Nummer: 11

BEHOV FOR FORHÅNDSBESKED OM VIRKSOMHEDERS PÅTÆNKTE BEHANDLINGER AF PERSONDATA

Mange virksomheder er usikre på, om deres persondatatiltag er tilstrækkelige. Derfor anbefaler Regelforum, at virksomhederne kan indhente forhåndsbesked om, hvorvidt deres initiativer er tilstrækkelige til efterlevelse af reglerne.

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges

Virksomheder og organisationer oplever stor usikkerhed om, hvordan de skal efterleve databeskyttelsesreglerne i praksis. Dette skyldes bl.a., at reglerne i loven og EU-forordningen er meget generelle. Det er bl.a. risikoen for bøder og erstatningskrav, der medfører, at virksomheder oplever, at de aldrig er helt i mål. 

For at imødegå denne usikkerhed, har Datatilsynet udgivet en lang række temavejledninger og giver også i begrænset omfang vejledning. Men dette er ikke tilstrækkeligt i forhold til efterspørgslen samt manglen på konkret vejledning.  

Virksomheder oplever desuden, at usikkerheden om fortolkning gør sig gældende, når de søger råd fra eksperter og rådgivere. 

Virksomheder vil med muligheden for en forhåndsbesked få en lang større sikkerhed for, at deres persondatatiltag er i overensstemmelse med reglerne. Dette gælder navnlig for små og mellemstore virksomheder, hvor fx rådgiveromkostninger vejer betydeligt.
 

Anbefaling

Regelforum anbefaler, at erhvervsdrivende kan indhente forhåndsbeskeder vedrørende GDPR. Dette vil medføre, at vejledningen i højere grad ensrettes med udgangspunkt i den gældende praksis hos Datatilsynet. 

En løsning vedrørende forhåndsbeskeder kan tage udgangspunkt i eksisterende erfaringer hos henholdsvis SKAT og Forbrugerombudsmanden.

Den bindende forhåndsbesked praktiseres hos SKAT. I dette tilfælde kan spørgeren imod et beløb på 400 kr. få et juridisk bindende svar på en konkret problemstilling. 

Den ikke-bindende forhåndsbesked praktiseres på markedsføringsområdet hos Forbrugerombudsmanden. I dette tilfælde beskytter forhåndsbeskeden den erhvervsdrivende imod, at Forbrugerombudsmanden kan gribe ind på baggrund af en foranstaltning, som er dækket af forhåndsbeskeden og iværksat inden rimelig tid efter dennes afgivelse.

Potentiale

Offentliggørelse af forhåndsbeskederne vil medføre mulighed for at andre kan gøre nytte af disse.

Relevant regulering

Databeskyttelsesloven og EU-persondataforordning. 

Yderligere oplysninger

En mulighed for forhåndsbesked kan kræve flere ressourcer til den relevante myndighed.

Svar til Regelforum

Anbefalingen vil blive behandlet som led i Justitsministeriets igangværende nationale evaluering af databeskyttelsesreglerne. Således fremgår det af Justitsministeriets procesplan for en national
evaluering af databeskyttelsesreglerne af 7. april 2020 (EUU Alm. del – Bilag 561), at ministeriet vil undersøge muligheden for at indføre en ordning, hvorefter Datatilsynet på anmodning kan afgive udtalelse om sin vurdering af lovligheden af en påtænkt behandlingsaktivitet.

Evalueringen forventes offentliggjort primo 2021.

Der tages forbehold for et evt. behov for ændringer i selve regelgrundlaget, da dette i så fald vil betyde en længere implementeringsperiode.

Regeringens afrapportering på anbefaling

Anbefalingen er behandlet i delrapport om national evaluering af databeskyttelsesreglerne, som Justitsministeriet afgav 29. januar 2021 til Folketingets Europaudvalg (EUU Alm. del, bilag 269, 2020-21).

Heraf fremgår det bl.a., at det efter Justitsministeriets vurdering ikke vil være foreneligt med databeskyttelsesforordningen at indføre en generel ordning, hvor Datatilsynet skal meddele en bindende udtalelse om lovligheden af en påtænkt aktivitet, der indebærer en behandling af personoplysninger. Endvidere er det Justitsministeriets vurdering, at det kan give anledning til tvivl, om der inden for rammerne af databeskyttelsesforordningen kan indføres national regulering, som formaliserer rammerne for Datatilsynets konkrete vejledning, herunder muligheden for at fremkomme med ikke bindende forhåndstilkendegivelser. Under alle omstændigheder er det dog Justitsministeriets opfattelse, at en sådan yderligere regulering, som i givet fald vil kunne gennemføres inden for rammerne af databeskyttelsesforordningen, må forventes at have en meget begrænset merværdi i forhold til den konkrete vejledning, som Datatilsynet allerede udøver. Efter Datatilsynets opfattelse er det således allerede i dag en del af tilsynets opgaver at yde konkret vejledning, herunder fremkomme med ikke bindende forhåndstilkendegivelser.