Forarbejder til Databeskyttelsesloven § 22
Reglerne om de registreredes rettigheder, som fremgår af databeskyttelsesforordningens kapitel III finder anvendelse på behandling efter lovforslaget. For nærmere om gennemsigtig oplysning og processuelle spørgsmål om registreredes rettigheder, jf. forordningens artikel 12, se betænkningen, side 262-279, oplysningspligt ved indsamling hos den registrerede, jf. forordningens artikel 13, se betænkningen, side 279-296, om oplysningspligt, hvis personoplysningerne ikke er indsamlet hos den registrerede, jf. forordningens artikel 14, se betænkningen, side 296-312 samt om indsigtsretten, jf. forordningens artikel 15, se betænkningen, side 315-325, 373-374 samt 387-389.
Lovforslagets § 22, stk. 1 og 2, svarer stort set til persondatalovens § 30, § 32, stk. 1, og § 39, stk. 3.
I lovforslagets § 22, stk. 1 og 2, er fastsat regler om, i hvilket omfang den dataansvarlige kan gøre undtagelse fra den oplysningspligt og indsigtsret, som følger af databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4 og artikel 15.
Lovforslagets stk. 1 og 2 har for så vidt angår databeskyttelsesforordningens artikel 13, stk. 1-3, og 14, stk. 1-4, kun betydning, hvis underretning af den registrerede ikke kan undlades efter undtagelsesbestemmelserne i artikel 13, stk. 4, artikel 14, stk. 5, og for indsigtsretten efter artikel 15, hvis retten ikke kan undlades efter artikel 15, stk. 4.
I den forbindelse henvises specifikt til det anførte i betænkningen, side 294, 307-311 og 323-324. Opmærksomheden henledes i den forbindelse på det anførte på side 310, hvorefter forordningens artikel 14, stk. 5, litra d, ses at indebære en undtagelsesmulighed, der svarer til den gældende persondatalovs § 32, stk. 2, (se lovforslagets § 22, stk. 3) om indsigtsretten med henvisningen heri til offentlighedslovens § 35, der indebærer, at der ikke er indsigt i sager omfattet af særlige bestemmelser om tavshedspligt, såsom skatteforvaltningslovens § 17. Samme undtagelse ses således med henvisningen til ”lovbestemte tavshedspligt” i forordningens artikel 14, stk. 5, litra d, at være indført vedrørende oplysningspligten efter artikel 14 – en undtagelse, der ikke er gældende i dag, da persondatalovens § 29, stk. 2 og 3, og § 30 om undtagelser fra oplysningspligten ikke indeholder en undtagelsesmulighed svarende til persondatalovens § 32, stk. 2.
Indskrænkningen i den dataansvarliges eller dennes repræsentants oplysningspligt efter lovforslagets § 22, stk. 1 og 2, kan kun ske på baggrund af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelserne. Afvejningen må foretages for hver enkelt oplysning for sig med den virkning, at der, såfremt sådanne hensyn kun gør sig gældende for en del af de i databeskyttelsesforordningens artikel 13, stk. 1-3, og artikel 14, stk. 1-4, nævnte oplysninger, skal gives den registrerede meddelelse om de øvrige oplysninger.
Afvejningen af de modstående interesser i forbindelse med begrænsningen af indsigtsretten må tillige foretages for hver enkelt oplysning for sig med den virkning, at den registrerede, såfremt afgørende hensyn til private eller offentlige interesser kun gør sig gældende for en del af de oplysninger, som behandles hos den dataansvarlige, skal gøres bekendt med de øvrige oplysninger. Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte former for behandling af oplysninger fra indsigtsretten.
Efter bestemmelsen i stk. 1 kan undtagelse fra bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, og artikel 15, gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
I afvejningen indgår som nævnt på den ene side den registreredes interesse i at få kendskab til de i databeskyttelsesforordningens artikel 13, stk. 1-3, og artikel 14, stk. 1-4, nævnte oplysninger. Heroverfor står på den anden side hensynet til private interesser, herunder til den pågældende selv. De private interesser, som kan beskyttes efter bestemmelsen, er såvel den dataansvarliges som tredjemands interesser.
Som private interesser, der bl.a. vil kunne begrunde hemmeligholdelse, kan nævnes afgørende hensyn til forretningshemmeligheder, afgørende hensyn til andre involverede personer end den registrerede – f.eks. et mindreårig barn af den registrerede – og afgørende hensyn til forebyggelse, efterforskning og forfølgning af lovovertrædelser samt beskyttelse af vidner.
Endvidere vil bl.a. afgørende hensyn til en dataansvarlig, der indsamler oplysninger om den registrerede, kunne begrunde hemmeligholdelse, eksempelvis hvis formålet med indsamlingen forspildes, hvis den registrerede får kendskab til indsamlingen.
I stk. 1 fastsættes det endvidere, i hvilket omfang den dataansvarlige kan undlade at give den registrerede ret til indsigt efter forordningens artikel 15. Af bestemmelsen følger, at den registrerede ikke har krav på indsigt, hvis vedkommendes interesse i at få kendskab til oplysninger findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Efter en konkret vurdering vil det være muligt at nægte indsigt i oplysninger, hvis dette vil medføre, at virksomhedens forretningsgrundlag, forretningspraksis eller know-how derved vil lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at nægte indsigt i interne vurderinger af, hvorvidt virksomheden på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille særlige vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at nægte indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en kunde kan vindes, eller et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en lånekontrakt.
Vedrørende den indsigtsret, der følger af forordningens artikel 15, stk. 1, litra h, om information om forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, vil den dataansvarlige eksempelvis ikke være forpligtet til at udlevere oplysninger, som må anses for at være forretningshemmeligheder, eller som er beskyttet efter den immaterielle lovgivning, herunder ophavsretsloven.
Med anvendelsen af udtrykket »afgørende« i bestemmelsen er det tilkendegivet, at undtagelse fra oplysningspligten og indsigtsretten kun kan gøres, hvor der er nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning.
Efter bestemmelsen i stk. 2 kan undtagelse fra bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, og artikel 15 tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig hensynet til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed, beskyttelse af retsvæsenets uafhængighed og retssager, forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv, kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i nogle af de tilfælde, der er omhandlet ovenfor, beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, og håndhævelse af civilretlige krav.
Bestemmelsen fastsætter – ligesom bestemmelsen i stk. 1 – at indskrænkning i den dataansvarliges eller dennes repræsentants oplysningspligt kun kan ske på grundlag af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen. På baggrund af en sådan afvejning vil undtagelse kunne gøres, hvis der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning.
I bestemmelsen fastsættes det endvidere, i hvilket omfang den dataansvarlige kan undlade at give den registrerede ret til indsigt. Indskrænkningen i den registreredes adgang til at blive gjort bekendt med de i forordningens artikel 15, nævnte oplysninger, kan efter bestemmelsen kun ske på grundlag af en konkret afvejning af de modstående interesser. Der kan endvidere også ske undtagelse fra indsigtsretten efter artikel 15, stk. 1, litra h, som omhandler indsigt i forbindelse med automatiske afgørelser, herunder profilering, som omhandlet i forordningens artikel 22, stk. 1 og 4.
I afvejningen om særligt undtagelse fra indsigtsretten efter forordningens artikel 15 indgår som nævnt på den ene side den registreredes interesse i at få kendskab til oplysningerne. Hermed sigtes ikke blot til den registreredes interesse i kendskab til oplysningerne i forbindelse med overvejelser om indbringelse af en sag, hvori de indsamlede oplysninger indgår, for domstolene, højere administrativ myndighed, vedkommende tilsynsmyndighed eller Folketingets Ombudsmand, men også til den registreredes interesse i at kunne kontrollere oplysningernes rigtighed med henblik på den dataansvarliges anvendelse af oplysningerne.
Med anvendelsen af udtrykket »afgørende« i bestemmelsen er det tilkendegivet, at undtagelse fra oplysningspligten og indsigtsretten kun kan gøres, hvor der er nærliggende fare for, at offentlige interesser vil lide skade af væsentlig betydning.
Med udtrykket »afgørende hensyn« tilsigtes kongruens med den tilsvarende afvejning af modsatrettede hensyn, som skal foretages efter offentlighedslovens § 8 om egenacces og forvaltningslovens § 15, § 15 a og § 15 b, om undtagelse af oplysninger fra aktindsigt.
I overensstemmelse med forordningens artikel 23, stk. 2, skal den dataansvarlige i videst muligt og relevant omfang – når der konkret gøres undtagelse fra oplysningspligten og indsigtsretten efter både stk. 1 og 2 – forsøge at tage højde for de hensyn, som følger af artikel 23, stk. 2, inden for det livsområde, som den dataansvarlige vil begrænse.
Dette betyder eksempelvis, at den dataansvarlige er forpligtet til at overveje, hvilke risici der er forbundet med undtagelse fra oplysningspligten eller indsigtsretten for den registrerede, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra g. Således f.eks. om der vil være en risiko for, at de indsamlede oplysninger er forkerte.
Endvidere vil den dataansvarlige eksempelvis i forbindelse med undtagelse fra indsigtsretten af hensyn til andres frihedsrettigheder kunne underrette den registrerede om denne begrænsning, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra h.
Endelig påhviler det direkte efter bestemmelserne i stk. 1 og 2 den dataansvarlige at tage hensyn til rækkevidden af de indførte begrænsninger, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra c, idet den dataansvarlige skal foretage en konkret vurdering af, om der er afgørende hensyn for hver enkelt oplysning for sig.
I bestemmelsens stk. 3 fastsættes det, at oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed i forvaltningen.
Bestemmelsen svarer til persondatalovens § 32, stk. 2.
Bestemmelsen er indsat for at sikre, at forvaltningsmyndigheders behandling af oplysninger kan undtages fra den registreredes ret til indsigt i samme udstrækning som efter offentlighedslovens regler om egenacces, jf. offentlighedslovens § 8.
Det forudsættes, at bestemmelsen også kan anvendes på myndigheder, som ikke er undergivet offentlighedsloven, når disse myndigheder udfører administrativ sagsbehandling.
Det forudsættes endvidere, at bestemmelsen også kan anvendes på Procesbevillingsnævnet, uanset at dette er et uafhængigt nævn, der virker i nær tilknytning til domstolssystemet.
Det foreslås i stk. 4, at databeskyttelsesforordningens artikel 13-15 ikke finder anvendelse på behandling af oplysninger, der foretages for domstolene, når disse handler i deres egenskab af domstol.
I forbindelse med retternes judicielle funktioner er der således en generel undtagelse fra databeskyttelsesforordningens regler om oplysningspligt i artikel 13-14 og om indsigtsret i artikel 15.
Oplysningspligten og indsigtsretten, jf. databeskyttelsesforordningens artikel 13-15, vil omvendt i det hele omfatte domstolenes administrative forhold. Oplysningspligten og indsigtsretten efter forordningen gælder således den teknisk-administrative behandling af oplysninger ved domstolene. Dette indebærer bl.a., at administrativ sagsbehandling vil være omfattet af oplysningspligten og indsigtsretten efter databeskyttelsesforordningen.
Bestemmelsen ligger inden for rammerne af databeskyttelsesforordningens artikel 23 og er fastsat under hensyntagen til domstolenes særlige status og den detaljerede procesregulering, der i forvejen findes i retsplejeloven. Hensynet til den registrerede rettigheder bliver således, i forbindelse med retternes judicielle funktioner, iagttaget i tilstrækkelig grad ved reglerne i retsplejeloven.
Det bemærkes, at lovforslagets regler om den registreredes indsigtsret ikke finder anvendelse på behandling af personoplysninger, som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, jf. forordningens artikel 2, stk. 2, litra d.
Bestemmelsens stk. 5 fastsætter, at visse særlige typer af behandling af oplysninger ikke er undergivet den registreredes indsigtsret (forordningens artikel 15), ret til berigtigelse (artikel 16), ret til begrænsning af behandling (artikel 18) eller ret til indsigelse (artikel 21), jf. databeskyttelsesforordningens artikel 89, stk. 2.
Justitsministeriet skal hertil bemærke, at det er ministeriets vurdering, at en national regel om begrænsning af hensyn til videnskabeligt eller statistisk øjemed kan fastsættes inden for rammerne af forordningens artikel 89, stk. 2, jf. artikel 89, stk. 1.
Efter bestemmelsen er der således gjort undtagelse fra visse af de registreredes rettigheder, når oplysninger udelukkende behandles i videnskabeligt eller statistisk øjemed.
Bestemmelsen i stk. 6 indebærer, at bestemmelsen i databeskyttelsesforordningens artikel 34 om underretning af brud på persondatasikkerheden til den registrerede i enkelttilfælde kan suspenderes, så længe en underretning af den registrerede konkret må antages at vanskeligøre efterforskningen af strafbare forhold.
Bestemmelsen forudsætter, at politiet f.eks. som led i en anmeldelse af et strafbart forhold – eksempelvis omfattet af straffelovens § 193 om forhold, der fremkalder omfattende forstyrrelse i driften af bl.a. informationssystemer – er blevet bekendt med, at et brud på persondatasikkerheden har fundet sted. I det omfang politiet konkret vurderer, at en underretning af de berørte registrerede ville vanskeliggøre den videre efterforskning, vil politiet kunne træffe beslutning om at underretningspligten efter databeskyttelsesforordningens artikel 34 skal udsættes over for den eller de berørte dataansvarlige.
Bestemmelsen er alene tiltænkt et snævert anvendelsesområde og forudsætter, at der foretages en samlet vurdering, hvor der tages hensyn til de – til dels modstridende – interesser og hensyn, der er knyttet efterforskningen af det relevante strafbare forhold, omfanget og karakteren af bruddet på persondatasikkerheden samt antallet af berørte registrerede.
I det omfang politiet konkret finder, at en underretning af de registrerede ikke bør finde sted, vil der alene være tale om en udsættelse af den dataansvarliges underretningsforpligtelse. Politiet vil således være forpligtede til løbende at vurdere, hvornår en underretning vil kunne finde sted samt til at fremme efterforskningen, bevissikringen mv. med henblik på at begrænse perioden, hvor underretningen er udsat mest muligt. Det forventes, at der i reglen ikke vil være behov for at udsætte underretning i mere end få dage eller uger.
Det følger af bestemmelsens 2. pkt., at en beslutning om udsættelse alene kan træffes af politiet, hvorfor en dataansvarlig, der egenhændigt afdækker en brist på persondatasikkerheden vil være henvist til at indgive politianmeldelse herom, hvorefter bestemmelsen vil kunne bringes i anvendelse, hvis politiet vurderer, at betingelserne herfor er opfyldt.
Beslutning efter bestemmelsen træffes af den politikreds, der forestår efterforskningen.
Bestemmelsen ligger inden for rammerne af databeskyttelsesforordningens artikel 23 om bl.a. begrænsning af underretningspligten i artikel 34 og foreslås for at undgå, at en underretning af registrerede om sikkerhedsbrud vil vanskeliggøre efterforskningen af et muligt strafbart forhold i forbindelse med sikkerhedsbruddet. Der kan her også henvises til forordningens præambelbetragtning 88, hvor det anerkendes, at tidlig videregivelse af oplysninger om brud på sikkerheden unødigt kan vanskeliggøre retshåndhævende myndigheders efterforskning af omstændighederne ved et brud på persondatasikkerheden. Undtagelsen i stk. 6 er som nævnt begrænset til det tidsmæssigt nødvendige af hensyn til at undgå vanskeliggørelse af efterforskningen af strafbare forhold.
Der henvises i øvrigt til afsnit 2.4. i lovforslagets almindelige bemærkninger.
