Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 27, stk. 3, at for
oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller
tilintetgørelse i tilfælde af krig eller lignende forhold.
Med bestemmelsen skete der en videreførelse af den såkaldte »krigsregel« i persondataloven, som indebærer, at der skal træffes
særlige foranstaltninger i forhold til oplysninger med særlig interesse for fremmede magter bl.a. for dermed hurtigt og effektivt
at kunne overtage den almindelige administration, jf. persondatalovens § 41, stk. 4.
Bestemmelsen indebærer, at ikke alle behandlinger vil kunne udføres af en databehandler i udlandet, hvis en sådan overladelse
medfører, at krigsreglen ikke kan iagttages af den dataansvarlige.
Bestemmelsen varetager hensynet til den offentlige sikkerhed og skal fortolkes i lyset af Danmarks EU-retlige forpligtelser.
Det følger endvidere af § 27, stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om
sikkerhedsforanstaltninger. Der er tale om en videreførelse af den gældende bestemmelse i persondatalovens § 41, stk. 5.
Bestemmelsen kan anvendes til at udstede en bekendtgørelse, som skal erstatte den gældende sikkerhedsbekendtgørelse og
sikkerhedsbekendtgørelsen for domstolene i forhold til den behandling af personoplysninger, der er omfattet af loven.
Det følger endelig af § 27, stk. 5, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte regler om, at
personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse,
hvis dette ud fra en samlet vurdering må anses for forsvarligt. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af
de relevante myndigheder, herunder forsvarsministeren.
Med bestemmelsen sikres det, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte nærmere regler om, at
oplysninger, der er omfattet af den foreslåede stk. 3, ikke skal være underlagt et krav om, at det i tilfælde af krig eller
lignende forhold skal være muligt at foretage bortskaffelse eller tilintetgørelse.
Krigsreglen indebærer som nævnt ovenfor, at visse registre – som følge af karakteren af de personoplysninger, som er indeholdt
heri – skal føres i Danmark.
Bestemmelsen i § 27, stk. 5, gør det praktisk muligt for de kompetente myndigheder helt eller delvist at gøre brug af f.eks.
cloud-tjenester, hvor opbevaringen af oplysninger sker på servere i udlandet.
Vurderingen af, om det kan anses for forsvarligt at opbevare de pågældende oplysninger i udlandet, vil navnlig inddrage de
pågældende oplysningers karakter og de tekniske og organisatoriske foranstaltninger, jf. § 27, stk. 2, i lov om retshåndhævende
myndigheders behandling af personoplysninger, som træder i stedet for de foranstaltninger, som ellers skulle have været truffet i
medfør af § 27, stk. 3. Det vil være op til den relevante kompetente myndighed at fremlægge en nærmere begrundelse for, at det er
forsvarligt, at der ikke stilles krav om, at det pågældende register skal føres i Danmark.
Den foreslåede ændring vil medføre, at § 27, stk. 3 og 5, samt den del af bestemmelsens stk. 4, der henviser til stk. 3 i lov om
retshåndhævende myndigheders behandling af personoplysninger, ophæves.
Dette er en konsekvens af, at det er mest hensigtsmæssigt, at der kun gælder én regel for opbevaring af særlige IT-systemer for
både lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven.
Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.
Den nye såkaldte »krigsregel« skal herefter fremadrettet findes i forslag til databeskyttelsesloven.
Det foreslås, at § 27, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger nyaffattes, således at det
herefter fremgår af bestemmelsen, at justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at
personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, helt eller
delvist alene må opbevares her i landet.
Bestemmelsen herom skal afløse krigsreglen efter persondatalovens § 41, stk. 4.
Det er hensigten med den nye udformning af krigsreglen, at IT-systemer – før de tages i brug – af justitsministeren og vedkommende
minister kan sættes på en liste, der optages som bilag til bekendtgørelsen i medfør af stk. 9.
Det er også hensigten, at IT-systemer alene sættes på denne liste, hvis det er vurderet, at det er af hensyn til statens
sikkerhed, at det pågældende system skal føres her i landet. I en sådan situation vil opbevaringen af de pågældende
personoplysninger falde uden for EU-retten og dermed databeskyttelsesforordningen og databeskyttelsesdirektivet.
Det er ikke hensigten, at bestemmelsen skal anvendes for at imødekomme hensyn, der vedrører IT-sikkerheden, idet dette hensyn i
tilstrækkelig grad må forventes tilgodeset i bestemmelserne i forordningen og lov om retshåndhævende myndigheders behandling af
personoplysninger – uafhængigt af om det pågældende IT-system føres her i landet eller i et andet EU-land.
Til nr. 4
Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 37, stk. 2, at
tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.
Det følger dernæst af stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 6 andre
medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år.
Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige
kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.
Bemyndigelsen til, at Datarådet kan fastsætte sin forretningsorden og fordelingen af arbejdet mellem rådet og sekretariatet følger
af stk. 4.
Det følger af stk. 5, at udpegelsen af formand, medlemmer og stedfortrædere for disse er betinget af, at de pågældende
sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.
Der skal som minimum ske en sikkerhedsgodkendelse til klassifikationsgraden HEMMELIGT i overensstemmelse med sikkerhedscirkulæret.
Med bestemmelsen sikres det, at Datarådet kan håndtere oplysninger om de kompetente myndigheders systemer på betryggende vis. Hvis
et medlem mister sin sikkerhedsgodkendelse, vil den pågældende ikke længere kunne være medlem af rådet.
Det følger endvidere af stk. 6, at hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller
ved frivillig fratræden.
Det følger dernæst af stk. 7, at formanden, medlemmer og stedfortrædere for disse alene kan afskediges i tilfælde af alvorligt
embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.
Med bestemmelsen understreges det, at medlemmer af Datarådet skal kunne agere uafhængigt i hele embedsperioden. Der er således
ikke mulighed for at afskedige et medlem som følge af generel utilfredshed med det pågældende medlems beslutninger i rådet.
Det følger endvidere af stk. 8, at sekretariatets personale samt Datarådets formand, medlemmer og stedfortrædere for disse kun kan
have bibeskæftigelse, for så vidt og i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen
eller hvervet.
Bestemmelsen understreger, at tilsynets personale og Datarådets medlemmer skal være uafhængige.
Det følger endelig af stk. 9, at Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.
Den foreslåede ændring vil medføre, at § 37, stk. 2-9, i lov om retshåndhævende myndigheders behandling af personoplysninger
nyaffattes.
Den foreslåede ændring medfører, at reglerne om Datatilsynets sammensætning, uafhængighed mv. fremover bliver reguleret af
reglerne herom i forslag til databeskyttelseslovens § 27, stk. 2-9.
Dette er en konsekvens af, at det er mest hensigtsmæssigt, at reguleringen heraf kun fremgår af ét regelsæt.
Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.
Reglerne i forslag til databeskyttelsesloven er stort set identiske med reglerne i lov om retshåndhævende myndigheders behandling
af personoplysninger.
Det følger dog som noget nyt af forslag til databeskyttelseslovens § 27, stk. 3, at justitsministeren nedsætter Datarådet, som
består af en formand, der er dommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation udnævner
hver ét de 7 andre medlemmer omfattet af 1. pkt. Justitsministeren kan udpege stedfortrædere for medlemmerne. Formanden,
medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og
stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer.
Datarådets sammensætning er således forskellig fra lov om retshåndhævende myndigheders behandling af personoplysninger til forslag
til databeskyttelsesloven.
Som noget nyt skal erhvervsministeren og ministeren for offentlig innovation tillige med justitsministeren udpege medlemmer til
Datarådet, hvilket bl.a. er for at sikre, at det tilstræbes, at der udpeges et eller flere medlemmer med erfaring inden for
informationssikkerhed og anvendelse af data i praksis. Den faglige kvalifikation i Datarådet sikres samtidig yderligere ved, at
der er 8 medlemmer i rådet.
Det følger af forvaltningslovens § 10, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes,
om der kan gives aktindsigt i dokumenter og oplysninger i videre omfang, end hvad der følger af §§ 12-15 b. Der kan gives
aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov
om behandling af personoplysninger.
Det foreslås, at henvisningen til persondataloven i forvaltningslovens § 10, stk. 1, ændres som følge af, at persondataloven
ophæves. Henvisningen skal således tilpasses databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om
retshåndhævende myndigheders behandling af personoplysninger.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Til nr. 2
Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en
anden forvaltningsmyndighed gælder reglerne i § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 i lov om behandling af
personoplysninger, jf. denne lovs § 1, stk. 3.
Bestemmelsen fastslår således, at persondatalovens videregivelsesregler også gælder for manuel videregivelse af personoplysninger
til en anden forvaltningsmyndighed.
Det foreslås, at henvisningen til en række bestemmelser i persondataloven ændres til de nu tilsvarende bestemmelser, som både
fremgår af databeskyttelsesforordningen og forslag til databeskyttelsesloven. Ændringen er en konsekvens af, at persondataloven
ophæves og databeskyttelsesforordningen samt forslag til databeskyttelsesloven finder anvendelse den 25. maj 2018.
Der er med ændringerne ikke tilsigtet en ændring af retstilstanden. Således vil manuel videregivelse af personoplysninger skulle
foretages inden for rammerne af de nævnte bestemmelser i lovforslaget, mens automatisk behandling af personoplysninger skal
foretages inden for rammerne af databeskyttelsesforordningen og forslag til databeskyttelsesloven. Endelig skal automatisk
behandling af personoplysninger foretages inden for rammerne af lov om retshåndhævende myndigheders behandling af
personoplysninger, når behandlingen er inden for denne lovs anvendelsesområde, jf. lovens § 1, stk. 1.
Der er således tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Til nr. 3
Det følger af forvaltningslovens § 28, stk. 3, at ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik og
informeret viljestilkendegivelse, hvorved den, oplysningen angår, indvilger i, at oplysningen videregives.
Efter forvaltningslovens § 28, stk. 2, nr. 1, jf. stk. 3, skal et samtykke til videregivelse af fortrolige oplysninger om f.eks.
en juridisk person til en anden forvaltningsmyndighed således være en viljestilkendegivelse, der er frivillig, specifik og
informeret. I ordet ”specifik” indfortolkes et krav om utvetydighed. Samtykket skal gives af den, som oplysningen angår, eller på
baggrund af en fuldmagt. Der er efter gældende ret ingen formkrav til et samtykke. Den offentlige myndighed har bevisbyrden for,
at samtykket er givet, og det anbefales derfor, at det indhentede samtykke er skriftligt.
Det foreslås, at § 28, stk. 3, nyaffattes således, at ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik,
informeret og utvetydig viljestilkendegivelse, hvorved den, oplysningen angår, ved erklæring eller klar bekræftelse indvilger i,
at oplysningen videregives. Ordet ”utvetydig” indsættes hermed i forvaltningslovens § 28, stk. 3. Dette indebærer ikke en reel
ændring af gældende ret. Ordet ”specifik” i forvaltningslovens § 28, stk. 3, fortolkes således allerede i dag sådan, at det skal
være klart og utvetydigt, hvad der meddeles samtykke til.
Endvidere foreslås det, at ordene ”ved erklæring eller klar bekræftelse” tilføjes til forvaltningslovens § 28, stk. 3. Efter
gældende ret er der ikke formkrav til et samtykke efter forvaltningslovens § 28, stk. 3, hvorfor tilføjelsen ikke vil indebære en
reel ændring af gældende ret.
Ændringen af forvaltningslovens § 28, stk. 3, foretages således alene for at bringe definitionen af et samtykke i
forvaltningslovens § 28, stk. 3, i overensstemmelse med definitionen af samtykke i databeskyttelsesforordningen.
Der henvises i øvrigt til lovforslagets almindelige bemærkninger, afsnit 2.3.
Til nr. 4
Det følger af forvaltningslovens § 28, stk. 4, at et samtykke efter stk. 3 kan tilbagekaldes. Efter bestemmelsen kan et samtykke
givet efter forvaltningslovens § 28, stk. 3, til videregivelse af eksempelvis fortrolige oplysninger om en juridisk person til en
anden forvaltningsmyndighed således tilbagekaldes på ethvert tidspunkt. Tilbagekaldelsen af samtykket har kun virkning for
fremtidig videregivelse af fortrolige oplysninger.
Det foreslås, at der indsættes to nye punktummer i forvaltningslovens § 28, stk. 4, for delvist at tilpasse bestemmelsen til de
yderligere krav til et samtykke til behandling af personoplysninger, der følger af databeskyttelsesforordningens artikel 7.
Det foreslåede nye 2. pkt. i § 28, stk. 4, indebærer, at den, som oplysningerne angår, inden der meddeles samtykke til
videregivelse af oplysninger, skal oplyses om, at et samtykke kan trækkes tilbage. Den foreslåede tilføjelse bygger på artikel 7,
stk. 3, 3. pkt. i databeskyttelsesforordningen. Justitsministeriet finder det hensigtsmæssigt, at kravet om, at en offentlig
myndighed, forinden et samtykke gives, skal informere om, at samtykket kan trækkes tilbage, også finder anvendelse, hvor det
eksempelvis er en juridisk person, som afgiver samtykket efter forvaltningslovens § 28, stk. 2, nr. 1. Ministeriet er således af
den opfattelse, at dette krav om information også bør gælde i forhold til juridiske personer mv., som afgiver samtykke til en
offentlig myndighed til at videregive oplysninger. Med ændringen af forvaltningslovens § 28, stk. 4, vil en myndighed skulle give
denne information, for at et gyldigt samtykke kan anses for givet. Der er ikke i bestemmelsen indsat formkrav til informationen
om, at et samtykke kan trækkes tilbage. Det må imidlertid være i den offentlige myndigheds interesse, at informationen gives på
skrift, således at en eventuel senere bevisbyrde om samtykkets gyldighed kan løftes af myndigheden.
Det foreslåede nye 3. pkt. i forvaltningslovens § 28, stk. 4, vil medføre, at et samtykke skal kunne trækkes tilbage lige så let,
som det er givet. Den foreslåede tilføjelse bygger på artikel 7, stk. 3, 4. pkt., i databeskyttelsesforordningen.
Justitsministeriet finder det hensigtsmæssigt, at det præciseres i forvaltningslovens § 28, stk. 4, at et samtykke afgivet af
eksempelvis en juridisk person til videregivelse af oplysninger til en anden forvaltningsmyndighed efter forvaltningslovens § 28,
stk. 2, nr. 1, skal kunne trækkes tilbage ligeså let, som det er givet. Ministeriet er således af den opfattelse, at det også i
forhold til juridiske personer mv., som afgiver samtykke til en offentlig myndighed til at videregive oplysninger, bør være ligeså
let at trække et samtykke tilbage som at give det. Det nye 3. pkt. er ikke en gyldighedsbetingelse for samtykket, men opstiller
alene begrænsninger for, hvilke formkrav der kan opstilles i forbindelse med meddelelse om tilbagekaldelse af et samtykke.
Myndigheden vil således ikke kunne kræve, at et mundtligt samtykke kun kan tilbagekaldes ved en skriftlig erklæring.
Der henvises til afsnit 2.3.1 i lovforslagets almindelige bemærkninger.
Det følger af offentlighedslovens § 11, stk. 1, at enhver kan forlange, at en forvaltningsmyndighed foretager og udleverer en
sammenstilling af foreliggende oplysninger i myndighedens databaser, hvis sammenstillingen kan foretages ved få og enkle
kommandoer. Såfremt oplysningerne er omfattet af §§ 19-35, gælder sammenstillingsretten kun, hvis de hensyn, der er nævnt i disse
bestemmelser, kan tilgodeses gennem anonymisering el.lign., der kan foretages ved få og enkle kommandoer. Retten til at få
foretaget en sammenstilling gælder ikke, hvis oplysningerne allerede er offentliggjort i egnet form eller format.
Det følger endvidere af bestemmelsens stk. 2, at stk. 1 ikke finder anvendelse med hensyn til personoplysninger omfattet af § 10 i
lov om behandling af personoplysninger.
Det følger af persondatalovens § 10, stk. 1, at oplysninger som nævnt i lovens § 7, stk. 1, eller § 8 må behandles, hvis dette
alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis
behandlingen er nødvendig for udførelsen af undersøgelserne.
Efter persondatalovens § 7, stk. 1, må der ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs
eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.
Efter persondatalovens § 8, må der for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, væsentlige
sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af
myndighedens opgaver.
Det foreslås, at henvisningen til persondatalovens § 10 ændres til den nu næsten tilsvarende § 10, stk. 1-4, i forslag til
databeskyttelsesloven. Ændringen er en konsekvens af, at persondataloven ophæves og databeskyttelsesforordningen samt
databeskyttelsesloven finder anvendelse fra den 25. maj 2018.
Det følger af § 10 i forslag til databeskyttelsesloven, at oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk.
1, og artikel 10 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.
Der er tale om en justering af lovteknisk karakter, der som det klare udgangspunkt ikke ændrer på gældende ret.
Til nr. 2
Det fremgår af offentlighedslovens § 14, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal
overvejes, om der kan gives aktindsigt i dokumenter og oplysninger i videre omfang, end hvad der følger af §§ 23-35. Der kan gives
aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov
om behandling af personoplysninger.
Det foreslås, at henvisningen til persondataloven i offentlighedslovens § 14, stk. 1, ændres som følge af, at persondataloven
ophæves. Henvisningen skal således tilpasses databeskyttelsesforordningen, forslag til databeskyttelsesloven samt lov om
retshåndhævende myndigheders behandling af personoplysninger.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
PET-lovens § 9 a, stk. 1 og 2, og § 13, stk. 2, indeholder en række henvisninger til PET-lovens § 7, stk. 2, og § 8, stk. 2.
Med lovforslagets § 4, nr. 3 og 4, foreslås det at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1. Det foreslås derfor, at
henvisningerne til PET-lovens § 7, stk. 2, og § 8, stk. 2, overalt i loven ændres til henvisninger til PET-lovens § 7, stk. 1, og
§ 8, stk. 1. Der er tale om konsekvensændringer af lovteknisk karakter i lyset af lovforslagets § 4, nr. 3 og 4.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 2
Det fremgår af PET-lovens § 7, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om generelle behandlingsprincipper), § 11,
stk. 1 (om at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på entydig dokumentation eller som
journalnummer), § 14 (om at personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen) og §§ 41 og
42 (om behandlingssikkerhed) finder anvendelse for PET’s behandling af personoplysninger. Det fremgår endvidere af PET-lovens § 8,
stk. 1, at persondatalovens §§ 3, 5, 14, 41 og 42 finder anvendelse for PET’s behandling af oplysninger om juridiske personer.
Det foreslås at fastsætte en samlet bestemmelse som nyt § 6 a i PET-loven, som indsætter ordlyden fra persondatalovens § 5, § 11,
stk. 1, og § 14 i PET-loven, således at gældende ret fra disse bestemmelser videreføres. Ændringen skal ses i lyset af, at de
gældende regler i persondatalovens § 3, § 5, § 11, stk. 1, og §§ 14, 41 og 42 enten ikke vil fremgå af den nye databeskyttelseslov
eller vil have et mindre ændret indhold, når databeskyttelsesforordningen får virkning i dansk ret. Der vurderes ikke at være
behov for at indsætte definitionerne i persondatalovens § 3 i lovteksten i PET-loven, da begreberne i PET-loven fortsat vil skulle
forstås på samme måde som i den nuværende udformning af PET-loven.
Bestemmelsen vil både omfatte PET’s behandling af personoplysninger og PET’s behandling af oplysninger om juridiske personer.
Bestemmelsen vil i sin helhed skulle fortolkes i overensstemmelse med gældende ret efter den hidtil gældende persondatalov, og vil
således ikke skulle fortolkes i lyset af bestemmelserne i den foreslåede nye databeskyttelseslov og databeskyttelsesforordningen
og fremtidig praksis herom. Det bemærkes i den forbindelse, at Justitsministeriet af lovtekniske hensyn for at sikre
overensstemmelse med terminologien i PET-loven har tilpasset ordlyden af de foreslåede bestemmelser i PET-lovens § 6 a, stk. 2 og
5 (som viderefører persondatalovens § 5, stk. 2 og 5), således at bestemmelserne i § 6 a, stk. 2 og 5, omfatter behandling af
oplysninger. De foreslåede tilpasninger af ordlyden ændrer ikke på gældende ret, herunder på rækkevidden af PET’s hjemmel til at
indsamle og indhente (tilvejebringe) oplysninger i medfør af PET-lovens §§ 3 og 4.
Om PET-lovens § 7, stk. 1, og § 8, stk. 1, kan nærmere henvises til forarbejderne til lov nr. 604 af 12. juni 2013 om Politiets
Efterretningstjeneste (PET), jf. Folketingstidende 2012-13, A, L 161 som fremsat, side 17-27. Om PET’s behandling og sletning af
oplysninger, herunder omfanget af persondatalovens § 5, stk. 5, der foreslås videreført som § 6 a, stk. 5, i PET-loven, kan
endvidere henvises til forarbejderne til lov nr. 1727 af 27. december 2016 om ændring af lov om Politiets Efterretningstjeneste
(PET), jf. Folketingstidende 2016-17, A, L 71 som fremsat, side 7 ff.
Det foreslås med lovforslagets § 4, nr. 3 og 4, samtidig at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1. Det forudsættes i
forlængelse heraf, at justitsministeren med hjemmel i de eksisterende bemyndigelser i PET-lovens § 7, stk. 3, og § 8, stk. 3 (der
med lovforslaget bliver § 7, stk. 2, og § 8, stk. 2), udsteder administrative regler om behandlingssikkerhed hos PET, som vil
træde i stedet for PET-lovens nuværende henvisninger til persondatalovens §§ 41 og 42. Bemyndigelsen vil i første omgang kunne
udmøntes med henblik på at fastsætte regler i PET-bekendtgørelsen, der viderefører indholdet i persondatalovens §§ 41 og 42,
herunder relevante dele af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001
(sikkerhedsbekendtgørelsen), der er udstedt i medfør af persondatalovens § 41, stk. 5, og som således ophæves samtidig med
ophævelsen af persondataloven. Bemyndigelsen vil dog f.eks. også kunne udnyttes til – i lyset af erfaringerne med
databeskyttelsesforordningen – at fastsætte, at bestemmelser i databeskyttelsesforordningen om behandlingssikkerhed finder helt
eller delvis anvendelse for PET. Det forudsættes i den forbindelse, at de administrative regler om behandlingssikkerhed som
minimum lever op til det sikkerhedsniveau, som gælder efter gældende ret.
Det forudsættes i den forbindelse, at Justitsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med
Efterretningstjenesterne, og at både Retsudvalget og Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne
udstedes.
Der henvises til afsnit 2.4.2.2.1 i lovforslagets almindelige bemærkninger.
Til nr. 3 og 4
Det fremgår af PET-lovens § 7, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, og §§ 14, 41 og 42 finder anvendelse for PET’s
behandling af personoplysninger. Det fremgår endvidere af PET-lovens § 8, stk. 1, at persondatalovens §§ 3, 5, 14, 41 og 42 finder
anvendelse for PET’s behandling af oplysninger om juridiske personer.
Som konsekvens af den foreslåede ophævelse af persondataloven i lyset af databeskyttelsesforordningen, foreslås det at ophæve
PET-lovens § 7, stk. 1, og § 8, stk. 1.
Der henvises til afsnit 2.4.2.2.1 i lovforslagets almindelige bemærkninger. Der henvises herudover til den foreslåede bestemmelse
i § 6 a i PET-loven, som indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i PET-loven, jf. lovforslagets § 4,
nr. 2.
Til nr. 5 og 6
PET-lovens § 9 a, stk. 1, indeholder en henvisning til PET-lovens § 7, stk. 3, og § 8, stk. 3, ligesom bestemmelsen i § 9 a, stk.
2, henviser til bestemmelserne i lovens §§ 7-9.
I lyset af den foreslåede nye bestemmelse i PET-lovens § 6 a og den som følge heraf foreslåede ophævelse af PET-lovens § 7, stk.
1, og § 8, stk. 1, jf. lovforslagets § 4, nr. 2-4, er det nødvendigt at konsekvensrette henvisningerne i PET-lovens § 9 a, stk. 1
og 2. De foreslåede justeringer er således alene af lovteknisk karakter og ændrer ikke på gældende ret efter PET-lovens § 9 a.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 7-9
Reglerne om PET’s videregivelse af personoplysninger og oplysninger om juridiske personer til andre forvaltningsmyndigheder (end
FE), private, udenlandske myndigheder og internationale organisationer er i dag reguleret af PET-lovens § 10, stk. 2, hvorefter
PET-lovens § 7 eller persondatalovens § 8, stk. 2, vil finde anvendelse på videregivelsen for så vidt angår videregivelse af
personoplysninger, og PET-lovens § 10, stk. 3, hvorefter PET-lovens § 8 finder anvendelse på videregivelsen for så vidt angår
videregivelse af oplysninger om juridiske personer.
Som det fremgår af lovforslagets § 4, nr. 2-4, foreslås det at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1, for i stedet at
videreføre hovedparten af bestemmelsernes indhold i en ny bestemmelse i PET-lovens § 6 a.
Det foreslås som konsekvens heraf at justere PET-lovens § 10, stk. 2, 1. pkt., som i dag kun henviser til PET-lovens § 7, så
bestemmelsen både henviser til PET-lovens §§ 6 a og 7.
Det foreslås endvidere at fastsætte i PET-lovens § 10, stk. 2, 2. pkt., at § 8, stk. 2, i den foreslåede nye databeskyttelseslov,
der er en uændret videreførelse af persondatalovens § 8, stk. 2, finder anvendelse, hvis videregivelsen vedrører oplysninger om
rent private forhold.
Bestemmelsen indebærer således – som det også er tilfældet efter gældende ret – at PET kan videregive personoplysninger om rent
private forhold til andre danske forvaltningsmyndigheder (end FE), private, udenlandske myndigheder og internationale
organisationer, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til
varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder
hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds
virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en
persons eller virksomheds opgaver for det offentlige.
Med betegnelsen ”rent private forhold” menes oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt oplysninger om
strafbare forhold, væsentlige sociale problemer og andre rent private forhold, dvs. de samme oplysninger som i dag er omfattet af
ordlyden af persondatalovens § 7, stk. 1, og § 8, stk. 1.
Det foreslås endelig at justere PET-lovens § 10, stk. 3, om videregivelse af oplysninger om juridiske personer, så bestemmelsen
både henviser til PET-lovens § 6 a, stk. 1-5 og 7, og til § 8. Det er ikke nødvendigt at henvise til den foreslåede § 6 a, stk. 6,
i PET-loven, da den pågældende bestemmelse vedrører behandling af personnumre.
Der er tale om justeringer af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 10
Det fremgår af PET-lovens § 14, stk. 1, 4. pkt., at PET’s virksomhed er undtaget fra persondataloven, jf. persondatalovens § 2,
stk. 11 (nu § 2, stk. 10). Det fremgår af bemærkningerne til bestemmelsen, jf. Folketingstidende 2012-13, A, L 161 som fremsat,
side 72, at det er fundet hensigtsmæssigt udtrykkeligt at nævne denne retstilstand i PET-lovens § 14, selvom retsstillingen
allerede følger af persondataloven.
Med et samtidigt fremsat lovforslag foreslås det, at persondataloven ophæves og nyaffattes som en ny databeskyttelseslov, som
tager højde for reglerne i databeskyttelsesforordningen. I den nye databeskyttelseslov flyttes bestemmelsen om, at loven (og
fremover også databeskyttelsesforordningen) ikke finder anvendelser på den behandling af personoplysninger, som udføres for eller
af politiets og forsvarets efterretningstjenester, fra § 2, stk. 10, til § 3, stk. 2. Som en konsekvens heraf, foreslås det at
ændre henvisningen til persondataloven i PET-lovens § 14, stk. 1, 4. pkt., så der fremover henvises til databeskyttelsesloven og
databeskyttelsesforordningen, jf. § 3, stk. 2, i databeskyttelsesloven.
Det foreslås samtidig ud fra samme hensyn som nævnt i de føromtalte bemærkninger til PET-lovens § 14, stk. 1, 4. pkt., i
lovteksten at præcisere, at PET’s virksomhed ikke er omfattet af lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger. Det bemærkes, at lov om
retshåndhævende myndigheders behandling af personoplysninger trådte i kraft den 30. april 2017.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 11 og 12
Det fremgår bl.a. af PET-lovens § 14, stk. 2, at justitsministeren kan bestemme, at kapitel 8-10 i persondataloven helt eller
delvis finder anvendelse for behandling af personoplysninger for PET vedrørende tjenestens egne personalesager og
sikkerhedsgodkendelsessager.
Det foreslås, at henvisningen til kapitel 8-10 i lov om behandling af personoplysninger udgår af PET-lovens § 14, stk. 2.
Forslaget skal ses i lyset af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af
databeskyttelsesforordningen.
Det foreslås endvidere at indsætte en bemyndigelsesbestemmelse i PET-lovens § 14, stk. 2, 2. pkt.
, således at justitsministeren kan fastsætte nærmere regler om, at den foreslåede nye databeskyttelseslov (som supplerer reglerne
i databeskyttelsesforordningen) og databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af
personoplysninger for PET vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager. I disse sager vil der således
kunne være et særligt behov for indsigt, og hensynet til den pågældende vil efter omstændighederne kunne veje tungere end hensynet
til at hemmeligholde oplysningerne. De regler, som med hjemmel i den foreslåede bemyndigelsesbestemmelse vil kunne sættes i kraft
for PET, vil navnlig være regler om indsigt som dem, der i dag er fastsat i persondatalovens kapitel 8-10.
Det forudsættes, at Justitsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med
Efterretningstjenesterne, og at både Retsudvalget og Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne
udstedes.
Der henvises til afsnit 2.4.2.2.2 i lovforslagets almindelige bemærkninger.
Til nr. 13
Det fremgår af PET-lovens § 18, 1. pkt., at Tilsynet med Efterretningstjenesterne efter klage eller af egen drift påser, at PET
overholder reglerne i §§ 3, 4 og 7-11 og regler udstedt i medfør heraf. Tilsynet varetager endvidere de opgaver, der er nævnt i §
13.
Med lovforslagets § 4, nr. 2, foreslås det at indsætte en ny bestemmelse som § 6 a i PET-loven, som regulerer PET’s behandling af
oplysninger. Det foreslås som konsekvens heraf at justere PET-lovens § 18, 1. pkt., så der fremover også henvises til PET-lovens §
6 a. Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 14
Det fremgår bl.a. af PET-lovens § 21, stk. 2, at tilsynets virksomhed er undtaget fra persondataloven.
Som konsekvens af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen foreslås
det, at henvisningen til persondataloven erstattes af en henvisning til den foreslåede nye databeskyttelseslov,
databeskyttelsesforordningen og en henvisning til lov om retshåndhævende myndigheders behandling af personoplysninger, der trådte
i kraft den 30. april 2017.
For så vidt angår lov om retshåndhævende myndigheders behandling af personoplysninger bemærkes det, at det fremgår af lovens § 1,
stk. 1, at loven gælder for politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den
Uafhængige Politiklagemyndighed og domstolene. Justitsministeriet finder dog ud fra samme hensyn som dem, der ligger bag
PET-lovens § 14, stk. 1, 4. pkt., jf. herom under bemærkningerne til lovforslagets § 4, nr. 10, ovenfor, at dette også bør fremgå
direkte af lovteksten i PET-loven.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.
Det følger af retsplejelovens § 41 h, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes,
om der kan gives aktindsigt i videre omfang end fastsat i §§ 41 a–41 g. Der kan gives aktindsigt i videre omfang, medmindre det
vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov om behandling af personoplysninger.
Det foreslås, at henvisningen til lov om behandling af personoplysninger i retsplejelovens § 41 h, stk. 1, 2. pkt., ændres, som
følge af, at lov om behandling af personoplysninger ophæves, og databeskyttelsesforordningen samt forslag til
databeskyttelsesloven finder anvendelse den 25. maj 2018.
Eftersom reglerne om aktindsigt i retsplejeloven også omfatter aktindsigt i sager af strafferetlig karakter, foreslås det desuden,
at der i retsplejelovens § 41 h, stk. 1, 2. pkt., også henvises til lov om retshåndhævende myndigheders behandling af
personoplysninger.
Der er alene tale om konsekvensændringer med henblik på at tilpasse henvisninger i retsplejeloven til
databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af
personoplysninger.
Til nr. 2
Retsplejelovens § 741 g indeholder regler om underretning af forurettede i visse straffesager i forbindelse med, at gerningsmanden
kommer på fri fod mv.
Det følger af § 741 g, stk. 3, at justitsministeren kan fastsætte nærmere regler om underretningsordningen, herunder om at
persondatalovens bestemmelser om oplysningspligt ikke skal finde anvendelse i forhold til den dømte.
Reglerne om de retshåndhævende myndigheders, herunder politiets og kriminalforsorgens, behandling af personoplysninger findes i
dag i lov om retshåndhævende myndigheders behandling af personoplysninger, som gennemfører EU’s retshåndhævelsesdirektiv i dansk
ret.
Kapitel 4 (§§ 13-14) i lov om retshåndhævende myndigheders behandling af personoplysninger indeholder regler om de retshåndhævende
myndigheders oplysningspligt over for den registrerede. Disse regler har for de nævnte myndigheders vedkommende afløst
bestemmelserne i persondatalovens kapitel 8.
Efter lov om retshåndhævende myndigheders behandling af personoplysninger kan myndighedernes pligt til at orientere den
registrerede ved konkret meddelelse bl.a. fraviges, hvis den registreredes interesse i at få kendskab til oplysningerne findes at
burde vige for hensynet til at beskytte andres rettigheder. Dette kan f.eks. være tilfældet, når den forurettede i en straffesag
anmoder om underretning om gerningsmandens løsladelse mv., idet en orientering af gerningsmanden i en sådan situation vil kunne
skabe eller forstærke et modsætningsforhold mellem parterne og dermed skade den forurettedes interesser.
I lov om retshåndhævende myndigheders behandling af personoplysninger findes tillige en bemyndigelsesbestemmelse, hvorved
justitsministeren er tillagt kompetence til at fastsætte nærmere regler om de tilfælde, hvor oplysningspligten kan fraviges.
Med lovforslaget vil retsplejelovens § 741 g, stk. 3, blive ændret, således at bemyndigelsen til justitsministeren ikke længere
omfatter adgangen til at fastsætte nærmere regler om fravigelse af persondatalovens bestemmelser om oplysningspligt.
Justitsministerens kompetence til – inden for rammerne af retshåndhævelsesdirektivet – at fastsætte nærmere regler om, hvornår
oplysningspligten kan fraviges, vil herefter følge af reglerne i lov om retshåndhævende myndigheders behandling af
personoplysninger.
Der henvises til afsnit 2.5.2.2 i lovforslagets almindelige bemærkninger.
Til nr. 3
Efter retsplejelovens § 1017 d, stk. 1, må domme og kendelser i straffesager kun gengives offentligt, når de er anonymiseret,
således at sigtedes, tiltaltes, forurettedes eller vidners identitet ikke fremgår. Overtrædelse straffes med bøde.
Efter § 1017 d, stk. 2, finder stk. 1 ikke anvendelse på retsinformationssystemer, der er omfattet af § 9 i lov om behandling af
personoplysninger, eller på offentlig gengivelse, der bygger på et sådant retsinformationssystem.
Det foreslås at ændre § 1017 d, stk. 2, således at der henvises til forslag til databeskyttelseslovens § 9 i stedet for § 9 i lov
om behandling af personoplysninger.
Ændringen er en konsekvens af, at persondataloven ophæves i forslag til databeskyttelsesloven. § 9 i forslaget til
databeskyttelsesloven svarer til § 9 i persondataloven.
Den foreslåede ændring indebærer, at retsinformationssystemer, der er omfattet af § 9 i forslag til databeskyttelsesloven,
fremover undtages fra reglerne i retsplejelovens § 1017 d, stk. 1, på samme måde som retsinformationssystemer, der i dag er
omfattet af § 9 i lov om personoplysninger.
Der henvises i øvrigt til afsnit 2.1 i lovforslagets almindelige bemærkninger.
Efter straffelovens § 263 a, stk. 1, straffes med bøde eller fængsel indtil 1 år og 6 måneder den, der uretmæssigt erhvervsmæssigt
sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem,
hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning.
Efter § 263 a, stk. 2, straffes på samme måde den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som
nævnt i bestemmelsens stk. 1.
Efter § 263 a, stk. 3, straffes på samme måde den, der uretmæssigt skaffer sig eller videregiver en kode eller andet adgangsmiddel
som nævnt i stk. 1 til et samfundsvigtigt informationssystem jf. straffelovens § 193, eller et informationssystem, der behandler
følsomme oplysninger, som er omfattet af § 7, stk. 1, eller § 8, stk. 1, i lov om behandling af personoplysninger, om flere
personers personlige forhold.
Det foreslås, at ændre § 263 a, stk. 3, nr. 2, således at der henvises til databeskyttelsesforordningens artikel 9, stk. 1, og
artikel 10 i stedet for § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger.
Ændringen er en konsekvens af, at persondataloven ophæves i forslag til databeskyttelsesloven.
Databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 angår ligesom § 7, stk. 1, og § 8, stk. 1, i lov om
personoplysninger følsomme personoplysninger.
Der er i vidt omfang tale om samme kategorier af oplysninger efter de to regelsæt.
Databeskyttelsesforordningens artikel 9, stk. 1, omfatter således ligesom § 7, stk. 1, i lov om personoplysninger oplysninger om
race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold,
helbredsoplysninger og oplysninger om seksuelle forhold eller seksuel orientering. I modsætning til § 7, stk. 1, i lov om
personoplysninger omfatter databeskyttelsesforordningens artikel 9, stk. 1, dog også biometriske data med det formål entydigt at
identificere en fysisk person, og det er præciseret, at også genetiske data er følsomme personoplysninger.
Databeskyttelsesforordningens artikel 10 omfatter ligesom § 8 i lov om personoplysninger oplysninger om strafbare forhold. I
modsætning til § 8 i lov om personoplysninger omfatter databeskyttelsesforordningens artikel 10 dog ikke oplysninger om væsentlige
sociale problemer eller andre rent private forhold end dem, der er nævnt i § 7, stk. 1.
Samlet set indebærer den foreslåede ændring dermed, at straffelovens § 263, stk. 3, nr. 2, fremover som noget nyt også vil omfatte
informationssystemer, der behandler oplysninger om biometriske data med det formål entydigt at identificere en fysisk person, at
det præciseres, at bestemmelsen omfatter informationssystemer, der behandler oplysninger om genetiske data, og at bestemmelsen
fremover ikke længere vil omfatte informationssystemer, der behandler oplysninger om væsentlige sociale problemer eller andre rent
private forhold, som ikke er omfattet af databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10.
Herudover ændres anvendelsesområdet for § 263, stk. 3, nr. 2, ikke. Det er således uændret bl.a. en betingelse, at
informationssystemet behandler følsomme oplysninger om flere personers personlige forhold.
Det bemærkes, at henvisningen til de pågældende bestemmelser i databeskyttelsesforordningen har til formål at afgrænse, hvilke
oplysninger der i relation til straffelovens § 263 a, stk. 3, nr. 2, skal anses for følsomme. Det er efter forslaget tilfældet,
når oplysningerne efter deres karakter er omfattet af ordlyden af artikel 9, stk. 1, eller artikel 10, i
databeskyttelsesforordningen, mens det eksempelvis er uden betydning, om behandling af personoplysninger i det pågældende
informationssystem er omfattet af databeskyttelsesforordningens materielle anvendelsesområde.
Der henvises i øvrigt til afsnit 2.1 i lovforslagets almindelige bemærkninger.
En offentligt tilgængelig informationsdatabase skal for at blive omfattet af lov om massemediers informationsdatabaser ud over at
være tilgængelig for enhver på almindelige forretningsvilkår være anmeldt til Pressenævnet og Datatilsynet med angivelse af, hvem
der er ansvarlig for informationsdatabasen, jf. § 6, stk. 1. Efter lovens § 6, stk. 2, er en offentligt tilgængelig
informationsdatabase, som anmeldes efter stk. 1, ikke samtidig omfattet af medieansvarsloven, når bortses fra reglerne om genmæle
og visse regler om Pressenævnets sammensætning og kompetence.
Det foreslås, at lovens § 6, stk. 2, ophæves. Dette vil indebære, at en offentligt tilgængelig informationsdatabase vil kunne være
omfattet af såvel reglerne i medieansvarsloven som reglerne i lov om massemediers informationsdatabaser.
Der henvises i øvrigt til afsnit 2.6 i lovforslagets almindelige bemærkninger.
Til nr. 2
Det fremgår af § 12, stk. 1, i lov om massemediers informationsdatabaser, at undlader den, der er ansvarlig for en offentligt
tilgængelig informationsdatabase, efter anmodning at slette informationer, der strider mod god presseskik, jf. lovens § 8, stk. 2,
eller som befinder sig i databasen i strid med tidsfristen i lovens § 8, stk. 3, jf. stk. 4, eller nægter den ansvarlige at optage
et genmæle, eller har vedkommende ikke inden 4 uger besvaret en henvendelse om sletning eller genmæle, kan den, informationerne
angår, eller efter dennes død de nærmeste pårørende, indbringe spørgsmålet for Pressenævnet. Sagen indbringes for Pressenævnet
senest 4 uger efter, at afslaget er kommet frem, eller 4 uger efter udløbet af den i stk. 1 nævnte svarfrist, jf. lovens § 12,
stk. 2.
Det foreslås, at fristerne i § 12, stk. 2, for at indbringe en sag for Pressenævnet ændres fra 4 uger til 12 uger således, at
sagen indbringes for Pressenævnet senest 12 uger efter, at afslaget er kommet frem, eller 12 uger efter udløbet af den i stk. 1
nævnte svarfrist.
Det indebærer, at klage over afslag på at slette informationer eller optage et genmæle skal indbringes for Pressenævnet senest 12
uger efter, at afslaget er kommet frem.
Endvidere indebærer det, at en klage over, at en henvendelse om sletning eller genmæle ikke er besvaret inden 4 uger, skal
indbringes for Pressenævnet 12 uger efter udløbet af den nævnte frist for at besvare henvendelsen.
Der henvises i øvrigt til afsnit 2.6 i lovforslagets almindelige bemærkninger.
FE-lovens § 6 a, stk. 1 og 2, og § 10, stk. 2, indeholder en række henvisninger til FE-lovens § 4, stk. 2, og § 5, stk. 2. Det
foreslås, at henvisningerne til FE-lovens § 4, stk. 2, og § 5, stk. 2, overalt i loven ændres til henvisninger til FE-lovens § 4,
stk. 1, og § 5, stk. 1. Der er tale om konsekvensændringer i lyset af lovforslagets § 9, nr. 3 og 4.
Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 2
Det fremgår af FE-lovens § 4, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om generelle behandlingsprincipper), § 11,
stk. 1 (om at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på entydig dokumentation eller som
journalnummer), § 14 (om at personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen) og § 41,
stk. 1-4, og § 42 (om behandlingssikkerhed) finder anvendelse for FE’s behandling af personoplysninger om en i Danmark
hjemmehørende fysisk person. Det fremgår endvidere af FE-lovens § 5, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om
generelle behandlingsprincipper), § 14 (om at personoplysninger kan overføres til opbevaring i arkiv efter reglerne i
arkivlovgivningen) og § 41, stk. 1-4, og § 42 (om behandlingssikkerhed) finder anvendelse for FE’s behandling af oplysninger om i
Danmark hjemmehørende juridiske personer.
Det foreslås at fastsætte en samlet bestemmelse som ny § 3 e i FE-loven, som indsætter ordlyden fra persondatalovens § 5, § 11,
stk. 1, og § 14 i FE-loven, således at gældende ret fra disse bestemmelser videreføres. Ændringen skal ses i lyset af, at de
gældende regler i persondatalovens § 3, § 5, § 11, stk. 1, § 14, § 41, stk. 1-4, og § 42 enten ikke vil fremgå af den nye
databeskyttelseslov eller vil have et mindre ændret indhold, når databeskyttelsesforordningen får virkning i dansk ret. Der
vurderes ikke at være behov for at indsætte definitionerne i persondatalovens § 3 i lovteksten i FE-loven, da begreberne i
FE-loven fortsat vil skulle forstås på samme måde som i den nuværende udformning af FE-loven.
Bestemmelsen vil både omfatte FE’s behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og FE’s behandling
af oplysninger om i Danmark hjemmehørende juridiske personer. Bestemmelsen vil skulle fortolkes i overensstemmelse med gældende
ret efter den hidtil gældende persondatalov og vil således ikke skulle fortolkes i lyset af bestemmelserne i forslag til
databeskyttelsesloven og databeskyttelsesforordningen og fremtidig praksis herom. Det bemærkes i den forbindelse, at
Forsvarsministeriet af lovtekniske hensyn for at sikre overensstemmelse med FE-lovens terminologi har justeret ordlyden af de
foreslåede bestemmelser i FE-lovens § 3 e, stk. 2 og 5 (som viderefører persondatalovens § 5, stk. 2 og 5), således at
bestemmelsen omfatter behandling af oplysninger. Den foreslåede justering ændrer ikke på gældende ret.
Om FE-lovens § 4, stk. 1, og § 5, stk. 1, kan nærmere henvises til forarbejderne til lov nr. 602 af 12. juni 2013 om Forsvarets
Efterretningstjeneste (FE), jf. Folketingstidende 2012-13, A, L 163 som fremsat, side 13-24. Om FE’s behandling og sletning af
oplysninger, herunder omfanget af persondatalovens § 5, stk. 5, der foreslås videreført som § 3 e, stk. 5, i FE-loven, kan
endvidere henvises til forarbejderne til lov nr. 462 af 15. maj 2017 om ændring af lov om Forsvarets Efterretningstjeneste (FE) og
toldloven, jf. Folketingstidende 2016-17, A, L 146 som fremsat, side 8 ff.
Det foreslås med lovforslagets § 8, nr. 3 og 4, samtidig at ophæve FE-lovens § 4, stk. 1, og § 5, stk. 1. Det forudsættes i
forlængelse heraf, at forsvarsministeren med hjemmel i de eksisterende bemyndigelser i FE-lovens § 4, stk. 3, og § 5, stk. 3 (der
med lovforslaget bliver § 4, stk. 2, og § 5, stk. 2), bemyndiges til at udstede administrative regler om behandlingssikkerhed hos
FE, som vil træde i stedet for FE-lovens nuværende henvisninger til persondatalovens § 41, stk. 1-4, og § 42. Bemyndigelsen vil
dog f.eks. også kunne benyttes til – i lyset af erfaringerne med databeskyttelsesforordningen – at fastsætte, at bestemmelser i
databeskyttelsesforordningen om behandlingssikkerhed finder helt eller delvis anvendelse for FE. Det forudsættes i den
forbindelse, at de administrative regler om behandlingssikkerhed som minimum lever op til det sikkerhedsniveau, som gælder efter
gældende ret.
Det forudsættes i den forbindelse, at Forsvarsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med
Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.
Der henvises til afsnit 2.7.2.2.1 i lovforslagets almindelige bemærkninger.
Til nr. 3 og 4
Det fremgår af FE-lovens § 4, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, § 14, § 41, stk. 1-4, og § 42 finder anvendelse
for FE’s behandling af personoplysninger om i Danmark hjemmehørende fysiske personer. Det fremgår endvidere af FE-lovens § 5, stk.
1, at persondatalovens § 3, § 5, § 14, § 41, stk. 1-4, og § 42 finder anvendelse for FE’s behandling af oplysninger om i Danmark
hjemmehørende juridiske personer.
Som konsekvens af den foreslåede ophævelse af persondataloven i lyset af databeskyttelsesforordningen, foreslås det at ophæve
FE-lovens § 4, stk. 1, og § 5, stk. 1.
Der henvises til afsnit 2.4.2.2.1 i de almindelige bemærkninger. Der henvises herudover til den foreslåede § 3 e i FE-loven, som
indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i FE-loven, jf. lovforslagets § 8, nr. 2.
Til nr. 5
FE-lovens § 6 a, stk. 2, indeholder en henvisning til FE-lovens §§ 4 og 5.
I lyset af den foreslåede nye bestemmelse i FE-lovens § 3 e og den som følge heraf foreslåede ophævelse af FE-lovens § 4, stk. 1,
og § 5, stk. 1, jf. lovforslagets § 8, nr. 2-4, er det nødvendigt at konsekvensrette henvisningerne i FE-lovens § 6 a, stk. 2. De
foreslåede konsekvensrettelser er således alene af lovteknisk karakter og ændrer ikke på gældende ret efter FE-lovens § 6 a.
Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 6-8
Reglerne for FE’s videregivelse af personoplysninger om i Danmark hjemmehørende fysiske personer til andre danske
forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale organisationer er i dag reguleret i
FE-lovens § 7, stk. 2, hvorefter FE-lovens § 4 finder anvendelse. Herudover finder persondatalovens § 8, stk. 2, anvendelse, hvis
den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i persondatalovens § 7, stk. 1, og § 8, stk. 1. For
videregivelse af oplysninger om i Danmark hjemmehørende juridiske personer til andre danske forvaltningsmyndigheder (end PET),
private, udenlandske myndigheder og internationale organisationer finder § 5 anvendelse på videregivelsen.
Som det fremgår af lovforslagets § 8, nr. 2-4, foreslås det at ophæve FE-lovens § 4, stk. 1, og § 5, stk. 1, for i stedet at
videreføre hovedparten af bestemmelsernes indhold i en ny bestemmelse i FE-lovens § 3 e.
Det foreslås som konsekvens heraf at justere FE-lovens § 7, stk. 2, 1. pkt., som i dag kun henviser til FE-lovens § 4, så
bestemmelsen både henviser til FE-lovens §§ 3 e og 4. Herudover foreslås en mindre sproglig tilpasning, der er en konsekvens af
formuleringen af den foreslåede § 3 e.
Det foreslås endvidere at fastsætte i FE-lovens § 7, stk. 2, 2. pkt., at forslag til databeskyttelseslovens § 8, stk. 2, der er en
uændret videreførelse af persondatalovens § 8, stk. 2, finder anvendelse, hvis videregivelsen vedrører oplysninger om rent private
forhold.
Bestemmelsen indebærer således – som det også er tilfældet efter gældende ret – at FE kan videregive personoplysninger om rent
private forhold til andre danske forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale
organisationer, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til
varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder
hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds
virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en
persons eller virksomheds opgaver for det offentlige.
Med betegnelsen ”rent private forhold” menes oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt oplysninger om
strafbare forhold, væsentlige sociale problemer og andre rent private forhold, dvs. de samme oplysninger som i dag er omfattet af
ordlyden af persondatalovens § 7, stk. 1, og § 8, stk. 1.
Det foreslås endelig at justere FE-lovens § 7, stk. 3, så bestemmelsen både henviser til FE-lovens § 3 e, stk. 1-5 og 7, og til §
5. Det er ikke nødvendigt at henvise til den foreslåede § 3 e, stk. 6, i FE-loven, da den pågældende bestemmelse vedrører
behandling af personnumre.
Der er tale om konsekvensændringer af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 9
Det fremgår af FE-lovens § 11, stk. 1, 2. pkt., at FE’s virksomhed er undtaget fra persondataloven, jf. persondatalovens § 2, stk.
11 (nu § 2, stk. 10).
Med et samtidigt fremsat lovforslag foreslås det, at persondataloven ophæves og nyaffattes som en ny databeskyttelseslov, som
tager højde for reglerne i databeskyttelsesforordningen. I den nye databeskyttelseslov flyttes bestemmelsen om, at loven (og
fremover også databeskyttelsesforordningen) ikke finder anvendelser på den behandling af personoplysninger, som udføres for eller
af politiets og forsvarets efterretningstjenester, fra § 2, stk. 10, til § 3, stk. 2. Som en konsekvens heraf, foreslås det at
ændre henvisningen til persondataloven i FE-lovens § 11, stk. 1, 2. pkt., så der fremover henvises til databeskyttelsesloven og
databeskyttelsesforordningen, jf. § 3, stk. 2, i databeskyttelsesloven.
Det foreslås samtidig ud fra samme hensyn som nævnt i de føromtalte bemærkninger til FE-lovens § 11, stk. 2, 2. pkt., i lovteksten
at præcisere, at FE’s virksomhed ikke er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1,
stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger. Det bemærkes, at lov om retshåndhævende
myndigheders behandling af personoplysninger trådte i kraft den 30. april 2017.
Der er tale om lovtekniske justeringer, som ikke ændrer gældende ret.
Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.
Til nr. 10 og 11
Det fremgår bl.a. af FE-lovens § 11, stk. 2, at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven helt eller
delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens sikkerhedsgodkendelsessager og egne
personalesager.
Det foreslås, at henvisningen til kapitel 8-10 i lov om behandling af personoplysninger udgår af FE-lovens § 11, stk. 2. Forslaget
skal ses i lyset af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen.
Det foreslås endvidere at indsætte en bemyndigelsesbestemmelse i FE-lovens § 11, stk. 2, 2. pkt., således at forsvarsministeren
kan fastsætte nærmere regler om, at forslag til databeskyttelsesloven (som supplerer reglerne i databeskyttelsesforordningen) og
databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens
egne sikkerhedsgodkendelsessager og personalesager. Det forudsættes, at Forsvarsministeriet drøfter de administrative regler
udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes,
inden reglerne udstedes.
Der henvises til afsnit 2.7.2.2.2 i lovforslagets almindelige bemærkninger.
Til nr. 12
Det fremgår bl.a. af FE-lovens § 18, stk. 2, at tilsynets virksomhed er undtaget fra persondataloven.
Som konsekvens af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen foreslås
det, at henvisningen til persondataloven erstattes af en henvisning til den foreslåede nye databeskyttelseslov,
databeskyttelsesforordningen og en henvisning til lov om retshåndhævende myndigheders behandling af personoplysninger, der trådte
i kraft den 30. april 2017.
For så vidt angår lov om retshåndhævende myndigheders behandling af personoplysninger bemærkes det, at det fremgår af lovens § 1,
stk. 1, at loven gælder for politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den
Uafhængige Politiklagemyndighed og domstolene. Forsvarsministeriet finder dog ud fra samme hensyn som dem, der ligger bag
FE-lovens § 11, stk. 1, at dette også bør fremgå direkte af lovteksten i FE-loven.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.
Efter gældende regler i § 40, stk. 1, i lov om organisering og understøttelse af beskæftigelsesindsatsen mv. er den enkelte
offentlige myndighed og arbejdsløshedskasse, der indberetter data til det fælles it-baserede datagrundlag, dataansvarlig, jf. lov
om behandling af personoplysninger, for indberetningen og brug af data lokalt samt for at orientere de registrerede om
registreringer i det fælles it-baserede datagrundlag.
Det foreslås, at henvisningen til lov om behandling af personoplysninger ændres til en henvisning til databeskyttelsesforordningen
og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj
2018.
Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand, bortset fra henvisningen til persondatareglerne.
Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske
hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 2
Efter gældende regler i § 41, stk. 1, i lov om organisering og understøttelse af beskæftigelsesindsatsen mv. kan kommunen i
henhold til en skriftlig databehandleraftale, jf. § 42 i lov om behandling af personoplysninger, overlade oplysninger til en anden
aktør om en persons beskæftigelsesprofil og forløb, den hidtidige indsats og øvrige forhold, som er nødvendige, for at den anden
aktør kan gennemføre den aftalte beskæftigelsesindsats efter arbejdsmarkedslovgivningen. Efter § 42, stk. 2, i lov om behandling
af personoplysninger skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale imellem den
dataansvarlige og databehandleren. Den enkelte kommune er dataansvarlig i relation til andre aktører som databehandlere for
kommunen, og aktøren må alene behandle oplysninger efter kommunens instruks.
Det foreslås, at henvisningen til § 42 i lov om behandling af personoplysninger ændres til en henvisning til
databeskyttelsesforordningens artikel 28, stk. 3. Efter artikel 28, stk. 3, skal en databehandlers behandling være reguleret af en
kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for
databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens
karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og
rettigheder.
Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.
Det fremgår af databeskyttelsesforordningens artikel 28, stk. 9, at databehandleraftalen skal være skriftlig, herunder digital.
Kravet om skriftlighed svarer til de gældende regler i persondatalovens § 42, stk. 2.
Det fremgår af databeskyttelsesforordningens artikel 29, at databehandleren og enhver, der udfører arbejde for den dataansvarlige
eller databehandleren, og som har adgang til personoplysninger, kun behandler disse oplysninger efter instruks fra den
dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.
Det forhold, at databehandleren kun handler efter den dataansvarliges instruks, svarer til de hidtil gældende krav om, at det skal
fremgå af databehandleraftaler, at databehandleren alene handler efter den dataansvarliges instruks, jf. persondatalovens § 42,
stk. 2.
Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand bortset fra henvisningen til persondatareglerne.
Henvisningen til databeskyttelsesforordningen i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens
umiddelbare gyldighed i Danmark.
Efter gældende regler i § 4, stk. 1, i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og
tilskud m.v. (Nemrefusion) er den enkelte kommune dataansvarlig efter persondataloven for de data i Nemrefusion, som skal anvendes
i kommunens sagsbehandling.
Kommunerne behandler efter gældende regler bl.a. personoplysninger i tilknytning til arbejdsgiveres anmodninger om udbetalinger af
sygedagpengerefusion efter sygedagpengeloven og anmodninger om udbetalinger af løntilskud efter lov om en aktiv
beskæftigelsesindsats.
Efter gældende regler i § 4, stk. 2, er Udbetaling Danmark dataansvarlig efter persondataloven for de data i Nemrefusion, som skal
anvendes i Udbetaling Danmarks behandling af en sag om dagpenge efter barselsloven.
Det foreslås, at henvisningerne i § 4, stk. 1 og 2, til persondataloven ændres til henvisninger til databeskyttelsesforordningen
og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj
2018.
Den foreslåede ændring giver ikke anledning til ændringer i gældende retstilstand, bortset fra henvisningen til
persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende
begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 2
Efter gældende regler i § 8, stk. 3, 1. pkt., i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om
refusion og tilskud m.v. (Nemrefusion) handler selskabet, der etablerer og driver Nemrefusion, efter instruks fra kommunerne.
Datatilsynet har i forbindelse med høringer om anden lovgivning anbefalet, at det indarbejdes, at selskabet ”alene” handler efter
kommunernes instruks.
Efter databeskyttelsesforordningens artikel 28, stk. 3, litra a, skal det være reguleret i en kontrakt eller et andet retligt
dokument, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
Det foreslås på denne baggrund, at det indarbejdes i bestemmelsen, at selskabet alene handler efter kommunernes dokumenterede
instruks. Dette vil medføre at kommunernes instruks til selskabet – der førhen har kunnet gives i mindre formelle former –
fremover vil skulle foreligge i skriftlig form.
Til nr. 3
Efter gældende regler i § 8, stk. 3, 2. pkt., i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om
refusion og tilskud m.v. (Nemrefusion), skal selskabet, der etablerer og driver Nemrefusion, træffe de fornødne tekniske og
organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,
og mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af
personoplysninger.
Det foreslås, at henvisningen i § 8, stk. 3, 2. pkt., til lov om behandling af personoplysninger ændres til en henvisning til
databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen
får virkning fra den 25. maj 2018.
Den foreslåede ændring giver ikke anledning til ændringer i gældende retstilstand, bortset fra henvisningen til
persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende
begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 4
Det er efter gældende regler i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud
m.v. (Nemrefusion) obligatorisk for kommunerne at anvende it-løsningen Nemrefusion, der er etableret og drives af et af KL-ejet
selskab.
Der er i loven fastsat regler om, at den enkelte kommune er dataansvarlig for behandlingen af oplysninger i Nemrefusion samt om,
at selskabet, der som databehandler for kommunerne driver løsningerne, handler efter kommunens instruks.
Derved er det sikret, at de 98 kommuner ikke hver især skal indgå enslydende databehandleraftaler med selskabet, der driver
Nemrefusion.
Databeskyttelsesforordningen indeholder i artikel 28 skærpede krav til form og indhold af de databehandleraftaler, der skal indgås
mellem den dataansvarlige og databehandleren. Der henvises til de almindelige bemærkninger i lovforslagets afsnit 2.8.2.
Det foreslås, at beskæftigelsesministeren bemyndiges til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver
og ansvar som dataansvarlig efter lovens § 8, stk. 1, og om selskabets opgaver og ansvar som databehandler. Bemyndigelsen vil
kunne anvendes til at udstede regler, der – i overensstemmelse med forordningens artikel 28, stk. 3 – regulerer kommunernes og
selskabets ansvar som henholdsvis dataansvarlige og databehandler.
Forslaget er begrundet i, at de hensyn, der gælder i forhold til fastsættelse af bestemmelser om den dataansvarliges og
databehandlerenes forhold, opgaver og ansvar, i et andet retligt dokument end en databehandleraftale, fortsat gælder, når
databeskyttelsesforordningen træder i kraft. Det er således vurderingen, at det fortsat ikke er hensigtsmæssigt, at de 98 kommuner
vil skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Nemrefusion.
Bemyndigelsen forventes udmøntet i en bekendtgørelse, der skal udgøre det ”retlige dokument”, som regulerer databehandlerens
behandling af personoplysninger, jf. forordningens artikel 28, stk. 3. Udmøntningen vil skulle ske i overensstemmelse med de
konkrete krav, som følger af forordningens artikel 28. At denne regulering sker i bekendtgørelsesform, giver mulighed for at
ajourføre det ”retlige dokument” i tilfælde af ændret praksis eller ændret fortolkning af databeskyttelsesforordningen, uden at
dette medfører et krav om indgåelse af nye databehandleraftaler for alle 98 kommuner.
Det fremgår af § 10, stk. 1, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling
Danmark og arbejdsløshedskasserne, at et af KL 100 pct. ejet aktieselskab etablerer og driver it-løsningen Ydelsesrefusion, som
opgør den kommunale refusion og medfinansiering af en lang række forsørgelsesydelser inden for Beskæftigelsesministeriets område.
Efter gældende regler i § 10, stk. 3, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne,
Udbetaling Danmark og arbejdsløshedskasserne handler selskabet, der etablerer og driver Ydelsesrefusion, alene efter instruks fra
kommunerne.
Efter databeskyttelsesforordningens artikel 28, stk. 3, litra a, skal det være reguleret i en kontrakt eller et andet retligt
dokument, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
Det foreslås på denne baggrund, at det indarbejdes i § 10, stk. 3, at selskabet alene handler efter kommunernes dokumenterede
instruks. Dette vil medføre at kommunernes instruks til selskabet – der førhen har kunnet gives i mindre formelle former –
fremover vil skulle foreligge i skriftlig form.
Til nr. 2
Efter gældende regler i § 14, stk. 2, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne,
Udbetaling Danmark og arbejdsløshedskasserne er den enkelte kommune dataansvarlig efter persondataloven for behandlingen af
oplysninger, der i Ydelsesrefusion anvendes ved opgørelse af kommunens refusion og medfinansiering, herunder for kommunens
overladelse af oplysninger til brug herfor til selskabet nævnt i samme lovs § 10, stk. 1.
Det fremgår af § 10, stk. 1, at der er tale om et af KL 100 pct. ejet aktieselskab, der etablerer og driver it-løsningen
Ydelsesrefusion, som opgør den kommunale refusion og medfinansiering af en lang række forsørgelsesydelser inden for
Beskæftigelsesministeriets område.
Det foreslås, at henvisningerne i § 14, stk. 2, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og
forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj
2018.
Den foreslåede ændring medfører ikke ændringer i retstilstanden, bortset fra henvisningen til persondatareglerne. Henvisningen til
databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører
ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 3
Det er efter gældende regler i § 11 i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne,
Udbetaling Danmark og arbejdsløshedskasserne, obligatorisk for kommunerne at anvende it-løsningen Ydelsesrefusion, der etableres
og drives af et af KL ejet selskab.
Der er i lovens § 14, stk. 2, fastsat regler om, at den enkelte kommune er dataansvarlig for behandlingen af oplysninger i
Ydelsesrefusion. Det fremgår videre af lovens § 10, stk. 3, at selskabet, der som databehandler for kommunerne etablerer og driver
Ydelsesrefusion, alene handler efter kommunens instruks.
Derved er det sikret, at de 98 kommuner ikke hver især skal indgå enslydende databehandleraftaler med selskabet, der driver
Nemrefusion og Ydelsesrefusion.
Databeskyttelsesforordningen indeholder i artikel 28 skærpede krav til form og indhold af de databehandleraftaler, der skal indgås
mellem den dataansvarlige og databehandleren. Der henvises til de almindelige bemærkninger til lovforslagets afsnit 2.8.2.
Det foreslås, at beskæftigelsesministeren bemyndiges til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver
og ansvar som dataansvarlig efter lovens § 14, stk. 2, og om selskabets opgaver og ansvar som databehandler. Bemyndigelsen vil
kunne anvendes til at udstede regler, der – i overensstemmelse med forordningens artikel 28, stk. 3 – regulerer kommunernes og
selskabets ansvar som henholdsvis dataansvarlige og databehandler.
Forslaget er begrundet i, at de hensyn, der gælder i forhold til fastsættelse af bestemmelser om den dataansvarliges og
databehandlerenes forhold, opgaver og ansvar, i et andet retligt dokument end en databehandleraftale, fortsat gælder, når
databeskyttelsesforordningen træder i kraft. Det er således ministeriets vurdering, at det fortsat ikke er hensigtsmæssigt, at de
98 kommuner vil skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Ydelsesrefusion.
Bemyndigelsen forventes udmøntet i en bekendtgørelse, der skal udgøre det ”retlige dokument”, som regulerer databehandlerens
behandling af personoplysninger, jf. forordningens artikel 28, stk. 3. Udmøntningen vil skulle ske i overensstemmelse med de
konkrete krav, som følger af forordningens artikel 28. At denne regulering sker i bekendtgørelsesform, giver mulighed for at
ajourføre det ”retlige dokument” i tilfælde af ændret praksis eller ændret fortolkning af forordningen, uden at dette medfører et
krav om indgåelse af nye databehandleraftaler for alle 98 kommuner.
Til nr. 4
Efter gældende regler i § 16 stk. 1, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne,
Udbetaling Danmark og arbejdsløshedskasserne skal selskabet nævnt i § 10, stk. 1, som databehandler for kommunerne, jf. § 19,
sikre, at der udarbejdes en uafhængig revisorerklæring om selskabets overholdelse af persondataloven og regler fastsat i medfør
heraf. Revisorerklæringen skal udarbejdes hvert år.
Det foreslås, at henvisningerne i § 16, stk. 1, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og
forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj
2018.
Den foreslåede ændring medfører ikke ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne.
Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske
hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 5
Efter gældende regler i § 19, stk. 2, 1. pkt., i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af
kommunerne, Udbetaling Danmark og arbejdsløshedskasserne skal selskabet nævnt i § 10, stk. 1, som etablerer og driver it-løsningen
Ydelsesrefusion, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller
ulovligt tilintetgøres, fortabes eller forringes, og mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med persondataloven og regler fastsat i medfør heraf.
Det foreslås, at henvisningerne i § 19, stk. 2, 1. pkt., til persondataloven ændres til en henvisning til
databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen
får virkning fra den 25. maj 2018.
Den foreslåede ændring medfører ikke ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne.
Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske
hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Til nr. 6
Efter gældende regler i § 27, stk. 4, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne,
Udbetaling Danmark og arbejdsløshedskasserne er Styrelsen for Arbejdsmarked og Rekruttering dataansvarlig efter persondataloven
for behandlingen af de oplysninger, der anvendes til opgørelse af refusion og medfinansiering efter lovens § 27, stk. 2 og 3.
Bestemmelsen regulerer Styrelsen for Arbejdsmarked og Rekrutterings dataansvar for behandling af personoplysninger i den
interimsløsning, der anvendes til opgørelse af kommunernes refusion og medfinansiering, indtil Ydelsesrefusion sættes i drift.
Det foreslås, at henvisningerne i § 27, stk. 4, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og
forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj
2018.
Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand, bortset fra henvisningen til persondatareglerne.
Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske
hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Efter § 1 i lov om gennemsigtighed og åbenhed i uddannelserne m.v. skal oplysninger om undervisning, uddannelser, skoler og
uddannelsesinstitutioner efter bestemmelserne i loven være offentligt tilgængelige på internettet, så borgerne enkelt og hurtigt
kan vurdere kvaliteten af undervisningen på de enkelte skoler og institutioner. Det følger af lovens § 1, stk. 4, at loven ikke
gælder for oplysninger, der er omfattet af lov om behandling af personoplysninger. Det gælder således oplysninger om
enkeltpersoner som fx lærere og elever.
Foranlediget af databeskyttelsesforordningen, der har direkte virkning i Danmark fra den 25. maj 2018, foreslås en præcisering af
bestemmelsen, så det står klart, at lov om gennemsigtighed og åbenhed i uddannelserne m.v. fortsat ikke gælder for oplysninger,
der er omfattet databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Efter § 18 i lov om godtgørelse og tilskud til befordring ved deltagelse i erhvervsrettet voksen- og efteruddannelse kan
undervisningsministeren oprette et eller flere elektroniske registre, der indeholder oplysninger om godtgørelse og tilskud til
befordring efter loven og regler fastsat i medfør heraf. Registrene danner grundlag for udarbejdelsen af statistik og det tilsyn,
som staten skal fører med arbejdsløshedskassernes og uddannelsesstedernes administration af godtgørelse og tilskud til befordring.
Det følger af lovens § 18, stk. 4, at § 35 i persondataloven ikke finder anvendelse i denne situation.
Efter persondatalovens § 35 kan den registrerede til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om
vedkommende gøres til genstand for behandling. Hvis indsigelsen er berettiget, må behandlingen ikke længere omfatte de pågældende
oplysninger.
Undtagelsesbestemmelsen til persondatalovens § 35 betyder således, at registrerede personer ikke kan gøre indsigelse mod, at
oplysninger om de pågældende gøres til genstand for behandling i relation til godtgørelse og tilskud til befordring. Bestemmelsen
blev indført på baggrund af digitaliseringen af VEU-administrationen.
Det foreslås, at undtagelsen til persondatalovens § 35 ikke videreføres.
Efter databeskyttelsesforordningen artikel 21, stk. 1, har den registrerede således til enhver tid ret til af grunde, der vedrører
den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger baseret på forordningens artikel 6, stk.
1, litra e eller f. Hvis den registrerede gør indsigelse, må den dataansvarlige ikke længere behandle oplysningerne. Forbuddet mod
fortsat behandling gælder dog ikke, hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller
forsvares, sådan som det f.eks. vil være tilfældet i forhold til vurderingen af den registreredes adgang til at opnå godtgørelse
eller tilskud til befordring. Da databeskyttelsesforordningen har umiddelbar virkning, er det derfor ikke nødvendigt at opretholde
undtagelsesbestemmelsen i lovens § 18, stk. 4, til persondatalovens § 35.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Til nr. 2
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Til nr. 3 og 4
Der er tale om konsekvensændringer som følge af databeskyttelsesforordningen og forslag til databeskyttelseslovens ikrafttræden og
ophævelsen af persondataloven.
Den gældende tilsynsordning i Danmark bliver videreført i forslag til databeskyttelsesloven, således at Datatilsynet – ligesom
efter persondataloven – fører det generelle tilsyn med behandling af personoplysninger efter forordningen og forslag til
databeskyttelseslovens regler. Forordningen indebærer således, at Datatilsynet har tilsynskompetence på alle områder inden for
dansk jurisdiktion omfattet af forordningens anvendelsesområde, herunder områder undergivet dansk særregulering fastsat i
overensstemmelse med forordningen. Det gælder dog ikke behandling af oplysninger for domstolene, som er undergivet
Domstolsstyrelsens tilsynskompetence.
Reglerne om Datatilsynets samarbejde med tilsynsmyndigheden i andre medlemsstater følger direkte af databeskyttelsesforordningens
kapitel VII.
Datatilsynet kan indgå i dialog med Finanstilsynet og Forbrugerombudsmanden i forbindelse med Datatilsynets samarbejde med
udenlandske myndigheder efter databeskyttelsesforordningen.
Til nr. 5
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningens artikel 6, stk. 1, litra b.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af
personoplysninger. Der henvises i stedet til databeskyttelsesforordningens kapitel 2 og forslag til databeskyttelseslovens kapitel
3.
Efter de gældende regler i § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester kan oplysninger som nævnt i lovens
§ 31, stk. 5, nr. 2, jf. stk. 4 (dvs. oplysninger om hemmelige og udeladte numre), alene videregives af forsyningspligtudbyderens
landsdækkende nummeroplysningstjeneste til brug for offentlige alarmtjenester, politiet, statsadvokaterne, retterne eller
restanceinddrivelsesmyndigheden.
De nævnte oplysninger kan ikke i dag videregives til kriminalforsorgen.
Det følger endvidere af bemærkningerne til bestemmelsen, at retterne og restanceinddrivelsesmyndighedens adgang til indhentelse af
oplysninger om telefonnumre, herunder hemmelige telefonnumre i nummeroplysningsdatabasen (”118”) er begrænset til indhentelse som
led i telefonforkyndelser. Der er således ikke i dag adgang til at indhente disse oplysninger til brug for efterfølgende
påmindelser pr. sms om tid og sted, hvis der ikke er foretaget telefonforkyndelse, for et retsmøde, jf. retsplejelovens § 154 a,
stk. 1, nr. 6.
Det foreslås, at § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester ændres, således at kriminalforsorgen medtages
i opregningen af de myndigheder, hvortil nummeroplysningsdata som nævnt i lovens § 31, stk. 5, nr. 2, kan videregives.
Det foreslås endvidere, at ordet ”retterne” i § 31, stk. 6, ændres til ”de enkelte retter”.
De foreslåede ændringer vil indebære, at nummeroplysningsdata som nævnt i lovens § 31, stk. 5, nr. 2, også vil kunne videregives
til kriminalforsorgen til brug for påmindelser om afsoning, møder i kriminalforsorgen mv., når der indledningsvis er sendt
tilsigelse på sædvanlig vis, samt at retternes adgang til at indhente oplysninger om telefonnumre, herunder hemmelige
telefonnumre, i nummeroplysningsdatabasen (”118”) udvides til også at omfatte opslag til brug for påmindelser pr. sms om tid og
sted for et retsmøde, jf. retsplejelovens § 154 a, stk. 1, nr. 6, når der er sket forkyndelse i overensstemmelse med
retsplejeloven.
Med forslaget forudsættes det, at kun de personer ved retterne, der beskikkes til at foretage forkyndelser, og de personer ved
kriminalforsorgsområderne og i Direktoratet for Kriminalforsorgen, der udpeges til at foretagetilsigelser til afsoning og til
fremmøde i afdelinger under Kriminalforsorgen i Frihed, får adgang til oplysninger om de hemmelige telefonnumre i
nummeroplysningsdatabasen (”118”), og at behandlingen af de pågældende telefonnumre skal ske i overensstemmelse med
databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af
personoplysninger.
Der henvises i øvrigt til afsnit 2.9 i lovforslagets almindelige bemærkninger.
Til nr. 2
Lov om elektroniske kommunikationsnet og -tjenesters § 45, stk. 1, definerer, hvad en forpligtelse til regnskabsmæssig opsplitning
i henhold til telelovens § 41, stk. 2, nr. 4, omfatter. Det fremgår af bestemmelsen, at der med en forpligtelse til en
regnskabsmæssig opsplitning forstås en forpligtelse til, at udbydere med en stærk markedsposition skal udarbejde regnskaber for
bestemte aktiviteter i forbindelse med netadgang. Det fremgår af § 45, stk. 2, der implementerer artikel 11, stk. 2, i
Europa-Parlamentets og Rådets direktiv 2002/19/EF af 7. marts 2002 om adgang til og samtrafik mellem elektroniske
kommunikationsnet og tilhørende faciliteter (adgangsdirektivet), at offentliggørelse af regnskabsoplysninger, herunder oplysninger
om indtægter, skal ske under respekt af regler om tavshedspligt, herunder regler i forvaltningsloven og lov om behandling af
personoplysninger.
Lov om elektroniske kommunikationsnet og -tjenesters § 72, stk. 1, implementerer artikel 15 i adgangsdirektivet og indebærer, at
afgørelser, der træffes efter § 33, stk. 2, og §§ 38-41, og som omfatter afgørelser om generel regulering af telemarkedet, gøres
offentligt tilgængelige. § 72, stk. 2, indebærer, at andre afgørelser end dem, der er omhandlet i stk. 1, hvilket omfatter
afgørelser af almen interesse eller af betydning for forståelsen af denne lovs bestemmelser eller regler udstedt i medfør heraf,
kan offentliggøres efter en konkret vurdering. Formålet med bestemmelsen er at skabe gennemsigtighed om den aktuelle regulering af
telemarkedet. Det fremgår af § 72, stk. 3, at offentliggørelse skal ske inden for rammerne af regler om tavshedspligt, herunder
reglerne i forvaltningsloven og lov om behandling af personoplysninger.
Persondataloven ophæves i forbindelse med, at databeskyttelsesforordningen finder anvendelse og vil blive erstattet dels af
databeskyttelsesforordningen og dels af forslag til databeskyttelsesloven.
Det foreslås at ændre den gældende lov om elektroniske kommunikationsnet og -tjenesters § 45, stk. 2, og § 72, stk. 3, således at
henvisningen til lov om behandling af personoplysninger ændres, som følge af, at persondataloven ophæves og
databeskyttelsesforordningen samt forslag til databeskyttelsesloven finder anvendelse den 25. maj 2018. Henvisningen skal således
tilpasses databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.
Efter den gældende bestemmelse i sundhedslovens § 37, stk. 1, 1. pkt., har den, om hvis helbredsforhold, der er udarbejdet
patientjournaler mv., på anmodning ret til aktindsigt heri. Efter den gældende bestemmelse i sundhedslovens § 37, stk. 1, 2. pkt.,
har patienten endvidere på anmodning ret til på en letforståelig måde at få meddelelse om, hvilke oplysninger der behandles i
patientjournalen mv., formålet hermed, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse
oplysninger stammer. Bestemmelsen er formuleret som en indsigtsregel, der svarer til den ret til indsigt, den registrerede har
efter § 31 i lov om behandling af personoplysninger.
Sundhedslovens § 37, stk. 1, 1. og 2. pkt. gælder både for manuelle og elektroniske patientjournaler.
Det foreslås at ændre bestemmelsen i § 37, stk. 1, 2. pkt., som en konsekvens af databeskyttelsesforordningen. Det følger således
af EU-retlige regler, at en forordning er almengyldig og gælder umiddelbart i hver medlemsstat. Det indebærer, at forordningen
ikke må gennemføres i national ret. Det bemærkes i den forbindelse, at sundhedslovens § 37, stk. 1, 2. pkt., giver patienten en
mere begrænset ret til indsigt, end den ret til indsigt, som følger af databeskyttelsesforordningen. Patientens ret til indsigt
bliver således med databeskyttelsesforordningen udvidet, idet den dataansvarlige region, privatpraktiserende læge m.fl. efter
databeskyttelsesforordningens artikel 15, ud over de oplysninger der skal gives meddelelse om efter sundhedslovens § 37, stk. 1,
2. pkt., bl.a. skal oplyse den registrerede om opbevaringsperioden samt retten til berigtigelse, sletning og indgivelse af klager.
Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk
databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf.
databeskyttelsesforordningens artikel 2, stk. 1. Begrebet ”automatisk databehandling” er sammenfaldende med begrebet ”elektronisk
databehandling”.
Indsigtsretten efter databeskyttelsesforordningens artikel 15 omfatter således alene oplysninger i patientjournaler, der helt
eller delvis behandles ved hjælp af elektronisk databehandling, eller som er eller vil blive indeholdt i et register.
Det betyder, at retten til indsigt efter databeskyttelsesforordningen vil gælde for patientoplysninger, der er registreret i
elektroniske patientjournaler. Det bemærkes i den forbindelse, at langt de fleste patientjournaler efterhånden er overgået fra at
være registreret i en manuel, papirbaseret journal til at være registreret i elektroniske systemer.
Manuelle patientjournaler vedrørende de enkelte patienter vil derimod sædvanligvis være af en sådan karakter, at de ikke kan
antages at udgøre et register i databeskyttelsesforordningens forstand. Indsigtsretten efter databeskyttelsesforordningen vil
derfor som udgangspunkt ikke gælde for patientoplysninger, der er registreret i manuelle patientjournaler.
Det foreslås på den baggrund at videreføre indsigtsretten i sundhedslovens § 37, stk. 1, 2. pkt., for så vidt angår manuelle
patientjournaler. ”Manuelle patientjournaler” skal i forlængelse heraf forstås som patientjournaler, der ikke er omfattet af
forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.
For så vidt angår patientjournaler, der er omfattet af databeskyttelsesforordningens anvendelsesområde, vil indsigtsretten følge
direkte af databeskyttelsesforordningen artikel 15.
Sundhedslovens § 37, stk. 1, 1. pkt., hvoraf det fremgår, at den, om hvis helbredsforhold der er udarbejdet patientjournaler mv.,
på anmodning har ret til aktindsigt heri, vil fortsat gælde for både elektroniske og manuelle patientjournaler.
Til nr. 2
Efter den gældende bestemmelse i sundhedslovens § 41, stk. 5, skal en patient, når der sker videregivelse af helbredsoplysninger
mv. efter sundhedslovens § 41, stk. 2, nr. 4, som udgangspunkt orienteres om videregivelsen, samt formålet med videregivelsen.
Videregivelse efter sundhedslovens § 41, stk. 2, nr. 4, kan ske uden samtykke fra patienten, hvis videregivelsen er nødvendig til
berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, sundhedspersonen eller andre.
Orientering efter sundhedslovens § 41, stk. 5, kan dog udelades, hvis der er hjemmel hertil i anden lovgivning, eller hvis det
sker af hensyn til offentlige eller private interesser svarende til dem, der beskyttes i denne lovgivning. Med anden lovgivning
sigtes navnlig til persondatalovens regler om oplysningspligt. Pligten til at orientere efter § 41, stk. 5, kan således undlades i
samme omfang, som den dataansvarlige kan undlade at opfylde sin oplysningspligt efter persondataloven.
Det foreslås som en konsekvens af databeskyttelsesforordningen at begrænse anvendelsesområdet for § 41, stk. 5, således at
orienteringspligten alene gælder ved manuel videregivelse af helbredsoplysninger mv.
”Manuel videregivelse” skal forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf.
databeskyttelsesforordningens artikel 2, stk. 1.
Det bemærkes i den forbindelse, at den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens
artikel 13 og artikel 14 vil have pligt til at give patienten en række oplysninger, når der indsamles oplysninger hos patienten,
og når der indsamles oplysninger om den registrerede hos andre end patienten.
Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk
databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf.
databeskyttelsesforordningens artikel 2, stk. 1. Begrebet ”automatisk databehandling” er sammenfaldende med begrebet ”elektronisk
databehandling”.
Oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 gælder således alene i det omfang videregivelsen af
personoplysningerne i medfør af sundhedslovens § 41, stk. 2, nr. 5, foretages helt eller delvis ved hjælp af elektronisk
databehandling, eller er eller vil blive indeholdt i et manuelt register.
Det bemærkes i den forbindelse, at manuelle patientjournaler vedrørende de enkelte patienter sædvanligvis vil være af en sådan
karakter, at de ikke kan antages at udgøre et manuelt register i databeskyttelsesforordningens forstand.
Oplysningspligten efter databeskyttelsesforordningen vil således gælde i forbindelse med videregivelse af helbredsoplysninger mv.
fra elektroniske patientjournaler. Det gælder, uanset om videregivelsen sker elektronisk eller manuelt, jf. U 2011.2343 H, hvor en
sagsbehandlers mundtlige videregivelse af personoplysninger, der var registreret elektronisk, blev anset for at være omfattet af
persondatalovens almindelige anvendelsesområde, jf. persondatalovens § 1, stk. 1. Bestemmelsen i persondatalovens § 1, stk. 1,
svarer i vidt omfang til databeskyttelsesforordningens artikel 2, stk. 1.
Oplysningspligten efter databeskyttelsesforordningen vil desuden gælde, når helbredsoplysninger mv. videregives fra manuelle
patientjournaler, hvis oplysningerne videregives elektronisk, f.eks. ved at en sundhedsperson scanner helbredsoplysninger mv. fra
en manuel patientjournal og sender oplysningerne med digital post, eller hvis de helbredsoplysninger mv., der videregives fra en
manuel patientjournal, indgår i en elektronisk patientjournal hos modtageren af oplysningerne.
I det omfang videregivelsen af helbredsoplysninger mv. er omfattet af databeskyttelsesforordningens almindelige anvendelsesområde,
jf. forordningens artikel 2, stk. 1, vil den foreslåede ændring således indebære, at den dataansvarlige region,
privatpraktiserende læge m.fl. alene skal opfylde oplysningspligten efter databeskyttelsesforordningen. Det bemærkes i den
forbindelse, at langt de fleste patientoplysninger efterhånden er overgået fra at være registreret i en manuel journal til at være
registreret i elektroniske systemer.
Da der imidlertid fortsat i et vist omfang manuelt videregives helbredsoplysninger mv., foreslås det at bibeholde forpligtelsen
til at orientere patienten, når helbredsoplysninger mv. videregives manuelt efter sundhedslovens § 41, stk. 2, nr. 4. ”Manuel
videregivelse” skal i forlængelse heraf forstås som videregivelse, der ikke er omfattet af forordningens almindelige
anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.
Til nr. 3
Efter den gældende bestemmelse i sundhedslovens § 43, stk. 4, skal en patient, hvis der sker videregivelse af helbredsoplysninger
mv. efter sundhedslovens § 43, stk. 2, nr. 2, som udgangspunkt orienteres om videregivelsen, samt formålet med videregivelsen.
Videregivelse efter sundhedslovens § 43, stk. 2, nr. 3, kan ske uden samtykke fra patienten, hvis videregivelsen er nødvendig til
berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, sundhedspersonen eller andre.
Orientering kan dog udelades, hvis der er hjemmel hertil i anden lovgivning, eller hvis det sker af hensyn til offentlige eller
private interesser svarende til dem, der beskyttes i denne lovgivning. Med anden lovgivning sigtes navnlig til persondatalovens
regler om oplysningspligt. Pligten til at orientere efter § 41, stk. 5, kan således undlades i samme omfang, som den
dataansvarlige kan undlade at opfylde sin oplysningspligt efter persondataloven.
Det foreslås som en konsekvens af databeskyttelsesforordningen at begrænse anvendelsesområdet for orienteringspligten i § 43, stk.
4, til at gælde ved manuel videregivelse af helbredsoplysninger mv.
”Manuel videregivelse” skal forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf.
databeskyttelsesforordningens artikel 2, stk. 1.
Det bemærkes i den forbindelse, at den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens
artikel 13 og artikel 14 vil have pligt til at give patienten en række oplysninger, når der indsamles oplysninger hos patienten,
og når der indsamles oplysninger om den registrerede hos andre end patienten.
Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk
databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf.
databeskyttelsesforordningens artikel 2, stk. 1. Begrebet ”automatisk databehandling” er sammenfaldende med begrebet ”elektronisk
databehandling”.
Oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 gælder således alene i det omfang videregivelsen af
personoplysningerne i medfør af sundhedslovens § 43, stk. 4, foretages helt eller delvis ved hjælp af elektronisk databehandling,
eller, hvis de omhandlede personoplysninger, der videregives, er eller vil blive indeholdt i et manuelt register.
Det bemærkes i den forbindelse, at manuelle patientjournaler vedrørende de enkelte patienter sædvanligvis vil være af en sådan
karakter, at de ikke kan antages at udgøre et manuelt register i databeskyttelsesforordningens forstand.
Oplysningspligten efter databeskyttelsesforordningen vil således gælde i forbindelse med videregivelse af helbredsoplysninger mv.
fra elektroniske patientjournaler. Det gælder uanset om videregivelsen sker elektronisk eller manuelt, jf. U 2011.2343 H, hvor en
sagsbehandlers mundtlige videregivelse af personoplysninger, der var registreret elektronisk, blev anset for at være omfattet af
persondatalovens almindelige anvendelsesområde, jf. persondatalovens § 1, stk. 1. Persondatalovens § 1, stk. 1, svarer i vidt
omfang til databeskyttelsesforordningens artikel 2, stk. 1.
Oplysningspligten efter databeskyttelsesforordningen vil desuden gælde, når helbredsoplysninger mv. videregives fra manuelle
patientjournaler, hvis oplysningerne videregives elektronisk, f.eks. ved at en sundhedsperson scanner helbredsoplysninger mv. fra
en manuel patientjournal og sender oplysningerne med digital post, eller hvis de helbredsoplysninger mv., der videregives fra en
manuel patientjournal indgår i en elektronisk patientjournal hos modtageren af oplysningerne.
I det omfang videregivelsen af helbredsoplysninger mv. er omfattet af databeskyttelsesforordningens almindelige anvendelsesområde,
jf. forordningens artikel 2, stk. 1, vil den foreslåede ændring således indebære, at den dataansvarlige region,
privatpraktiserende læge m.fl. alene skal opfylde oplysningspligten efter databeskyttelsesforordningen. Det bemærkes i den
forbindelse, at langt de fleste patientoplysninger efterhånden er overgået fra at være registreret i en manuel journal til at være
registreret i elektroniske systemer.
Da der imidlertid fortsat i et vist omfang manuelt videregives helbredsoplysninger mv., foreslås det at bibeholde forpligtelsen
til at orientere patienten, når der manuelt videregives helbredsoplysninger mv. efter sundhedslovens § 43, stk. 4. ”Manuel
videregivelse” skal i forlængelse heraf forstås som videregivelse, der ikke er omfattet af forordningens almindelige
anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.
Til nr. 4
Efter den gældende bestemmelse i § 196, stk. 3, kan sundheds- og ældreministeren bestemme, at den registrerede skal have
indsigtsret i oplysninger, der er registreret om vedkommende i de kliniske kvalitetsdatabaser, som er nævnt i § 196, stk. 2.
Bemyndigelsesbestemmelsen i § 196, stk. 3, er udmøntet ved § 5 i bekendtgørelse nr. 909 af 26. juni 2016 om indberetning til
godkendte kliniske kvalitetsdatabaser og videregivelse af data til Sundhedsdatastyrelsen. Det fremgår af denne bestemmelse, at
den, der er registreret i en klinisk kvalitetsdatabase, hos den dataansvarlige for kvalitetsdatabasen kan anmode om at få indsigt
i de oplysninger, der behandles om vedkommende. Det fremgår desuden, at henvendelsen skal behandles efter reglerne i §§ 31-34 i
persondataloven bortset fra § 32, stk. 4, der ikke finder anvendelse på kliniske kvalitetsdatabaser.
Den, der er registreret i en klinisk kvalitetsdatabase har efter gældende regler – ud over indsigtsretten – de øvrige rettigheder,
der følger af persondataloven, herunder retten til indsigelse mod behandling af personoplysninger, jf. persondatalovens § 35, og
retten til berigtigelse, sletning eller blokering af personoplysninger, jf. persondatalovens § 37. Den registreredes rettigheder,
herunder den registreredes indsigtsret, vil med virkning fra den 25. maj 2018 følge direkte af databeskyttelsesforordningen.
Det foreslås på den baggrund at nyaffatte sundhedslovens § 196, stk. 3, således, at det fremgår af bestemmelsen, at de
rettigheder, som den, der er registreret i en klinisk kvalitetsdatabase, har efter databeskyttelsesforordningen, kan begrænses
efter den foreslåede bestemmelse i databeskyttelseslovens § 22, bortset fra denne bestemmelses stk. 5, der ikke finder anvendelse
på kliniske kvalitetsdatabaser.
Det følger af forslag til databeskyttelseslovens § 22, stk. 5, at databeskyttelsesforordningens artikel 15, 16, 18 og 21, ikke
finder anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller til at udarbejde statistikker
Artikel 15 vedrører den registreredes indsigtsret, artikel 16 vedrører den registreredes ret til berigtigelse, artikel 18 vedrører
den registreredes ret til begrænsning af behandling og artikel 21 vedrører den registreredes ret til indsigelse.
Med den foreslåede bestemmelse i sundhedslovens § 196, stk. 3, videreføres de rettigheder, som den, der er registreret i en
klinisk kvalitetsbase, allerede har i dag med de konsekvensændringer, der er nødvendige som følge af databeskyttelsesforordningen
og forslag til databeskyttelsesloven.
I udlændingelovens § 44 a, stk. 12, 1. pkt., og § 44 a, stk. 12, 3. pkt., henvises til persondatalovens § 7, stk. 8.
Det foreslås, at udlændingelovens § 44 a ophæves som konsekvens af, at persondatalovens § 7, stk. 8, ophæves i forslag til
databeskyttelsesloven. Det er ikke længere relevant at undtage visse behandlinger i udlændingeloven fra persondatalovens § 7, stk.
8, idet bestemmelsen ophæves, når forslag til databeskyttelsesloven og databeskyttelsesforordningen finder anvendelse den 25. maj
2018. Retstilstanden vil herefter være uændret.
Det følger af CPR-lovens § 4, stk. 2, 1. pkt., at en anmodning fra en person over 15 år om indsigt i oplysninger i CPR om
vedkommende selv, jf. § 31, stk. 1, i lov om behandling af personoplysninger, skal fremsættes ved anvendelse af den digitale
selvbetjeningsløsning, som Økonomi- og Indenrigsministeriet stiller til rådighed (digital selvbetjening).
Indsigtsretten følger af den nugældende persondatalovs § 31, stk. 1, mens reglerne om anmodning om registerindsigt i CPR, der er
underlagt obligatorisk digital selvbetjening, findes i CPR-loven.
Det foreslås, at henvisningen i CPR-lovens § 4, stk. 2, 1. pkt., til reglen om indsigtsretten i den nugældende persondatalovs §
31, stk. 1, ændres til en henvisning til databeskyttelsesforordningens artikel 15, stk. 1, som bliver det fremtidige
hjemmelsgrundlag.
Forslaget er en konsekvens af databeskyttelsesforordningens ikrafttræden og ophævelsen af den nugældende persondatalovs § 31, stk.
1.
Det er vurderet, at det inden for rammerne af databeskyttelsesforordningens artikel 15, stk. 3, der vedrører den dataansvarliges
meddelelse af indsigten, herunder meddelelse i elektronisk form, er muligt at bevare den gældende ordning i CPR-lovens § 4, stk.
3, hvorefter en anmodning om registerindsigt alene besvares via den digitale selvbetjeningsløsning.
Til nr. 2
Det fremgår af CPR-lovens § 29, stk. 2, 1. pkt., at enhver ved henvendelse til sin bopælskommune har ret til at få indsat en
markering i CPR om, at den pågældende frabeder sig henvendelser, der sker i markedsføringsøjemed.
Efter CPR-lovens § 29, stk. 2, 2. pkt., giver en sådan markering dels den beskyttelse mod markedsføring, der er fastsat i
markedsføringslovens § 6 sammenholdt med CPR-lovens § 40, stk. 4 og 5, dels den beskyttelse mod videregivelse mv. til brug ved
anden virksomheds markedsføring, der er fastsat i § 36 i lov om behandling af personoplysninger.
Bestemmelsen i CPR-lovens § 29, stk. 2, er en del af ordningen vedrørende markedsføringsbeskyttelse for forbrugere, der er
reguleret i henholdsvis markedsføringsloven og i den nugældende persondatalov.
Det foreslås, at henvisningen i CPR-lovens § 29, stk. 2, 2. pkt., til markedsføringslovens § 6 ændres til en henvisning til
markedsføringslovens § 10.
Ved lov nr. 426 af 3. maj 2017 om markedsføring blev reguleringen af den beskyttelse mod markedsføring som tidligere var fastsat i
markedsføringslovens § 6 videreført med få justeringer ved lovens § 10. Der henvises herom til bemærkningerne til forslaget til
denne lov, jf. Folketingstidende 2016-17, A, L 40 som fremsat, side 59.
Der blev ikke i den forbindelse foretaget de nødvendige konsekvensændringer i CPR-lovens § 29, stk. 2, 2. pkt.
Ved forslaget sikres henvisning til den rette bestemmelse i markedsføringsloven.
Den foreslåede ændring er af redaktionel karakter, og vedrører alene henvisningerne i CPR-lovens § 29, stk. 2, 2. pkt., til de
ovennævnte regler i anden lovgivning, hvori selve beskyttelsen også fremover vil være reguleret.
Det foreslås endvidere, at henvisningen i CPR-lovens § 29, stk. 2, 2. pkt., til reglen i den nugældende persondatalovs § 36 om den
registreredes ret til at gøre indsigelse mod, at en virksomhed videregiver oplysninger om den pågældende til andre virksomheder
med henblik på markedsføring mv., ændres til artikel 21 i databeskyttelsesforordningen og § 13, stk. 4, i forslag til
databeskyttelsesloven.
Ændringen er en konsekvens af databeskyttelsesforordningen og forslag til databeskyttelsesloven, og der foreslås ikke yderligere
ændringer.
I artikel 21, stk. 2 og 3, i databeskyttelsesforordningen er der fastsat regler om den registreredes indsigelsesret i forbindelse
med direkte markedsføring.
Databeskyttelsesforordningens artikel 21, stk. 2 og 3, er overordnet en videreførelse af gældende ret, men det bemærkes dog, at
efter artikel 21, stk. 2 og 3, kan der kun gøres indsigelse i forbindelse med de situationer, hvor der er tale om direkte
markedsføring. For nærmere herom se betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 355-370.
I persondatalovens § 36, stk. 2, 1. pkt., er fastsat regler om virksomheders pligtmæssige undersøgelse i CPR af, om en forbruger
frabeder sig henvendelser i markedsføringsøjemed forinden videregivelse eller anvendelse af oplysningerne i markedsføringsøjemed.
I forslag til databeskyttelseslovens § 13, stk. 4, videreføres reglen om, at en virksomhed – hver gang den ønsker at videregive
oplysninger om en forbruger til andre virksomheder til brug ved direkte markedsføring mv. – skal tjekke i CPR, om forbrugeren har
frabedt sig henvendelser i markedsføringsøjemed. I bekræftende fald må oplysningerne ikke videregives til dette formål, jf.
databeskyttelsesforordningens artikel 21, stk. 3.
For så vidt angår den forbruger, der ikke i CPR har frabedt sig henvendelser i markedsføringsøjemed, skal virksomheden endvidere –
senest på tidspunktet for den første kommunikation med forbrugeren (den registrerede) – efter databeskyttelsesforordningens
artikel 21, stk. 4, udtrykkeligt gøre den registrerede opmærksom på retten til at gøre indsigelse efter forordningens artikel 21,
stk. 2, mod behandling af personoplysninger til direkte markedsføring.
Reglerne gælder også i den situation, hvor oplysningerne anvendes på vegne af en anden virksomhed med henblik på direkte
markedsføring.
Forslag til databeskyttelseslovens § 13, stk. 4, beskriver således den fremgangsmåde, som den dataansvarlige virksomhed skal følge
for at sikre sig, at forbrugeren ikke har gjort indsigelse imod, at generelle kundeoplysninger om den pågældende videregives til
en anden virksomhed med henblik på direkte markedsføring.
Fremgangsmåden skal også følges i tilfælde, hvor den dataansvarlige virksomhed ikke ønsker at videregive oplysningerne til en
anden virksomhed, men derimod selv ønsker at anvende oplysningerne på vegne af en anden virksomhed med henblik på direkte
markedsføring.
Til nr. 3
Der er i CPR-lovens § 31, § 35, 2. pkt., § 36, 2. pkt., § 37, 2. pkt., og § 38, stk. 6, ved enslydende formuleringer fastsat som
betingelse for den af disse bestemmelser fastsatte videregivelse af oplysninger fra CPR henholdsvis ældre
folkeregistreringsmateriale i kommunen, at modtageren af oplysningerne er berettiget til at behandle disse oplysninger efter den
nugældende persondatalov.
Det fremgår således af CPR-lovens § 31, at oplysninger i CPR og ældre folkeregistermateriale kan videregives til anden offentlig
myndighed efter reglerne i lov om behandling af personoplysninger.
Bestemmelserne i CPR-lovens § 35, 2. pkt., § 36, 2. pkt., og § 37, 2. pkt., fastsætter samme betingelse for så vidt angår Økonomi-
og Indenrigsministeriets videregivelse af oplysninger i CPR til brug i statistisk eller videnskabeligt øjemed samt kommunernes
videregivelse til samme formål af oplysninger, der ikke er registreret i CPR, men som findes i ældre folkeregistermateriale i
kommunen.
Efter CPR-lovens § 38, stk. 6, er det en betingelse for Økonomi- og Indenrigsministeriets levering af oplysninger efter stk. 1-4,
at modtageren efter lov om behandling af personoplysninger er berettiget til at behandle oplysningerne.
Det fremgår af CPR-lovens § 52, stk. 1, at hvis en offentlig myndighed i overensstemmelse med lov om behandling af
personoplysninger anvender personnummer som identifikation eller journalnummer, skal det være personnummeret for den person, sagen
vedrører.
Det foreslås, at henvisningen til den nugældende persondatalov i ovennævnte bestemmelser i CPR-loven ændres til en henvisning til
databeskyttelsesforordningen og forslag til databeskyttelsesloven, som bliver det fremtidige hjemmelsgrundlag.
Formålet med den foreslåede ændring er at foretage de nødvendige konsekvensændringer som følge af databeskyttelsesforordningens
ikrafttræden og det samtidigt hermed fremsatte forslag til databeskyttelsesloven.
Efter den kommunale og regionale valglovs § 106, stk. 4, 1. pkt., kan valgmateriale omfattet af stk. 3, 1. pkt., efter
kommunalbestyrelsens henholdsvis regionsrådets bestemmelse anvendes til forskning og statistik i overensstemmelse med reglerne i
lov om behandling af personoplysninger. Bestemmelsen fastsætter således en undtagelse fra stk. 3, 1. pkt., hvorefter valglisterne,
valgkortene og stemmesedlerne, herunder brevstemmemateriale, skal tilintetgøres, når klagefristen er udløbet, jf. § 93, og
eventuelle klager over valget er endeligt afgjort.
Med den foreslåede ændring fastlægges, at den omhandlede behandling af personoplysninger fremover skal have hjemmel i reglerne i
databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Det antages, at de omhandlede personoplysninger vil kunne behandles med henblik på forskning og statistik i samme omfang som efter
den nugældende persondatalov.
Der tilsigtes med den foreslåede ændring ikke i øvrigt nogen ændring i forhold til den gældende retstilstand. Kompetencen til at
beslutte at lade valgmateriale anvende til forskning og statistik ligger således fortsat hos kommunalbestyrelsen samt – for så
vidt angår det valgmateriale, som regionsrådet opbevarer – hos regionsrådet, og der foreligger efter bestemmelsen ikke nogen pligt
for kommunalbestyrelserne henholdsvis regionsrådene til at videregive valgmaterialet eller til at medvirke til forskningen.
Efter folketingsvalglovens § 104, stk. 4, 1. pkt., kan valgmateriale omfattet af stk. 3, 1. pkt., efter kommunalbestyrelsens
bestemmelse anvendes til forskning og statistik i overensstemmelse med reglerne i lov om behandling af personoplysninger.
Bestemmelsen fastsætter således en undtagelse fra stk. 3, 1. pkt., hvorefter valglisterne, valgkortene, stemmesedlerne samt
brevstemmematerialet skal tilintetgøres, når klagefristen er udløbet, jf. §§ 88 og 103, og eventuelle klager over valget er
endeligt afgjort.
Folketingsvalglovens § 104 gælder både for folketingsvalg, folkeafstemninger og – i kraft af henvisningen i
Europa-Parlamentsvalglovens § 44 – for Europa-Parlamentsvalg.
Med den foreslåede ændring fastlægges, at den omhandlede behandling af personoplysninger fremover skal have hjemmel i reglerne i
databeskyttelsesforordningen og forslag til databeskyttelsesloven.
Det antages, at de omhandlede personoplysninger vil kunne behandles med henblik på forskning og statistik i samme omfang som efter
den nugældende persondatalov.
Der tilsigtes med den foreslåede ændring ikke i øvrigt nogen ændring i forhold til den gældende retstilstand. Kompetencen til at
beslutte at lade valgmateriale anvende til forskning og statistik ligger således fortsat hos kommunalbestyrelsen, og der
foreligger efter bestemmelsen ikke nogen pligt for kommunalbestyrelsen til at videregive valgmaterialet eller til at medvirke til
forskningen.
§ 2, stk. 3, i lov om Digital Post fra offentlige afsendere indeholder en fravigelse af persondatalovens § 35. Det betyder, at
indsigelse fra en borger mod at vedkommendes personnummer behandles i forbindelse med tilslutning, uden videre vil blive anset som
uberettiget på grund hjemmelsbestemmelsen i stk. 2.
Med lov om Digital Post fra offentlige afsendere blev der skabt lovhjemmel for obligatorisk tilslutning til det offentlige
digitale postsystem for fysiske personer og juridiske enheder og dermed for digital kommunikation fra det offentlige og til de
pågældende.
Digital Post løsningen giver mulighed for sikker digital kommunikation mellem myndigheder og borgere/virksomheder, og det er en
del af løsningen, at myndigheder kan kommunikere sikkert til et specifikt personnummer for fysiske personer, for dermed at sikre
identiteten af den borger, der kommunikeres med. Tilslutningen til Digital Post løsningen er obligatorisk for borgere, dog er der
mulighed for fritagelse i særlige tilfælde.
Digital Post løsningen er lovhjemlet i lov om Digital Post fra offentlige afsendere. Det følger af § 2, stk. 2, i denne lov, at
ministeren udpeger en systemansvarlig, som har til opgave at varetage driften af Digital Post løsningen. Det fremgår endvidere, at
den systemansvarlige kan behandle personnumre med det formål at kunne tilslutte borgere til løsningen og for at kunne varetage den
løbende drift af løsningen. Det fremgår endvidere af § 2, stk. 3, at persondatalovens § 35, hvorefter en borger har ret til at
modsætte sig behandlingen af en oplysning om dem, ikke finder anvendelse på denne behandling af personnumre. For Digital Post
løsningen betyder denne begrænsning af de registreredes indsigelsesret, at man som borger ikke kan benytte denne ret til konkret
at nægte behandlingen af personnummer i forbindelse med tilslutningen til og driften af Digital Post løsningen. Baggrunden for
begrænsningen er, at personnummeret anvendes til at sikre identiteten af den borger, der kommunikeres med.
Idet databeskyttelsesforordningen finder anvendelse den 25. maj 2018, og persondataloven bliver ophævet, vil det fra denne dato
være nødvendigt at ændre henvisningen til lov om behandling af personoplysninger i § 2, stk. 3 i lov om Digital Post fra
offentlige afsendere.
Hensigten med lovforslaget er at sikre, at den gældende begrænsning i de registreredes indsigelsesret i forbindelse med behandling
af personnumre ved tilslutning og drift af Digital Post-løsningen, opretholdes.
Databeskyttelsesforordningens artikel 23 giver mulighed for, at medlemsstaterne kan begrænse de rettigheder og forpligtelser, der
er omhandlet i forordningens artikel 12-22, såfremt dette er en nødvendig og forholdsmæssig foranstaltning i et demokratisk
samfund af hensyn til bl.a. en medlemsstats generelle samfundsinteresser, jf. artikel 23, stk. 1, litra e, jf. bemærkningerne i
afsnit 2.11.
Lovforslaget har ikke til hensigt at ændre på øvrige regler på området for lov om afsendelse af Digital Post fra offentlige
afsendere.
Der er tale om en konsekvensændring som følge af databeskyttelsesforordningen og forslag til databeskyttelseslovens ikrafttræden
og ophævelse af persondataloven.
I lov om indhentelse af børneattest i forbindelse med ansættelse af personale m.v. (herefter benævnt børneattestloven) henvises
der i § 4 til persondatalovens kapitel 12 og 13.
Børneattestlovens § 4 fastslår, at myndigheder og private fysiske og juridiske personer, der indhenter børneattester i medfør af
lovens regler, ikke af denne grund skal foretage anmeldelse til eller indhente udtalelse eller tilladelse fra Datatilsynet i
henhold til persondatalovens kapitel 12 eller 13.
Persondatalovens regler i kapitel 12 og 13 videreføres som udgangspunkt ikke med det nye forslag til databeskyttelsesloven, og
efter de nye reglers ikrafttræden gælder der således ikke et krav om forudgående anmeldelse og tilladelse mv. ved behandling af
oplysninger om strafbare forhold. Der vil derfor ikke fremadrettet være behov for at fravige et sådant krav i børneattestloven.
På den baggrund foreslås det, at § 4 i børneattestloven ophæves.
Det foreslås i stk. 1
, at loven træder i kraft den 25. maj 2018, hvor databeskyttelsesforordningen og forslag til databeskyttelsesloven ligeledes
finder anvendelse.
For lovens § 2, nr. 3-4, gælder de nye krav til samtykke således fra den 25. maj 2018. Et samtykke, der er indhentet før den 25.
maj 2018, og som opfylder kravene til et samtykke efter den gældende bestemmelse i forvaltningslovens § 28, stk. 3, vil fortsat
være et gyldigt samtykke til videregivelse af fortrolige oplysninger efter forvaltningslovens § 28, stk. 2, nr. 1, selvom de nye
krav til samtykket ikke var opfyldt ved indhentelsen af samtykket.
Det foreslås i stk. 2
, at § 7, nr. 2, ikke finder anvendelse på afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens
ikrafttræden, eller på henvendelser inden lovens ikrafttræden om sletning eller genmæle. For sådanne afslag og henvendelser finder
de hidtil gældende regler anvendelse.
Det indebærer, at klage over afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens ikrafttræden,
skal indbringes for Pressenævnet senest 4 uger efter, at afslaget er kommet frem.
Endvidere indebærer det, at klage over, at en henvendelse inden lovens ikrafttræden om sletning eller genmæle ikke er besvaret
inden 4 uger, skal indbringes for Pressenævnet 4 uger efter udløbet af den nævnte frist for at besvare henvendelsen.
Det foreslås i stk. 3
, at beskæftigelsesministeren bemyndiges til at fastsætte, hvornår reglerne i lovforslagets § 11, nr. 2 og 4-6, om henvisning til
databeskyttelsesforordningens regler skal træde i kraft. Bemyndigelsen skal ses på baggrund af, at tidspunktet for, hvornår
selskabet Ydelsesrefusion sættes i drift, endnu ikke er fastlagt.
Beskæftigelsesministeren er herefter forpligtet til at sikre, at lovforslagets § 11, nr. 2 og 4-6, bliver sat i kraft den 25. maj
2018, såfremt §§ 14, stk. 2, 16, stk. 1, 19, stk. 2, 1. pkt. og 27, stk. 4, i lov om kommunernes finansiering af visse offentlige
ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne bliver sat i kraft inden denne dato.
Beskæftigelsesministeren er endvidere forpligtet til at sikre, at lovforslagets § 11, nr. 2 og 4-6, bliver sat i kraft senest
samtidig med §§ 14, stk. 2, 16, stk. 1, 19, stk. 2, 1. pkt. og 27, stk. 4, i lov om kommunernes finansiering af visse offentlige
ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne, såfremt disse sættes i kraft efter den 25. maj 2018.
De foreslåede ændringer i bestemmelsens stk. 1
gælder ikke for Færøerne, men de foreslåede ændringer i lov om Politiets Efterretningstjeneste (PET), lov om Forsvarets
Efterretningstjeneste (FE), lov om betalinger, lov om forvaltere af alternative investeringsfonde, sundhedsloven, lov om
videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter og udlændingeloven kan ved kongelig anordning helt eller
delvist sættes i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger. Ændringerne af disse love har samme
territoriale gyldighedsområde som hovedlovene.
De foreslåede ændringer i bestemmelsens stk. 2
gælder ikke for Grønland, men de foreslåede ændringer i lov om retshåndhævende myndigheders behandling af personoplysninger, lov
om Politiets Efterretningstjeneste (PET), lov om Forsvarets Efterretningstjeneste (FE), selskabsloven, lov om betalinger, lov om
forvaltere af alternative investeringsfonde, udlændingeloven og lov om Det Centrale Personregister kan ved kongelig anordning helt
eller delvist sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger. Ændringerne af disse love har
samme territoriale gyldighedsområde som hovedlovene.
Hvad angår de foreslåede ændringer af lov om kommunale og regionale valg og folketingsvalgloven, jf. lovforslagets §§ 26 og 27,
finder disse anvendelse for hele riget. Dette skyldes, at de hovedlove, der ændres ved denne del af lovforslaget – uanset at der
ikke afholdes valg efter disse hovedlove på Færøerne og i Grønland – på visse områder har retsvirkninger for Færøerne og Grønland,
navnlig derved, at de pågældende hovedlove indeholder en bestemmelse om de færøske og grønlandske folkeregistres medvirken ved
brev-stemmeafgivning til det danske folketingsvalg, Europa-Parlamentsvalg og kommunal- og regionalvalg uden for Færøerne og
Grønland. Denne medvirken sker med de fornødne tilpasninger efter den fremgangsmåde, der er fastsat herom i folketingsvalglovene
for henholdsvis Færøerne og Grønland og i disse rigsdeles særskilte egen lovgivning.
Ingen af de ved dette lovforslag foreslåede ændringer af valglovgivningen har retsvirkning for Færøerne eller Grønland.
De foreslåede ændringer i bestemmelsens stk. 3,
som ændrer lov om retshåndhævende myndigheders behandling af personoplysninger, gælder ikke for Færøerne. Loven kan ved kongelig
anordning kan sættes i kraft for rigsmyndighedernes behandling af oplysninger med de ændringer, som de færøske forhold tilsiger.
De foreslåede ændringer i bestemmelsens stk. 4
som ændrer forvaltningsloven og offentlighedsloven gælder ikke for sager om færøske og grønlandske anliggender. Lovene kan ved
kongelig anordning sættes i kraft for sådanne sager med de ændringer, som de færøske og grønlandske forhold tilsiger. Dette gælder
dog kun sager, der er eller har været under behandling af rigsmyndigheder.
Lov om ændring af lov om retshåndhævende myndigheders behand...
Gældende
LOV nr 503 af 23/05/2018
Justitsministeriet
Ændringer:
0
Lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.)
I lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger foretages følgende ændringer:
1. § 27, stk. 3, affattes således:
»Stk. 3. Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares her i landet.«
2. I § 27, stk. 4, ændres »stk. 1-3« til: »stk. 1 og 2«.
3. § 27, stk. 5, ophæves.
4. § 37, stk. 2-9, ophæves, og i stedet indsættes:
»Stk. 2. For Datatilsynet gælder reglerne i § 27, stk. 2-9, i databeskyttelsesloven.«
I forvaltningsloven, jf. lovbekendtgørelse nr. 433 af 22. april 2014, foretages følgende ændringer:
1. I § 10, stk. 1, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.
2. § 28, stk. 1, affattes således:
»For manuel videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8 og 10 og § 11, stk. 1, og i artikel 5, stk. 1, litra a-c, artikel 6, artikel 7, stk. 3, 1. og 2. pkt., artikel 9 og 10 og artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. databeskyttelseslovens § 2, stk. 1. For videregivelse af personoplysninger til en anden forvaltningsmyndighed, der helt eller delvis foretages ved hjælp af automatisk databehandling, finder reglerne i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven anvendelse, medmindre videregivelsen er reguleret af lov om retshåndhævende myndigheders behandling af personoplysninger.«
3. § 28, stk. 3, affattes således:
»Stk. 3. Ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den, oplysningen angår, ved erklæring eller klar bekræftelse indvilger i, at oplysningen videregives.«
4. I § 28, stk. 4, indsættes som 2. og 3. pkt.:
»Inden der gives samtykke, skal den, oplysningen angår, oplyses om, at et samtykke kan trækkes tilbage. Det skal være lige så let at trække samtykket tilbage som at give det.«
I lov nr. 606 af 12. juni 2013 om offentlighed i forvaltningen, som ændret ved lov nr. 148 af 7. februar 2017, foretages følgende ændringer:
1. I § 11, stk. 2, ændres »§ 10 i lov om behandling af personoplysninger« til: »§ 10, stk. 1-4, i databeskyttelsesloven«.
2. I § 14, stk. 1, 2. pkt. ændres »lov om behandling af personoplysninger« til »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.
I lov om Politiets Efterretningstjeneste (PET), jf. lovbekendtgørelse nr. 231 af 7. marts 2017, foretages følgende ændringer:
1. Overalt i loven ændres »§ 7, stk. 2, og § 8, stk. 2,« til: »§ 7, stk. 1, og § 8, stk. 1,«.
2. Efter § 6 indsættes i kapitel 5:
Ȥ 6 a. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
Stk. 2. Behandling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.
Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Stk. 5. Oplysninger, som behandles, må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Stk. 6. Politiets Efterretningstjeneste kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
Stk. 7. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.«
3. § 7, stk. 1, ophæves.
Stk. 2 og 3 bliver herefter stk. 1 og 2.
4. § 8, stk. 1, ophæves.
Stk. 2 og 3 bliver herefter stk. 1 og 2.
5. I § 9 a, stk. 1, 1. pkt., ændres »§ 7, stk. 3, eller § 8, stk. 3,« til: »§ 7, stk. 2, eller § 8, stk. 2,«.
6. I § 9 a, stk. 2, ændres »§§ 7-9« til: »§§ 6 a-9«.
7. I § 10, stk. 2, 1. pkt., ændres »§ 7« til: »§§ 6 a og 7«.
8. I § 10, stk. 2, 2. pkt., ændres »lov om behandling af personoplysninger anvendelse, hvis den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger« til: »databeskyttelsesloven anvendelse, hvis den videregivelse, der er nævnt i 1. pkt., vedrører oplysninger om rent private forhold«.
I retsplejeloven, jf. lovbekendtgørelse nr. 1101 af 22. september 2017, som ændret ved lov nr. 1679 af 26. december 2017, § 2 i lov nr. 1680 af 26. december 2017 og lov nr. 130 af 27. februar 2018, foretages følgende ændringer:
1. I § 41 h, stk. 1, 2. pkt., ændres »regler i lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og regler i databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.
2. I § 741 g, stk. 3, udgår », og at persondatalovens bestemmelser om oplysningspligt ikke finder anvendelse i forhold til den dømte«.
3. I § 1017 d, stk. 2, ændres »§ 9 i lov om behandling af personoplysninger« til: »databeskyttelseslovens § 9«.
I straffeloven, jf. lovbekendtgørelse nr. 977 af 9. august 2017, som ændret senest ved lov nr. 358 af 29. april 2018, foretages følgende ændring:
1. I § 263 a, stk. 3, nr. 2, ændres »§ 7, stk. 1, eller § 8, stk. 1, i lov om behandling af personoplysninger« til: »artikel 9, stk. 1, eller artikel 10 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.
I lov nr. 430 af 1. juni 1994 om massemediers informationsdatabaser, som ændret ved § 81 i lov nr. 429 af 31. maj 2000 og § 22 i lov nr. 433 af 31. maj 2000, foretages følgende ændringer:
1. § 6, stk. 2, ophæves.
2. To steder i § 12, stk. 2, ændres »4 uger« til: »12 uger«.
I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1287 af 28. november 2017, foretages følgende ændringer:
1. Overalt i loven ændres »§ 4, stk. 2, og § 5, stk. 2,« til: »§ 4, stk. 1, og § 5, stk. 1,«.
2. Efter § 3 d indsættes i kapitel 3:
»§ 3 e. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal behandles i overensstemmelse med god databehandlingsskik.
Stk. 2. Behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.
Stk. 3. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Stk. 4. Behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Stk. 5. Personoplysninger, som behandles, om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Stk. 6. Forsvarets Efterretningstjeneste kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
Stk. 7. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.«
I lov nr. 1482 af 23. december 2014 om organisering og understøttelse af beskæftigelsesindsatsen m.v., som ændret senest ved § 3 i lov nr. 625 af 8. juni 2016, foretages følgende ændringer:
1. I § 40, stk. 1, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
2. I § 41, stk. 1, ændres »§ 42 i lov om behandling af personoplysninger« til: »artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.
I lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion), jf. lovbekendtgørelse nr. 440 af 1. maj 2013, foretages følgende ændringer:
1. I § 4, stk. 1 og 2, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
2. I § 8, stk. 3, 1. pkt., ændres »efter instruks« til: »alene efter dokumenteret instruks«.
3. I § 8, stk. 3, 2. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne, jf. lovbekendtgørelse nr. 1086 af 19. september 2017, som ændret ved § 4 i lov nr. 288 af 29. marts 2017, foretages følgende ændringer:
1. I § 10, stk. 3, indsættes efter »efter«: »dokumenteret«.
2. I § 14, stk. 2, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
3. I § 16, stk. 1, 1. pkt., ændres »persondataloven og regler fastsat i medfør heraf« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
4. I § 19, stk. 2, 1. pkt., ændres »persondataloven og regler fastsat i medfør heraf« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
5. I § 27, stk. 4, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om gennemsigtighed og åbenhed i uddannelserne m.v., jf. lovbekendtgørelse nr. 771 af 10. juni 2015, foretages følgende ændring:
1. I § 1, stk. 4, ændres: »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om godtgørelse og tilskud til befordring ved deltagelse i erhvervsrettet voksen- og efteruddannelse, jf. lovbekendtgørelse nr. 761 af 22. juni 2016, som ændret ved § 5 i lov nr. 706 af 8. juni 2017, § 2 i lov nr. 1669 af 26. december 2017 og § 2 i lov nr. 1693 af 26. december 2017, foretages følgende ændring:
I selskabsloven, jf. lovbekendtgørelse nr. 1089 af 14. september 2015, som ændret senest ved § 2 i lov nr. 1665 af 26. december 2017, foretages følgende ændring:
1. I § 57 a, stk. 5, 2. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I revisorloven, jf. lovbekendtgørelse nr. 1167 af 9. september 2016, som ændret ved § 13 i lov nr. 1549 af 13. december 2016, § 11 i lov nr. 285 af 29. marts 2017, § 14 i lov nr. 665 af 8. juni 2017 og § 6 i lov nr. 1665 af 26. december 2017, foretages følgende ændring:
1. I § 48, stk. 5, nr. 5, og § 49, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov nr. 526 af 28. maj 2014 om formidling af fast ejendom, som ændret ved § 21 i lov nr. 1871 af 29. december 2015, foretages følgende ændring:
1. I § 58, stk. 3, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov nr. 652 af 8. juni 2017 om betalinger, som ændret ved § 8 i lov nr. 1547 af 19. december 2017, foretages følgende ændringer:
1. I § 124, stk. 1, ændres »Lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
2. I § 125, stk. 1, ændres »Lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
3. § 130, stk. 4, ophæves.
4. § 144, stk. 7, ophæves.
5. I § 154, stk. 12, ændres »§ 6, stk. 1, nr. 2, i lov om behandling af personoplysninger« til: »artikel 6, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.
I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 1074 af 6. juli 2016, som ændret ved § 9 i lov nr. 262 af 16. marts 2016, § 4 i lov nr. 1549 af 13. december 2016, § 5 i lov nr. 665 af 8. juni 2017 og § 35 i lov nr. 1555 af 19. december 2017, foretages følgende ændring:
1. § 170, stk. 10, nr. 4, affattes således:
»4) når de i kapitel ll i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og de i databeskyttelseslovens kapitel 3 nævnte betingelser er opfyldt.«
I lov om elektroniske kommunikationsnet og -tjenester, jf. lovbekendtgørelse nr. 128 af 7. februar 2014, som ændret ved § 2 i lov nr. 741 af 1. juni 2015, § 16 i lov nr. 1567 af 15. december 2015, § 3 i lov nr. 203 af 28. februar 2017 og lov nr. 1676 af 26. december 2017, foretages følgende ændringer:
1. I § 31, stk. 6, ændres »retterne« til: »de enkelte retter, kriminalforsorgen«.
2. I § 45, stk. 2, og § 72, stk. 3, ændres »og lov om behandling af personoplysninger« til: », Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I sundhedsloven, jf. lovbekendtgørelse nr. 191 af 28. februar 2018, som ændret ved § 39 i lov nr. 620 af 8. juni 2016 og § 1 i lov nr. 254 af 6. april 2018, foretages følgende ændringer:
2. I § 41, stk. 5, indsættes efter »Såfremt der«: »manuelt«.
3. I § 43, stk. 4, indsættes efter »Såfremt der«: »manuelt«.
4. § 196, stk. 3, affattes således:
»Stk. 3. De rettigheder, som den, der er registreret i de kliniske kvalitetsdatabaser, der er nævnt i stk. 2, har efter Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, kan begrænses efter databeskyttelseslovens § 22 bortset fra databeskyttelseslovens § 22, stk. 5, der ikke finder anvendelse på kliniske kvalitetsdatabaser.«
I vævsloven, jf. lovbekendtgørelse nr. 955 af 21. august 2014, som ændret ved § 3 i lov nr. 542 af 29. april 2015, § 17 i lov nr. 285 af 29. marts 2017 og § 2 i lov nr. 388 af 26. april 2017, foretages følgende ændring:
1. I § 13, stk. 7, ændres »§ 7, stk. 1, i lov om behandling af personoplysninger« til: »artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.
I lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter, jf. lovbekendtgørelse nr. 1083 af 15. september 2017, foretages følgende ændring:
1. I § 20, stk. 1, nr. 4, 6 og 8, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om lægemidler, jf. lovbekendtgørelse nr. 99 af 16. januar 2018, som ændret ved § 1 i lov nr. 388 af 24. april 2017 og § 1 i lov nr. 1687 af 26. december 2017, foretages følgende ændring:
1. I § 89, stk. 3, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om Det Centrale Personregister, jf. lovbekendtgørelse nr. 646 af 2. juni 2017, foretages følgende ændringer:
1. I § 4, stk. 2, 1. pkt., ændres »§ 31, stk. 1, i lov om behandling af personoplysninger« til: »artikel 15, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.
2. I § 29, stk. 2, 2. pkt., ændres »markedsføringslovens § 6« til: »markedsføringslovens § 10«, og »§ 36 i lov om behandling af personoplysninger« ændres til: »artikel 21 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og § 13, stk. 4, i databeskyttelsesloven«.
3. I § 31, § 35, 2. pkt., § 36, 2. pkt., § 37, 2. pkt., § 38, stk. 6, og § 52, stk. 1, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om kommunale og regionale valg, jf. lovbekendtgørelse nr. 250 af 3. april 2018, foretages følgende ændring:
1. I § 106, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om valg til Folketinget, jf. lovbekendtgørelse nr. 1426 af 8. december 2017, som ændret ved § 1 i lov nr. 242 af 24. marts 2018, foretages følgende ændring:
1. I § 104, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om kommunernes styrelse, jf. lovbekendtgørelse nr. 2 af 4. januar 2018, som ændret ved § 1 i lov nr. 144 af 28. februar 2018, lov nr. 145 af 28. februar 2018 og § 3 i lov nr. 242 af 24. marts 2018, foretages følgende ændring:
1. I § 8 b ændres »Lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.
I lov om Digital Post fra offentlige afsendere, jf. lovbekendtgørelse nr. 801 af 13. juni 2016, foretages følgende ændring:
1. § 2, stk. 3, affattes således:
»Stk. 3. Bestemmelsen i artikel 21 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger finder ikke anvendelse for behandling af personnumre i medfør af stk. 2.«
I lov om indhentelse af børneattest i forbindelse med ansættelse af personale m.v., jf. lovbekendtgørelse nr. 362 af 2. april 2014, som ændret ved § 4 i lov nr. 742 af 1. juni 2015, foretages følgende ændring:
I arkivloven, jf. lovbekendtgørelse nr. 1201 af 28. september 2016, foretages følgende ændringer:
1. I § 9, § 21, stk. 1, § 23, stk. 2, § 41, stk. 1, § 42, stk. 3, § 44, § 46, stk. 2, og § 47 ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.
2. § 34 affattes således:
»§ 34. Tilladelse efter §§ 31 og 32 kræver samtykke fra Datatilsynet, hvis arkivenheden er afleveret fra en myndighed inden for den offentlige forvaltning og indeholder oplysninger om enkeltpersoners rent private forhold og
tidligere behandling af oplysningerne har været omfattet af lov om behandling af personoplysninger, Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven eller lov om retshåndhævende myndigheders behandling af personoplysninger eller
oplysningerne stammer fra et edb-register, der har været ført for den offentlige forvaltning.«
3. § 35 affattes således:
»§ 35. Tilladelse efter § 31 kræver samtykke fra Domstolsstyrelsen, hvis arkivenheden er afleveret fra retterne og indeholder oplysninger om enkeltpersoners rent private forhold og tidligere behandling af oplysningerne har været omfattet af lov om behandling af personoplysninger, Europa-Par! amentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven eller lov om retshåndhævende myndigheders behandling af personoplysninger.«
4. § 42, stk. 1, affattes således:
»En person kan over for et offentligt arkiv fremsætte begæring om indsigt efter artikel 15 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og § 15 i lov om retshåndhævende myndigheders behandling af personoplysninger i oplysninger, som er overført til opbevaring i det pågældende offentlige arkiv.«
5. I § 42, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger, træffer det pågældende arkiv afgørelse efter bestemmelserne i den nævnte lov« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger, træffer det pågældende arkiv afgørelse efter bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og de nævnte love.«
Stk. 1. Loven træder i kraft den 25. maj 2018, jf. dog stk. 3.
Stk. 2. § 7, nr. 2, finder ikke anvendelse på afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens ikrafttræden, eller på henvendelser inden lovens ikrafttræden om sletning eller genmæle. For sådanne afslag og henvendelser finder de hidtil gældende regler anvendelse.
Stk. 3. Beskæftigelsesministeren fastsætter tidspunktet for ikrafttræden af § 11, nr. 2-5.
Stk. 1. Lovens §§ 4-25 og 29 gælder ikke for Færøerne, men lovens §§ 4, 8, 17 og 18, § 20, nr. 1-3, og §§ 22 og 24 kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.
Stk. 2. Lovens §§ 1, 4-25 og 29 gælder ikke for Grønland, men lovens §§ 1, 4, 8, 14, 17, 18, 24 og 25 kan ved kongelig anordning sættes helt eller delvis i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.
Stk. 3. Lovens § 1 gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger med de ændringer, som de færøske forhold tilsiger.
Stk. 4. Lovens §§ 2 og 3 gælder ikke for sager om færøske og grønlandske anliggender. Lovens §§ 2 og 3 kan ved kongelig anordning sættes i kraft for sådanne sager med de ændringer, som de færøske og grønlandske forhold tilsiger. Dette gælder dog kun sager, der er eller har været under behandling af rigsmyndigheder.
Stk. 5. Lovens § 31 gælder ikke for Færøerne og Grønland. Lovens § 31 kan med de ændringer, som de færøske og grønlandske forhold tilsiger, ved kongelig anordning sættes i kraft for sager, der er eller har været under behandling af rigsmyndighederne.
Givet på Amalienborg, den 23. maj 2018
Under Vor Kongelige Hånd og Segl
MARGRETHE R.
/ Søren Pape Poulsen
9. I § 10, stk. 3, ændres »§ 8« til: »§ 6 a, stk. 1-5 og 7, og § 8«.
10. I § 14, stk. 1, 4. pkt., ændres »og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov om behandling af personoplysninger« til: », fra databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«.
11. I § 14, stk. 2, udgår »kapitel 8-10 i lov om behandling af personoplysninger og«.
12. I § 14, stk. 2, indsættes som 2. pkt.:
»Justitsministeren kan endvidere bestemme, at databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger helt eller delvis finder anvendelse for behandling af personoplysninger for Politiets Efterretningstjeneste vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager.«
13. I § 18, 1. pkt., ændres »7-11« til: »6 a-11«.
14. I § 21, stk. 2, ændres »og lov om behandling af personoplysninger« til: », databeskyttelsesloven, Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og lov om retshåndhævende myndigheders behandling af personoplysninger«.
3.
Stk. 2 og 3 bliver herefter stk. 1 og 2.
4. I § 4, stk. 3, der bliver stk. 2, udgår »og 2«.
5. § 5, stk. 1, ophæves.
Stk. 2 og 3 bliver herefter stk. 1 og 2.
6. I § 5, stk. 3, der bliver stk. 2, udgår »og 2«.
7. I § 6 a, stk. 2, ændres »§§ 4 og 5« til: »§§ 3 e, 4 og 5«.
8. I § 7, stk. 2, 1. pkt., ændres »vedrørende« til: »om«, og »§ 4« ændres til: »§§ 3 e og 4«.
9. I § 7, stk. 2, 2. pkt., ændres »lov om behandling af personoplysninger anvendelse, hvis den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger« til: »databeskyttelsesloven anvendelse, hvis den videregivelse, der er nævnt i 1. pkt., vedrører oplysninger om rent private forhold«.
10. I § 7, stk. 3, ændres »§ 5« til: »§ 3 e, stk. 1-5 og 7, og § 5«.
11. I § 11, stk. 1, 2. pkt., ændres »og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov om behandling af personoplysninger, medmindre andet følger af §§ 4, 5 og 7« til: », fra databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«.
12. I § 11, stk. 2, udgår »kapitel 8-10 i lov om behandling af personoplysninger og«.
13. I § 11, stk. 2, indsættes som 2. pkt.:
»Forsvarsministeren kan endvidere bestemme, at databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger helt eller delvis finder anvendelse for behandling af personoplysninger for Forsvarets Efterretningstjeneste vedrørende tjenestens sikkerhedsgodkendelsessager og egne personalesager.«
14. I § 18, stk. 2, ændres »og fra lov om behandling af personoplysninger« til: », databeskyttelsesloven, Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og lov om retshåndhævende myndigheders behandling af personoplysninger«.
