af aftalen, herunder hvor detaljeret ansvarsfordelingen er, og hvordan parterne har handlet i over- ensstemmelse med aftalen.

Datatilsynet anser det ikke i sig selv for problematisk, at en dansk dataansvarlig indgår i et fæl- les dataansvar med f.eks. et universitet i et usikkert tredjeland. Man skal imidlertid have et overførselsgrundlag, jf. forordningens kap. V, hvis oplysninger overføres til en dataansvarlig i et usikkert tredjeland.

Datatilsynet er opmærksom på, at det kan være vanskeligt at vurdere roller og ansvar i forbin- delse med forskningsprojekter, og tilsynet vil derfor i sit arbejde med vejledninger på området bl.a. have fokus på dataansvar og roller i forbindelse med forskningsprojekter.

Danske Universiteter anfører, at der er forskellige fortolkninger af præambelbetragtning nr. 26, og at andre universiteter i Europa ikke betragter pseudonymiserede oplysninger som per- sonoplysninger hos modtageren/databehandleren, idet pseudonymiseringsnøglen ikke er til- gængelig hos modtageren/databehandleren. Dette støttes på EU-Domstolens dom C582/14, Xxxxxxx Xxxxxx. Danske Universiteter bemærker, at modtagererklæringer eller databehand- leraftaler ikke har betydning for den registreredes rettigheder eller frihedsrettigheder, når der alene videregives eller overlades pseudonymiserede oplysninger, da oplysningerne ikke kan misbruges uden adgang til pseudonymiseringsnøglen.

Danske Regioner anfører, at det er vanskeligt at vurdere, hvornår oplysninger er tilstrække- ligt anonymiserede, således at databeskyttelsesreglerne ikke længere finder anvendelse.

Kræftens Bekæmpelse forespørger, om det er muligt at anonymisere oplysninger, f.eks. bi- ologisk materiale, som anvendes i sundhedsvidenskabelige forskningsprojekter, herunder, jf. præambelbetragtning nr. 26, hvornår de givne foranstaltninger, der ville skulle iværksættes for at kunne identificere en fysisk person, vil være så avancerede eller kræve så stor ekspertise, at de vil være ud over det, man med rimelighed vil kunne iværksætte, og man dermed kan be- tragte oplysningerne som anonymiserede.

I databeskyttelsesretten skelnes der mellem pseudonymisering og anonymisering. Pseudony- misering defineres som behandling af personoplysninger på en sådan måde, at personoplys- ningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende op- lysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.

Det er væsentligt at holde sig for øje, at behandling af pseudonymiserede personoplysninger er omfattet af databeskyttelsesreglerne, idet oplysningerne fortsat kan henføres til en fysisk person ved brug af de supplerende oplysninger. Anvendelsen af pseudonymisering kan imid- lertid gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelses- forpligtelser samt mindske risikoen for de registrerede.

Oplysninger, der er gjort anonyme, sådan at ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, er imidlertid ikke beskyttet af data- beskyttelsesreglerne, idet der ikke længere vil være tale om personoplysninger.

Vurderingen af, om oplysninger er anonymiserede og således falder uden for reglernes an- vendelsesområde, afhænger af, om det er muligt at identificere en fysisk person ud fra oplys- ningerne. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragt- ning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fast- slå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk per- son, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid der er nød- vendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstids- punktet og den teknologiske udvikling, jf. databeskyttelsesforordningens præambelbetragtning nr. 26.

Ved vurderingen må man derfor overveje, hvilke midler der kan benyttes for at identificere de fysiske personer, oplysningerne omhandler. Her kan det bl.a. overvejes, om oplysningerne kan kombineres med andre oplysninger, eksempelvis hvis ét datasæt kan kombineres med et andet datasæt, som medfører, at ét eller flere individer kan identificeres.

Herefter må det overvejes, om midlerne med rimelighed kan tænkes bragt i anvendelse. Mu- ligheden for at kombinere oplysningerne med supplerende oplysninger kan eksempelvis ikke betragtes som et rimeligt hjælpemiddel, hvis det ville være ulovligt for indehaveren af de sup- plerende oplysninger at give oplysningerne til den dataansvarlige.

I forbindelse med store datasæt, som anvendes i forbindelse med forskning, må det efter Da- tatilsynets opfattelse umiddelbart antages at være vanskeligt at anonymisere oplysningerne på en sådan måde, at databeskyttelsesreglerne ikke længere finder anvendelse, uden at da- tasættet ikke samtidig mister sin værdi.

Det er endvidere Datatilsynets forståelse, at der på nuværende tidspunkt ikke er påvist en kombination af teknologiske og organisatoriske midler, som effektivt kan anvendes for at ude- lukke biologisk materiale fra databeskyttelsesforordningens anvendelsesområde.

Datatilsynet anser de angivne problemstillinger for yderst relevante, og tilsynet er også bevidst om, at det kan være svære vurderinger at foretage. Datatilsynet har derfor til hensigt at udar- bejde en vejledning om anonymisering og pseudonymisering. Endvidere pågår der i regi af Det Europæiske Databeskyttelsesråd (EDPB) for tiden et arbejde – som Datatilsynet deltager aktivt i – om udarbejdelse af en vejledning om behandling af personoplysninger i forbindelse med forskning, hvor det forventes, at spørgsmålet om pseudonymisering og anonymisering vil blive inddraget.

Kræftens Bekæmpelse anfører, at det ikke er hensigtsmæssigt, at dataansvarlige skal navi- gere gennem et meget komplekst regelsæt, der som udgangspunkt giver forsøgspersoner i vi- denskabelige forskningsprojekter en række rettigheder, men som de facto kan vise sig at være meget beskedne eller helt uden indhold. Kræftens Bekæmpelse angiver, at forskningslivet har behov for lempelse af oplysningspligten. Kræftens Bekæmpelse forespørger, om man skal opfylde oplysningspligten i artikel 13 eller 14, når oplysninger oprindeligt er indhentet fra én dataansvarlig, og der efterfølgende vurderes at være tale om fælles dataansvar, og om man kan bruge undtagelsesbestemmelsen i artikel 14, stk. 5, litra b, i den forbindelse.

Danske Universiteter oplyser, at den samfundsvidenskabelige og humanistiske forskning i stigende grad anvender data fra sociale medier, og at det i den forbindelse ikke giver mening at overholde oplysningspligten, hvis der f.eks. er tale om debatindlæg på Twitter fra statsover- hoveder i xxxxx xxxxx. Danske Universiteter forespørger i den forbindelse, om forskning i

indlæg på sociale medier kan undtages fra reglerne om oplysningspligt med afsæt i forordnin- gens artikel 85, da artikel 85 specifikt nævner akademisk virksomhed.

Den registrerede har efter databeskyttelsesforordningens artikel 13-22 en række rettigheder, herunder retten til indsigt samt retten til berigtigelse og sletning. Rettighederne i databeskyt- telsesforordningen indebærer, at den registrerede kan udøve en vis kontrol med behandlin- gen af personoplysninger, som vedrører den pågældende.

Den dataansvarlige kan kun undlade at imødekomme en anmodning fra den registrerede om f.eks. indsigt eller sletning, hvis der er en relevant undtagelse i databeskyttelsesforordningen eller databeskyttelsesloven. I forbindelse med behandling af personoplysninger i videnskabe- ligt eller statistisk øjemed findes der flere undtagelser til de registreredes rettigheder, jf. data- beskyttelseslovens § 22, stk. 5, og databeskyttelsesforordningens artikel 17, stk. 3, litra d.

Den dataansvarlige skal imidlertid altid overveje, om den konkrete anmodning kan imødekom- mes, og herefter besvare anmodningen, samt imødekomme anmodningen, hvis ingen af und- tagelsesbestemmelserne finder anvendelse.

Hvis personoplysninger ikke er indsamlet hos den registrerede, jf. artikel 14 – eksempelvis hvis oplysningerne er indsamlet via offentligt tilgængelige kilder – kan det i forbindelse med forskning være relevant at overveje, om oplysningspligten kan undlades som følge af artikel 14, stk. 5, litra b.

Det følger af artikel 14, stk. 5, litra b, at artikel 14, stk. 1-4, ikke finder anvendelse, hvis og i det omfang meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæs- sigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål underlagt de betin- gelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registreredes rettigheder og fri- hedsrettigheder samt legitime interesser, herunder ved at gøre informationerne offentligt til- gængelige.

Ved ovenstående vurdering kan man tage hensyn til antallet af registrerede, oplysningernes alder og eventuelle fornødne garantier, der er stillet, jf. forordningens præambelbetragtning nr. 62.

Det følger af databeskyttelsesforordningens artikel 85, stk. 1, at medlemsstaterne ved lov fore- ner retten til beskyttelse af personoplysninger i henhold til denne forordning med retten til yt- rings- og informationsfrihed, herunder behandling i journalistisk øjemed og med henblik på akademisk, kunstnerisk eller litterær virksomhed. Af bestemmelsens stk. 2 fremgår det, at medlemsstaterne fastsætter undtagelser til behandling i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed eller fravigelser fra bl.a. forordningens ka- pitel III, om de registreredes rettigheder.

Bestemmelsen giver mulighed for at fastsætte undtagelser til bl.a. oplysningspligten, hvis det er nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytrings- og informationsfrihed, og dette nationale råderum er i Danmark udmøntet i databeskyttelseslo- vens § 3. Det er Datatilsynets umiddelbare opfattelse, at artikel 85 ikke giver mulighed for at fastætte nationale undtagelser til oplysningspligten i forbindelse med forskning i debatindlæg fra sociale medier.

For så vidt angår spørgsmålet om, hvorvidt man skal opfylde oplysningspligten igen, hvis man senere vurderer, at der er tale om fælles dataansvar, kan Datatilsynet oplyse, at hvis der sker et skift i den dataansvarliges identitet, er det Datatilsynets umiddelbare opfattelse, at den re- gistrerede skal orienteres herom som følge af artikel 13 og 14 og ud fra et synspunkt om gen- nemsigtighed. Hvis man allerede har opfyldt oplysningspligten i artikel 14, er det endvidere som udgangspunkt svært at se, at det skulle være uforholdsmæssigt eller kræve en uforholds- mæssig stor indsats, jf. artikel 14, stk. 5, litra b, at oplyse den registrerede om identitetsskiftet hos den dataansvarlige.

Datatilsynet kan oplyse, at de registreredes rettigheder i forbindelse med forskning er et af de emner, som Datatilsynet forventer at behandle i forbindelse med tilsynets vejledningsarbejde på forskningsområdet.

13. Arkivering

Danske Arkiver anfører, at der helt overordnet savnes en tilkendegivelse af, hvad begrebet ”arkivformål i samfundets interesse” dækker over. Danske Arkiver anfører i den forbindelse, at mens det synes rimeligt klart, at offentlige arkiver kan modtage personoplysninger til opbe- varing, er det uklart, hvordan disse personoplysninger senere kan benyttes.

Det kan ikke udledes af databeskyttelsesforordningen, hvad der skal forstås ved ”arkivformål i samfundets interesse” og derved den nærmere rækkevidde af dette begreb i databeskyttel- sesforordningens artikel 9, stk. 2, xxxxx j, og artikel 89.

Det fremgår imidlertid af Justitsministeriets betænkning nr. 1565/2017, at den tidligere gæl- dende forudsætning for forholdet mellem persondataloven og arkivlovens regler vil kunne vi- dereføres inden for rammerne af forordningens artikel 89, stk. 1, jf. artikel 9, stk. 2, litra j. Data- tilsynet kan i den forbindelse henvise til Registerudvalgets betænkning nr. 1345/1997 og be- mærkningerne til persondataloven, hvoraf det fremgår, at den tidligere forudsætning var, at spørgsmålet om arkivmæssig anvendelse af personoplysninger skulle afgøres efter arkivlov- givningens regler herom, og dermed ikke efter reglerne i (den daværende) registerlov og per- sondatalov.

Fastlæggelsen af den nærmere rækkevidde af begrebet ”arkivformål i samfundets interesse” må efter Datatilsynets opfattelse således bero på arkivlovgivningen og arkivmyndighedernes vurdering.

Rigsarkivet oplyser, at arkivet oplever usikkerhed om konsekvensen af persondatareglerne i forhold til ikke-offentlige arkivers bevaring af persondata.

Ikke-offentlige arkiver (lokalarkiver) ses – uanset deres organisationsform eller finansiering – ikke at være omfattet af arkivlovgivningen, da det kun er de offentlige arkivers virksomhed, der direkte er reguleret i denne lovgivning. Det betyder bl.a., at de særlige regler om arkivers be- handling af personoplysninger ikke gælder for lokalarkiverne. Dette var også tilfældet, før da- tabeskyttelsesforordningen fandt anvendelse.

Lokalarkiverne skal således overholde de databeskyttelsesretlige regler i forbindelse med en- hver behandling af personoplysninger til arkivformål. For at overholde databeskyttelsesreg- lerne skal lokalarkiverne bl.a. kunne identificere et lovligt grundlag for behandling af personop- lysninger i databeskyttelsesforordningens artikel 6, stk. 1, for behandling af personoplysninger til arkivformål.

Efter databeskyttelsesforordningens artikel 6, stk. 1, vil behandling af personoplysninger bl.a. kunne ske, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål (litra a), eller hvis behandling er nødvendig for, at den data- ansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn (litra f).

Hvis lokalarkiverne behandler personoplysninger på baggrund af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f, vil lokalarkiverne skulle foretage en kon- kret afvejning mellem arkivformålet over for hensynet til den registrerede. Afgørende for en så-

dan afvejning er, at hensynet til den registrerede ikke overstiger lokalarkivernes legitime inter- esse i behandlingen af personoplysninger. Ved afvejningen kan lokalarkiverne bl.a. lægge vægt på materialets alder og karakteren af oplysningerne heri. Hvis der er tale om følsomme oplysninger, skal man tillige kunne identificere en undtagelse til forbuddet imod behandling af sådanne oplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 2.

Lokalarkiverne skal også (løbende) overveje, hvilke personoplysninger det er nødvendigt at bevare.

Databeskyttelsesforordningen udelukker således ikke eksistensen af lokalarkiver, og det vil være muligt inden for forordningens og databeskyttelseslovens rammer fortsat at finde grund- lag for at bevare materiale fra borgere, organisationer og virksomheder i lokalarkiver.

Endelig skal Datatilsynet pege på muligheden for at ændre arkivlovgivningen – alternativt ud- arbejde en særskilt lov omfattende private arkiver – hvorved arkivernes aktiviteter vil kunne re- guleres af særlige regler om behandling af personoplysninger til arkivformål.

Rigsarkivet anfører, at rækkevidden af databeskyttelsesforordningens artikel 17, stk. 1 (ret- ten til at blive glemt), er uklar – herunder i forhold til undtagelsesbestemmelser i artikel 17, stk. 3, og betydningen heraf bl.a. i forhold til vejledning af myndigheder om adgang til at slette per- sonoplysninger inden aflevering.

Spørgsmålet om, hvorvidt behandling (opbevaring) af oplysninger er nødvendig til arkivformål i samfundets interesse, skal afgøres efter arkivlovgivningens regler. Hvis det følger heraf, at oplysninger er bevaringsværdige og skal afleveres til arkiv, kan en myndighed efter omstæn- dighederne afvise en anmodning om sletning under henvisning til artikel 17, stk. 3, litra d.

Rigsarkivet forespørger, hvorfor den registreredes ret til indsigelse (modsætte sig arkivering) efter databeskyttelsesforordningens artikel 21 ikke er omfattet af undtagelserne i databeskyt- telseslovens § 22, stk. 5.

Datatilsynet er ikke bekendt med, hvorfor arkivmæssige formål ikke er medtaget i undtagel- sesbestemmelsen i databeskyttelseslovens § 22, stk. 5. Datatilsynet bemærker, at indsigelse mod behandling til videnskabelige eller historiske forskningsformål eller statistiske formål ef- ter omstændighederne kan afskæres i medfør af artikel 21, stk. 6, hvis behandlingen er nød- vendig for at udføre en opgave i samfundets interesse.

Rigsarkivet oplyser, at der som følge af vejledning om videregivelse fra Datatilsynet er op- stået modstand hos en myndighed om Rigsarkivets ret til at forestå udlevering af afleveret data fra en myndighed. Rigsarkivet anfører i den forbindelse, at der er tvivl om, hvorvidt Datatilsy- net har inddraget forbindelsen til arkivloven, da vejledningen om videregivelse blev udarbej- det.

Datatilsynet forudsætter, at tvivlen vedrører Datatilsynets vejledning til bekendtgørelse nr. 1509 af 18. december 2019 om videregivelse af personoplysninger omfattet af databeskyttel- seslovens § 10, stk. 1 og 2.

Udlevering af oplysninger fra arkiv vil som udgangspunkt ikke være omfattet af databeskyttel- seslovens § 10, men derimod af arkivlovens regler. Datatilsynet kan på den baggrund ikke umiddelbart se, hvilken relevans den omhandlede vejledning kan have for udlevering fra ar- kiv.

Rigsarkivet oplyser, at arkivet ofte oplever, at forskere lover respondenter, at data ikke kom- mer videre. Når data skal anmeldes (og afleveres) til Rigsarkivet, oplever forskerne aflevering som stridende mod deres aftale med respondenterne, bl.a. fordi data efter 20 eller 75 år bliver tilgængelige i henhold til gældende frister.

Datatilsynet kan ikke udtale sig om forskeres pligt til at anmelde og aflevere oplysninger til Rigsarkivet, da denne forpligtelse ses at følge af arkivlovgivningen.

Som udgangspunkt anbefaler Datatilsynet imidlertid, at der ikke foretages forskning på bag- grund af et databeskyttelsesretligt samtykke, men at forskningsprojekter så vidt muligt base- rer sig på databeskyttelseslovens § 10, som ikke forudsætter samtykke fra den registrerede.

Hvis en forsker vælger at foretage sin forskning på baggrund af et databeskyttelsesretligt samtykke, er det op til forskeren – som den dataansvarlige – ved indhentelse af samtykket at sikre, at de registrerede informeres fyldestgørende om, hvad oplysningerne vil kunne blive an- vendt til, herunder at oplysningerne på sigt – på baggrund af reglerne i arkivloven – vil blive overleveret til Rigsarkivet, og at de herefter vil være tilgængelige for offentligheden efter 20 el- ler 75 år.

14. Diverse spørgsmål

14.1 Ansættelse og fagforening

Dansk Arbejdsgiverforening mener, at det bør klarlægges, hvordan straffeattester tilveje- bringes i forbindelse med ansættelsesforhold, hvor løbende indhentelse af straffeattester er en forudsætning for ansættelse. Brugen af samtykke opleves som problematisk, idet det ikke må have negativ effekt på ansættelsen, hvis den ansatte afviser at give sit samtykke til ind- hentelsen.

Arbejdsgivere kan have et velbegrundet behov for at indhente oplysninger om ansattes straf- bare forhold under ansættelsesforholdet som følge af f.eks. stillingens karakter.

En arbejdsgiver må imidlertid kun anmode om eller indhente oplysninger om en ansøgers eventuelle strafbare forhold, hvis det er relevant i forhold til den stilling, som den pågældende bestrider. Dette skal forstås således, at det i forhold til den konkrete stilling – i overensstem- melse med principperne i databeskyttelsesforordningens artikel 5 – skal være sagligt og pro- portionalt, at arbejdsgiveren indhenter eller anmoder om oplysninger om den ansattes straf- bare forhold under ansættelsen.

Datatilsynet behandler for tiden spørgsmålet om behandling af personoplysninger i forbindelse med indhentelse af straffeattester ved ansættelse og under ansættelsesforholdet i forbindelse med en konkret sag, som tilsynet har indledt af egen drift. Resultatet forventes offentliggjort senere i år.

Datatilsynet bemærker i øvrigt, at på politiets hjemmeside, xxx.xxxxxx.xx, findes oplysninger om samtykke og fremgangsmåden ved indhentelse af straffe- og børneattester.

Akademikerne anfører, at der er behov for en nærmere afklaring af, hvornår oplysninger kan anses for at være ”offentliggjort af den registrerede selv” i henhold til databeskyttelsesforord- ningens artikel 9, stk. 2, litra e. Akademikerne forespørger, om dette gælder i situationer, hvor den registrerede er indforstået med eller har accepteret, at oplysninger om vedkommende er gjort tilgængelige på en hjemmeside, og fagforeningen oplyser, at der som følge af uklarhed herom for nuværende indhentes samtykke til offentliggørelse af f.eks. billeder om personer, der tegner fagforeningen udadtil. Tilsvarende er der behov for at definere begrebet ”samfunds- interesse”, som anvendes i bl.a. forordningens artikel 9, stk. 2, litra g.

Det følger af databeskyttelsesforordningens artikel 9, stk. 2, litra e, at forbuddet mod behand- ling af oplysninger om bl.a. fagforeningsmæssigt tilhørsforhold ikke finder anvendelse, hvis behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.

Oplysningerne skal uden tvivl (”tydeligvis”) være offentliggjort af den registrerede selv eller på den registreredes foranledning, f. eks. fordi den registrerede utvivlsomt har taget initiativ til eller medvirket til offentliggørelsen. Omvendt betyder dette, at bestemmelsen ikke finder an- vendelse, hvis f.eks. pressen, en forening, en myndighed eller en anden aktør har offentlig- gjort oplysningen på eget initiativ.

Datatilsynet har i praksis fundet, at bestemmelsen i artikel 9, stk. 2, litra e, kunne finde anven- delse, hvor den registrerede havde fremsat oplysningen i et interview til en landsdækkende avis og i et tilfælde, hvor der var sket offentliggørelse af en oplysning om den registreredes opstilling på et politisk partis hjemmeside i forbindelse med valg til Folketinget.

Begrebet ”samfundets interesse”, som anvendes bl.a. i forordningens artikel 9, stk. 2, litra g, omfatter behandling af personoplysninger til formål, som kan anses for at være af almen inter- esse, dvs. behandlinger af betydning eller interesse for en bredere kreds af personer. I forord- ningens præambelbetragtning nr. 52-56 nævnes en række eksempler på sådanne samfunds- interesser. Eksempelvis henvises heri til statistiske, historiske, ansættelses-, sundheds- og so- cialretlige forhold og afholdelse af valg.

Dansk Arbejdsgiverforening oplyser, at det kræver et uforholdsmæssigt stort arbejde at ind- hente et skriftligt samtykke, hver gang fotos af medarbejdere skal anvendes eksternt, ligesom det er stort arbejde at ”tagge” de enkelte, således at relevante billeder sidenhen kan fremsø- ges. Dansk Arbejdsgiverforening peger endvidere på, at kravet om samtykke kan have store økonomiske konsekvenser, hvis billedet f.eks. indgår i materiale, som ikke kan anvendes alli- gevel som følge af, at samtykket trækkes tilbage. Dansk Arbejdsgiverforening forespørger, om en løsning herpå kunne være at anvende modelkontrakter frem for samtykke.

3F finder, at det er administrativt krævende at indhente samtykke fra medlemmer til at offent- ligøre et billede af medlemmet fra et arrangement. 3F oplyser, at der i praksis er tale om of- fentliggørelse af fotos mv., som er nødvendig for at synliggøre afdelingens aktiviteter og sætte fokus på samfundsmæssige emner, ligesom der kan være tale om offentliggørelse af billeder på hjemmesiden eller i et nyhedsbrev fra et julearrangement eller et gå-hjem-møde.

Vurderingen af, om et billede eller en filmoptagelse af medarbejdere må offentliggøres uden samtykke, afhænger af billedets karakter og de konkrete omstændigheder i øvrigt, herunder navnlig formålet med offentliggørelsen. Det skal også indgå i vurderingen, om de pågældende med rimelighed kan føle sig krænket, udnyttet eller udstillet.

Efter Datatilsynets nuværende praksis kan billeder af ansatte på arbejde som udgangspunkt ikke offentliggøres uden den ansattes samtykke. Dette gælder også, hvis arbejdsgiveren bru- ger billeder af ansatte i materiale, f.eks. til brug for reklame. Det skyldes, at der er et større hensyn at tage til medarbejderens interesser end virksomhedens behov.

I visse tilfælde, hvor det findes sagligt begrundet, kan der ske offentliggørelse af billeder af an- satte uden samtykke, hvis den pågældende ikke med rimelighed kan føle sig udstillet eller ud- nyttet. Arbejdsgivere vil således kunne offentliggøre fotos og film af ansatte i det omfang bille- det eller filmen har en naturlig sammenhæng med eller er nødvendig for de funktioner, som medarbejderen skal udføre. Det er dog væsentligt, at der alene er tale om arbejdsrelaterede oplysninger og at der ikke sker offentliggørelse af oplysninger om den pågældende medarbej- ders private forhold, ligesom det er vigtigt, at billedet/optagelsen ikke efter en almindelig op- fattelse kan anses for at være krænkende. F.eks. vil offentliggørelse af en film eller lydopta- gelse af en medarbejder om et fagligt, arbejdsrelateret emne, som den pågældende beskæf- tiger sig med, normalt kunne ske uden samtykke, da der vil være en naturlig sammenhæng med den ansattes funktioner, og det vil falde inden for dennes forventede arbejdsopgaver, li- gesom der vil være et klart legitimt formål med offentliggørelsen (f.eks. oplysningsvirksom- hed). Omvendt vil offentliggørelse af et billede eller filmoptagelse af en medarbejder til f.eks. et medarbejderarrangement, i fitnesslokalet eller under frokosten efter Datatilsynets opfattelse normalt ikke kunne ske uden samtykke.

Hvis et samtykke trækkes tilbage, indebærer det, at behandlingen skal ophøre – dvs. de på- gældende fotos skal fjernes. Medarbejderen må så vidt muligt i den forbindelse forventes at bistå med at identificere de relevante billeder mv. Det vil bero på de konkrete omstændighe- der, om det – f.eks. på bagrund af de økonomiske konsekvenser og billedets karakter – kan kræves, at trykt materiale destrueres.

Anvendelse af modelkontrakter vil give arbejdsgiveren mulighed for at behandle billederne på et andet grundlag end samtykke. I hvilket omfang det i øvrigt måtte være en hensigtsmæssig løsning ligger uden for Datatilsynets område at vurdere.

Datatilsynet har forståelse for, at der kan være et legitimt behov for at synliggøre en fagfore- nings aktiviteter og dermed samfundsmæssige relevans ved anvendelsen af billeder, men om- vendt er oplysning om en persons fagforeningsmæssige tilhørshold en særlig beskyttelses- værdig oplysning, jf. databeskyttelsesforordningens artikel 9. Derfor kræver offentliggørelse heraf et samtykke, medmindre en anden undtagelse fra behandlingsforbuddet finder anven- delse, f. eks. at vedkommende selv har offentliggjort oplysning om fagforeningsmæssigt til- hørsforhold.

For så vidt angår spørgsmålet om indhentelse af samtykke har Datatilsynet i en konkret sag fundet, at et samtykke til at blive fotograferet og få billedet offentliggjort kan indhentes ved, at den pågældende person tager opstilling på et bestemt sted eller område, hvis vedkommende forinden har fået tilstrækkelig specifik og klar information om behandlingen, herunder om både optagelse af billedet og offentliggørelsen af dette.

Fagbevægelsens Hovedorganisation anfører, at der er behov for standardmateriale og vej- ledning rettet mod freelancere, der som enkeltpersoner oplever overholdelse af databeskyttel- sesregler for særligt krævende – såvel administrativt som økonomisk.

Branchespecifik vejledning om freelancere kan være vanskelig. Det skyldes, at der findes utal- lige typer af freelancere. Lidt groft sagt er ansættelsesformen gruppens eneste fællesnævner, altså at der er tale om selvstændige erhvervsdrivende, der arbejder på kontraktbasis. Grup- pen spænder således over journalister, musikere, it-eksperter til ansatte i bygge- og anlægs- branchen eller hotel- og restaurationsbranchen mv.

Datatilsynet har produceret en række podcasts, der er let tilgængelige og er et godt sted at starte for den enkelte freelancer og mindre erhvervsdrivende. Herudover har tilsynet udarbej- det vejledende tekster om vikarer og konsulenter til brug for afklaring af rollefordelingen som hhv. dataansvarlig og databehandler. I samarbejde med Erhvervsstyrelsen har Datatilsynet endvidere lavet PrivacyKompasset, som er rettet mod bl.a. mindre erhvervsdrivende.

Datatilsynet vil i sin fremtidige prioritering af vejledning være opmærksom på de behov, der er hos mindre og mellemstore erhvervsvirksomheder, for vejledning på en række forskellige om- råder, herunder i forhold til spørgsmål om sikkerhed.

Fagbevægelsens Hovedorganisation oplyser, at deltagere til medlemsmøder på forhånd gerne vil vide, hvem der deltager, f.eks. for at kunne planlægge transport til mødet, og derfor synes, at det er et problem, at det åbne modtagerfelt ikke kan anvendes ved indkaldelse til medlemsmøder pr. e-mail. Fagbevægelsens Hovedorganisation oplever endvidere prakti- ske udfordringer i forbindelse med brug af Outlook-kalenderen til udsendelse af invitationer, li- gesom det opleves problematisk, at der ikke uden samtykke kan udleveres en deltagerliste ef- ter et medlemsmøde, da deltagerne gerne vil have et overblik over, hvem der deltog, bl.a. for at kunne koordinere tiltag mv.

Hvis f.eks. en fagforening masseudsender en invitation pr. e-mail eller gennem en Outlook-in- vitation til alle medlemmer, skal foreningen være opmærksom på, om modtagerne kan se hin- andens oplysninger. Baggrunden herfor er, at åben angivelse af fysiske personers e- mailadresser eller navne ved masseudsendelse af en mødeinvitation pr. e-mail eller gennem Outlook-kalenderen vil udgøre en videregivelse af personoplysninger. Tilsvarende gælder for videregivelse af oplysninger fra deltagerlister. Oplysning om en persons fagforeningsmæssige tilhørsforhold er omfattet af artikel 9 i databeskyttelsesforordningen og må som udgangspunkt kun behandles, hvis der er en undtagelse til behandlingsforbuddet, som kan finde anvendelse. Som regel vil dette betyde, at det forudsætter, at der er givet samtykke.

Ved anvendelse af e-mail til udsendelse af invitationer mv. til arrangementer for fagforenin- gens medlemmer vil det være nødvendigt at anvende bcc-feltet, så medlemmerne ikke kan se hinandens oplysninger, hvis behandlingen ikke sker på grundlag af samtykke.

Fagbevægelsens Hovedorganisation oplyser, at nogle arbejdsgivere oplever udfordringer i forbindelse med, at deres ansatte anvender deres arbejdsudstyr (computer, telefon, tablet mv.) til private formål (f.eks. private opkald, e-mails mv.), hvorved oplysninger om de ansattes pri- vate forhold bliver lagret på arbejdsgiverens materiel, hvorfor der kan opstå vanskelige situa- tioner, hvis og når arbejdsgiveren får behov for at tilgå udstyret. Fagbevægelsens Hovedor- ganisation ser således behov for et regelsæt til håndtering af såvel arbejdstagers som ar- bejdsgivers interesser, således at hensynet til arbejdsgivers interesser i at afdække eventu- elle regelbrud og pligtforsømmelser ikke går videre end hensynet til beskyttelsen af arbejdsta- gers private oplysninger.

De databeskyttelsesretlige regler giver på den ene side en arbejdsgiver mulighed for at tilgå de nødvendige oplysninger, hvis der er et lovligt behandlingsgrundlag, og de overordnede be- tingelser om saglighed og proportionalitet er opfyldt. Datatilsynet har i konkrete sager udtalt, at en arbejdsgiver kan have en legitim interesse i f.eks. at gennemgå en medarbejders e-mail- konto, hvorved arbejdsgiveren – eventuelt utilsigtet – kan komme i berøring med oplysninger af privat karakter. Det kan f.eks. være tilfældet, hvis der er en konkret begrundet mistanke om brud på loyalitetsforpligtelsen eller interne retningslinjer. På den anden side varetages den an- sattes interesser og rettigheder i øvrigt ved, at den ansatte skal være informeret klart på for- hånd om arbejdspladsens retningslinjer for brug af udstyr til privat brug samt hvilken kontrol og formålet hermed, som kan iværksættes fra arbejdsgiverens side med henblik på gennem- gang af arbejdspladsens udstyr.

I Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold (decem- ber 2020) fremgår det således også, at gennemgang af medarbejderes hjemmesidebesøg ved mistanke om misbrug af internettet og kontrol af e-mails kan ske under visse betingelser. Denne vejledning indeholder også retningslinjer om opbevaring af oplysninger efter ansættel- sesophør og om oplysningspligten ved kontrolforanstaltninger. Datatilsynet modtager gerne konkrete forslag fra arbejdsmarkedets parter, hvis der er behov for at udbygge vejledningen yderligere på specifikke områder.

14.2 Private virksomheder og foreninger

Dansk Erhverv og IT-branchen ønsker klarhed om, i hvilket omfang databeskyttelsesreg- lerne gælder for personer, der agerer på vegne af en virksomhed. Dansk Erhverv og IT-bran- chen peger i den forbindelse på det forhold, at de fleste business-to-business-virksomheder ikke har forbrugerdata i deres CRM-systemer (kundedatabaser), idet de typiske personoplys-

ninger, som en sådan virksomhed håndterer – når man ser bort fra data om virksomhedens egne medarbejdere – er telefonnumre og e-mailadresser på kontaktpersoner hos virksomhe- dens kunder og leverandører. Dansk Erhverv og IT-branchen oplyser i tilknytning hertil, at der hersker usikkerhed om, hvordan personoplysninger, der er indeholdt i mailsystemer som f.eks. Outlook, skal behandles i forhold til oplysninger i CRM- eller ERP-systemer m.fl., bl.a. i relation til sletning og indsigtsret, og at der er behov for vejledning i forhold til håndtering af disse systemer.

Databeskyttelsesreglerne skelner ikke mellem personoplysninger, der bliver behandlet i for- bindelse med B2B-virksomheder eller i forbindelse med andre kommercielle virksomheders aktiviteter. Databeskyttelsesreglerne gælder således også for oplysninger om fysiske perso- ner, selv om de agerer på vegne af en virksomhed.

I forbindelse med B2B er behandlingen af personoplysninger imidlertid ikke i fokus, og perso- noplysningerne vil formentlig alene blive behandlet som led i den normale drift af virksomhe- den. Som anført af Dansk Erhverv og IT-branchen vil der typisk blive behandlet oplysninger om telefonnumre og e-mailadresser på kontaktpersoner hos B2B-virksomhedens kunder eller leverandører. Dertil kommer, at der sandsynligvis også vil blive behandlet oplysninger om kon- taktpersonens navn og andre oplysninger, der knytter sig til den pågældende persons ansæt- telse hos enten virksomhedens kunde eller leverandør.

Når de databeskyttelsesretlige regler finder anvendelse på en behandling af personoplysnin- ger, afgøres lovligheden af forskellige faktorer, heriblandt formålet med behandlingen og op- lysningernes karakter. Det har således betydning for anvendelsen af de databeskyttelsesret- lige regler i forbindelse med B2B, at de personoplysninger, der bliver behandlet, er af begræn- set omfang, og at oplysningerne f.eks. telefonnumre og e-mailadresser formentlig stilles til rå- dighed af arbejdsgiveren og dermed ikke er den pågældende persons private kontaktoplys- ninger. Intensiteten af den behandling af personoplysninger, som finder sted i forbindelse med B2B, vil også gøre sig gældende i forhold til f.eks. håndtering af indsigtsanmodninger, hvor det således formentlig vil være ret begrænset, hvor mange oplysninger man som dataansvarlig skal forholde sig til.

Databeskyttelsesreglerne er teknologineutrale, og det har derfor ikke betydning for reglernes anvendelse, om behandling af personoplysninger foretages i et mailsystem, CRM-system, ERP-system eller et andet system. Det afgørende er, om behandlingen af personoplysnin- gerne helt eller delvist foretages ved hjælp af automatisk databehandling eller er indeholdt i et register, for i så fald finder databeskyttelsesreglerne anvendelse.

Det betyder også, at personoplysninger – uanset om de er indeholdt i et mailsystem, CRM-sy- stem eller ERP-system – skal slettes, når den fortsatte opbevaring ikke længere er nødven- dig. Tilsvarende indebærer indsigtsretten en ret til indsigt i personoplysninger, uanset om de ligger i et mailsystem, CRM-system, ERP-system eller andet system. En anmodning om ind- sigt fra en registreret vil således også omfatte de personoplysninger, som behandles i f.eks. en virksomheds mailsystem. Datatilsynet bemærker i den forbindelse, at en anmodning om indsigt indebærer, at den dataansvarlige som udgangspunkt skal udlevere en kopi af de per- sonoplysninger, der behandles. Kopien skal indeholde den registreredes personoplysninger, men retten til indsigt indebærer ikke, at den dataansvarlige skal udlevere samtlige e-mails, hvori den registreredes navn fremgår.

Ovenstående betyder ikke, at en virksomhed ikke må opbevare personoplysninger i deres e- mailsystemer, CRM- eller ERP-systemer, så længe virksomheden har et sagligt behov for at behandle og opbevare oplysningerne, f.eks. hvis virksomheden har en aktiv dialog med en

kontaktperson hos en leverandør. Når en sådan dialog er overstået, kan der være fremkom- met oplysninger, som en virksomhed har behov for at kunne dokumentere.

Som udgangspunkt er det uproblematisk, hvis en medarbejder gemmer interne e-mails i sin e- mailkonto, så længe der er et behov herfor, f.eks. for at en medarbejder kan varetage sit ar- bejde på en tilfredsstillende måde, da de interne e-mails kan indeholde relevante instrukser, vejledninger eller aftaler.

Datatilsynet anbefaler i øvrigt, at en dataansvarlig udarbejder en politik og procedurer for op- bevaring og sletning af personoplysninger i den dataansvarliges systemer, herunder for per- sonoplysninger der opbevares i mailsystemer.

Dansk Industri anfører, at det i visse tilfælde er uklart, om følsomme personoplysninger, f.eks. oplysninger om medarbejderes helbredsforhold, må anvendes til organisatoriske formål, der ikke er konkret knyttet til den pågældendes eget ansættelsesforhold, uden samtykke fra med- arbejderen. Som eksempel nævner Dansk Industri rapportering af antallet af fleksarbejdere i en given afdeling med henblik på at øge andelen af fleksarbejdere fremadrettet, hvor det er uklart, om det forhold, at en medarbejder har nedsat arbejdsevne, er en helbredsoplysning, og om bredere organisatoriske formål – f.eks. at øge andelen af fleksarbejdere – kan anses for omfattet af den dataansvarliges arbejdsretlige forpligtelser. Efter Dansk Industris opfattelse begrænser databeskyttelsesreglerne mulighederne for at arbejde med CSR-mål på et mere oplyst grundlag.

Dansk Industri oplyser endvidere, at det giver anledning til tvivl, hvornår virksomheder må vi- deregive oplysninger om medarbejderes personnumre til offentlige myndigheder, hvis videre- givelsen ikke følger af lovgivningen. Dansk Industri henviser for eksempel til, at virksomhe- der, der indgår kontrakter med offentlige myndigheder, bliver bedt om at oplyse personnumre på de medarbejdere, der arbejder på kontrakterne for det offentlige. Det ses bl.a. i forbindelse med indgåelse af arbejdsklausuler, men også i tilfælde hvor den offentlige myndighed skal bruge personnummer til oprettelse af virksomhedens medarbejdere i IT-systemer. Dansk In- dustri anfører, at der er tvivl om, hvorvidt virksomheder har hjemmel til en sådan videregi- velse, bl.a. fordi virksomheden ofte ikke kan indhente et gyldigt samtykke fra medarbejderen, og fordi det er uklart, hvornår videregivelsen kan anses for at være et naturligt led i den nor- male drift af virksomheden. Dansk Industri har i den forbindelse også peget på, at det er tvivlsomt, om en sådan videregivelse vil være i overensstemmelse med dataminimeringsprin- cippet, da den offentlige myndighed typisk vil kunne identificere medarbejderen med færre op- lysninger.

Det faktum, at en medarbejder har nedsat arbejdsevne, udgør ikke i sig selv en helbredsop- lysning, da årsagen til den nedsatte arbejdsevne ikke kan udledes.

Personoplysninger, der er indsamlet i tilknytning til ansættelsesforhold, må gerne viderebe- handles til f.eks. statistiske formål. Ved statistiske formål forstås enhver indsamling og be- handling af personoplysninger, der er nødvendig for statistiske undersøgelser eller frembrin- gelse af statistiske resultater. Det statistiske formål indebærer, at resultatet af behandling til statistiske formål ikke er personoplysninger, men aggregerede data, og at personoplysnin- gerne ikke senere må anvendes til støtte for foranstaltninger eller afgørelser, der vedrører be- stemte fysiske personer. Databeskyttelsesreglerne begrænser derfor ikke mulighederne for, at en virksomhed behandler personoplysninger med henblik på at opnå et mere oplyst grund- lag for at arbejde med CSR-mål, som f.eks. diversitet.

Hvad angår virksomheders videregivelse af oplysninger om medarbejderes personnumre er der i databeskyttelseslovens § 11, stk. 2, oplistet en række mulige behandlingsgrundlag, her- under også i de tilfælde, hvor videregivelse ikke følger af lovgivning eller sker på baggrund af et samtykke fra den registrerede. Private virksomheder vil således kunne videregive oplysnin- ger om personnummer, bl.a. hvis videregivelsen sker som et naturligt led i den normale drift af virksomheder mv. af den pågældende art, hvis det enten er af afgørende betydning for at sikre entydig identifikation af den registrerede, eller hvis videregivelsen kræves af en offentlig myndighed.

Den dataansvarlige, som indsamler personoplysningerne, skal naturligvis forholde sig til, at indsamlingen sker under iagttagelse af dataminimeringsprincippet i forordningens artikel 5, stk. 1, litra c.

I forhold til det af Dansk Industri anførte eksempel – videregivelse af personnummer til offent- lige myndigheder – vil en sådan videregivelse efter Datatilsynets opfattelse være uproblema- tisk. Der vil således ikke være krav om, at virksomheden fjerner oplysninger om medarbejde- res personnumre i forbindelse med fremsendelse af dokumentation til myndigheden.

Dansk Industri anfører, at det i tilfælde, hvor en virksomhed har sin egen historiske afdeling eller historiske arkiver, f.eks. i form af billeder, er uklart, om det virksomhedshistoriske arbejde er omfattet af de databeskyttelsesretlige regler, som regulerer behandling af personoplysnin- ger til ”arkivformål i samfundets interesse” og/eller ”historiske forskningsformål”.

Dansk Industri oplyser endvidere, at der tilsvarende opleves tvivl om, i hvilket omfang virk- somhedsjournalistik i form af f.eks. interne medarbejderblade eller medlemsblade udgør ”jour- nalistik” i en databeskyttelsesretlig kontekst – særlig henset til databeskyttelseslovens § 3, stk. 8.

En virksomheds historiske afdeling eller historiske arkiver ses ikke at være omfattet af arkiv- lovgivningen, da det kun er de offentlige arkivers virksomhed, der direkte er reguleret i denne lovgivning. Det betyder, at databeskyttelsesforordningens og databeskyttelseslovens regler om behandling af personoplysninger til arkivformål ikke sådan uden videre kan anvendes af virksomheder. Om virksomhedshistorisk arbejde kan anses for at være omfattet af databeskyt- telsesforordningens og databeskyttelseslovens bestemmelser om forskning vil bero på en nærmere vurdering af, bl.a. hvad formålet med det pågældende arbejde er, herunder om det er et arbejde, som kan anses for at være forskning i samfundets interesse.

Om journalistisk arbejde kan Datatilsynet oplyse, at medier generelt er undtaget fra de data- beskyttelsesretlige regler. Hvis en behandling af personoplysninger er omfattet af lov om mas- semediers informationsdatabaser, er behandlingen således undtaget fra databeskyttelseslo- ven og databeskyttelsesforordningen, jf. databeskyttelseslovens § 3, stk. 4. I databeskyttel- seslovens § 3, stk. 5-7, begrænses anvendelsen af databeskyttelsesreglerne også i forbin- delse med, hvad der generelt kan karakteriseres som behandling, der sker i relation til ”nyheds- formidling/journalistisk virksomhed”.

Det er ikke udelukket, at ”virksomhedsjournalistik” kan være omfattet af undtagelserne i data- beskyttelseslovens § 3, stk. 4-8, hvis betingelserne herfor er opfyldt. Databeskyttelseslovens

§ 3, stk. 8, er imidlertid i lovens forarbejder forudsat et snævert anvendelsesområde, og det er derfor tvivlsomt, om ”virksomhedsjournalistik” kan anses for undtaget reglerne i medfør af denne bestemmelse. Den endelige vurdering heraf må imidlertid foretages af domstolene.

Finans og Leasing anfører, at der er behov for oplysning om, hvordan virksomheder inden for rammerne af databeskyttelsesreglerne kan arbejde med at forhindre svindel, således at der kan videregives personoplysninger med henblik på at advare herom.

Finans Danmark anfører, at det i praksis er vanskeligt at vurdere, hvornår et register er op- rettet med det primære formål at advare andre mod forretningsforbindelser med eller ansæt- telsesforhold til en registreret og dermed anses for at være et advarselsregister, som kræver tilladelse fra Datatilsynet. Finans Danmark ønsker flere konkrete eksempler i Datatilsynets vejledning fra 2019 om advarselsregistre.

Afgørende for, om en behandling er omfattet af databeskyttelseslovens § 26, stk. 1, nr. 1, om advarselsregistre, er, om registret er oprettet med henblik på videregivelse. At der jævnligt sker videregivelse af oplysninger fra et register, der primært er oprettet med et andet formål, medfører således ikke, at registret udgør et advarselsregister. Omfattet af reglerne om advar- selsregistre vil typisk være et register, der er oprettet af en forening eller en brancheorganisa- tion med henblik på at videregive oplysninger til foreningens eller brancheorganisationens medlemmer om medlemmernes forretningsforbindelser og disses betalingsevne.

Et advarselsregister vil altid kræve forudgående tilladelse fra Datatilsynet. Datatilsynet vil i den forbindelse tage stilling til, om der kan meddeles tilladelse til advarselsregistret, og på hvilke nærmere vilkår en sådan tilladelse vil kunne meddeles. Datatilsynet vil bl.a. vurdere, om ad- varselsregistret kan anses for at tjene anerkendelsesværdige interesser, og heri vil navnlig indgå en vurdering af registrets formål i forhold til den risiko for krænkelse af privatlivets fred, som oprettelsen og brugen kan medføre.

Datatilsynet har på sin hjemmeside offentliggjort en række sager, som både er eksempler på ansøgninger, hvor tilsynet har givet afslag, og ansøgninger, som Datatilsynet har imødekom- met. Derudover har Datatilsynet også offentliggjort de standardvilkår, som tilsynet som ud- gangspunkt stiller som vilkår for at opnå tilladelse til at oprette et advarselsregister. Datatilsy- net har imidlertid noteret sig ønsket om, at der indarbejdes flere konkrete eksempler i vejled- ningen om advarselsregistre.

Finans Danmark oplyser, at der i den finansielle sektor opleves samspilsproblemer mellem den finansielle lovgivning og databeskyttelsesreglerne. Det er oplevelsen, at det ikke altid er muligt at efterleve begge regelsæt samtidig, bl.a. fordi der er forskellige hensyn bag de to re- gelsæt. Finans Danmark peger særligt på, at de grundlæggende principper for behandling af personoplysninger efter databeskyttelsesforordningens artikel 5 giver anledning til tvivl i den finansielle sektor, f.eks. om hvor uforenelighedsgrænsen efter artikel 5, stk. 1, litra b, går ved viderebehandling til et andet formål, herunder hvornår der kan ske viderebehandling til stati- stiske formål, idet der er store samfundsmæssige gevinster forbundet med dataanalyse. Fi- nans Danmark efterspørger derfor bl.a. konkret vejledning eller fortolkningsbidrag til definitio- nen af ”viderebehandling til statistiske formål”.

Håndtering af de nævnte problematikker vedrørende samspillet mellem databeskyttelsesreg- lerne og den finansielle lovgivning forudsætter et indgående kendskab til en række forskellige regelsæt på det finansielle område. Datatilsynet er løbende i dialog med relevante aktører i den finansielle sektor om drøftelse af problemstillinger relateret til samspillet mellem den fi- nansielle lovgivning og databeskyttelsesreglerne.

Datatilsynet deltager endvidere aktivt i regi af Det Europæiske Databeskyttelsesråd (EDPB) i udarbejdelsen af vejledninger om samspillet mellem databeskyttelsesforordningen og forskel- lig finansiel lovgivning. Der er netop vedtaget en vejledning om samspillet mellem det andet

betalingstjenestedirektiv (PSD2) og databeskyttelsesforordningen (vejledning 06/2020). End- videre vil Datatilsynet – i forlængelse af et netop igangsat europæisk studie heraf – arbejde aktivt på, at der udarbejdes en tilsvarende vejledning om samspillet mellem databeskyttelses- forordningen og hvidvaskreglerne.

Grundlæggende kan Datatilsynet gøre opmærksom på, at der er en række muligheder for at behandle personoplysninger, selv om der ikke foreligger en egentlig retlig forpligtelse til at ind- samle og behandle oplysningerne.

Endvidere kan Datatilsynet oplyse, at når en behandling af personoplysninger sker til et andet formål, end det, som oplysningerne blev indsamlet til, og dette ikke er baseret på den registre- redes samtykke, EU-retten eller national ret, skal den dataansvarlige bl.a. tage hensyn til en række faktorer, der er oplistet i databeskyttelsesforordningens artikel 6, stk. 4. Som eksempel på viderebehandling har Finans Danmark henvist til indsamling og behandling af transaktions- oplysninger med hjemmel i betalingsloven, hvor visse af sådanne oplysninger også er rele- vante i forbindelse med rådgivning og budgetplanlægning. Finans Danmark har oplyst, at der i dag indhentes samtykke ved en sådan viderebehandling, men efterspørger samtidig, om det egentlig er nødvendigt at indhente et samtykke fra den registrerede i disse tilfælde. Datatilsy- net har ikke nærmere kendskab til, hvilke(t) formål/hensyn der ligger bag den behandling af personoplysninger, som følger af betalingsloven og kan derfor ikke på det foreliggende grund- lag komme med en klar tilkendegivelse af, i hvilket omfang personoplysninger indsamlet på baggrund af betalingslovens bestemmelser kan anvendes til f.eks. budgetplanlægning. Som tidligere tilkendegivet er Datatilsynet imidlertid som altid åben over for en dialog om konkrete udfordringer i samspillet mellem den finansielle lovgivning og databeskyttelsesreglerne, her- under om mulighederne for genanvendelse af oplysninger til andre formål.

Finans Danmark oplyser endvidere, at det i praksis forekommer, at ikke-relevante personop- lysninger uanmodet modtages via e-mail eller oplyses under telefonsamtaler, som der er pligt til at optage og gemme i henhold til den finansielle lovgivning, selv om kunder opfordres til ikke at indsende flere oplysninger end nødvendigt. Udfordringen består bl.a. i, at det påvirker inte- griteten af materialet, hvis de overflødige data slettes, ligesom det kan være særdeles van- skeligt at slette dele af en telefonsamtale.

Det er Datatilsynets opfattelse, at det i langt hovedparten af sådanne tilfælde ikke vil være i strid med dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c, hvis de ”overflødige” data gemmes.

DUF anfører, at det er omstændigt at skulle indhente samtykke til eksempelvis at måtte be- handle medlemmers allergier i forbindelse med ture og kurser, hvor oplysningerne indhentes i medlemmernes interesse og for at kunne tilgodese medlemmernes behov. DUF forespørger, om der kan indhentes et samtykke til behandling af helbredsoplysninger (f.eks. oplysninger om allergier) ved medlemmets indmeldelse i stedet for indhentelse af samtykke ved den en- kelte tilmelding til hver tur eller kursus, som er meget ressourcekrævende. DUF forestiller sig, at det f.eks. kan fremgå af det enkelte medlems profiloplysninger (med et flueben), om der er givet samtykke til behandling af oplysninger om f.eks. allergier.

Det af Dansk Ungdoms Fællesråd skitserede forslag vil efter Datatilsynets opfattelse være en fornuftig løsning. Dansk Ungdoms Fællesråd skal i den forbindelse være opmærksom på, at det samtykke, som medlemmet afgiver i forbindelse med indmeldelse, skal opfylde databe- skyttelsesforordningens artikel 4, nr. 11, og artikel 7, om at være udtryk for en frivillig, speci- fik, informeret og utvetydig viljestilkendegivelse, hvilket bl.a. indebærer, at et nægtet samtykke ikke må medføre negative konsekvenser for medlemmet (f.eks. udelukkelse fra at deltage).

Dansk Ungdoms Fællesråd nævner, at samtykket skal dokumenteres ved et flueben på med- lemmets profil, så relevante personer kan se, om der er givet samtykke. Dertil bemærker Da- tatilsynet, at Dansk Ungdoms Fællesråd skal være opmærksom på at kunne dokumentere, at medlemmet har afgivet et gyldigt samtykke.

DGI oplyser, at det giver anledning til tvivl, i hvilket omfang en forening må kommunikere op- lysninger om strafbare forhold i forhold til såvel intern som ekstern kommunikation. DGI oply- ser, at det f.eks. kunne dreje sig om oplysninger om økonomisk kriminalitet mod en forening begået af foreningens leder eller om seksuelle krænkelser begået i en forening. DGI anfører, at det ofte er nødvendigt med kommunikation for at kunne informere og afværge unødig uro.

Datatilsynet anerkender, at der – f.eks. for at undgå rygtedannelse og ”uro” i en forening – kan være behov for, at en forening informerer sine medlemmer om, f.eks. at en leder er fratrådt. En forenings mulighed for at informere medlemmerne om ændringer i organisationen må nor- malt anses for at veje tungere end hensynet til den pågældende, ligesom det kan tillægges vægt, at medlemmerne efterfølgende ved selvsyn vil kunne konstatere, at den pågældende ikke længere er ansat eller er en del af foreningen. Derimod vil det som udgangspunkt ikke være nødvendigt for at varetage dette formål at oplyse om baggrunden for, at den pågældende er stoppet.

I nogle helt konkrete tilfælde kan der imidlertid være tungvejende hensyn, som medfører, at en forening undtagelsesvis kan videregive visse overordnede oplysninger om årsagen. I den forbindelse kan det tillægges betydning, hvilken stilling eller rolle den pågældende har haft i foreningen, f.eks. at der er tale om en leder.

Hvis en afskedigelse skyldes en underbygget mistanke om strafbare forhold, må denne oplys- ning ikke deles med andre i organisationen, i større omfang end hvad der er strengt nødven- digt. Der må derfor som det klare udgangspunkt ikke deles oplysninger på f.eks. foreningens medlemsside eller i en e-mail til medlemmer om, at en navngiven medarbejder er blevet af- skediget grundet f.eks. en mistanke om svindel.

DGI forespørger endvidere, hvor længe en indhentet børneattest må opbevares. DGI har over- vejet, om en forening kan gemme attester uden anmærkninger, så længe den pågældende ar- bejder i foreningen, og at attesten bør slettes et år efter, at den pågældende er ophørt med at virke i foreningen. Hvis en forening modtager en attest med anmærkninger, anfører DGI, at idrætsorganisationernes interne regelsæt tilsiger, at den pågældende som udgangspunkt ikke må fungere i en forening, men at der efter ansøgning kan gives tilladelse til det. Kommer den pågældende ikke til at virke i foreningen, bør attesten kunne gemmes i op til et år.

Adgangen til at indhente børneattester er reguleret af lov om indhentelse af børneattester i for- bindelse med ansættelse af personale mv., som hører under Kulturministeriets ressortområde. Spørgsmålet om, hvor længe børneattester kan opbevares, reguleres imidlertid af de databe- skyttelsesretlige regler.

Personoplysninger indeholdt i en børneattest må ikke opbevares i et længere tidsrum end det, der er nødvendigt, henset til det formål, hvortil børneattesten er indhentet. Datatilsynet kan ikke identificere et sagligt formål med, at en forening opbevarer børneattester med anmærk- ninger i op til et år fra indhentelsen, eller at børneattester uden anmærkninger opbevares i op til et år efter ophøret af en ansættelse i foreningen. Datatilsynet har i den forbindelse lagt vægt på, at den lovpligtige indhentelse af børneattester skal ske forud for en ansættelse eller ind-

gåelse af aftale med en person med henblik på, om den pågældende skal ansættes eller virke for foreningen.

Det er Datatilsynets opfattelse, at en forening – i overensstemmelse med Kulturministeriets vejledning – bør destruere en børneattest efter modtagelsen, medmindre andre regler, f.eks. på det ansættelsesretlige område, kræver opbevaring af attesten. I så fald bør en forening kun opbevare attesten i det omfang, sådanne regler kræver det.

Det forhold, at idrætsorganisationernes interne regelsæt tilsiger, at den pågældende kan ind- bringe en børneattest med anmærkninger for idrætsorganisationernes seksualkrænkel- sesnævn, ændrer ikke ved Datatilsynets vurdering af, at en forening som helt klart udgangs- punkt ikke kan anses for at have et sagligt formål med at skulle opbevare børneattester med anmærkninger i op til et år. Datatilsynet lægger i den forbindelse vægt på, at adgangen til at indbringe en børneattest for seksualkrænkelsesnævnet alene tilkommer den pågældende per- son og ikke foreningen, og at den pågældende person til brug for nævnets vurdering selv skal indsende en kopi af børneattesten. Der ses således heller ikke i dette tilfælde at være et sag- ligt behov for, at foreningen opbevarer børneattesten.

EjendomDanmark oplyser, at det giver anledning til tvivl, om en udlejer må udlevere oplys- ninger om lejere i form af navn og adresse til beboerrepræsentationen i en udlejningsejendom. EjendomDanmark henviser til, at udlejer i henhold til lejeloven er forpligtet til at oplyse be- boerrepræsentationen om, at der er sket lejerskifte, men at der ikke er et krav i loven om, at navn og kontaktoplysninger oplyses. EjendomDanmark anfører, at beboerrepræsentationen i princippet kan kontakte vedkommende på adressen, hvorfor det ikke er strengt nødvendigt, at beboerrepræsentationen får oplysning om navn og kontaktinformation. Det vil imidlertid lette beboerrepræsentationens arbejde samt forholdet mellem beboerrepræsentationen og udlejer, hvis udlejer kan udlevere oplysningen til beboerrepræsentationen.

Det fremgår af lejelovens § 65, at en beboerrepræsentation skal varetage lejernes interesser i forhold til udlejeren og medvirke til at sikre det bedst mulige grundlag for samarbejdet mel- lem lejeren og udlejeren. Videre fremgår det, at beboerrepræsentationen i den forbindelse bl.a. skal holdes orienteret, når der foretages genudlejning af lejligheder i ejendommen. Det er Da- tatilsynets vurdering, at det vil være sagligt og relevant, at en udlejer videregiver oplysninger om navn og adresse til en beboerrepræsentation ved lejerskifte, bl.a. henset til beboerrepræ- sentationens opgaver i henhold til lejeloven, og at videregivelsen kan ske med hjemmel i in- teresseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Dog skal udle- jer være opmærksom på, hvis der er tale om oplysninger, som er navne- og adressebeskyt- tede efter CPR-loven.

14.3 Ikke kategoriserede spørgsmål

Dansk Erhverv og IT-branchen anfører, at der er usikkerhed omkring anonymisering af data og forespørger, hvornår data er anonyme, herunder om syntetiske data kan siges at være ano- nyme.

Personoplysninger er anonyme og falder uden for databeskyttelsesreglerne, hvis ingen fysisk person kan identificeres ud fra oplysningerne i sig selv eller i kombination med andre oplys- ninger. De adskiller sig således fra pseudonymiserede oplysninger, som er oplysninger, der i sig selv ikke kan henføres til en bestemt fysisk person, men hvor anvendelsen af supplerende oplysninger vil gøre dette muligt, og som derfor er omfattet af databeskyttelsesreglerne.

Hvis der med udtrykket ’’syntetiske data’’ menes data i form af konstruerede/fiktive datasæt, som er skabt ud fra rigtige data, og har bevaret ligheder hermed, men som ikke er personhen- førbare og dermed ikke alene eller ved anvendelsen af hjælpemidler kan benyttes til at iden- tificere en fysisk person, vil syntetiske data være anonyme og således ikke være omfattet af databeskyttelsesreglerne.

Danske Advokater har givet udtryk for at være i tvivl om opfyldelsen af forpligtelser efter da- tabeskyttelsesforordningen i forhold til personoplysninger, der indgår i en konkursramt virk- somhed, f.eks. om kurator har pligt til at besvare indsigtsanmodninger.

Det følger af Datatilsynets praksis, at kurator også i databeskyttelsesretlig forstand som ud- gangspunkt må antages at træde i ledelsens sted i en konkursramt virksomhed, og at der som følge heraf som udgangspunkt ikke indtræder krav om f.eks. opfyldelse af en oplysningspligt i anledning af konkursen som sådan, da der ikke er tale om en videregivelse af oplysninger. Heri ligger dog også, at kurator som enhver anden dataansvarlig i øvrigt vil skulle overholde databeskyttelsesforordningen, herunder tage stilling til f.eks. indsigtsanmodninger fra registre- rede.

Danske Medier oplyser, at når dataansvarlige vil anvende cookies på en hjemmeside, er det påkrævet at indhente et samtykke i overensstemmelse med ePrivacy-direktivet og databeskyt- telsesforordningen. Disse regler og de konkrete forhold på en hjemmeside eller anden digital tjeneste har betydning for, hvordan man indhenter et juridisk gyldigt samtykke. Forskel på da- tabeskyttelsesimplementering og fortolkning på tværs af lande og datatilsyn medfører ulige konkurrencevilkår. Dette er tilfældet med det danske datatilsyns fortolkning, idet det tilsynela- dende er det eneste tilsyn i EU (så vidt vides), der kræver granuleret valgmuligheder i første lag (og ikke i det næste lag) i forbindelse med cookiesamtykke til flere formål.

Det følger af databeskyttelsesforordningens artikel 4, nr. 11, at et samtykke skal være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse fra den registrerede.

Det er Datatilsynets opfattelse, at et samtykke ikke kan antages at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til behandling af personoplysninger til forskellige formål, og den registrerede dermed tvinges til at give samtykke til samtlige formål. Samtykke skal med andre ord opfylde princip- pet om granularitet.

I Datatilsynets afgørelse fra februar 2020 om Dansk Meteorologisk Instituts (DMI) behandling af personoplysninger om hjemmesidebesøgende udtalte tilsynet – efter at sagen havde været forelagt Datarådet – at det samtykke, der blev indhentet ved DMI’s løsning, ikke gav de besø- gende et tilstrækkeligt frit valg i forhold til at kunne identificere og til- og fravælge, hvilke for- mål den besøgende reelt ønskede at give samtykke til. Datatilsynet noterede sig i den forbin- delse, at det var muligt at til- og fravælge indsamling af personoplysninger til forskellige formål ved at vælge funktionen ”Vis detaljer”, men at denne mulighed var placeret ”et-klik-væk”, og det dermed ikke var muligt ved det indledende besøg på hjemmesiden. Datatilsynet udtalte endvidere, at en sådan et-klik-væk fremgangsmåde ikke er gennemsigtig, da det dels kræver et ekstra skridt for den registrerede at afslå at give samtykke til behandling af personoplysnin- ger, dels ikke er klart for den registrerede, at det er muligt at undlade at give samtykke til be- handling af personoplysninger ved at vælge ”Vis detaljer”.

I forhold til at Datatilsynet generelt skulle anlægge en strengere praksis for så vidt angår kra- vet om, at den besøgende skal have mulighed for at give særskilt samtykke til forskellige be- handlinger i samtykkeløsningens første lag, er tilsynet ikke bekendt med, at andre tilsynsmyn-

digheder skulle anlægge en mere lempelig praksis. Det er Datatilsynets umiddelbare opfat- telse, at tilsynet ikke er det eneste tilsyn, som er af den overbevisning, at dataansvarlige, som indhenter samtykke ved behandling af oplysninger om hjemmesidebesøgende til flere forskel- lige formål, som udgangspunkt skal give brugerne mulighed for at foretage et granuleret valg i samtykkeløsningens første lag.

Datatilsynet skal imidlertid understrege, at en vurdering af en hjemmesides behandling af per- sonoplysninger, herunder vurderingen af om betingelserne for samtykke er opfyldt, altid hviler på en konkret stillingtagen i det enkelte tilfælde. Det er derfor vanskeligt på generel basis at diktere udformningen af en hjemmesides samtykkeløsning, idet Datatilsynet ikke på forhånd kan afvise, at der i visse situationer kan være omstændigheder, som nødvendiggør en an- derledes fremgangsmåde til indsamling af samtykke.

Datatilsynet er endvidere opmærksom på de udfordringer, der består i at skabe en ensartet forståelse og anvendelse af de databeskyttelsesretlige regler på tværs af de europæiske lande, hvor f.eks. problemstillinger vedrørende behandling af personoplysninger om hjem- mesidebesøgende fortsat er relativt nye og derfor måske kan give anledning til forskellige op- fattelser. Dette er samtidig en af grundene til, at Datatilsynet har et stort fokus på, at reglerne på området overholdes, og tilsynet forventer således også at offentliggøre flere afgørelser om behandling af personoplysninger om hjemmesidebesøgende i 2021, ligesom tilsynet forventer at iværksætte flere sager af egen drift vedrørende emnet.

DGI forespørger, fra hvilken alder et barn selv kan afgive personoplysninger uden godken- delse fra forældre.

Når den dataansvarlige – f.eks. en forening – behandler personoplysninger om et barn på bag- grund af et samtykke, skal den dataansvarlige overveje, om barnet selv kan give samtykke, eller om samtykket skal indhentes hos indehaveren af forældremyndigheden.

Denne vurdering skal tage udgangspunkt i det enkelte barns modenhed og vil således være en konkret vurdering i det enkelte tilfælde. Som det klare udgangspunkt vil et barn på 15 år have tilstrækkelig modenhed og forståelse til at give samtykke på egne vegne. I enkelte til- fælde vil yngre børn dog også have den fornødne modenhed til at give samtykke på egne vegne, hvis den behandling, der gives samtykke til, er let overskuelig og er forbundet med minimale risici – eksempelvis sædvanlige foreningsaktiviteter.

EjendomDanmark er i tvivl om, hvorvidt offentligt tilgængelige adresseoplysninger nyder be- skyttelse i medfør af databeskyttelsesreglerne.

Hvis en oplysning – enten alene eller i kombination med andre oplysninger – kan henføres til en bestemt person, er der tale om personoplysninger omfattet af databeskyttelsesreglerne, herunder reglerne i GDPR. Dette gælder således også oplysninger om en persons adresse, uanset om oplysningen måtte være offentligt tilgængelig.

Alt andet lige skal en adresse, som er tilgængelig i et offentliggjort register, imidlertid ikke un- dergives samme sikkerhedsforanstaltninger, som en hemmelig (beskyttet) adresse. Det følger endvidere af Datatilsynets praksis, at private dataansvarlige som udgangspunkt lovligt kan ind- samle, registrere, bearbejde og videregive personoplysninger, herunder adresser, der er ind- hentet fra offentligt tilgængelige registre som eksempelvis Statstidende, CVR, Bilbogen, Mo- torregistret o. lign.

Kræftens Bekæmpelse oplyser, at afgrænsningen af, hvornår en frivillig optræder på vegne af den dataansvarlige, kan være svær at foretage og implikationerne heraf endnu sværere at omsætte til virkelighed ude i den enkelte forening.

Hvis man er ansat eller arbejder som frivillig for en forening, vil det som udgangspunkt være foreningen og ikke den fysiske person, som betragtes som dataansvarlig.

PROSA oplyser, at det er problematisk, at sundhedsdata er undtaget fra GDPR, da sundheds- data er noget af det mest følsomme data.

Sundhedsdata, hvorved der forstås helbredsoplysninger, er omfattet af databeskyttelsesfor- ordningen (GDPR). Helbredsoplysninger er i forordningens artikel 9 kategoriseret som en føl- som oplysning. Det er i den forbindelse ikke afgørende, om der måtte være anden (national) lovgivning, som tillige regulerer behandling af sundhedsdata, f.eks. reglerne i sundhedsloven. Databeskyttelsesforordningen forudsætter i mange tilfælde, at der i national lovgivning fast- sættes nærmere supplerende regulering.

Document Metadata

Table of Contents

Bidrag fra Datatilsynet

Document Metadata