Loven gælder for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Stk. 2. Loven finder ikke anvendelse på den behandling af personoplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester.
Stk. 3. Loven finder ikke anvendelse på behandling af personoplysninger i medfør af EU-retsakter, der den 6. maj 2016 eller inden denne dato er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og de udpegede myndigheders adgang til EU-informationssystemer.
Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Behandling: Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for.
Begrænsning af behandling: Mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger.
Profilering: Enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person.
Register: Enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på et funktionsbestemt eller et geografisk grundlag.
Kompetent myndighed: Enhver offentlig myndighed eller ethvert andet organ eller enhver anden enhed, der i henhold til medlemsstaternes nationale ret er bemyndiget til at udøve offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. De kompetente myndigheder i Danmark er politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene.
Dataansvarlig: Den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Databehandler: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
Modtager: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, således at modtageren herefter selvstændigt træffer beslutning om, til hvilket formål og med hvilke midler denne behandler de videregivne oplysninger, uanset om det er en tredjemand eller ej. Myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.
Brud på persondatasikkerheden: Ethvert brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, hændeligt eller ulovligt tab, hændelig eller ulovlig ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Oplysninger skal behandles i overensstemmelse med god databehandlingsskik og under hensyntagen til oplysningernes karakter.
Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, som er omfattet af § 1, stk. 1, og senere behandling må ikke være uforenelig med disse formål, jf. dog § 5.
Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Stk. 4. Oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
Stk. 5. Den dataansvarlige træffer alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.
Stk. 6. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Stk. 7. Indsamlede oplysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, hændelig tilintetgørelse eller hændelig beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. § 27.
Stk. 8. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1-7 overholdes.
Senere behandling af oplysninger til et andet af de formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprindelig var indsamlet, kan foretages af den samme eller en anden af de kompetente myndigheder, når behandlingen sker på baggrund af lov og er nødvendig og forholdsmæssig i forhold til dette efterfølgende formål.
Stk. 2. Der kan i medfør af stk. 1 endvidere foretages behandling af oplysninger, der alene sker til arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed.
Stk. 3. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 og 2 overholdes.
Foretages der videregivelse af oplysninger, fastsætter og underretter den videregivende kompetente myndighed om eventuelle særlige vilkår for behandling af oplysningerne. Der kan ikke fastsættes særlige vilkår, alene som følge af at der er tale om videregivelse til en modtager i en anden medlemsstat.
Stk. 2. Behandling af oplysninger, der er modtaget fra en kompetent myndighed, må ikke ske i strid med særlige vilkår, som er fastsat af den videregivende kompetente myndighed.
Den dataansvarlige skal tilrettelægge behandlingen af personoplysninger således, at der fastsættes passende frister for sletning af personoplysninger eller regelmæssig undersøgelse af behovet for lagring af oplysningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at tidsfristerne overholdes.
Den dataansvarlige skal, når det er relevant, så vidt muligt sondre mellem personoplysninger om forskellige kategorier af registrerede, herunder
personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling,
personer, der er dømt for en strafbar handling,
ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne blive ofre for en strafbar handling, og
andre parter i forbindelse med en strafbar handling såsom personer, der kan blive indkaldt som vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsagepersoner for de personer, der er nævnt i nr. 1 og 2.
Behandling af oplysninger må kun finde sted, når behandlingen er nødvendig for at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Der må ikke behandles personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Stk. 2. Under overholdelse af betingelserne i denne lov kan der dog foretages behandling af oplysninger omfattet af stk. 1, når det er strengt nødvendigt og sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herunder for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller hvis behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.
Der kan træffes afgørelser, der har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, alene på grundlag af automatisk behandling, herunder profilering.
Stk. 2. Ved afgørelser, der er omfattet af stk. 1, skal der findes passende foranstaltninger til at sikre den registreredes berettigede interesser, herunder i det mindste en ret for den registrerede til at kræve menneskelig indgriben fra den dataansvarliges side.
De kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning til tilsynsmyndighederne af overtrædelser af denne lov.
Afsnit III
Den registreredes rettigheder
Kapitel 4
Oplysninger, der skal stilles til rådighed for eller gives til den registrerede
Den dataansvarlige skal stille følgende oplysninger til rådighed for den registrerede:
Identitet på og kontaktoplysninger for den dataansvarlige.
Kontaktoplysninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i forhold til de registrerede.
Formålene med den behandling, som personoplysningerne skal bruges til.
Retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysninger for tilsynsmyndigheden.
Den registreredes rettigheder efter kapitel 5 og 6.
Retten til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til de kompetente myndigheders afgørelser om undladelse, udsættelse, begrænsning eller nægtelse efter dette kapitel og kapitel 5 og 6, jf. § 40, stk. 1, nr. 10.
Stk. 2. Er det nødvendigt for, at den registrerede kan varetage sine interesser, skal den dataansvarlige som minimum give den registrerede meddelelse om følgende:
Retsgrundlaget for behandlingen.
Det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Kategorierne af eventuelle modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer.
Yderligere oplysninger, hvis det er nødvendigt, navnlig hvis personoplysningerne indsamles uden den registreredes vidende.
Meddelelse efter § 13, stk. 2, kan udsættes, begrænses eller undlades, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for at
undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer,
undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner,
beskytte den offentlige sikkerhed,
beskytte statens sikkerhed eller
beskytte den registreredes eller andres rettigheder.
Stk. 2. Justitsministeren fastsætter nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, og om, at meddelelse efter § 13, stk. 2, kan udsættes til et passende tidspunkt, for så vidt hensynene i stk. 1 må antages at medføre, at meddelelser i almindelighed må underkastes en sådan udsættelse.
Fremsætter en registreret begæring herom, skal den dataansvarlige bekræfte over for den pågældende, om der behandles oplysninger om vedkommende.
Stk. 2. Behandles der oplysninger om den pågældende, skal der gives adgang til oplysningerne samt gives en meddelelse med følgende oplysninger:
Formålene med og retsgrundlaget for behandlingen.
De berørte kategorier af personoplysninger.
De modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, herunder navnlig modtagere i tredjelande eller internationale organisationer.
Om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede.
Retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysninger for tilsynsmyndigheden.
Hvilke personoplysninger der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.
Indsigt efter § 15 kan udsættes, begrænses eller nægtes, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for de hensyn til offentlige interesser, der er nævnt i § 14, stk. 1.
Stk. 2. En afgørelse om, at den registreredes indsigt udsættes, begrænses eller nægtes, skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvidere indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10.
Stk. 3. Af hensyn til de i stk. 1 nævnte formål kan den registrerede i stedet for meddelelse efter stk. 2 gives meddelelse om, at det ikke kan oplyses, om der behandles oplysninger om den pågældende. En sådan meddelelse skal indeholde en klagevejledning og oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10.
Stk. 4. Justitsministeren fastsætter nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, herunder om undtagelser fra retten til at få oplysninger efter § 15, for så vidt hensynene i stk. 1 må antages at medføre, at begæringer om indsigt i almindelighed må nægtes.
Kapitel 6
Ret til berigtigelse, sletning og begrænsning af behandling
Den dataansvarlige skal efter anmodning fra den registrerede uden unødig forsinkelse berigtige oplysninger, der viser sig urigtige. På tilsvarende måde skal der ske fuldstændiggørelse af ufuldstændige oplysninger, hvis dette kan ske uden at bringe formålet med behandlingen i fare. Den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.
Stk. 2. Den dataansvarlige skal efter anmodning fra den registrerede uden unødig forsinkelse slette oplysninger, der er behandlet i strid med kapitel 3, eller hvis det er påkrævet for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.
Stk. 3. Den dataansvarlige skal i stedet for sletning begrænse behandlingen af personoplysninger, hvis
rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke kan konstateres eller
personoplysningerne skal bevares som bevismiddel.
Stk. 4. Er behandling begrænset i henhold til stk. 3, nr. 1, underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.
Stk. 5. Et afslag på en anmodning om berigtigelse, sletning eller begrænsning af behandling skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvidere indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10. Bestemmelsen i § 16, stk. 3, finder tilsvarende anvendelse.
Stk. 6. Den dataansvarlige skal underrette modtagere om, at der er sket berigtigelse, sletning eller begrænsning af behandling af personoplysninger. Modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af personoplysninger, som de har ansvaret for.
Oplysninger og meddelelser, der er nævnt i dette afsnit, skal stilles til rådighed eller gives gratis i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Stk. 2. Den dataansvarlige skal snarest og på skrift besvare anmodninger som nævnt i dette afsnit. Er anmodningen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil samt om, hvornår anmodningen forventes besvaret.
Stk. 3. Retsplejelovens og den militære retsplejelovs regler om retten til oplysninger, indsigt i og berigtigelse eller sletning og begrænsning af behandling af personoplysninger i straffesager finder anvendelse i forhold til rettigheder i medfør af dette afsnit.
Stk. 4. Justitsministeren fastsætter nærmere regler om behandling af anmodninger i medfør af dette afsnit og om behandling af klagesager, herunder at afgørelser ikke skal kunne påklages til anden administrativ myndighed.
Den dataansvarlige kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger, som er fremsat i henhold til bestemmelserne i dette afsnit.
Afsnit IV
Forpligtelser for den dataansvarlige og databehandleren
Den dataansvarlige gennemfører og om nødvendigt ajourfører og reviderer de fornødne tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne lov. Står det i rimeligt forhold til behandlingsaktiviteterne, skal den dataansvarlige tillige gennemføre de fornødne databeskyttelsespolitikker.
Stk. 2. Foranstaltninger efter stk. 1 omfatter databeskyttelse gennem design og gennem standardindstillinger.
Fastsætter to eller flere dataansvarlige i fællesskab formålene med og hjælpemidlerne til behandling, betragtes de som fælles dataansvarlige. Fælles dataansvarlige skal fastsætte en ordning for fordeling af ansvaret for, at behandlingen er i overensstemmelse med loven, herunder navnlig i forhold til den registreredes rettigheder efter afsnit III. Ordningen skal omfatte udpegning af et fælles kontaktpunkt. Der kan udpeges et særligt kontaktpunkt, der kan fungere som fælles kontaktpunkt for de registrerede, når disse udøver deres rettigheder.
Overlader en dataansvarlig en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24, og påse, at dette sker.
Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til lov eller en skriftlig aftale mellem databehandleren og den dataansvarlige. Loven eller aftalen skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Det skal navnlig fremgå, at databehandleren
kun må handle efter instruks fra den dataansvarlige,
sikrer, at de fysiske personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt,
bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder,
efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, medmindre anden lovgivning foreskriver opbevaring af personoplysningerne,
stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne bestemmelse, til rådighed for den dataansvarlige og
overholder betingelserne i nr. 1-5 og stk. 3 med henblik på at gøre brug af en anden databehandler.
Stk. 3. En databehandlers overladelse af behandling til en anden databehandler skal ske i henhold til en generel eller specifik skriftlig aftale med den dataansvarlige. Sker overladelse i henhold til en generel aftale, skal databehandleren underrette den dataansvarlige herom senest 14 dage forud for overladelsen.
Stk. 4. Enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, må kun efter instruks fra den dataansvarlige behandle disse oplysninger, medmindre det følger af anden lovgivning, at den pågældende skal foretage behandlingen.
Kapitel 10
Fortegnelser over behandlingsaktiviteter og logning
Den dataansvarlige skal føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter under den dataansvarliges ansvar. Fortegnelserne skal indeholde oplysning om
navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige og databeskyttelsesrådgiveren,
formålene med behandlingen,
de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer,
en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger,
brugen af profilering, hvor det er relevant,
kategorierne af overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant,
retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil personoplysningerne er bestemt,
de forventede tidsfrister for sletning af de forskellige kategorier af personoplysninger, hvis det er muligt, og
en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.
Stk. 2. Databehandleren fører skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig. Fortegnelserne skal indeholde oplysning om
navn på og kontaktoplysninger for databehandleren eller databehandlerne for hver dataansvarlig, på hvis vegne databehandleren handler, og, hvor det er relevant, databeskyttelsesrådgiveren,
de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige,
overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af dette tredjeland eller denne internationale organisation, og
en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.
I automatiske databehandlingssystemer foretages logning af indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning.
Stk. 2. Justitsministeren fastsætter nærmere regler om, hvilke automatiske databehandlingssystemer indført før den 6. maj 2016, der er omfattet af stk. 1.
Kapitel 11
Konsekvensanalyser og høring af tilsynsmyndighederne
Vil en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, sit omfang, sin sammenhæng og sit formål, sandsynligvis indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Stk. 2. Analysen skal indeholde en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne lov, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når
en konsekvensanalyse vedrørende databeskyttelse, jf. § 25, viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, eller
den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder.
Stk. 2. Finder tilsynsmyndigheden, at den planlagte behandling ikke vil overholde loven, herunder navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, giver tilsynsmyndigheden inden for en periode på op til 6 uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende enhver af sine beføjelser, jf. kapitel 20. Denne periode kan forlænges med 1 måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest 1 måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.
Stk. 3. Tilsynsmyndighederne opstiller en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.
Den dataansvarlige og databehandleren skal under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål og risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af § 10.
Stk. 2. For så vidt angår automatisk behandling, skal den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemføre foranstaltninger til at sikre, at
uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling (kontrol med fysisk adgang til udstyret),
der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (kontrol med datamedier),
der ikke sker uautoriseret indlæsning af personoplysninger eller uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring),
automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol),
personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de personoplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen),
det er muligt at kontrollere og fastslå de modtagere, til hvilke der er blevet transmitteret eller stillet oplysninger til rådighed eller kan transmitteres eller stilles oplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol),
det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst (kontrol med indlæsning),
der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (transportkontrol),
de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning) og
systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).
Stk. 3. For oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold, jf. dog stk. 5.
Ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal begrundes.
Stk. 2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige om et brud på persondatasikkerheden.
Stk. 3. Anmeldelsen efter stk. 1 skal
beskrive karakteren af bruddet på persondatasikkerheden, herunder i videst muligt omfang kategorierne af og det berørte antal registrerede og kategorierne af og det berørte antal registreringer af personoplysninger,
angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden og
beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Stk. 4. Er det ikke muligt at forelægge oplysningerne, der er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis uden unødig forsinkelse.
Stk. 5. Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, som er omfattet af stk. 1, herunder de faktiske omstændigheder vedrørende bruddet, bruddets virkninger og de trufne afhjælpende foranstaltninger.
Stk. 6. Omhandler bruddet på persondatasikkerheden oplysninger, der er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den dataansvarlige i denne medlemsstat.
Ved brud på persondatasikkerheden, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet.
Stk. 2. Underretningen skal i et klart og enkelt sprog beskrive karakteren af bruddet og indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke, hvis
den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, herunder navnlig foranstaltninger, der f.eks. på grund af kryptering gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil,
den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller
det vil kræve en uforholdsmæssig indsats af den dataansvarlige.
Stk. 4. I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i stedet gives en offentlig meddelelse eller træffes tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Stk. 5. Har den dataansvarlige ikke allerede underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.
Stk. 6. Underretning af den registrerede kan udsættes, begrænses eller undlades af de grunde, der er nævnt i § 14, stk. 1.
Den dataansvarlige udpeger på grundlag af faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret og -praksis og evnen til at udføre de opgaver, der er nævnt i kapitel 15, en databeskyttelsesrådgiver, som inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Stk. 2. Flere dataansvarlige kan under hensyntagen til deres størrelse og organisatoriske forhold udpege en fælles databeskyttelsesrådgiver.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke for domstolene, når disse foretager behandling af personoplysninger i deres egenskab af domstole.
Stk. 4. Den dataansvarlige offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.
Den dataansvarlige understøtter, at databeskyttelsesrådgiveren kan
underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger, om deres forpligtelser i medfør af denne lov og anden lovgivning om databeskyttelse,
overvåge overholdelsen af denne lov og anden lovgivning om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteterne og de tilhørende revisioner,
rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til bestemmelsen i § 25 og
samarbejde med tilsynsmyndigheden og fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er nævnt i § 26, og høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
Afsnit VII
Overførsler af personoplysninger til tredjelande eller internationale organisationer
Overførsel af personoplysninger, der behandles eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, må kun finde sted under overholdelse af reglerne i denne lov, og hvis betingelserne i dette afsnit er overholdt, herunder navnlig at
overførslen er nødvendig i forhold til de formål, der er nævnt i § 1, stk. 1,
personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organisation, der er en myndighed, der er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1,
en kompetent myndighed i en anden medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale regler og personoplysningerne transmitteres eller stilles til rådighed af denne myndighed,
der foreligger et af de overførselsgrundlag, der er nævnt i kapitel 17, og
den kompetente myndighed, der foretog den oprindelige overførsel, i tilfælde af videreoverførsel til et andet tredjeland eller en anden international organisation giver bemyndigelse til videreoverførslen, efter at den har taget behørigt hensyn til alle relevante faktorer, herunder en strafbar handlings grovhed, det formål, hvortil personoplysningerne oprindelig blev overført, og beskyttelsesniveauet for personoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysningerne videreoverføres.
Stk. 2. Overførsel uden forudgående godkendelse efter stk. 1, nr. 3, kan ske, hvis overførslen er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den pågældende godkendelse, underrettes straks om overførslen.
Overførsel kan ske, hvis Europa-Kommissionen har truffet afgørelse om, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau.
Foreligger der ikke en afgørelse som nævnt i § 33, kan der ske overførsel, hvis
der i en international aftale er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, eller
den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysninger og konkluderet, at der findes de fornødne garantier for beskyttelsen af personoplysninger.
Stk. 2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, nr. 2.
Stk. 3. En overførsel i medfør af stk. 1, nr. 2, dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen stilles efter anmodning til rådighed for tilsynsmyndigheden.
Foreligger der ikke en afgørelse som nævnt i § 33 eller de fornødne garantier som nævnt i § 34, kan en overførsel eller en kategori af overførsler kun finde sted, hvis overførslen er nødvendig
for at beskytte den registreredes eller en anden persons vitale interesser,
for at beskytte den registreredes legitime interesser, hvis det er fastsat i henhold til lov,
for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed,
i enkeltsager med henblik på de formål, der er nævnt i § 1, stk. 1, eller
i en enkeltsag, for at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på de formål, der er nævnt i § 1, stk. 1.
Stk. 2. Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde sted, hvis hensynet til den registreredes rettigheder går forud for den samfundsmæssige interesse i overførslen.
Stk. 3. En overførsel i medfør af stk. 1 dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen stilles efter anmodning til rådighed for tilsynsmyndigheden.
De kompetente myndigheder kan overføre personoplysninger til andre end kompetente myndigheder og internationale organisationer på baggrund af en international aftale eller i enkeltstående og specifikke tilfælde, hvis
overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en opgave, der følger af lovgivningen, og forfølger de formål, der er nævnt i § 1, stk. 1,
den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes grundlæggende rettigheder går forud for samfundets interesse, der nødvendiggør overførslen i det foreliggende tilfælde,
den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kan foretages i tide,
den myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, underrettes uden unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt, og
den overførende kompetente myndighed underretter modtageren om det eller de specifikke formål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne behandling er nødvendig.
Stk. 2. Den overførende kompetente myndighed dokumenterer og underretter tilsynsmyndigheden om overførsler i medfør af stk. 1.
Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, jf. dog kapitel 19.
Stk. 2. Tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.
Stk. 3. Justitsministeren nedsætter Datarådet, som består af 1 formand, der er dommer, og 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden og medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegningen af formand og medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.
Stk. 4. Rådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.
Stk. 5. Udpegningen af formand og medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.
Stk. 6. Hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.
Stk. 7. Formanden og medlemmer og stedfortrædere for disse kan alene afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.
Stk. 8. Sekretariatets personale og Datarådets formand og medlemmer og stedfortrædere for disse kan kun have bibeskæftigelse, i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.
Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.
Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene, når disse ikke handler i deres egenskab af domstol.
Stk. 2. For anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den afgørelse, der er nævnt i 1. pkt., kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.
Tilsynsmyndighederne har til opgave her i landet at
føre tilsyn med og håndhæve anvendelsen af denne lov,
fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger,
rådgive Folketinget, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder i forbindelse med behandling,
fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af denne lov,
efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af denne lov og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant,
behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med bestemmelsen i § 48, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for højst 3 måneder, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig,
videresende klager, som skal behandles af en tilsynsmyndighed i en anden medlemsstat,
efter anmodning yde supplerende bistand til en registreret, der har indgivet en klage, som er blevet videresendt til en tilsynsmyndighed i en anden medlemsstat,
underrette en registreret, der har indgivet en klage, om adgangen til retsmidler efter kapitel 22,
efter anmodning kontrollere, om en behandling af personoplysninger er lovlig i henhold til undladelse, udsættelse, begrænsning eller nægtelse efter kapitel 4-6, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget, og om den registreredes adgang til retsmidler efter kapitel 22,
samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af denne lov,
gennemføre undersøgelser om anvendelsen af denne lov, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed,
holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi,
Tilsynsmyndighederne kan kræve enhver oplysning, der er af betydning for deres virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.
Stk. 2. Tilsynsmyndighedernes medlemmer og personale har mod behørig legitimation til enhver tid uden retskendelse adgang til alle lokaler, hvorfra en behandling af personoplysninger foretages.
Tilsynsmyndighederne kan over for den dataansvarlige og databehandleren afgive udtalelse om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne lov, give påbud om at bringe behandlingsaktiviteter i overensstemmelse med denne lov eller midlertidigt eller definitivt begrænse, herunder forbyde, behandling af personoplysninger.
Stk. 2. Tilsynsmyndighedernes afgørelser efter denne lov kan ikke indbringes for anden administrativ myndighed.
Ved udarbejdelse af generelle retsforskrifter, der har betydning for behandling af personoplysninger, skal der indhentes en udtalelse fra Datatilsynet. Er der tale om generelle forskrifter, der har betydning for behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.
Tilsynsmyndighederne besvarer anmodninger fra en tilsynsmyndighed i en anden medlemsstat uden unødig forsinkelse og senest 1 måned efter modtagelsen. Oplysninger, som en tilsynsmyndighed i en anden medlemsstat har anmodet om, fremsendes elektronisk i et standardformat.
Stk. 2. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.
Stk. 3. Anmodninger kan alene afvises, når den anmodede tilsynsmyndighed ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller en imødekommelse af anmodningen vil være i strid med denne eller anden lov. Et afslag på at imødekomme en anmodning skal begrundes.
Den registrerede eller dennes repræsentant kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den registrerede.
Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af at behandle en klage fra en registreret eller en manglende underretning efter § 40, stk. 1, nr. 6, kan af den registrerede eller dennes repræsentant indbringes for domstolene i den borgerlige retsplejes former.
Stk. 3. Den registrerede eller dennes repræsentant kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for domstolene i den borgerlige retsplejes former.
Enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov, har ret til erstatning fra den dataansvarlige i overensstemmelse med det almindelige EU-retlige erstatningsansvar.
Medmindre højere straf er forskyldt efter anden lovgivning, kan en privat databehandler, der i forbindelse med en behandling, der udføres for en kompetent myndighed, overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og § 28, stk. 2, eller undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde eller fængsel indtil 4 måneder.
Stk. 2. Dataansvarlige, der undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde.
Stk. 3. I regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller fængsel indtil 4 måneder.
Stk. 4. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Afsnit X
Afsluttende bestemmelser
Kapitel 23
Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser m.v.
Justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Europa-Kommissionen udstedte retsakter, som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, eller regler, som er nødvendige for at anvende de af Europa-Kommissionen udstedte retsakter på direktivets område.
Overførsler til tredjelande og internationale organisationer kan ske i medfør af internationale aftaler, der er indgået inden den 6. maj 2016, indtil aftalerne ændres, erstattes eller ophæves.
I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret senest ved § 1 i lov nr. 639 af 12. juni 2013, foretages følgende ændringer:
Loven gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysning med de ændringer, som de færøske forhold tilsiger. Loven gælder ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de ændringer, som de grønlandske forhold tilsiger.
Givet på Marselisborg Slot, den 27. april 2017
Under Vor Kongelige Hånd og Segl
MARGRETHE R.
/ Søren Pape Poulsen
Officielle noter
Loven gennemfører Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, EU-Tidende 2016, nr. L 119, side 89.
Loven gennemfører Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, EU-Tidende 2016, nr. L 119, side 89.
Genetiske data: Personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person.
Biometriske data: Personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.
Helbredsoplysninger: Personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
International organisation: En folkeretlig organisation og organer, der er underordnet en sådan organisation, og ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
Afsnit II
Behandlingsregler
Kapitel 3
Behandling af oplysninger
Stk. 4. Justitsministeren fastsætter nærmere regler om de i stk. 1-3 nævnte foranstaltninger.
Stk. 5. Justitsministeren kan efter indstilling fra en kompetent myndighed fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt.
Kapitel 13
Brud på datasikkerheden
rådgive om behandlingsaktiviteter som omhandlet i § 26 og
bidrage til Det Europæiske Databeskyttelsesråds aktiviteter.
Stk. 2. Tilsynsmyndighederne letter indgivelsen af klager efter stk. 1, nr. 6.
Stk. 3. Tilsynsmyndighederne kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger efter denne lov.
Persondataloven gælder generelt for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. lovens § 1, stk. 1. Regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven, jf. § 2, stk. 1.
Persondataloven gælder således også for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger.
Det fremgår imidlertid af lovens § 2, stk. 4, at lovens bestemmelser om oplysningspligt over for den registrerede (kapitel 8), den registreredes ret til indsigelse, berigtigelse, blokering og sletning af personoplysninger (§§ 35-37) og om automatiske afgørelser (§ 39) ikke finder anvendelse på behandlinger, der foretages for domstolene, politiet og anklagemyndigheden inden for det strafferetlige område. Herudover finder lovens regler om den registreredes ret til indsigt (kapitel 9) ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område.
Det foreslås i stk. 1, at loven skal gælde for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, Den Uafhængige Politiklagemyndigheds, kriminalforsorgens og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Efter den foreslåede ordning er lovens anvendelsesområde begrænset til de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler med den offentlige sikkerhed.
Begrebet automatisk databehandling er sammenfaldende med elektronisk databehandling, som anvendes i persondatalovens § 1, stk. 1.
Loven finder således først og fremmest anvendelse på den behandling af personoplysninger, som finder sted i forbindelse med de kompetente myndigheders aktiviteter inden for strafferetsplejen.
For så vidt angår udstrækningen af begrebet forebyggelse af strafbare handlinger, vil dette omfatte de aktiviteter, der udøves som led i de kompetente myndigheders generelle og individualiserede forebyggelsesindsatser, f.eks. indsatsen for at understøtte personers exit fra rocker- og bandemiljøet, lokalpolitiets kriminalitetsforebyggende arbejde, indsatsen mod radikalisering, bekymringssamtaler med udsatte unge og lignende. Anvendelsesområdet knytter sig således også til generelle forebyggelsesindsatser, f.eks. i forhold til de dele af færdselskontrolindsatsen, som ikke – endnu – har forbindelse til konkrete strafbare forhold.
Indsamling og behandling af personoplysninger, der er knyttet til efterforskningen og afsløringen af en konkret strafbar handling, såvel som politiets mere generelle monitorering af kriminalitetsområder, kriminelle miljøer mv. på såvel taktisk som strategisk plan, er ligeledes omfattet af det foreslåede anvendelsesområde.
For så vidt angår retsforfølgningen af strafbare handlinger, vil samtlige behandlinger af personoplysninger, der finder sted som led i politiets og anklagemyndighedens forberedelse og gennemførelse af straffesager, være omfattet af anvendelsesområdet. Behandlingen af personoplysninger om sigtede, tiltalte, vidner, domsmænd mv. i den forbindelse, vil således i det hele være omfattet.
Endelig vil de kompetente myndigheders behandling af personoplysninger med henblik på opgaver knyttet til fuldbyrdelse af strafferetlige sanktioner falde ind under anvendelsesområdet.
Loven vil endvidere finde anvendelse på aktiviteter, som ikke er knyttet til en helt konkret strafbar handling, f.eks. udøvelsen af beføjelser gennem tvangsindgreb som f.eks. politiaktiviteter i forbindelse med demonstrationer, store sportsbegivenheder og uroligheder.
Disse aktiviteter omfatter også opretholdelse af lov og orden som en opgave, der er overdraget til politiet eller andre retshåndhævende myndigheder, hvor det er nødvendigt for at beskytte mod og forebygge trusler mod den offentlige sikkerhed og de ved lov beskyttede grundlæggende samfundsinteresser, som kan føre til en strafbar handling.
Uden for lovens anvendelsesområde falder de administrative sager, som behandles af de kompetente myndigheder, herunder politiets behandling af klager over politiets dispositioner uden for strafferetsplejen, udstedelse af tilladelser til udøvelse af forskellige hverv, herunder pantelånere, idrætskontrollører, dørmænd og vagter, samt tilladelser til afholdelse af forskellige offentlige arrangementer eller aktiviteter, herunder forlystelser, boksekampe og særtransporter. Ligeledes modtager og behandler politiet og andre retshåndhævende myndigheder, på samme måde som andre forvaltningsmyndigheder, løbende aktindsigtsanmodninger efter offentlighedsloven og forvaltningsloven og vil også fremadrettet skulle behandle personoplysninger i forbindelse med behandlingen af konkrete anmodninger om indsigt i henhold til den gældende databeskyttelsesretlige regulering.
På tilsvarende måde vil behandling af personoplysninger, der finder sted i forbindelse med de kompetente myndigheders ansættelse af medarbejdere og den løbende administration af ansættelsesmæssige forhold falde uden for lovens anvendelsesområde.
Behandling af personoplysninger i sådanne sager vil i stedet være omfattet af de generelle regler i persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.1.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 2, stk. 1, at loven ikke gælder for den behandling, der udføres for politiets og forsvarets efterretningstjenester. Rammeafgørelsesbekendtgørelsens § 1, stk. 3, indeholder en tilsvarende bestemmelse.
Den foreslåede stk. 2 viderefører den gældende ordning vedrørende efterretningstjenesterne.
Der henvises i øvrigt til pkt. 2.1.3.6 i lovforslagets almindelige bemærkninger.
Det fremgår af rammeafgørelsesbekendtgørelsens § 1, stk. 1, at bekendtgørelsen ikke finder anvendelse i forhold til personoplysninger, der udveksles eller stilles til rådighed i forbindelse med samarbejde efter Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (Prümafgørelsen), eller efter Konvention om gensidig retshjælp i straffesager mellem den Den Europæiske Unions medlemsstater.
Det foreslås i stk. 3, at loven ikke skal finde anvendelse i forhold til behandling af personoplysninger i medfør af EU-retsakter, der den eller inden den 6. maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til EU-informationssystemer.
Den foreslåede ordning indebærer, at regler om behandling af personoplysninger i gældende EU-retsakter – eller nationale regler, der implementerer sådanne EU-retsakter – fortsat finder anvendelse. Det gælder f.eks. de kompetente myndigheders udveksling af oplysninger om f.eks. DNA og fingeraftryk i medfør af Prüm-afgørelsen, jf. ovenfor.
Det fremgår af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.
Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-2000, tillæg A, side 4057), at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Dette gælder dog ikke, hvis den dårlige retsstilling har været tilsigtet og i øvrigt ikke strider mod reglerne i databeskyttelsesdirektivet.
Det foreslås i § 2 at videreføre den gældende bestemmelse i persondatalovens § 2.
Efter den foreslåede bestemmelse vil lovforslaget således ikke finde anvendelse, hvis den registrerede opnår en bedre retsstilling efter anden lovgivning. Anden lovgivning, som giver den registrerede en dårligere retsstilling, finder dog anvendelse, hvis den dårligere retsstilling har været tilsigtet og i øvrigt ikke strider mod reglerne i retshåndhævelsesdirektivet. Bestemmelsen indebærer ikke, at databeskyttelsesforordningens regler vil finde anvendelse, desuagtet at denne i en konkret sammenhæng kan siges at føre til en bedre retsstilling for den registrerede. Den foreslåede bestemmelse vil således alene finde anvendelse i forhold til bestemmelser, der regulerer de kompetente myndigheders behandling af personoplysninger inden for lovens anvendelsesområde. Som eksempel på sådanne bestemmelser kan der peges på bestemmelserne i retsplejelovens §§ 818 og 819, der bl.a. regulerer behandlingen af personoplysninger i forbindelse med politiets udstedelse af signalementer og efterlysninger. Disse bestemmelser fastsætter særlige bestemmelser, der efter omstændighederne giver den registrerede en bedre retsstilling.
Der henvises i øvrigt til pkt. 2.1.3.7 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 3, nr. 1, at personoplysninger defineres som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Det foreslås i nr. 1, at personoplysninger defineres som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, jf. herved retshåndhævelsesdirektivets artikel 3, nr. 1.
Der er således tale om en videreførelse af definitionen af personoplysninger i persondataloven.
Det fremgår af persondatalovens § 3, nr. 2, at behandling defineres som enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.
Det foreslås i nr. 2, at behandling defineres som enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for.
Behandling omfatter således f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, overførsel til tredjeland, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse, jf. herved retshåndhævelsesdirektivets artikel 3, nr. 2.
Der er således i praksis tale om en videreførelse af definitionen af behandling i persondataloven.
Persondataloven indeholder ikke en definition af begrebet begrænsning af behandling.
Det fremgår imidlertid af persondatalovens § 37, stk. 1, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.
Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-2000, tillæg A, side 4092), at blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare indsamlede oplysninger, hvorimod det ikke er tilladt at behandle og bruge oplysningerne, herunder navnlig videregive dem til tredjemand. Oplysninger, som er blokeret, skal derfor være forsynet med en sådan markering, at en bruger informeres om blokeringen.
Det foreslås i nr. 3, at begrænsning af behandling defineres som mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger.
Begrænsning kan ske ved, at udvalgte oplysninger flyttes til et andet behandlingssystem, f.eks. til arkivformål, eller at udvalgte oplysninger gøres utilgængelige. I automatiske registre kan begrænsning ske ved hjælp af tekniske hjælpemidler. En begrænsning skal anføres i registeret på en sådan måde, at det tydeligt fremgår, at behandlingen af personoplysninger er begrænset, jf. herved direktivets præambelbetragtning nr. 47.
Der er således i praksis tale om en videreførelse af den forståelse af begrebet blokering, som følger af persondataloven.
Persondataloven indeholder ikke en definition af begrebet profilering.
Det foreslås i nr. 4, at profilering defineres som enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person.
Profilering kan navnlig have til formål at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser, jf. retshåndhævelsesdirektivets artikel 3, nr. 4.
Det fremgår af persondatalovens § 3, nr. 3, begrebet register med personoplysninger (register) defineres som enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.
Det foreslås i nr. 5, at register defineres som enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag.
Der er således tale om en videreførelse af definitionen af register i persondataloven.
Persondataloven indeholder ikke en definition af kompetente myndigheder.
Det foreslås i nr. 6, at kompetente myndigheder defineres som enhver offentlig myndighed eller ethvert andet organ eller enhver anden enhed, der i henhold til medlemsstaternes nationale ret er bemyndiget med hensyn til at udøve offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
Det foreslås endvidere, at det i definitionen præciseres, at de kompetente myndigheder i Danmark er politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene.
Den generelle definition er relevant i forbindelse med den udveksling af oplysninger, der sker mellem de danske kompetente myndigheder og de kompetente myndigheder i andre medlemsstater.
Det fremgår af persondatalovens § 3, nr. 4, at begrebet den dataansvarlige defineres som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Det foreslås i nr. 7, at begrebet den dataansvarlige defineres som den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Definitionen er således knyttet til definitionen af de kompetente myndigheder, da det alene er disse myndigheders behandling af personoplysninger, der er omfattet af det foreslåede anvendelsesområde for loven.
Det fremgår af persondatalovens § 3, nr. 5, at begrebet databehandleren defineres som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
Det foreslås i nr. 8, at begrebet databehandleren defineres som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
Der er således tale om en videreførelse af definitionen af databehandler i persondataloven.
Det fremgår af persondatalovens § 3, nr. 7, at begrebet modtager defineres som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.
Det foreslås i nr. 9, at begrebet modtager defineres som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, således at modtageren selvstændigt herefter træffer beslutning om, til hvilket formål og med hvilke midler denne behandler de videregivne oplysninger, uanset om det er en tredjemand eller ej. Myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere.
Angivelsen af, at myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel, ikke betragtes som modtagere, er relevant i forhold til de myndigheder, som de kompetente myndigheder løbende samarbejder med f.eks. i forbindelse med konkrete efterforskninger af strafbare forhold. I det omfang der i den forbindelse – inden for gældende ret i øvrigt – finder enkeltstående videregivelser af personoplysninger sted, vil den eller de modtagende myndigheder ikke være at anse som modtagere i bestemmelsens forstand. Eksempler på myndigheder, der i overensstemmelse med gældende ret kan få personoplysninger meddelt som led i en isoleret forespørgsel omfatter bl.a. skattemyndighederne, Finanstilsynet og andre myndigheder, der på lignende vis udøver tilsyns- og kontrolbeføjelser. Dette vil bl.a. have betydning for, hvilke oplysninger der skal meddeles i forbindelse med iagttagelsen af lovens regler om oplysninger, der skal stilles til rådighed for eller gives til den registrerede, jf. § 13, stk. 2.
Videregivelse til myndigheder, der efter gældende ret skal finde sted i mere systematisk omfang, eller uden at der foretages en konkret vurdering af, om videregivelsen skal finde sted, vil ikke være at anse som isoleret i bestemmelsens forstand. Ligeledes vil en videregivelse af et register som helhed eller en videregivelse med henblik på at gennemføre en samkøring af registre ikke udgøre en enkeltstående videregivelse som led i en isoleret forespørgsel.
Persondataloven indeholder ikke en definition af begrebet brud på persondatasikkerheden.
Det foreslås i nr. 10, at brud på persondatasikkerheden defineres som ethvert brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. direktivets artikel 3, nr. 11.
Persondataloven indeholder ikke en definition af begrebet genetiske data.
Det foreslås i nr. 11, at begrebet genetiske data defineres som personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person.
Den biologiske prøve kan f.eks. være en analyse på kromosomniveau, af deoxyribonukleinsyre (DNA) eller ribonukleinsyre (RNA), eller efter en analyse af et andet element til indhentning af lignende oplysninger, jf. retshåndhævelsesdirektivets præambelbetragtning nr. 23.
Persondataloven indeholder ikke en definition af begrebet biometriske data.
Det foreslås i nr. 12, at begrebet biometriske data defineres som personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.
Persondataloven indeholder ikke en definition af begrebet helbredsoplysninger.
Det foreslås i nr. 12, at begrebet helbredsoplysninger defineres som personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
Helbredsoplysninger omfatter alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand, dvs. enhver oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kilden hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller prøveudtagningsudstyr.
Der kan endvidere være tale om oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prøver.
Persondataloven indeholder ikke en definition af begrebet international organisation.
Det foreslås i nr. 14, at begrebet international organisation defineres som en folkeretlig organisation og organer, der er underordnet en sådan organisation, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
Omfattet af definitionen er f.eks. Interpol, som Danmark og de øvrige EU-medlemsstater er tilknyttet.
Det fremgår af persondatalovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
God databehandlingsskik er en retlig standard, som udfyldes af tilsynsmyndighederne. Begrebet indebærer bl.a., at behandlingen af oplysninger skal være rimelig og lovlig.
God databehandlingsskik anses efter praksis fra Datatilsynet for bl.a. at omfatte krav til den dataansvarlige om forudgående underretning af den registrerede om visse behandlingsaktiviteter, en pligt til at notere den registreredes indsigelser i forhold til rigtigheden af de registrerede oplysninger og underretning af berørte personer ved brud på datasikkerheden. God databehandlingsskik supplerer således navnlig lovens regler om den registreredes rettigheder.
Det foreslås i stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik og under hensyntagen til oplysningernes karakter.
Der sker således en videreførelse af begrebet god databehandlingsskik. Dette indebærer, at behandling skal være lovlig, rimelig og gennemsigtig i forhold til de registrerede, samt at der – på samme måde som i dag – vil være tale om en retlig standard, som skal udfyldes af tilsynsmyndighederne.
Kravet forhindrer ikke i sig selv de kompetente myndigheder i at udføre aktiviteter som f.eks. hemmelige undersøgelser eller videoovervågning, så længe dette sker under behørig hensyntagen til de berørte registreredes legitime interesser.
Kravet om, at der skal tages hensyn til oplysningernes karakter, indebærer, at der skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger, jf. herved retshåndhævelsesdirektivets artikel 7, stk. 1.
Dette har f.eks. betydning i forhold til vurderingen af oplysningernes rigtighed. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af fysiske personer, og det er ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre rigtigheden af en subjektiv opfattelse, men derimod blot rigtigheden af, at der er fremsat et konkret udsagn.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 2, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.
Det fremgår af lovens forarbejder (Folketingstidende 1999-2000, tillæg A, side 4064), at der i kravet om udtrykkelighed ligger, at den dataansvarlige i forbindelse med indsamlingen skal angive et formål, som er tilstrækkeligt veldefineret og velafgrænset til at skabe åbenhed og klarhed omkring behandlingen. Formålet med behandlingen af oplysningerne skal således defineres med en vis præcision. Der henvises i den forbindelse til, at en formålsangivelse som f.eks. ”til brug for udbud af finansielle ydelser” anses for at være tilstrækkelig præcis.
Det foreslås i stk. 2, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, som er omfattet af den foreslåede § 1, og at senere behandling ikke må være uforenelig med disse formål, idet der dog henvises til den forslåede § 5, som angiver betingelserne for, hvornår en efterfølgende behandling kan finde sted. Der er i vidt omfang tale om en videreførelse af gældende ret.
Adgangen til at behandle oplysninger i historisk, statistisk eller videnskabeligt øjemed er således delvist reguleret i den foreslåede § 5 for så vidt, at der er tale om en behandling med et formål, som er omfattet af lovens anvendelsesområde. Såfremt formålet falder uden for lovens anvendelsesområde – hvilket i praksis ofte vil være tilfældet – vil behandlingen skulle ske på baggrund af persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 3, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Det foreslås i stk. 3, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 4, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Det foreslås i stk. 4, at oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte, og at der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
Der er således tale om en videreførelse af gældende ret. De sproglige forskelle mellem persondatalovens § 5, stk. 4, og den foreslåede § 4, stk. 4, skyldes således alene hensynet til at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket en korrekt gennemførelse af retshåndhævelsesdirektivets artikel 4, stk. 1, litra d.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 4, 2. pkt., at der skal foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger.
Det fremgår af rammeafgørelsesbekendtgørelsens § 9, stk. 1, at den dataansvarlige skal træffe alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med al videregivelse af oplysninger skal der så vidt muligt tilføjes tilgængelige oplysninger, der gør det muligt for den udenlandske myndighed at vurdere, om oplysningerne er rigtige, fuldstændige, ajourførte og pålidelige.
Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks den udenlandske myndighed. Oplysningerne skal berigtiges, slettes eller blokeres omgående, jf. bekendtgørelsens § 9, stk. 2.
Det foreslås i stk. 5, at den dataansvarlige skal træffe alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.
Den foreslåede bestemmelse udgør i nogen grad en præcisering af princippet i den foreslåede § 4, stk. 4, hvorefter det generelt skal sikres, at de oplysninger, som behandles, er korrekte.
Med den foreslåede bestemmelse præciseres det således, at den dataansvarlige navnlig i forbindelse med, at personoplysninger videregives og stilles til rådighed, skal sikre sig, at oplysningerne er korrekte, fuldstændige og ajourførte. Oplysninger, som kan gøre det muligt for den modtagende myndighed at vurdere, om oplysningerne er rigtige, fuldstændige og ajourførte, kan efter omstændighederne bestå i oplysninger om kilden til oplysningerne og om, hvornår oplysningerne er indsamlet.
De kompetente myndigheder er allerede efter gældende ret underlagt en sådan forpligtelse i forhold til den grænseoverskridende udveksling af personoplysninger, men med den foreslåede bestemmelse udvides – den eksplicitte – forpligtelsen til rent nationale forhold.
Kravet vil dog fortsat navnlig være relevant i forbindelse med, at de danske kompetente myndigheder videregiver oplysninger til de kompetente myndigheder i andre medlemsstater, idet kravet om, at der skal ske berigtigelse, sletning eller begrænsning dog retter sig til danske kompetente myndigheder, som har modtaget oplysninger fra kompetente myndigheder i andre medlemsstater.
Bestemmelsens angivelse af, at den dataansvarlige skal tage visse skridt så vidt muligt, indebærer alene en overordnet pligt for den dataansvarlige til at have for øje, om de konkrete skridt – f.eks. at verificere personoplysninger inden en videregivelse – bør gennemføres under iagttagelse af de særlige forholdsregler, som bestemmelsen angiver. I den forbindelse vil den dataansvarlige efter omstændighederne kunne tage hensyn til bl.a. den konkrete videregivelse, modtageren af oplysningerne, til hvilke formål oplysningerne skal anvendes, om der er tale om en behandling, der er forudsat i lovgivningen, og om behandlingen i tidligere tilfælde har medført risici for de registrerede mv.
Kravet om oplysningernes rigtighed vedrører ikke rigtigheden af en subjektiv opfattelse, men derimod blot rigtigheden af, at der er fremsat et konkret udsagn.
Der henvises i øvrigt til pkt. 2.3.3.4 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det foreslås i stk. 6, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Det foreslås i stk. 7, at indsamlede oplysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. de foreslåede regler om behandlingssikkerhed i § 27.
Med den foreslåede bestemmelse præciseres det således allerede i forbindelse med de generelle behandlingsprincipper, at den dataansvarlige skal sikre, at behandlingen sker under anvendelse af passende tekniske og organisatoriske foranstaltninger.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Persondataloven indeholder ikke en eksplicit og overordnet bestemmelse om den dataansvarliges ansvar. I stedet følger den dataansvarliges ansvar implicit af, at den dataansvarlige har retten til at disponere og bestemme over de pågældende personoplysninger og derfor også er ansvarlig for overholdelse af databeskyttelsesretten ved behandling af personoplysninger.
Det foreslås i stk. 8, at den dataansvarlige er ansvarlig for og skal kunne påvise, at behandlingsprincipperne i den foreslåede § 4, stk. 1-7, overholdes.
Bestemmelsen indeholder det databeskyttelsesretlige princip om ansvarlighed. Dette princip indebærer, at den dataansvarlige i passende omfang skal kunne påvise, at de behandlinger af personoplysninger, der finder sted, er i overensstemmelse med stk. 1-7. Kravet om at påvise overholdelse må navnlig antages at indebære en mere generel pligt til over for tilsynsmyndigheden på foranledning at kunne godtgøre, at de relevante krav efterleves. Dette vil i praksis – som det i dag er tilfældet under persondataloven – kunne ske ved at stille den dataansvarliges sikkerhedspolitik og andre relevante interne regelsæt til rådighed. Kravet vil f.eks. også kunne imødekommes ved, at den dataansvarlige i relevant omfang godtgør, at der er taget skridt til at sikre en passende uddannelse og oplysning af medarbejderne om indholdet af de relevante krav, som loven og de relevante interne politikker indeholder.
Bestemmelsen indebærer på den anden side ikke krav om en meget udførlig og findelt dokumentation af enhver behandlingsaktivitet, som den dataansvarlige gennemfører. Der lægges i den forbindelse vægt på, at de kompetente myndigheder behandler en meget betydelig mængde personoplysninger på baggrund af et udførligt lovgrundlag og generelt – for politi og anklagemyndighedens vedkommende – er underlagt en særlig legalitetskontrol for så vidt angår de behandlinger, der finder sted som led i efterforskningen mv. af strafbare forhold, og som dermed tilrettelægges med henblik på at kunne tåle en nærmere retslig prøvelse. Det vil således under alle omstændigheder ikke bibringe væsentlig merværdi, såfremt f.eks. politiet var forpligtet til meget udførligt at beskrive, hvorfor konkrete personoplysninger behandles til brug for en given type straffesag mv.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 2, 1. pkt., at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Bestemmelsen er udtryk for det såkaldte finalité-princip, som indebærer, at indsamlingen af oplysninger skal ske med et bestemt formål for øje, og at der er visse grænser for, hvordan oplysningerne efterfølgende kan anvendes. Angivelsen af, at senere behandling blot ikke må være uforenelig med det oprindelige formål, indebærer dog, at der er en ret lempelig adgang for navnlig offentlige myndigheder til at behandle, herunder videregive, oplysninger til nye formål.
Det foreslås i stk. 1, at senere behandling af oplysninger til et andet af de formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprindeligt var indsamlet, kan foretages af den samme eller en anden af de kompetente myndigheder, når behandlingen sker på baggrund af lov og er nødvendig og forholdsmæssig i forhold til dette efterfølgende formål.
Den foreslåede bestemmelse giver således en relativt vid adgang for de kompetente myndigheder til at behandle, herunder videregive, oplysninger til nye formål inden for lovens anvendelsesområde.
Det er f.eks. relevant i forhold til den videregivelse af personoplysninger, som finder sted i forbindelse med en straffesags forløb. Politiet kan således indsamle oplysninger om en mistænkts telefonnummer i forbindelsen med efterforskningen af et strafbart forhold. Hvis der indledes en straffesag, vil oplysningen om den (nu) tiltaltes telefonnummer blive videregivet til domstolene til brug for forkyndelse af anklageskrift og indkaldelse til hovedforhandling. Hvis den pågældende findes skyldig og idømmes en fængselsstraf, vil oplysningerne om den (nu) dømtes telefonnummer blive videregivet til kriminalforsorgen til brug for indkaldelse til afsoning.
Såfremt det efterfølgende formål falder uden for lovens anvendelsesområde, vil behandlingen, herunder den kompetente myndigheds videregivelse, skulle ske på baggrund af persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 2, 2. pkt., at senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, ikke anses for uforenelig med de formål, hvortil oplysningerne er indsamlede.
Det fremgår videre af persondatalovens § 14, at oplysninger, der er omfattet af persondataloven, kan overføres til arkiv efter reglerne i arkivlovgivningen.
Det foreslås i stk. 2, at der i medfør af stk. 1 endvidere kan foretages behandling af oplysninger, der alene sker til arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed.
Med den foreslåede bestemmelse gøres det klart, at en behandling, der alene sker til arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed, opfylder betingelsen i den foreslåede § 5, stk. 1, om, at en efterfølgende behandling skal være nødvendig og forholdsmæssig.
Bestemmelsen omfatter alene behandling, der er omfattet af lovens anvendelsesområde. I det omfang, at der er tale om behandling med henblik på arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed, som falder uden for lovens anvendelsesområde, vil behandlingen, herunder videregivelsen, i stedet skulle ske efter de ovennævnte regler i persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen.
Persondataloven indeholder ikke et en eksplicit og overordnet bestemmelse om den dataansvarliges ansvar. I stedet følger den dataansvarliges ansvar implicit af, at den dataansvarlige har retten til at disponere og bestemme over de pågældende personoplysninger og derfor også er ansvarlig for overholdelse af databeskyttelsesretten ved behandling af personoplysninger.
Det foreslås i stk. 3, at den dataansvarlige er ansvarlig for og skal kunne påvise, at en efterfølgende behandling er i overensstemmelse med den foreslåede § 5, stk. 1 og 2, jf. herved også den foreslåede § 4, stk. 8, og bemærkningerne hertil.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af rammeafgørelsesbekendtgørelsens § 3, stk. 3, at behandling ikke må ske i strid med specifikke begrænsninger for behandling af videregivne oplysninger fastsat i lovgivningen gældende for den videregivende udenlandske myndighed, når den videregivende myndighed gør opmærksom på begrænsningerne.
Det foreslås i stk. 1, at når der foretages videregivelse, fastsætter og underretter den videregivende kompetente myndighed om eventuelle særlige vilkår for behandling af oplysninger. Der kan ikke fastsættes særlige vilkår alene som følge af, at der er tale om en videregivelse til en modtager i en anden medlemsstat.
Den foreslåede bestemmelse vedrører både videregivelse mellem de kompetente danske myndigheder og videregivelse fra en dansk kompetent myndighed til en kompetent myndighed i anden medlemsstat.
Bestemmelsen giver mulighed for, at de kompetente myndigheder i Danmark kan opstille de samme vilkår for, hvordan henholdsvis en anden dansk kompetent myndighed og en kompetent myndighed i en anden medlemsstat kan behandle, herunder navnlig videregive, personoplysninger. Der kan f.eks. være tale om et forbud mod at videregive personoplysninger til andre, eller at anvende oplysningerne til andre formål end dem, på baggrund af hvilke de blev videregivet til modtageren.
Det foreslås videre i stk. 2, at behandling af oplysninger, der er modtaget fra en kompetent myndighed, ikke må ske i strid med særlige vilkår, som er fastsat af den videregivende kompetente myndighed.
Med den foreslåede bestemmelse sikres det, at de kompetente myndigheder er forpligtet til at overholde eventuelle særlige vilkår, som er fastsat af den videregivende myndighed. Det er en forudsætning, at den videregivende myndighed har gjort opmærksom på det særlige vilkår, eller det på anden måde står klart for den modtagende myndighed, at der gælder særlige vilkår for behandlingen af de modtagne personoplysninger.
Det fremgår af persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det fremgår af rammeafgørelsesbekendtgørelsens § 8, at den dataansvarlige skal tilrettelægge behandlingen af personoplysninger således, at der fastsættes passende frister for sletningen af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen af oplysningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at tidsfristerne overholdes.
Det foreslås i § 7, at den dataansvarlige skal tilrettelægge behandlingen af personoplysninger således, at der fastsættes passende frister for sletningen af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen af oplysningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at tidsfristerne overholdes.
De kompetente myndigheder er allerede efter gældende ret underlagt en sådan forpligtelse i forhold til den grænseoverskridende udveksling af personoplysninger, men med den foreslåede bestemmelse udvides – den eksplicitte – forpligtelsen til rent nationale forhold.
Kravet vil kunne opfyldes ved, at den dataansvarlige myndighed fastsætter generelle frister for, hvornår de personoplysninger, som myndigheden behandler, skal slettes.
Der er således ikke krav om, at den dataansvarlige løbende skal gennemgå samtlige sine sager, dokumenter mv. med henblik på at sikre, at der ikke opbevares konkrete personoplysninger i strid med bestemmelsen, så længe myndigheden har procedurer, som sikrer, at der sker sletning i overensstemmelse med de fastsatte frister. Der er således ikke krav om, at der skal fastsættes specifikke frister for de enkelte dokumenter og oplysninger, der indgår i en straffesag.
Der henvises i øvrigt til pkt. 2.3.3.2 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke en eksplicit forpligtelse for den dataansvarlige til at sondre mellem forskellige kategorier af registrerede.
Det foreslås i § 8, at den dataansvarlige, når det er relevant, så vidt muligt skal sondre mellem personoplysninger om forskellige kategorier af registrerede, herunder personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling, personer, der er dømt for en strafbar handling, ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne blive ofre for en strafbar handling, og andre parter i forbindelse med en strafbar handling, såsom personer, der kan blive indkaldt som vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsagepersoner for personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling, eller personer, der er dømt for en strafbar handling.
Kravet vil efter omstændighederne fortsat kunne opfyldes på forskellige måder. Der vil således kunne ske en opfyldelse af kravet ved at anvende forskellige databehandlingssystemer eller forskellige generelle regler for forskellige kategorier af registrerede. Det vil endvidere kunne opfyldes gennem konkrete angivelser af, hvilken kategori af registrerede som en given oplysning vedrører, hvilket muliggør, at der vil kunne foretages en konkret afvejning, inden der iværksættes behandling. Angivelsen af, at der så vidt muligt skal sondres, indebærer dog, at der i de fleste sammenhænge ikke skal ske en forskellig behandling af oplysninger om forskellige kategorier af registrerede i den samme konkrete straffesag.
Angivelsen af, at der skal sondres, når det er relevant, indebærer, at der kan være situationer, hvor der ikke skal sondres mellem forskellige kategorier af registrerede. Der kan f.eks. være tale om en behandling af personoplysninger, som varetager et så tungtvejende hensyn, f.eks. forebyggelse af alvorlig kriminalitet, at der ikke er krav om at foretage en sondring mellem de forskellige kategorier af registrerede, som oplysningerne vedrører.
Der henvises i øvrigt til pkt. 2.3.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 6, at behandling af personoplysninger kan ske, når den registrerede har meddelt samtykke hertil (stk. 1, nr. 1), når behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige (stk. 1, nr. 3), når behandlingen er nødvendig for at beskytte den registreredes vitale interesser (stk. 1, nr. 4), når behandlingen er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige er pålagt (stk. 1, nr. 6), eller når behandlingen er nødvendig af hensyn til en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse (stk. 1, nr. 7).
Det foreslås i § 9, at behandling af oplysninger kun må finde sted, når behandlingen er nødvendig for at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Den foreslåede bestemmelse erstatter således de behandlingsgrundlag efter persondataloven, som de kompetente myndigheder i dag anvender til behandling af personoplysninger, herunder personnumre.
Der henvises i øvrigt til pkt. 2.3.3.5 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 7 stk. 1, at der som hovedregel ikke må behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.
Det fremgår videre af bestemmelsens stk. 6, at behandling af de følsomme oplysninger, der er nævnt i stk. 1, kan ske, hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.
Persondatalovens § 7, stk. 6, suppleres for så vidt angår grænseoverskridende udveksling af oplysninger af rammeafgørelsesbekendtgørelsens § 2, stk. 2. Det fremgår heraf, at behandling af oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold efter persondatalovens § 7, stk. 6, ikke må ske, medmindre behandlingen er strengt nødvendig.
Det foreslås i stk. 1, at der ikke må behandles personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt genetiske data, biometriske data, der behandles med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Det foreslås videre i stk. 2, at der dog under overholdelse af betingelserne i lovforslaget kan foretages behandling af oplysninger omfattet af stk. 1, når det er strengt nødvendigt og sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herunder for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller hvis behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.
I forhold til behandlingen af almindelige personoplysninger, er der således efter den foreslåede bestemmelse tale om et skærpet krav til nødvendigheden, idet behandlingen for så vidt angår disse særlige kategorier af oplysninger skal være strengt nødvendig. Kravet er desuden skærpet i forhold til den gældende bestemmelse i persondatalovens § 7, stk. 6, men er en videreførelse af kravet i rammeafgørelsesbekendtgørelsens § 2, stk. 2.
I praksis vil det dog formentlig ikke vil være muligt at angive nogen væsentlig forskel på kriterierne ”nødvendigt” og ”strengt nødvendigt”. Det gælder således bl.a. i relation til politiets mv. adgang til at behandle de nævnte typer af følsomme personoplysninger med henblik på kriminalitetsbekæmpelse, f.eks. behandling af oplysninger om politisk overbevisning i forbindelse med opklaring af et politisk motiveret mord, eller behandling af oplysninger om race med henblik på at identificere en gerningsmand.
Henvisningen til, at der kan ske behandling for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller hvis der er tale om oplysninger, som tydeligvis er offentliggjort af den registrerede, er medtaget for at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket en korrekt implementering af retshåndhævelsesdirektivets artikel 10.
Der henvises i øvrigt til pkt. 2.3.3.6 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 39, at hvis en registreret person fremsætter indsigelse herimod, kan den dataansvarlige ikke foranstalte, at den registrerede undergives afgørelser, der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold.
Efter bestemmelsens stk. 3 har den registrerede ret til hos den dataansvarlige snarest muligt og uden ugrundet ophold at få at vide, hvilke beslutningsregler der ligger bag en afgørelse som nævnt i stk. 1. Persondatalovens § 30 om undtagelser fra oplysningspligten finder tilsvarende anvendelse.
Persondatalovens § 30 finder ikke anvendelse for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger inden for det strafferetlige område.
Det foreslås i stk. 1, at der kan træffes afgørelser, der har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, alene på grundlag af automatisk behandling, herunder profilering.
Det er en betingelse, at der findes passende foranstaltninger til at sikre den registreredes berettigede interesser, herunder i det mindste en ret for den registrerede til at kræve menneskelig indgriben fra den dataansvarliges side, jf. det foreslåede stk. 2.
Der træffes ikke aktuelt sådanne afgørelser af de kompetente myndigheder, men hvis det i fremtiden måtte blive relevant, navnlig som følge af den teknologiske udvikling, etableres der med den foreslåede bestemmelse en mulighed herfor.
De afgørelser, som i givet fald vil være omfattet af bestemmelsen, vil være myndighedsafgørelser i forvaltningslovens forstand, dvs. udtalelser, der går ud på at fastsætte, hvad der er eller skal være ret i et foreliggende tilfælde, idet automatiske afgørelser ikke er relevante i forhold til afgørelser truffet af domstolene.
De foranstaltninger, som skal fastsættes for at sikre den registreredes berettigede interesser, kan udover adgangen til at kræve menneskelig indgriben f.eks. være regler om, at der stikprøvevis skal foretages en menneskelig kontrol af de automatiske afgørelser.
Der henvises i øvrigt til pkt. 2.3.3.7 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke en forpligtelse for den dataansvarlige til at indføre mekanismer, som kan tilskynde til indberetning af overtrædelse af reglerne om beskyttelse af personoplysninger.
Det foreslås i § 12, at de kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning til tilsynsmyndighederne af overtrædelser af den foreslåede lov.
Der kræves ikke etablering af egentlige whistle-blower-ordninger for at opfylde kravet. En mekanisme kan således f.eks. bestå i, at det sikres, at ansatte – eventuelt via databeskyttelsesrådgiveren – kan indberette en overtrædelse af loven – eller en formodning herom – til tilsynsmyndigheden, såfremt der er truffet foranstaltninger, der sikrer, at dette ikke vil føre til disciplinære reaktioner over for de pågældende.
Det fremgår af persondatalovens § 28, stk. 1, at den dataansvarlige eller dennes repræsentant ved indsamling af oplysninger hos den registrerede skal give den registrerede meddelelse om den dataansvarliges og dennes repræsentants identitet, formålene med den behandling, hvortil oplysningerne er bestemt, og alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser. Som eksempler på sådanne yderligere oplysninger nævnes i stk. 1 kategorierne af modtagere, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare, og om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med disse oplysninger, jf. stk. 2.
Det fremgår videre af persondatalovens § 29, stk. 1, at hvor oplysninger ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om den dataansvarliges og dennes repræsentants identitet, formålene med den behandling, hvortil oplysningerne er bestemt, og alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser. Som eksempler på sådanne yderligere oplysninger nævnes i stk. 1 hvilken type oplysninger det drejer sig om, kategorierne af modtagere og om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede. Bestemmelsen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med disse oplysninger, hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov, eller hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig, jf. stk. 2 og 3.
Det foreslås i stk. 1, at den dataansvarlige skal stille følgende oplysninger til rådighed for den registrerede:
Identitet på og kontaktoplysninger for den dataansvarlige.
Kontaktoplysninger for databeskyttelsesrådgiveren og oplysninger om dennes funktion i forhold til de registrerede.
Formålene med den behandling, som personoplysningerne skal bruges til.
Retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysningerne for tilsynsmyndigheden.
Den registreredes rettigheder efter kapitel 5 og 6.
Retten til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til de kompetente myndigheders afgørelser om undladelse, udsættelse, begrænsning eller nægtelse efter kapitel 4-6, jf. § 40, stk. 1, nr. 10.
Den dataansvarliges forpligtelse til at stille oplysninger til rådighed kan f.eks. opfyldes ved at gøre oplysningerne tilgængelige på den kompetente myndigheds hjemmeside eller gennem trykt materiale, som er tilgængeligt for de registrerede.
Navnlig for så vidt angår kravet i bestemmelsens nr. 3, hvorefter den dataansvarlige skal angive formålene med den behandling, som personoplysningerne skal bruges til, vil en mere generel angivelse af de opgaver, som myndigheden varetager, anses for at være tilstrækkelig. Det vil således f.eks. i forhold til en dataansvarlig politimyndighed være tilstrækkeligt, hvis det fremgår af de oplysninger, der stilles til rådighed, at oplysninger behandles med henblik på at løse de opgaver, der fremgår af politilovens § 2, kombineret med en nærmere angivelse af, hvilke opgaver der fremgå af politilovens § 2.
Bestemmelsen i stk. 2 indebærer en pligt for den dataansvarlige til at meddele en række oplysninger til den registrerede.
Det foreslås således i stk. 2, at når det er nødvendigt for, at den registrerede kan varetage sine interesser, skal den dataansvarlige som minimum give den registrerede meddelelse om følgende:
Retsgrundlaget for behandlingen.
Det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Kategorierne af eventuelle modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer.
Yderligere oplysninger, hvis det er nødvendigt, navnlig hvis personoplysningerne indsamles uden den registreredes vidende.
Efter den foreslåede bestemmelse stilles der – i modsætning til efter den foreslåede § 13, stk. 1 – krav om, at den dataansvarlige myndighed konkret underretter den registrerede.
Underretning skal ske, når det er nødvendigt under hensyntagen til de specifikke omstændigheder, hvorunder oplysningerne behandles, med henblik på at sikre den registrerede en rimelig behandling af oplysningerne. Der vil imidlertid skulle tages behørigt hensyn til f.eks. de særlige fortrolighedshensyn, som politiet og anklagemyndighedens behandling af personoplysninger om mistænkte mv. er underlagt i forbindelse med en straffesags efterforskning og forberedelse, jf. også bemærkningerne til lovforslagets § 14.
Det vil ikke være nødvendigt at foretage underretning af den registrerede, hvis der er tale om en sammenhæng, hvor behandlingen af oplysningerne ikke kan føre til negative retsvirkninger for den registrerede, eller hvis det ud fra sammenhængen, hvori oplysningerne er indsamlet, må stå klart for den registrerede, hvad oplysningerne skal anvendes til, f.eks. en person, der til brug for en konkret efterforskning afgiver forklaring til politiet. Tilsvarende vil gælde behandling af oplysninger vedrørende personer, som utilsigtet eller tilfældigt kommer i berøring med en konkret straffesag, f.eks. i forbindelse med overvågning, aflytning og lignende af en person, som er mistænkt for et strafbart forhold.
Når der er tale om personoplysninger, der er indeholdt i en konkret straffesag hos f.eks. politiet eller anklagemyndigheden eller i en retsafgørelse i en straffesag, skal oplysningspligten gennemføres efter reglerne om underretning i retsplejeloven, jf. den foreslåede § 18, stk. 3. Det indebærer, at der i disse tilfælde sker underretning af de pågældende personer i overensstemmelse med retsplejelovens regler. Det kan f.eks. være underretning af den sigtede om sigtelsen, jf. § 752, underretning om indgreb i meddelelseshemmeligheden, jf. § 788, eller underretning om en ransagning, jf. § 798.
Underretningen skal ske ved indsamlingen eller i umiddelbar forlængelse heraf. Der skal ske underretning, uanset om oplysningerne indsamles med eller uden den pågældendes vidende.
Der er ingen formkrav til underretningen, men hensynet til at sikre, at der ikke kan opstå tvivl om, hvorvidt der er foretaget korrekt underretning, fører til, at underretningen som udgangspunkt bør ske skriftligt.
Kravet i nr. 1 om, at retsgrundlaget for behandlingen skal meddeles til den registrerede, kan opfyldes gennem en angivelse af den lovbestemmelse, der danner grundlag for den relevante behandling af personoplysninger. Alt efter de konkrete omstændigheder kan retsgrundlaget være en generel lovhjemlet opgave, som f.eks. de opgaver, der fremgår af politilovens § 2, eller være knyttet til mere konkrete opgaver, sagstyper mv., som den dataansvarlige varetager. Det afgørende for, om kravet kan anses for opfyldt, vil være, om den registrerede tilvejebringes en mulighed for at gøre sig bekendt med det retlige grundlag for behandlingen af personoplysninger.
Underretningen skal ikke indeholde oplysninger om, hvilke konkrete oplysninger der behandles om den pågældende. Ønsker den registrerede oplysninger herom, skal det ske i medfør af den foreslåede § 15 om den registreredes indsigtsret.
Hvis der er tale om en løbende indsamling af oplysninger, er det tilstrækkeligt, hvis underretningen gives én gang, eller at en tidligere meddelt underretning suppleres.
For så vidt angår kravet om, at der skal gives yderligere oplysninger, når det er nødvendigt, jf. nr. 4, kan der f.eks. være tale om oplysninger om, at den registrerede vil blive underlagt en automatisk afgørelse efter den foreslåede § 11.
Der henvises i øvrigt til pkt. 2.4.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 30, stk. 1, at bestemmelserne i § 28, stk. 1, og § 29, stk. 1, ikke gælder, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan ifølge § 30, stk. 2, tillige gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til statens sikkerhed (nr. 1), forsvaret (nr. 2), den offentlige sikkerhed (nr. 3), forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv (nr. 4), væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender (nr. 5), og kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder (nr. 6).
Det foreslås i stk. 1, at meddelelse efter den foreslåede § 13, stk. 2, kan udsættes, begrænses eller undlades, hvis det følger af lov, eller hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for at
undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer,
undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner,
beskytte den offentlige sikkerhed,
beskytte statens sikkerhed eller
beskytte den registreredes eller andres rettigheder.
Med den foreslåede bestemmelse gives der mulighed for at udsætte, begrænse eller undlade en underretning af den registrerede.
Som følge af det foreslåede anvendelsesområde for loven, vil navnlig hensynet til at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer, jf. nr. 1, og hensynet til at undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, jf. nr. 2, ofte føre til, at der ikke skal gives underretning til den registrerede i medfør af den foreslåede § 13, stk. 2. Der kan f.eks. være tale om situationer, hvor en meddelelse til den registrerede om, at politiet i forbindelse med en efterforskning behandler oplysninger om den pågældende, f.eks. i form af en aflytning, vil indebære, at formålet med efterforskningen forspildes.
Hensynet til at beskytte den offentlige sikkerhed og statens sikkerhed skal forstås i lyset af EU-Domstolens praksis. Det fremgår således af EU-Domstolens dom af 23. november 2010 i sagen C-145/09, Tsakouridis, præmis 43 og 44, at Domstolen vedrørende den offentlige sikkerhed har fastslået, at begrebet omfatter både en medlemsstats indre og ydre sikkerhed, og en trussel mod de grundlæggende offentlige institutioners og tjenesters funktionsmåde eller befolkningens overlevelse samt risikoen for en alvorlig forstyrrelse af de internationale relationer eller af nationernes fredelige sameksistens eller en trussel mod militære interesser kan påvirke den offentlige sikkerhed.
Hensynet til den offentlige sikkerhed kan f.eks. være relevant i forbindelse med de kompetente myndigheders behandling af sager mod ansatte fra Forsvarets Efterretningstjeneste og Politiets Efterretningstjeneste.
Begrænsninger i underretningspligten, som følger af eksisterende lovgivning, herunder retsplejelovens regler, vil kunne opretholdes, såfremt begrænsningen sker af hensyn til en af de grunde, som fremgår af den foreslåede § 14, stk. 2, jf. herved også den foreslåede § 2 og bemærkningerne hertil.
Det foreslås videre i stk. 2, at justitsministeren bemyndiges til at fastsætte nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, samt om, at meddelelse efter § 13, stk. 2, kan udsættes til et passende tidspunkt, for så vidt hensynene i stk. 1 må antages at medføre, at meddelelser i almindelighed må underkastes en sådan udsættelse. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren for så vidt angår regler med betydning for den militære anklagemyndigheds behandling af personoplysninger.
Adgangen for justitsministeren til at fastsætte nærmere regler om, at meddelelse efter § 13, stk. 2, kan udsættes til et passende tidspunkt, vil navnlig kunne anvendes til at fastsætte regler om, at meddelelse bør finde sted samtidig med de øvrige processuelle skridt, som straffesager er underlagt. I praksis vil de hensyn, som fremgår af den foreslåede § 14, stk. 1, føre til, at oplysningspligten efter § 13, stk. 1, ikke kan iagttages tidligere end det tidspunkt, hvor der eksempelvis rejses sigtelse, og hvor der således gives meddelelse til den pågældende i overensstemmelse med retsplejelovens regler herom. Efter bestemmelsen vil justitsministeren således kunne regulere nærmere, hvornår lignende tilfælde må antages at foreligge inden for lovens anvendelsesområde, samt hvordan meddelelse i sådanne tilfælde skal gennemføres mv. Bemyndigelsen vil f.eks. muliggøre, at der i bekendtgørelse om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret) fastsættes regler om, hvornår en registreret skal gives meddelelse om, at registeret indeholder oplysninger om den pågældende. Reglerne i sådanne bekendtgørelser vil selvsagt skulle overholde retshåndhævelsesdirektivets regler.
Den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til udsættelse, begrænsning eller nægtelse finder fortsat anvendelse, uanset at en udsættelse af tidspunktet for meddelelse efter § 13, stk. 2, følger af en sådan generelt fastsat regel.
Der henvises i øvrigt til pkt. 2.4.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 31, at når en person fremsætter begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om, hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer.
Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge, jf. stk. 2.
Bestemmelsen i § 31 finder ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område, jf. § 2, stk. 4.
Det foreslås i stk. 1, at hvis en registreret fremsætter begæring herom, skal den dataansvarlige bekræfte over for den pågældende, om der behandles oplysninger om vedkommende.
Behandles der oplysninger om den pågældende, skal der efter det foreslåede stk. 2, gives adgang til oplysningerne samt en meddelelse med følgende oplysninger:
Formålene med og retsgrundlaget for behandlingen.
De berørte kategorier af personoplysninger.
De modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, herunder navnlig modtagere i tredjelande eller internationale organisationer.
Om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede.
Retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden.
Hvilke personoplysninger, der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.
De oplysninger, der efter bestemmelsen skal meddeles til den registrerede, er de oplysninger, der behandles på tidspunktet for begæringen og indtil begæringen ekspederes. Den registrerede har ikke krav på at få oplyst, hvilke oplysninger der tidligere har været undergivet behandling.
Formålet med behandlingen, jf. nr. 1, kan angives generelt, f.eks. ”til brug for efterforskning af strafbare forhold”.
Hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en indsigtsanmodning, skal den dataansvarlige i overensstemmelse med de almindelige forvaltningsretlige principper anmode om de yderligere oplysninger, der er nødvendige for at bekræfte den pågældendes identitet.
Når der er tale om personoplysninger, der er indeholdt i en konkret straffesag hos f.eks. politiet eller anklagemyndigheden eller i en retsafgørelse i en straffesag, skal indsigtsretten i øvrigt gennemføres efter retsplejelovens regler om adgang til materialet i straffesager og om indsigt i retsafgørelser, jf. den foreslåede § 18, stk. 3. Indsigtsanmodninger skal således afgøres efter retsplejelovens regler i kapitel 3 a om aktindsigt i bl.a. domme og kendelser og i dokumenterne i en straffesag samt §§ 729 a – d om den sigtedes adgang til materialet i straffesagen. For så vidt angår registrerede, hvis indsigtsret ikke er reguleret af retsplejelovens regler, f.eks. personer, som optræder som bipersoner i en straffesag, vil reglerne i det foreslåede afsnit III finde anvendelse.
Persondatalovens § 32 indeholder en række undtagelser til indsigtsretten efter § 31. Det fremgår således af bestemmelsens stk. 1, at retten til indsigt ikke gælder, hvis betingelserne i § 30 er opfyldt, jf. ovenfor.
Det fremgår videre af bestemmelsens stk. 3, at der ikke er ret til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er videregivet til en tredjemand. Der er ikke ret til indsigt i voteringsprotokoller og andre referater af domstolenes rådslagning samt materiale udarbejdet af domstolene til brug for rådslagningen.
Bestemmelsen i § 31, stk. 1, finder heller ikke anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysningerne kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker, jf. stk. 4.
Det fremgår desuden af bestemmelsens stk. 5, at for behandling af oplysninger på det strafferetlige område, der foretages for den offentlige forvaltning, kan justitsministeren fastsætte undtagelser fra retten til at få oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved § 30, må antages at medføre, at begæringer om ret til indsigt i almindelighed må afslås.
Justitsministeren har anvendt bemyndigelsesbestemmelsen i lovens § 32, stk. 5, til ved bekendtgørelse at gøre undtagelse fra indsigtsretten. Det følger således af § 13 i bekendtgørelse nr. 1776 af 16. december 2015 om politiets anvendelse af automatisk nummerpladegenkendelse (ANPG), at indsigtsretten ikke finder anvendelse i forhold til oplysninger, der behandles i ANPG. Tilsvarende følger det af § 13, stk. 1, i bekendtgørelse nr. 921 af 2. juli 2010 om behandling af personoplysninger i Politiets Efterforskningsstøtte Database (PED), at indsigtsretten som udgangspunkt ikke finder anvendelse i forhold til oplysninger behandlet i PED.
Det foreslås i stk. 1, at indsigt efter § 15 kan udsættes, begrænses eller nægtes, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for de hensyn til offentlige interesser, der er nævnt i § 14, stk. 1.
Med den foreslåede bestemmelse gives der mulighed for at udsætte, begrænse eller undlade at give den registrerede indsigt.
Som følge af det foreslåede anvendelsesområde for loven vil navnlig hensynet til at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer, jf. § 14, stk. 1, nr. 1, og hensynet til at undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, jf. § 14, stk. 1, nr. 2, ofte føre til, at der ikke skal meddeles indsigt til den registrerede i medfør af den foreslåede § 15. Der kan f.eks. være tale om situationer, hvor den omstændighed, at den registrerede bliver bekendt med, at politiet i forbindelse med en efterforskning behandler oplysninger om den pågældende, f.eks. i form af en aflytning, vil indebære, at formålet med efterforskningen forspildes.
Begrænsninger i indsigtsretten, som følger af eksisterende lovgivning, herunder retsplejelovens regler, vil kunne opretholdes, såfremt begrænsningen sker af hensyn til en af de grunde, som fremgår af den foreslåede § 16, jf. § 14, stk. 1, jf. herved også den foreslåede § 2 og bemærkningerne hertil.
Det foreslås endvidere i stk. 2, at en afgørelse om, at den registreredes indsigt udsættes, begrænses eller nægtes, skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning samt oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til udsættelse, begrænsning eller nægtelse, jf. den foreslåede § 40, stk. 1, nr. 10.
Bestemmelsen skal forstås i lyset af de almindelige regler i forvaltningslovens kapitel 6 og 7 om begrundelse og klagevejledning, idet det dog efter den foreslåede bestemmelse er obligatorisk for den dataansvarlige at give en skriftlig begrundelse, ligesom der er et særligt krav om at oplyse om muligheden for, at den registrerede kan udøve sin indsigtsret gennem tilsynsmyndigheden.
Det foreslås videre i stk. 3, at af hensyn til de i stk. 1, jf. § 14, stk. 1, nævnte formål kan den registrerede i stedet for meddelelse efter stk. 2 gives meddelelse om, at det ikke kan oplyses, om der behandles oplysninger om den pågældende. En sådan meddelelse skal indeholde en klagevejledning og oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10.
Den kompetente myndighed vil efter den foreslåede bestemmelse således kunne svare den registrerede, at det hverken kan af- eller bekræftes, at der behandles oplysninger om den pågældende. Den foreslåede bestemmelse indebærer derimod ikke, at den dataansvarlige kan undlade at give en klagevejledning samt oplyse om den registreredes mulighed for at udøve sin indsigtsret gennem tilsynsmyndigheden.
Det foreslås i stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om, hvilke kategorier af behandling der er omfattet af stk. 1, jf. § 14, stk. 1, samt om undtagelse fra retten til at få oplysninger efter § 15 for så vidt hensynene i stk. 1 må antages at medføre, at begæringer om indsigt i almindelighed må afslås. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren for så vidt angår regler med betydning for den militære anklagemyndigheds behandling af personoplysninger.
Bestemmelsen vil f.eks. muliggøre, at der ligesom i dag kan fastsættes nærmere regler om, hvornår registrerede skal have adgang til indsigt i Det Centrale Kriminalregister eller oplysninger i ANPG-systemet, jf. henholdsvis bekendtgørelse om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret) og bekendtgørelse nr. 1776 af 16. december 2015 om politiets anvendelse af automatisk nummerpladegenkendelse (ANPG). Reglerne i sådanne bekendtgørelser vil selvsagt skulle overholde retshåndhævelsesdirektivets regler.
Den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til udsættelse, begrænsning eller nægtelse, jf. § 40, stk. 1, nr. 10, finder fortsat anvendelse, uanset om et afslag på indsigt følger af en sådan generelt fastsat regel.
Der henvises i øvrigt til pkt. 2.4.3.2 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 37, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger inden for det strafferetlige område, jf. persondatalovens § 2, stk. 4, men bestemmelsen finder dog anvendelse i forbindelse med den grænseoverskridende udveksling af personoplysninger, jf. rammeafgørelsesbekendtgørelsens § 2, stk. 4.
Det foreslås i stk. 1, at den dataansvarlige efter anmodning fra den registrerede uden unødig forsinkelse skal berigtige oplysninger, der viser sig urigtige. På tilsvarende måde skal der ske fuldstændiggørelse af ufuldstændige oplysninger, hvis dette kan ske uden at bringe formålet med behandlingen i fare. Den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.
Med den foreslåede bestemmelse sker der således i vidt omfang en videreførelse af de gældende regler om berigtigelse, som dog fremover tillige vil finde anvendelse i rent nationale forhold.
Retten til berigtigelse giver ikke den registrerede mulighed for at korrigere indholdet af f.eks. et vidneudsagn, idet spørgsmålet om, hvorvidt de personoplysninger, som fremgår af et vidneudsagn, er korrekte, skal håndteres i forbindelse med en straffesags behandling ved domstolene, jf. også den foreslåede § 17, stk. 3, nr. 2.
Den foreslåede bestemmelse skal endvidere ses i sammenhæng med den foreslåede § 4, stk. 1, om, at der ved behandlingen skal tages hensyn til oplysningernes karakter, hvoraf det følger, at der skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger.
Dette har betydning i forhold til vurderingen af oplysningernes rigtighed. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af fysiske personer, og det er ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre rigtigheden af en subjektiv opfattelse, men derimod blot rigtigheden af, at der er fremsat et konkret udsagn.
Adgangen til fuldstændiggørelse kan opfyldes ved, at den registrerede fremlægger en supplerende erklæring, som kan knyttes til de oplysninger, som den dataansvarlige myndighed har om den registrerede.
Når der er tale om personoplysninger, der er indeholdt i en konkret straffesag hos f.eks. politiet eller anklagemyndigheden eller i en retsafgørelse i en straffesag, skal berigtigelse mv. af oplysningerne gennemføres efter reglerne i retsplejeloven, jf. forslaget til § 18, stk. 3. Det indebærer, at en anmodning om berigtigelse af en retsafgørelse skal behandles i henhold til retsplejelovens § 221.
Hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning, skal den dataansvarlige i overensstemmelse med de almindelige forvaltningsretlige principper anmode om de yderligere oplysninger, der er nødvendige for at kunne bekræfte den pågældendes identitet.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 37, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger inden for det strafferetlige område, jf. persondatalovens § 2, stk. 4, men bestemmelsen finder dog anvendelse i forbindelse med den grænseoverskridende udveksling af personoplysninger, jf. rammeafgørelsesbekendtgørelsens § 2, stk. 4.
Det foreslås i stk. 2, at den dataansvarlige efter anmodning fra den registrerede uden unødig forsinkelse skal slette oplysninger, der er behandlet i strid med behandlingsreglerne i kapitel 3, eller hvis det er påkrævet for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.
Med den foreslåede bestemmelse sker der således i vidt omfang en videreførelse af de gældende regler om berigtigelse, som dog fremover for så vidt angår politiet, anklagemyndigheden og domstolene tillige vil finde anvendelse i rent nationale forhold.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 37, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger inden for det strafferetlige område, jf. persondatalovens § 2, stk. 4, men bestemmelsen finder dog anvendelse i forbindelse med den grænseoverskridende udveksling af personoplysninger, jf. rammeafgørelsesbekendtgørelsens § 2, stk. 4.
Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-2000, tillæg A, side 4092), at blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare indsamlede oplysninger, hvorimod det ikke er tilladt at behandle og bruge oplysningerne, herunder navnlig videregive dem til tredjemand. Oplysninger, som er blokeret, skal derfor være forsynet med en sådan markering, at en bruger informeres om blokeringen.
Det foreslås i stk. 3, at den dataansvarlige i stedet for sletning skal begrænse behandlingen af personoplysninger, hvis rigtigheden af personoplysningerne bestrides af den registrerede, og deres rigtighed eller urigtighed ikke kan konstateres, eller personoplysningerne skal bevares som bevismiddel.
Med den foreslåede bestemmelse gives der mulighed for, at den dataansvarlige i stedet for sletning kan foretage begrænsning af anvendelsen af de pågældende oplysninger.
Der kan således ske begrænsning, hvis det ikke umiddelbart kan konstateres, om de personoplysninger, som den dataansvarlige myndighed har om den registrerede, er korrekte. Anvendelsen af oplysningerne vil i givet fald være begrænset, indtil den dataansvarlige har fundet ud af, om oplysningerne er korrekte. Hvis oplysningerne er korrekte, skal begrænsningen ophæves.
Der kan endvidere ske begrænsning, hvis der er tale om oplysninger, der skal bevares som bevismidler. Det er f.eks. relevant i forhold til indholdet af et vidneudsagn, idet spørgsmålet om, hvorvidt de personoplysninger, som fremgår af et vidneudsagn, er korrekte, skal håndteres i forbindelse med en straffesags behandling ved domstolene. Der henvises i øvrigt til bemærkningerne til stk. 1.
Begrænsning kan ske ved, at udvalgte oplysninger flyttes til et andet behandlingssystem, f.eks. til arkivformål, eller at udvalgte oplysninger gøres utilgængelige. I automatiske registre kan begrænsning ske ved hjælp af tekniske hjælpemidler. En begrænsning skal anføres i registeret på en sådan måde, at det tydeligt fremgår, at behandlingen af personoplysninger er begrænset, jf. herved direktivets præambelbetragtning nr. 47.
Der er således i praksis tale om en videreførelse af den forståelse af begrebet blokering, som følger af persondataloven.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 4, at hvis behandling er begrænset som følge af, at rigtigheden af personoplysningerne bestrides af den registrerede, og deres rigtighed eller urigtighed ikke kan konstateres, skal den dataansvarlige underrette den registrerede herom, inden begrænsningen af behandling ophæves.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 17, stk. 3, idet der er tale om den situation, hvor der sker begrænsning som følge af, at det ikke umiddelbart kan konstateres, om de personoplysninger, som den dataansvarlige myndighed har om den registrerede, er korrekte. Anvendelsen af oplysningerne vil i givet fald være begrænset, indtil den dataansvarlige har fundet ud af, om oplysningerne er korrekte. Hvis oplysningerne er korrekte, skal begrænsningen ophæves.
Den foreslåede bestemmelse indebærer, at der i en sådan situation skal ske en forudgående underretning af den registrerede.
Der er ikke noget krav om, at den dataansvarlige myndighed afventer den registreredes svar på underretningen, inden begrænsningen ophæves. Bestemmelsen skal således ses i sammenhæng med det foreslåede stk. 5.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 5, at et afslag på en anmodning om berigtigelse, sletning eller begrænsning skal meddeles den registrerede skriftligt og skal være ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvidere indeholde oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder i forhold til retten til berigtigelse, sletning eller begrænsning. Bestemmelsen i § 16, stk. 3, finder tilsvarende anvendelse. Det indebærer, at af hensyn til de formål, der er nævnt i § 16, stk. 3, jf. stk. 1, jf. § 14, stk. 1, kan den kompetente myndighed undlade at begrunde afslaget på berigtigelse, sletning eller begrænsning af behandling. Et sådant afslag skal dog indeholde en klagevejledning og oplysninger om den registreredes ret til at lade den kompetente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 10. Bestemmelsen skal ses i sammenhæng med de foreslåede §§ 14 og 16, hvorefter henholdsvis meddelelse af oplysninger og indsigtsretten kan begrænses mv. af hensyn til de formål, der er nævnt i § 14, stk. 1.
Den foreslåede bestemmelse skal forstås i lyset af de almindelige regler i forvaltningslovens kapitler 6 og 7 om begrundelse og klagevejledning, idet det dog efter den foreslåede bestemmelse er obligatorisk for den dataansvarlige at give en skriftlig begrundelse, ligesom der er et særligt krav om at oplyse om muligheden for, at den registrerede kan udøve sine rettigheder i forhold til retten til berigtigelse, sletning eller begrænsning gennem tilsynsmyndigheden.
Det fremgår af persondatalovens § 37, stk. 2, at den dataansvarlige skal underrette den tredjemand, hvortil oplysningerne er videregivet, om, at de videregivne oplysninger er berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret person fremsætter anmodning herom. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.
Bestemmelsen finder generelt ikke anvendelse for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger inden for det strafferetlige område, jf. persondatalovens § 2, stk. 4, men bestemmelsen finder dog anvendelse i forbindelse med den grænseoverskridende udveksling af personoplysninger, jf. rammeafgørelsesbekendtgørelsens § 2, stk. 4.
Det foreslås i stk. 6, at den dataansvarlige skal underrette modtagere om, at der er sket berigtigelse, sletning eller begrænsning af personoplysninger. Modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af personoplysninger, som de har ansvaret for.
Med den foreslåede bestemmelse sker der en skærpelse af forpligtelsen til at underrette modtagere om, at der er sket berigtigelse, sletning eller begrænsning af personoplysninger, som tillige udvides til at finde anvendelse i rent nationale forhold. Forpligtelsen skal dog ses i lyset af, at de kompetente myndigheder typisk videregiver oplysninger til en mere afgrænset kreds af modtagere.
Forpligtelsen for modtagerne til at berigtige, slette eller begrænse anvendelsen af de pågældende oplysninger gælder for de kompetente myndigheder. Forpligtelsen er således en understregning af det behandlingsprincip, som fremgår af den foreslåede § 4, stk. 4. Det bemærkes i den forbindelse, at lovens definition af modtagere ikke omfatter dem, der modtager oplysninger i forbindelse med isolerede forespørgsler.
I det omfang, at der er tale om en behandling, herunder videregivelse, af oplysninger, som falder uden for det foreslåede anvendelsesområde for loven, reguleres spørgsmålet om retten til berigtigelse, sletning og begrænsning af persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen.
Det fremgår af persondatalovens § 31, at når en person fremsætter begæring om indsigt, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om, hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer.
Det foreslås i stk. 1, at oplysninger og meddelelser, der er nævnt i afsnit III, skal stilles til rådighed eller gives gratis i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Med den foreslåede bestemmelse understreges det, at oplysninger efter den foreslåede § 13, stk. 1 og 2, meddelelser i forbindelse med den registreredes indsigtsanmodninger efter den foreslåede § 15 og eventuelle afslag herpå efter den foreslåede § 16 samt meddelelser om afslag på berigtigelse, sletning eller begrænsning af behandling efter den foreslåede § 17 skal stilles til rådighed eller gives gratis og på en måde, som lettilgængelig og letforståelig for den almindelige borger.
Der henvises i øvrigt til pkt. 2.4.3.4 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 31, stk. 2, at den dataansvarlige snarest skal besvare indsigtsbegæringer som nævnt i § 31, stk. 1. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om, hvornår afgørelsen kan forventes at foreligge.
Det fremgår videre af persondatalovens § 34, at meddelelser i henhold til § 31, stk. 1, om den registreredes indsigtsret på begæring skal gives skriftligt. I tilfælde, hvor hensynet til den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig underretning om indholdet af oplysningerne.
Det foreslås i stk. 2, at den dataansvarlige snarest og på skrift skal besvare begæringer som nævnt i afsnittet. Er begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette den pågældende om grunden hertil, samt om hvornår anmodningen forventes besvaret.
Med den foreslåede bestemmelse gøres det obligatorisk for den dataansvarlige at besvare begæringer fra den registrerede skriftligt. Den gældende ordning, hvorefter den registrerede skal underrettes, hvis begæringen ikke er besvaret inden for 4 uger, videreføres og udstrækkes til at omfatte alle de begæringer, som den registrerede kan fremsætte i medfør af bestemmelserne i afsnittet.
Der henvises i øvrigt til pkt. 2.4.3.4 i lovforslagets almindelige bemærkninger.
Retsplejelovens kapitel 66, henholdsvis den militære retsplejelov, indeholder regler om sigtede personers mv. adgang til materiale, som er tilvejebragt af politiet, henholdsvis auditøren, i forbindelse med strafferetlig forfølgning. Retsplejeloven indeholder endvidere regler om aktindsigt i domme, kendelser og andre dokumenter, der vedrører en straffesag. Udgangspunktet er, at enhver har ret til aktindsigt i domme og kendelser mv., ligesom den, der har en individuel, væsentlig interesse i et konkret retsspørgsmål, som udgangspunkt kan forlange at blive gjort bekendt med dokumenter, der vedrører en straffesag, herunder indførsler i retsbøgerne, i det omfang dokumenterne har betydning for vurderingen af det pågældende retsspørgsmål. Herudover indeholder retsplejeloven regler om berigtigelse af retsafgørelser.
Det foreslås i stk. 3, at retsplejelovens og den militære retsplejelovs regler om retten til oplysninger, indsigt i og berigtigelse eller sletning og begrænsning af behandling af personoplysninger i straffesager finder anvendelse i forhold til den registreredes rettigheder i medfør af afsnit III.
Retsplejelovens regler suppleres af den militære retsplejelov for så vidt angår militære straffesager. Dette indebærer, at der i sådanne sager tillige vil kunne ske en begrænsning af den registreredes rettigheder med henvisning til den militære sikkerhed.
Med den foreslåede bestemmelse sikres det således, at oplysningspligten over den registrerede samt anmodninger om indsigt, berigtigelse, sletning eller begrænsning af behandling af personoplysninger håndteres efter retsplejelovens og den militære retsplejelovs regler i det omfang, at retsplejeloven og den militære retsplejelov indeholder regler herom. Der henvises i øvrigt til bemærkningerne til de foreslåede § 13, stk. 2, og §§ 15 og 17.
Det foreslås i stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om behandlingen af anmodninger i medfør af afsnit III samt om behandling af klagesager, herunder at afgørelser ikke skal kunne påklages til anden administrativ myndighed. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren for så vidt angår regler med betydning for den militære anklagemyndigheds behandling af personoplysninger.
Adgangen for justitsministeren til at fastsætte nærmere regler vil f.eks. kunne anvendes til at fastsætte regler om, at den registrerede skal rette anmodninger i medfør af afsnit III til en bestemt dataansvarlig i tilfælde af, at der er tale om en ordning med fælles dataansvarlige efter den foreslåede § 21. Bemyndigelsen vil også kunne anvendes til at begrænse de registreredes adgang til at klage til anden administrativ myndighed. Den foreslåede ordning skal ses i lyset af, at den registrerede under alle omstændigheder vil have mulighed for at klage til tilsynsmyndigheden.
Det fremgår af persondatalovens § 33, at en registreret person, der har fået meddelelse efter § 31, stk. 1, om den registreredes indsigtsret, ikke har krav på ny meddelelse før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig interesse heri.
Det foreslås i § 19, at den dataansvarlige kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger, som er fremsat i henhold til bestemmelserne i afsnit III.
Det er den dataansvarlige, som bærer bevisbyrden for, at betingelserne for, at der kan ske afvisning, er opfyldt. Det er således ikke op til den registrerede at godtgøre en berettiget interesse, men i det omfang, at den registrerede fremkommer med oplysninger om en sådan interesse, vil der formodningsvist ikke være grundlag for at afvise anmodningen i medfør af den foreslåede bestemmelse.
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Det foreslås i stk. 1, at den dataansvarlige skal gennemføre og om nødvendigt ajourføre og revidere de fornødne tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med loven. Står det i rimeligt forhold til behandlingsaktiviteterne, skal den dataansvarlige tillige gennemføre de fornødne databeskyttelsespolitikker.
Med den foreslåede bestemmelse understreges den dataansvarliges forpligtelser. Forpligtelserne efter denne bestemmelse må imidlertid i praksis anses for at være dækket af den foreslåede § 27 om behandlingssikkerhed.
Der henvises i øvrigt til pkt. 2.5.3.1 i lovforslagets almindelige bemærkninger.
Persondataloven indeholder ikke bestemmelser, som specifikt kræver databeskyttelse gennem design eller databeskyttelse gennem standardindstillinger.
Persondatalovens § 41, stk. 3, forpligter imidlertid den dataansvarlige og databehandleren til at beskytte mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven.
Persondataloven fastsætter ingen nærmere tidsmæssig ramme for, hvornår foranstaltningerne skal være truffet. Foranstaltningerne vil imidlertid skulle forberedes eller implementeres forud for, at behandlingen påbegyndes. Datatilsynets praksis indeholder eksempler på, at persondatalovens behandlingsbetingelser og sikkerhedskrav skal iagttages ved indretningen af digitale løsninger.
Det foreslås i stk. 2, at det præciseres, at foranstaltninger efter stk. 1 omfatter databeskyttelse gennem design og gennem standardindstillinger.
Et eksempel på, at der kan opnås databeskyttelse gennem design, er en teknisk foranstaltning, som pseudonymiserer personoplysningerne, dvs. at personoplysninger behandles på en sådan måde, at oplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger.
Pseudonymisering skal forstås som behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person, jf. direktivets artikel 3, nr. 5.
Pseudonymisering indebærer således, at enkelte direkte identificerende parametre, f.eks. navn eller personnummer, i oplysningerne erstattes med koder. Koderne opbevares på en særskilt liste, hvor man kan genfinde koblingen mellem oplysningerne og den person, som de vedrører.
Et eksempel på, at der kan opnås databeskyttelse gennem standardindstillinger, er indstillinger, som begrænser adgangen til de pågældende oplysninger eller fastsætter særlige opbevaringsperioder.
Kravet om databeskyttelse gennem design og standardindstillinger stiller ikke krav om, at eksisterende systemer skal redesignes. Kravene er således relevante i forhold til udvikling og design af fremtidige systemer samt i forhold til væsentlige ændringer i behandlingen af oplysninger i eksisterende systemer.
Der henvises i øvrigt til pkt. 2.5.3.1 i lovforslagets almindelige bemærkninger.
Spørgsmålet om fælles dataansvarlige er ikke direkte reguleret i persondataloven. Det følger imidlertid af definitionen af begrebet ”den dataansvarlige” i persondatalovens § 3, nr. 4, at dette kan være en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke virkemidler der må foretages behandling af oplysninger.
Spørgsmålet om fordelingen af ansvar og forpligtelser for de fælles dataansvarlige er ikke reguleret direkte i gældende ret. I sager, hvor Datatilsynet har accepteret et fælles dataansvar, har tilsynet lagt til grund, at der skal foreligge klare retningslinjer og instruktionsbeføjelser for så vidt angår behandlingen af oplysninger. Herudover skal de registrerede kunne gøre deres rettigheder efter persondatalovens afsnit III, såsom retten til indsigt, gældende over for enhver af de fælles dataansvarlige.
Ordningerne med fælles dataansvarlige forekommer imidlertid forholdsvis sjældent i praksis. Fælles dataansvarlige har dog været anvendt inden for politiet, der bl.a. er kendetegnet ved anvendelsen af en række fælles centrale it-systemer, der understøtter udveksling af oplysninger på tværs af flere dataansvarlige myndigheder.
Det foreslås i § 21, at flere dataansvarlige i fællesskab kan fastsætte formålene med og hjælpemidlerne til behandling. De dataansvarlige skal om nødvendigt fastsætte en ordning for en fordeling af ansvaret for, at behandlingen er i overensstemmelse med loven, herunder navnlig i forhold til den registreredes rettigheder efter kapitel 5-7. Ordningen skal tillige indeholde oplysninger om et fælles kontaktpunkt for de dataansvarlige eller om kontaktpunkterne for de enkelte dataansvarlige.
Med den foreslåede bestemmelse indføres der således eksplicitte regler om fælles dataansvarlige.
Bestemmelsen vil bl.a. kunne anvendes inden for politiets samlede virksomhed med henblik på at gennemføre en ensartet, omkostningseffektiv og – navnlig for den registrerede – tilgængelig regulering af flere fælles dataansvarliges indbyrdes forhold og varetagelse af kontakten til registrerede.
En ordning med fælles dataansvarlige vil i øvrigt kunne understøtte en generel og ensartet beskrivelse af de pågældende myndigheders it-systemer, behandlingsaktiviteter, efterlevelsen af anden relevant databeskyttelsesretlig regulering og i den forbindelse understøtte de dataansvarliges generelle efterlevelse af loven gennem iagttagelse af princippet om ansvarlighed.
Kravet om, at de fælles dataansvarlige skal udpege et kontaktpunkt, kan opfyldes ved at udpege den eller de dataansvarliges databeskyttelsesrådgiver som kontaktpunkt.
Der henvises i øvrigt til pkt. 2.5.3.2 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Det fremgår videre af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Det foreslås i stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24, og påse, at dette sker.
Med den foreslåede bestemmelse sker der en videreførelse af reglerne om den dataansvarliges forpligtelse til at sikre, at databehandleren kan træffe de nødvendige foranstaltninger.
For så vidt angår kravet om, at den dataansvarlige skal påse, at databehandleren træffer de foranstaltninger, der er nævnt i de forslåede §§ 20 og 24, vil dette kunne ske gennem indhentelse af uvildige revisionserklæringer eller en ordning, hvor den dataansvarlige foretager et besøg hos den dataansvarlige for at kontrollere de foranstaltninger, som er truffet af databehandleren.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
Hvis en databehandler foretager behandling af oplysninger, uden at der foreligger en instruks fra den dataansvarlige – dvs. databehandleren fastlægger formålene med og hjælpemidlerne til behandling – anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling. Dette vil navnlig indebære, at behandlingen alene vil være lovlig i det omfang, at den pågældende – nye – dataansvarlige kan påvise et lovligt grundlag for behandlingen af de pågældende personoplysninger. Herudover må der i et sådant tilfælde oftest forventes også at foreligge en overtrædelse af databehandleraftalen.
Såfremt en behandling i videre omfang end instrueret af den dataansvarlige følger af anden lovgivning, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige forud for, at den pågældende behandling foretages.
Det foreslås i stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til lov eller en skriftlig aftale mellem databehandleren og den dataansvarlige. Loven eller aftalen skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Det skal navnlig fremgå, at databehandleren
kun må handle efter instruks fra den dataansvarlige,
sikrer, at de fysiske personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt,
bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder,
efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, medmindre anden lovgivning foreskriver opbevaring af personoplysningerne,
stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne bestemmelse, til rådighed for den dataansvarlige, og
overholder betingelserne i stk. 2 og 3 med henblik på at gøre brug af en anden databehandler.
Med den foreslåede bestemmelse fastsættes der mere detaljerede krav til indholdet i en databehandleraftale, og dermed til databehandlerens forpligtelser over for den dataansvarlige, end efter gældende ret.
Bestemmelsen indebærer, at pligten til at sikre, at en databehandling finder sted i overensstemmelse med de oplistede krav, både gælder for den dataansvarlige og eventuelle databehandlere og underdatabehandlere.
De kompetente myndigheder vil tillige behandle personoplysninger i sager og med formål, som falder uden for det foreslåede anvendelsesområde for loven. Denne behandling vil i stedet være omfattet af persondataloven og – fra den 25. maj 2018 – databeskyttelsesforordningen. Dette indebærer, at eventuelle databehandleraftaler vil skulle overholde kravene i såvel retshåndhævelsesdirektivet som – efter den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 1, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.
Loven indeholder således ikke en eksplicit regulering af den situation, hvor en databehandler ønsker at gøre brug af en underdatabehandler.
Det foreslås i stk. 3, at en databehandlers overladelse af behandling til en anden databehandler skal ske i henhold til en generel eller specifik skriftlig aftale med den dataansvarlige. Sker overladelse i henhold til en generel aftale, skal databehandleren underrette den dataansvarlige herom senest 14 dage forud for overladelsen.
Med den foreslåede bestemmelse sker der en præcisering af kravet om, at en databehandler alene må behandle oplysninger efter instruks fra den dataansvarlige.
Kravet om, at databehandleren senest 14 dage forud for overladelsen skal underrette den dataansvarlige om, at der sker overladelse af behandling til en underdatabehandler i medfør af en generel aftale, har til formål at sikre, at den dataansvarlige har mulighed for at sikre sig, at også underdatabehandleren træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. herved den dataansvarliges forpligtelser efter den foreslåede § 22, stk. 1.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 1, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.
Det foreslås i stk. 4, at enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse oplysninger efter instruks fra den dataansvarlige, medmindre det følger af anden lovgivning, at den pågældende skal foretage behandlingen. Anden lovgivning omfatter tillige EU-regler og national ret i de øvrige medlemsstater, jf. herved retshåndhævelsesdirektivets artikel 23.
Med den foreslåede bestemmelse sker der en videreførelse af persondatalovens regler om, at behandling af oplysninger skal ske på baggrund af en instruks fra den dataansvarlige.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets almindelige bemærkninger.
Persondataloven indeholder ikke krav om, at den dataansvarlige eller databehandleren skal føre fortegnelser over behandlingsaktiviteter.
Persondatalovens kapitel 12 (§§ 43-47) indeholder dog regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning, til tilsynsmyndigheden.
Det fremgår således af lovens § 43, jf. § 44, at der skal ske anmeldelse til tilsynsmyndigheden forinden iværksættelse af behandling af fortrolige oplysninger. Anmeldelsen skal indeholde en række nærmere angivne oplysninger, herunder om behandlingens formål, en generel beskrivelse af behandlingen, kategorierne af registrerede og foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden og oplysninger om tidspunktet for sletning af oplysningerne.
Persondatalovens § 54 indeholder regler om, at tilsynsmyndigheden skal føre en fortegnelse over de modtagne anmeldelser, og at denne fortegnelse skal indeholde de samme oplysninger som anmeldelsen. Den dataansvarlige skal stille disse oplysninger til rådighed for enhver, der anmoder herom, jf. bestemmelsens stk. 2.
Det foreslås i stk. 1, at dataansvarlige forpligtes til at føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter under deres ansvar. Fortegnelserne skal indeholde oplysning om
navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige og databeskyttelsesrådgiveren,
formålene med behandlingen,
de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer,
en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger,
brugen af profilering, hvor det er relevant,
kategorierne af overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant,
retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil personoplysningerne er bestemt,
de forventede tidsfrister for sletning af de forskellige kategorier af personoplysninger, hvis det er muligt, og
en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.
Det foreslås endvidere i stk. 2, at databehandleren forpligtes til at føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig. Fortegnelserne skal indeholde oplysning om
navn på og kontaktoplysninger for databehandleren eller databehandlerne, for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, databeskyttelsesrådgiveren,
de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige,
overførsler af personoplysninger til et tredjeland eller en international organisation, hvor det er relevant, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af dette tredjeland eller denne internationale organisation, og
en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i § 27, hvis det er muligt.
Den dataansvarlige og databehandleren skal ikke føre fortegnelsen i en bestemt form, men fortegnelsen skal foreligge skriftligt og elektronisk. Der er således intet til hinder for, at en fortegnelse føres i f.eks. et skema eller i et almindeligt tekstbehandlingsdokument, der let kan printes og stilles til rådighed for tilsynsmyndigheden, såfremt denne anmoder herom.
Der henvises i øvrigt til pkt. 2.5.3.4 i lovforslagets almindelige bemærkninger.
Det fremgår af § 19, jf. § 2, stk. 2, i sikkerhedsbekendtgørelsen, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger, som er omfattet af pligten til at foretage anmeldelse til Datatilsynet efter reglerne i persondatalovens kapitel 12. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
Det fremgår videre af bestemmelsens stk. 2, at stk. 1 ikke finder anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist.
Bestemmelsen i stk. 1 finder heller ikke anvendelse, hvis behandlingen af personoplysninger udelukkende sker ved afvikling af programmer, som foretager en forud defineret massebehandling af personoplysninger (batch-kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen, jf. stk. 3.
Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen af personoplysningerne udelukkende sker med henblik på statistiske eller videnskabelige undersøgelser, og identifikationsoplysningerne forinden enten er krypteret eller erstattet med et kodenummer eller lignende. Der skal dog foretages maskinel logning af bruger og tidspunkt for behandlingen, jf. stk. 4.
Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysninger, som i form af måle- eller analyseresultater automatisk lagres i medicoteknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manuelt registreres i medicoteknisk udstyr til supplering af automatisk lagrede oplysninger, jf. stk. 5.
Sikkerhedsbekendtgørelsen for domstolene indeholder i § 19 regler svarende til de ovennævnte regler i sikkerhedsbekendtgørelsens § 19, stk. 1, 2 og 4.
Rammeafgørelsesbekendtgørelsens § 10 indeholder et krav om, at den dataansvarlige med henblik på at kontrollere, om databehandlingen er lovlig, samt med henblik på at udøve egenkontrol og sikre integritet og sikkerhed skal registrere eller dokumentere hver videregivelse af personoplysninger.
Registreringen eller dokumentationen skal bl.a. indeholde oplysninger om, til hvilke organer der er blevet eller kan være blevet videregivet eller stillet personoplysninger til rådighed ved hjælp af datakommunikationsudstyr, og hvilke personoplysninger der er indlæst i edb-systemerne, hvornår og af hvem.
Registreringer, der foretages, eller dokumentation, der udarbejdes, videregives til Datatilsynet på dennes anmodning med henblik på kontrol af databeskyttelsen. For domstolenes vedkommende sker videregivelsen til Domstolsstyrelsen. Datatilsynet og Domstolsstyrelsen anvender kun disse oplysninger med henblik på kontrol af databeskyttelsen og med henblik på at sikre en korrekt databehandling og dataenes integritet og sikkerhed, jf. § 10, stk. 2.
Det foreslås i stk. 1, at der i automatiske databehandlingssystemer skal foretages logning af indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning.
Med den foreslåede bestemmelse sker der en implementering af retshåndhævelsesdirektivets artikel 25. Som anført oven for i pkt. 2.5.3.4 i lovforslagets almindelige bemærkninger giver det nærmere omfang af direktivets forpligtelse til at foretage logning imidlertid anledning til tvivl, herunder i forhold til spørgsmålet om i hvilket omfang det i øvrigt vil være muligt at opretholde den gældende ordning for logning i sikkerhedsbekendtgørelserne.
Det foreslås på den baggrund i stk. 2, at justitsministeren får bemyndigelse til at fastsætte nærmere regler om, hvilke automatiske databehandlingssystemer, der er indført før den 6. maj 2016, som logningskravet skal finde anvendelse på. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren for så vidt angår regler med betydning for den militære anklagemyndigheds behandling af personoplysninger.
Denne ordning giver således mulighed for, at der sammen med de kompetente myndigheder kan ske en nærmere afklaring af rækkevidden af logningsforpligtelsen, inden der tages initiativ til at ændre de kompetente myndigheders automatiske databehandlingssystemer, der er indført før den 6. maj 2016.
Det sikres endvidere herved, at der vil kunne ske en løbende indfasning af forpligtelsen, eventuelt i forbindelse med at der sker udskiftning af eksisterende automatiske behandlingssystemer.
Der henvises i øvrigt til pkt. 2.5.3.4 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke et krav om, at den dataansvarlige skal udarbejde konsekvensanalyser.
Det foreslås i stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Angivelsen af, at konsekvensanalysen skal foretages forud for behandlingen, indebærer, at kravet alene er relevant i forhold til behandling, der foretages den 1. maj 2017 eller senere, dvs. efter det foreslåede ikrafttrædelsestidspunkt. Der skal med andre ord ikke foretages konsekvensanalyser af eksisterende behandlingsaktiviteter, jf. også den foreslåede § 53 og bemærkningerne hertil.
Det foreslås videre i stk. 2, at analysen skal indeholde en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne lov, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
De krævede oplysninger er i vidt omfang sammenfaldende med de oplysninger, som en anmeldelse efter persondatalovens afsnit V skal indeholde, jf. persondatalovens § 43, stk. 2.
Der henvises i øvrigt til pkt. 2.5.3.5 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke et krav om, at den dataansvarlige skal foretage forudgående høring af tilsynsmyndigheden.
Persondatalovens kapitel 12 (§§ 43-47) indeholder dog regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning, til tilsynsmyndigheden.
Det fremgår således af lovens § 43, jf. § 44, at der skal ske anmeldelse til tilsynsmyndigheden forinden iværksættelse af behandling af oplysninger, som er omfattet af pligten til at foretage anmeldelse til Datatilsynet efter reglerne i persondatalovens kapitel 12. Anmeldelsen skal indeholde en række nærmere angivne oplysninger, herunder om behandlingens formål, en generel beskrivelse af behandlingen, kategorierne af registrerede og foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden og oplysninger om tidspunktet for sletning af oplysningerne.
I visse situationer skal der tillige indhentes en udtalelse fra tilsynsmyndigheden, jf. lovens § 45. Der er tale om bl.a. behandlinger, som omfatter følsomme oplysninger, og behandlinger, som udelukkende finder sted i videnskabeligt eller statistisk øjemed.
Det foreslås i stk. 1, at den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når
en konsekvensanalyse vedrørende databeskyttelse, jf. den foreslåede § 25, viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, eller
den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder.
Pligten til forudgående høring af tilsynsmyndigheden knytter sig til behandling af personoplysninger i nye registre. Der skal således ikke foretages forudgående høring, hvis der iværksættes en ny behandling i et allerede eksisterende register.
Den forudgående høring i medfør af stk. 1, nr. 1, har til formål at give tilsynsmyndigheden mulighed for at vurdere, om de foranstaltninger, som den dataansvarlige vil træffe for at begrænse risikoen, er tilstrækkelige.
Den forudgående høring i medfør af stk. 1, nr. 2, kan være relevant, hvis der er tale om nye registre, som behandler oplysninger om et meget stort antal registrerede eller særlige kategorier af oplysninger, jf. den foreslåede § 10.
Kravet om forudgående høring vil i praksis ofte være sammenfaldende med de situationer, hvor der efter gældende ret skal ske anmeldelse til tilsynsmyndigheden.
Kravet om forudgående høring finder anvendelse på registre, der oprettes den 1. maj 2017 eller senere, dvs. efter det foreslåede ikrafttrædelsestidspunkt. Der skal med andre ord ikke foretages høring af tilsynsmyndigheden i forhold til eksisterende registre, jf. også den foreslåede § 53 og bemærkningerne hertil.
Det foreslås videre i stk. 2, at hvis tilsynsmyndigheden finder, at den planlagte behandling ikke vil overholde loven, herunder navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, giver tilsynsmyndigheden inden for en periode på op til 6 uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende enhver af sine beføjelser, jf. kapitel 20. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.
Med den foreslåede bestemmelse reguleres tilsynsmyndighedens reaktionsmuligheder i forhold til en forudgående høring.
Det foreslås i stk. 3, at tilsynsmyndighederne skal kunne fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.
Med den foreslåede bestemmelse gives tilsynsmyndigheden en adgang til at fastsætte en liste over de behandlingsaktiviteter, hvor der skal ske en forudgående høring. Der skal være tale om behandlingsaktiviteter i et nyt register.
Der henvises i øvrigt til pkt. 2.5.3.5 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 1, at personer, virksomheder mv., der udfører arbejde under den dataansvarlige eller databehandleren, og som får adgang til oplysninger, kun må behandle disse efter instruks fra den dataansvarlige, medmindre andet følger af lov eller bestemmelser fastsat i henhold til lov.
Efter persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Efter persondatalovens § 41, stk. 4, skal der for oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold (krigsreglen).
Persondatalovens § 41, stk. 5, bemyndiger justitsministeren til at fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. Justitsministeren har med hjemmel i bestemmelsen udstedt sikkerhedsbekendtgørelsen og sikkerhedsbekendtgørelsen for domstolene.
Det fremgår af bekendtgørelsernes § 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af bekendtgørelsen. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden, jf. bestemmelsernes stk. 2.
Bekendtgørelserne indeholder herudover nærmere regler om bl.a. instruktion over for medarbejdere, der behandler personoplysninger, samt om autorisation og adgangskontrol.
Det foreslås i stk. 1, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af den foreslåede § 10.
Med den foreslåede bestemmelse fastslås det generelle princip om, at de fornødne tekniske og organisatoriske foranstaltninger skal fastsættes ud fra en risikobaseret tilgang.
Dette princip er i praksis en videreførelse af det gældende krav i persondatalovens § 41, stk. 3.
Det foreslås videre i stk. 2, at for så vidt angår automatisk behandling, skal den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemføre foranstaltninger til at sikre, at
uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling (kontrol med fysisk adgang til udstyret),
der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (kontrol med datamedier),
der ikke sker uautoriseret indlæsning af personoplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring),
automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol),
personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de personoplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen),
det er muligt at kontrollere og fastslå de modtagere, til hvilke der er blevet eller kan transmitteres eller stilles oplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol),
det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst (kontrol med indlæsning),
der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (transportkontrol),
de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning), og
systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).
Der sker med den foreslåede bestemmelse en detaljeret oplistning af de sikkerhedskrav, som stilles ved automatisk behandling af personoplysninger. Kravene er i vidt omfang en videreførelse af de gældende regler om behandlingssikkerhed i persondatalovens § 41 og sikkerhedsbekendtgørelsens regler. Kravene i de foreslåede nr. 6 og 7 skal ses i lyset af den foreslåede § 24 om logning.
Det foreslås videre i stk. 3, at for oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.
Med den foreslåede bestemmelse sker der en videreførelse af den såkaldte krigsregel, som indebærer, at der skal træffes særlige foranstaltninger i forhold til oplysninger med særlig interesse for fremmede magter bl.a. for dermed hurtigt og effektivt at kunne overtage den almindelige administration.
Den foreslåede bestemmelse indebærer, at ikke alle behandlinger vil kunne udføres af en databehandler i udlandet, hvis en sådan overladelse medfører, at krigsreglen ikke kan iagttages af den dataansvarlige.
Bestemmelsen varetager hensynet til den offentlige sikkerhed og skal fortolkes i lyset af Danmarks EU-retlige forpligtelser.
Der foreslås videre i stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om sikkerhedsforanstaltninger. Der er tale om en videreførelse af den gældende bestemmelse i persondatalovens § 41, stk. 5.
Ved fastsættelsen af reglerne forudsættes det, at der foretages den afvejning, der er nævnt ovenfor under bemærkningerne til stk. 1. Forinden fastsættelsen af reglerne skal der ske høring af de relevante myndigheder, organisationer mv. samt eventuelle andre relevante organer, f.eks. Rådet for Digital Sikkerhed.
Det er hensigten, at bestemmelsen skal anvendes til at udstede en bekendtgørelse, som skal erstatte den gældende sikkerhedsbekendtgørelse og sikkerhedsbekendtgørelsen for domstolene i forhold til den behandling af personoplysninger, der er omfattet af lovforslaget, jf. herved også bemærkningerne til den foreslåede § 55, nr. 2.
Den almindelige forpligtelse til at træffe de fornødne foranstaltninger efter stk. 1 og 2 gælder uanset udstedelsen af nærmere regler herom.
Det foreslås i stk. 5, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren.
Med den foreslåede bestemmelse sikres det som noget nyt, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte nærmere regler om, at oplysninger, der er omfattet af den foreslåede stk. 3, ikke skal være underlagt et krav om, at det i tilfælde af krig eller lignende forhold skal være muligt at foretage bortskaffelse eller tilintetgørelse.
Krigsreglen indebærer som nævnt ovenfor, at visse registre – som følge af karakteren af de personoplysninger, som er indeholdt heri – skal føres i Danmark.
Den foreslåede bestemmelse vil gøre det praktisk muligt for de kompetente myndigheder helt eller delvist at gøre brug af f.eks. cloud-tjenester, hvor opbevaringen af oplysninger sker på servere i udlandet.
Vurderingen af, om det kan anses for forsvarligt at opbevare de pågældende oplysninger i udlandet, vil navnlig inddrage de pågældende oplysningers karakter og de tekniske og organisatoriske foranstaltninger, jf. § 27, stk. 2, som træder i stedet for de foranstaltninger, som ellers skulle have været truffet i medfør af den foreslåede § 27, stk. 3. Det vil være op til den relevante kompetente myndighed at fremlægge en nærmere begrundelse for, at det er forsvarligt, at der ikke stilles krav om, at det pågældende register skal føres i Danmark.
Der henvises i øvrigt til pkt. 2.6.3.1 i lovforslagets almindelige bemærkninger.
Persondataloven indeholder ikke regler, hvorefter dataansvarlige, der har sikkerhedsbrud i forbindelse med behandling af personoplysninger, har pligt til at underrette tilsynsmyndigheden herom.
Det foreslås i stk. 1, at ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal begrundes.
Med den foreslåede bestemmelse forpligtes den dataansvarlige til i visse situationer at anmelde brud på datasikkerheden til tilsynsmyndigheden.
Der skal ikke ske anmeldelse, hvis det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. Der kunne f.eks. være tale om en situation, hvor en dataansvarlig har mistet et bærbart medie, hvorpå der er lagret persondata i krypteret form. Der kan være anvendt en tilstrækkelig stærk kryptering, som ikke kan brydes eller omgås inden for en tilstrækkelig lang årrække, og uvedkommende har ikke og får ikke mulighed for at dekryptere data på normal vis – f.eks. ved at komme i besiddelse af rette krypteringsnøgle.
Bevisbyrden for, at det var usandsynligt, at bruddet ville indebære en risiko for fysiske personers rettigheder, påhviler den dataansvarlige. Rettigheder skal forstås i bred forstand og retter sig således ikke kun til den registreredes rettigheder i medfør af nærværende lov.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 2, at databehandleren uden unødig forsinkelse underretter den dataansvarlige om et brud på persondatasikkerheden.
Med den foreslåede bestemmelse sikres det, at den dataansvarlige bliver bekendt med eventuelle sikkerhedsbrud. Den dataansvarlige skal på baggrund af underretningen fra databehandleren vurdere, om der skal ske anmeldelse til tilsynsmyndigheden efter den foreslåede § 28, stk. 1.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 3, at anmeldelsen efter stk. 1 skal
beskrive karakteren af bruddet på persondatasikkerheden, herunder i videst muligt omfang kategorierne af og det berørte antal registrerede samt kategorierne af og det berørte antal registreringer af personoplysninger,
angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og
beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Det foreslås videre i stk. 4, at når det ikke er muligt at forelægge oplysningerne, der er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis uden unødig forsinkelse.
Med de foreslåede bestemmelser fastslås det, hvilke oplysninger anmeldelsen til tilsynsmyndigheden skal indeholde, og at det ikke er nødvendigt for den dataansvarlige at indsamle alle oplysningerne, inden anmeldelsen sendes til tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 5, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, som er omfattet af stk. 1, herunder de faktiske omstændigheder vedrørende bruddet, dets virkninger og de trufne afhjælpende foranstaltninger.
Med den foreslåede bestemmelse forpligtes den dataansvarlige til at opbevare de oplysninger, som i øvrigt skal fremgå af anmeldelsen til tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 6, at hvis bruddet på persondatasikkerheden omhandler oplysninger, der er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den dataansvarlige i denne medlemsstat.
Med den foreslåede bestemmelse forpligtes den dataansvarlige til at underrette dataansvarlige i andre medlemsstater, hvis der er tale om oplysninger, som er modtaget fra eller videregivet til en anden medlemsstat. Det sikres herved, at den udenlandske dataansvarlige kan tage højde for, at der f.eks. er sket en utilsigtet spredning af oplysningerne, hvilket kan have betydning for f.eks. en verserende efterforskning af et strafbart forhold.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets almindelige bemærkninger.
Persondataloven indeholder ikke eksplicitte regler, hvorefter dataansvarlige, der har sikkerhedsbrud i forbindelse med behandling af personoplysninger, har pligt til at underrette de registrerede herom.
Persondatalovens § 5, stk. 1, indeholder imidlertid et krav om, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik.
God databehandlingsskik anses efter praksis fra Datatilsynet for bl.a. at omfatte krav til den dataansvarlige om at foretage underretning af berørte personer ved brud på datasikkerheden, når personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor. Ved vurderingen af spørgsmålet om underretning må den dataansvarlige bl.a. tage oplysningernes karakter og de mulige konsekvenser for de berørte i betragtning. Ved utilsigtet offentliggørelse af personoplysninger på en hjemmeside på internettet skal de dataansvarlige således bl.a. foretage underretning af de berørte personer.
Det foreslås i stk. 1, at ved brud på persondatasikkerheden, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet.
Med den foreslåede bestemmelse forpligtes den dataansvarlige til i visse situationer at underrette den registrerede om brud på datasikkerheden. Det vil f.eks. være relevant for den dataansvarlige at foretage underretning af en registreret, hvis bruddet på persondatasikkerheden har ført til, at oplysninger om den registreredes personnummer kan være kommet til uvedkommendes kendskab.
I modsætning til kravet om anmeldelse af et brud på persondatasikkerheden til tilsynsmyndigheden, jf. den foreslåede § 28, skal underretningen ske uden unødig forsinkelse, efter at bruddet er påvist. Underretningen skal give den registrerede mulighed for at træffe de fornødne forholdsregler. Det er således væsentligt, at der sker en hurtig underretning, hvis bruddet på datasikkerheden kan have store konsekvenser for den registrerede, f.eks. hvis adresseoplysninger mv. for et vidne i en straffesag, bliver tilgængelige for tredjemand.
Det foreslås videre i stk. 2, at underretningen i et klart og enkelt sprog skal beskrive karakteren af bruddet samt indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.
Det foreslås herudover i stk. 3, at kravet om underretning ikke gælder, hvis
den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, herunder navnlig foranstaltninger, der f.eks. på grund af kryptering gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil,
den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller
det vil kræve en uforholdsmæssig indsats af den dataansvarlige.
Med den foreslåede bestemmelse sker der en nærmere regulering af, hvornår der ikke skal gives en underretning til den registrerede. Bestemmelsen skal ses som en præcisering af den risikovurdering, som den dataansvarlige skal foretage i medfør af den foreslåede § 29, stk. 1.
Der vil f.eks. kunne undlades at foretage underretning efter nr. 1, hvis der er tale om en situation, hvor en dataansvarlig har mistet et bærbart medie, hvorpå der er lagret persondata, men hvor der er anvendt en tilstrækkelig stærk kryptering, som indebærer, at uvedkommende ikke kan få adgang til indholdet.
Der vil f.eks. kunne undlades at foretage underretning efter nr. 2, hvis der er tale om en situation, hvor der i en periode har været risiko for ikke-autoriseret adgang til personoplysninger, men den dataansvarlige sørger for, at adgangen hindres, og den dataansvarliges log viser, at der rent faktisk ikke har været uautoriserede personer, som har tilgået oplysningerne.
Det foreslås desuden i stk. 4, at i de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Det foreslås i stk. 5, at hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i den foreslåede § 29, stk. 3, er opfyldt.
Med den foreslåede bestemmelse får tilsynsmyndigheden mulighed for at pålægge den dataansvarlige at foretage underretning. Bestemmelsen skal således ses i sammenhæng med tilsynsmyndighedens beføjelser efter den foreslåede § 42.
Endeligt foreslås det i stk. 6, at underretning af den registrerede kan udsættes, begrænses eller undlades af de grunde, der er nævnt i § 14, stk. 1.
Med den foreslåede bestemmelse sikres det, at en dataansvarlig kompetent myndighed ikke er forpligtet til at underrette en registreret om brud på datasikkerheden, hvis den registrerede ville have været afskåret fra at opnå indsigt efter den foreslåede § 16, stk. 1, jf. § 14, stk. 1.
Der henvises i øvrigt til pkt. 2.6.3.3 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke regler om databeskyttelsesrådgivere.
Den foreslås i stk. 1, at den dataansvarlige på grundlag af faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret og -praksis samt evnen til at udføre de opgaver, der er nævnt i kapitel 15, udpeger en databeskyttelsesrådgiver, som inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger.
Databeskyttelsesgiveren kan være en af den dataansvarliges eksisterende medarbejdere, som har fået særlig uddannelse inden for databeskyttelsesret og -praksis for at tilegne sig ekspertise på dette område. Vedkommendes opgaver vil kunne udføres på deltid eller fuldtid.
Databeskyttelsesrådgiveren vil endvidere kunne udpeges som databeskyttelsesrådgiver i forhold til databeskyttelsesforordningen.
Databeskyttelsesrådgiveren vil endvidere kunne fungere som kontaktpunkt, når der er tale om fælles dataansvarlige, jf. den foreslåede § 21.
Det foreslås videre i stk. 2, at flere dataansvarlige under hensyntagen til deres størrelse og organisatoriske forhold kan udpege en fælles databeskyttelsesrådgiver.
Med den foreslåede bestemmelse gives der mulighed for, at f.eks. politikredsene, som varetager rollen som både politi- og anklagemyndighed inden for den samme organisation, vil kunne udpege én databeskyttelsesrådgiver for al den behandling af personoplysninger, som foretages af politikredsen.
Det foreslås herudover i stk. 3, at forpligtelsen til at udpege en databeskyttelsesrådgiver ikke gælder for domstolene, når disse foretager behandling af personoplysninger inden for deres egenskab af domstole.
Med den foreslåede bestemmelse understreges det, at det særlige forhold ved domstolene, herunder navnlig domstolenes uafhængighed og den særlige ordning for tilsynet med domstolenes behandling af personoplysninger, indebærer, at der ikke skal udpeges en databeskyttelsesrådgiver for så vidt angår den behandling af personoplysninger, der foretages i forbindelse med domstolenes udøvelse af judicielle aktiviteter.
Endeligt foreslås det i stk. 4, at den dataansvarlige offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.7.3 i lovforslagets almindelige bemærkninger.
Gældende ret indeholder ikke regler om databeskyttelsesrådgivere.
Det foreslås i § 31, at den dataansvarlige understøtter, at databeskyttelsesrådgiveren kan
underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger, om deres forpligtelser i medfør af denne lov og anden lovgivning om databeskyttelse,
overvåge overholdelsen af denne lov og anden lovgivning om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteterne, og de tilhørende revisioner,
rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til bestemmelsen i § 25,
samarbejde med tilsynsmyndigheden, og
fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er nævnt i § 26, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
Med den foreslåede bestemmelse slås det fast, hvilke opgaver databeskyttelsesrådgiveren skal løse.
Det vil være en naturlig del af databeskyttelsesrådgiverens opgaver, at der gives rådgivning også i forbindelse med udviklingen af nye automatiske databehandlingssystemer, da det vil være nærliggende, at databeskyttelsesrådgiveren har den fornødne viden om på den ene side den kompetente myndigheds behov for at foretage behandling af personoplysninger, og på den anden side de krav til overholdelse af behandlingsprincipper, sikkerhedskrav mv., som følger af den foreslåede lov.
Den foreslåede bestemmelse vedrører de generelle principper for overførsel til tredjelande.
Det foreslås i stk. 1, at overførsel af personoplysninger, der behandles eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, kun må finde sted under overholdelse af reglerne i lovforslaget, og hvis betingelserne i lovforslagets afsnit VII er overholdt, herunder navnlig at
overførslen er nødvendig i forhold til de formål, der er nævnt i den foreslåede § 1, stk. 1,
personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organisation, der er en myndighed, der er kompetent i forhold til de formål, der er nævnt i dem foreslåede § 1, stk. 1,
en kompetent myndighed fra en anden medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale regler, hvor personoplysninger transmitteres eller stilles til rådighed af denne myndighed,
der foreligger et af de overførselsgrundlag, der er nævnt i kapitel 17, og
den kompetente myndighed, der foretog den oprindelige overførsel, i tilfælde af videreoverførsel til et andet tredjeland eller en anden international organisation, giver bemyndigelse til videreoverførslen, efter at den har taget behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings grovhed, det formål, hvortil personoplysningerne oprindeligt blev overført, og beskyttelsesniveauet for personoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysningerne videreoverføres.
Med den foreslåede bestemmelse fastlægges de generelle principper for, hvornår der kan ske overførsel til tredjelande eller internationale organisationer.
Det er således en betingelse, at overførsel er nødvendig af hensyn til de formål, som fremgår af den foreslåede § 1 (nr. 1), at overførslen sker til myndigheder eller internationale organisationer, som er kompetente i forhold til disse formål (nr. 2), og at der foreligger et af de overførselsgrundlag, som følger af de foreslåede §§ 33, 34 og 35 (nr. 4).
Et eksempel på en international organisation, der er kompetent i forhold til de formål, der fremgår af den foreslåede § 1, stk. 1, er Interpol.
Hvis der er tale om oplysninger, som er indsamlet i en anden medlemsstat, skal der endvidere foreligge en forudgående godkendelse fra den kompetente myndighed i den pågældende medlemsstat (nr. 3).
Hvis der er tale om en videreoverførsel fra et tredjeland eller en international organisation til et andet tredjeland eller en anden international organisation, skal der endvidere foreligge en tilladelse fra den kompetente myndighed, som foretog den oprindelig overførsel (nr. 5). Dette indebærer, at der ved en overførsel skal være en kontrol med den efterfølgende overførsel af oplysningerne.
Det foreslås dog videre i § 32, stk. 2, at der skal kunne ske overførsel uden forudgående godkendelse efter stk. 1, nr. 3, hvis overførslen er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den pågældende godkendelse, underrettes straks om overførslen.
Med den foreslåede bestemmelse sikres det, at der er mulighed for at overføre oplysninger uden at skulle afvente en godkendelse fra den kompetente myndighed i den medlemsstat, hvor oplysningerne er indsamlet, hvis der foreligger kvalificerede omstændigheder.
Det fremgår af persondatalovens § 27, stk. 1, at der kan overføres oplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau.
Spørgsmålet om, hvorvidt et tredjeland har et tilstrækkeligt beskyttelsesniveau, er i praksis knyttet til Europa-Kommissionens såkaldte tilstrækkelighedsafgørelser, som er bindende for medlemsstaterne. Foreligger der en sådan afgørelse, kan medlemsstaterne videregive oplysninger til det pågældende tredjeland på samme måde som til en anden medlemsstat.
Det foreslås i § 33, at overførsel til tredjelande mv. kan ske, hvis Europa-Kommissionen har truffet afgørelse om, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau.
Med den foreslåede bestemmelse gives der mulighed for, at der fremover kan ske overførsel af personoplysninger til tredjelande på baggrund af en tilstrækkelighedsafgørelse fra Europa-Kommissionen.
Kommissionens adgang til at træffe sådanne afgørelser følger af retshåndhævelsesdirektivets artikel 36. Som følge af, at retshåndhævelsesdirektivet finder anvendelse for de øvrige medlemsstater fra den 6. maj 2018, vil overførsler på baggrund af tilstrækkelighedsafgørelser fra Kommissionen først være relevant efter dette tidspunkt.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 27, stk. 1, at der udover overførsler på baggrund af et tilstrækkeligt beskyttelsesniveau kan ske overførsel, hvis en af de i stk. 3, nr. 1-8, nævnte betingelser er opfyldt.
Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning, eller overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.
Der kan endvidere ske overførsel, hvis den dataansvarlige i tredjelandet yder tilstrækkelige garantier for beskyttelse af den registreredes rettigheder, og tilsynsmyndigheden har givet særlig tilladelse hertil, eller på baggrund af kontrakter, der er i overensstemmelse med standardkontraktbestemmelser, som er godkendt af Europa-Kommissionen, jf. stk. 4 og 5.
Herudover skal persondatalovens almindelige behandlingsregler mv. være opfyldt ved overførsel af oplysninger til tredjelande efter stk. 1 og 3-5, jf. stk. 6.
Rammeafgørelsesbekendtgørelsens §§ 4-6 indeholder særlige regler om overførsel til tredjelande eller internationale organer af personoplysninger, som er modtaget fra eller stillet til rådighed af en anden medlemsstat.
Det fremgår af § 4, stk. 1, at videregivelse kun må ske, hvis det er nødvendigt for forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, og den modtagende myndighed i tredjelandet eller det modtagende internationale organ har ansvaret for at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.
Det kræves endvidere, at den videregivende myndighed i den medlemsstat, som har sendt eller stillet oplysninger til rådighed, har givet sin godkendelse til at videregive disse i henhold til sin nationale lovgivning, og at det pågældende tredjeland eller internationale organ sikrer et tilstrækkeligt beskyttelsesniveau for den påtænkte behandling af oplysningerne.
Der kan dog efter stk. 2 ske videregivelse uden forhåndsgodkendelse fra den videregivende myndighed i den medlemsstat, som har sendt eller stillet oplysninger til rådighed, hvis videregivelsen af oplysningerne er afgørende for forebyggelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed i et tredjeland eller et land inden for Den Europæiske Union eller Schengen-samarbejdet, eller videregivelsen af oplysningerne er afgørende for væsentlige interesser for et land inden for Den Europæiske Union eller Schengen-samarbejdet.
Det er en betingelse for videregivelsen, at forhåndsgodkendelse ikke kan indhentes i tide, og den udenlandske myndighed, der skulle have givet sin godkendelse, skal orienteres omgående.
Der kan efter bestemmelsens stk. 3 ske videregivelse i tilfælde, hvor det pågældende tredjeland eller internationale organ ikke sikrer et tilstrækkeligt beskyttelsesniveau for den påtænkte behandling af oplysningerne, hvis lovgivningen giver mulighed herfor på grund af den registreredes specifikke legitime interesser, eller legitime vigtige interesser, navnlig vigtige offentlige interesser, eller tredjelandet eller det modtagende internationale organ giver sikkerhedsgarantier, som den videregivende myndighed anser for tilstrækkelige i henhold til sin nationale lovgivning.
Det foreslås i § 34, at hvis der ikke foreligger en tilstrækkelighedsafgørelse, jf. den foreslåede § 33, kan der ske overførsel, hvis
der i en international aftale er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, eller
den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysninger og konkluderer, at der findes de fornødne garantier for beskyttelsen af personoplysninger.
Med den foreslåede bestemmelse etableres et alternativ til overførsel på grundlag af en tilstrækkelighedsafgørelse fra Europa-Kommissionen. Der er tale om overførsler til kompetente myndigheder i tredjelande.
Formålet med de fornødne garantier er at sikre, at databeskyttelseskravene og de registreredes rettigheder opfyldes, herunder retten til effektiv administrativ eller retslig prøvelse.
Ved vurderingen af, om der foreligger de fornødne garantier, kan der inddrages eventuelle samarbejdsaftaler, der er indgået mellem Europol eller Eurojust og tredjelande, som tillader udveksling af personoplysninger. Det kan endvidere inddrages, om overførslen af personoplysninger vil være underlagt tavshedspligt, og at oplysningerne ikke bliver behandlet til andre formål end formålene med overførslen. Herudover vil det kunne inddrages, om der foreligger eksisterende tilstrækkelighedsafgørelser i medfør af databeskyttelsesdirektivet vedrørende det pågældende tredjeland mv.
Det foreslås videre i stk. 2, at den dataansvarlige skal underrette tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, nr. 2, dvs. hvor overførsel sker, uden at der foreligger en international aftale herom.
Det foreslås i stk. 3, at en overførsel i medfør af stk. 1, nr. 2, dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen skal efter anmodning stilles til rådighed for tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 27, stk. 1, at der udover overførsler på baggrund af et tilstrækkeligt beskyttelsesniveau kan ske overførsel, hvis en af de i stk. 3, nr. 1-8, nævnte betingelser er opfyldt.
Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning, eller overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed.
Det foreslås i stk. 1, at hvis der ikke foreligger en afgørelse som nævnt i den foreslåede § 33 eller de fornødne garantier som nævnt i den foreslåede § 34, kan en overførsel eller en kategori af overførsler kun finde sted, hvis overførslen er nødvendig
for at beskytte den registreredes eller en anden persons vitale interesser,
for at beskytte den registreredes legitime interesser, hvis det er fastsat i henhold til lov,
for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed,
i enkeltsager med henblik på de formål, der er nævnt i § 1, stk. 1, eller
i en enkeltsag for, at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på de formål, der er nævnt i § 1, stk. 1.
Med den foreslåede bestemmelse etableres der et alternativt overførselsgrundlag, hvis der ikke foreligger en tilstrækkelighedsafgørelse eller de fornødne garantier. Overførsel kan således ske, hvis det er nødvendigt af hensyn til et af de nærmere angivne særlige formål. Overførsel i medfør af denne bestemmelse skal alene ske undtagelsesvist og skal begrænses til de oplysninger, som er strengt nødvendige for at varetage det pågældende formål.
De generelle principper i den foreslåede § 32 skal også overholdes ved en overførsel i medfør af den foreslåede § 35, idet en overførsel i medfør af nr. 3 dog vil kunne ske uden forudgående godkendelse fra den indsamlende kompetente myndighed i en anden medlemsstat, jf. den foreslåede § 32, stk. 2.
Det foreslås således i stk. 2, overførsel efter stk. 1, nr. 4 og 5, dvs. i enkeltsager, ikke kan finde sted, hvis hensynet til den registreredes rettigheder går forud for den samfundsmæssige interesse i overførslen. Hvis der f.eks. er tale om oplysninger vedrørende efterforskning af strafbare forhold, skal der tages hensyn til det strafbare forholds karakter, idet overførsel således ikke bør ske, hvis der er tale om mindre alvorlig kriminalitet.
Det foreslås i stk. 3, at en overførsel i medfør af stk. 1 dokumenteres i forhold til dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger. Dokumentationen skal efter anmodning stilles til rådighed for tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindelige bemærkninger.
Den foreslåede bestemmelse vedrører overførsel af oplysninger til modtagere, der ikke er kompetente i forhold til de formål, der er nævnt i den foreslåede § 1, stk.1.
Det foreslås i stk. 1, at de kompetente myndigheder kan overføre personoplysninger til andre end kompetente myndigheder og internationale organisationer på baggrund af international aftale eller i enkeltstående og specifikke tilfælde, hvis
overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en opgave, der følger af lovgivningen, og forfølger de formål, der er nævnt i § 1, stk. 1,
den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes grundlæggende rettigheder går forud for samfundets interesse, der nødvendiggør overførslen i det foreliggende tilfælde,
den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kan foretages i tide,
den myndighed, der i tredjelandet er kompetent i forhold til de formål, der er nævnt i § 1, stk. 1, underrettes uden unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt, og
den overførende kompetente myndighed underretter modtageren om det eller de specifikke formål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne behandling er nødvendig.
Med den foreslåede bestemmelse gives der mulighed for, at der undtagelsesvist kan ske overførsel af oplysninger til andre end kompetente myndigheder og internationale organisationer.
Overførsel kan for det første ske på baggrund af en international aftale.
Overførsel kan for det andet ske i enkeltstående og specifikke tilfælde, hvis en række nærmere angivne betingelser er opfyldt. Overførsel efter bestemmelsen kan ske, hvis en overførsel til en kompetent myndighed i det pågældende tredjeland vil være ineffektiv eller uhensigtsmæssig, navnlig fordi overførslen ikke kunne gennemføres rettidigt, eller fordi den nævnte myndighed i tredjelandet ikke respekterer retsstatsprincippet eller internationale menneskerettighedsnormer og –standarder.
Overførsel efter bestemmelsen kan være relevant, hvis der er akut behov for at overføre personoplysninger for at redde en person, som er i livsfare eller i alvorlig fare for at blive offer for en alvorlig strafbar handling, eller for at forhindre en nært forestående forbrydelse, herunder terrorisme.
Det foreslås videre i stk. 2, at den overførende kompetente myndighed skal dokumentere og underrette tilsynsmyndigheden om overførsler til modtagere, der ikke er kompetente myndigheder.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 55, at datatilsynet, der består af et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af loven, idet tilsynet med domstolene dog varetages af Domstolsstyrelsen for så vidt angår behandling af oplysninger med hensyn til domstolenes administrative forhold.
Det foreslås i stk. 1, at Datatilsynet, der består af et råd og et sekretariat, skal føre tilsyn med enhver behandling, der omfattes af loven, jf. dog kapitel 19 om tilsyn med domstolene.
Med den foreslåede bestemmelse får tilsynet til opgave at føre tilsyn med behandling, der er omfattet af loven. Datatilsynet varetager således både tilsynet i forhold til persondataloven og – efter den 25. maj 2018 – databeskyttelsesforordningen samt den foreslåede lov.
Der henvises i øvrigt til pkt. 2.9.3 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 55, stk. 2, at Datatilsynets daglige forretninger varetages af sekretariatet, der ledes af en direktør.
Det foreslås i stk. 2, at tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.
Der sker således med den foreslåede bestemmelse en videreførelse af den gældende ordning.
Det fremgår af persondatalovens § 55, stk. 3, at Datarådet, der nedsættes af justitsministeren, består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udnævnes stedfortrædere for medlemmerne. Medlemmerne og stedfortræderne for disse udnævnes for 4 år.
Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-2000, tillæg A, side 4101), at der ved udpegning af medlemmer af rådet skal tilstræbes uvildighed og sagkundskab.
Det foreslås i stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.
Der sker med den foreslåede bestemmelse en videreførelse af reglerne om Datarådets nedsættelse med den ændring, at der alene kan ske genudpegning to gange.
Det fremgår af persondatalovens § 55, stk. 4, at Datarådet fastsætter sin forretningsorden og de nærmere regler om arbejdets fordeling mellem råd og sekretariat.
Det foreslås i stk. 4, at bemyndigelsen til, at Datarådet kan fastsætte sin forretningsorden og fordelingen af arbejdet mellem rådet og sekretariatet videreføres. Det bemærkes, at indtil rådet har fastsat en forretningsorden mv. i medfør af denne bestemmelse, vil den gældende forretningsorden fortsat gælde for Datarådets tilsyn i medfør af nærværende lov, jf. herved den foreslåede § 54, nr. 1 (den foreslåede § 2 a, stk. 2).
Det foreslås i stk. 5, at udpegelsen af formand, medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.
Der skal som minimum ske en sikkerhedsgodkendelse til klassifikationsgraden HEMMELIGT i overensstemmelse med sikkerhedscirkulæret.
Med den foreslåede bestemmelse sikres det, at Datarådet kan håndtere oplysninger om de kompetente myndigheders systemer på betryggende vis. Hvis et medlem mister sin sikkerhedsgodkendelse, vil den pågældende ikke længere kunne være medlem af rådet.
Det foreslås i stk. 6, at hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.
Det foreslås videre i stk. 7, at formanden, medlemmer og stedfortrædere for disse alene kan afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.
Med de foreslåede bestemmelser understreges det, at medlemmer af Datarådet skal kunne agere uafhængigt i hele embedsperioden. Der er således ikke mulighed for at afskedige et medlem som følge af generel utilfredshed med det pågældende medlems beslutninger i Rådet.
Der henvises i øvrigt til pkt. 2.9.3.1 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 56, at Datatilsynet varetager sine opgaver i fuld uafhængighed.
Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-2000, tillæg A, side 4101), at der ved udpegning af medlemmer af rådet skal tilstræbes uvildighed og sagkundskab, og at rådets medlemmer således skal udpeges på en måde, der sikrer Datatilsynet den fornødne uafhængighed.
Det foreslås i stk. 8, at sekretariatets personale samt Datarådets formand, medlemmer og stedfortrædere for disse kun kan have bibeskæftigelse, for så vidt og i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.
Der sker med den foreslåede bestemmelse en understregning af, at tilsynets personale og Datarådets medlemmer skal være uafhængige. Der er således i praksis tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.9.3.1 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 9, at Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.
Tilsynsmyndigheder efter loven vil være Datatilsynet og Domstolsstyrelsen. Med den foreslåede bestemmelse fastslås det, at Datatilsynet skal repræsentere tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd. Datatilsynet skal i den forbindelse også varetage Domstolsstyrelsens synspunkter som tilsynsmyndighed, jf. også den foreslåede § 46 om samarbejde mellem tilsynsmyndighederne.
Det fremgår af persondatalovens § 67, at Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene. Tilsynet omfatter behandling af oplysninger med hensyn til domstolenes administrative forhold, jf. stk. 2.
Det fremgår videre af § 67, stk. 3, at for anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgørelse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.
Det foreslås i stk. 1, at Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der foretages for domstolene, når disse handler uden for deres egenskab af domstol.
Det foreslås videre i stk. 2, at for anden behandling af oplysninger træffes afgørelse af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan afgørelsen kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.
Med den foreslåede bestemmelse sker der en videreførelse af gældende ret i forhold til tilsynet med domstolenes behandling af personoplysninger.
Der henvises i øvrigt til pkt. 2.9.3.2 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 56, at Datatilsynet udøver sine funktioner i fuld uafhængighed. Tilsvarende gælder for Domstolsstyrelsen, jf. § 68, stk. 1.
Det foreslås i § 39, at det fastslås, at tilsynsmyndighederne udøver deres funktioner i fuld uafhængighed.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.9.3.3 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 1, at det fastlægges, at tilsynsmyndighederne har til opgave her i landet at
føre tilsyn med og håndhæve anvendelsen af denne lov,
fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger,
rådgive Folketinget, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder i forbindelse med behandling,
fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af denne lov,
efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af denne lov og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant,
behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med bestemmelsen i § 48, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for senest 3 måneder, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig,
videresende klager, som skal behandles af en tilsynsmyndighed i en anden medlemsstat,
efter anmodning yde supplerende bistand til en registreret, der har indgivet en klage, som er blevet videresendt til en tilsynsmyndighed i en anden medlemsstat,
underrette en registreret, der har indgivet en klage, om adgangen til retsmidler efter kapitel 22,
efter anmodning kontrollere, om en behandling af personoplysninger er lovlig i henhold til udsættelse, begræsning, undladelse eller nægtelse efter kapitel 4-6, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget, og om den registreredes adgang til retsmidler efter kapitel 22,
samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af denne lov,
gennemføre undersøgelser om anvendelsen af denne lov, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed,
holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi,
rådgive om behandlingsaktiviteter som omhandlet i § 26 og
bidrage til Det Europæiske Databeskyttelsesråds aktiviteter.
Med den foreslåede bestemmelse sker der en samlet oplistning af tilsynsmyndighedernes opgaver efter loven. Der er i vidt omfang tale om en videreførelse af gældende ret i forhold til de opgaver, som tilsynsmyndighederne varetager i dag.
Det foreslås i stk. 2, at tilsynsmyndighederne letter indgivelsen af klager efter stk. 1, nr. 6.
Det foreslås i stk. 3, at tilsynsmyndighederne kan afvise at imødekomme åbenbart grundløse eller overdrevent gentagne anmodninger efter den foreslåede lov.
Det er tilsynsmyndigheden, som har bevisbyrden for, at betingelserne for, at der kan ske afvisning, er opfyldt. Det er således ikke op til den registrerede at godtgøre en berettiget interesse, men i det omfang, at den registrerede fremkommer med oplysninger om en sådan interesse, vil der formodningsvist ikke være grundlag for at afvise anmodningen i medfør af den foreslåede bestemmelse.
Det fremgår af persondatalovens § 62, stk. 1, at Datatilsynet kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.
Tilsynets medlemmer og personale har til enhver tid mod behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anvendes, jf. § 62, stk. 2.
Tilsvarende gælder for Domstolsstyrelsen, jf. § 68, stk. 1.
Det foreslås i stk. 1, at tilsynsmyndighederne kan kræve enhver oplysning, der er af betydning for deres virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.
Det foreslås videre i stk. 2, at tilsynsmyndighedernes medlemmer og personale til enhver tid mod behørig legitimation uden retskendelse har adgang til alle lokaler, hvorfra en behandling foretages.
Med den foreslåede bestemmelse sker der en videreførelse af gældende ret i forhold til spørgsmålet om tilsynsmyndighedernes adgang til oplysninger og til lokaler, hvorfra der foretages behandling af personoplysninger.
Bestemmelsen vil således først og fremmest kunne anvendes i forhold til de kompetente myndigheder, men den vil også kunne anvendes over for private databehandlere, der foretager behandling af personoplysninger på vegne af den dataansvarlige, samt i forhold til hjemmearbejdspladser, som er etableret af den pågældende kompetente myndighed. Tilsynsmyndighedernes inspektioner skal foretages i overensstemmelse med reglerne i lov nr. 442 af 9. juni 2004 om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter med senere ændringer (retssikkerhedsloven), herunder lovens § 2 om proportionalitetsprincippet og de særlige regler for fremgangsmåden i §§ 3-8.
Det fremgår af persondatalovens § 59, at Datatilsynet kan påbyde en privat dataansvarlig at ophøre med en behandling, der ikke må finde sted efter denne lov, og at berigtige, slette eller blokere bestemte oplysninger, som er omfattet af en sådan behandling.
Tilsynet kan forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven, jf. stk. 2.
Tilsynet kan i særlige tilfælde meddele databehandlere påbud eller forbud, jf. § 59, stk. 4.
Der er således efter gældende ret ikke mulighed for, at tilsynsmyndighederne kan meddele påbud eller forbud til offentlige myndigheder.
Det foreslås i stk. 1, at tilsynsmyndighederne over for den dataansvarlige og databehandleren kan afgive udtalelse om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med nærværende lov, give påbud om at bringe behandlingsaktiviteter i overensstemmelse med nærværende lov, eller midlertidigt eller definitivt begrænse, herunder forbyde, behandling af personoplysninger.
Med den foreslåede bestemmelse sker der således en udvidelse af tilsynsmyndighedernes beføjelser over for de kompetente myndigheder i forhold til i dag.
Hvis den kompetente myndighed iværksætter behandlingsaktiviteter uden hensyntagen til en udtalelse fra tilsynsmyndigheden om, at behandlingsaktiviteten sandsynligvis ville være i strid med loven, vil tilsynsmyndigheden kunne meddele påbud eller forbud i forhold til den pågældende behandlingsaktivitet.
En overtrædelse af et påbud eller forbud vil efter omstændighederne indebære, at den kompetente myndighed ifalder strafansvar, jf. herved den foreslåede § 50, stk. 2, og bemærkningerne hertil.
Det fremgår af persondatalovens § 61, at Datatilsynets afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed. Tilsvarende gælder for Domstolsstyrelsen, jf. § 68, stk. 1, 2. pkt.
Det foreslås i stk. 2, at tilsynsmyndighedernes afgørelser efter den foreslåede lov ikke kan indbringes for anden administrativ myndighed.
Med den foreslåede bestemmelse sker der en videreførelse af gældende ret i forhold til spørgsmålet om adgangen til at indbringe tilsynsmyndighedernes afgørelser for anden administrativ myndighed.
Det fremgår af persondatalovens § 57, at ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet. Tilsvarende gælder for Domstolsstyrelsen i forhold til behandling af personoplysninger ved domstolene, jf. § 68, stk. 2.
Det foreslås i § 43, at der ved udarbejdelse af generelle retsforskrifter, der har betydning for behandling af personoplysninger, skal indhentes en udtalelse fra Datatilsynet. Hvis der er tale om generelle forskrifter, der har betydning for behandling af oplysninger, der foretages for domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.
Med den foreslåede bestemmelse sker der således en videreførelse af gældende ret i forhold til forpligtelsen til at inddrage tilsynsmyndighederne.
Der er ikke efter gældende ret mulighed for, at tilsynsmyndighederne kan indbringe spørgsmål om overtrædelse af persondataloven for domstolene. Tilsynsmyndighederne kan anmelde forhold til politiet, hvorefter spørgsmålet om overtrædelse af loven behandles i en straffesag.
Det foreslås i § 44, at tilsynsmyndighederne kan indbringe spørgsmål om overtrædelse af den foreslåede lov for retten i den borgerlige retsplejes former.
Med den foreslåede bestemmelse får tilsynsmyndighederne mulighed for at indbringe spørgsmål om overtrædelse af den foreslåede lov for domstolene i den borgerlige retsplejes former, dvs. efter retsplejelovens regler om civile sager.
Der etableres ikke med bestemmelsen en mulighed for tilsynsmyndighederne til at give møde i retten i videre omgang end efter gældende ret.
Det fremgår af persondatalovens § 65, at Datatilsynet afgiver en årlig beretning om sin virksomhed til Folketinget. Beretningen offentliggøres. Domstolsstyrelsen offentliggør ligeledes en årlig beretning om dens virksomhed, jf. § 68, stk. 3.
Det foreslås i § 45, at tilsynsmyndighederne afgiver en årlig beretning om deres virksomhed til Folketinget og justitsministeren. Beretningerne offentliggøres.
Med den foreslåede bestemmelse sker der således i vidt omfang en videreførelse af gældende ret i forhold til tilsynsmyndighedernes pligt til at afgive en årsberetning.
Det fremgår af persondatalovens § 66, at Datatilsynet og Domstolsstyrelsen samarbejder, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.
Det foreslås i § 46, at tilsynsmyndighederne samarbejder, i det omfang det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger.
Med den foreslåede bestemmelse sker der således en videreførelse af gældende ret i forhold til tilsynsmyndighedernes pligt til at samarbejde.
Persondataloven indeholder ikke regler om tilsynsmyndighedernes samarbejde med tilsynsmyndigheder fra andre medlemsstater.
Det foreslås i stk. 1, at tilsynsmyndighederne uden unødig forsinkelse og senest en måned efter modtagelsen besvarer en anmodning fra en tilsynsmyndighed i en anden medlemsstat. Oplysninger, som en tilsynsmyndighed i en anden tilsynsmyndighed har anmodet om, fremsendes elektronisk i et standardformat.
Det foreslås videre i stk. 2, at anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.
Endeligt foreslås det i stk. 3, at anmodninger alene kan afvises, når den anmodede tilsynsmyndighed ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller en imødekommelse af anmodningen vil være i strid med denne eller anden lov. Et afslag på at imødekomme en anmodning skal begrundes.
Tilsynsmyndigheden vil således ikke kunne imødekomme en anmodning om, at der meddeles et påbud om at forbyde en behandling, som ikke er omfattet af den foreslåede lovs anvendelsesområde, eller hvis den pågældende behandling overholder reglerne i den foreslåede lov.
Det fremgår af persondatalovens § 40, at den registrerede kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den pågældende.
Det foreslås i stk. 1, at den registrerede eller dennes repræsentant kan klage til vedkommende tilsynsmyndighed over behandling af oplysninger vedrørende den registrerede.
Med den foreslåede bestemmelse videreføres den generelle adgang til at klage til tilsynsmyndigheden. Den registrerede kan klage gennem en repræsentant i overensstemmelse med forvaltningslovens regler om adgangen til at lade sig repræsentere.
Det foreslås i stk. 2, at tilsynsmyndighedernes afgørelser, undladelser af at behandle en klage fra en registreret eller en manglende underretning efter § 40, stk. 1, nr. 6, af den registrerede eller dennes repræsentant kan indbringes for domstolene efter retsplejelovens regler.
Med den foreslåede bestemmelse fastslås den registreredes adgang til at indbringe tilsynsmyndighedens afgørelser for domstolene. For så vidt angår spørgsmålet om adgangen til at indbringe en tilsynsmyndigheds afgørelser for domstolene, følger det af grundlovens § 63, at domstolene er berettiget til at påkende ethvert spørgsmål om øvrighedsmyndighedens grænser. Denne mulighed for domstolsprøvelse vil bl.a. kunne udnyttes, såfremt Datatilsynet eller Domstolsstyrelsen har behandlet en klage fra en registreret person. I givet fald vil den registrerede, som tilsynsmyndighedens afgørelse måtte gå imod, kunne indbringe denne for domstolene.
Herudover fastslås det, at den registrerede også kan indbringe tilsynsmyndigheden for domstolene, hvis der ikke er sket behandling af en klage, eller der ikke er givet den forpligtede underretning efter den foreslåede § 38, stk. 1, nr. 6. Det må antages, at en sådan anlagt sag vil bortfalde, hvis tilsynsmyndigheden i mellemtiden behandler klagen eller foretager den fornødne underretning. Bestemmelsen må derfor antages at få beskeden betydning i praksis.
Det foreslås i stk. 3, at den registrerede eller den registreredes repræsentant kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for domstolene i den borgerlige retsplejes former.
Adgangen til at indbringe tilsynsmyndigheden for domstolene følger af retsplejelovens almindelige regler.
Med den foreslåede bestemmelse understreges det således, at den registrerede kan indbringe spørgsmål om dataansvarliges og databehandleres overholdelse af denne lov for retten i den borgerlige retsplejes former, dvs. efter retsplejelovens regler om civile søgsmål.
For så vidt angår den registreredes adgang til at lade sig repræsentere af andre ved anlæggelse af søgsmål, følger dette af dansk rets regler om mandatarer. Mandataren kan føre sagen på partens vegne på samme måde som en procesfuldmægtig, og mandatarens optræden i sagen bygger på partens bemyndigelse, der når som helst kan tilbagekaldes.
Der etableres ikke med bestemmelsen en mulighed for repræsentanten til at give møde i retten i videre omgang end efter gældende ret.
Der henvises i øvrigt til pkt. 2.10.3.2-2.10.3.4 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 69, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i loven, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.
Af den gældende erstatningsregel i persondatalovens § 69 følger der således et skærpet ansvarsgrundlag i form af et præsumptionsansvar (culpa med omvendt bevisbyrde) for den dataansvarlige. Herudover finder de almindelige erstatningsretlige principper anvendelse.
Det foreslås i § 49, at enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid med denne lov, har ret til erstatning fra den dataansvarlige i overensstemmelse med det almindelige EU-retlige erstatningsansvar.
Bestemmelsen indebærer således, at en person, som har lidt et tab som følge af en ansvarspådragende handling i form af ulovlig behandling af personoplysninger, har ret til erstatning. Bestemmelsen indebærer endvidere, at spørgsmålet om erstatningsansvaret reguleres af de almindelige regler om EU-medlemsstaternes erstatningsansvar for tilsidesættelse af EU-retten. For at en EU-medlemsstat er erstatningsansvarlig efter EU-retten, er det bl.a. en betingelse, at den overtrædelse af EU-retten, der er tale om, er tilstrækkelig kvalificeret.
Herudover finder de øvrige erstatningsretlige principper i dansk ret anvendelse. Det er således en betingelse for, at skadevolderen kan ifalde et erstatningsansvar, at skadelidte har lidt et økonomisk tab. Derudover skal der være den nødvendige årsagsforbindelse (kausalitet) mellem den indtrådte skade og skadevolderens adfærd. Endvidere forudsætter et erstatningsansvar, at der foreligger såkaldt adækvans (påregnelighed), dvs. at skaden er en påregnelig følge af skadevoldernes adfærd. Skader, der er helt atypiske eller tilfældige i forhold til den risiko, som skadevolders adfærd har fremkaldt, falder dermed normalt uden for erstatningspligten.
Der henvises i øvrigt til pkt. 2.10.3.5 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 70, stk. 2, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der overtræder § 41, stk. 3 (om behandlingssikkerhed), eller § 53 (om forudgående anmeldelse for databehandlere) eller tilsidesætter vilkår som nævnt i § 7, stk. 7 (om behandling af følsomme oplysninger), § 9, stk. 3 (om førelse af retsinformationssystemer), § 10, stk. 3 (om videregivelse af følsomme oplysninger og oplysninger om rent private forhold i statistisk eller videnskabeligt øjemed), § 13, stk. 1 (om registrering af udgående telefonopkald), § 27, stk. 4 (overførsel af oplysninger til tredjelande), eller en betingelse eller et vilkår for en tilladelse i henhold til regler udstedt i medfør af loven.
Strafansvar efter § 70, stk. 2, vedrører primært bestemmelser, som private databehandlere, der udfører opgaver for offentlige myndigheder, skal iagttage.
Strafansvar i forhold til den offentlige myndighed er navnlig relevant ved overtrædelser af vilkår fastsat af Datatilsynet. Strafansvaret suppleres i disse situationer af straffelovens regler samt af adgangen for myndigheden til at iværksætte disciplinære sanktioner over for den fysiske person, dvs. den ansatte, som har overtrådt persondataloven.
Det foreslås i stk. 1, at medmindre højere straf er forskyldt efter anden lovgivning, kan en privat databehandler, der i forbindelse med en behandling, der udføres for en kompetent myndighed, overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og § 28, stk. 2, eller undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde eller fængsel indtil 4 måneder.
Med den forslåede bestemmelse kan der således idømmes straf i form af bøde eller fængsel, hvis en privat databehandler overtræder den foreslåede § 22 om kravene til databehandlere, herunder kravene til gennemførsel af en behandling ved en databehandler og anvendelse af underdatabehandlere. Endvidere strafbelægges databehandlerens pligt til at føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter efter § 23, stk. 2, samt bestemmelsen i § 27 om behandlingssikkerhed. Endelig strafbelægges databehandlerens pligt til at underrette den dataansvarlige om brud på persondatasikkerheden efter § 28, stk. 2, samt en databehandlers manglende efterkommelse af et påbud eller forbud, der er meddelt af en tilsynsmyndighed i henhold til lovens § 42.
Der er således til dels tale om en videreførelse af den gældende bestemmelse i persondatalovens § 70, stk. 2, hvorefter en privat databehandler kan straffes for overtrædelse af persondatalovens § 41, stk. 3.
Det foreslås i stk. 2, at medmindre højere straf er forskyldt efter anden lovgivning, kan dataansvarlige, der undlader at efterkomme et påbud eller forbud, der er meddelt i henhold til § 42, straffes med bøde.
Med den foreslåede bestemmelse fastslås det, at offentlige myndigheder kan ifalde strafansvar i form af bøde, hvis myndigheden måtte undlade at efterkomme et påbud eller forbud, som tilsynsmyndigheden har meddelt i henhold til den foreslåede § 42.
Det sikres herved, at sanktioneringen af de kompetente myndigheders overtrædelser af nærværende lov i første omgang håndteres af tilsynsmyndigheden gennem meddelelse af påbud eller forbud. Overtrædes et sådant påbud eller forbud, vil tilsynsmyndigheden kunne anmelde forholdet til politiet, som vurderer, om der er grundlag for at rejse en straffesag.
Et eventuelt strafansvar over for myndigheden vil på samme måde som i dag være suppleret af straffelovens regler samt af adgangen for myndigheden til at iværksætte disciplinære sanktioner over for ansatte, som foretager behandling i strid med loven.
Der henvises i øvrigt til pkt. 2.10.3.6 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 70, stk. 4, at i regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller hæfte.
Det fremgår videre af § 70, stk. 5, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Det foreslås i stk. 3, at i regler, der udstedes i medfør af loven, kan der fastsættes straf af bøde eller fængsel indtil 4 måneder.
Der sker med den foreslåede bestemmelse en videreførelse af adgangen til at fastsatte strafbestemmelser i regler, der udstedes i medfør af loven, idet adgangen hertil dog – i overensstemmelse med den foreslåede § 50, stk. 1 og 2 – begrænses til fængsel i op til 4 måneder.
Det foreslås videre i stk. 4, at der kan pålægges selskaber mv. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Der sker med den foreslåede bestemmelse en videreførelse af gældende ret. Efter straffelovens § 27, stk. 2, kan statslige myndigheder og kommuner alene straffes i anledning af overtrædelser, der begås ved udøvelse af virksomhed, der svarer til eller kan sidestilles med virksomhed udøvet af private.
Der henvises i øvrigt til pkt. 2.10.3.6 i lovforslagets almindelige bemærkninger.
Det fremgår af persondatalovens § 75, at justitsministeren kan fastsætte regler, som er nødvendige for at gennemføre de af Det Europæiske Fællesskab udstedte beslutninger, som træffes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, eller regler, som er nødvendige for at anvende de af Fællesskabet udstedte retsakter på direktivets område.
Det foreslås i § 51, at justitsministeren bemyndiges til at fastsætte regler, som er nødvendige for at gennemføre de af Europa-Kommissionen udstedte retsakter, som udstedes med henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, eller regler, som er nødvendige for at anvende de af Europa-Kommissionen udstedte retsakter på direktivets område.
Med den foreslåede bestemmelse tilvejebringes det fornødne grundlag for justitsministeren til om nødvendigt at fastsætte administrative bestemmelser til opfyldelse af de gennemførelsesretsakter, som Europa-Kommissionen måtte vedtage efter proceduren i retshåndhævelsesdirektivets artikel 58, jf. artikel 36 om tilstrækkelighedsafgørelser og artikel 50 om procedurer for gensidig bistand mellem tilsynsmyndighederne.
Bestemmelsen har således et snævert anvendelsesområde. Således vil anvendelsen af EU-Kommissionens tilstrækkelighedsafgørelser i forbindelse med overførsler til tredjelande mv. og overholdelsen af EU-Kommissionens gennemførelsesretsakter om format og procedurer for gensidig bistand mellem tilsynsmyndighederne mv. som klart udgangspunkt ikke kræve, at der fastsættes nærmere regler herom. Det er imidlertid Justitsministeriets vurdering, at hensynet til at sikre, at der ikke kan opstå tvivl om de kompetente myndigheders adgang til at overføre oplysninger på grundlag af en tilstrækkelighedsafgørelse fra EU-Kommissionen, og at tilsynsmyndighederne kan samarbejde med tilsynsmyndighederne i de andre medlemsstater og Det Europæiske Databeskyttelsesråd, taler for, at justitsministeren bemyndiges til at fastsætte regler herom, hvis det måtte blive nødvendigt.
Det foreslås i stk. 1, at loven træder i kraft dagen efter bekendtgørelse i Lovtidende.
Det foreslås i stk. 2, at lovforslaget kan stadfæstes straks efter dets vedtagelse.
Bestemmelsen skal ses i lyset af, at gennemførslen af retshåndhævelsesdirektivet skal ske inden den 1. maj 2017, idet gennemførslen er en forudsætning for, at der kan indgås en samarbejdsaftale mellem Danmark og Europol, som skal have virkning fra samme dato.
Der er således behov for hurtigst muligt at træffe de foranstaltninger, der er nødvendige for, at direktivet kan gennemføres i Danmark.
Der henvises i øvrigt til pkt. 1.1 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 1, at lovens § 25 og § 26 gælder i forhold til behandling af personoplysninger, der foretages, og registre, der oprettes, den 1. maj 2017 eller senere.
Med den foreslåede bestemmelse understreges det, at de foreslåede bestemmelser om henholdsvis konsekvensanalyser og forudgående høring af tilsynsmyndigheden finder anvendelse i forhold til ny behandling, der iværksættes, og registre, der oprettes, på tidspunktet for lovens ikrafttræden eller senere.
Det foreslås i § 54, at overførsler til tredjelande og internationale organisationer kan ske i medfør af internationale aftaler, der er indgået inden den 6. maj 2016, indtil aftalerne ændres, erstattes eller ophæves.
Det sikres herved, at der fortsat kan ske overførsler af personoplysninger til tredjelande og internationale organisationer i medfør af internationale aftaler, som overholdt de regler om databeskyttelse, der gjaldt inden den 6. maj 2016, hvor retshåndhævelsesdirektivet trådte i kraft. Der kan f.eks. være tale om aftaler om overførsel af personoplysninger til den internationale politiorganisation Interpol.
Det fremgår af persondatalovens § 2, stk. 4, at bestemmelserne i lovens kapitel 8 og 9 og §§ 35-37 og § 39 ikke finder anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område. Bestemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder i medfør af § 2, stk. 4, heller ikke anvendelse på behandlinger, der foretages for politi og anklagemyndighed inden for det strafferetlige område.
Det foreslås, at persondatalovens § 2, stk. 4, ophæves.
Ophævelsen skal ses i sammenhæng med den foreslåede ændring i nr. 2.
Til nr. 2
Der foreslås indsat en ny § 2 a, stk. 1, i persondataloven, hvorefter persondataloven ikke gælder for behandling, som er omfattet af den foreslåede lov om retshåndhævende myndigheders behandling af personoplysninger.
Det foreslås endvidere, at der indsættes en ny § 2 a, stk. 2, hvorefter de regler, som er udstedt i medfør af persondatalovens § 32, stk. 5, § 41, stk. 5, § 55, stk. 4, og § 72 fortsat gælder for den behandling af personoplysninger, der er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, medmindre det vil være i strid med denne lov.
Med den foreslåede bestemmelse fastslås det, at persondataloven ikke længere finder anvendelse i forhold til den behandling af personoplysninger, der er omfattet af den foreslåede lov.
Der er imidlertid udstedt en række bekendtgørelser med hjemmel i persondataloven, som har betydning for de kompetente myndigheders behandling af personoplysninger inden for den foreslåede lovs anvendelsesområde.
Med den foreslåede bestemmelse sikres det, at disse bekendtgørelser fortsat finder anvendelse for de kompetente myndigheders behandling af personoplysninger. De pågældende bekendtgørelser kan erstattes af nye regler, som udstedes i medfør af den foreslåede lov.
Der er tale om bekendtgørelse om politiets anvendelse af automatisk nummerpladegenkendelse (ANPG), bekendtgørelse om behandling af personoplysninger, der leveres eller modtages i henhold til Prümafgørelsen om udveksling af oplysninger om dna-profiler, fingeraftryk og køretøjer m.v., bekendtgørelse om behandling af personoplysninger i Det Centrale Kriminalregister (Kriminalregisteret), bekendtgørelse om behandling af personoplysninger i Politiets Efterforskningsstøtte Database (PED), bekendtgørelse om forretningsorden for Datarådet, sikkerhedsbekendtgørelsen for domstolene og sikkerhedsbekendtgørelsen.
Anvendelsen af bekendtgørelserne skal ske i lyset af den foreslåede § 2 og bemærkningerne hertil. Bekendtgørelsernes regler finder således anvendelse i det omfang, at disse ikke strider mod reglerne i retshåndhævelsesdirektivet.
Det fremgår af persondatalovens § 83, at loven ikke gælder for Færøerne, men at loven ved kongelig anordning kan sættes i kraft for rigsmyndighedernes behandling af oplysninger med de afvigelser, som de særlige færøske forhold tilsiger. Loven gælder heller ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de afvigelser, som de særlige grønlandske forhold tilsiger.
Persondataloven er ved anordning nr. 1238 af 14. oktober 2016 sat i kraft for Grønland.
Det foreslås i § 56, at loven ikke skal gælde for Færøerne, men at loven ved kongelig anordning kan sættes i kraft for rigsmyndighedernes behandling af oplysninger med de ændringer, som de færøske forhold tilsiger. Loven gælder heller ikke for Grønland, men kan ved kongelig anordning sættes i kraft med de ændringer, som de grønlandske forhold tilsiger.
