Lov om tilgængelighedskrav for produkter og tjenester § 51

Behandling af personoplysninger er omfattet af databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 og lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Databeskyttelsesforordningen og databeskyttelsesloven gælder for behandling af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk (elektronisk) databehandling, og for anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Det foreslås i § 51, stk. 1, at kontrolmyndigheden i kontroløjemed kan indsamle og behandle, herunder samkøre, oplysninger fra andre offentlige myndigheder og fra offentlige tilgængelige kilder.

Med bestemmelsen i stk. 1 foreslås det, at den relevante kontrolmyndighed kan indsamle, behandle og foretage samkøring af data i kontroløjemed. Med den foreslåede bestemmelse i stk. 1 vil der være tale om en national særregel for behandling af personoplysninger, der er omfattet af databeskyttelsesforordningens artikel 6. Det er vurderingen, at der er mulighed for at indføre den foreslåede bestemmelse i overensstemmelse med databeskyttelsesforordningen og dennes rammer. Vurderingen har taget udgangspunkt i kriterierne, som fremgår af betænkning nr. 1565 om databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning i forhold til udarbejdelse af nye nationale særregler for behandling af ikke-følsomme personoplysninger, jf. betænkning nr. 1565, del I, bind 1, side 166 ff.

Det bemærkes i den forbindelse, at de relevante kontrolmyndigheders behandling af personoplysninger i henhold til den foreslåede bestemmelse vurderes at have hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, idet der er tale om offentlig myndighedsudøvelse, som kontrolmyndighederne som dataansvarlige er blevet pålagt.

Det bemærkes i øvrigt, at det følger af databeskyttelseslovens § 8, stk. 1, at der for den offentlige forvaltning kan behandles oplysninger om strafbare forhold, hvis behandlingen er nødvendig for varetagelsen af myndighedens opgaver.

Foruden ovenstående skal personoplysningerne behandles inden for rammerne af databeskyttelsesforordningens artikel 5, herunder inden for principperne om lovlighed, formålsbegrænsning og dataminimering, og samme forordnings kapitel III om de registreredes rettigheder.

Indsamling og behandling af data vil lette udførelsen af de kontrolopgaver, som den enkelte kontrolmyndighed har. Bestemmelsen i stk. 1 kan alene anvendes i det omfang, at indsamling og behandling er relevant og proportionalt i forhold til myndighedens kontrolopgaver. Det er hensigten med bestemmelsen, at der indsamles og behandles oplysninger vedrørende virksomheder eller ikke-følsomme oplysninger om personer, herunder enkeltmandsvirksomheder. Bestemmelsen er dog ikke begrænset hertil og kan således omfatte enhver type oplysning, herunder også andre personoplysninger.

Indhentelse, behandling og samkøring af personoplysninger sker under hensyntagen til de almindelige principper i databeskyttelseslovgivningen. De oplysninger, som de relevante kontrolmyndigheder vil behandle kan være personoplysninger omfattet af databeskyttelsesforordningens artikel 6. I praksis vil der være tale om bl.a. navne, kontaktoplysninger og oplysninger vedrørende enkeltmandsvirksomheder.

Det foreslås i stk. 2, at kontrolmyndigheden i kontroløjemed kan behandle, herunder samkøre oplysninger, som myndigheden, ud over de tilfælde, der er nævnt i stk. 1, er i besiddelse af.

Det foreslåede stk. 2 omfatter alle øvrige oplysninger, som den relevante kontrolmyndighed er i besiddelse af. Det kan eksempelvis være oplysninger, som erhvervsdrivende har indberettet til kontrolmyndigheden, som følge af indberetningspligter i henhold til anden lovgivning, eller det kan være kontrolsager, hvor kontrolmyndigheden har indsamlet oplysninger fra erhvervsdrivende. Reglen vil blive anvendt til at udnytte den relevante kontrolmyndigheds eksisterende oplysninger til at styrke kontrollen på tværs af myndighedens områder.

For så vidt angår forholdet til den databeskyttelsesretlige regulering henvises til bemærkningerne til stk. 1, der ligeledes gælder for stk. 2.

Det foreslås i stk. 3, at kontrolmyndigheden i kontroløjemed kan behandle, herunder samkøre, ikke offentligt tilgængelige oplysninger fra offentlige og private virksomheder og erhvervs- eller forbrugerorganisationer.

På baggrund af den foreslåede bestemmelse i stk. 3 rettes kontrolindsatsen derhen, hvor regelefterlevelsen er lavest. Kontrolmyndighederne har derfor behov for, at der kan indhentes data, som f.eks. kan indgå i risikomodeller til brug for planlægning af en effektiv kontrol med regelefterlevelsen på området.

Den foreslåede bestemmelse i stk. 3 sikrer dermed hjemmel til, at der fra offentlige og private virksomheder, erhvervs- eller forbrugerorganisationer kan indhentes og samkøres ikke-offentligt tilgængelige oplysninger, herunder også fra udenlandske aktører.

Det forudsættes med bestemmelsen, at indhentning og samkøring af ikke-offentligt tilgængelige oplysninger kun anvendes i de tilfælde, hvor det har sammenhæng med kontrolmyndighedens kontrolopgaver. Samkøring af oplysninger vil ske under hensyntagen til de almindelige principper i databeskyttelseslovgivningen. For så vidt angår forholdet til den databeskyttelsesretlige regulering henvises til bemærkningerne til stk. 1, der ligeledes gælder for stk. 3.

Den foreslåede bestemmelse i stk. 3 skal anvendes under iagttagelse af reglerne i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter (retssikkerhedsloven). Det følger således bl.a. af retssikkerhedslovens § 10, stk. 1, at hvis der er konkret mistanke om, at en enkeltperson eller juridisk person har begået en lovovertrædelse, der kan medføre straf, gælder bestemmelser i lovgivningen m.v. om pligt til at meddele oplysninger til myndigheden ikke i forhold til den mistænkte, medmindre det kan udelukkes, at de oplysninger, som søges tilvejebragt, kan have betydning for bedømmelsen af den formodede lovovertrædelse.

Endelig sker indsamlingen og samkøringen af data under hensyntagen til forvaltningslovens § 32 om forbuddet mod, at den, der virker inden for den offentlige forvaltning, skaffer sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes arbejde.