Retsudvalget 2011-12
REU Alm.del Bilag 386
Offentligt
1117762_0001.png
1117762_0002.png
1117762_0003.png
1117762_0004.png
1117762_0005.png
1117762_0006.png
1117762_0007.png
1117762_0008.png
1117762_0009.png
1117762_0010.png
1117762_0011.png
1117762_0012.png
1117762_0013.png
1117762_0014.png
1117762_0015.png
1117762_0016.png
1117762_0017.png
1117762_0018.png
1117762_0019.png
1117762_0020.png
1117762_0021.png
1117762_0022.png
1117762_0023.png
1117762_0024.png
1117762_0025.png
1117762_0026.png
Civil- og Politiafdelingen
Dato:Kontor:
8. maj 2012EU-formandskabssekretaria-tetSagsbeh: Christian WieseSvanbergSagsnr.: 2012-3756-0005Dok.:331847

GRUND- OG NÆRHEDSNOTAT

vedrørende Kommissionens forslag til

Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og den fri

udveksling af sådanne oplysninger (generel forordning om databe-

skyttelse)

KOM (2012) 11 endelig

Resumé

Forslaget til en generel forordning om databeskyttelse er ikke omfattet afretsforbeholdet. Forslaget er på en række punkter en videreførelse af regu-leringen i det gældende databeskyttelsesdirektiv, men forslaget indeholdersamtidig en række væsentlige ændringer og nyskabelser. Det er regerin-gens helt foreløbige vurdering, at forslaget er i overensstemmelse mednærhedsprincippet. Forslaget vurderes at have lovgivningsmæssige konse-kvenser. Forslaget vurderes at have statsfinansielle konsekvenser. Kom-missionens forslag vurderes at medføre såvel administrative lettelser somadministrative byrder for danske virksomheder. Der ses ikke at foreliggeoffentlige tilkendegivelser om de øvrige medlemsstaters holdninger til for-slaget. Fra dansk side er man overordnet set positiv over for forslaget. For-slagets omfattende karakter og dets forventede indvirkning på store dele afden offentlige og private sektor nødvendiggør dog, at der foretages en nø-jere vurdering af forslagets indhold, inden en nærmere stillingtagen til for-slaget kan finde sted.

1.

Baggrund

Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]
Den 4. november 2010 afgav Kommissionen en meddelelse med titlen:”En global metode til beskyttelse af personoplysninger i Den EuropæiskeUnion” (KOM(2010) 609 endelig). Denne meddelelse beskriver hovedte-maerne for den reform af EU’s databeskyttelsesregler, som Kommissionennu tilsigter at gennemføre bl.a. ved det foreliggende forordningsforslag.
I forbindelse med fremsættelse af det foreliggende forordningsforslag af-gav Kommissionen endvidere en meddelelse med titlen: ”Beskyttelse afprivatlivets fred i en forbundet verden: En europæisk databeskyttelses-ramme til det 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen be-skrives de overvejelser, der ligger til grund for Kommissionens forslag.Det anføres i den forbindelse, at Kommissionen finder, at der er brug formoderne, sammenhængende databeskyttelsesregler for hele EU, så oplys-ninger kan flyde frit mellem medlemsstaterne. Virksomhederne har samti-dig brug for klare og ensartede regler, der giver retssikkerhed og minime-rer den administrative byrde. Dette er efter Kommissionens opfattelse vig-tigt for at sikre, at det indre marked er velfungerende og i stand til at skabeøkonomisk vækst, nye job og innovation.Herudover anfører Kommissionen bl.a., at artikel 16 i Traktaten om denEuropæiske Unions Funktionsmåde (TEUF) har skabt et nyt retsgrundlag,der muliggør en moderniseret og global tilgang til databeskyttelse og friudveksling af personoplysninger, som også omfatter politimæssigt og ret-ligt samarbejde i straffesager.Kommissionen har afholdt flere offentlige høringer om databeskyttelse ogført en tæt dialog med de relevante interessenter i de seneste år. På bag-grund af de oplysninger, som Kommissionen har indsamlet i den forbin-delse, konkluderes det i meddelelsen, at både borgere og virksomheder øn-sker, at der gennemføres en altomfattende reform af EU's databeskyttelses-regler.Kommissionen ønsker derfor, at der skabes ”en stærk og konsekvent retligramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-livet.Kommissionen foreslår, at denne nye retlige ramme skal bestå afen databeskyttelsesforordning, der skal erstatte det gæl-dende direktiv 95/46/EF om beskyttelse af fysiske perso-ner i forbindelse med behandling af personoplysninger ogom fri udveksling af sådanne oplysninger (databeskyttel-sesdirektivet), oget direktiv, der skal erstatte den gældende rammeafgørel-se 2008/977/RIA om beskyttelse af personoplysninger iforbindelse med politisamarbejde og retligt samarbejde ikriminalsager.2
Det bemærkes, at Kommissionens forslag til et direktiv om beskyttelse affysiske personer i forbindelse med de kompetente myndigheders behand-ling af personoplysninger med henblik på at forebygge, efterforske, opda-ge eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetligesanktioner og om fri udveksling af sådanne oplysninger (KOM (2012) 10endelig) behandles i et selvstændigt grund- og nærhedsnotat.

2.

Indhold

2.1. Indledning

Forslaget til Europa-Parlamentets og Rådets forordning om beskyttelse affysiske personer i forbindelse med behandling af personoplysninger og denfri udveksling af sådanne oplysninger (databeskyttelsesforordningen) erfremsat efter artikel 16, stk. 2, i TEUF, hvorefter der kan fastsættes reglerfor beskyttelse af fysiske personer i forbindelse med behandling af person-oplysninger, der foretages af bl.a. medlemsstaterne under udøvelse af akti-viteter, der er omfattet af EU-retten.Forslaget er endvidere fremsat under henvisning til EUF-traktatens artikel114, stk. 1, hvorefter der, med henblik på virkeliggørelsen af de i artikel 26fastsatte mål (oprettelsen af det indre marked), efter den almindelige lov-givningsprocedure kan vedtages foranstaltninger med henblik på indbyrdestilnærmelse af medlemsstaternes love og administrative bestemmelser, dervedrører det indre markeds oprettelse og funktion.Det bemærkes, at forslaget i en række henseender tager udgangspunkt iden regulering, der følger af det gældende databeskyttelsesdirektiv (direk-tiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behand-ling af personoplysninger (persondataloven). På den baggrund – og i lysetaf forslagets omfattende karakter – vil der i det følgende hovedsageligtblive fokuseret på de væsentligste nyskabelser og ændringer, som forslagetvil indebære.

2.2. Generelle bestemmelser (forordningens kapitel I)

I kapitel I fastsættes regler om forordningens genstand og formål og densmaterielle og territorielle anvendelsesområder. Endvidere defineres enrække udvalgte begreber.Forslagets overordnede formål er at beskytte fysiske personers grundlæg-gende rettigheder og frihedsrettigheder, især retten til beskyttelse af per-sonoplysninger, og at sikre at den frie udveksling af personoplysninger i3
EU hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelseaf fysiske personer i forbindelse med behandling af personoplysninger.Forordningen vil ifølge forslaget finde anvendelse på behandling af per-sonoplysninger, der helt eller delvis foretages automatisk, og på anden be-handling end automatisk behandling af personoplysninger, som er eller vilblive indeholdt i et register.De følgende behandlinger af personoplysninger er undtaget fra forord-ningsforslagets anvendelsesområde:Behandlinger, som iværksættes med henblik på udøvelse af aktivi-teter, der ikke er omfattet af EU-retten, navnlig for så vidt angårnational sikkerhed.Behandlinger, som foretages af-kontorer og -agenturer.EU-institutioner,-organer,
Behandlinger, som foretages af medlemsstaterne ved udførelse afaktiviteter, der falder inden for rammerne af kapitel 2 i traktatenom Den Europæiske Union (fælles udenrigs- og sikkerhedspolitik).Behandlinger, som uden vederlag foretages af en fysisk person somled i rent personlige eller familiemæssige aktiviteter.Behandlinger, som foretages af kompetente myndigheder med hen-blik på forebyggelse, efterforskning, opdagelse eller retsforfølgningaf straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sank-tioner.Forordningen vil ifølge forslaget finde anvendelse på behandling af per-sonoplysninger i forbindelse med aktiviteter, der gennemføres af en re-gisteransvarligs eller registerførers virksomhed i EU.Herudover vil forordningen finde anvendelse på behandling af personop-lysninger om registrerede, der er bosiddende i EU, som foretages af en re-gisteransvarlig, der ikke er etableret i EU, hvis behandlingsaktiviteternevedrører udbud af varer eller tjenester til sådanne registrerede i EU ellerovervågning af sådanne registreredes adfærd.Endelig vil forordningen finde anvendelse på behandling af personoplys-ninger, som foretages af en registeransvarlig, der ikke er etableret i Unio-nen, men et sted, hvor en medlemsstats nationale lovgivning gælder i hen-hold til folkeretten.4
I kapitlet defineres endvidere en række centrale begreber. Visse af dissebegreber er nyskabelser eller ændrede i forhold til, hvad der følger af detgældende databeskyttelsesdirektiv. Blandt de nye begreber kan særligtfremhæves definitionerne af ”brud på persondatasikkerheden”, ”genetiskedata”, ”biometriske data”, ”helbredsoplysninger”, ”hovedvirksomhed” og”bindende virksomhedsregler”.I forhold til definitionen af ”hovedvirksomhed” bemærkes det, at dette be-greb anvendes til at fastlægge, hvilken national tilsynsmyndighed der erkompetent i forhold til en registeransvarlig eller registerfører, som er etab-leret i mere end én medlemsstat.

2.3. Principper (forordningens kapitel II)

Forordningsforslagets kapitel II indeholder en række generelle behand-lingsprincipper, der altid skal efterleves i forbindelse med behandling afpersonoplysninger, og dernæst en række specifikke regler for, hvornår op-lysninger må behandles, såkaldte behandlingsregler. Forslaget følger idenne henseende i vidt omfang strukturen i det gældende databeskyttelses-direktiv.De generelle behandlingsprincipper i forslaget viderefører i vidt omfang degrundlæggende principper, der følger af det gældende databeskyttelsesdi-rektiv. Det gælder f.eks. krav om, at oplysninger skal være korrekte ogajourførte, og at oplysninger skal indsamles til udtrykkeligt angivne og le-gitime formål og ikke senere må gøres til genstand for behandling, som eruforenelig med disse formål (det såkaldte finalité-princip).Derudover indeholder forslaget som nævnt en række behandlingsregler.Disse regler regulerer, hvornår der må behandles oplysninger. Behand-lingsreglernes indhold varierer alt efter, hvor følsomme oplysninger der ertale om. Kapitel II indeholder herudover en række yderligere behandlings-regler, der fastsætter de betingelser, som behandlingen af særlige kategori-er af personoplysninger skal efterleve.Forslaget opererer med en række særlige kategorier af personoplysninger(som i dansk sammenhæng ofte betegnes som følsomme). Det drejer sigom: Personoplysninger, der viser race og etnisk oprindelse, politisk, religi-øs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold,genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold,straffedomme eller tilknyttede sikkerhedsforanstaltninger. I forhold til detgældende databeskyttelsesdirektiv er det en nyskabelse, at oplysninger omgenetiske data og oplysninger om straffedomme og tilknyttede sikkerheds-5
foranstaltninger er omfattet af opregningen af følsomme personoplysnin-ger.Det bemærkes, at sammenholdt med den engelske sprogversion indeholderden danske sprogversion en ikke uvæsentlig afvigelse. Behandlingsgrund-laget i artikel 9, stk. 2, litra f, omfatter således i den danske sprogversionkun behandling, der er nødvendig for, at et retskrav kan fastslås, gøresgældende eller forsvares ved en domstol. Den engelske sprogversion sesikke at indeholde den begrænsning, der følger af de tre sidste ord, idet be-handlingsgrundlaget i denne version vedrører behandlinger, der er”necessary for the establishment, exercise or defence of legal claims”.Som en nyskabelse fastsættes der i forslaget endvidere en række særligebetingelser, der skal efterleves, når der behandles personoplysninger ombørn.Herudover fastsættes der bl.a. regler for, i hvilken udstrækning samtykkekan anvendes, og hvilke krav der skal iagttages, når der indhentes samtyk-ke fra den registrerede. Det bemærkes i den forbindelse, at ifølge forslagetvil et samtykke ikke kunne tilvejebringe det fornødne retsgrundlag for enbehandling, hvis der er en ”klar skævhed mellem den registrerede og denregisteransvarlige”. Det fremgår af den relevante præambelbetragtning iforslaget, at en sådan skævhed navnlig foreligger, når den registrerede be-finder sig i et afhængighedsforhold til den registeransvarlige, herunder nårpersonoplysninger behandles af en arbejdsgiver som led i et ansættelses-forhold.

2.4. Den registreredes rettigheder (forordningens kapitel III)

Forordningens kapitel III indeholder bl.a. regler om gennemsigtighed, denregistreredes ret til information og adgang til oplysninger, berigtigelse ogsletning samt om den registreredes ret til at gøre indsigelse.Som en nyskabelse i forhold til det gældende databeskyttelsesdirektiv kanbl.a. nævnes, at forslaget indeholder en ret til såkaldt dataportabilitet. Detindebærer, at den registrerede under visse betingelser har ret til at få enkopi af de oplysninger, som den registeransvarlige behandler om den på-gældende ”i et almindeligt anvendt elektronisk og struktureret format, somden registrerede kan anvende senere”. Denne rettighed skal bl.a. gøre detmuligt for registrerede at flytte deres personoplysninger mellem forskelligeudbydere af digitale ydelser.
6
Kapitlet indeholder også en nyskabelse i form af indførelsen af den såkald-te ret til at blive glemt. Retten til at blive glemt indebærer efter forslaget, atden registrerede kan kræve, at den registeransvarlige sletter personoplys-ninger vedrørende den registrerede og undlader yderligere udbredelse afsådanne oplysninger, navnlig hvad angår personoplysninger, som den regi-strerede har stillet til rådighed, da vedkommende var barn. Sletning skalbl.a. finde sted, hvis personoplysningerne ikke længere er nødvendige tilopfyldelse af de formål, hvortil de blev indsamlet, eller hvis den registre-rede tilbagekalder et samtykke, der er grundlaget for behandlingen.Retten til at blive glemt er dog underlagt en række undtagelser, herunder atden registeransvarlige skal bevare personoplysningerne for at opfylde enretlig forpligtelse i henhold til EU-retten eller medlemsstatslovgivning.Som en tredje nyskabelse kan nævnes, at forslaget indeholder en ret forenhver fysisk person til ikke at være genstand for såkaldt profilering. Her-ved forstås en foranstaltning, der har retsvirkninger for vedkommende ellerberører vedkommende i væsentlig grad, og alene er baseret på automatiskdatabehandling, der har til formål at vurdere eller analysere bestemte per-sonlige forhold vedrørende den registrerede f.eks. med det formål at forud-sige vedkommendes erhvervsevne, økonomiske situation mv. Det må an-tages, at dette f.eks. kan være gennemførelsen af en vurdering af en per-sons kreditværdighed.Ifølge forslaget kan en person kun gøres til genstand for foranstaltningerbaseret på profilering, hvis det sker som led i indgåelsen eller opfyldelsenaf en aftale, hvis foranstaltningen er mulig efter EU-retten eller efter med-lemsstatens lovgivning, eller hvis den registrerede har givet samtykke her-til.

2.5. Registeransvarlig og registerfører (forordningens kapitel IV)

Forordningens kapitel IV indeholder bl.a. regler om den registeransvarli-ges og registerførerens generelle forpligtelser, regler om datasikkerhed ogregler om udarbejdelse af en konsekvensanalyse om databeskyttelse. End-videre fastsættes regler om udpegning af en databeskyttelsesansvarlig ogregler om adfærdskodekser og certificering.Generelt bemærkes det, at dette kapitel indeholder en række forpligtelserfor den registeransvarlige og registerføreren, der ikke følger af det gæl-dende databeskyttelsesdirektiv. Det gælder bl.a. indførelsen af et krav omsåkaldt ”indbygget databeskyttelse”. Dette krav indebærer bl.a., at den re-gisteransvarlige ved fastlæggelsen af behandlingen, metoderne til behand-7
lingen, og når selve behandlingen af personoplysninger foretages, skaltræffe passende tekniske og organisatoriske foranstaltninger med henblikpå, at behandlingen opfylder forslagets krav og sikrer beskyttelsen af denregistreredes rettigheder.Som en nyskabelse stiller forslaget også krav om, at den registeransvarligeog registerføreren skal opbevare dokumentation for enhver behandling afpersonoplysninger, de gennemfører. Denne dokumentation skal stilles tilrådighed for tilsynsmyndigheden efter anmodning. Disse dokumentations-krav finder dog ikke anvendelse for fysiske personer, der behandler per-sonoplysninger uden kommerciel interesse, og for virksomheder og orga-nisationer, der beskæftiger under 250 personer, og som udelukkende be-handler personoplysninger som en aktivitet i tilknytning til deres hovedak-tiviteter.En yderlig nyskabelse er indførelsen af kravet om, at den registeransvarli-ge skal anmelde brud på persondatasikkerheden til tilsynsmyndigheden.Ifølge forslaget skal anmeldelsen ske uden unødig forsinkelse og om mu-ligt senest 24 timer efter, at den registeransvarlige er blevet bekendt med etpersondatasikkerhedsbrud. Anmeldelsen skal bl.a. beskrive karakteren afbruddet på persondatasikkerheden, herunder kategorierne og antallet af be-rørte registrerede. Anmeldelsen skal endvidere indeholde en anbefaling afforanstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet påpersondatasikkerheden, og en beskrivelse af de foranstaltninger, som denregisteransvarlige foreslår eller har iværksat for at afhjælpe bruddet på per-sondatasikkerheden.Når sikkerhedsbruddet kan forventes at krænke beskyttelsen af personop-lysninger eller privatlivets fred for en registreret person, skal den register-ansvarlige ligeledes uden unødig forsinkelse underrette den registreredeom sikkerhedsbruddet. Denne underretning skal omfatte karakteren afbruddet på persondatasikkerheden og indeholde en række af de oplysning-er og anbefalinger, der også skal afgives til tilsynsmyndigheden. Dog erdet ikke nødvendigt at underrette den registrerede om et brud på personda-tasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den regi-steransvarliges side, at denne har gennemført passende teknologiske be-skyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt påde data, som sikkerhedsbruddet vedrørte. Ifølge forslaget tillægges Kom-missionen beføjelse til at fastlægge formatet for den meddelelse, der skalgives til den registrerede. Kommissionen tillægges ligeledes beføjelse til atfastsætte procedurer for afgivelsen af denne meddelelse.8
Forslagets kapitel IV indeholder endvidere krav om, at registeransvarligeeller registerførere, som udfører behandling af personoplysninger, der kanindebære specifikke risici for den registreredes rettigheder og frihedsret-tigheder som følge af behandlingens karakter, omfang eller formål, skalgennemføre en såkaldt konsekvensanalyse af den planlagte behandling forså vidt angår beskyttelsen af personoplysninger.I forslaget anføres det, at behandlinger, der kan udløse en konsekvensana-lyse, bl.a. er dem, hvor der indgår en systematisk og omfattende evalueringaf personlige aspekter vedrørende en fysisk person. En konsekvensanalysekan også være nødvendig, hvis en behandling sker med henblik på analyseeller forudsigelse af en fysisk persons økonomiske situation, lokalitet (op-holdssted), sundhed, personlige præferencer, pålidelighed eller adfærd ba-seret på elektronisk databehandling, som kan resultere i foranstaltninger,der har retsvirkning for vedkommende eller berører vedkommende i væ-sentlig grad.Herudover kan en konsekvensanalyse være nødvendig, hvis der finder enomfattende videoovervågning sted af offentligt tilgængelige områder, ellerhvis der behandles personoplysninger i omfattende registre vedrørendebørn, genetiske data eller biometriske data.Kapitel IV indeholder endvidere regler om udpegning af såkaldte databe-skyttelsesansvarlige. Dette krav – der er en nyskabelse – finder anvendel-se, når behandlingen foretages af en offentlig myndighed eller et offentligtorgan, eller når behandlingen foretages af en virksomhed, der beskæftigermindst 250 personer. Kravet finder endvidere anvendelse, når den register-ansvarliges eller registerførerens kerneaktiviteter består af behandling, deri medfør af dens karakter, omfang eller formål kræver regelmæssig og sy-stematisk overvågning af registrerede. Det følger bl.a. af forslaget, at virk-somhedskoncerner kan udpege en fælles databeskyttelsesansvarlig, og atoffentlige myndigheder eller organer kan udpege en databeskyttelsesan-svarlig for flere enheder i overensstemmelse med myndighedens eller or-ganets struktur.Den databeskyttelsesansvarlige har bl.a. til opgave at underrette og rådgiveden registeransvarlige eller registerføreren om deres forpligtelser i henholdtil forordningen og at dokumentere denne aktivitet og de modtagne reakti-oner.Den databeskyttelsesansvarlige skal også kontrollere overholdelsen af kra-vene om dokumentation, anmeldelser og meddelelser vedrørende brud på9
persondatasikkerheden samt gennemførelsen af konsekvensanalyser vedrø-rende databeskyttelse.Herudover skal den databeskyttelsesansvarlige bl.a. fungere som tilsyns-myndighedens kontaktpunkt i spørgsmål vedrørende behandling af per-sonoplysninger og på eget initiativ og efter behov rådføre sig med tilsyns-myndigheden.Ifølge forslaget skal den registeransvarlige eller registerføreren bl.a. sikre,at den databeskyttelsesansvarliges øvrige arbejdsopgaver er foreneligemed den pågældendes opgaver og ansvar som databeskyttelsesansvarlig ogikke medfører en interessekonflikt.Kapitlet indeholder endvidere en bestemmelse om, at medlemsstaterne, til-synsmyndighederne og Kommissionen skal tilskynde til udarbejdelsen afadfærdskodekser, der – afhængigt af de særlige forhold i de forskellige be-handlingssektorer – bidrager til en korrekt anvendelse af forordningen. Så-danne adfærdskodekser kan bl.a. navnlig vedrøre information til offentlig-heden og registrerede samt anmodninger fra registrerede i forbindelse medudøvelsen af deres rettigheder.

2.6. Videregivelse af personoplysninger til tredjelande eller internati-

onale organisationer (forordningens kapitel V)

Forordningens kapitel V fastsætter reglerne for, hvornår der kan videregi-ves personoplysninger til tredjelande eller internationale organisationer.Overordnet set indeholder kapitlet fire forskellige videregivelsesgrundlag,som registerføreren efter omstændighederne kan anvende, når der skal fin-de en videregivelse sted. Kapitlet indeholder en række væsentlige ændrin-ger og nyskabelser i forhold til de tilsvarende bestemmelser i det gældendedirektiv.For det første kan en videregivelse finde sted, hvis Kommissionen har fast-slået, at et tredjeland, et område eller en behandlingssektor (f.eks. sund-hedssektoren) i tredjelandet eller en international organisation sikrer et til-strækkeligt databeskyttelsesniveau. Ved udfærdigelsen af sådanne afgørel-ser skal Kommissionen tage hensyn til en række nærmere opregnede for-hold i tredjelandet mv., herunder retsstatsprincippet (”rule of law”), gæl-dende lovgivning, regler for god forretningsskik og de sikkerhedsforan-staltninger, der gælder. Kommissionen skal også tage hensyn til, om de re-gistrerede tillægges effektive rettigheder, der kan håndhæves retsligt af re-gistrerede, som er bosiddende i EU, og hvis personoplysninger videregi-10
ves. Efter forslaget kan Kommissionen også træffe afgørelse om, at et tred-jeland mv. ikke sikrer et tilstrækkeligt databeskyttelsesniveau.En videregivelse til et tredjeland mv. kan endvidere finde sted, hvis en re-gisteransvarlig eller registerfører finder, at der i en retligt bindende retsakter indført de fornødne garantier, som sikrer beskyttelsen af personoplys-ninger. Konkret kan de fornødne garantier bl.a. sikres gennem såkaldtebindende virksomhedsregler, der er nærmere omtalt nedenfor, gennemstandardbestemmelser om databeskyttelse vedtaget af Kommissionen,gennem standardbestemmelser om databeskyttelse vedtaget af en tilsyns-myndighed efter indhentelse af en udtalelse fra Det Europæiske Data-beskyttelsesråd og Kommissionen eller gennem kontraktbestemmelser –som en tilsynsmyndighed har godkendt – mellem den registeransvarlige el-ler registerføreren og modtageren af personoplysningerne.Som anført ovenfor kan videregivelse finde sted, hvis der foreligger så-kaldte bindende virksomhedsregler. Det er en forudsætning, at disse reglerer godkendt af tilsynsmyndigheden. En sådan godkendelse kan finde sted,hvis reglerne er retligt bindende, gælder for og anvendes af alle virksom-heder i den registeransvarliges eller registerførerens koncern og omfatterderes medarbejdere. Reglerne skal endvidere udtrykkeligt tillægge de re-gistrerede rettigheder, der kan håndhæves retligt og opfylde en række ud-førlige krav, der opregnes i forslaget.Endvidere indeholder forslaget adgang til, at der kan ske videregivelse i enrække konkrete tilfælde. Videregivelse kan således bl.a. ske, hvis den regi-strerede har givet sit samtykke hertil, hvis videregivelsen er nødvendig afhensyn til opfyldelsen af en kontrakt mellem den registrerede og den regi-steransvarlige, eller hvis videregivelsen er nødvendig af hensyn til vigtigesamfundsinteresser.Det bemærkes, at i den danske sprogversion indeholder artikel 44, stk. 1,litra e, en afvigelse i forhold til den engelske sprogversion. Denne afvigel-se svarer til den, der er omtalt ovenfor under pkt. 2.3.

2.7. Uafhængige tilsynsmyndigheder (forordningens kapitel VI)

Forordningens kapitel VI indeholder regler om de nationale tilsynsmyn-digheders uafhængige status og deres opgaver og beføjelser.I forhold til de tilsvarende regler i det gældende databeskyttelsesdirektivopstiller kapitlet en række nye og uddybede krav til de nationale tilsyns-myndigheders organisering og uafhængighed. Det følger således bl.a. ud-11
trykkeligt af forslaget, at medlemmer af tilsynsmyndigheden ved udøvel-sen af deres opgaver hverken må søge eller modtage instrukser fra andre,og at medlemmer efter embedsperiodens ophør skal udvise hæderlighed ogtilbageholdenhed med hensyn til at påtage sig visse hverv eller at accepterevisse fordele. Samtidig skal hver medlemsstat sikre, at tilsynsmyndighedener underlagt finansiel kontrol, som ikke påvirker dens uafhængighed.Det fastsættes endvidere i forslaget, at hver medlemsstat skal sikre, at til-synsmyndigheden råder over tilstrækkelige finansielle og menneskeligeressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver ogudøve sine beføjelser.Ifølge forslaget skal medlemsstaterne vedtage bestemmelser om, atmedlemmer af tilsynsmyndigheden udpeges af parlamentet ellerregeringen i den pågældende medlemsstat.I forhold til tilsynsmyndighedernes organisering og opgaver følger det afforslaget, at hver medlemsstat ved lov bl.a. skal fastsætte regler omtilsynsmyndighedens oprettelse og status, de kvalifikationer og denerfaring og kompetence, der er nødvendig for at udøve hvervet sommedlem af tilsynsmyndigheden, reglerne og procedurerne for udnævnelsenaf medlemmerne af tilsynsmyndigheden, regler om handlinger og hverv,der er uforenelige med hvervet som medlem af tilsynsmyndigheden, ogregler om de pligter, der påhviler tilsynsmyndighedens medlemmer ogpersonale.Som en væsentlig nyskabelse i forhold til de gældende regler om tilsyns-myndighedernes kompetence fastsættes der i forslaget særlige regler, nårpersonoplysninger behandles i forbindelse med aktiviteter, der gennemfø-res af en registeransvarligs eller registerførers virksomhed i Unionen, ogden registeransvarlige eller registerføreren er etableret i mere end én med-lemsstat. I disse tilfælde er tilsynsmyndigheden i den medlemsstat, hvorden registeransvarliges eller registerførerens hovedvirksomhed er etable-ret, ansvarlig for at kontrollere den registeransvarliges eller registerføre-rens behandlingsaktiviteter i alle medlemsstater.Dette indebærer, at det alene vil være tilsynsmyndigheden i den medlems-stat, hvor den registeransvarliges hovedvirksomhed er etableret, der vilvære kompetent til at behandle klager mv. Dette vil være tilfældet, uansetat der behandles personoplysninger om registrerede bosat i andre med-lemsstater.
12
Ifølge forslaget vil tilsynsmyndigheden bl.a. skulle varetage en række nyeopgaver, herunder godkendelse af bindende virksomhedsregler i henholdtil forordningen og deltagelse i Det Europæiske Databeskyttelsesråds akti-viteter.Herudover vil tilsynsmyndigheden skulle arbejde for at styrke offentlig-hedens kendskab til risici, regler, garantier og rettigheder i forbindelse medbehandling af personoplysninger.

2.8. Samarbejde og sammenhæng (forordningens kapitel VII)

Forordningens kapitel VI indeholder bl.a. regler om samarbejde mellemtilsynsmyndighederne, regler om en såkaldt ”sammenhængsmekanisme”,som skal sikre en ensartet anvendelse af forordningen, og regler om DetEuropæiske Databeskyttelsesråd.Set i forhold til det gældende databeskyttelsesdirektiv indeholder forslageti dette kapitel en væsentlig mere detaljeret beskrivelse af tilsynsmyndig-hedernes indbyrdes samarbejde. Det følger således af forslaget, at hver til-synsmyndighed skal træffe alle foranstaltninger, som er nødvendige for atbesvare anmodninger fra en anden tilsynsmyndighed uden forsinkelse ogsenest en måned efter modtagelsen af anmodningen. Efter forslaget kansådanne foranstaltninger bl.a. omfatte videregivelse af relevante oplys-ninger under undersøgelsen eller håndhævelsesforanstaltninger, der har tilformål at stoppe eller forbyde behandling, der er i strid med forslaget.Herudover fastsættes det bl.a. i forslaget, at en tilsynsmyndighed, der mod-tager en anmodning om bistand, ikke kan afvise at imødekomme denne,medmindre den ikke har kompetence i forbindelse med anmodningen, ellerhvis imødekommelse af anmodningen er uforenelig med bestemmelserne iforslaget.Som en yderligere nyskabelse indeholder forslaget udtrykkelige regler om,at tilsynsmyndigheder kan udføre fælles aktiviteter, der bl.a. kan omfattefælles undersøgelsesopgaver, fælles håndhævelsesforanstaltninger og an-dre fælles aktiviteter. Endvidere indeholder forslaget regler om, at når re-gistrerede i flere medlemsstater sandsynligvis berøres af en behandling,har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage ifælles undersøgelsesopgaver eller fælles aktiviteter. Den kompetente til-synsmyndighed skal i disse tilfælde indbyde tilsynsmyndigheden i hver afde berørte medlemsstater til at deltage i de respektive fælles undersøgel-sesopgaver eller fælles aktiviteter og skal straks besvare en tilsynsmyndig-heds anmodning om deltagelse i aktiviteterne.13
Forslaget indeholder også regler om, at den såkaldte værtstilsynsmyndig-hed i overensstemmelse med sin nationale lovgivning og med den udsen-dende tilsynsmyndigheds godkendelse kan delegere forvaltningsbeføjelser,herunder undersøgelsesopgaver, til den udsendende tilsynsmyndighedsmedlemmer eller medarbejdere, som deltager i fælles aktiviteter. For såvidt værtstilsynsmyndighedens lovgivning giver mulighed herfor, kanværtsmyndigheden endvidere tillade, at den udsendende tilsynsmyndig-heds medlemmer eller medarbejdere udøver deres forvaltningsbeføjelser ioverensstemmelse med den udsendende tilsynsmyndigheds lovgivning.Efter forslaget må sådanne forvaltningsbeføjelser dog kun udøves undervejledning og i reglen også tilstedeværelse af værtstilsynsmyndighedensmedlemmer eller medarbejdere.Som en anden væsentlig nyskabelse indeholder kapitlet regler om dennævnte ”sammenhængsmekanisme”. Denne mekanisme har til formål atsikre, at tilsynsmyndighederne anvender forordningens regler på en ensar-tet og sammenhængende måde. Samlet set fremstår mekanismen som envæsentlig udbygning af det gældende databeskyttelsesdirektivs regler omsamarbejde mellem tilsynsmyndighederne.Mekanismen er forankret i Det Europæiske Databeskyttelsesråd, der er etnyt organ, der efter forslaget skal oprettes til formålet, jf. nærmere heromnedenfor.Forslaget indebærer, at afgørelser truffet af de nationale tilsynsmyndig-heder i en række tilfælde skal forelægges for Det Europæiske Databeskyt-telsesråd, som afgiver en udtalelse om sagen. Blandt de typer af sager, somskal forelægges for Det Europæiske Databeskyttelsesråd, er foranstalt-ninger, der omfatter behandlingsaktiviteter, der vedrører udbud af varer el-ler tjenester til registrerede i flere medlemsstater eller overvågning af deresadfærd, foranstaltninger, der i væsentlig grad kan påvirke den frie udveks-ling af personoplysninger i EU, og foranstaltninger, der har til formål atgodkende bindende virksomhedsregler.Efter forslaget kan enhver tilsynsmyndighed, Det Europæiske Databeskyt-telsesråd eller Kommissionen kræve, at en sag underlægges sammen-hængsmekanismen.Der er fastsat en bestemt procedure, der skal følges, når spørgsmålforelægges for Det Europæiske Databeskyttelsesråd.
14
Det bemærkes i den forbindelse, at såfremt en tilsynsmyndighed eksem-pelvis afviser at efterkomme en udtalelse fra Databeskyttelsesrådet, kanKommissionen under visse betingelser vedtage en begrundet afgørelse,som kræver, at tilsynsmyndigheden suspenderer vedtagelsen af den fore-slåede foranstaltning.Herudover indeholder forslaget bestemmelser om, at en særlig hasteproce-dure kan iværksættes af en tilsynsmyndighed under ekstraordinære om-stændigheder, hvis det er nødvendigt at handle omgående for at beskytteregistreredes interesser. I så fald skal Databeskyttelsesrådet træffe afgørel-se i sagen ved simpelt flertal inden for to uger.I kapitlet fastsættes endvidere de nærmere regler for oprettelsen af Det Eu-ropæiske Databeskyttelsesråd. Efter forslaget skal Databeskyttelsesrådetsammensættes af direktøren for tilsynsmyndigheden i hver medlemsstat ogDen Europæiske Tilsynsførende for Databeskyttelse. Herudover harKommissionen ret til at deltage i Det Europæiske Databeskyttelsesråds ak-tiviteter og møder.Det Europæiske Databeskyttelsesråd har til opgave at sikre, at forordnin-gen anvendes på en ensartet måde. I den forbindelse skal rådet bl.a. rådgi-ve Kommissionen om ethvert spørgsmål vedrørende beskyttelse af person-oplysninger i EU og undersøge ethvert spørgsmål vedrørende anvendelsenaf forordningen. Rådet skal endvidere arbejde for at fremme samarbejdeog en effektiv udveksling af information mellem tilsynsmyndighederne.Det Europæiske Databeskyttelsesråd skal vælge en formand og to næst-formænd blandt sine medlemmer. Den ene næstformand er Den Europæi-ske Tilsynsførende for Databeskyttelse, medmindre vedkommende vælgessom formand. Den Europæiske Tilsynsførende for Databeskyttelse er end-videre ansvarlig for driften af Databeskyttelsesrådets sekretariat. Sekretari-atet skal yde analytisk, administrativ og logistisk støtte til rådet under for-mandens ledelse.

2.9. Klageadgang, ansvar og sanktioner (forordningens kapitel VIII)

Forslagets kapitel VIII indeholder bl.a. bestemmelser om registreredes rettil at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis definder, at behandlingen af deres personoplysninger ikke er i overensstem-melse med bestemmelserne i forslaget.Herudover følger det som en nyskabelse af forslaget, at alle organer, orga-nisationer eller sammenslutninger, der har til formål at beskytte registrere-15
des rettigheder og interesser i forbindelse med beskyttelsen af deres per-sonoplysninger, og som er etableret i overensstemmelse med en medlems-stats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i en-hver medlemsstat på vegne af en eller flere registrerede. Det forudsættes,at det vurderes, at den registreredes rettigheder i henhold til forslaget erblevet krænket som følge af behandlingen af personoplysninger.De samme organisationer mv. har efter forslaget ret til – uafhængigt af enklage fra en registreret – at indgive klage til en tilsynsmyndighed i enhvermedlemsstat, hvis de vurderer, at et brud på persondatasikkerheden harfundet sted.Forslaget tillægger således enhver organisation – uanset dennes størrelseog medlemskreds – en ret til at indgive klage til enhver tilsynsmyndighed,alene på baggrund af organisationens vurdering af, om der har fundet etbrud på persondatasikkerheden sted.Kapitel VIII indeholder endvidere som en nyskabelse regler om adgangentil at søge retsmidler anvendt over for tilsynsmyndigheder. Det følger såle-des bl.a. af forslaget, at en registreret, der berøres af en afgørelse, som ertruffet af en tilsynsmyndighed i en anden medlemsstat end den medlems-stat, hvor den registrerede har sit sædvanlige opholdssted, kan anmode til-synsmyndigheden i opholdsmedlemsstaten om på den registreredes vegneat anlægge dennes sag mod den kompetente tilsynsmyndighed i den andenmedlemsstat.Forslaget lægger hermed op til, at de nationale tilsynsmyndigheder, påbaggrund af en anmodning fra en registreret, skal kunne anlægge sager veddomstolene mod andre nationale tilsynsmyndigheder eller i hvert fald tageinitiativ til, at sagen anlægges i en anden medlemsstat.Som en væsentlig nyskabelse indeholder kapitel VIII forholdsvis udførligeregler om, at de nationale tilsynsmyndigheder har beføjelse til at anvendeadministrative sanktioner. Ifølge forslaget skal administrative sanktionerpålægges ud fra en niveaumæssig graduering fastsat efter karakteren af deovertrædelser, der er begået.Første niveau indebærer, at tilsynsmyndigheden skal pålægge en bøde påop til 250.000 euro, eller, hvis der drejer sig om en virksomhed, på op til0,5 % af dens årlige globale omsætning.
16
Andet niveau indebærer pålæggelsen af en bøde på op til 500.000 euro, el-ler hvis det drejer sig om en virksomhed, på op til 1 % af dens årlige glo-bale omsætning.Tredje og sidste niveau indebærer pålæggelsen af en bøde på op til1.000.000 euro, eller, hvis det drejer sig om en virksomhed, på op til 2 %af dens årlige globale omsætning.De administrative sanktioner kan efter forslaget pålægges for såvel forsæt-lige som uagtsomme overtrædelser. Den konkrete administrative sanktionskal efter forslaget være effektiv, stå i rimeligt forhold til overtrædelsen oghave afskrækkende virkning. Bødens størrelse skal fastlægges under hen-syntagen til overtrædelsens karakter, alvor og varighed, overtrædelsensforsætlige eller uagtsomme karakter, den fysiske eller juridiske personsgrad af ansvar, denne persons eventuelle tidligere overtrædelser, de tekni-ske og organisatoriske foranstaltninger og procedurer, der er gennemført ihenhold til forordningens regler herom, og graden af samarbejde med til-synsmyndigheden for at afhjælpe bruddet.Efter forslaget kan der i tilfælde af en uforsætlig førstegangsovertrædelseaf forordningen gives en skriftlig advarsel uden pålæggelse af sanktioner itilfælde, hvor en fysisk person behandler personoplysninger uden kom-merciel interesse, og i tilfælde, hvor en virksomhed eller organisation, derbeskæftiger under 250 personer, udelukkende behandler personoplysningersom en aktivitet i tilknytning til dens hovedaktiviteter.

2.10. Bestemmelser vedrørende specifikke databehandlingssituationer

(forordningens kapitel IX)

Kapitlet indeholder en række bestemmelser om behandling af personop-lysninger i særlige situationer, herunder i ansættelsesforhold og til brug forhistoriske, statistiske eller videnskabelige forskningsformål.I kapitlet fastsættes det bl.a., i hvilket omfang medlemsstaterne kan fast-sætte fritagelser eller undtagelser fra bestemte bestemmelser i forordnin-gen med henblik på at forene retten til beskyttelse af personoplysningermed retten til ytringsfrihed.Der fastsættes endvidere regler om behandling af personoplysninger omhelbredsforhold i en række situationer. Det fastsættes i den forbindelse, atder under overholdelse af forordningen i øvrigt kan behandles personligehelbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgiv-ningen, som fastsætter tilstrækkelige og specifikke foranstaltninger til be-17
skyttelse af den registreredes legitime interesser, og som er nødvendig foren række nærmere opregnede typer af behandlinger.Bestemmelsen giver således medlemsstaterne adgang til under visse betin-gelser f.eks. at fastsætte regler om behandling af personoplysninger omhelbredsforhold til brug for patientbehandling eller for historiske, statisti-ske eller videnskabelige forskningsformål.Kapitlet indeholder endvidere regler om medlemsstaternes adgang til –under overholdelse af forordningen – at vedtage specifikke bestemmelserom behandling af personoplysninger i forbindelse med ansættelsesforholdog regler om behandling af personoplysninger til historiske, statistiske el-ler videnskabelige forskningsformål.Herudover indeholder kapitlet en bestemmelse om, at medlemsstaterne –under overholdelse af forordningen – kan vedtage specifikke regler omforholdet mellem tilsynsmyndighedernes undersøgelsesbeføjelser og nati-onale tavshedspligtsregler.Endvidere indeholder kapitlet en bestemmelse om kirkers og religiøsesammenslutningers adgang til at opretholde gældende regler af omfattendekarakter om behandling af personoplysninger under forudsætning af, atreglerne bringes i overensstemmelse med forslaget.

2.11. Delegerede retsakter og gennemførelsesforanstaltninger (forord-

ningens kapitel X)

Kapitlet indeholder en opregning af de bestemmelser i forslaget, hvorvedKommissionen tillægges beføjelser til at vedtage delegerede retsakter, ogen regulering af, hvordan Kommissionen kan udøve disse beføjelser.Forslaget indeholder herudover en række afsluttende bestemmelser, hvorder bl.a. lægges op til at ophæve det gældende databeskyttelsesdirektiv95/46/EF.

3.

Gældende dansk ret

3.1. Indledning

Henset til at forordningsforslaget berører forhold, der har relevans for enrække retsområder, er det alene et udvalg af de berørte love, der omtales idette afsnit.
18

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-nere ændringer (persondataloven) er der fastsat generelle regler om be-handling af personoplysninger for offentlige myndigheder og den privatesektor.Persondataloven indeholder således bl.a. regler om, hvornår behandling afpersonoplysninger i almindelighed må finde sted, ligesom loven indehol-der regler vedrørende behandling af særlige typer oplysninger (f.eks. reglerom personnumre) og vedrørende behandling af personoplysninger på sær-lige områder (f.eks. regler om kreditoplysningsbureauer).Loven indeholder desuden en række bestemmelser om rettigheder for depersoner, der behandles oplysninger om, f.eks. regler om den registreredesret til information, indsigelse, indsigt, berigtigelse og sletning af personop-lysninger. Endvidere er fastsat regler om datasikkerhed i forbindelse medbehandling af personoplysninger.Persondataloven indeholder også bestemmelser om Datatilsynets kontrolmed behandling af personoplysninger, der foretages for offentlige myn-digheder og den private sektor, ligesom der i loven er fastsat regler ompligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemtetyper behandling af personoplysninger.Persondataloven er først og fremmest baseret på databeskyttelsesdirektivet.

3.3. Forvaltningsloven

I lov nr. 571 af 19. december 1985 med senere ændringer (forvaltningslo-ven) fastsættes regler om en række forhold vedrørende den offentlige for-valtning, herunder om udveksling af oplysninger mellem forvaltningsmyn-digheder.Det følger af lovens § 27, stk. 1, at reglerne i persondatalovens § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 gælder for videregivelse af op-lysninger om enkeltpersoner (personoplysninger) til en anden forvalt-ningsmyndighed.

3.4. Sundhedslovgivningen

Den endelige vurdering af, i hvilket omfang forordningsforslaget vil berørereglerne på sundhedsområdet, er endnu ikke foretaget. Dog forventes for-ordningsforslaget, herunder navnlig den foreslåede artikel 9, stk. 2, litra h,19
samt artikel 81 (om behandling af helbredsoplysninger), generelt at berørede gældende regler på sundhedsområdet.Det bemærkes i den forbindelse, at lovbekendtgørelse nr. 913 af 13. juli2010 med senere ændringer (sundhedsloven) bl.a. indeholder bestemmel-ser, der regulerer sundhedspersoners tavshedspligt, videregivelse og ind-hentning af helbredsoplysninger, herunder medicin- og vaccinationsoplys-ninger, oplysninger om øvrige rent private forhold og andre fortrolige op-lysninger, jf. lovens kapitel 9, herunder § 42 a, samt §§ 157 og 157 a. Dis-se regler må forventes at blive berørt af forordningsforslagets regler.Endvidere må forordningsforslagets artikel 83 om behandling af personop-lysninger til historiske, statistiske eller videnskabelige formål forventes athave betydning for forskningsarbejde på det sundhedsmæssige område,idet sundhedslovens §§ 46-48 regulerer, i hvilket omfang der kan ske vide-regivelse af helbredsoplysninger til særlige formål såsom forskning og sta-tistik mv.

3.5. Andre love mv.

En række andre love og retsakter indeholder bestemmelser om behandlingaf personoplysninger. Dette gælder f.eks. lovgivningen om behandling afpersonoplysninger til forskningsformål, om tv-overvågning, om behand-ling af personoplysninger i CPR-systemet samt i forbindelse med udøvel-sen af offentlig og privat virksomhed inden for en række konkrete områ-der.

4. Lovgivningsmæssige, administrative og statsfinansielle konse-

kvenser

Det følger af EUF-traktatens artikel 288, at en forordning er almengyldig,samt at den binder i alle enkeltheder og gælder umiddelbart i hver med-lemsstat. Hertil kommer, at forordningsforslaget efter sit indhold bl.a. hartil formål at ophæve og erstatte det gældende databeskyttelsesdirektiv (di-rektiv 95/46/EF). En konsekvens af forslaget vil derfor bl.a. være, at denregulering, der følger af lov nr. 429 af 31. maj 2000 om behandling af per-sonoplysninger (persondataloven) – samt andre love, bekendtgørelser mv.,der vedrører behandling af personoplysninger – efter omstændighedernevil skulle ophæves eller ændres i overensstemmelse med ordlyden af denendelige forordning.Det bemærkes dog, at forordningsforslaget indeholder en række bestem-melser, hvorved medlemsstaterne på konkrete områder overlades beføjelse20
til – under overholdelse af forordningen – at fastsætte nærmere regler ombehandling af personoplysninger, jf. bl.a. under pkt. 2.10 ovenfor.Den endelige fastlæggelse af, hvilke love der vil være behov for at ophæveeller ændre, vil finde sted i samarbejde med de berørte ressortministerier.Forslaget vil indebære, at bestemmelserne i den gældende persondatalov ial væsentlighed vil skulle erstattes af forordningens regulering, der somnævnt vil gælde umiddelbart i hver medlemsstat. De behandlingsregler,rettigheder for den registrerede, datasikkerhedsregler mv., der i dag følgeraf persondataloven, vil – efter forslagets vedtagelse – således alene være atfinde i forordningen.Det følger endvidere af forslaget, at forordningens regulering skal supple-res af national lovgivning bl.a. om oprettelse af en national tilsynsmyndig-hed.Herudover bemærkes det, at for Danmarks vedkommende vil anvendelsenaf sanktioner som nævnt i forslagets artikel 79 i givet fald skulle ske i formaf udenretlige bødeforlæg. Datatilsynet har ikke en sådan adgang eftergældende ret, og det vil således kræve en lovændring med henblik på atetablere denne adgang i overensstemmelse med forslaget.Forslaget vurderes at have statsfinansielle konsekvenser.Efter et foreløbigt skøn baseret på de foreliggende forslag (forordning ogdirektiv), vil reformpakken om databeskyttelse medføre øgede omkostnin-ger. Det følger af budgetreglerne, at finansieringen af disse øgede omkost-ninger skal holdes inden for Justitsministeriets ramme eller forelægges re-geringens Ø-udvalg, hvis det skønnes, at dette ikke kan lade sige gøre.Kommissionens forslag vurderes at medføre såvel administrative lettelsersom administrative byrder for danske virksomheder.De administrative lettelser skyldes især harmoniseringen af databeskyt-telseskrav og bestemmelsen om, at det alene er databeskyttelses-myndigheden i det land, hvor selskabet har sit hovedkontor, der skal afgø-re om selskabet handler lovligt. Lettelserne vil derfor især vedrøre virk-somheder, der opererer i flere EU-lande.Forslaget vil dog også medføre en række nye byrder for erhvervslivet somfølge af bl.a. bestemmelserne om dokumentation af databehandling, jf. ar-tikel 28 og kravet om konsekvensanalyser vedrørende databeskyttelse, in-den der foretages risikobehæftede databehandlinger, jf. artikel 33.21
De forventede administrative konsekvenser ved forslaget vil blive under-søgt nærmere med henblik på dels at kvantificere konsekvenserne for dan-ske virksomheder, dels at komme med anbefalinger til, hvordan de admini-strative byrder i forslaget kan reduceres.

5.

Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationermv.:Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Præsi-denten for Sø- og Handelsretten, Præsidenterne for byretterne, Advokatrå-det, Advokatsamfundet, Akademikernes Centralorganisation, Amnesty In-ternational, Arbejderbevægelsens Erhvervsråd, Arbejdsmarkedsstyrelsen,Arbejdstilsynet, BAT-Kartellet (Bygge- Anlægs- og Trækartellet), BFID(Brancheforeningen af Farmaceutiske Industrivirksomheder i Danmark),Boligselskabernes Landsforening, Brancheforeningen for Sæbe, Parfumeog Teknisk/kemiske artikler, Bryggeriforeningen, Børnerådet, DanmarksApotekerforening, Danmarks Rederiforening, Danmarks Statistik, DanskArbejdsgiverforening, Dansk Byggeri, Dansk Ejendomsmæglerforening,Dansk Eksportforening, Dansk Erhverv, Dansk Industri, Dansk Inkasso-Brancheforening, Dansk Metal, Dansk Metalarbejderforbund, Dansk Rej-sebureau Forening, Dansk Retspolitisk Forening, Dansk Selskab forAkutmedicin, Dansk Selskab for Retsmedicin, Dansk Standard, Dansk Sy-geplejeråd, Dansk Told og Skatteforbund, Dansk Varefakta Nævn, DanskeAdvokater, Danske Arkitektvirksomheder, Danske Dagblades Forening,Danske Maritime (skibsværtforening), Danske Regioner, Danske Rekla-mebureauers Branceforening, Danske Speditører, De Danske Patentagen-ters Forening, De Videnskabsetiske Komiteer for Region Hovedstaden, DeVidenskabsetiske Komiteer for Region Midtjylland, De VidenskabsetiskeKomitéer for Region Sjælland, Den Centrale Videnskabsetiske Komité,Den Videnskabsetiske Komité for Region Nordjylland, Den Videnskabse-tiske Komité for Region Syddanmark, Det Etiske Råd, Det Frie Forsk-ningsråd, Det Nordiske Cochrane Center, Det Strategiske Forskningsråd,DI-Organisation for erhvervslivet, DJØF, Dommerforeningen, Dommer-fuldmægtigforeningen, Domstolenes Tjenestemandsforening, Domstols-styrelsen, DPU - Danmarks Pædagogiske Universitetsskole, DSI – DanskSundhedsinstitut, Elektricitetsrådet, Fagligt Fælles Forbund, FDB, Finansog Leasing, Finansrådet, Forbrugerombudsmanden, Forbrugerrådet, Fore-byggelses- og Patientrådet, Foreningen af Advokater og Advokatfuldmæg-tige, Foreningen af Danske Interaktive Medier, Foreningen af OffentligeAnklagere, Foreningen af Registrerede Revisorer, Foreningen af Rådgi-22
vende Ingeniører, Foreningen af Statsautoriserede Revisorer, ForeningenDanske Inkassoadvokater, Forsikring & Pension, Frederiksberg Kommu-ne, FTF-Funktionærernes og Tjenestemændenes Fællesråd, GrundejernesLandsorganisation, Grønlands Hjemmestyre, Handels- og Kontorfunktio-nærernes Forbund, Handelshøjskolen i København (Juridisk Institut),Handelshøjskolen i Århus (Juridisk Institut), HK Landsklubben DanmarksDomstole, Horesta, Håndværksrådet, IDA (Ingeniørforeningen), Institutfor Menneskerettigheder, IT-Brancheforeningen, ITEK, Jordemoderfor-eningen, Kommunernes Landsforening, Kooperationen, Kræftens Bekæm-pelse, Københavns Kommune, Københavns Universitet, Københavns Uni-versitetshospital, Landbrug og Fødevarer, Landsforeningen af BeskikkedeAdvokater, Landsforeningen af Forsvarsadvokater, Ledernes Hovedorga-nisation, Lejernes Landsorganisation, Liberale Erhvervs Råd, LIF – Læ-gemiddelindustriforeningen, LO, Lægeforeningen, Lægemiddelindustri-foreningen – LIF, MCI – Danmark, Medicoindustrien, Microsoft Dan-mark, Motorola, NFA - Det Nationale Forskningscenter for Arbejdsmiljø,Offentligt Ansattes Organisationer, Organisationen af LægevidenskabeligeSelskaber, Parellelimportørforeningen af Lægemidler, Patientforsikringen,Patientombuddet, Politiforbundet i Danmark, Praktiserende Lægers Orga-nisation, Procesbevillingsnævnet, Professionshøjskolen Metropol, Profes-sionshøjskolen UCC, Professionshøjskolen University College Nordjyl-land, Realkreditrådet, Retspolitisk Forening, Retssikkerhedsfonden, RUC,Sammenslutningen af Danske Småøer, SFI (Det Nationale Forskningscen-ter for Velfærd), Skibsværftsforeningen, Sonofon, Statens Seruminstitut,Syddansk Universitet, Syddansk Universitet (Juridisk Institut), Tele2 A/S,Telekommunikationsindustrien, Telia, University College Lillebælt, Uni-versity College Sjælland, University College Syddanmark, VIA UniversityCollege, Yngre Læger, Aalborg Universitet, Aarhus Universitet, Datatilsy-net, Digitaliseringsstyrelsen, Direktoratet for Kriminalforsorgen, Erhvervs-styrelsen, Finanstilsynet, Forsknings- og Innovationsstyrelsen, Konkurren-ce- og Forbrugerstyrelsen, Lægemiddelstyrelsen, Miljøstyrelsen, Natursty-relsen, Patent- og Varemærkestyrelsen, Rigsadvokaten, Rigspolitiet, Sik-kerhedsstyrelsen, Styrelsen for Slotte og Kulturejendomme, Søfartsstyrel-sen og Trafikstyrelsen.Høringsfristen er fastsat til den 1. juli 2012.

6.

Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at retten til beskyt-telse af personoplysninger, som er udtrykkeligt anerkendt i artikel 8 i Den23
Europæiske Unions Charter om Grundlæggende Rettigheder, kræver sam-me databeskyttelsesniveau i hele EU. Hvis der ikke indføres fælles EU-regler, opstår der ifølge Kommissionen risiko for forskellige databeskyttel-sesniveauer i medlemsstaterne og begrænsninger for strømmen af person-oplysninger på tværs af landegrænserne mellem medlemsstater med for-skellige standarder.Herudover har Kommissionen peget på, at personoplysninger videregivesstadig hurtigere på tværs af nationale grænser, og at der er en række prakti-ske udfordringer i forbindelse med håndhævelsen af lovgivningen om da-tabeskyttelse og et behov for samarbejde mellem medlemsstaterne og de-res myndigheder, som bør organiseres på EU-plan for at sikre en ensartetanvendelse af EU-retten. Kommissionen anser desuden EU som mest vel-egnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fy-siske personer, når deres personoplysninger videregives til tredjelande.Kommissionen anfører også, at der er et specifikt behov for at skabe enharmoniseret og sammenhængende ramme, som muliggør nem udvekslingaf personoplysninger på tværs af EU's grænser, samtidig med at alle fysi-ske personer i EU sikres en effektiv beskyttelse. Kommissionen mener ik-ke, at medlemsstaterne selv kan mindske de aktuelle problemer, navnligikke problemerne vedrørende de nationale lovgivningers fragmentering.Kommissionen anfører herudover, at den foreslåede EU-lovgivning vil væ-re mere effektiv end tilsvarende lovgivning på medlemsstatsniveau pågrund af problemernes karakter og omfang, som ikke kun gør sig gældendefor en eller flere medlemsstater.Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres påEU-niveau.Regeringen er umiddelbart enig med Kommissionen i, at en manglendeensartet udformning og anvendelse af databeskyttelsesregler på tværs afmedlemsstaterne skaber visse vanskeligheder navnlig for private virksom-heder, der driver virksomhed i flere medlemsstater. Det er på den bag-grund regeringens helt foreløbige vurdering, at forslaget er i overensstem-melse med nærhedsprincippet. Det bemærkes i den forbindelse, at det gæl-dende databeskyttelsesdirektiv bl.a. har til formål at sikre en indbyrdes til-nærmelse af medlemsstaternes lovgivninger med henblik på at fjerne hin-dringer for udveksling af personoplysninger.
24

7.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-lemsstaters holdning til forslaget.

8.

Foreløbig generel dansk holdning

Fra dansk side er man overordnet set positiv over for Kommissionens for-slag.Den endelige stillingtagen til forslaget vil navnlig bero på en nærmerevurdering af, om forslaget skaber den rette balance mellem hensynet til da-tabeskyttelsen og en række andre væsentlige hensyn, herunder hensynet tilden fri bevægelighed i EU, til muligheden for at udøve forskning, til de be-rørte virksomheders rammevilkår, til den offentlige sektors effektive op-gaveløsning og til udnyttelsen af de muligheder, som moderne teknologimedfører. Endvidere vil en stillingtagen bero på en vurdering af, om for-slaget skaber den rette balance mellem merværdi og omkostninger, herun-der i form af administrative konsekvenser. Skabelsen af den rette balancevil efter regeringens opfattelse bl.a. indebære, at forslaget ikke unødigthindrer løsningen af væsentlige opgaver i såvel den offentlige som denprivate sektor, og at forslaget ikke indebærer unødige omkostninger.Fra dansk side vil man arbejde for, at omkostningerne ved forslaget redu-ceres i forhold til Kommissionens forslag.Samlet set finder regeringen, at forslagets forholdsvis omfattende karakterog dets forventede indvirkning på store dele af den offentlige og privatesektor nødvendiggør, at der foretages en nærmere vurdering af forslagetsindhold, inden en endelig stillingtagen til forslaget kan finde sted. Dennevurdering vil bl.a. finde sted på baggrund af resultatet af den iværksattehøring over forslaget, jf. pkt. 5 ovenfor, samt en vurdering af de statsfinan-sielle og administrative konsekvenser.Regeringen finder endvidere, at forordningsforslagets administrative sank-tioner, som i visse tilfælde indebærer et meget højt bødeniveau, må over-vejes med henblik på at sikre, at de foreslåede administrative sanktionsni-veauer er i overensstemmelse med proportionalitetsprincippet.Herudover finder regeringen, at den nærmere rækkevidde og det nærmereindhold af en række af forslagets bestemmelser må søges afklaret under dekommende forhandlinger. Det gælder bl.a. i forhold til forslagets anven-delse i forhold til registeransvarlige, der er etablerede i tredjelande, defini-tionen af ”hovedvirksomhed”, Kommissionens adgang til at vedtage dele-25
gerede retsakter og de mange nyskabelser, der er indeholdt i forslaget. Detgælder også i forhold til de nævnte uklarheder i den danske sprogversion.

9.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-tingets Retsudvalg.
26