Nemkontoloven § 24

Det følger af Nemkontobekendtgørelsens § 10, at Nemkontosystemet i Nemkontoregistret indeholder to former for registreringer af oplysninger om pengeinstitutkonti, dels registrering af Nemkonti og dels registrering af specifikke konti. Af Nemkontobekendtgørelsens § 16, stk. 1 og 2, fremgår det, hvordan den løbende opdatering af Nemkonti og specifikke konti primært forudsættes foretaget i Nemkontoregistret. Digitaliseringsstyrelsen er dataansvarlig for Nemkontoregistret, herunder oplysninger om specifikke konti i henhold til databeskyttelsesforordningen og databeskyttelsesloven, jf. Nemkontobekendtgørelsens § 33, stk. 1. Efter § 4 a i lov om offentlige betalinger m.v. kan oplysninger fra Nemkontosystemet om udbetalinger fra offentlige myndigheder videregives til et inddrivelsessystem administreret af Skatteforvaltningen. Digitaliseringsstyrelsen kan videregive borgeres og virksomheders kontonumre til private udbetalere og offentlige myndigheder, jf. § 5 a, stk. 1 i lov om offentlige betalinger m.v. og § 14 i Nemkontobekendtgørelsen.

Det foreslås, at der som stk. 1 indsættes en bestemmelse, hvorefter Digitaliseringsstyrelsen kan behandle oplysninger om privatpersoner og juridiske enheder, herunder oplysninger om privatpersoners og juridiske enheders Nemkonti og ydelsesspecifikke konti, og øvrige forhold, når sådanne oplysninger er nødvendige til brug for udvikling, drift, vedligeholdelse og forvaltning af Nemkontosystemet.

Den foreslåede bestemmelse vil medføre, at Digitaliseringsstyrelsen i Nemkontosystemet vil kunne etablere og føre register over oplysninger, herunder personoplysninger, når sådanne oplysninger er nødvendige til brug for udvikling, drift, vedligeholdelse og forvaltning af Nemkontosystemet. Digitaliseringsstyrelsen vil som systemejer blive ansvarlig for udvikling, drift, vedligeholdelse og forvaltning af Nemkontosystemet, jf. lovforslagets § 21 og bemærkningerne hertil.

Digitaliseringsstyrelsen vil i Nemkontosystemet kunne etablere og føre register over oplysninger om privatpersoner og juridiske enheders Nemkonti og ydelsesspecifikke konti, således at Nemkontosystemet, via en identifikator kan identificere den af betalingsmodtagerens konto, hvortil der skal ske betaling.

Den foreslåede ordning om Nemkonto vil skulle ses i sammenhæng med hensynet bag loven og hviler på en nødvendig forudsætning om, at oplysninger om betalingsmodtageres Nemkonti og ydelsesspecifikke konti registreres i Nemkontosystemet, da ordningen ellers ikke vil kunne fungere i praksis.

Nemkontosystemet vil skulle indeholde kontooplysninger på de konti, som betalingsmodtagerne har anvist som Nemkonto eller ydelsesspecifikke konti. De kontooplysninger, som registreres i Nemkontosystemet, vil for indenlandske konti være registrering- og kontonummeret. Ved betalingsmodtagerens anvisning af en udenlandsk konto, vil kontooplysningerne kunne være 1) IBAN-nummer, 2) BIC/SWIFT-kode, alternativt bankkode og kontonummer, hvis kontoen ikke har et IBAN-nummer, 3) instituttets navn, 4) institut adresse, 5) land og 6) kontoens valuta.

Herudover vil hver betalingsmodtager skulle være registreret med en sikker og entydig identifikator i form af personnummer for privatpersoner og CVR-nummer, SE-nummer og/eller P-nummer for juridiske enheder. Nemkontosystemet vil således skulle indeholde personoplysninger for de fysiske personer, som har anvist en Nemkonto eller ydelsesspecifikke konti til Nemkontosystemet. Det vil være nødvendigt at identificere fysiske personer via personnummer for at kunne sikre, at offentlige udbetalere vil kunne foretage udbetaling til rette betalingssted.

Digitaliseringsstyrelsen vil i Nemkontosystemet kunne etablere og føre register over oplysninger om øvrige forhold, når sådanne oplysninger er nødvendige til brug for udvikling, drift, vedligeholdelse og forvaltning af Nemkontosystemet. Det vil f.eks. være oplysninger om navn, adresse, værgemål, betalingsordrer, kontoopslag samt oplysninger vedrørende den enkelte anvisning, som eksempelvis datoen for, hvornår en konto er blevet aktiveret og registreret som Nemkonto i Nemkontosystemet, og hvordan kontoen er blevet anvist til Nemkontosystemet.

Øvrige forhold vil herudover også kunne omfatte data fra Modulusregistret og data fra Pengeinstitutregistret (PI-registret) til validering af anviste konti i Nemkontosystemet.

Modulusregistret er et register med information om de intervaller af konti, som danske pengeinstitutter udsteder konti i, samt om hvilken algoritme der anvendes til at beregne modulusciffer.

PI-registret er et register over danske pengeinstitutters registreringsnumre.

Nemkontosystemet vil kunne anvende Modulus- og PI-registrene til at foretage en modulusvalidering af anviste konti. Modulusvalidering er en validering af, om et givent indenlandsk konto- og registreringsnummer overholder reglerne for modulus i forhold til de pågældende registre.

Det foreslås, at der som stk. 2 indsættes en bestemmelse, hvorefter Digitaliseringsstyrelsen er dataansvarlig for behandlingen af personoplysninger i Nemkontosystemet.

Den foreslåede bestemmelse vil medføre, at Digitaliseringsstyrelsen bliver dataansvarlig for alle behandlingsaktiviteter i Nemkontosystemet.

Digitaliseringsstyrelsen vil som dataansvarlig være ansvarlig for at overholde den dataansvarliges forpligtelser efter databeskyttelsesforordningen og databeskyttelsesloven. Det omfatter bl.a. at sikre databeskyttelse gennem design og standardindstillinger i Nemkontosystemet, jf. databeskyttelsesforordningens artikel 25, at fastsætte de nødvendige sikkerhedsforanstaltninger med udgangspunkt i en risikovurdering, jf. databeskyttelsesforordningens artikel 32, samt om nødvendigt foretage en konsekvensanalyse vedrørende databeskyttelse, jf. databeskyttelsesforordningens artikel 35. Digitaliseringsstyrelsen vil endvidere skulle varetage oplysningspligten samt behandle modtagne anmodninger fra de registrerede om udøvelse af deres rettigheder efter databeskyttelsesforordningen.

Digitaliseringsstyrelsen vil som dataansvarlig kunne behandle de oplysninger, herunder personoplysninger, der er nødvendige for at kunne stille Nemkontosystemet til rådighed for offentlige udbetalere og private kontoformidlere. Dette vil også omfatte personoplysninger, der er nødvendige til etableringen af det foreslåede Nemkontosystem, herunder i forbindelse med bl.a. migration af oplysninger fra det eksisterende system til det nye system ved overgangen fra det gamle til det nye system.

Den behandling, der vil kunne foretages af Digitaliseringsstyrelsen i Nemkontosystemet som dataansvarlig, vil bl.a. omfatte registrering af betalingsordren, påføring af betalingsmodtagerens Nemkonto eller ydelsesspecifikke konto, sammenholdelse af oplysninger om betalingsmodtageren og ydelsesarten med oplysninger om skyldnere, som modtages fra Skatteforvaltningen, og registrering af retursvar fra det betalingsafviklende institut om betalingstransaktionens gennemførelse.

En offentlig udbetalers fremsendelse af en betalingsordre til Nemkontosystemet vil være en videregivelse af personoplysninger til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen vil efter den foreslåede ordning som den dataansvarlige forestå behandlingen af betalingsordren i Nemkontosystemet, inden betalingsordren videregives til det betalingsafviklende institut, som vil skulle forestå udbetalingen på vegne af den offentlige udbetaler.

Når en privat kontoformidler og en operatør af finansiel digital infrastruktur på vegne af en privat udbetaler fremsender en forespørgsel til Nemkontosystemet, vil det være en videregivelse af personoplysninger til Digitaliseringsstyrelsen som vil være dataansvarlig for behandlingen i Nemkontosystemet. Digitaliseringsstyrelsen vil efter behandlingen i Nemkontosystemet videregive betalingsmodtagerens kontooplysninger til den private udbetaler via den private kontoformidler og potentielt en operatør af finansiel digital infrastruktur, som vil være dataansvarlig for den eventuelle videre behandling.

I forbindelse med Digitaliseringsstyrelsens videregivelse af personoplysninger, vil modtageren af personoplysningerne blive dataansvarlig. Skatteforvaltningen, den offentlige udbetaler, det betalingsafviklende institut, den private udbetaler eller et institut omfattet af ordning om offentlig tjeneste vil kunne behandle de videregivne personoplysninger til andre formål, hvis dette følger af de almindelige behandlingsregler i databeskyttelsesforordningen og databeskyttelsesloven. Som eksempel vil det betalingsafviklende institut kunne have en bogføringsforpligtigelse, hvorfor instituttet selvstændigt vil kunne behandle personoplysninger til dette formål.

Såfremt Digitaliseringsstyrelsen vælger at udpege offentlige myndigheder eller juridiske enheder til på vegne af Digitaliseringsstyrelsen at varetage opgaver, som er pålagt Digitaliseringsstyrelsen som systemejer, vil de udpegede offentlige myndigheder eller juridiske enheder agere som databehandler på vegne af Digitaliseringsstyrelsen. De udpegede offentlige myndigheder eller juridiske enheder vil således alene behandle de pågældende personoplysninger på Digitaliseringsstyrelsens vegne efter instruks og i henhold til en skriftlig databehandleraftale i overensstemmelse med reglerne herom i databeskyttelsesforordningens artikel 28 og 29. For en nærmere beskrivelse af Digitaliseringsstyrelsens opgaver som systemejer, henvises til lovforslagets § 21 og bemærkningerne hertil.

Der vil på Digitaliseringsstyrelsens instruks kunne ske migrering af data, herunder personoplysninger, i Nemkontosystemet fra én udpeget offentlig myndighed eller juridisk enhed til en anden. En udpeget offentlig myndighed eller juridisk enhed vil udelukkende agere som databehandler for Digitaliseringsstyrelsen. Der vil således være tale om et aftalegrundlag, hvor Digitaliseringsstyrelsen kan vælge at opsige aftalen og tilbagetage eller flytte data.

Digitaliseringsstyrelsens indhentning, behandling og videregivelse af personoplysninger i Nemkontosystemet vil være forenelig med databeskyttelsesforordningens artikel 6, stk. 1, litra e, hvorefter behandling af personoplysninger er lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Der er således tale om, at Digitaliseringsstyrelsens indhentning, behandling og videregivelse af personoplysninger vil ske i forbindelse med varetagelsen af de opgaver, som styrelsen med lovforslaget vil blive pålagt. Der henvises til lovforslagets §§ 21-22 og bemærkningerne hertil. Digitaliseringsstyrelsens behandling af personnumre vil kunne ske i medfør af databeskyttelseslovens § 11, stk. 1, hvorefter offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation. Personnumre vil i Nemkontosystemet være privatpersoners identifikator for både anviste konti i Nemkontosystemet og for offentlige udbetaleres betalingsordrer eller private udbetaleres kontoopslag.

Det foreslås, at der som stk. 3 indsættes en bestemmelse, hvorefter ministeren for digitalisering kan fastsætte regler om, at Digitaliseringsstyrelsen kan behandle oplysninger om privatpersoner og juridiske enheder i Nemkontosystemet, når det er nødvendigt af hensyn til anvendere af Nemkontosystemets kontrol- og tilsynsopgaver.

Den foreslåede bestemmelse medfører, at ministeren for digitalisering vil kunne fastsætte regler om, at Digitaliseringsstyrelsen også kan behandle oplysninger om privatpersoner og juridiske enheder, når det er nødvendigt af hensyn til anvendere af Nemkontosystemets kontrol- og tilsynsopgaver.

Formålet med bestemmelsen er at styrke anvendere af Nemkontosystemets medvirken til at udføre bedre kontrol og forebygge økonomisk kriminalitet, herunder svindel og misbrug af Nemkonti. Nemkontosystemet vil indeholde oplysninger, der kan anvendes til at mindske risikoen for udbetaling til en svindlet Nemkonto, hvilket anses for at være i både udbetalers og betalingsmodtagers interesse. Ved »kontrol- og tilsynsopgaver« forstås opgaver, der har til formål at mindske risikoen for utilsigtede fejl, svindel og misbrug med anvendere af Nemkontosystemets midler.

Ved »anvendere af Nemkontosystemet« forstås de aktører, som direkte eller indirekte benytter Nemkontosystemet, og som er omfattet af dette lovforslag. Det vil eksempelvis være offentlige udbetalere, betalingsafviklende institutter, private udbetalere og institutter, der fører konti, som kan anvises i Nemkontosystemet.

Med bemyndigelsen vil ministeren for digitalisering kunne fastsætte regler om, at Digitaliseringsstyrelsen vil kunne behandle oplysninger om privatpersoner og juridiske enheder i andre tilfælde end de i stk. 1 nævnte tilfælde.

Den foreslåede bestemmelse vil medføre, at detaljerede regler om Digitaliseringsstyrelsens behandling af oplysninger om privatpersoner og juridiske enheder, når det er nødvendigt af hensyn til anvendere af Nemkontosystemets kontrol- og tilsynsopgaver, kan fastsættes ved bekendtgørelse. Dette vil kunne sikre en så konkret og agil regulering som muligt. Samtidig vil det kunne sikres, at der løbende vil kunne tages hensyn til og foretages nærmere regulering af nye værktøjer, oplysninger m.v., som Digitaliseringsstyrelsen vil kunne tage i brug inden for de rammer, som lovforslaget etablerer. Endvidere vil det kunne sikres, at de teknologiske muligheder for behandling af store datamængder ledsages af detaljerede regler om behandlingssikkerhed, herunder om adgang til data.

Med bemyndigelsen vil ministeren for digitalisering kunne fastsætte regler om, til hvilke anvenderes kontrol- og tilsynsopgaver Digitaliseringsstyrelsen vil kunne behandle oplysninger om privatpersoner og juridiske enheder, herunder regler om for hvilke private udbetalere private kontoformidlere og operatører af finansielle digitale infrastrukturer kan modtage oplysninger. Den enkelte anvender vil skulle anmode Digitaliseringsstyrelsen om oplysninger og være ansvarlig for at sikre, at den konkrete anmodning er baseret på en kontrol- eller tilsynsopgave.

Ministeren for digitalisering vil med bemyndigelsen også kunne fastsætte regler om, at Digitaliseringsstyrelsen vil kunne behandle informationer om eksempelvis datoen for, hvornår en konto er blevet aktiveret og registreret som Nemkonto i Nemkontosystemet for en betalingsmodtager, hvor mange betalingsmodtagere, der aktuelt har en given konto registreret som Nemkonto i Nemkontosystemet og de pågældende betalingsmodtageres personnummer, CVR-, SE- eller P-nummer samt informationer om, hvordan kontoen er blevet anvist til Nemkontosystemet.

Behandlingen af personoplysninger skal i øvrigt ske inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven. Lovforslaget ændrer ikke herpå.

Spørgsmålet om underretning og indsigt i data m.v. skal derfor afgøres efter de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven.

I forbindelse med beslutningen om hvilke oplysninger om privatpersoner og juridiske enheder, som Digitaliseringsstyrelsen vil behandle, vil ministeren foretage en vurdering af, hvorvidt det er sagligt og proportionalt at behandle den pågældende type oplysninger. Derved sikres det, at den pågældende type oplysning alene behandles, såfremt det er nødvendigt og ikke går videre, end hvad formålet tilsiger.

Lovforslaget fraviger ikke reglerne vedrørende tavshedspligt eller andre nationale og EU-retlige specifikke begrænsninger i behandlingen af oplysninger. Oplysninger om privatpersoner og juridiske enheder, som er omfattet af reglerne i særlige tavshedspligtsbestemmelser, vil derfor administreres efter de betingelser, som følger af de enkelte tavshedspligtsbestemmelser og overholde reglerne herfor.

Som anført under pkt. 2.10.2.3 i lovforslagets almindelige bemærkninger, vil ministeren for digitalisering i medfør af stk. 3 kunne fastsætte nærmere regler om, at Digitaliseringsstyrelsen må viderebehandle personoplysninger til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed (formålsbegrænsningsprincippet).

Ved udnyttelsen af bemyndigelsen vil kravene i forordningens artikel 23, stk. 2, skulle være opfyldt, hvilket vil medføre, at der ved udstedelse af en bekendtgørelse, der begrænser bl.a. formålsbegrænsningsprincippet, som minimum, hvor det er relevant, vil skulle udformes specifikke bestemmelser vedrørende de i artikel 23, stk. 2, påkrævede bestemmelser.

Begrænsningen af formålsbegrænsningsprincippet indebærer konkret, at Digitaliseringsstyrelsen vil få adgang til behandle personoplysninger i Nemkontosystemet til brug for anvendere af Nemkontosystemets kontrol- og tilsynsopgaver.

Begrænsningen af formålsbegrænsningsprincippet vurderes at være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til anvendere af Nemkontosystemets kontrol- og tilsynsopgaver. Formålet er bl.a. at sikre det lovgivningsmæssige grundlag for, at der i kontroløjemed kan behandles personoplysninger, der kan anvendes af anvendere af Nemkontosystemet til at genkende mønstre og tegn på svig på tværs af betalingsmodtagere.

Oplysningerne vil blive sammenstillet og videregivet til anvenderne, og vil derefter kun fremgå af Nemkontosystemets systemlog, som vil blive slettet løbende.

Digitaliseringsstyrelsen vil i medfør af det foreslåede stk. 2 blive dataansvarlig for behandlingen af oplysningerne i Nemkontosystemet, og anvenderne af Nemkontosystemet vil ved modtagelse af oplysningerne blive dataansvarlige.

Det bemærkes, at de almindelige krav om bl.a. proportionalitet og dataminimering fortsat vil gælde ved anvendelse af personoplysningerne. Adgangen til at fastsætte regler om, at der kan anvendes oplysninger til kontrol- og tilsynsopgaver for anvendere af Nemkontosystemet, vil derfor ikke blive benyttet i et videre omfang, end hvad der er nødvendigt for at sikre, at det efter lovforslaget tilsigtede formål opnås. Digitaliseringsstyrelsen vil heller ikke foretage profilering af personoplysninger, men vil kun samle data, der kan være relevant for den pågældende anvender af Nemkontosystemet.

Det foreslås, at der som stk. 4 indsættes en bestemmelse, hvorefter ministeren for digitalisering fastsætter regler om behandlingen af oplysninger i Nemkontosystemet, herunder indhentning til og videregivelse af oplysninger fra Nemkontosystemet.

Den foreslåede bestemmelse vil medføre, at ministeren for digitalisering fastsætter yderligere regler om behandlingen af oplysninger, herunder personoplysninger, i Nemkontosystemet, således at Digitaliseringsstyrelsen som systemejer af Nemkontosystemet kan stille Nemkontosystemet til rådighed for offentlige udbetalere og private kontoformidlere.

Bemyndigelsen til at fastsætte regler vil bl.a. skulle anvendes til at fastsætte nye og tilpassede bestemmelser om oplysninger, der indhentes og behandles i Nemkontosystemet. På den måde vil Nemkontosystemet nemt og fleksibelt kunne tilpasses en digital udvikling eller en generel samfundsudvikling.

Den foreslåede bestemmelse vil indebære, at Digitaliseringsstyrelsen vil kunne indhente oplysninger til Nemkontosystemet, når sådanne oplysninger er nødvendige for opgavevaretagelsen som systemejer.

Digitaliseringsstyrelsen vil eksempelvis hos offentlige udbetalere kunne indhente oplysninger om ydelsesspecifikke konti knyttet til den pågældende offentlige udbetaler. Dette vil indebære, at offentlige udbetalere vil være ansvarlige for at sikre, at de videregivne oplysninger til enhver tid er korrekte og opdaterede, jf. den foreslåede § 10 og bemærkningerne hertil.

Forvaltningslovens generelle regler om udveksling af oplysninger mellem forvaltningsmyndigheder finder tilsvarende anvendelse på Digitaliseringsstyrelsens virksomhed i forbindelse med Nemkontosystemet.

Digitaliseringsstyrelsen vil også kunne indhente øvrige nødvendige data. Digitaliseringsstyrelsen vil eksempelvis hos Finans Danmark kunne indhente de nødvendige oplysninger fra Modulusregistret og PI-registret.

Ministeren for digitalisering vil også skulle fastsætte regler om Digitaliseringsstyrelsens videregivelse af oplysninger til Skatteforvaltningen, i forbindelse med varetagelse af opgaver i medfør af lovforslagets § 16 om modregning. Relevante oplysninger vil f.eks. være oplysninger om betalingsmodtagerens identitet i form af personnummer, CVR-, SE-, eller P-nummer, hvilken offentlig udbetaler betalingen hidrører fra, hvilken type ydelse (ydelsesart), udbetalingsbeløbet samt betalingsmodtagerens Nemkonto, ydelsesspecifikke konto eller anden konto.

Ministeren for digitalisering vil tilmed skulle fastsætte regler om, hvilke personoplysninger Digitaliseringsstyrelsen kan videregive til offentlige udbetalere og private udbetalere. Der vil bl.a. kunne fastsættes regler om, at Digitaliseringsstyrelsen kun vil kunne videregive personoplysninger i forbindelse med en offentlig udbetalers udbetaling af pengebeløb til en betalingsmodtager eller en privat udbetalers kontoopslag.

Der vil kunne fastsættes regler om, at Digitaliseringsstyrelsen kan videregive personoplysninger til den offentlige udbetalers betalingsafviklende institut, i forbindelse med en offentlig udbetalers udbetaling af pengebeløb.

Der vil også kunne fastsættes regler om, at Digitaliseringsstyrelsen kan videregive oplysninger til institutter omfattet af ordning om offentlig tjeneste i forbindelse med varetagelsen af de opgaver, som institutterne med lovforslaget vil blive pålagt.

Bemyndigelsen vil tilmed kunne anvendes til at fastsætte regler om, at Digitaliseringsstyrelsen vil kunne videregive oplysninger om privatpersoner og juridiske enheder, som Digitaliseringsstyrelsen kan behandle efter stk. 3.

Der vil eksempelvis kunne fastsættes regler om, at det institut, hvori en konto er anvist som Nemkonto, vil kunne modtage oplysninger om den betalingsmodtager, som har kontoen registreret som sin Nemkonto.

Videre vil der kunne fastsættes regler om, at private udbetalere via private kontoformidlere vil kunne modtage oplysninger om privatpersoner og juridiske enheder. Der vil skulle fastsættes regler om, at Digitaliseringsstyrelsen kun vil kunne videregive de pågældende oplysninger til visse private udbetalere, hvor der er stor sandsynlighed for svindel og misbrug. Som eksempel vil forbrugslånsselskaber og udlånsvirksomheder, der udbetaler kviklån, kunne omfattes.

Endelig vil der kunne fastsættes regler om, at offentlige udbetalere vil kunne modtage oplysninger om privatpersoner og juridiske enheder i forbindelse med udbetalinger til betalingsmodtagere. I praksis vil det være de offentlige udbetaleres betalingsafviklende institutter, der vil skulle modtage oplysningerne fra Digitaliseringsstyrelsen.

Det bemærkes, at der med den foreslåede bestemmelse ikke er tilsigtet nogen ændring af offentlige myndigheders adgang til efter anmodning at få udleveret de oplysninger, som Digitaliseringsstyrelsen er kommet i besiddelse af. Der er med den foreslåede bestemmelse endvidere ikke tilsigtet nogen ændring af, i hvilket omfang Digitaliseringsstyrelsen på baggrund af en konkret vurdering kan videregive oplysninger til offentlige myndigheder. Disse spørgsmål vil skulle afgøres efter de almindelige regler om videregivelse af oplysninger mellem offentlige myndigheder, herunder de regler, som er fastlagt i databeskyttelsesloven, databeskyttelsesforordningen og forvaltningsloven.

Ministeren for digitalisering vil også skulle fastsættes regler om opbevaring af data, herunder personoplysninger i Nemkontosystemet. Der vil f.eks. skulle fastsætte regler om, at oplysningen om en anvist konto i Nemkontosystemet endeligt slettes efter kontoen er registeret som slettet i Nemkontosystemet i forbindelse med en privatpersons død, ved en juridisk enheds ophør, eller såfremt en fysisk person ophører med at være arbejdsgiver eller selvstændig erhvervsdrivende. Det forventes, at pligten til endeligt at slette oplysningen fra Nemkontosystemet vil indtræde senest 2 år efter at Digitaliseringsstyrelsen har registreret den anviste konto som slettet i Nemkontosystemet. Det forventes, at der dermed vil ske endelig sletning af oplysningen senest 5 år efter en privatpersons død, ved en juridisk enheds ophør, eller såfremt en fysisk person ophører med at være arbejdsgiver eller selvstændig erhvervsdrivende.

Ministeren for digitalisering vil herudover skulle fastsætte regler om opbevaring af oplysninger om tidligere anviste konti, udbetalinger fra offentlige udbetalere og kontoopslag. Sletningsfristen vil eksempelvis kunne sættes til 10 år regnet fra registreringen i Nemkontosystemet, for at kunne imødekomme betalingsmodtagere eller kuratorers behov for at dokumentere tidligere anviste Nemkonti, oplysninger om modtagne offentlige ydelser eller private udbetaleres kontoopslag. Digitaliseringsministeriet vil dog i samråd med Digitaliseringsstyrelsen skulle overveje en anden slettefrist, hvis dette skønnes nødvendigt. Slettes oplysningen om en anvist konto i medfør af privatpersonens død eller den juridiske enheds ophør endeligt, slettes oplysninger om tidligere anviste konti, udbetalinger fra offentlige udbetalere og kontoopslag på samme tidspunkt.

Pligten til at foretage endelig sletning vil i alle tilfælde påhvile Digitaliseringsstyrelsen som dataansvarlig.

Der henvises i øvrigt til pkt. 2.10.2 i lovforslagets almindelige bemærkninger.