Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny regulering om lokationskrav for it-systemer i den offentlige forvaltning

Bech Bruun
08/07/2020
Ny regulering om lokationskrav for it-systemer i den offentlige forvaltning
Bech Bruun logo
Den nye bekendtgørelse samt tilhørende vejledning om lokationskrav til it-systemer i den offentlige forvaltning fastslår omfanget af lokationskravet, og afløser dermed den gamle ”krigsregel”.


Den tidligere persondatalov indeholdt en såkaldt ”krigsregel” i § 41, stk. 4, hvorefter der skulle træffes foranstaltninger, der muliggjorde bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende i relation til behandlinger af oplysninger for den offentlige forvaltning, som var af særlig interesse for fremmede magter. Den praktiske effekt heraf var, at sådanne it-systemer skulle opbevares i Danmark.


Ny regulering


Med GDPR og databeskyttelsesloven blev ”krigsreglen” erstattet af en mulighed for, at Justitsministeren kunne implementere en lignende, men mere tidssvarende regel, jf. databeskyttelsesloven § 3, stk. 9. Dette er sket nu, da den nye bekendtgørelse samt den tilhørende vejledning slår fast, at data der behandles i en række specifikke it-systemer skal opbevares i Danmark.

Med virkning af d. 3. juli 2020, skal nedenstående it-systemer føres i Danmark:

  • DeMars

  • Digital Post

  • MitID

  • NemLog-in3

  • Statens Lønløsning.


Det overordnede formål med reguleringen er at sikre, at danske myndigheder altid har adgang til de pågældende it-systemer og dermed mulighed for bl.a. at modvirke uretmæssig udnyttelse eller påvirkning af personoplysningerne i systemet ved at kunne overvåge de personer, der arbejder i systemet, samt sikre at visse personer ikke får adgang til systemet. Derudover skal den lokationsmæssige begrænsning sikre, at dansk ret regulerer it-systemerne.

I relationen til de databeskyttelsesretlige regler, fremgår det af vejledningen og betænkningen til GDPR (nr. 1565), at når et it-system er optaget på ovenstående liste, vil dette falde udenfor de databeskyttelsesretlige reglers anvendelsesområde for så vidt angår opbevaringen (dvs. den overordnede geografiske placering, adgang og opsætning i øvrigt). I relation til dette, er det vigtigt at understrege, at hensynet er statens sikkerhed og derfor alene at sikre, at danske myndigheder er kompetente til at håndhæve lov og ret på det sted, hvor personoplysningerne fysisk opbevares. Der er således ikke tale om almindelig regulering eller fravigelse af anden lovgivning for så vidt angår behandlingen af personoplysninger i øvrigt (fx indsamling, videregivelse, den registreredes rettigheder, almindelige sletterutiner, implementering af sikkerhedsforanstaltninger, mv.). Behandling af personoplysninger i sådanne tilfælde vil derfor fortsat være omfattet af de almindelige databeskyttelsesretlige regler.


Bech-Bruuns kommentarer


På et overordnet plan skaber den nye regulering en længe ventet klarhed ved at indeholde en konkretisering af de omfattede it-systemer, hvilket også var hensigten med implementeringsreglen i databeskyttelsesloven.

Lokationskravet er derfor relevant for myndighedens eksisterende setup, men også ved indkøb af nye it-systemer, ved (gen)udbud og/eller ved outsourcing af it-systemer eller når it-systemerne ændres på en sådan måde, at dette kan karakteriseres som en ”kritisk ændring”. I sådanne tilfælde kan lokationskravet medføre en række forpligtelser for myndigheden, herunder pligt til henvendelse til Justitsministeriet, visitation hos relevante ressortmyndigheder, lokationsmæssig konsekvensanalyse, mv.

Det skal understreges, at lokationskravet for it-systemer ikke finder anvendelse på it-systemer, der ikke behandler personoplysninger, eller it-systemer, der føres for private.

Læs bekendtgørelsen her.

Læs vejledningen her.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2022 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted