Lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.) § 1

Forarbejder til Lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.) § 1

Til nr. 1-3

Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 27, stk. 3, at for oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Med bestemmelsen skete der en videreførelse af den såkaldte »krigsregel« i persondataloven, som indebærer, at der skal træffes særlige foranstaltninger i forhold til oplysninger med særlig interesse for fremmede magter bl.a. for dermed hurtigt og effektivt at kunne overtage den almindelige administration, jf. persondatalovens § 41, stk. 4.

Bestemmelsen indebærer, at ikke alle behandlinger vil kunne udføres af en databehandler i udlandet, hvis en sådan overladelse medfører, at krigsreglen ikke kan iagttages af den dataansvarlige.

Bestemmelsen varetager hensynet til den offentlige sikkerhed og skal fortolkes i lyset af Danmarks EU-retlige forpligtelser.

Det følger endvidere af § 27, stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om sikkerhedsforanstaltninger. Der er tale om en videreførelse af den gældende bestemmelse i persondatalovens § 41, stk. 5.

Bestemmelsen kan anvendes til at udstede en bekendtgørelse, som skal erstatte den gældende sikkerhedsbekendtgørelse og sikkerhedsbekendtgørelsen for domstolene i forhold til den behandling af personoplysninger, der er omfattet af loven.

Det følger endelig af § 27, stk. 5, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren.

Med bestemmelsen sikres det, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte nærmere regler om, at oplysninger, der er omfattet af den foreslåede stk. 3, ikke skal være underlagt et krav om, at det i tilfælde af krig eller lignende forhold skal være muligt at foretage bortskaffelse eller tilintetgørelse.

Krigsreglen indebærer som nævnt ovenfor, at visse registre – som følge af karakteren af de personoplysninger, som er indeholdt heri – skal føres i Danmark.

Bestemmelsen i § 27, stk. 5, gør det praktisk muligt for de kompetente myndigheder helt eller delvist at gøre brug af f.eks. cloud-tjenester, hvor opbevaringen af oplysninger sker på servere i udlandet.

Vurderingen af, om det kan anses for forsvarligt at opbevare de pågældende oplysninger i udlandet, vil navnlig inddrage de pågældende oplysningers karakter og de tekniske og organisatoriske foranstaltninger, jf. § 27, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, som træder i stedet for de foranstaltninger, som ellers skulle have været truffet i medfør af § 27, stk. 3. Det vil være op til den relevante kompetente myndighed at fremlægge en nærmere begrundelse for, at det er forsvarligt, at der ikke stilles krav om, at det pågældende register skal føres i Danmark.

Den foreslåede ændring vil medføre, at § 27, stk. 3 og 5, samt den del af bestemmelsens stk. 4, der henviser til stk. 3 i lov om retshåndhævende myndigheders behandling af personoplysninger, ophæves.

Dette er en konsekvens af, at det er mest hensigtsmæssigt, at der kun gælder én regel for opbevaring af særlige IT-systemer for både lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven.

Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.

Den nye såkaldte »krigsregel« skal herefter fremadrettet findes i forslag til databeskyttelsesloven.

Det foreslås, at § 27, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger nyaffattes, således at det herefter fremgår af bestemmelsen, at justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, helt eller delvist alene må opbevares her i landet.

Bestemmelsen herom skal afløse krigsreglen efter persondatalovens § 41, stk. 4.

Det er hensigten med den nye udformning af krigsreglen, at IT-systemer – før de tages i brug – af justitsministeren og vedkommende minister kan sættes på en liste, der optages som bilag til bekendtgørelsen i medfør af stk. 9.

Det er også hensigten, at IT-systemer alene sættes på denne liste, hvis det er vurderet, at det er af hensyn til statens sikkerhed, at det pågældende system skal føres her i landet. I en sådan situation vil opbevaringen af de pågældende personoplysninger falde uden for EU-retten og dermed databeskyttelsesforordningen og databeskyttelsesdirektivet.

Det er ikke hensigten, at bestemmelsen skal anvendes for at imødekomme hensyn, der vedrører IT-sikkerheden, idet dette hensyn i tilstrækkelig grad må forventes tilgodeset i bestemmelserne i forordningen og lov om retshåndhævende myndigheders behandling af personoplysninger – uafhængigt af om det pågældende IT-system føres her i landet eller i et andet EU-land.

Til nr. 4

Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 37, stk. 2, at tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.

Det følger dernæst af stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.

Bemyndigelsen til, at Datarådet kan fastsætte sin forretningsorden og fordelingen af arbejdet mellem rådet og sekretariatet følger af stk. 4.

Det følger af stk. 5, at udpegelsen af formand, medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.

Der skal som minimum ske en sikkerhedsgodkendelse til klassifikationsgraden HEMMELIGT i overensstemmelse med sikkerhedscirkulæret.

Med bestemmelsen sikres det, at Datarådet kan håndtere oplysninger om de kompetente myndigheders systemer på betryggende vis. Hvis et medlem mister sin sikkerhedsgodkendelse, vil den pågældende ikke længere kunne være medlem af rådet.

Det følger endvidere af stk. 6, at hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.

Det følger dernæst af stk. 7, at formanden, medlemmer og stedfortrædere for disse alene kan afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.

Med bestemmelsen understreges det, at medlemmer af Datarådet skal kunne agere uafhængigt i hele embedsperioden. Der er således ikke mulighed for at afskedige et medlem som følge af generel utilfredshed med det pågældende medlems beslutninger i rådet.

Det følger endvidere af stk. 8, at sekretariatets personale samt Datarådets formand, medlemmer og stedfortrædere for disse kun kan have bibeskæftigelse, for så vidt og i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.

Bestemmelsen understreger, at tilsynets personale og Datarådets medlemmer skal være uafhængige.

Det følger endelig af stk. 9, at Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.

Den foreslåede ændring vil medføre, at § 37, stk. 2-9, i lov om retshåndhævende myndigheders behandling af personoplysninger nyaffattes.

Den foreslåede ændring medfører, at reglerne om Datatilsynets sammensætning, uafhængighed mv. fremover bliver reguleret af reglerne herom i forslag til databeskyttelseslovens § 27, stk. 2-9.

Dette er en konsekvens af, at det er mest hensigtsmæssigt, at reguleringen heraf kun fremgår af ét regelsæt.

Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.

Reglerne i forslag til databeskyttelsesloven er stort set identiske med reglerne i lov om retshåndhævende myndigheders behandling af personoplysninger.

Det følger dog som noget nyt af forslag til databeskyttelseslovens § 27, stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation udnævner hver ét de 7 andre medlemmer omfattet af 1. pkt. Justitsministeren kan udpege stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer.

Datarådets sammensætning er således forskellig fra lov om retshåndhævende myndigheders behandling af personoplysninger til forslag til databeskyttelsesloven.

Som noget nyt skal erhvervsministeren og ministeren for offentlig innovation tillige med justitsministeren udpege medlemmer til Datarådet, hvilket bl.a. er for at sikre, at det tilstræbes, at der udpeges et eller flere medlemmer med erfaring inden for informationssikkerhed og anvendelse af data i praksis. Den faglige kvalifikation i Datarådet sikres samtidig yderligere ved, at der er 8 medlemmer i rådet.