bloghoved ole tange

Har vi brug for at sende personoplysninger uden for EU?

Schrems II-dommen giver et vink med en vognstang om, at man skal holde sig fra at sende persondata uden for EU.

I dotcom-boblens dage havde vi behov for en udvekslingsaftale. Hvis man var en lille startup i Silicon Valley, så havde man ikke råd til lave en europæisk afdeling eller at sætte sit eget datacenter op i Europa.

Men det har ændret sig: Idag koster det under 1000 kr at leje sig ind på en server i Europa. Selv hvis man ønsker at leje sig ind hos en udbyder, der alene opererer i EU, og derfor er svær for NSA at presse til at udlevere data. Et europæisk kontor kan bestå af en enkelt deltidsansat, der arbejder hjemmefra. Og dermed behøver det ikke at være dyrere at ansætte en europæer end at ansætte en amerikaner. Prisen for at have en europæisk afdeling er således blevet langt mindre end i år 2000.

Den europæiske afdeling skal alene stå for at drifte servere i Europa og sende statistiske/anonymiserede data til hovedkvarteret i USA, som så kan bruges til at lave rapporter eller lave softwaren bedre med. Det ville give skub i udvikling af privacy-by-design teknikker, så flere data kunne sendes til USA uden at de var persondata.

Hvis der er behov for support, så vil der også skulle ansættes europærere til det - i hvert fald hvis det ikke blot er generel support, men de skal have fingrene nede i kundernes data.

Det burde være nok til rigtigt mange situationer, hvor man idag sender persondata til USA. F.eks. for Google Analytics og lignende software, der leverer oplysninger til en organisation om organisationens kunder/besøgende/ansatte. Hvis man har brug for at sammenkøre data, så kan man udnytte, at USA ikke har så stramme persondataregler og simpelthen flytte alle data til EU, lave sammenkørslen her, og så generere en rapport til USA.

Jeg kan godt se nogle situationer, hvor det ikke er nok. F.eks. hvis jeg gerne vil dele mit Facebook-opslag med folk uden for EU; så vil jeg naturligvis gerne have, at Facebook kopierer mit opslag (incl. mit navn) uden for EU. Men rigtigt mange af mine Facebook-opslag ville jeg havde det fint med kun var synlige i EU, og det kunne godt være default for mig.

Hvilke situationer ser du, hvor man ikke bare kan installere en kopi af softwaren i et datacenter i Europa og derved holde persondata i EU? Har du oplevet nogle af dem i virkeligheden?

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Steffen Andersen

Min kommentar er nok ikke lige i den sammenhæng som Ole Tange tænker, fordi han nævner Schrems II, som direkte vedrører USA. Men det er også overskriften jeg hæfter mig ved.

Jeg har i en årrække boet i Fjernøsten. Jeg har meget svært ved (ofte helt umuligt) at få mine egne persondata fremsendt til mig herude og jeg kommer aldrig til Danmark og kan hente dem selv. Det har kostet mig en masse spildtid og ofte har jeg måttet give op at få mine egne persondata. Det har selvfølgelig store økonomiske og helbredsmæssige konsekvenser.

Det er ifølge EU lovteksterne en fratagelse af mine frihedsrettigheder fra mig.

Det burde lovmæssigt ikke være noget problem at få sine egne persondata sendt uden for EU. Det er det da heller ikke´ifølge lovteksterne som jeg læser dem. Det må faktisk anses for ulovligt og i strid med EU retten at nægte at sende mine egne persondata til mig uden for EU.

Nu bliver det lovteknisk. Jeg holder det kort, så der er små ubetydelige unøjagtigheder.

Som hovedregel får jeg aldrig en lovmæssig begrundelse for, hvorfor jeg ikke kan få mine egne data. Men nu og da henvises der til GDPR uden artikel nummer.

GDPR (Genreal Data Protection Regulation) er ifølge præamblen (eller hvad den nu hedder på dansk) punkt 1 baseret på EU charter om grundlæggende rettigheder (2012/C 326/02) (Herefter kaldet Charteret) dele af artikel 8 stk 1.

Ifølge EU Lissabon traktataten artikel (6) er Charteret en del af EU lovgivningen siden 1. december 2009. Note: Charteret er opdateret i 2012.

Så når man fortolker GDPR så skal man overholde Charteret. Charteret artikel 8, sektion 2, sidste sætning siger at "Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf. "

Så Charteret siger jeg har ret til adgang til mine egne persondata. Mange danske myndigheder og firmaer hævder, at de kan/skal nægte mig adgang til mine egne persondata på grund af GDPR.

Heldigvis har Charteret forudset den lov konflikt og i artikel 54 i Charteret står at "Intet i dette charter må fortolkes, som om det medførte ret til at indlade sig på en aktivitet eller udføre en handling med sigte på at tilintetgøre de rettigheder og friheder, der er anerkendt i dette charter, eller at begrænse disse rettigheder og friheder i videre omfang, end der er hjemmel for i dette charter. "

Så Charteret siger helt klart, at med GDPR som værktøj må man ikke begrænse mine muligheder for at se mine egne persondata. Fordi GDPR er lovmæssigt baseret på en enkelt linje i Charteret.

Det er som jeg ser det også det der er baggrunden for at GDPR i artikel 32, sektion 1, som sætter nogle hovedregler for databehandling af persondata, har indsat "samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder . " Disse ord glemmes ofte.

Jeg vil undlade at gå ind på undtagelserne i GDPR artikel 49, som i en række tilfælde tillader fremsendelse af data uden for EU, uden at transmissionen overholder de øvrige regler i GDPR.

For god ordens skyld så er ovenstående udlægning af EU retten så vidt jeg ved ikke afprøvet ved nogen domstol i EU.

Så jeg mener der er brug for at sende persondata uden for EU. Jeg memer faktisk, at man ikke lovligt kan undlade at sende persondata uden for EU, når man kommunikerer om persondata med personer uden for EU. Man fratager nogle personer deres frihedsrettigheder på grund af deres opholds sted, hvis man undlader at fremsende deres egne persondata uden for EU.

Undskyld mit rustne dansk.

  • 7
  • 3
#3 Ole Tange Blogger

det kan vel stadig omgås via vpn?

Vi kan ikke sikre, at data ikke kan flyde ud af EU, men vi kan gøre det ulovligt for virksomheder at gøre det.

Så dette handler ikke om, at gøre det ulovligt for dig at bruge en VPN til at se DR, når du er på ferie på Filippinerne. Det handler om, at f.eks. Facebook og lign ikke lovligt skal kunne kopiere vores persondata ud til et sted, hvor vi reelt ikke har kontrol over dem længere. Og om dette reelt vil være et problem.

  • 2
  • 0
#4 Ole Tange Blogger

Man fratager nogle personer deres frihedsrettigheder på grund af deres opholds sted, hvis man undlader at fremsende deres egne persondata uden for EU.

Her ville jeg nok bare oprette en webmail i EU og få sendt informationen dertil, og så tilgå webmailen fra Fjernøsten.

Taler vi om fysisk post, så må der findes videresendelsesservices, der kan løse det.

Og som du korrekt konstaterer, så er mit fokus på virksomheders brug af andres persondata - ikke på din brug af dine persondata.

  • 2
  • 0
#5 Bjarne Nielsen

Det er ifølge EU lovteksterne en fratagelse af mine frihedsrettigheder fra mig.

Jeg er bestemt ikke juridisk kyndig, så tilsæt selv liberale mængder salt til følgende:

Som jeg har forstået det, så er det ikke kun EU-borgere som opholder sig i EU, som GDPR giver rettigheder. Og jeg sidder lige og lytter til en høring i kølvandet på Schrems II, og blev det sagt at "rettighederne rejser med data".

Det lyder derfor på mig, som om at man i dit tilfælde misforstår eller overfortolker reglerne. Jeg er i og for sig ikke overrasket. Problemet er bare, at påtale kræver konkrete krænkelser af konkrete personer, som så skal finde nogle til at påtale netop deres sag - direktivet gav ellers mulighed for at det kunne se på mere princippielt plan, men det blev gjort valgfrit, og blev sjovt nok fravalgt af f.eks. Danmark.

Og selvfølgelig skal persondata kunne flyde ud og ind af EU. Hvordan skulle jeg ellers kunne bestille en bog i USA eller en autocamper i New Zealand?

Hvad der derimod på mig virker helt rimeligt, og som jeg forventer at helt indenfor pladen af både GDPR og Schrems II er, at hvis data skal flyde ud af EU uden at det er nært forbundet til det konkrete formål (læs: autocamper i New Zealand, ikke autocamper i Italien), så skal data være beskyttet mindst lige så godt som de ville være jfr. EU reglerne.

Man kan ikke bare oprette et call-center i Bangalore, og så gå fri af alle regler og forpligtelser. Tværtimod, så påhviler det en, at der bliver passet mindst lige så godt på, hvilket pludselig gør, at man skal løfte en større del af opgaven selv, nemlig den del, som man fik "forærende" i EU. Det synes jeg faktisk ikke er spor synd; det synes jeg faktisk kun er rimeligt.

Lad mig komme med en personlig anekdote: Jeg var ansat i et stort firma, og på et tidspunkt skulle vi - som en lille formalitet uden betydning - skrive under på at vores personaledata kunne behandles udenfor EU. Vi blev af vores umiddelbare ledere garanteret, at data selvfølgelig ville blive i EU. Så kunne jeg da ikke se behovet for at samtykke. Det medførte at jeg fik en telefonopringen fra en jurist, som forklarede mig, at forsat ansættelse ville være betinget af samtykke. Så vigtig var jeg så for firmaet, og de havde da helt ret i deres vurdering af magtforholdet, i hvertfald på den korte bane: jeg valgte at samtykke. Men jeg arbejder ikke der mere, og jeg kommer næppe heller nogensinde til at gøre det igen.

Det understreger efter min mening hele pointen med at sikre, at andre ikke bare kan få fikse ideer med mine persondata, men skal kunne overholde de regler og betingelser, som vi her i vores hjørne af verden finder rimelige.

Lige nu ømmer man da sig også ganske alvorligt, f.eks. virker det til, at Facebook mener at de nuværende regler, som udtrykt f.eks. ved Schrems II, er uforenelig med deres forretningsgrundlag, og at de nok bliver nødt til at trække sig fra EU. Godt så. Det har jeg nu meget svært ved at se, men er det sandt, så er det nok bedst sådan. Ellers har jeg det lidt som en kommentar fra et andet netsted: det lyder som en dominerende og voldelig ægtefælle, som truer med at skride; det kommer desværre aldrig til at ske.

Jeg har før brugt glødepæren som eksempel: da de blev forbudt, spåede mange at Europa indenfor kort tid ville gå en mørk tid imøde, for der fandtes ingen alternativer. Og de første alternativer var da også både ringe og hundedyre. Men i dag er der vist ikke mange, som ønsker glødepæren tilbage. Og sådan har jeg det også med data på global rejse; for at svare på OTs overskrift; nej, det sjældent en nødvendighed at sende data ud af EU - det er som oftest bare noget, som nogen finder bekvemt. Men klagekoret bliver til at høre.

PS:

Undskyld mit rustne dansk.

Nu bliver jeg jo nødt til at gå tilbage og lede efter fejl; jeg faldt ellers ikke over nogen i første gennemlæsning ... ;-).

  • 1
  • 0
#6 Henrik Nielsen

Der er ikke rigtigt nok informationer at gå ud fra, det som Steffen skriver. Men jeg kan da give et generelt overblik, som jeg har lært det i Persondataret på universitetet:

Jeg regner ikke med, at Steffen befinder sig i et sikkert tredjeland. GDPR stiller konsekvent høje krav til offentlige myndigheders ageren, og det gælder, at naturligvis har Steffen ret til at gøre indsigt, men offentlige myndigheder har ikke nogen realistisk hjemmel i lovgivningen/mulighed til at føre data ud af EU, hvis der ikke foreligger en kommissionsafgørelse om tredjelandets sikkerhedsstatus.

Der er en række undtagelser i Forordningens kap. V, art. 49, men de er urealistiske at benytte, og desuden så gælder halvdelen af undtagelserne ikke for offentlige myndigheders behandling af persondata; herunder særligt art. 49(1)a, som siger at det er ok at føre data ud af EU, hvis den registrerede (Steffen) samtykker til det. Men lige netop art. 49(1)a må offentlige myndigheder ikke benytte. Det skyldes egentlig den retsstatus, som medlemslande i EU har, nemlig at EU består af suveræne nationalstater, og hvor der gælder et proportionalitetsprincip (armslængdeprincip). Dvs. at EU ud fra dette princip overlader det til medlemslandene at lovgive om sine offentlige myndigheder, som anses som et nationalt anliggende. Derfor kan GDPR ikke bruges til særligt meget, når det gælder offentlige myndigheder og offentlige registre — her bliver man nødt til at læse den danske lovgivninge på området. Særligt for indsigtsret (egenacces) gælder mange forskellige sæt love for offentlige myndigheder, herunder Persondataloven, Forvaltningsloven og Retsplejeloven.

Steffen bliver derfor nødt til at kigge efter i flere sæt love, hvis han vil have alt data udleveret, da GDPR's indsigtsret faktisk er meget begrænset ift. den udvidede indsigtsret, som man har over for offentlige myndigheder, ved at bede om indsigt efter alle tre regelsæt.

Men nok om det, tilbage til undtagelserne i GDPR, art. 49. Selv hvis Steffen gør indsigt ved en privat virksomhed, så er mange af undtagelserne urealistiske, og den eneste realistiske, art 49(1)/2. afsnit, kan kun bruges én gang, og kun hvis man ansøger Datatilsynet — og får lov. Og igen, den må offentlige myndigheder ikke anvende.

Hvis man skal være lidt sneaky, så skal du foretage din indsigtsbegæring gennem din nærmeste danske ambassade/konsulat. En ambassade er vel teknisk et suverænt territorie, og både i GDPR og Persondataloven har danske diplomatiske repræsentationer i udlandet særstatus, og mit gæt ville være, at der faktisk ikke er tale om en overførsel til udlandet, hvis man sender data dertil. Så hvis du kan overtale din lokale ambassadør til at "repræsentere" dig, så er det måske alligevel muligt.

Under alle omstændigheder kan man altid ansøge Justitsministeren, klage til Datatilsynet, eller gå igennem de danske domstole.

  • 0
  • 1
#7 Steffen Andersen

Ole Tanges Indlæg #4

Tak for dit forsøg på at hjælpe mig og andre ramt af ulovlig omgang med GDPR. Desværre er det ikke løsningen. Hvorfor herunder.

Vedrørende fysisk post, forsvinder der så meget post fra Danmark til Fjernøsten og den anden vej, at fysisk post ikke er en mulighed. Det er faktisk en overtrædelse af GDPR at bruge fysisk post, fordi den forsvundne fysiske post med persondata må påregnes at kunne komme til uvedkommendes kundskab.

En videresendelsesservice løser ikke problemet med fysisk post der forsvinder. Med mindre de håndbærer posten til slutadressen. Det er også omkostningstungt og mange danskere herude er pensionister med begrænsede midler. Det er for omkostningstungt for dem. De får ofte kun folkepension grundbeløb (DKK 6.419.- per måned før skat) plus eventuelt noget ATP, og så er det slut. De har ofte har været beskæftiget i job uden pensionsordninger med hårdt fysisk arbejde. På grund af af lave leveomkostninger herude kan de klare sig og have et meget bedre liv end i Danmark.

I et dødsbo herude opdagede boet først der var et krav mod Udbetaling Danmark, da der kom et brev fra Udbetaling Danmark om at sagen var lukket uden udbetaling, fordi afdøde ikke havde svaret på de 2 tidligere breve om sagen. De 2 tidligere og forsvundne breve var afsendt efter at personen var død. Mange breve til mig forsvinder. Forsendelsestiden på sidste brev fra Danmark (sendt anbefalet) jeg modtog var 4 uger, hvoraf 4 dage i Fjernøsten. Resten i Danmark. Ifølge track and trace fra PostDanmark.

Jeg kan ikke lade være med at tænke over hvor mange tilfælde der er, hvor al korrespondancen forsvinder.

Sidst jeg prøvede at sende flere breve som anbefalet post til Danmark forsvandt alle brevene hos Post Danmark efter at være ankommet til Kastrup.

Så vigtige papirer som skal bruges i legaliseret original får jeg håndbåret og møder så sendebuddet i lufthavnen. Det kan man så ikke lige nu p. gr. a. Covid-19. Med legaliseringer og andre omkostninger har papirerne ofte kostet DKK 1.000,- eller mere per A4 ark. Så det er ikke noget, som man sender med en ustabil postforbindelse.

Forslaget om at bruge webmail. Jeg selv bruger e-mail hos internet udbyder i Danmark. Men det hjælper ikke når myndigheder og firmaer påstår, at e-mail er for usikker at bruge og i strid med GDPR at anvende.

Det er her Charteret of Lissabon traktaten og GDPR præamblen kommer ind. Det er så vidt jeg kan se ulovligt at nægte at bruge e-mail, når der ikke er andre alternativer. Fordi man overtræder Charteret artikel 54 og GDPR. Det betyder så ikke noget i den sammenhæng om e-mail udbyderen er inden for eller uden for EU. Når jeg henter posten er jeg uden for EU og derfor ender data uden for EU. Som er emnet for denne streng. Og som giver mulighed for at bruge undtagelserne i GDPR artikel 49.

Man opdager ofte ikke som bosiddende i Danmark, at der nægtes at sende persondata per e-mail. Fordi enten har man e-boks plus digital offentlig post eller også får man et fysisk brev med postbudet. Så overtrædelsen af GDPR er ikke noget personligt problem.

Når man ikke er resident I Danmark er man ikke forpligtet til at bruge offentlig digital post. Når man opholder sig og rejser i områder, hvor man ofte er uden for internettets rækkevidde i ugevis, er det for risikabelt at have offentlig digital post. Fordi et brev er modtaget af brugeren, når det er modtaget i offentlig digital post (lov om offentlig digital post §10). Når man får 2 uger efter modtagelsen til at svare, så er det ofte efter fristens udløb, når man læser meddelelsen.

Det er også for risikabelt at anvende e-boks og offentlig digital post, fordi det er en service udbudt af et privat firma. Firmaet har ensidigt uden lovgrundlag fastlagt, at et dødsbo kun kan få adgang til e-boks og offentlig digital post med en DANSK skifteretsattest. Den danske skifteret vil ikke have jurisdiktion over et udenlandsk bo (hvis der ikke er dansk fast ejendom i boet) og kan derfor ikke udstede en dansk skifteretsattest. Så dødsboet har ikke adgang til e-boks og offentlig digital post.

Ofte har afdøde efter længere tids sygdom ikke haft overskud til at læse og udskrive sine meddelelser i e-boks. Så sidder boet og afdødes ægtefælle i en klemme.

Derudover kræver e-boks og offentlig digital post, at man har NemID. Det vil sige papkort eller elektronisk nøgle, som sendes til ens fysiske adresse. Men risikoen for at brevet med nøglerne forsvinder er stor.

Undskyld hvis du sidder tilbage med følelsen af at din tråd er blevet hijacket. Det var ikke min mening. Jeg mener du har nogen væsentlige pointer i din blog, men har ikke studeret Schrems II-dommen tilstrækkeligt til at udtale mig med sikkerhed om den.

Men jeg syntes det var væsentligt at få med, at beskyttelsen af persondata som er et stort gode, også anvendes med store skadevirkninger til følge, når man sidder i Langbortistan.

  • 0
  • 3
#8 Steffen Andersen

Bjarne Nielsen # 5

Du har i praksis ret i at GDPR i høj grad gælder for EU-borgere uden for EU. GDPR gælder dog også for ikke EU-borgere. Please se præciseringer herunder.

GDPR gælder for alle levende personer, uanset opholdssted og nationalitet, herunder ikke-EU personer, såfremt databehandlingen sker i EU (artikel 3, sektion 1).

GDPR gælder for alle levende personer der er i EU uanset nationalitet, herunder ikke-EU personer, selv om databehandlingen foretages uden for EU (for eksempel i USA) for visse typer af databehandling (artikel 3, sektion 2). GDPR præciserer ikke hvad der ligger i ordet ”er”.

Men GDPR gælder så vidt jeg kan se ikke for en levende person (1) der opholder sig uden for EU, (2) får sine data behandlet af et datacenter uden for EU og (3) af en organisation uden for EU. Men i praksis er der vist ikke nogen, der vil slå på EU-lovgivning i den sammenhæng.

Charteret gælder for alle personer, uanset nationalitet og opholdssted. Charteret artikel 21, sektion 2, forbyder forskelsbehandling på grund af nationalitet. Så charteret gælder for alle levende personer. Charteret artikel 21, Sektion 1 forbyder forskelsbehandling på grund af stort set enhver anden grund.

Jeg er enig i, at der sker en overfortolkning/fejlfortolkning af GDPR, hvor man glemmer personers fundamentale frihedsrettigheder givet i Charteret.

Jeg er enig i at der kræves en konkret sag, men prøv at lægge sag an i Danmark, når du bor 10,000 km væk og ikke er tilgængelig i ugevis, fordi du er uden for internettets rækkevidde.

At være et Fjernøstligt bo, der anlægger sag i Danmark er en død sild. Når man fremlægger time satserne for en dansk advokat, så er der ingen Fjernøstlig bo administrator, der tør anlægge sag i Danmark. Fordi der ofte er få og små aktiver i boet efter en pensionist.

Jeg er helt enig i dine betragtninger om, at person data skal være beskyttede, når de rejser uden for EU. De skal bare ikke være så beskyttede, at man ikke kan se sine egne persondata, fordi man opholder sig uden for EU. Efter min mening på grund af fejlfortolkning af GDPR.

  • 0
  • 1
#9 Steffen Andersen

Tak til Henrik Nielsen for din kommentar til mit indlæg.

Så vidt jeg kan se så har du hørt godt efter da du blev undervist på universitetet i persondataret. Du har nogen viden om det emne, som er ny for mig. Jeg er selvstuderet og har ikke adgang til dansk litteratur om emnet. Tak for at belyse sagen fra en anden vinkel og undervise mig (og andre?).

Det er korrekt, at der mangler information, for at kunne vurdere sagen om EU borgere der nægtes adgang til person data med GDPR som begrundelse. Det er med vilje. Jeg har eksempler og EU domstols kendelser nok til at skrive en stor bog. Men den er der ikke nogen, der har tid til at læse.

Det er korrekt, at GDPR i artikel 49, sektion 3, begrænser offentlige myndigheders brug af undtagelserne i artikel 49. Det var også derfor jeg ikke gjorde noget særligt ud af dem. Også fordi det hurtigt ender i strid af fortolkninger om meningen af ordene.

Man kan så undre sig over, hvorfor der skal være den undtagelse for offentlige myndigheder, men den er der nu. Det giver du så en forklaring på.

Der er heller ikke brug for at bruge undtagelserne, fordi Charteret artikel 54, så vidt jeg kan se, siger helt tydeligt, at man ikke må misbruge GDPR til at begrænse personers andre fundamentale frihedsrettigheder.

I artikel 26 i direktivet (95/46/EF) som blev afløst af GDPR, var der ikke de begrænsninger for offentlige myndigheder som ligger i GDPR artikel 49 og Lissabon traktaten trådte i kraft i 2009. Problemet er ikke nyt, det har eksisteret i hvert fald i 7 år, at man ikke kan få sine egne persondata fra Danmark.

Jeg har kun oplevet en undtagelse, hvor der ikke var problemer. Den advokat, der behandlede den sag var udenlandsk advokat ansat i et dansk firma. Det tog kun et par timer, da sagen kom på hans bord, så var data udleveret.

Tilbage til GDPR, offentlige myndigheder, og artikel 49, sektion 1 og 3. Undtagelserne for offentlig myndigheder gælder ikke punkterne d, e, f og g. Specielt e med teksten ”overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares” burde kunne bruges i mange tilfælde.

Men almindelige sagsbehandlere hos offentlige danske myndigheder læser tilsyneladende som hovedregel ikke EU tekster. Heller ikke når jeg henviser til dem. Data dukker i hvert fald aldrig op.

Henrik Nielsen skriver om sikre (tredje)lande og den række begrænsninger på dataoverførsel der er. Hvis man godtager den forudsætning, at Charteret artikel 54 skal følges, så må man ikke begrænse at sende egne persondata til en person, fordi vedkommende bor i et ikke sikkert tredjeland.

Realiteten er, at hvis man bruger danske regler om aktindsigt, så bliver man givet aktindsigten, men med GDPR som middel bliver man nægtet at få fremsendt sine egne persondata (aktindsigten). Fordi ens egne persondata skal beskyttes under transmissionen. Samme argument er brugt som grund til ikke at fremsende data udleveret efter offentlighedsloven. Data udleveret efter offentlighedsloven er efter min mening per definition offentlige data, som ikke behøver beskyttelse.

Her løber man ind i, at EU retten har forrang for dansk ret. Hvis en dansk lov siger at A er tilladt, og et EU regulativ/direktiv siger A er forbudt, så er A forbudt. EU retten har højere retskraft end dansk ret. Så derfor kan man ikke med dansk lov med success påstå, at man skal have sine egne persondata på trods af GDPR. Man er nødt til at bruge EU retten, for at overtrumfe EU ret.

Fordi GDPR er baseret på en enkelt sætning i Charteret, så må man ikke overtræde Charterets artikel 54 ved at bruge GDPR til at fratage en fysisk person de rettigheder, som Charteret giver denne person.

Det svarer til at man i en dansk bekendtgørelse ikke må skrive bestemmelser, der overtræder den lov, der er grundlag for at skrive bekendtgørelsen. Så i GDPR må man ikke skrive bestemmelser, der overtræder Charteret.

Med dokumentation af overtrædelse af Lissabon traktatens artikel 6 og Charterets artikel 54, lykkes det til tider efter MEGET lang tid at trænge igennem og få anerkendt, at man har ret til at få sine persondata.

Jeg har ikke brugt det mange gange fordi jeg først fandt Lissabon traktatens artikel 6 for et par år siden, så jeg kunne dokumentere at Charteret havde retsvirkning og ikke kun var en hensigtserklæring.

Alternativt må man bruge undtagelserne i artikel 49. Men dem ignorerer danske myndigheder og firmaer som hovedregel.

Ambassaden er ikke en løsning, fordi afvisning af at sende data ikke er begrundet i ophold i tredjeland, men at man anser e-mail for at være usikker. Uanset hvor i verden jeg bor. Uanset at e-mailen er krypteret med TLS V 1.2, som ifølge Datatilsynet er sikkert nok. https://www.datatilsynet.dk/emner/persondatasikkerhed/ transmission-af-personoplysninger-via-e-mail/

Ambassaden og udenrigsministeriet er faktisk en af de danske organisationer som ikke bruger TLS V1.2, og da jeg henledte opmærksomheden på det ville de ikke rette det.

Forslaget om at bruge ambassaden er prohibitivt dyrt. Ambassaden må ikke løfte en finger for at hjælpe dig uden at skrive en faktura og deres time pris er DKK 970 per time i 2020. De skal starte med at studere lov i mange timer for at kunne hjælpe og den uddannelse skal jeg eller dødsboet betale.

Justitsministeriet siger de ikke har ressourcer til at behandle forespørgsler.

Datatilsynet nægter at transmittere aktindsigt i sager, hvori man er part og man har ret til at se sagens akter (forvaltningsloven §9 og §9b, stk1 med mere), før man afgiver høringssvar. Fordi Datatilsynet i modstrid med Datatilsynets egne retningslinjer siger, at deres egen e-mail ikke er sikker nok. Det er ulovligt, men Datatilsynet er meget hurtige til at fortælle dig, at du ikke kan klage over Datatilsynets afgørelser.

At føre sag herfra ved retten i Danmark er en død sild, som omtalt i indlæg ovenfor.

  • 0
  • 3
#10 Ole Tange Blogger

Det er faktisk en overtrædelse af GDPR at bruge fysisk post, fordi den forsvundne fysiske post med persondata må påregnes at kunne komme til uvedkommendes kundskab.

Formodentlig ja, hvis det er virksomheden, der gør det. Men i dette tilfælde er det dig, der gør det med dine egne data. Det tvivler jeg på, at du vil tabe en sag på, for det vil typiske være dig selv, der er skadeslidte.

Der heller ingen, der siger, at det skal være PostNord, der er skal være din transportør.

Jeg har kendskab til en kinesisk virksomhed, der havde et lignede problem mellem Kina og Nigeria: Posten forsvandt. De testede så forskelle kurervirksomheder, og fandt frem til, at nogle af dem havde samme problem, mens andre ikke havde. (Hvis jeg husker korrekt, så faldt deres valg på DHL).

Så når jeg taler om en vidersendelsesservice, så er det ikke at bede de danske myndigheder om at sende med DHL, men at du betaler din videresendelsesservice om at gøre dette.

Jeg har svært ved at se, hvordan du kan fortolke GDPR så stramt, at du ikke selv må sende dine egne persondata via en usikker kanal.

Ofte har afdøde efter længere tids sygdom ikke haft overskud til at læse og udskrive sine meddelelser i e-boks. Så sidder boet og afdødes ægtefælle i en klemme.

Indtil døden vil man kunne bruge fuldmagt: https://digst.dk/media/20230/digstfuldmagtborgere.pdf

Derudover kræver e-boks og offentlig digital post, at man har NemID. Det vil sige papkort eller elektronisk nøgle, som sendes til ens fysiske adresse.

NemID presser meget på for at man skal benytte deres app. Personligt ville jeg ikke gøre det: Jeg betragter min smartphone lige så usikker som en PC, og hvis en kriminel kan fjernovertage min smartphone ønsker jeg ikke, at han kan benytte mit NemID.

Men dit risikoscenarie kan jo godt være anderledes. Hvis du alene benytter smartphonen til NemID (og måske kun kobler op via VPN til en opdateret firewall i DK), så vil jeg betragte risikoen som begrænset. Dermed bliver papkortet ikke en begrænsning.

Hvis du bor et sted uden pålidelig internetforbindelse og uden pålidelig postforbindelse, så har jeg svært ved at se, hvordan en ændring af EU/DK-lovgivning skulle hjælpe. Der er jeg lidt bange for, at man er f*cked.

  • 2
  • 0
#11 Bjarne Nielsen

Derudover kræver e-boks og offentlig digital post, at man har NemID. Det vil sige papkort eller elektronisk nøgle, som sendes til ens fysiske adresse. Men risikoen for at brevet med nøglerne forsvinder er stor.

Jeg har haft den fornøjelse at møde nogle af dem fra Nets, som har haft den utaknemmelige og umulige opgave, at prøve at nå folk i udlandet med NemID. De kæmpede virkelig, men Kafka var en uforbedrelig superoptimist i sammenligning.

Vi ser igen og igen, hvordan man designer løsninger, som passer et bredt og højlydt flertal, der som oftest allerede har deres på det tørre, og som virkelig ikke kan se, hvorfor de skulle betale ekstra for at de få (f.eks. de, som har været så "tåbelige" at flytte væk fra Danmark, men f.eks. er udsatte hjemløse ofte også voldsomt i klemme) kan få noget, der bare begynder at tangere noget som er tåleligt.

Det er - desværre - på ingen måder isoleret til NemID; det er ganske udbredt. Ofte starter det som et frivilligt tilbud eller supplement, men det tager hurtigt al luften i rummet og al opmærksomhed, og så bliver det hurtigt til, at "hvis man insisterer på at være sær, så er man selv ude om det". Pludselig kommer det, som før var normalt, og som faktisk fungerede, men måske ikke var helt så bekvemt for flertallet, til at fremstå som dyre særordninger, som vi "desværre" ikke har råd til. Og så er frivilligt i praksis blevet til det modsatte.

Kald mig bare gammeldags og nostalgisk, men det var nemmere dengang man kunne få rigtige mennesker i tale. Bevares, de fleste påtog sig gerne og villigt rollen som skrankepaver, men det var muligt at finde en, som man kunne forklare sine problemer for, som ville sige, "ja, det kan jeg godt se problemet i, det har der aldrig været tænkt på, men så gør vi sådan i stedet". Prøv lige det med et voice-response system eller en outsourced support! Eller - gys - med digitaliseringsklar lovgivning og automatiserede afgørelser.

En løsning, som er bekvem for de fleste, men smider et fåtal godt og grundigt under bussen, er efter min mening ikke en løsning, heller ikke selvom der undtagelsesvist skulle være en "businesscase", som ville få selv Martin til at smile.

  • 4
  • 0
#12 Henrik Nielsen

Datatilsynet nægter at transmittere aktindsigt i sager, hvori man er part og man har ret til at se sagens akter (forvaltningsloven §9 og §9b, stk1 med mere), før man afgiver høringssvar. Fordi Datatilsynet i modstrid med Datatilsynets egne retningslinjer siger, at deres egen e-mail ikke er sikker nok. Det er ulovligt, men Datatilsynet er meget hurtige til at fortælle dig, at du ikke kan klage over Datatilsynets afgørelser.

Du kan heller ikke indklage Datatilsynets afgørelser til andre administrative myndigheder — men du kan klage over Datatilsynets sagsbehandling til Folketingets Ombudsmand.

Derudover kan man naturligvis altid bringe Datatilsynets afgørelser for domstolene. Og jeg må — uden på nogen måde at være ekspert — være ærlig at sige, at der er tale om en edge case i dit tilfælde, hvor en domsstolsafgørelse er den eneste måde at få et svar der kan give præcedens ift. borgere der beder om indsigt fra usikre tredjelande.

Og så vil jeg måske opfordre til at undlade at bombardere offentlige myndigheder og organisationer med alenlange beskeder om, at de forbryder sig på den ene lov efter den anden. Det hjælper ikke din sag; og ud fra min læsning af dine beskeder, så lyder det til, at dine anmodninger bliver afvist ikke så meget pga. at persondata føres uden for EU, men fordi man nemt kunne mene, at du hører til under Art. 12(5)b.

  • 1
  • 0
#13 Steffen Andersen

Ole Tange. Indlæg no #10.

Endnu en gang tak for dit forsøg på at hjælpe.

Jeg er helt enig med dig, at GDPR ikke kan fortolkes som, at jeg ikke kan sende mine egne persondata som jeg vil. Det er misforstået, hvis du tror jeg har villet udtrykke det.

I princippet kan jeg sende mine egne persondata inklusive kriminalitets historik (2 parkeringsbøder i København), sundhedsoplysninger og min selvangivelse uden nogen form for beskyttelse på et åbent postkort uden at overtræde GDPR. Som jeg derefter slår op på opslagstavlen i Netto eller offentliggør på nettet. Så derfor sender jeg lystigt mine egne persondata og persondata for personer, hvor jeg har fuldmagt til at gøre det, med e-mail til EU.

Men jeg kontrollerer i svar mails om der anvendes TLS v1.2. Det gjorde Udenrigsministeriet ikke sidst jeg kontrollerede det og på forespørgsel oplyste de, at de ikke ville ændre det.

Firmaer og offentlige myndigheder vil meget gerne bruge fysisk post (postDanmark) til at sende persondata til mig. Det er efter min mening en meget klar overtrædelse af GDPR, når posten forsvinder, men det kan ikke bevises. Fordi firmaer og offentlige myndigheder vil ikke indrømme, at de har sendt brevene som fysisk post. Jeg kan ikke fremlægge min tomme postkasse som bevis på at brevet er forsvundet. Så jeg kan ikke løfte bevisbyrden. Modparten kan påstå, at jeg har smidt brevet ud, og jeg kan ikke modbevise det. Jeg kan igen ikke løfte bevisbyrden.

Jeg har overvejet at bruge DHL eller lignende. Men priserne er prohibitive. Det er meget dyrt at få sendt en kvittering ned, ”tak for din henvendelse, vi vil besvare din henvendelse inden 3 måneder”. DHL og andre internationale kurerfirmaer har kun kontorer i hovedstæderne i de fattige lande herude i Fjernøsten. Så når DHL i hovedstaden får en forsendelse til mig, så putter de den i en kuvert og sender den med posten. Med alle de muligheder der er for at DHL skriver adressen forkert på kuverten. Man bruger ikke latinske bogstaver i landets sprog, men har sit eget alfabet. Jeg opholder mig som regel derude, hvor kragerne for længst er vendt om.

Hvis jeg skal sende med DHL skal jeg poste det til DHL i en hovedstad (og hvordan får jeg så betalt?) eller jeg skal tage til deres kontor i hovedstaden. Så er det ofte lettere at bruge ”privat kurer”, der ser jeg pakker forsendelsen.

Godt eksempel med Kina og Nigeria. Den havde jeg ikke hørt før, men jeg tror på den baseret på mine erfaringer som udstationeret.

Tak for linket til personlig fuldmagt. Det er den slags man ikke hører om herude. Det kræver ved meget hurtig gennemlæsning, at fuldmagtshaveren har Nemid, så man kan ikke give fuldmagt til sin Fjernøstlige ægtefælle/samboer, der ikke har Nemid, fordi ægtefællen/samboer ikke har et dansk CPR nummer (eller CVR nummer).

Det private firma der står for e-boks og digital post vil ikke lade dig lave en fuldmagt til den postkasse efter du er død. Hvilket er i overensstemmelse med dansk ret. Der lukkes når du er meldt død i CPR registeret.

En del af de danskere der er herude har ikke dansk familie, eller har brudt forbindelsen til familien, så de kan/vil ikke give fuldmagt til en person i Danmark. Hvis de havde kontakt til familien ville de sandsynligvis ikke bryde forbindelsen til Danmark og flytte til Fjernøsten, uden økonomisk mulighed for at rejse tilbage på ferie. Jeg selv vil ikke bruge det, fordi mine børn har for travlt med at starte egne firmaer eller ikke kan håndtere det (for meget rodehoveder).

Det er jo heller nødvendigvis sådan, at jeg er særlig interesseret i at lade mine børn vide, hvad jeg er værd. Når jeg optræder som fuldmagtshaver for andre, må mine børn ikke se sagen.

Det skulle heller ikke være nødvendigt, fordi Charteret siger, at jeg ikke må nægtes at få data per e-mail. Du forsøger at hjælpe mig med, hvordan jeg kommer uden om, at danske firmaer og myndigheder overtræder loven og har gjort det i årevis. Tak for det. Men med opdagelsen af Lissabon traktatens artikel 6, så kan man dokumentere, at den anvendte praksis er ulovlig.

Så der skulle ikke være behov for at ændre lovgivningen, men kun behov for at lovgivningen bliver overholdt.

Mange af de danskere der dør herude har ikke overskuddet til at følge med i danske forhold. Det er næsten umuligt selv for personer med godt helbred. Den Fjernøstlige ægtefælle ved som regel endnu mindre. Så en fuldmagt til danske forhold er ikke noget man taler om.

Det er vanskeligt nok, at få folk til at lave et testamente.

App til NemID. Jeg ville som du ikke installere den fordi jeg anser en smartphone for mere usikker end en PC, hvor al privacy er slået til og et papkort.

Jeg har faktisk slet ikke en smartphone, fordi militærstyrerne bruger den til tracke sådan nogen som mig. Der er nogen af de stater herude, som Danmark/EU officielt betragter som demokratier, som reelt er militærdiktaturer. Jeg kan ikke se nogen grund til at betale for en aktive tracking device, så militæret og sikkerhedstjenester kan se hvor jeg har været eller er lige nu.

Jeg ville aldrig installere Appen på en telefon som Fjernøstlige bekendte bruger. Forståelsen af IT sikkerhed er ikke eksisterende (lidt overdrevet, men kun meget lidt). Så alt muligt crap med alle rettigheder er installeret på de smartphones.

Hvor der er internetforbindelser er de som regel pålidelige. Men der ikke dækning i hele Fjernøsten og nogle steder er der meget store huller. Der er ikke meget behov for dækning i jungler og ørkenlignende områder, der ikke er turistområder. Når jeg er den slags steder, så kan jeg ikke få internet. Jeg har ikke råd til min egen private internetforbindelse via satellit og udstyret er for tungt.

  • 0
  • 1
#14 Steffen Andersen

Bjarne Nielsen # 11

Jeg kan slet ikke være uenig med dig. Jeg kunne næsten have skrevet det selv. Jeg kan ikke lade være med at spekulere på hvor i verden du sidder og/eller om du hører til et mindretal, som jeg gør. Du behøver ikke at svare.

Jeg forstår til fulde Nets problemer, jeg har selv siddet med programmer som skulle køre langt væk (i princippet i hele verden) på noget hardware, som ikke nødvendigvis var supporteret i landet.

Med de årlige besparelser som politikerne har lavet næsten hvert år siden omkring 1995 for at få råd til noget nyt, så er det offentlige nødt til at smide noget over bord. Så er det nemt at smide det ud som angår mindretal, specielt de mindretal, som ikke har stemmeret. Som udrejst af Danmark har du ikke stemmeret. Ofte har du ikke stemmeret noget sted i verden.

I Udenrigsministeriet betød det for eksempel at vi ikke længere kan få legaliseret dokumenter på ambassaden, og derefter tage til landets udenrigsministerium og få legaliseret der. Det kunne snildt klares på en uge. Nu skal dokumenter sendes til Danmark for at blive legaliseret og derefter til landets ambassade i Danmark for at blive legaliseret, og så retur til Fjernøsten. Det er meget tidskrævende og dyrt.

Bedste løsning på problemet er at undlade at handle med danske varer og firmaer samt undgå kontakter til danske myndigheder, som kræver legalisering.

Min moder fortalte mig, da jeg var barn, at et godt demokrati kunne kendes på, at det behandlede sine mindretal godt. Hun tænkte på den tid på det tyske mindretal, der på den tid kunne få mandater i folketinget.

Hvis modellen i dag bruges på Danmark i dag, så mener jeg ikke, at Danmark i dag kan betragtes som et godt demokrati, fordi mindretallene behandles dårligt. Alle politikerne er hurtige til at fortælle, at man skal kunne tælle til 90 mandater. I den sammenhæng ofres hensynet til mindretallene uden mandater som hovedregel.

  • 0
  • 1
#15 Steffen Andersen

Jeg er enig med dig i din analyse af klagemuligheder. Jeg gik ikke i detaljer med klagemulighederne, fordi jeg ville forsøge at undlade alenlange tekster.

Præcisering: Om Ombudsmanden gælder, at han ikke behøver at tage sagen op. Du har ikke nogen ret til at få en sag behandlet hos ombudsmanden.

Du kan også klage til EU ombudsmanden.

Jeg er desværre tilbøjelig til at give dig ret om en retssag. Men jeg mener ikke det er så meget en edge sag, som du giver udtryk for, fordi den ikke alene vedører usikre tredjelande. Jeg håber at kunne undgå en retssag. Det er en død sild at føre retssag i Danmark herude fra.

Der er indtil nu 3 offentlige danske myndigheder, der har bøjet sig mere eller mindre for EU lovgivningen, og hos de 2 af dem har jeg faktisk på det seneste fået de aktindsigter, som jeg er uden lovlig begrundelse blevet nægtet af dem for mange år siden at få (fra før GDPR).

Det er en af grundene til, at jeg har detaljeret fremlagt EU retsgrundlaget, så andre kan bruge det som et stykke værktøj. Det har virket, når jeg har brugt det.

Jeg er helt enig med dig i, at det ville være bedst at undgå alenlange skrivelser. Desværre er de ofte nødvendige fordi du skal have læseren til at forstå en helt ny tankegang, som de aldrig har hørt om før.

Du kan heller ikke forklare Einsteins relativitetsteori kort til en, der aldrig har hørt om den og som ikke kan tyde formlerne. Hvis du har et forslag til hvordan jeg kan undgå de alenlange skrivelser, (eventuelt som privat e-mail) så er jeg meget lydhør.

Erfaringen er desværre at korte beskeder ikke virker. Sagsbehandlerne opdager ofte ikke engang, at jeg og/eller boet sidder uden for Danmark og bruger reglerne for personer/bo der behandles i Danmark. Regler der som hovedregel er helt afvigende fra regler for personer uden for riget. Det er i praksis umuligt at få omgjort den beslutning, der er truffet på det forkerte lovgrundlag, uden at skulle igennem en lang klagesag.

Jeg er ikke det mindste nervøs for at nogen skal bruge Art 12(5)b. For at bruge den skulle de referere til den og danske myndigheder begrunder som hovedregel ikke længere deres afgørelser som de skal efter forvaltningsloven §22 og 24.

Det er meget mere effektivt end Art 12(5)b, at undlade at svare. Se for eksempel Parkinsons bøger om Parkinsons love fra cirka 1970? Det mest effektive afslag er ikke at svare.

  • 0
  • 0
#16 Gert Madsen
  • 0
  • 0
#17 Steffen Andersen

Gert Madsen # 16.

Mine fundamentale frihedsrettigheder omfatter naturligvis ikke, at jeg må se andres person data. Jeg har ikke noget gyldigt retskrav på at se andres personlige data. Så andres personlige data må man ikke sende til mig, uanset hvor jeg befinder mig.

Når man læser mine indlæg skal man huske på, at jeg sidder uden for EU og kigger ind i EU boksen. Jeg er modtager fra EU og sender til EU. De fleste læsere er i den omvendte situation, de sender fra EU og modtager fra uden for EU.

Citatet handler om at jeg sender data om mig selv til EU. Mine personlige data er mine egne data og når jeg er afsender, så er der så vidt jeg kan se ikke noget sted i GDPR, som forbyder mig at offentliggøre mine egne persondata. Uanset hvor I verden jeg opholder mig.

Specielt når jeg (1) opholder mig uden for EU og (2) som data behandler er uden for EU og (3) som dataansvarlig er uden for EU og (4) som data ejer (det begreb kender GDPR ikke, så vidt jeg husker) er uden for EU. Så gælder GDPR ikke for mig som lokal databehandler i Fjernøsten, heller ikke som afsender til EU.

Til gengæld skal jeg overholde de lokale data beskyttelseslove herude i Fjernøsten, når jeg sender persondata til EU og databehandler mine egne og familiens persondata herude.

GDPR gælder for dem i EU som sender data til mig og i den sammenhæng er det lige meget om jeg opholder mig i et usikkert tredjeland eller et sikkert land.

Uanset hvor jeg opholder mig i verden må GDPR ifølge Charteret og Lissabontraktaten artikel 6 ikke bruges til fratage mig eller nogen anden levende person sine fundamentale frihedsrettigheder. Som blandt andet omfatter at se sine egne personlige data.

Så som afsender i EU må du ikke nægte at sende mine egne persondata til mig selv. Uanset hvor jeg bor i verden. Ifølge min opfattelse af EU ret.

Så snart du sender data om tredje person til mig, så skal du som afsender i EU, virkelig passe på, for der gælder GDPR ubetinget. Det vil stort set uden undtagelse heldigvis være ulovligt og strafbart at sende data om 3. part til mig. Uanset hvor i verden jeg opholder mig. Fordi der ikke foreligger en databehandler aftale eller anden regel som tillader at sende 3. parts data til mig.

Så du må ikke sende min kones data eller nogen anden persons data til mig fra EU. Det er en overtrædelse af GDPR. Du skal nægte at sende hendes/deres persondate til mig, uanset hvor i verden jeg opholder mig.

Med mindre jeg har fremlagt en fuldmagt, underskrevet af min kone, til at se hendes data, som du har accepteret som en gyldig fuldmagt under EU/dansk lov.

Hvis du som offentlig myndighed eller firma skal sende en sag til mig om mig selv, skal du for at overholde GDPR "vaske" den, så den ikke indeholder ikke-offentlige persondata om andre end mig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere