Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets



Relaterede dokumenter
Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Indledningsvis vil Finansrådet takke for muligheden for at afgive bemærkninger til grund- og nærhedsnotatet.

KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Kommissionens forslag til generel forordning om databeskyttelse

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DEN EUROPÆISKE UNION

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 91,

Aftale vedrørende fælles dataansvar

Behandling af personoplysninger

IT- og Telestyrelsen Holsteinsgade København Ø.

! Databehandleraftale

Retsudvalget L 68 endeligt svar på spørgsmål 2 Offentligt

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Standardvilkår. Databehandleraftale

Persondatapolitik Vordingborg Gymnasium & HF

B I LAG. KL s bemærkninger til de enkelte artikler i Kommissionens forslag til generel forordning om databeskyttelse

Resultatet af afstemningen om ovennævnte lovgivningsmæssige retsakt er vedlagt denne note. Referencedokument:

Rigsarkivets konference 2. november 2016

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Justitsministeriet Slotsholmsgade København K Danmark. Att. Christian Fuglsang, og

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

Databehandleraftale (v.1.1)

Bilag A Databehandleraftale pr

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Justitsministeriet Slotsholmsgade København K.

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Persondata politik for GHP Gildhøj Privathospital

Tilsynsbesøget fandt sted den 9. november 2018.

Bilag X Databehandleraftale

GDPR og borgerne og arkiverne og arkivloven

Bilag B Databehandleraftale pr

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondatapolitik for Aabenraa Statsskole

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

BILAG 14: DATABEHANDLERAFTALE

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondataforordningen - set med danske øjne

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

DIREKTIVER. under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 113,

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondatapolitik for Tørring Gymnasium 2018

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Justitsministeriet Slotsholmsgade København K. Sendt til:

Modernisering af momsreglerne for e-handel mellem virksomheder og forbrugere på tværs af grænserne. Forslag til RÅDETS GENNEMFØRELSESFORORDNING

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Rådet for Den Europæiske Union Bruxelles, den 10. marts 2017 (OR. en)

Rådet for Den Europæiske Union Bruxelles, den 1. december 2016 (OR. en)

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Databehandleraftale. Databehandleraftale webcrm, Maj Side 1 / 9

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Justitsministeriet Att. Nanna Due Binø Slotsholmsgade København K. Sendt pr. til

UDKAST TIL UDTALELSE

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Europaudvalget EUU Alm.del EU Note 27 Offentligt

12852/18 HOU/ks ECOMP.2.B. Rådet for Den Europæiske Union Bruxelles, den 22. november 2018 (OR. en) 12852/18. Interinstitutionel sag: 2016/0406 (CNS)

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

KOMMISSIONENS DELEGEREDE AFGØRELSE (EU) / af

Persondatapolitik på Gentofte Studenterkursus

10/01/2012 ESMA/2011/188

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

Rådet for Den Europæiske Union Bruxelles, den 3. maj 2018 (OR. en)

Overblik over persondataforordningen

Kontraktbilag 3. Databehandleraftale

GML-HR A/S CVR-nr.:

Aftale omkring behandling af persondata.

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Sundheds- og Ældreministeriet Holbergsgade København K Danmark med kopi til

Forsikring & Pension Philip Heymans Allé Hellerup

(Ikke-lovgivningsmæssige retsakter) FORORDNINGER

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Persondatapolitik for Odense Katedralskole

Transkript:

Sendt via e-mail: jm@jm.dk Justitsministeriet Slotsholmsgade 10 1216 København K 27. juni 2012 S531 - D41229 Att.: fm. Christian Wiese Svanberg Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets j.nr. 2012-3756-0005 Realkreditrådet og Realkreditforeningen (herefter benævnt organisationerne) har med tak modtaget Justitsministeriets brev af 11. maj 2012 vedlagt EU-Kommissionens ovenstående forslag til forordning samt grund- og nærhedsnotat om samme. Organisationerne er generelt positive over for Kommissionens initiativ til en opdatering af det gældende databeskyttelsesdirektiv (95/46/EF). Direktivet er fra 1995, og vi kan støtte, at EUlovgivningen på området for persondatabeskyttelse i højere grad kommer til at afspejle den teknologiske udvikling siden da. Samtidig betyder valget af forordning som form, at der sikres en ensartet regulering på området. Generelt er vi imidlertid bekymrede over, at Kommissionens nye forslag virker meget omfattende og unødigt bureaukratisk. Vi vurderer, at der kan blive tale om mærkbare nye administrative byrder for virksomhederne, der ikke modsvares af tilstrækkelige positive effekter af forslaget. Udover de administrative omkostninger vil forordningen i sin nuværende form også betyde behov for en betydelig it-udvikling. Det er blandt andet tilfældet i forhold til retten til dataportabilitet, jf. art 18. I den forbindelse er vi helt enige, når Justitsministeriet i grund- og nærhedsnotatets pkt. 8 angiver, at der er behov for en nærmere vurdering af, om forslaget skaber den rette balance mellem hensynet til databeskyttelsen og en række andre væsentlige hensyn. Vi finder det ligeledes meget positivt, at Justitsministeriet samme sted skriver, at man fra dansk side vil arbejde for, at omkostningerne ved forslaget reduceres i forhold til Kommissionens forslag. Det er organisationernes holdning, at det er vigtigt at foretage en grundig undersøgelse af, hvorledes den rette balance opnås. Herunder er det væsentligt at der sikres det rette forhold mellem de administrative byrder og den nytteværdi, der ønskes opnået. Forordningen vurderes ikke at have den rette proportionalitet i sin nuværende udformning.

Da der er tale om en forordning, antager vi, at den nuværende persondatalovgivning viger i sin helhed. Vi har derfor noteret os, at forslaget til forordning vil indebære ophævelse af og/eller væsentlige ændringer i den eksisterende danske persondatalovgivning. Derudover vil der kunne opstå en lang række afgrænsnings- og fortolkningsvanskeligheder i forhold til gældende dansk lovgivning. F.eks. vurderer organisationerne, at der vil blive tale om en ophævelse af kapitel 9 i Lov om finansiel virksomhed. Dette kapitel indeholder en række bestemmelser om videregivelse af fortrolige oplysninger samt adgang til udveksling af sædvanlige oplysninger. Det er imidlertid uklart, hvilken betydning ophævelsen af disse bestemmelser kan få. Blandt andet gælder der det forhold, at reglerne i FIL omfatter oplysninger om både fysiske og juridiske personer, hvorimod forordningen afgrænses til kun at finde anvendelse på oplysninger om fysiske personer. Det er vores umiddelbare holdning, at der bør iværksættes en grundig analyse af afgrænsninger og afledte effekter i forhold til den eksisterende lovgivning. Før et sådan analysearbejde er afsluttet, er det yderst vanskeligt af fastslå den reelle betydning af indførelsen af forordningen. Herudover vil vi fremhæve følgende særlige forhold ved forslaget: Artikel 7 - samtykke Artikel 7, stk. 1: Det fremgår af artikel 7, stk. 1, at den registeransvarlige har bevisbyrden i forhold til, at den registrerede har afgivet sit samtykke til behandlingen af vedkommendes personoplysninger til de angivne formål. Artikel 4, nr. 8, definerer samtykke som enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling. I forhold til det gældende direktivs definition (artikel 2, litra h) er udtrykkeligt og baseret på en klar erklæring eller bekræftelse blevet tilføjet. I Kommissionens begrundelse for forslaget, pkt. 3.4.1., fremgår, at kriteriet udtrykkeligt er tilføjet for at undgå en forvirrende sidestilling med utvetydigt samtykke og for at opnå en fælles og ensartet definition af samtykke, så den registrerede gøres opmærksom på, at og til hvad han eller hun afgiver sit samtykke. Det efterlader det indtryk, at Kommissionen sigter på at gøre reglerne for afgivelse af samtykke mindre fleksible. Teksten er ikke klar, men en forståelse kunne være, at der f.eks. skal indhentes samtykke hver eneste gang, et realkreditinstitut behandler personoplysninger om en kunde. Hvis dette er tilfældet, vil der være tale om en mærkbar forøgelse af de administrative byrder, som ikke kun er til hinder for virksomhederne, men også for kunderne, som skal afgive væsentligt flere samtykkeerklæringer end nu. 2

De ændrede krav til samtykke bør kun gælde fremadrettet. Artikel 7, stk. 4: Det fremgår af artikel 7, stk. 4, at Samtykke tilvejebringer ikke et retsgrundlag for behandling, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige. Det fremgår af præamblens betragtning 34, at skævhed består, hvis der er et afhængighedsforhold mellem den registrerede og den registeransvarlige, og at en sådan afhængighed blandt andet består i ansættelsesforhold. Vi finder det generelt problematisk, at den almindelige aftalefrihed underlægges specifikke gyldigheds- eller ugyldighedsbetingelser. I ansættelsesforhold giver det anledning til en række problemstillinger, som f.eks. opbevaring og anvendelse af personlighedstests etc. I forhold til finansielle virksomheder er det helt afgørende, at det fastslås, at skævhed/afhængighed ikke er til stede i forholdet mellem en kunde/potentiel kunde og den finansielle virksomhed. Den finansielle virksomhed skal fortsat have mulighed for at indhente et gyldigt samtykke til behandling og videregivelse af oplysninger. Artikel 15 - retten til indsigt Det fremgår af artikel 15, stk. 1, at Den registrerede har til enhver tid ret til efter anmodning at få bekræftet fra den registeransvarlige, om personoplysninger vedrørende vedkommende behandles. Vi finder, at denne artikel bør suppleres med en bestemmelse i stil med den nuværende persondatalovs 33, hvorefter den registrerede først har krav på indsigt 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri. Artikel 17 og 18 retten til at blive glemt og dataportabilitet Forslaget til forordning indfører en række helt nye og mere vidtgående rettigheder, f.eks. artiklerne 17 og 18, der omhandler retten til at blive glemt og adgangen til dataportabilitet. Vi finder, at udkastet er uklart formuleret på disse områder, og at det ikke er oplagt, hvordan man skal forholde sig til omfanget af disse rettigheder. Der er brug for en præcisering af disse bestemmelser, f.eks. i forhold til undtagelsesbestemmelserne til retten til at blive glemt. Bestemmelserne kan i sin nuværende form komme til at betyde, at realkreditinstitutterne skal opdele modtagne oplysninger i, hvad der skal slettes efter færdigbehandling af en given efterspørgsel, eller hvis kunden tilbagekalder et samtykke. Derudover vil der også være behov for, at kunne adskille de oplysninger, som institutterne skal slette, og de oplysninger, som institutterne er forpligtede til at opbevare i henhold til anden lovgivning, f.eks. registreringer i forhold til forpligtelser i hvidvasklovgivningen. 3

Artikel 31 - anmeldelse af brud på datasikkerheden Det fremgår af artikel 31, stk. 1, at Ved brud på persondatasikkerheden anmelder den registeransvarlige uden unødig forsinkelse og om muligt senest 24 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Anmeldelsen til tilsynsmyndigheden ledsages af en begrundelse, hvis den ikke er indgivet inden for 24 timer. I artikel 4, nr. 9, defineres brud på persondatasikkerheden som brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet. Vi mener, at det bør overvejes at tilføje en bagatelgrænse til denne definition. Udover 24-timers fristen er der også krav i artikel 31, stk. 3, litra a-e, om, at meddelelsen skal indeholde en række oplysninger, herunder en beskrivelse af konsekvenser og afhjælpningsforanstaltninger. Det forekommer som en noget urealistisk og uhensigtsmæssig frist, da de fornødne oplysninger næppe foreligger inden for 24 timer. Den dataansvarlige bør mere hensigtsmæssigt anvende ressourcer på at analysere og begrænse skaden, frem for at bruge kræfter på anmeldelse af bruddet. Artikel 33 konsekvensanalyse vedrørende databeskyttelse Det fremgår af artikel 33, stk. 1, at Hvis behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, gennemfører den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, en konsekvensanalyse af den planlagte behandling, for så vidt angår beskyttelse af personoplysninger. Dette vil uundgåeligt medføre øgede administrative omkostninger, men omfanget heraf er uklart på grund af de meget brede og upræcise formuleringer. Artikel 35 - databeskyttelsesansvarlige Artikel 35 indebærer, at der fremover skal udpeges såkaldt databeskyttelsesansvarlige i blandt andet større virksomheder (over 250 beskæftigede). Denne forpligtelse eksisterer ikke i dag, og ud fra artiklerne 36 og 37 virker det umiddelbart som ganske omfattende administrative opgaver, der skal varetages af den databeskyttelsesansvarlige. Der er brug for en nærmere analyse af de administrative omkostninger ved dette forslag. 4

Derudover er det betænkeligt, at Kommissionen mener, at der skal være tale om en særlig databeskyttelsesansvarlig. Det er uhensigtsmæssigt, at der på de enkelte områder skal oprettes en ny funktion. Det er en uhensigtsmæssig tendens, hvis Kommissionen vil kræve, at der skal udpeges en særlig ansvarlig for samtlige ansvarsområder. Artikel 39 - certificering Det fremgår af artikel 39, at der stilles krav om, at virksomhederne i højere grad bruger certificeringer. Det egentlige omfang af denne bestemmelse er dog stadig uklart, da Kommissionen i bestemmelsen tillægges beføjelser til at vedtage de nærmere forhold omkring anvendelsen af denne bestemmelse samt mulighed for at fastsætte de nødvendige tekniske standarder. Derudover er det uklart, hvorfor der skulle være behov for en certificeringsordning. Kontrol af virksomhedernes overholdelse af lovgivningen bør som hidtil være en tilsynsopgave. Artikel 79 - administrative sanktioner Artikel 79 indeholder reglerne om administrative sanktioner. Det fremgår af artikel 79, stk. 2, at Den administrative sanktion skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Det foreslåede niveau for disse bøder (op til 1.000.000 EUR eller 2 pct. af omsætningen) forekommer imidlertid meget højt og ude af proportioner. Det kan blandt andet nævnes, at der i henhold til artikel 79, stk. 4, kan udstedes en bøde på op til 250.000 EUR eller 0,5 pct. af den globale omsætning, hvis den dataansvarlige ikke i tilstrækkelig grad opfylder betingelserne vedrørende indsigtsret. Vi har noteret os, at Justitsministeriet i grundnotatets pkt. 4 angiver, at for Danmarks vedkommende vil anvendelsen af sanktioner som nævnt i forslagets artikel 79 i givet fald skulle ske i form af udenretlige bødeforlæg. Datatilsynet har ikke en sådan adgang efter gældende ret, og det vil således kræve en lovændring med henblik på at etablere denne adgang i overensstemmelse med forslaget. Dette underbygger blot, at det ikke er dansk retstradition, at en administrativ myndighed har mulighed for at udstede bøder i denne størrelsesorden. Vi er derfor enige i Justitsministeriets bemærkning i grundnotatets pkt. 8 om, at dette element af forslaget må overvejes med henblik på at sikre, at de foreslåede administrative sanktionsniveauer er i overensstemmelse med proportionalitetsprincippet. 5

Artikel 86 - delegerede retsakter Det fremgår af udkastets art. 86, stk. 2, at der er delegeret beføjelser til Kommissionen på hele 26 områder. Lignende lovgivningsmæssige løsninger er set på andre nylige retsakter, f.eks. i CRD IV-forslagene, men er ikke desto mindre problematiske. En så massiv delegation til Kommissionen af den videre regulering (detailregler) efterlader et ufuldstændigt indtryk af forordningen. Det skaber endvidere en stor usikkerhed omkring muligheden for, at medlemsstaterne og dermed de nationale interessenter vil blive inddraget i tilstrækkelig grad. Vi kan derfor støtte, at Justitsministeriet i grundnotatets pkt. 8 nævner omfanget af de delegerede retsakter som et af de elementer, hvis rækkevidde og nærmere indhold må søges afklaret under de kommende forhandlinger. Vi står naturligvis til rådighed, såfremt Justitsministeriet har uddybende spørgsmål til vores høringssvar. Med venlig hilsen Jeppe Torp Vestentoft Realkreditrådet Heidi Holmberg Realkreditforeningen 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback