REU, Alm.del - 2016-17 - Bilag 187: Lovudkast: Udkast til forslag til lov om retshåndhævende myndigheders behandling af personoplysninger (gennemførelse af direktiv om databeskyttelse på rets-håndhævelsesområdet), fra justitsministeren

Retsudvalget 2016-17
REU Alm.del Bilag 187
Offentligt

Lovafdelingen

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

1. marts 2017

Databeskyttelseskontoret

Kenny Rasmussen

2016-7910-0008

2229227

Forslag til lov om retshåndhævende myndigheders behandling af per-

sonoplysninger

(gennemførelse af direktiv om databeskyttelse på

retshåndhævelsesområdet)

Afsnit I

Indledende bestemmelser

Kapitel 1

Lovens område

§ 1.

Loven gælder for politiets, militærpolitiets, anklagemyndighedens,

herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uaf-

hængige Politiklagemyndighed og domstolenes behandling af personoplys-

ninger, der helt eller delvis foretages ved hjælp af automatisk databehand-

ling, og på anden ikke-automatisk behandling af personoplysninger, der er

eller vil blive indeholdt i et register, når behandlingen foretages med hen-

blik på at forebygge, efterforske, afsløre eller retsforfølge strafbare hand-

linger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller

forebygge trusler mod den offentlige sikkerhed.

Stk. 2.

Loven finder ikke anvendelse på den behandling af personoplysnin-

ger, som udføres for eller af politiets og forsvarets efterretningstjenester.

Stk. 3.

Loven finder ikke anvendelse i forhold til behandling af personop-

lysninger i medfør af EU-retsakter, der den eller inden den 6. maj 2016 er

Loven gennemfører Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april

2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders

behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller

retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri ud-

veksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse

2008/977/RIA (EU-Tidende 2016 L 119, side 89 ff.)

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2016-17 - Bilag 187: Lovudkast: Udkast til forslag til lov om retshåndhævende myndigheders behandling af personoplysninger (gennemførelse af direktiv om databeskyttelse på rets-håndhævelsesområdet), fra justitsministeren

trådt i kraft på området for retligt samarbejde i straffesager og politisamar-

bejde, og som regulerer behandling mellem medlemsstaterne og de udpe-

gede myndigheders adgang til EU-informationssystemer.

§ 2.

Regler om behandling af personoplysninger i anden lovgivning, som

giver den registrerede en bedre retstilling, går forud for reglerne i denne

lov.

Kapitel 2

Definitioner

§ 3.

I denne lov forstås ved:

1) Personoplysninger: Enhver form for information om en identificeret

eller identificerbar fysisk person (den registrerede).

2) Behandling: Enhver aktivitet eller række af aktiviteter – med eller uden

brug af automatisk behandling – som personoplysninger eller en sam-

ling af personoplysninger gøres til genstand for.

3) Begrænsning af behandling: Mærkning af opbevarede personoplysnin-

ger med den hensigt at begrænse fremtidig behandling af disse oplys-

ninger.

4) Profilering: Enhver form for automatisk behandling af personoplysnin-

ger, der består i at anvende personoplysninger til at evaluere bestemte

personlige forhold vedrørende en fysisk person.

5) Register: Enhver struktureret samling af personoplysninger, der er til-

gængelig efter bestemte kriterier, hvad enten denne samling er placeret

centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk

grundlag.

6) Kompetent myndighed: Enhver offentlig myndighed eller ethvert andet

organ eller enhver anden enhed, der i henhold til medlemsstaternes na-

tionale ret er bemyndiget med hensyn til at udøve offentlig myndighed

og offentlige beføjelser med henblik på at forebygge, efterforske, af-

sløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetli-

ge sanktioner, herunder beskytte mod og forebygge trusler mod den of-

fentlige sikkerhed. De kompetente myndigheder i Danmark er politiet,

militærpolitiet, anklagemyndigheden, herunder den militære anklage-

myndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed

og domstolene.

7) Dataansvarlig: Den kompetente myndighed, der alene eller sammen

med andre afgør, til hvilke formål og med hvilke hjælpemidler der må

foretages behandling af personoplysninger.

8) Databehandler: En fysisk eller juridisk person, en offentlig myndighed,

en institution eller et andet organ, der behandler personoplysninger på

den dataansvarliges vegne.

9) Modtager: En fysisk eller juridisk person, en offentlig myndighed, en

institution eller et andet organ, hvortil personoplysninger videregives,

således at modtageren selvstændigt herefter træffer beslutning om, til

hvilket formål og med hvilke midler denne behandler de videregivne

oplysninger, uanset om det er en tredjemand eller ej. Myndigheder,

som vil kunne få meddelt personoplysninger som led i en isoleret fore-

spørgsel, betragtes ikke som modtagere.

10) Brud på persondatasikkerheden: Ethvert brud på sikkerheden, der fører

til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vi-

deregivelse af eller adgang til personoplysninger, der er transmitteret,

opbevaret eller på anden måde behandlet.

11) Genetiske data: Personoplysninger vedrørende en fysisk persons arve-

de eller erhvervede genetiske karakteristika, som giver entydig infor-

mation om den fysiske persons fysiologi eller helbred, og som navnlig

foreligger efter en analyse af en biologisk prøve fra den pågældende

fysiske person.

12) Biometriske data: Personoplysninger, der som følge af specifik teknisk

behandling vedrørende en fysisk persons fysiske, fysiologiske eller ad-

færdsmæssige karakteristika muliggør eller bekræfter en entydig iden-

tifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksop-

lysninger.

13) Helbredsoplysninger: Personoplysninger, der vedrører en fysisk per-

sons fysiske eller mentale helbred, herunder levering af sundhedsydel-

ser, og som giver information om vedkommendes helbredstilstand.

14) International organisation: En folkeretlig organisation og organer, der

er underordnet en sådan organisation, samt ethvert andet organ, der er

oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.

Afsnit II

Behandlingsregler

Kapitel 3

Behandling af oplysninger

§ 4.

Oplysninger skal behandles i overensstemmelse med god databehand-

lingsskik og under hensyntagen til oplysningernes karakter.

Stk. 2.

Indsamling af oplysninger skal ske til udtrykkeligt angivne og sagli-

ge formål, som er omfattet af § 1, stk. 1, og senere behandling må ikke

være uforenelig med disse formål, jf. dog § 5.

Stk. 3.

Oplysninger, som behandles, skal være relevante og tilstrækkelige

og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål,

hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne sene-

re behandles.

Stk. 4.

Oplysninger, som behandles, skal være korrekte og om nødvendigt

ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personop-

lysninger, der er urigtige i forhold til de formål, hvortil de behandles,

straks slettes eller berigtiges.

Stk. 5.

Den dataansvarlige træffer alle rimelige foranstaltninger til at sikre,

at personoplysninger ikke videregives eller stilles til rådighed, hvis de er

urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den

dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de

videregives eller stilles til rådighed. I forbindelse med videregivelse af

oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der

gør det muligt for den modtagende kompetente myndighed at vurdere, i

hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige,

og i hvilket omfang de er ajourførte. Hvis det konstateres, at der er videre-

givet urigtige personoplysninger, eller at personoplysninger er videregivet

ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet

fald berigtiges eller slettes eller behandlingen skal begrænses.

Stk. 6.

Indsamlede oplysninger må ikke opbevares på en måde, der giver

mulighed for at identificere den registrerede i et længere tidsrum end det,

der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Stk. 7.

Indsamlede oplysninger skal behandles på en måde, der sikrer en

tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder

beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt

tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekni-

ske eller organisatoriske foranstaltninger, jf. § 27.

Stk. 8.

Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1-7

overholdes.

§ 5.

Senere behandling af oplysninger til et andet af de formål, der er næv-

nt i § 1, stk. 1, end det, hvortil de oprindeligt var indsamlede, kan foretages

af den samme eller en anden af de kompetente myndigheder, når behand-

lingen sker på baggrund af lov og er nødvendig og forholdsmæssig i for-

hold til dette efterfølgende formål.

Stk. 2.

Der kan i medfør af stk. 1 foretages behandling af oplysninger, der

alene sker til arkivformål i samfundets interesse eller i historisk, statistisk

eller videnskabeligt øjemed.

Stk. 3.

Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1

og 2 overholdes.

§ 6.

Når der foretages videregivelse af oplysninger, fastsætter og underret-

ter den videregivende kompetente myndighed om eventuelle særlige vilkår

for behandling af oplysninger. Der kan ikke fastsættes særlige vilkår alene

som følge af, at der er tale om en videregivelse til en modtager i en anden

medlemsstat.

Stk. 2.

Behandling af oplysninger, der er modtaget fra en kompetent myn-

dighed, må ikke ske i strid med særlige vilkår, som er fastsat af den videre-

givende kompetente myndighed.

§ 7.

Den dataansvarlige skal tilrettelægge behandlingen af personoplysnin-

ger således, at der fastsættes passende frister for sletningen af personoplys-

ninger eller regelmæssig undersøgelse af behovet for lagringen af oplys-

ningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at

tidsfristerne overholdes.

§ 8.

Den dataansvarlige skal, når det er relevant, så vidt muligt sondre mel-

lem personoplysninger om forskellige kategorier af registrerede, herunder:

1) Personer, om hvem der er væsentlig grund til at tro, at de har

begået eller vil begå en strafbar handling,

2) personer, der er dømt for en strafbar handling,

3) ofre for en strafbar handling eller personer, om hvem visse fak-

tiske omstændigheder giver anledning til at tro, at de kunne bli-

ve ofre for en strafbar handling, og

4) andre parter i forbindelse med en strafbar handling, såsom per-

soner, der kan blive indkaldt som vidner i efterforskninger i

forbindelse med strafbare handlinger eller i efterfølgende straf-

fesager, personer, der kan tilvejebringe oplysninger om strafba-

re handlinger, eller kontakt- eller ledsagepersoner for de i nr. 1

og 2 omhandlede personer.

§ 9.

Behandling af oplysninger må kun finde sted, når behandlingen er

nødvendig for at forebygge, efterforske, afsløre eller retsforfølge strafbare

handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod

eller forebygge trusler mod den offentlige sikkerhed.

§ 10.

Der må ikke behandles personoplysninger om race eller etnisk oprin-

delse, politisk, religiøs eller filosofisk overbevisning eller fagforenings-

mæssigt tilhørsforhold samt behandling af genetiske data, biometriske data

med det formål entydigt at identificere en fysisk person, helbredsoplysnin-

ger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle

orientering.

Stk. 2.

Under overholdelse af betingelserne i denne lov kan der dog foreta-

ges behandling af oplysninger omfattet af stk. 1, når det er strengt nødven-

digt og sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herunder for

at beskytte den registreredes eller en anden fysisk persons vitale interesser,

eller hvis behandlingen vedrører oplysninger, som tydeligvis er offentlig-

gjort af den registrerede.

§ 11.

Der kan træffes afgørelser, der har negativ retsvirkning for den regi-

strerede eller betydeligt påvirker den pågældende, alene på grundlag af

automatisk behandling, herunder profilering.

Stk. 2.

Ved afgørelser, der er omfattet af stk. 1, skal der findes passende

foranstaltninger til at sikre den registreredes berettigede interesser, herun-

der i det mindste en ret for den registrerede til at kræve menneskelig ind-

griben fra den dataansvarliges side.

Stk. 3.

Justitsministeren fastsætter nærmere regler om foranstaltninger om-

fattet af stk. 2.

§ 12.

De kompetente myndigheder skal indføre effektive mekanismer, som

tilskynder til fortrolig indberetning til tilsynsmyndighederne af overtrædel-

ser af denne lov.

Afsnit III

Den registreredes rettigheder

Kapitel 4

Oplysninger, der skal stilles til rådighed eller gives til den registrerede

§ 13.

Den dataansvarlige skal stille følgende oplysninger til rådighed for

den registrerede:

1) Identitet på og kontaktoplysninger for den dataansvarlige.

2) Kontaktoplysninger for databeskyttelsesrådgiveren og oplys-

ninger om dennes funktion i forhold til de registrerede.

3) Formålene med den behandling, som personoplysningerne skal

bruges til.

4) Retten til at indgive en klage til en tilsynsmyndighed og kon-

taktoplysningerne for tilsynsmyndigheden.

5) Den registreredes rettigheder efter kapitel 5 og 6.

6) Retten til at lade den kompetente tilsynsmyndighed udøve den

registreredes rettigheder i forhold til de kompetente myndighe-

ders afgørelser om undladelse, udsættelse, begrænsning eller

nægtelse efter kapitel 4-6, jf. § 40, stk. 1, nr. 9.

Stk. 2.

Når det er nødvendigt for, at den registrerede kan varetage sine in-

teresser, skal den dataansvarlige som minimum give den registrerede med-

delelse om følgende:

1) Retsgrundlaget for behandlingen.

2) Det tidsrum, hvor personoplysningerne vil blive opbevaret, el-

ler, hvis dette ikke er muligt, de kriterier, der anvendes til at

fastlægge dette tidsrum.

3) Kategorierne af eventuelle modtagere af personoplysningerne,

herunder i tredjelande eller internationale organisationer.

4) Hvis det er nødvendigt, yderligere oplysninger, navnlig hvis

personoplysningerne indsamles uden den registreredes vidende.

§ 14.

Meddelelse efter § 13, stk. 2, kan udsættes, begrænses eller undlades,

hvis den registreredes interesse i at få kendskab til oplysningerne findes at

burde vige for at

1) undgå, at der lægges hindringer i vejen for officielle eller retli-

ge undersøgelser, efterforskninger eller procedurer,

2) undgå at skade forebyggelsen, afsløringen, efterforskningen el-

ler retsforfølgningen af strafbare handlinger eller fuldbyrdelsen

af strafferetlige sanktioner,

3) beskytte den offentlige sikkerhed,

4) beskytte statens sikkerhed, eller

5) beskytte den registreredes eller andres rettigheder.

Stk. 2.

Justitsministeren fastsætter nærmere regler om, hvilke kategorier af

behandling der er omfattet af stk. 1, samt om, at meddelelse efter § 13, stk.

2, kan udsættes til et passende tidspunkt, for så vidt hensynene i stk. 1 må

antages at medføre, at meddelelser i almindelighed må underkastes en så-

dan udsættelse.

Kapitel 5

Den registreredes indsigtsret

§ 15.

Fremsætter en registreret begæring herom, skal den dataansvarlige

bekræfte over for den pågældende, om der behandles oplysninger om ved-

kommende.

Stk. 2.

Behandles der oplysninger om den pågældende, skal der gives ad-

gang til oplysningerne samt en meddelelse med følgende oplysninger:

1) Formålene med og retsgrundlaget for behandlingen.

2) De berørte kategorier af personoplysninger.

3) De modtagere eller kategorier af modtagere, som personoplys-

ningerne er videregivet til, navnlig modtagere i tredjelande eller

internationale organisationer.

4) Om muligt, det påtænkte tidsrum, hvor personoplysningerne vil

blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der

anvendes til at fastlægge dette tidsrum.

5) Retten til at anmode den dataansvarlige om berigtigelse eller

sletning af personoplysninger eller begrænsning af behandling

vedrørende den registrerede.

6) Retten til at indgive en klage til tilsynsmyndigheden og kontak-

toplysningerne for tilsynsmyndigheden.

7) Hvilke personoplysninger, der er omfattet af behandlingen, og

enhver tilgængelig oplysning om, hvorfra de stammer.

§ 16.

Indsigt efter § 15 kan udsættes, begrænses eller nægtes, hvis den re-

gistreredes interesse i at få kendskab til oplysningerne findes at burde vige

for de hensyn til offentlige interesser, der er nævnt i § 14, stk. 1.

Stk. 2.

En afgørelse om, at den registreredes indsigt udsættes, begrænses

eller nægtes skal meddeles den registrerede skriftligt og skal være ledsaget

af en begrundelse og en klagevejledning. Afgørelsen skal endvidere inde-

holde oplysninger om den registreredes ret til at lade den kompetente til-

synsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1, nr. 9.

Stk. 3.

Af hensyn til de i stk. 1 nævnte formål kan den registrerede i stedet

for meddelelse efter stk. 2 gives meddelelse om, at det ikke kan oplyses,

om der behandles oplysninger om den pågældende. En sådan meddelelse

skal indeholde en klagevejledning og oplysninger om den registreredes ret

til at lade den kompetente tilsynsmyndighed udøve den registreredes ret-

tigheder, jf. § 40, stk. 1, nr. 9.

Stk. 4.

Justitsministeren fastsætter nærmere regler om, hvilke kategorier af

behandling der er omfattet af stk. 1, herunder om undtagelser fra retten til

at få oplysninger efter § 15 for så vidt hensynene i stk. 1 må antages at

medføre, at begæringer om indsigt i almindelighed må nægtes.

Kapitel 6

Ret til berigtigelse, sletning og begrænsning af behandling

§ 17.

Den dataansvarlige skal efter anmodning fra den registrerede uden

unødig forsinkelse berigtige oplysninger, der viser sig urigtige. På tilsva-

rende måde skal der ske fuldstændiggørelse af ufuldstændige oplysninger,

hvis dette kan ske uden at bringe formålet med behandlingen i fare. Den

dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til

den kompetente myndighed, hvorfra de urigtige oplysninger stammer.

Stk. 2.

Den dataansvarlige skal efter anmodning fra den registrerede uden

unødig forsinkelse slette oplysninger, der er behandlet i strid med kapitel

3, eller hvis det er påkrævet for at overholde en retlig forpligtelse, som den

dataansvarlige er underlagt.

Stk. 3.

Den dataansvarlige skal i stedet for berigtigelse efter stk. 1 eller

sletning efter stk. 2 begrænse behandlingen af personoplysninger, hvis:

1) Rigtigheden af personoplysningerne bestrides af den registrere-

de og deres rigtighed eller urigtighed ikke kan konstateres, eller

2) personoplysningerne skal bevares som bevismiddel.

Stk. 4.

Hvis behandling er begrænset i henhold til stk. 3, nr. 1, underretter

den dataansvarlige den registrerede herom, inden begrænsningen af be-

handling ophæves.

Stk. 5.

Et afslag på en anmodning om berigtigelse, sletning eller begræns-

ning af behandling skal meddeles den registrerede skriftligt og skal være

ledsaget af en begrundelse og en klagevejledning. Afgørelsen skal endvi-

dere indeholde oplysninger om den registreredes ret til at lade den kompe-

tente tilsynsmyndighed udøve den registreredes rettigheder, jf. § 40, stk. 1,

nr. 9. Bestemmelsen i § 16, stk. 3, finder tilsvarende anvendelse.

Stk. 6.

Den dataansvarlige skal underrette modtagere om, at der er sket

berigtigelse, sletning eller begrænsning af behandling af personoplysnin-

ger. Modtagerne berigtiger eller sletter personoplysningerne eller begræn-

ser behandling af personoplysninger, som de har ansvaret for.

Kapitel 7

Generelle bestemmelser

§ 18.

Oplysninger og meddelelser, der er nævnt i dette afsnit, skal stilles til

rådighed eller gives gratis, i en kortfattet, letforståelig og lettilgængelig

form og i et klart og enkelt sprog.

Stk. 2.

Den dataansvarlige skal snarest og på skrift besvare begæringer som

nævnt i dette afsnit. Er begæringen ikke besvaret inden 4 uger efter modta-

gelsen, skal den dataansvarlige underrette den pågældende om grunden

hertil, samt om hvornår anmodningen forventes besvaret.

Stk. 3.

Når personoplysninger er indeholdt i en retsafgørelse eller et regi-

ster, der er knyttet til udstedelsen af en retsafgørelse, skal anmodninger i

medfør af dette afsnit gennemføres i henhold til retsplejelovens regler.

§ 19.

Den dataansvarlige kan afvise at imødekomme åbenbart grundløse

eller overdrevent gentagne anmodninger, som er fremsat i henhold til be-

stemmelserne i dette afsnit.

Afsnit IV

Forpligtelser for den dataansvarlige og databehandleren

Kapitel 8

Forpligtelser for den dataansvarlige

§ 20.

Den dataansvarlige gennemfører og om nødvendigt ajourfører og

reviderer de fornødne tekniske og organisatoriske foranstaltninger for at

sikre og for at være i stand til at påvise, at behandling er i overensstemmel-

se med denne lov. Hvis det står i rimeligt forhold til behandlingsaktivite-

terne, skal den dataansvarlige tillige gennemføre de fornødne databeskyt-

telsespolitikker.

Stk. 2.

Foranstaltninger efter stk. 1 omfatter databeskyttelse gennem design

og gennem standardindstillinger.

§ 21.

Hvis to eller flere dataansvarlige i fællesskab fastsætter formålene

med og hjælpemidlerne til behandling, betragtes de som fælles dataansvar-

lige. Fælles dataansvarlige skal fastsætte en ordning for fordeling af ansva-

ret for, at behandlingen er i overensstemmelse med loven, herunder navn-

lig i forhold til den registreredes rettigheder efter kapitel 5-7. Ordningen

skal omfatte udpegningen af et fælles kontaktpunkt. Der kan udpeges et

særligt kontaktpunkt, der kan fungere som fælles kontaktpunkt for de regi-

strerede, når disse udøver deres rettigheder.

Kapitel 9

Forpligtelser for databehandleren mv.

§ 22.

Når en dataansvarlig overlader en behandling af oplysninger til en

databehandler, skal den dataansvarlige sikre sig, at databehandleren kan

træffe de i § 20 og § 24 nævnte tekniske og organisatoriske sikkerhedsfor-

anstaltninger, og påse, at dette sker.

Stk. 2.

Gennemførelse af en behandling ved en databehandler skal ske i

henhold til lov eller en skriftlig aftale mellem databehandleren og den

dataansvarlige. Loven eller aftalen skal fastsætte genstanden for og varig-

heden af behandlingen, behandlingens karakter og formål, typen af perso-

noplysninger og kategorierne af registrerede samt den dataansvarliges for-

pligtelser og rettigheder. Det skal navnlig fremgå, at databehandleren

1) kun må handle efter instruks fra den dataansvarlige,

2) sikrer, at de fysiske personer, der er autoriseret til at behandle

personoplysninger, har forpligtet sig til fortrolighed eller er un-

derlagt en passende lovbestemt tavshedspligt,

3) bistår den dataansvarlige på enhver hensigtsmæssig måde med

at sikre overholdelse af bestemmelserne om den registreredes

rettigheder,

4) efter den dataansvarliges valg sletter eller tilbageleverer alle

personoplysningerne til den dataansvarlige, efter at tjenesterne

vedrørende behandling er ophørt, medmindre anden lovgivning

foreskriver opbevaring af personoplysningerne,

5) stiller alle oplysninger, der er nødvendige for at påvise overhol-

delse af denne bestemmelse, til rådighed for den dataansvarlige,

6) overholder betingelserne i stk. 2 og 3 med henblik på at gøre

brug af en anden databehandler.

Stk. 3.

En databehandlers overladelse af behandling til en anden databe-

handler skal ske i henhold til en generel eller specifik skriftlig aftale med

den dataansvarlige. Sker overladelse i henhold til en generel aftale, skal

databehandleren underrette den dataansvarlige herom senest 14 dage forud

for overladelsen.

Stk. 4.

Enhver, der udfører arbejde for den dataansvarlige eller databehand-

leren, og som har adgang til personoplysninger, må kun behandle disse

oplysninger efter instruks fra den dataansvarlige, medmindre det følger af

anden lovgivning, at den pågældende skal foretage behandlingen.

Kapitel 10

Fortegnelser over behandlingsaktiviteter og logning

§ 23.

Den dataansvarlige skal føre skriftlige fortegnelser over alle katego-

rier af behandlingsaktiviteter under den dataansvarliges ansvar. Fortegnel-

serne skal indeholde følgende oplysninger:

1) Navn på og kontaktoplysninger for den dataansvarlige og, hvis

det er relevant, den fælles dataansvarlige og databeskyttelsesrå-

dgiveren,

2) formålene med behandlingen,

3) de kategorier af modtagere, som personoplysningerne er eller

vil blive videregivet til, herunder modtagere i tredjelande eller

internationale organisationer,

4) en beskrivelse af kategorierne af registrerede og kategorierne af

personoplysninger,

5) hvor det er relevant, brugen af profilering,

6) hvor det er relevant, kategorierne af overførsler af personoplys-

ninger til et tredjeland eller en international organisation,

7) en angivelse af retsgrundlaget for behandlingsaktiviteten, her-

under overførsler, hvortil personoplysningerne er bestemt,

8) hvis det er muligt, de forventede tidsfrister for sletning af de

forskellige kategorier af personoplysninger, og

9) hvis det er muligt, en generel beskrivelse af de tekniske og or-

ganisatoriske sikkerhedsforanstaltninger omhandlet i § 27.

Stk. 2.

Databehandleren fører skriftlige fortegnelser over alle kategorier af

behandlingsaktiviteter, der foretages på vegne af en dataansvarlig. Forteg-

nelserne skal indeholde følgende oplysninger:

1) Navn på og kontaktoplysninger for databehandleren eller data-

behandlerne, for hver dataansvarlig, på hvis vegne databehand-

leren handler, samt, hvis det er relevant, databeskyttelsesrådgi-

veren,

2) de kategorier af behandling, der foretages på vegne af den en-

kelte dataansvarlige,

3) hvor det er relevant, overførsler af personoplysninger til et tred-

jeland eller en international organisation, når den dataansvarli-

ge udtrykkeligt har givet instruks herom, herunder angivelse af

dette tredjeland eller denne internationale organisation, og

4) hvis det er muligt, en generel beskrivelse af de tekniske og or-

ganisatoriske sikkerhedsforanstaltninger omhandlet i § 27.

§ 24.

I automatiske databehandlingssystemer foretages logning af indsam-

ling, ændring, søgning, videregivelse, herunder overførsel, samkøring og

sletning.

Stk. 2.

Justitsministeren fastsætter nærmere regler om, hvilke automatiske

databehandlingssystemer der er omfattet af stk. 1.

Kapitel 11

Konsekvensanalyser og høring af tilsynsmyndighederne

§ 25.

Hvis en type behandling, navnlig ved brug af nye teknologier og i

medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil

indebære en høj risiko for fysiske personers rettigheder, skal den

dataansvarlige forud for behandlingen foretage en analyse af de påtænkte

behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

Stk. 2.

Analysen skal indeholde en generel beskrivelse af de planlagte be-

handlingsaktiviteter, en vurdering af risiciene for de registreredes rettighe-

der, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier,

sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af

personoplysninger og påvise overholdelse af denne lov, under hensyntagen

til de registreredes og andre berørte personers rettigheder og legitime inter-

esser.

§ 26.

Den dataansvarlige eller databehandleren skal høre tilsynsmyndighe-

den inden behandling af personoplysninger, der vil indgå som en del af et

nyt register, der skal oprettes, når

1) en konsekvensanalyse vedrørende databeskyttelse, jf. § 25, vi-

ser, at behandlingen vil føre til en høj risiko i mangel af foran-

staltninger truffet af den dataansvarlige for at begrænse risiko-

en, eller

2) den type behandling, navnlig ved brug af nye teknologier, me-

kanismer eller procedurer, indebærer en høj risiko for de regi-

streredes rettigheder.

Stk. 2.

Finder tilsynsmyndigheden, at den planlagte behandling ikke vil

overholde loven, herunder navnlig hvis den dataansvarlige ikke tilstrække-

ligt har identificeret eller begrænset risikoen, giver tilsynsmyndigheden

inden for en periode på op til 6 uger efter modtagelse af anmodningen om

høring den dataansvarlige og, hvor det er relevant, databehandleren skrift-

lig rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende enhver

af sine beføjelser, jf. kapitel 20. Denne periode kan forlænges med en må-

ned under hensyntagen til den påtænkte behandlings kompleksitet. Til-

synsmyndigheden underretter den dataansvarlige og, hvor det er relevant,

databehandleren om enhver sådan forlængelse senest en måned efter mod-

tagelse af anmodningen om høring sammen med begrundelsen for forsin-

kelsen.

Stk. 3.

Tilsynsmyndighederne fastsætter en liste over de behandlingsaktivi-

teter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

Afsnit V

Personoplysningssikkerhed

Kapitel 12

Behandlingssikkerhed

§ 27.

Den dataansvarlige og databehandleren skal under hensyntagen til

det aktuelle tekniske niveau, implementeringsomkostningerne og behand-

lingens karakter, omfang, sammenhæng og formål samt risicienes varie-

rende sandsynlighed og alvor for fysiske personers rettigheder gennemføre

passende tekniske og organisatoriske foranstaltninger for at sikre et sikker-

hedsniveau, der passer til disse risici, navnlig for så vidt angår behandlin-

gen af de særlige kategorier af personoplysninger, der er omfattet af § 10.

Stk. 2.

For så vidt angår automatisk behandling, skal den dataansvarlige

eller databehandleren på grundlag af en risikovurdering gennemføre foran-

staltninger til at sikre, at

1) uautoriserede personer ikke kan få adgang til det behandlings-

udstyr, der benyttes til behandling (kontrol med fysisk adgang

til udstyret),

2) der ikke sker uautoriseret læsning, kopiering, ændring eller slet-

ning af datamedier (kontrol med datamedier),

3) der ikke sker uautoriseret indlæsning af personoplysninger samt

uautoriseret læsning, ændring eller sletning af opbevarede per-

sonoplysninger (kontrol med opbevaring),

4) automatiske behandlingssystemer ikke via datakommunika-

tionsudstyr kan benyttes af uautoriserede personer (brugerkon-

trol),

5) personer med bemyndigelse til at anvende et automatisk be-

handlingssystem kun har adgang til de personoplysninger, der

er omfattet af deres adgangstilladelse (kontrol med dataadgan-

gen),

6) det er muligt at kontrollere og fastslå de modtagere, til hvilke

der er blevet eller kan transmitteres eller stilles oplysninger til

rådighed ved hjælp af datakommunikationsudstyr (kommunika-

tionskontrol),

7) det er muligt efterfølgende at undersøge og fastslå, hvilke per-

sonoplysninger der er indlæst i automatiske behandlingssyste-

mer, og hvornår og af hvem personoplysningerne blev indlæst

(kontrol med indlæsning),

8) der ikke sker uautoriseret læsning, kopiering, ændring eller slet-

ning af personoplysninger i forbindelse med overførsler af disse

eller under transport af datamedier (transportkontrol), og

9) de anvendte systemer i tilfælde af teknisk uheld kan genetable-

res (genopretning), og

10) systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at

opbevarede personoplysninger ikke bliver ødelagt som følge af

fejlfunktioner i systemet (integritet).

Stk. 3.

For oplysninger af særlig interesse for fremmede magter skal der

træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i

tilfælde af krig eller lignende forhold, jf. dog stk. 5.

Stk. 4.

Justitsministeren fastsætter nærmere regler om de i stk. 1-3 nævnte

foranstaltninger.

Stk. 5.

Justitsministeren kan efter indstilling fra en kompetent myndighed

fastsætte regler om, at det er ufornødent, at personoplysninger omfattet af

stk. 3, underlægges foranstaltninger, der muliggør bortskaffelse eller tilin-

tetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt.

Kapitel 13

Brud på datasikkerheden

§ 28.

Ved brud på persondatasikkerheden skal den dataansvarlige uden

unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarli-

ge er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndighe-

den, medmindre det er usandsynligt, at bruddet indebærer en risiko for

fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal

begrundes.

Stk. 2.

Databehandleren underretter uden unødig forsinkelse den

dataansvarlige om et brud på persondatasikkerheden.

Stk. 3.

Anmeldelsen efter stk. 1 skal:

1) beskrive karakteren af bruddet på persondatasikkerheden, her-

under i videst muligt omfang kategorierne og det berørte antal

registrerede samt kategorierne og det berørte antal registrerin-

ger af personoplysninger,

2) angive navn på og kontaktoplysninger for databeskyttelsesråd-

giveren eller et andet kontaktpunkt, hvor yderligere oplysninger

kan indhentes,

3) beskrive de sandsynlige konsekvenser af bruddet på personda-

tasikkerheden, og

4) beskrive de foranstaltninger, som den dataansvarlige har truffet

eller foreslår truffet for at håndtere bruddet på persondatasik-

kerheden, herunder, hvis det er relevant, foranstaltninger for at

begrænse dets mulige skadevirkninger.

Stk. 4.

Når det ikke er muligt at forelægge oplysningerne, der er nævnt i

stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis

uden unødig forsinkelse.

Stk. 5.

Den dataansvarlige skal dokumentere alle brud på persondatasikker-

heden, som er omfattet af stk. 1, herunder de faktiske omstændigheder

vedrørende bruddet, dets virkninger og de trufne afhjælpende foranstalt-

ninger.

Stk. 6.

Hvis bruddet på persondatasikkerheden omhandler oplysninger, der

er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal

oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den

dataansvarlige i denne medlemsstat.

§ 29.

Ved brud på persondatasikkerheden, som sandsynligvis vil indebære

en høj risiko for fysiske personers rettigheder, skal den dataansvarlige

uden unødig forsinkelse underrette den registrerede om bruddet.

Stk. 2.

Underretningen skal i et klart og enkelt sprog beskrive karakteren af

bruddet samt indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.

Stk. 3.

Bestemmelsen i stk. 1 gælder ikke, hvis

1) den dataansvarlige har gennemført passende tekniske og orga-

nisatoriske beskyttelsesforanstaltninger, og disse foranstaltnin-

ger er blevet anvendt på de personoplysninger, som er berørt af

bruddet på persondatasikkerheden, navnlig foranstaltninger, der

f.eks. på grund af kryptering gør personoplysningerne uforståe-

lige for enhver, der ikke har autoriseret adgang hertil,

2) den dataansvarlige har truffet efterfølgende foranstaltninger,

der sikrer, at den høje risiko for de registreredes rettigheder

som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller

3) det vil kræve en uforholdsmæssig indsats af den dataansvarlige.

I et sådant tilfælde skal der i stedet foretages en offentlig med-

delelse eller tilsvarende foranstaltning, hvorved de registrerede

underrettes på en tilsvarende effektiv måde.

Stk. 4.

Hvis den dataansvarlige ikke allerede har underrettet den registrere-

de om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at

have overvejet sandsynligheden for, at bruddet på persondatasikkerheden

indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller be-

slutte, at en af betingelserne i stk. 3 er opfyldt.

Stk. 5.

Underretning af den registrerede kan udsættes, begrænses eller und-

lades af de grunde, der er nævnt i § 14, stk. 1.

Afsnit VI

Databeskyttelsesrådgiver

Kapitel 14

Udpegelse af databeskyttelsesrådgiver

§ 30.

Den dataansvarlige udpeger på grundlag af faglige kvalifikationer,

herunder navnlig ekspertise inden for databeskyttelsesret og -praksis samt

evnen til at udføre de opgaver, der er nævnt i kapitel 15, en databeskyttel-

sesrådgiver, som inddrages i alle spørgsmål vedrørende beskyttelse af per-

sonoplysninger.

Stk. 2.

Flere dataansvarlige kan under hensyntagen til deres størrelse og

organisatoriske forhold udpege en fælles databeskyttelsesrådgiver.

Stk. 3.

Bestemmelsen i stk. 1 gælder ikke for domstolene, når disse foreta-

ger behandling af personoplysninger inden for deres egenskab af domstole.

Stk. 4.

Den dataansvarlige offentliggør kontaktoplysningerne for databe-

skyttelsesrådgiveren og meddeler disse til tilsynsmyndigheden.

Kapitel 15

Databeskyttelsesrådgiverens stilling og opgaver

§ 31.

Den dataansvarlige understøtter, at databeskyttelsesrådgiveren kan

1) underrette og rådgive den dataansvarlige og de ansatte, der be-

handler personoplysninger, om deres forpligtelser i medfør af

denne lov og anden lovgivning om databeskyttelse,

2) overvåge overholdelsen af denne lov og anden lovgivning om

databeskyttelse og af den dataansvarliges politikker om beskyt-

telse af personoplysninger, herunder fordeling af ansvar, oplys-

ningskampagner og uddannelse af det personale, der medvirker

ved behandlingsaktiviteterne, og de tilhørende revisioner,

3) rådgive, når der anmodes herom, med hensyn til konsekvensa-

nalysen vedrørende databeskyttelse og overvåge dens opfyldel-

se i henhold til bestemmelsen i § 25,

4) samarbejde med tilsynsmyndigheden, og

5) fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål

vedrørende behandling, herunder den forudgående høring, der

er nævnt i § 26, og at høre tilsynsmyndigheden, når det er hen-

sigtsmæssigt, om eventuelle andre spørgsmål.

Afsnit VII

Overførsler af personoplysninger til tredjelande eller internationale orga-

nisationer

Kapitel 16

Generelle principper

§ 32.

Overførsel af personoplysninger, der behandles eller planlægges be-

handlet efter overførsel til et tredjeland eller en international organisation,

herunder videreoverførsel til et andet tredjeland eller en anden internatio-

nal organisation, må kun finde sted under overholdelse af reglerne i denne

lov, og hvis betingelserne i dette afsnit er overholdt, herunder navnlig at

1) overførslen er nødvendig i forhold til de formål, der er nævnt i

§ 1, stk.1,

2) personoplysningerne overføres til en dataansvarlig i et tred-

jeland eller en international organisation, der er en myndighed,

der er kompetent i forhold til de formål, der er nævnt i § 1,

stk.1,

3) hvor personoplysninger transmitteres eller stilles til rådighed af

en kompetent myndighed fra en anden medlemsstat, denne

myndighed har givet sin forudgående godkendelse til overførs-

len i henhold til dens nationale regler,

4) der foreligger et af de overførselsgrundlag, der er nævnt i kapi-

tel 17, og

5) den kompetente myndighed, der foretog den oprindelige over-

førsel, i tilfælde af videreoverførsel til et andet tredjeland eller

en anden international organisation, giver bemyndigelse til vi-

dereoverførslen, efter at den har taget behørigt hensyn til alle

relevante faktorer, herunder den strafbare handlings grovhed,

det formål, hvortil personoplysningerne oprindeligt blev over-

ført, og beskyttelsesniveauet for personoplysninger i det tred-

jeland eller den internationale organisation, hvortil personop-

lysningerne videreoverføres.

Stk. 2.

Overførsel uden forudgående godkendelse efter stk. 1, nr. 3, kan

ske, hvis overførslen er nødvendig for at forebygge en umiddelbar og al-

vorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed

eller mod en medlemsstats væsentlige interesser, og den forudgående god-

kendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at

give den pågældende godkendelse, underrettes straks om overførslen.

Kapitel 17

Grundlag for overførsel

§ 33.

Overførsel kan ske, hvis Europa-Kommissionen har truffet afgørelse

om, at tredjelandet, et område eller en eller flere specifikke sektorer i dette

tredjeland, eller den pågældende internationale organisation har et tilstræk-

keligt beskyttelsesniveau.

§ 34.

Foreligger der ikke en afgørelse som nævnt i § 33, kan der ske over-

førsel, hvis

1) der er givet de fornødne garantier, hvad angår beskyttelsen af

personoplysninger, i en international aftale, eller

2) den dataansvarlige har vurderet alle forhold i forbindelse med

overførslen af personoplysninger og konkluderer, at der findes

de fornødne garantier, for beskyttelsen af personoplysninger.

Stk. 2.

Den dataansvarlige underretter tilsynsmyndigheden om kategorier

af overførsler i medfør af stk. 1, nr. 2.

Stk. 3.

En overførsel i medfør af stk. 1, nr. 2, dokumenteres i forhold til

dato og tidspunkt for overførslen, oplysninger om den modtagende kompe-

tente myndighed, begrundelsen for overførslen og de overførte personop-

lysninger. Dokumentationen stilles efter anmodning til rådighed for til-

synsmyndigheden.

§ 35.

Foreligger der ikke en afgørelse som nævnt i § 33 eller de fornødne

garantier som nævnt i § 34, kan en overførsel eller en kategori af overførs-

ler kun finde sted, hvis overførslen er nødvendig

1) for at beskytte den registreredes eller en anden persons vitale

interesser,

2) for at beskytte den registreredes legitime interesser, hvis det er

fastsat i henhold til lov,

3) for at afværge en umiddelbar og alvorlig trussel mod en med-

lemsstats eller et tredjelands offentlige sikkerhed,

4) i enkeltsager med henblik på de formål, der er nævnt i § 1, stk.

1, eller

5) i en enkeltsag for, at retskrav kan fastlægges, gøres gældende

eller forsvares med henblik på de formål, der er nævnt i § 1,

stk. 1.

Stk. 2.

Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde sted, hvis hensynet

til den registreredes rettigheder går forud for den samfundsmæssige inter-

esse i overførslen.

Stk. 3.

En overførsel i medfør af stk. 1 dokumenteres i forhold til dato og

tidspunkt for overførslen, oplysninger om den modtagende kompetente

myndighed, begrundelsen for overførslen og de overførte personoplysnin-

ger. Dokumentationen stilles efter anmodning til rådighed for tilsynsmyn-

digheden.

§ 36.

De kompetente myndigheder kan overføre personoplysninger til an-

dre end kompetente myndigheder og internationale organisationer på bag-

grund af international aftale eller i enkeltstående og specifikke tilfælde,

hvis

1) overførslen er strengt nødvendig for den overførende kompe-

tente myndigheds udførelse af en af lovgivningen følgende op-

gave og forfølger de formål, der er nævnt i § 1, stk. 1,

2) den overførende kompetente myndighed fastslår, at ingen af

den pågældende registreredes grundlæggende rettigheder går

forud for samfundets interesse, der nødvendiggør overførslen i

det foreliggende tilfælde,

3) den overførende kompetente myndighed mener, at overførslen

til en myndighed, der i tredjelandet er kompetent i forhold til de

formål, der er nævnt i § 1, stk.1, er ineffektiv eller uhensigts-

mæssig, navnlig fordi overførslen ikke kan foretages i tide,

4) den myndighed, der i tredjelandet er kompetent i forhold til de

formål, der er nævnt i § 1, stk. 1, underrettes uden unødig for-

sinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt,

5) den overførende kompetente myndighed underretter modtage-

ren om det eller de specifikke formål, hvortil sidstnævnte ude-

lukkende kan behandle personoplysningerne, forudsat at denne

behandling er nødvendig.

Stk. 2.

Den overførende kompetente myndighed dokumenterer og underret-

ter tilsynsmyndigheden om overførsler i medfør af stk. 1.

Afsnit VIII

Tilsynsmyndighed

Kapitel 18

Datatilsynet

§ 37.

Datatilsynet, der består af et råd og et sekretariat, fører tilsyn med

enhver behandling, der omfattes af loven, jf. dog kapitel 19.

Stk. 2.

Tilsynets daglige forretninger varetages af et sekretariat, der ledes

af en direktør.

Stk. 3.

Justitsministeren nedsætter Datarådet, som består af en formand, der

er dommer, og af 6 andre medlemmer. Der kan udpeges stedfortrædere for

medlemmerne. Formanden, medlemmerne og stedfortræderne for disse

udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af for-

mand, medlemmer og stedfortrædere for disse sker på baggrund af disses

faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyt-

telsesret.

Stk. 4.

Rådet fastsætter sin forretningsorden og de nærmere regler om ar-

bejdets fordeling mellem råd og sekretariat.

Stk. 5.

Udpegelsen af formand, medlemmer og stedfortrædere for disse er

betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen

opretholdes i hele embedsperioden.

Stk. 6.

Hvervet som formand, medlem eller stedfortræder ophører ved ud-

gangen af embedsperioden eller ved frivillig fratræden.

Stk. 7.

Formanden, medlemmer og stedfortrædere for disse kan alene af-

skediges i tilfælde af alvorligt embedsmisbrug eller hvis disse ikke længere

opfylder betingelserne for at varetage hvervet.

Stk. 8.

Sekretariatets personale samt Datarådets formand, medlemmer og

stedfortrædere for disse kan kun have bibeskæftigelse, for så vidt og i det

omfang det er foreneligt med udøvelsen af de til stillingen eller hvervet

knyttede pligter.

Stk. 9.

Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske

Databeskyttelsesråd.

Kapitel 19

Tilsyn med domstolene

§ 38.

Domstolsstyrelsen fører tilsyn med behandling af oplysninger, der

foretages for domstolene, når disse handler uden for deres egenskab af

domstol.

Stk. 2.

For anden behandling af oplysninger træffes afgørelse af vedkom-

mende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis

afgørelser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgø-

relse kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen

er 4 uger fra den dag, afgørelsen er meddelt den pågældende.

Kapitel 20

Tilsynsmyndighedernes opgaver og beføjelser

§ 39.

Tilsynsmyndighederne udøver deres funktioner i fuld uafhængighed.

§ 40.

Tilsynsmyndighederne har til opgave her i landet at

1) føre tilsyn med og håndhæve anvendelsen af denne lov,

2) fremme offentlighedens kendskab til og forståelse af risici, reg-

ler, garantier og rettigheder i forbindelse med behandling af

personoplysninger,

3) rådgive Folketinget, regeringen og andre institutioner og orga-

ner om lovgivningsmæssige og administrative foranstaltninger

til beskyttelse af fysiske personers rettigheder i forbindelse med

behandling,

4) fremme dataansvarliges og databehandleres kendskab til deres

forpligtelser i medfør af denne lov,

5) efter anmodning informere alle registrerede om udøvelsen af

deres rettigheder i medfør af denne lov og med henblik herpå

samarbejde med tilsynsmyndighederne i andre medlemsstater,

hvis det er relevant,

6) behandle klager, der indgives af en registreret eller af et organ,

en organisation eller en sammenslutning i overensstemmelse

med bestemmelsen i § 48, og, for så vidt det er hensigtsmæs-

sigt, undersøge genstanden for klagen og underrette klageren

om forløbet og resultatet af undersøgelsen inden for senest 3

måneder, navnlig hvis yderligere undersøgelse eller koordine-

ring med en anden tilsynsmyndighed er nødvendig,

7) efter anmodning yde supplerende bistand til en registreret, der

har indgivet en klage,

8) underrette en registreret, der har indgivet en klage, om adgan-

gen til retsmidler efter kapitel 22,

9) efter anmodning kontrollere, om en behandling af personoplys-

ninger er lovlig i henhold til undladelse, udsættelse, begræns-

ning eller nægtelse efter kapitel 4-6, og underrette den registre-

rede inden for en rimelig frist om resultatet af undersøgelsen el-

ler om årsagerne til, at undersøgelsen ikke er foretaget, og om

den registreredes adgang til retsmidler efter kapitel 22,

10) samarbejde med andre tilsynsmyndigheder, herunder gennem

udveksling af oplysninger og gensidig bistand med henblik på

at sikre ensartet anvendelse og håndhævelse af denne lov,

11) gennemføre undersøgelser om anvendelsen af denne lov, herun-

der på grundlag af oplysninger, der er modtaget fra en anden

tilsynsmyndighed eller en anden offentlig myndighed,

12) holde øje med relevant udvikling, for så vidt den har indvirk-

ning på beskyttelse af personoplysninger, navnlig udviklingen

for informations- og kommunikationsteknologi,

13) rådgive om behandlingsaktiviteter som omhandlet i § 26, og

14) bidrage til Databeskyttelsesrådets aktiviteter.

Stk. 2.

Tilsynsmyndighederne fastsætter nærmere regler for at lette indgi-

velsen af klager efter stk. 1, nr. 6.

Stk. 3.

Tilsynsmyndighederne kan afvise at imødekomme åbenbart grund-

løse eller overdrevent gentagne anmodninger efter denne lov.

§ 41.

Tilsynsmyndighederne kan kræve enhver oplysning, der er af betyd-

ning for deres virksomhed, herunder til afgørelse af, om et forhold falder

ind under lovens bestemmelser.

Stk. 2.

Tilsynsmyndighedernes medlemmer og personale har mod behørig

legitimation til enhver tid uden retskendelse adgang til alle lokaler, hvorfra

en behandling af personoplysninger foretages.

§ 42.

Tilsynsmyndighederne kan over for den dataansvarlige og databe-

handleren afgive udtalelse om, at planlagte behandlingsaktiviteter sandsyn-

ligvis vil være i strid med denne lov, give påbud om at bringe behandlings-

aktiviteter i overensstemmelse med denne lov, eller midlertidigt eller defi-

nitivt begrænse, herunder forbyde, behandling af personoplysninger.

Stk. 2.

Tilsynsmyndighedernes afgørelser efter denne lov kan ikke indbrin-

ges for anden administrativ myndighed.

§ 43.

Ved udarbejdelse af generelle retsforskrifter, der har betydning for

behandling af personoplysninger, skal der indhentes en udtalelse fra Data-

tilsynet. Hvis der er tale om generelle forskrifter, der har betydning for be-

handling af oplysninger, der foretages for domstolene, skal der indhentes

en udtalelse fra Domstolsstyrelsen.

§ 44.

Tilsynsmyndighederne kan indbringe spørgsmål om overtrædelser af

denne lov for retten i den borgerlige retsplejes former.

§ 45.

Tilsynsmyndighederne afgiver en årlig beretning om deres virksom-

hed til Folketinget og justitsministeren. Beretningerne offentliggøres.

Kapitel 21

Samarbejde

§ 46.

Tilsynsmyndighederne samarbejder, i det omfang det er nødvendigt

for at opfylde deres pligter, navnlig ved at udveksle alle relevante oplys-

ninger.

§ 47.

Tilsynsmyndighederne besvarer anmodninger fra en tilsynsmyndig-

hed i en anden medlemsstat uden unødig forsinkelse og senest en måned

efter modtagelsen. Oplysninger, som en tilsynsmyndighed i en anden med-

lemsstat har anmodet om, fremsendes elektronisk i et standardformat.

Stk. 2.

Anmodninger om bistand skal indeholde alle nødvendige oplysnin-

ger, herunder formålet med og grunden til anmodningen. Udvekslede op-

lysninger må kun anvendes til det formål, som er angivet i anmodningen.

Stk. 3.

Anmodninger kan alene afvises, når den anmodede tilsynsmyndig-

hed ikke har kompetence med hensyn til genstanden for anmodningen eller

de foranstaltninger, som den anmodes om at iværksætte, eller en imøde-

kommelse af anmodningen vil være i strid med denne eller anden lov. Et

afslag på at imødekomme en anmodning skal begrundes.

Afsnit IX

Retsmidler, ansvar og sanktioner

Kapitel 22

Retsmidler, ansvar og sanktioner

§ 48.

Den registrerede eller dennes repræsentant kan klage til vedkommen-

de tilsynsmyndighed over behandling af oplysninger vedrørende den regi-

strerede.

Stk. 2.

Tilsynsmyndighedernes afgørelser, undladelser af at behandle en

klage fra en registreret eller en manglende underretning efter § 40, stk. 1,

nr. 6, kan af den registrerede eller dennes repræsentant indbringes for

domstolene i den borgerlige retsplejes former.

Stk. 3.

Den registrerede eller dennes repræsentant kan indbringe spørgsmål

om dataansvarliges og databehandleres overholdelse af denne lov for dom-

stolene i den borgerlige retsplejes former.

§ 49.

Enhver person, som har lidt materiel eller immateriel skade som føl-

ge af en ulovlig behandlingsaktivitet eller enhver anden behandling i strid

med denne lov, har ret til erstatning fra den dataansvarlige i overensstem-

melse med de almindelige erstatningsretlige principper.

§ 50.

Medmindre højere straf er forskyldt efter anden lovgivning, kan en

privat databehandler, der i forbindelse med en behandling, der udføres for

en kompetent myndighed, overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og

§ 28, stk. 2, eller undlader at efterkomme et påbud eller forbud, der er

meddelt i henhold til § 42, straffes med bøde eller fængsel indtil 4 måne-

der.

Stk. 2.

Dataansvarlige, der undlader at efterkomme et påbud eller forbud,

der er meddelt i henhold til § 42, straffes med bøde.

Stk. 3.

I regler, der udstedes i medfør af loven, kan der fastsættes straf af

bøde eller fængsel indtil 4 måneder.

Stk. 4.

Der kan pålægges selskaber mv. (juridiske personer) strafansvar

efter reglerne i straffelovens 5. kapitel.

Afsnit X

Afsluttende bestemmelser

Kapitel 23

Afsluttende bestemmelser, herunder ikrafttrædelsesbestemmelser mv.

§ 51.

Justitsministeren kan fastsætte regler, som er nødvendige for at gen-

nemføre de af Europa-Kommissionen udstedte retsakter, som træffes med

henblik på gennemførelse af direktivet om beskyttelse af fysiske personer i

forbindelse med kompetente myndigheders behandling af personoplysnin-

ger med henblik på at forebygge, efterforske, afsløre eller retsforfølge

strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri ud-

veksling af sådanne oplysninger og om ophævelse af Rådets rammeafgø-

relse 2008/977/RIA, eller regler, som er nødvendige for at anvende de af

Europa-Kommissionen udstedte retsakter på direktivets område.

§ 52.

Loven træder i kraft dagen efter bekendtgørelse i Lovtidende.

Stk. 2.

Lovforslaget kan stadfæstes straks efter dets vedtagelse.

§ 53.

Lovens §§ 25 og 26 gælder i forhold til ny behandling af personop-

lysninger, der iværksættes, og registre, der oprettes, den 1. maj 2017 eller

senere.

Stk. 2.

Lovens § 20, stk. 2, gælder i forhold til automatiske databehand-

lingssystemer, der idriftsættes den 1. maj 2017 eller senere.

§ 54.

Overførsler til tredjelande og internationale organisationer kan ske i

medfør af internationale aftaler, der er indgået inden den 6. maj 2016, ind-

til de ændres, erstattes eller ophæves.

§ 55.

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger,

som senest ændret ved lov nr. 639 af 12. juni 2013, foretages følgende

ændringer:

§ 2, stk. 4,

ophæves. Stk. 5-11 bliver herefter til stk. 4-10.

Efter § 2 indsættes i

kapitel 1:

»§

2 a.

Loven gælder ikke for behandling, som er omfattet af lov om

retshåndhævende myndigheders behandling af personoplysninger, jf. dog

stk. 2.

Stk. 2.

Regler udstedt i medfør af § 32, stk. 5, § 41, stk. 5, § 55, stk. 4,

og § 72 gælder for den behandling af personoplysninger, der er omfattet af

lov om retshåndhævende myndigheders behandling af personoplysninger.

Reglerne gælder ikke, hvis det vil være i strid med denne lov.«

§ 56.

Loven gælder ikke for Færøerne, men kan ved kongelig anordning

sættes i kraft for rigsmyndighedernes behandling af oplysninger med de

afvigelser, som de færøske forhold tilsiger. Loven gælder heller ikke for

Grønland, men kan ved kongelig anordning sættes i kraft med de afvigel-

ser, som de grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Indledning

1.1. Baggrund og formål

1.2. Lovforslagets indhold i hovedtræk

1.2. Overordnet om den retlige ramme for de retshåndhævende myn-

digheders behandling af personoplysninger

2. Lovforslagets hovedpunkter

2.1. Anvendelsesområde

2.1.1. Gældende ret

2.1.2. Retshåndhævelsesdirektivet

2.1.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.2. Definitioner

2.2.1. Gældende ret

2.2.2. Retshåndhævelsesdirektivet

2.2.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.3. Behandlingsregler

2.3.1. Gældende ret

2.3.2. Retshåndhævelsesdirektivet

2.3.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.4. Den registreredes rettigheder

2.4.1. Gældende ret

2.4.2. Retshåndhævelsesdirektivet

2.4.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.5. Forpligtelser for den dataansvarlige og databehandleren

2.5.1. Gældende ret

2.5.2. Retshåndhævelsesdirektivet

2.5.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.6. Personoplysningssikkerhed

2.6.1. Gældende ret

2.6.2. Retshåndhævelsesdirektivet

2.6.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.7. Databeskyttelsesrådgiver

2.7.1. Gældende ret

2.7.2. Retshåndhævelsesdirektivet

2.7.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.8. Overførsler af personoplysninger til tredjelande mv.

2.8.1. Gældende ret

2.8.2. Retshåndhævelsesdirektivet

2.8.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.9. Tilsyn

2.9.1. Gældende ret

2.9.2. Retshåndhævelsesdirektivet

2.9.3. Justitsministeriets overvejelser og lovforslagets udform-

ning

2.10. Retsmidler, ansvar og sanktioner

2.10.1. Gældende ret

2.10.2. Retshåndhævelsesdirektivet

2.10.3. Justitsministeriets overvejelser og lovforslagets ud-

formning

3. Økonomiske og administrative konsekvenser for det offentlige

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

5. Administrative konsekvenser for borgerne

6. Miljømæssige konsekvenser

7. Forholdet til EU-retten

8. Hørte myndigheder og organisationer mv.

9. Sammenfattende skema

1. Indledning

1.1. Formål og baggrund

Lovforslaget gennemfører Europa-Parlamentets og Rådets direktiv

2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbin-

delse med kompetente myndigheders behandling af personoplysninger

med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafba-

re handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling

af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse

2008/977/RIA (retshåndhævelsesdirektivet). Direktivet er medtaget som

bilag til dette lovforslag.

Retshåndhævelsesdirektivet er vedtaget under henvisning til artikel 16, stk.

2, i Traktaten om den Europæiske Unions Funktionsmåde (TEUF), og da

det fastsætter regler vedrørende medlemsstaternes behandling af personop-

lysninger under udøvelse af aktiviteter, der er omfattet af det danske forbe-

hold vedrørende retlige og indre anliggender, er direktivet ikke bindende

for og finder ikke anvendelse i Danmark, jf. artikel 2 og 2 a i protokollen

om Danmarks stilling.

Da direktivet er en udbygning af Schengenreglerne, kan Danmark imidler-

tid i henhold til protokollens artikel 4 inden 6 måneder efter Rådets vedta-

gelse træffe afgørelse om, at Danmark vil gennemføre direktivet i dansk

ret. Træffer Danmark afgørelse om, at direktivet skal gennemføres i dansk

ret, skabes der en folkeretlig forpligtelse mellem Danmark og de øvrige

medlemsstater, der er bundet af retshåndhævelsesdirektivet.

Folketinget meddelte ved beslutning af 25. oktober 2016 sit samtykke til,

at regeringen tilsluttede sig retshåndhævelsesdirektivet, hvilket regeringen

meddelte Rådet den 26. oktober 2016.

Hertil kommer, at gennemførslen af direktivet inden 1. maj 2017 skal ses i

lyset af, at gennemførslen er en forudsætning for, at der kan indgås en

samarbejdsaftale mellem Danmark og Europol, som skal have virkning fra

samme dato.

Det bemærkes, at regeringen vil søge Folketingets samtykke efter grund-

lovens § 19 til, at Danmark indgår aftale om fortsat tilknytning til Europol,

i forbindelse med det kommende lovforslag om ændring af lov om Den

Europæiske Politienhed (Europol).

Lovforslaget skal endvidere ses i lyset af det sideløbende arbejde med at

sikre, at dansk ret er i overensstemmelse med Europa-Parlamentets og Rå-

dets forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri ud-

veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

(databeskyttelsesforordningen).

Databeskyttelsesforordningen, som finder anvendelse i medlemsstaterne

fra den 25. maj 2018, udgør sammen med retshåndhævelsesdirektivet en

samlet databeskyttelsespakke. Forordningen og direktivet er imidlertid

sammenfaldende på visse områder, f.eks. hvad angår kravene til tilsyns-

myndighederne. Arbejdet med at sikre, at dansk ret er i overensstemmelse

med forordningen pågår, og der vil blive fremsat selvstændigt lovforslag

herom.

Henset til, at gennemførslen af retshåndhævelsesdirektivet inden 1. maj

2017 er en forudsætning for dansk tilknytning til Europol efter denne dato,

har Justitsministeriet fundet, at gennemførslen af retshåndhævelsesdirekti-

vet bør ske selvstændigt.

Justitsministeriet har endvidere fundet, at gennemførslen af retshåndhævel-

sesdirektivet i videst muligt omfang bør ske i en samlet lov, der omfatter

databehandling for de kompetente danske myndigheder med henblik på at

forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller

fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge

trusler mod den offentlige sikkerhed. Denne fremgangsmåde varetager

både hensynet til at sikre en korrekt implementering af direktivet og skaber

en højere grad af overskuelighed for de myndigheder, som vil skulle an-

vende lovgivningen. Denne tilgang fører samtidig til, at der skal ske en

ændring af persondatalovens anvendelsesområde, således at de kompetente

myndigheders behandling af personoplysninger ikke længere er omfattet af

persondataloven, når den er omfattet af lovforslagets anvendelsesområde.

Affattelsen af de foreslåede regler er generelt lagt tæt op ad retshåndhæ-

velsesdirektivets ordlyd, idet hensynet til at sikre, at der ikke kan rejses

tvivl om implementeringen af direktivets bestemmelser efter Justitsmini-

steriets opfattelse taler herfor.

1.2. Lovforslagets indhold i hovedtræk

Lovforslaget er inddelt i afsnit om henholdsvis indledende bestemmelser,

herunder anvendelsesområdet og definitioner (afsnit I), behandlingsregler

(afsnit II), den registreredes rettigheder (afsnit III), forpligtelser for den

dataansvarlige og databehandleren (afsnit IV), personoplysningssikkerhed

(afsnit V), databeskyttelsesrådgiveren (afsnit VI), overførsler til tredjelan-

de eller internationale organisationer (afsnit VII), tilsynsmyndigheder (af-

snit VIII), retsmidler, ansvar og sanktioner (afsnit IX) og afsluttende be-

stemmelser, herunder ikrafttrædelsesbestemmelser (afsnit X).

Lovforslagets regler er i nogen grad en videreførelse af de gældende regler

for de retshåndhævende myndigheder.

For så vidt angår

anvendelsesområdet,

skal de foreslåede regler gælde for

behandling af personoplysninger, som foretages af politiet, militærpolitiet,

anklagemyndigheden, herunder den militære anklagemyndighed, kriminal-

forsorgen, Den Uafhængige Politiklagemyndighed, og domstolene med

henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare

handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod

eller forebygge trusler mod den offentlige sikkerhed.

For så vidt angår lovforslagets

behandlingsregler,

er der i vidt omfang tale

om en videreførelse af de gældende regler, idet der dog indføres enkelte

yderligere principper om tidsfrister for opbevaring af personoplysninger og

revision af behovet herfor, ligesom der foreslås eksplicitte regler om son-

dring mellem forskellige kategorier af registrerede og personoplysninger

samt kontrol med kvaliteten af personoplysninger.

For så vidt angår lovforslagets regler om den

registreredes rettigheder,

herunder retten til information, indsigt, berigtigelse og sletning, er der tale

om en udvidelse af rettighederne i forhold til gældende ret om behandling

af personoplysninger på det strafferetlige område. Dette skyldes, at de gæl-

dende regler i persondataloven om oplysningspligt over for den registrere-

de, den registreredes ret til indsigelse, berigtigelse, blokering og sletning af

personoplysninger ikke finder anvendelse på behandlinger, der foretages

for domstolene, politi og anklagemyndighed inden for det strafferetlige

område. Herudover finder de gældende regler om den registreredes ret til

indsigt ikke anvendelse på behandlinger, der foretages for domstolene in-

den for det strafferetlige område.

I forhold til lovforslagets regler om den

dataansvarliges og databehandle-

rens forpligtelser,

herunder pligten til at udpege en

databeskyttelsesrådgi-

ver,

er der tale om en række nyskabelser. Således vil den dataansvarlige –

med undtagelse af domstolene, når disse foretager behandling af personop-

lysninger inden for deres egenskab af domstole – efter den foreslåede ord-

ning som noget nyt være forpligtet til at udpege en databeskyttelsesrådgi-

ver, som skal inddrages i spørgsmål om databeskyttelse.

Endvidere skal den dataansvarlige forud for behandling af personoplysnin-

ger, der indebærer en høj risiko for fysiske personers rettigheder, foretage

konsekvensanalyser og i visse tilfælde foretage en forudgående høring af

tilsynsmyndigheden.

En anden nyskabelse er den foreslåede indførelse af et krav om, at den

dataansvarlige uden unødig forsinkelse under visse omstændigheder skal

anmelde brud på persondatasikkerheden, som sandsynligvis vil medføre en

risiko for fysiske personers rettigheder, til tilsynsmyndigheden og – i visse

tilfælde – underrette den registrerede.

Der sker endvidere med lovforslaget en ændring af de gældende krav til

logning. I overensstemmelse med direktivet foreslås det imidlertid, at

spørgsmålet om, hvilke automatiske databehandlingssystemer, som log-

ningskravet skal finde anvendelse på, håndteres efterfølgende i en bekendt-

gørelse med henblik på, at der kan ske en nærmere afklaring af lognings-

forpligtelsens omfang.

For så vidt angår lovforslagets regler om

overførsler til tredjelande eller

internationale organisationer,

er der i nogen grad tale om en videreførelse

af de gældende regler, idet sådanne overførsler kan ske på baggrund af en

afgørelse fra Europa-Kommissionen om, at tredjelandet mv. sikrer et til-

strækkeligt beskyttelsesniveau.

For så vidt angår de foreslåede regler om

tilsynsmyndighederne,

er der i

vidt omfang tale om en videreførelse af gældende ret, herunder i forhold til

kravet om uafhængighed og beskrivelsen af tilsynsmyndighedens opgaver.

For så vidt angår reglerne om

retsmidler, ansvar og sanktioner,

er der tale

om dels en videreførelse af reglerne om adgangen til at klage til tilsyns-

myndighederne og i et vist omfang adgangen til at indbringe tilsynsmyn-

dighedens afgørelser for domstolene og dels en række nyskabelser, herun-

der i form af tilsynsmyndighedens adgang til at indbringe spørgsmål om

overtrædelse af loven for domstolene.

1.3. Overordnet om den retlige ramme for de retshåndhævende myn-

digheders behandling af personoplysninger

1.3.1. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med

senere ændringer (persondataloven) er der fastsat generelle regler om be-

handling af personoplysninger for offentlige myndigheder, herunder rets-

håndhævende myndigheder, med undtagelse af politiets og forsvarets ef-

terretningstjenester (PET og FE).

Persondataloven er først og fremmest baseret på Europa-Parlamentets og

Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri ud-

veksling af sådanne oplysninger (databeskyttelsesdirektivet).

Persondataloven indeholder bl.a. regler om, hvornår behandling af perso-

noplysninger i almindelighed må finde sted, ligesom loven indeholder reg-

ler vedrørende behandling af særlige typer oplysninger (f.eks. regler om

personnumre).

Persondataloven gælder generelt for de kompetente myndigheders behand-

ling af personoplysninger. Lovens bestemmelser om oplysningspligt over

for den registrerede, og om den registreredes ret til indsigelse, berigtigelse,

blokering og sletning af personoplysninger finder dog ikke anvendelse på

behandlinger, der foretages for domstolene, politiet og anklagemyndighe-

den inden for det strafferetlige område. Herudover finder lovens regler om

den registreredes ret til indsigt ikke anvendelse på behandlinger, der fore-

tages for domstolene inden for det strafferetlige område.

Persondataloven fastsætter endvidere regler om datasikkerhed i forbindelse

med behandling af personoplysninger, hvorefter den dataansvarlige skal

træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger

mod, at oplysninger bl.a. ikke kommer til uvedkommendes kendskab.

1.3.2. Bekendtgørelse om beskyttelse af personoplysninger i forbindelse

med internationalt politisamarbejde og retligt samarbejde i kriminalsager

Justitsministeren har i medfør af persondatalovens § 72 a fastsat nærmere

regler ved bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse

af personoplysninger i forbindelse med politisamarbejde og retligt samar-

bejde i kriminalsager inden for Den Europæiske Union og Schengensamar-

bejdet (rammeafgørelsesbekendtgørelsen).

Bekendtgørelsen gennemfører Rådets rammeafgørelse 2008/977/RIA af

27. november 2008 om beskyttelse af personoplysninger i forbindelse med

politisamarbejde og retligt samarbejde i kriminalsager (rammeafgørelsen) i

dansk ret.

Bekendtgørelsen finder anvendelse i forhold til personoplysninger, der ud-

veksles eller stilles til rådighed mellem en dansk og en udenlandsk myn-

dighed i forbindelse med politisamarbejde og retligt samarbejde i krimi-

nalsager inden for EU og Schengen-samarbejdet.

Bekendtgørelsen tager således sigte på den grænseoverskridende informa-

tionsudveksling i forbindelse med politisamarbejde og retligt samarbejde i

kriminalsager.

Bekendtgørelsen henviser bl.a. til en række af de grundlæggende regler for

behandling af personoplysninger i persondataloven. Den indeholder herud-

over regler om datakvalitet og behandlingssikkerhed. Bekendtgørelsen

indeholder desuden regler for specifikke former for databehandling, herun-

der regler om viderebehandling af personoplysninger modtaget fra andre

medlemsstater og om videregivelse af sådanne oplysninger til private og

tredjelande samt internationale organer.

Herudover udvider bekendtgørelsen den registreredes rettigheder med hen-

syn til bl.a. underretning og berigtigelse af urigtige oplysninger i forhold

til persondataloven.

1.3.3. Retsplejeloven

Retsplejeloven (lovbekendtgørelse nr. 1257 af 13. oktober 2016) indehol-

der de grundlæggende regler i dansk ret vedrørende bl.a. efterforskning og

retsforfølgning af strafbare forhold.

Retsplejelovens kapitel 67-75 b fastsætter således regler om politiets efter-

forskning af strafbare forhold og om gennemførelsen af tvangsindgreb,

herunder reglerne for anholdelse, varetægtsfængsling, indgreb i meddelel-

seshemmeligheden, legemsindgreb, ransagning, beslaglæggelse, edition og

personundersøgelser. Disse kapitler indeholder ligeledes grundlæggende

straffeprocessuelle regler.

Retsplejeloven indeholder endvidere regler om aktindsigt i domme, ken-

delser og andre dokumenter, der vedrører en straffesag. Udgangspunktet

er, at enhver har ret til aktindsigt i domme og kendelser mv., ligesom den,

der har en individuel, væsentlig interesse i et konkret retsspørgsmål, som

udgangspunkt kan forlange at blive gjort bekendt med dokumenter, der

vedrører en straffesag, herunder indførsler i retsbøgerne, i det omfang do-

kumenterne har betydning for vurderingen af det pågældende retsspørgs-

mål. Herudover indeholder retsplejeloven regler om berigtigelse af retsaf-

gørelser.

Herudover er der i retsplejelovens § 115 bl.a. fastsat regler om, hvornår

politiet kan udveksle oplysninger om enkeltpersoners rent private forhold

til andre myndigheder som led i bl.a. det kriminalitetsforebyggende samar-

bejde (SSP-samarbejdet).

1.3.4. Straffuldbyrdelsesloven

Straffuldbyrdelsesloven (lovbekendtgørelse nr. 1242 af 11. november 2015

med senere ændringer) regulerer fuldbyrdelsen af fængselsstraffe, bøde-

straffe, betingede domme, domme med vilkår om samfundstjeneste og

forvaring.

Straffuldbyrdelsesloven indeholder mulighed for, at myndighederne i en

række tilfælde kan behandle personoplysninger om en dømt person for at

varetage deres opgaver efter loven.

Det er f.eks. tilfældet, hvor kriminalforsorgen træffer afgørelse om valg af

afsoningsinstitution, herunder om anbringelse i åbent eller lukket fængsel,

om overførsel fra åbent til lukket fængsel og om udgang i forbindelse med

afsoning af fængselsstraf.

1.3.5. Politiloven

Politiloven (lovbekendtgørelse nr. 956 af 20. august 2015 om politiets

virksomhed) indeholder bestemmelser om politiets formål og virke samt

politiets opgaver. Endvidere indeholder loven bestemmelser om politiets

indgreb, herunder i forhold til orden og sikkerhed, offentlige forsamlinger

og opløb samt svage og udsatte persongrupper. Loven regulerer herudover

politiets anvendelse af magt og betingelserne for brug af særlige magtmid-

ler samt politiets adgang til at lade foranstaltninger udføre som selvhjælps-

handlinger.

Politiloven forudsætter i en række tilfælde, at politiet foretager behandling

af personoplysninger som led i varetagelsen af de opgaver, der er henlagt

til politiet efter loven. Det kan f.eks. være i forbindelse med gennemførel-

sen af legemsbesigtigelse, frihedsberøvelser, opgaver knyttet til offentlige

forsamlinger og opløb, detentionsanbringelser og anvendelse af magtmid-

ler.

2. Lovforslagets hovedpunkter

2.1. Anvendelsesområde

2.1.1. Gældende ret

2.1.1.1.

Databeskyttelsesdirektivet finder ikke anvendelse på medlemssta-

ternes aktiviteter på det strafferetlige område, jf. artikel 3, stk. 2.

Den generelle EU-retlige regulering af beskyttelse af personoplysninger på

det politi- og strafferetlige område findes i rammeafgørelsen, jf. pkt. 1.3.2.

Rammeafgørelsen finder anvendelse, når der med henblik på at forebygge,

efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyr-

de strafferetlige sanktioner udveksles eller er udvekslet personoplysninger

mellem medlemsstater (enten i form af videregivelse af personoplysninger

eller ved at personoplysninger stilles eller er stillet til rådighed for en an-

den medlemsstat), jf. artikel 1.

Rammeafgørelsen finder endvidere anvendelse, når personoplysninger

udveksles eller er udvekslet mellem på den ene side kompetente myndig-

heder i medlemsstaterne og på den anden side organer eller informations-

systemer inden for EU-samarbejdet, jf. artikel 1, stk. 2.

Rammeafgørelsen tager således sigte på den grænseoverskridende infor-

mationsudveksling i forbindelse med politisamarbejde og retligt samarbej-

de i kriminalsager, og den finder inden for dette område anvendelse på

behandling af personoplysninger, der helt eller delvis foretages elektro-

nisk, samt på ikke-elektronisk behandling af personoplysninger, der er

eller vil blive indeholdt i et register, jf. artikel 1, stk. 3.

Rammeafgørelsen berører ikke væsentlige nationale sikkerhedsinteresser

og specifikke efterretningsaktiviteter vedrørende national sikkerhed, jf.

artikel 1, stk. 4.

2.1.1.2.

Persondataloven gælder generelt for behandling af personoplys-

ninger, der helt eller delvis foretages ved hjælp af elektronisk databehand-

ling, og for ikke-elektronisk behandling af personoplysninger, der er eller

vil blive indeholdt i et register, jf. lovens § 1, stk. 1. Regler om behandling

af personoplysninger i anden lovgivning, som giver den registrerede en

bedre retsstilling, går forud for reglerne i persondataloven, jf. § 2, stk. 1.

Persondataloven gælder således også for de kompetente myndigheders

behandling af personoplysninger.

Det fremgår imidlertid af lovens § 2, stk. 4, at lovens bestemmelser om

oplysningspligt over for den registrerede (kapitel 8), den registreredes ret

til indsigelse, berigtigelse, blokering og sletning af personoplysninger (§§

35-37) og om automatiske afgørelser (§ 39) ikke finder anvendelse på be-

handlinger, der foretages for domstolene, politiet og anklagemyndigheden

inden for det strafferetlige område. Herudover finder lovens regler om den

registreredes ret til indsigt (kapitel 9) ikke anvendelse på behandlinger, der

foretages for domstolene inden for det strafferetlige område.

Det antages, at begrebet "det strafferetlige område" i denne bestemmelses

forstand skal defineres bredt. Begrebet omfatter i hvert fald kerneområdet

af domstolenes samt politiets og anklagemyndighedens virksomhed inden

for strafferetsplejen, dvs. behandling af traditionelle sager, som er under

efterforskning, eller hvor der tages stilling til strafansvar og strafudmåling.

Udover dette kerneområde, er det i praksis antaget, at også politiets og

anklagemyndighedens aktiviteter af mere generel karakter på det strafferet-

lige område kan være omfattet af begrebet.

I medfør af persondataloven har Datatilsynet således bl.a. fundet, at de

behandlingsaktiviteter, der er knyttet til politiets brug af automatisk num-

merpladegenkendelse (ANPG) og til brugen af meddelere, faldt inden for

det strafferetlige område, uanset at der ikke er tale om aktiviteter i tilknyt-

ning til en konkret straffesag.

2.1.2. Retshåndhævelsesdirektivet

Det fremgår af retshåndhævelsesdirektivets artikel 2, at direktivet finder

anvendelse på kompetente myndigheders behandling af personoplysninger

med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafba-

re handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte

mod eller forebygge trusler mod den offentlige sikkerhed.

Det fremgår videre af direktivets artikel 2, stk. 2, at direktivet finder an-

vendelse på behandling af personoplysninger, der helt eller delvist foreta-

ges ved hjælp af automatisk databehandling, og på anden ikke-automatisk

behandling af personoplysninger, der er eller vil blive indeholdt i et regi-

ster.

Det fremgår herudover af direktivets artikel 2, stk. 3, at direktivet ikke

finder anvendelse på behandling af personoplysninger under udøvelse af

aktiviteter, der falder uden for EU-retten, og på behandling foretaget af

EU-institutioner, -organer, -kontorer og -agenturer.

Det fremgår af direktivets præambelbetragtning nr. 12, at de aktiviteter,

der udføres af politiet eller andre retshåndhævende myndigheder, hovedsa-

geligt er fokuseret på at forebygge, efterforske, afsløre eller retsforfølge

strafbare handlinger, herunder politiaktiviteter uden forudgående viden

om, hvorvidt et forhold udgør en strafbar handling eller ej. Sådanne aktivi-

teter kan også omfatte udøvelsen af beføjelser gennem tvangsindgreb som

f.eks. politiaktiviteter i forbindelse med demonstrationer, store sportsbegi-

venheder og uroligheder. De omfatter også opretholdelse af lov og orden

som en opgave, der er overdraget til politiet eller andre retshåndhævende

myndigheder, hvor det er nødvendigt for at beskytte mod og forebygge

trusler mod den offentlige sikkerhed og de ved lov beskyttede grundlæg-

gende samfundsinteresser, som kan føre til en strafbar handling.

Endeligt fremgår det af direktivets artikel 1, stk. 3, at direktivet ikke er til

hinder for, at medlemsstaterne fastsætter højere standarder for beskyttelse

af den registreredes rettigheder. Der er med andre ord tale om et mini-

mumsharmoniseringsdirektiv.

2.1.3. Justitsministeriets overvejelser og lovforslagets udformning

2.1.3.1.

Ved fastlæggelsen af retshåndhævelsesdirektivets anvendelsesom-

råde bør det holdes for øje, at baggrunden for, at der blev foreslået og ved-

taget en særskilt retsakt om de kompetente myndigheders behandling af

personoplysninger til brug for varetagelsen af opgaver knyttet til det straf-

feretlige område, er en følge af de særlige hensyn, der gør sig gældende på

dette område, jf. herved den i pkt. 1.1 beskrevne sammenhæng med data-

beskyttelsesforordningen. I erklæring nr. 21 om beskyttelse af personop-

lysninger inden for retligt samarbejde i straffesager og politisamarbejde,

der er knyttet som bilag til slutakten fra den regeringskonference, der vedt-

og Lissabontraktaten, erkendte konferencen således, at det kunne blive

nødvendigt med specifikke regler om beskyttelse af personoplysninger og

om fri bevægelighed for personoplysninger inden for retligt samarbejde i

straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af

disse områders specifikke karakter.

Retshåndhævelsesdirektivet er udtryk for, at der som angivet i ovennævnte

erklæring er fundet behov for at udforme særligt tilpassede regler for de

kompetente myndigheders behandling af personoplysninger til brug for

løsningen af visse opgaver, hvilket bl.a. indebærer, at en række af de krav

til behandlingen af personoplysninger, rettigheder for de registrerede mv.,

som er fastsat i den generelle databeskyttelsesforordning, jf. punkt 1.1

ovenfor, ikke indgår i retshåndhævelsesdirektivet. Hertil kommer, at val-

get af at regulere området ved et direktiv – frem for ved en forordning, der

er almengyldig, bindende i alle enkeltheder og umiddelbart gyldig i hver

medlemsstat – indebærer, at der i udgangspunktet overlades medlemssta-

terne et større råderum.

Retshåndhævelsesdirektivets anvendelsesområde kan opdeles i forskellige

elementer. Således angår afgræsningen af anvendelsesområdet for det før-

ste spørgsmålet om, hvorvidt der kræves et grænseoverskridende element,

og for det andet, hvilke former for behandling af personoplysninger der er

omfattet.

Anvendelsesområdet afgrænses for det tredje af, hvilke myndigheder der

er omfattet, og for det fjerde af, hvilket formål behandlingen af personop-

lysninger har. Endeligt afgrænses anvendelsesområdet for det femte af EU-

rettens generelle anvendelsesområde.

2.1.3.2.

For så vidt angår spørgsmålet om, hvorvidt der stilles krav om et

grænseoverskridende element, er anvendelsesområdet for retshåndhævel-

sesdirektivet, jf. artikel 2, bredere end for rammeafgørelsen, som alene

finder anvendelse på den grænseoverskridende informationsudveksling i

forbindelse med politisamarbejde og retligt samarbejde i kriminalsager

inden for EU og Schengen-samarbejdet.

Retshåndhævelsesdirektivet finder således anvendelse på både den grænse-

overskridende og den rent nationale behandling af personoplysninger. Det

foreslås på den baggrund, at lovforslagets anvendelsesområde på dette

punkt udformes i overensstemmelse hermed.

2.1.3.3.

Retshåndhævelsesdirektivet finder ligesom persondataloven og

databeskyttelsesdirektivet anvendelse på behandling af personoplysninger,

der helt eller delvist foretages ved hjælp af automatisk databehandling, og

på anden ikke-automatisk behandling af personoplysninger, der er eller vil

blive indeholdt i et register, jf. artikel 2, stk. 2. Det foreslås på den bag-

grund, at lovforslagets anvendelsesområde på dette punkt udformes i over-

ensstemmelse hermed.

2.1.3.4.

For så vidt angår spørgsmålet om, hvilke myndigheder retshånd-

hævelsesdirektivet finder anvendelse på, fremgår det af direktivets artikel

2, at der skal være tale om

kompetente myndigheders

behandling af perso-

noplysninger.

De kompetente retshåndhævende myndigheder defineres i direktivets arti-

kel 3, nr. 7, som enhver offentlig myndighed, der er kompetent med hen-

syn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlin-

ger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og

forebygge trusler mod den offentlige sikkerhed.

Definitionen er således knyttet til forståelsen af begrebet ”strafbare hand-

linger”, jf. pkt. 2.1.3.5 nedenfor. Det fremgår af direktivets præambelbe-

tragtning nr. 13, at en strafbar handling er et selvstændigt EU-retligt be-

greb som fortolket af EU-Domstolen.

Det fremgår af EU-Domstolens praksis, at der i forhold til spørgsmålet om,

hvorvidt en foranstaltning skal betragtes som en straf, skal lægges vægt på

de såkaldte Engels-kriterier, som er fastlagt af Den Europæiske Menneske-

rettighedsdomstol i forhold til spørgsmålet om, hvorvidt en foranstaltning

skal betragtes som en straf omfattet af Den Europæiske Menneskerettig-

hedskonventions artikel 6, jf. bl.a. dom af 8. juni 1976 (i sagen Engels

m.fl. mod Nederlandene), hvor Menneskerettighedsdomstolen anførte, at

der skal lægges vægt på, hvorvidt de bestemmelser, der udgør grundlaget

for forfølgningen, i det pågældende (nationale) retssystem henregnes til

strafferetten eller anses for at være af disciplinærretlig, forvaltningsretlig

eller anden ikke-strafferetlig karakter. Der skal endvidere lægges vægt på

karakteren af den pågældende forseelse, navnlig om der er tale om over-

trædelser af forskrifter, der påhviler bestemte persongrupper, eller overtræ-

delser af almene normer, der gælder for enhver. Endelig skal der lægges

vægt på karakteren og intensiteten af den sanktion, der kan blive tale om at

ikende. Den faktisk ikendte sanktion er således ikke i sig selv afgørende.

I dansk retspleje er det et grundlæggende princip, at bøder og fængsels-

straffe har karakter af strafferetlige sanktioner, som kun kan pålægges ved

domstolene og efter retsplejelovens regler, dvs. som et led i strafferetsplej-

en. Denne procedure sikrer borgernes retssikkerhed, idet domstolsproces-

sen sikrer en effektiv beskyttelse af den sigtede.

Justitsministeriet finder på den baggrund, at de ”kompetente myndigheder”

i direktivets forstand i en dansk kontekst skal udgøres af de myndigheder,

som varetager opgaver inden for strafferetsplejen, dvs. politiet, militærpo-

litiet, anklagemyndigheden, herunder den militære anklagemyndighed,

kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene

(de kompetente myndigheder).

Lovforslagets anvendelsesområde på dette punkt foreslås udformet i over-

ensstemmelse hermed.

Denne afgrænsning af anvendelsesområdet indebærer, at andre myndighe-

ders behandling af oplysninger fra de kompetente myndigheder, f.eks.

kommunernes behandling af oplysninger fra politiet som led i kriminali-

tetsforebyggende samarbejde (SSP-samarbejdet), ikke vil være omfattet af

loven, uanset at også

kommunernes

behandling i princippet er dækket af

lovens anvendelsesområde, f.eks. fordi behandlingen har forebyggelse af

kriminalitet som formål. Tilsvarende vil gælde den behandling af perso-

noplysninger, som foretages af f.eks. Arbejdstilsynet, Finanstilsynet og

Fødevarestyrelsen som led i udstedelsen af administrative bødeforelæg,

idet sådanne sager overgives til politiet, hvis de pågældende ikke ønsker at

vedtage bødeforelægget, hvorefter sagen håndteres inden for strafferets-

plejen.

Disse myndigheders behandling af personoplysninger vil i stedet være

omfattet af de generelle regler i persondataloven og – fra den 25. maj 2018

– databeskyttelsesforordningen.

2.1.3.5.

For så vidt angår spørgsmålet om afgræsningen af anvendelsesom-

rådet i forhold til, hvilket formål behandlingen af personoplysninger har,

fremgår det af direktivets artikel 2, stk. 1, jf. artikel 1, stk. 1, at direktivet

finder anvendelse på behandling af personoplysninger med henblik på at

forebygge, efterforske, afsløre eller retsforfølge

strafbare handlinger

eller

fuldbyrde

strafferetlige sanktioner,

herunder beskytte mod eller forebygge

trusler med den offentlige sikkerhed.

Spørgsmålet om, til hvilket formål behandlingen skal foregå, hænger såle-

des til dels sammen med det ovenfor anførte om afgræsningen i forhold til

de kompetente myndigheder og de særlige hensyn, der ligger bag beslut-

ningen om at underlægge området særskilte databeskyttelsesretlige regler.

Der skal således være tale om aktiviteter, der knytter sig til strafbare hand-

linger, hvilket som nævnt ovenfor i en dansk kontekst er de aktiviteter,

som er omfattet af strafferetsplejen.

Mere specifikt er det Justitsministeriets vurdering, at de forseelser, der i en

dansk kontekst kan føre til en bøde eller fængselsstraf, udgør ”strafbare

handlinger” i direktivets forstand. Det skyldes, at der er tale om overtræ-

delser af generelle retsforskrifter, hvor forfølgningen håndteres i det straf-

feprocessuelle system. Hertil kommer, at en manglende betaling af en bøde

i princippet fører til en forvandlingsstraf i form af fængsel, jf. straffelovens

§ 53.

Direktivet finder imidlertid også anvendelse på aktiviteter, som ikke er

knyttet til en helt konkret strafbar handling. Det fremgår således af præam-

belbetragtning nr. 12, der uddyber definitionen på en kompetent myndig-

hed i artikel 3, nr. 7, at direktivet omfatter politiaktiviteter, der finder sted

uden forudgående viden om, hvorvidt et forhold udgør en strafbar handling

eller ej. Direktivet omfatter således også politiaktiviteter, der retter sig

mod potentielle strafbare forhold, hvilket er et område, der under dansk ret

generelt henføres under politiets ordenshåndhævelsesbeføjelser. Herudover

fremgår det af direktivets præambelbetragtning nr. 12, at direktivet også

omfatter udøvelsen af beføjelser gennem

tvangsindgreb

som f.eks. politi-

aktiviteter i forbindelse med demonstrationer, store sportsbegivenheder og

uroligheder. De omfatter også opretholdelse af lov og orden som en opga-

ve, der er overdraget til politiet eller andre retshåndhævende myndigheder,

hvor det er nødvendigt for at

beskytte mod og forebygge trusler mod den

offentlige sikkerhed

og de ved lov beskyttede grundlæggende samfundsin-

teresser,

som kan føre til en strafbar handling.

Anvendelsesområdet knytter sig således også til

forebyggelse

af strafbare

handlinger, hvilket må antages at omfatte generelle forebyggelsesindsatser,

f.eks. i forhold til færdselskontrol, som ikke – endnu – har forbindelse til

konkrete strafbare forhold. Således vil direktivet også omfatte f.eks. de i

pkt. 2.1.1.2 nævnte behandlingsaktiviteter, der er knyttet til politiets brug

af automatisk nummerpladegenkendelse (ANPG) og til brugen af meddele-

re, uanset at der ikke er tale om aktiviteter i tilknytning til en konkret straf-

fesag.

Rækkevidden af direktivets anvendelsesområde i forhold til kriminal-

forsorgens opgaver på straffuldbyrdelses- og forebyggelsesområdet skal

forstås således, at kriminalforsorgens resocialiseringsindsatser, pro-

gramvirksomhed (anger management, voldsforebyggelse mv.), misbrugs-

behandling og uddannelse er omfattet af direktivet. Almindelige forsorgs-

opgaver i forhold til de indsatte mv., som f.eks. behandling af oplysninger

i forbindelse med administration af mad, lønninger eller gejstlig betjening

vil også være omfattet.

Behandling af helbredsoplysninger er omfattet af direktivets anvendelses-

område i det omfang, at behandlingen har til formål at fuldbyrde strafferet-

lige sanktioner eller forebygge kriminalitet, hvilket f.eks. vil omfatte be-

handling af helbredsoplysninger ved lægetilsyn i forbindelse med magtan-

vendelse og anbringelse i sikringscelle samt psykiske evalueringer eller

diagnosticeringer til brug for vurdering af f.eks. afsoningssted. Behandling

af helbredsoplysninger til andre formål, f.eks. almindelige helbredsfaglige

behandlinger som rensning af sår, diagnosticering, administration af medi-

cin mv., vil derimod falde uden for direktivets anvendelsesområde.

Der vil endvidere være tale om de aktiviteter, som de kompetente myndig-

heder udøver med henblik på at beskytte den offentlige sikkerhed i konkre-

te situationer, f.eks. i forbindelse større varslede og uvarslede hændelser,

samt den mere generelle løbende overvågning af konkrete objekter, der

vurderes at være mulige mål for sikkerhedstrusler mv.

Spørgsmålet om rækkevidden af direktivets anvendelsesområde i forhold

til politiets opgaver forbundet med opretholdelse af lov og orden vil dog

skulle fastlægges nærmere i praksis, idet de kompetente myndigheders

varetagelse af deres opgaver ikke i alle tilfælde entydigt falder inden for

eller uden for dette område. Det må dog kunne lægges til grund, at de dele

af politiets ordenshåndhævelse, der finder sted gennem brug af tvangsind-

greb og som i øvrigt har som umiddelbart sigte at forebygge eller forhindre

trusler mod den offentlige orden, er omfattet af direktivet. Endvidere vil

politiets dispositioner knyttet til ordenshåndhævelse – der generelt må an-

tages at finde sted uden forudgående viden om, hvorvidt et forhold udgør

en strafbar handling eller ej – også anses for at være omfattet af direktivets

anvendelsesområde.

Derimod vil politiets behandling af f.eks. klager over politiets dispositio-

ner – såvel inden for som uden for strafferetsplejen – der finder sted under

iagttagelse af generelle forvaltningsretlige regler, ikke kunne siges at ved-

røre strafbare forhold eller ordensmæssige forhold, og vil derfor ikke være

omfattet af direktivet. Eksempelvis vil politiets besøg og besigtigelse af

konkrete virksomheder, der udøver virksomhed i henhold til konkrete tilla-

delser, f.eks. kampsportsstævner, ikke være at anse som opgaver forbundet

med opretholdelse af lov og orden i direktivets forstand, desuagtet at kon-

trollen udøves af det uniformerede politi.

De kompetente myndigheder behandler en række andre administrative

sager. Politiet behandler f.eks. sager om tilladelser til udøvelse af forskelli-

ge hverv, herunder pantelånere, idrætskontrollører, dørmænd og vagter,

samt tilladelser til afholdelse af forskellige offentlige arrangementer eller

aktiviteter, herunder forlystelser og særtransporter. Ligeledes modtager og

behandler politiet og andre retshåndhævende myndigheder, som andre for-

valtningsmyndigheder, løbende aktindsigtsanmodninger efter offentlig-

hedsloven og forvaltningsloven og vil også fremadrettet skulle behandle

personoplysninger i forbindelse med behandlingen af konkrete anmodnin-

ger om indsigt i henhold til den gældende databeskyttelsesretlige regule-

ring.

Administrative sager af denne art kan ikke antages at have en sådan karak-

ter, der kan føre til, at behandlingen af personoplysninger i disse sager er

omfattet af direktivets anvendelsesområde.

På tilsvarende måde vil behandling af personoplysninger, der finder sted i

forbindelse med de kompetente myndigheders ansættelse af medarbejdere

og den løbende administration af ansættelsesmæssige forhold falde uden

for direktivets anvendelsesområde.

Behandling af personoplysninger i sådanne sager vil i stedet være omfattet

af de generelle regler i persondataloven og – fra den 25. maj 2018 – data-

beskyttelsesforordningen.

I forhold til politiets behandling af personlysninger i forbindelse med vare-

tagelsen af opgaver forbundet med grænsekontrol, kan den del af grænse-

kontrollen, der udøves med henblik på umiddelbart at fastslå, om en per-

son har lovligt indrejse- og opholdsgrundlag, ikke anses for at være omfat-

tet af direktivets anvendelsesområde. Dette skyldes, at formålet med den

behandling af personoplysninger, der finder sted som led i den umiddelba-

re grænsekontrol, ikke vedrører aktuelle eller potentielle strafbare forhold

eller håndhævelsen af lov og orden i direktivets forstand. Derimod vil

f.eks. politiets eventuelle kontrol af, om den pågældende måtte være efter-

søgt af danske eller udenlandske myndigheder med henblik på at fastslå,

om den pågældende skal tilbageholdes mv., indebære en behandling af

personoplysninger med henblik på at understøtte politiets arbejde med at

forebygge, retsforfølge mv. strafbare forhold og dermed falde inden for di-

rektivets anvendelsesområde.

Det bemærkes, at de fælleseuropæiske regelsæt på dette område ofte inde-

holder specifikke databeskyttelsesretlige særregler, der i relevant omfang

vil skulle iagttages parallelt med direktivets – og dermed lovens – regler.

Lovforslagets anvendelsesområde foreslås udformet i overensstemmelse

hermed.

2.1.3.6.

Retshåndhævelsesdirektivet finder ikke anvendelse på aktiviteter,

der falder uden for EU-retten. Det fremgår af artikel 4, stk. 2, i Traktaten

om Den Europæiske Union, at spørgsmålet om den nationale sikkerhed

forbliver den enkelte medlemsstats eneansvar, hvilket også er nævnt i di-

rektivets præambelbetragtning nr. 14.

Det foreslås på den baggrund, at loven – som det er tilfældet for personda-

taloven – ikke skal finde anvendelse på den behandling af personoplysnin-

ger, der foretages for og af politiets og forsvarets efterretningstjenester,

idet denne behandling sker med henblik på varetagelsen af den nationale

sikkerhed.

2.1.3.7.

Retshåndhævelsesdirektivet indeholder en adgang for medlemssta-

terne til at fastsætte højere standarder for beskyttelse af den registreredes

rettigheder.

Det foreslås på den baggrund, at det fastsættes i loven, at regler i anden

lovgivning, som giver den registrerede en bedre retstilling, går forud for

reglerne i lovforslaget. Der sker dermed en videreførelse af den tilsvarende

bestemmelse i persondataloven.

Der henvises i øvrigt til lovforslagets §§ 1 og 2 og bemærkningerne hertil.

2.2. Definitioner

2.2.1. Gældende ret

Databeskyttelsesdirektivet indeholder definitioner af begreberne personop-

lysninger, behandling, register, den registeransvarlige, registerfører, tredje-

mand, modtager og samtykke. Disse definitioner findes tillige i personda-

talovens kapitel 2 (§ 3), idet begreberne den registeransvarlige og register-

fører dog er erstattet af begreberne den dataansvarlige og databehandleren,

ligesom der er tilføjet en definition på begrebet tredjeland.

2.2.2. Retshåndhævelsesdirektivet

Direktivets artikel 3 indeholder definitioner på begreberne personoplysnin-

ger, behandling, begrænsning af behandling, profilering, pseudonymise-

ring, register, kompetent myndighed, dataansvarlig, databehandler, modta-

ger, brud på datasikkerheden, genetiske data, biometriske data, helbredsop-

lysninger, tilsynsmyndighed og international organisation.

2.2.3. Justitsministeriets overvejelser og lovforslagets udformning

Justitsministeriet finder, at hensynet til at sikre, at der ikke kan opstå tvivl

om implementeringen af retshåndhævelsesdirektivets artikel 3 taler for, at

hovedparten af direktivets definitioner indføjes i lovforslaget, og at dette

sker ved, at ordlyden af definitionerne i loven knyttes relativt tæt op ad

direktivteksten.

For at øge overskueligheden foreslås det imidlertid, at enkelte af definitio-

nerne gøres kortere og mere præcise end, hvad der følger af direktivet. Af

tilsvarende årsag foreslås definitionen på begrebet pseudonymisering ikke

medtaget i lovforslaget, idet dette begreb alene indgår i direktivet som et

eksempel på en af de tekniske og organisatoriske foranstaltninger, som

skal iværksættes efter direktivets artikel 20, jf. nærmere herom i pkt. 2.6

nedenfor.

I forlængelse af det ovenfor i pkt. 2.1 nævnte om det foreslåede anvendel-

sesområde for loven foreslås det endvidere, at det i definitionen af begre-

bet kompetente myndigheder eksplicit angives, at de kompetente myndig-

heder i Danmark er politiet, militærpolitiet, anklagemyndigheden, herun-

der den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige

Politiklagemyndighed og domstolene.

Der henvises i øvrigt til lovforslagets § 3 og bemærkningerne hertil.

2.3. Behandlingsregler

2.3.1. Gældende ret

Persondatalovens afsnit II indeholder en række behandlingsregler, som er

relevante i politi- og straffesager i form af regler om formålet med behand-

lingen (§ 5), behandlingsgrundlaget for henholdsvis almindelige og føl-

somme personoplysninger (§§ 6-8), behandling af oplysninger i retsinfor-

mationssystemer af væsentlig samfundsmæssig betydning (§ 9), behand-

ling af personnumre (§ 11). Hertil kommer lovens § 39 om afgørelser, der

alene er truffet på baggrund af elektronisk databehandling.

2.3.1.1.

Det fremgår således af persondatalovens § 5, stk. 1, at oplysninger

skal behandles i overensstemmelse med god databehandlingsskik.

God databehandlingsskik er en retlig standard, som udfyldes af tilsyns-

myndighederne. Begrebet indebærer bl.a., at behandlingen af oplysninger

skal være rimelig og lovlig.

Standarden anses efter praksis fra Datatilsynet for bl.a. at omfatte krav til

den dataansvarlige om forudgående underretning af den registrerede om

visse behandlingsaktiviteter, en pligt til at notere den registreredes indsi-

gelser i forhold til rigtigheden af de registrerede oplysninger og underret-

ning af berørte personer ved brud på datasikkerheden. God databehand-

lingsskik supplerer således navnlig lovens regler om den registreredes ret-

tigheder.

Det fremgår videre af bestemmelsens stk. 2, at indsamling af oplysninger

skal ske til udtrykkeligt angivne og saglige formål, og senere behandling

må ikke være uforenelig med disse formål. Senere behandling af oplysnin-

ger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses

ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Det fremgår desuden af bestemmelsens stk. 3, at oplysninger, som behand-

les, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad

der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og

de formål, hvortil oplysningerne senere behandles.

Det fremgår herudover af bestemmelsens stk. 4, at behandling af oplysnin-

ger skal tilrettelægges således, at der foretages fornøden ajourføring af

oplysningerne. Der skal endvidere foretages den fornødne kontrol for at

sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplys-

ninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes

eller berigtiges.

Persondatalovens § 5, stk. 4, suppleres for så vidt angår grænseoverskri-

dende udveksling af oplysninger af rammeafgørelsesbekendtgørelsens § 9,

stk. 1 og 2. Det fremgår heraf, at den dataansvarlige skal træffe alle rimeli-

ge foranstaltninger til at sikre, at personoplysninger ikke videregives eller

stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I

dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af

personoplysningerne, før de videregives eller stilles til rådighed. I forbin-

delse med al videregivelse af oplysninger skal der så vidt muligt tilføjes

tilgængelige oplysninger, der gør det muligt for den udenlandske myndig-

hed at vurdere, om oplysningerne er rigtige, fuldstændige, ajourførte og

pålidelige.

Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller

at oplysningerne er videregivet ulovligt, meddeles dette straks den uden-

landske myndighed. Oplysningerne skal berigtiges, slettes eller blokeres

omgående, jf. bekendtgørelsens § 9, stk. 2.

Endeligt fremgår det af persondatalovens § 5, stk. 5, at indsamlede oplys-

ninger ikke må opbevares på en måde, der giver mulighed for at identifice-

re den registrerede i et længere tidsrum end det, der er nødvendigt af hen-

syn til de formål, hvortil oplysningerne behandles.

Persondatalovens § 5, stk. 5, suppleres for så vidt angår grænseoverskri-

dende udveksling af oplysninger af rammeafgørelsesbekendtgørelsens § 8.

Det fremgår heraf, at den dataansvarlige skal tilrettelægge behandlingen af

personoplysninger således, at der fastsættes passende frister for sletningen

af personoplysninger eller regelmæssig undersøgelse af behovet for lagrin-

gen af oplysningerne. Det sikres endvidere ved proceduremæssige foran-

staltninger, at tidsfristerne overholdes.

2.3.1.2.

Persondatalovens § 6, stk. 1, indeholder en række sideordnede

grundlag for behandling af almindelige personoplysninger.

Det er ikke alle behandlingsgrundlagene i bestemmelsen, der er relevante

for de kompetente myndigheders behandling af personoplysninger med

henblik på varetagelse af myndighedsopgaver. Disse myndigheder foreta-

ger således i dag behandling af personoplysninger, når den registrerede har

meddelt samtykke hertil (stk. 1, nr. 1), når behandlingen er nødvendig for

at overholde en retlig forpligtelse, som påhviler den dataansvarlige (stk. 1,

nr. 3), når behandlingen er nødvendig for at beskytte den registreredes vi-

tale interesser (stk. 1, nr. 4), når behandlingen er nødvendig af hensyn til

udførelsen af en opgave i samfundets interesse (stk. 1, nr. 5), når behand-

lingen er nødvendig af hensyn til udførelsen af en opgave, der henhører

under offentlig myndighedsudøvelse, som den dataansvarlige er pålagt

(stk. 1, nr. 6), eller når behandling er nødvendig for, at den dataansvarlige

eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en

berettiget interesse og hensynet til den registrerede ikke overstiger denne

interesse (stk. 1, nr. 7).

Det fremgår af persondatalovens § 38, at den registrerede kan tilbagekalde

et samtykke.

Behandlingsgrundlagene er overlappende, og myndighedernes behandling

af personoplysninger vil således ofte ske på flere af de ovennævnte be-

handlingsgrundlag.

2.3.1.3.

Persondatalovens § 7 indeholder regler om behandling af følsom-

me personoplysninger. Det fremgår af bestemmelsens stk. 1, at der som

hovedregel ikke må behandles oplysninger om racemæssig eller etnisk

baggrund, politisk, religiøs eller filosofisk overbevisning, fagforenings-

mæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle

forhold.

Bestemmelsens stk. 2-7 indeholder en række undtagelser til hovedreglen i

stk.1. Det fremgår således af bestemmelsens stk. 6, at behandling af de

følsomme oplysninger, der er nævnt i stk. 1, kan ske, hvis behandlingen er

nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opga-

ver på det strafferetlige område.

Lovens § 7, stk. 6, giver offentlige myndigheder adgang til at behandle

følsomme personoplysninger i straffesager. Bestemmelsen giver således

f.eks. politi og anklagemyndighed mulighed for at registrere oplysninger

om f.eks. race og hudfarve i forbindelse med efterforskningsvirksomhed,

idet disse oplysninger kan være nødvendige identifikationsoplysninger.

Persondatalovens § 7, stk. 6, suppleres for så vidt angår grænseoverskri-

dende udveksling af oplysninger af rammeafgørelsesbekendtgørelsens § 2,

stk. 2. Det fremgår heraf, at behandling af oplysninger om racemæssig

eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fag-

foreningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og

seksuelle forhold efter persondatalovens § 7, stk. 6, ikke må ske, medmin-

dre behandlingen er strengt nødvendig.

Persondatalovens § 8 indeholder særregler om den offentlige forvaltnings

behandling af andre kategorier af følsomme oplysninger end dem, der er

nævnt i § 7, stk. 1. Det fremgår af bestemmelsens stk. 1, at der ikke for den

offentlige forvaltning må behandles oplysninger om strafbare forhold, væ-

sentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1,

nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens

opgaver.

Det fremgår videre af bestemmelsens stk. 2, at der ikke må ske videregi-

velse af sådanne oplysninger, med mindre en af betingelserne i stk. 2, nr.

1-4, er opfyldt.

Det fremgår imidlertid af bestemmelsens stk. 6, at behandling og videregi-

velse efter stk. 1 og 2 kan finde sted, hvis betingelserne i lovens § 7 er op-

fyldt. De kompetente myndigheder vil således også have mulighed for at

behandle oplysninger omfattet af § 8 i straffesager, jf. lovens § 7, stk. 6.

Rammeafgørelsesbekendtgørelsens §§ 3 og 5 indeholder særlige regler om

adgangen til at behandle oplysninger, der er modtaget fra eller stillet til

rådighed af en udenlandsk myndighed.

Det fremgår således af bekendtgørelsens § 3, at sådanne oplysninger kun

må behandles til en række nærmere angivne andre formål end dem, hvortil

de blev videregivet eller stillet til rådighed. Oplysningerne kan anvendes

med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning

af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner i

forbindelse med andre straffelovsovertrædelser eller sanktioner end dem,

hvortil de blev videregivet eller stillet til rådighed, eller andre retlige og

administrative procedurer, som hænger direkte sammen med disse formål.

Behandling kan endvidere ske med henblik på afværgelse af en umiddelbar

og alvorlig trussel mod den offentlige sikkerhed, eller ethvert andet formål

med forhåndsgodkendelse fra den videregivende myndighed eller med den

registreredes samtykke.

Behandling må endvidere ske i historisk, statistisk eller videnskabeligt

øjemed, såfremt oplysningerne gøres anonyme.

Behandlingen må ikke ske i strid med specifikke begrænsninger for be-

handling af videregivne oplysninger fastsat i lovgivningen gældende for

den videregivende udenlandske myndighed, når den videregivende myn-

dighed gør opmærksom på begrænsningerne.

Det fremgår videre af bekendtgørelsens § 5, at personoplysninger, som er

modtaget fra eller stillet til rådighed af en udenlandsk myndighed, kun må

videregives til private, hvis den videregivende udenlandske myndighed har

givet tilladelse til videregivelse i henhold til sin nationale lovgivning og

den registreredes specifikke legitime interesser ikke forhindrer videregi-

velse. Det er endvidere at krav, at videregivelse af oplysninger i særlige

tilfælde er afgørende for den dataansvarlige, der videregiver oplysningerne

til en privat, af hensyn til udførelsen af en opgave, den er blevet pålagt ved

lov, forebyggelse, efterforskning, afsløring eller retsforfølgning af straffe-

lovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, afværgelse

af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed, eller

forebyggelse af alvorlige krænkelser af enkeltpersoners rettigheder.

Den dataansvarlige, der videregiver oplysningerne til en privatperson, ori-

enterer denne om, hvilke formål oplysningerne udelukkende må anvendes

til.

2.3.1.4.

Persondataloven indeholder ikke generelle regler om tidsfrister for

sletning af personoplysninger.

Som nævnt ovenfor i pkt. 2.3.1.1 fremgår det imidlertid af persondata-

lovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en må-

de, der giver mulighed for at identificere den registrerede i et længere tids-

rum end det, der er nødvendigt af hensyn til de formål, hvortil oplysninger-

ne behandles. Reglen suppleres af rammeafgørelsesbekendtgørelsens § 8.

Bestemmelsen indebærer, at den dataansvarlige skal vurdere, hvor længe

oplysningerne skal opbevares, hvilket ofte vil ske gennem generelle slette-

frister.

Persondatalovens § 5, stk. 5, er berørt i forarbejderne til lov nr. 1727 af 27.

december 2016 om ændring af lov om Politiets Efterretningstjeneste

(PET), jf. Folketingstidende 2016-17, A, L 71 som fremsat den 9. novem-

ber 2016.

Det fremgår af lovforslagets pkt. 3.1.2.4.1, at i de situationer, hvor der er

fastsat generelle slettefrister, er det Justitsministeriets opfattelse, at der

ikke af bestemmelsen i persondatalovens § 5, stk. 5, kan udledes en pligt

for en dataansvarlig myndighed til løbende at gennemgå samtlige sine sa-

ger, dokumenter mv. med henblik på at sikre, at der ikke opbevares kon-

krete personoplysninger i strid med persondatalovens § 5, stk. 5, så længe

myndigheden har procedurer, som sikrer, at der sker sletning i overens-

stemmelse med de fastsatte frister.

For så vidt angår personoplysninger i Det Centrale Kriminalregister er der

med hjemmel i persondatalovens § 32, stk. 5, og § 72 fastsat nærmere reg-

ler om bl.a. sletttefristen, jf. bekendtgørelse nr. 881 af 4. juli 2014 om be-

handling af personoplysninger i Det Centrale Kriminalregister (Kriminal-

registeret) som senest ændret ved bekendtgørelse nr. 99 af 26. januar 2017.

2.3.1.5.

Persondatalovens § 9 indeholder regler om personoplysninger,

som behandles i retsinformationssystemer. Det fremgår således af bestem-

melsens stk. 1, at behandling af følsomme oplysninger og oplysninger om

rent private forhold kan ske med henblik på at føre retsinformationssyste-

mer af væsentlig samfundsmæssig betydning, og hvis behandlingen er

nødvendig for førelsen af systemerne.

2.3.1.6.

Persondatalovens § 11 indeholder regler om behandlingen af op-

lysninger om personnummer. Det fremgår af bestemmelsens stk. 1, at of-

fentlige myndigheder kan behandle oplysninger om personnummer med

henblik på en entydig identifikation eller som journalnummer.

2.3.1.7. Persondatalovens § 39 indeholder regler om afgørelser, der alene

er truffet på baggrund af elektronisk databehandling. Efter bestemmelsens

stk. 1 kan der som hovedregel ikke træffes en sådan automatisk afgørelse,

der har retsvirkninger for eller i øvrigt berører den pågældende i væsentlig

grad, hvis den registrerede gør indsigelse herimod.

Bestemmelsens stk. 2 indeholder undtagelser til hovedreglen i stk. 1, her-

under en mulighed for at træffe sådanne afgørelser, hvis det er hjemlet i en

lov, der indeholder bestemmelser til beskyttelse af den registreredes beret-

tigede interesser.

Bestemmelsens stk. 3 indeholder en ret for den registrerede til at blive

gjort bekendt med, hvilke beslutningsregler der ligger bag en sådan auto-

matisk afgørelse.

Bestemmelsen i § 39 finder ikke anvendelse for politiets, anklagemyndig-

hedens og domstolenes behandling af personoplysninger inden for det

strafferetlige område, jf. persondatalovens § 2, stk. 4. Bestemmelsen er så-

ledes alene relevant i forhold til de øvrige kompetente myndigheders be-

handling af personoplysninger.

2.3.2. Retshåndhævelsesdirektivet

Retshåndhævelsesdirektivets kapitel II indeholder regler om principper for

behandling af personoplysninger. Kapitlet indeholder regler om de gene-

relle principper for behandling af personoplysninger (artikel 4), tidsfrister

for opbevaring og revision (artikel 5), krav om sondring mellem forskelli-

ge kategorier af registrerede og personoplysninger samt kontrol med kvali-

teten af personoplysninger (artiklerne 6 og 7), betingelserne for lovlig be-

handling (artiklerne 8-10) og om automatiske individuelle afgørelser (arti-

kel 11).

2.3.2.1.

Det fremgår af direktivets artikel 4, at personoplysninger skal be-

handles lovligt og rimeligt (litra a), indsamles til udtrykkeligt angivne og

legitime formål og ikke behandles på en måde, der er uforenelig med disse

formål (litra b), være tilstrækkelige, relevante og ikke omfatte mere end,

hvad der kræves til opfyldelse af de formål, hvortil de behandles (litra c),

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt

skridt for at sikre, at personoplysninger, der er urigtige i forhold til de for-

mål, hvortil de behandles, straks slettes eller berigtiges (litra d), opbevares

på en sådan måde, at det ikke er muligt at identificere de registrerede i et

længere tidsrum end det, der er nødvendigt til de formål, hvortil de be-

handles (litra e), og behandles på en måde, der sikrer en tilstrækkelig sik-

kerhed for de pågældende personoplysninger, herunder beskyttelse mod

uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse

eller beskadigelse, under anvendelse af passende tekniske eller organisato-

riske foranstaltninger (litra f).

Det fremgår videre af bestemmelsens stk. 2, at behandling, der foretages af

den samme eller en anden dataansvarlig til et andet formål omfattet af arti-

kel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i

det omfang, at den dataansvarlige er bemyndiget til at behandle sådanne

personoplysninger til et sådant formål i overensstemmelse med EU-retten

eller medlemsstaternes nationale ret, og at behandlingen er nødvendig for

og forholdsmæssig i forhold til dette andet formål i overensstemmelse med

EU-retten eller medlemsstaternes nationale ret.

Behandling, der foretages af den samme eller en anden dataansvarlig, kan

omfatte behandling til arkivformål i samfundets interesse eller til viden-

skabelig, statistisk eller historisk brug med henblik på direktivets formål,

forudsat at behandlingen er omfattet af de fornødne garantier for den regi-

streredes rettigheder og frihedsrettigheder, jf. artikel 4, stk. 3.

Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3

overholdes, jf. artikel 4, stk. 4.

2.3.2.2.

Det fremgår af direktivets artikel 5, at der skal fastsættes hensigts-

mæssige tidsfrister for sletning af personoplysninger eller for regelmæssig

revision af behovet for opbevaring af personoplysninger. Det sikres ved

proceduremæssige foranstaltninger, at disse tidsfrister overholdes.

2.3.2.3.

Direktivets artikel 6 og artikel 7, stk. 1, indeholder krav om, at der

skal sondres mellem henholdsvis forskellige kategorier af registrerede og

personoplysninger.

Den dataansvarlige skal, hvor det er relevant og så vidt muligt, klart sondre

mellem personoplysninger om forskellige kategorier af registrerede. Der

skal f.eks. sondres mellem personer, om hvem der er væsentlig grund til at

tro, at de har begået eller vil begå en strafbar handling og ofre for en straf-

bar handling, jf. artikel 6.

Det fremgår af direktivets præambelbetragtning nr. 31, at behandling af

personoplysninger inden for retligt samarbejde i straffesager og politisam-

arbejde i sagens natur indebærer behandling af personoplysninger om for-

skellige kategorier af registrerede. Der bør således, hvis det er relevant og

så vidt muligt, sondres klart mellem personoplysninger om forskellige ka-

tegorier af registrerede såsom mistænkte, personer, der er dømt for en

strafbar handling, ofre og andre parter som f.eks. vidner, personer, der lig-

ger inde med relevante oplysninger eller kontakter, eller mistænktes og

dømte kriminelles ledsagepersoner. Dette bør ikke være til hinder for an-

vendelsen af princippet om uskyldsformodning, som er sikret ved chartret

og ved EMRK, som fortolket i retspraksis ved henholdsvis Domstolen og

Den Europæiske Menneskerettighedsdomstol.

Den dataansvarlige skal endvidere så vidt muligt sondre mellem personop-

lysninger, der bygger på faktiske omstændigheder, og personoplysninger,

der bygger på personlige vurderinger, jf. artikel 7.

Det fremgår af direktivets præambelbetragtning nr. 30, at princippet om

oplysningernes rigtighed bør anvendes under hensyntagen til den pågæl-

dende behandlings karakter og formål. Navnlig i retssager er udsagn, der

indeholder personoplysninger, baseret på en subjektiv opfattelse af fysiske

personer, og det er ikke altid muligt at kontrollere dem. Kravet om oplys-

ningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot

det forhold, at der er fremsat et konkret udsagn.

2.3.2.4.

Direktivets artikel 7, stk. 2 og 3, indeholder regler om de

dataansvarliges pligt til at sikre, at oplysninger, der videregives, er rigtige,

fuldstændige og pålidelige.

De kompetente myndigheder skal således iværksætte alle rimelige tiltag

for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke

ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå

kontrollerer hver kompetent myndighed, så vidt det er praktisk muligt,

kvaliteten af personoplysninger, før disse videregives eller stilles til rådig-

hed. I forbindelse med al videregivelse af personoplysninger skal nødven-

dige oplysninger, der gør det muligt for den modtagende kompetente myn-

dighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuld-

stændige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt

tilføjes.

Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller

at personoplysninger er videregivet ulovligt, skal dette straks meddeles

modtageren. I så fald skal personoplysningerne berigtiges eller slettes,

eller behandling skal begrænses i overensstemmelse med direktivets artikel

16.

2.3.2.5.

Direktivets artikel 8 og 10 indeholder henholdsvis betingelser for

behandling af almindelige oplysninger og særlige kategorier af oplysnin-

ger.

Det fremgår således af direktivets artikel 8, at behandling kun er lovlig,

hvis og i det omfang denne behandling er nødvendig for, at en kompetent

myndighed kan udføre en opgave med henblik på direktivets formål, og

hvis behandlingen sker på grundlag af EU-retten eller national ret.

Efter artikel 10 er behandling af personoplysninger om race eller etnisk

oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagfore-

ningsmæssigt tilhørsforhold samt behandling af genetiske data, biometri-

ske data med det formål entydigt at identificere en fysisk person, helbreds-

oplysninger eller oplysninger om en fysisk persons seksuelle forhold eller

seksuelle orientering kun tilladt, når det er strengt nødvendigt, forudsat at

behandlingen er omfattet af de fornødne garantier for den registreredes

rettigheder og frihedsrettigheder, og kun hvis behandlingen er hjemlet i

EU-retten eller national ret, hvis behandlingen sker for at beskytte den

registreredes eller en anden fysisk persons vitale interesser, eller hvis be-

handlingen vedrører oplysninger, som tydeligvis er offentliggjort af den

registrerede.

Det fremgår af direktivets præambelbetragtning nr. 35, at udførelsen af

opgaverne med at forebygge, efterforske, afsløre eller retsforfølge strafba-

re handlinger, som institutionelt er tillagt de kompetente myndigheder ved

lov, gør det muligt for disse myndigheder at kræve, at fysiske personer

efterlever de anmodninger, der fremsættes. I så fald bør den registreredes

samtykke som defineret i databeskyttelsesforordningen ikke udgøre et rets-

grundlag for de kompetente myndigheders behandling af personoplysnin-

ger. Hvis det kræves, at den registrerede opfylder en retlig forpligtelse, har

den registrerede ikke et reelt og frit valg, hvorfor den registreredes reak-

tion ikke kan anses for at være en frivillig viljetilkendegivelse. Dette bør

ikke forhindre medlemsstaterne i ved lov at fastsætte bestemmelser om, at

den registrerede kan acceptere behandling af vedkommendes personoplys-

ninger med henblik på dette direktiv, som f.eks. DNA-test i strafferetlige

efterforskninger eller elektronisk overvågning af vedkommendes geografi-

ske position ved elektronisk fodlænke med henblik på fuldbyrdelse af

strafferetlige sanktioner.

2.3.2.6.

Direktivets artikel 9 indeholder en regel om særlige betingelser for

behandling.

Personoplysninger, der er indsamlet med henblik på et af direktivets for-

mål, må alene anvendes til andre formål, hvis der er hjemmel hertil i EU-

retten eller national ret, jf. stk. 1.

Efter bestemmelsens stk. 3 skal den videregivende kompetente myndighed,

hvis EU-retten eller national ret fastsætter særlige vilkår for behandling,

underrette modtageren af sådanne personoplysninger om disse vilkår og

kravet om at overholde dem. De kompetente myndigheder må ikke stille

andre vilkår for andre medlemsstater eller EU-agenturer mv. end for andre

nationale myndigheder, jf. stk. 4.

Det fremgår af direktivets præambelbetragtning nr. 36, at når EU-retten el-

ler medlemsstatens nationale ret, der finder anvendelse for den videregi-

vende kompetente myndighed, fastsætter særlige vilkår, der finder anven-

delse under særlige omstændigheder på behandling af personoplysninger,

såsom anvendelse af regler for behandling af oplysninger, skal den videre-

givende kompetente myndighed underrette modtageren af sådanne perso-

noplysninger om disse vilkår og kravet om at opfylde dem. Sådanne vilkår

kunne f.eks. indebære et forbud mod at videregive personoplysninger til

andre, eller at anvende dem til andre formål end dem, på baggrund af hvil-

ke de blev videregivet til modtageren, eller at underrette den registrerede i

tilfælde af en begrænsning af retten til oplysninger uden forudgående god-

kendelse fra den videregivende kompetente myndighed. Disse forpligtelser

bør også finde anvendelse for overførsler fra den videregivende kompeten-

te myndighed til modtagere i tredjelande eller internationale organisatio-

ner.

2.3.2.5.

Direktivets artikel 11 indeholder regler om automatiske individuel-

le afgørelser.

En afgørelse, der alene er baseret på automatisk behandling, herunder pro-

filering, som har negativ retsvirkning for den registrerede eller betydeligt

påvirker den pågældende, er forbudt, medmindre den er hjemlet i EU-ret-

ten eller medlemsstaternes nationale ret, som den dataansvarlige er under-

lagt, og som fastsætter de fornødne garantier for den registreredes rettighe-

der og frihedsrettigheder, i det mindste den registreredes ret til menneske-

lig indgriben fra den dataansvarliges side.

Efter bestemmelsens stk. 2 må sådanne afgørelser ikke baseres på særlige

kategorier af personoplysninger, jf. pkt. 2.3.2.5, medmindre der er indført

passende foranstaltninger til beskyttelse af den registreredes rettigheder og

frihedsrettigheder samt legitime interesser.

Profilering, der fører til forskelsbehandling af fysiske personer på grundlag

af særlige kategorier af personoplysninger, jf. artikel 10, er forbudt i hen-

hold til EU-retten, jf. stk. 3.

2.3.3. Justitsministeriets overvejelser og lovforslagets udformning

2.3.3.1.

Direktivets artikel 4 indeholder de generelle principper for be-

handling af personoplysninger. Principperne svarer i vidt omfang til de

principper, som er indeholdt i persondatalovens § 5, stk. 1-5. Disse prin-

cipper finder allerede i dag anvendelse i forhold til de kompetente myndig-

heder.

Det krav, som findes i direktivets artikel 4, stk. 1, litra f, fremgår ikke af

persondatalovens § 5. Det fremgår af artikel 4, stk. 1, litra f, at personop-

lysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed

for de pågældende personoplysninger, herunder beskyttelse mod uautorise-

ret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller be-

skadigelse, under anvendelse af passende tekniske eller organisatoriske

foranstaltninger. Der er således tale om en henvisning til de tekniske og

organisatoriske foranstaltninger, som skal fastsættes for at overholde kra-

vene i forhold til behandlingssikkerhed. Der findes en næsten tilsvarende

regel i persondatalovens § 41, stk. 3.

Det foreslås på den baggrund, at der i overensstemmelse med retshåndhæ-

velsesdirektivets artikel 4 fastsættes de generelle principper for behandling

af personoplysninger.

Det bemærkes i den forbindelse, at det foreslås, at kravet i direktivets arti-

kel 4, stk. 1, litra a, om, at behandlingen skal være lovlig og rimelig, im-

plementeres på samme måde som persondatalovens implementering af den

tilsvarende bestemmelse i databeskyttelsesdirektivet. Det foreslås således i

lovforslagets § 4, stk. 1, at oplysninger skal behandles i overensstemmelse

med god databehandlingsskik. Dette indebærer, at der – på samme måde

som i dag – vil være tale om en retlig standard, som skal udfyldes af til-

synsmyndighederne. Der videreføres herved en ordning, som er velkendt

for såvel tilsynsmyndighederne som for de omfattede kompetente myndig-

heder.

Direktivets artikel 4, stk. 2, indeholder regler om adgangen for den samme

eller en anden dataansvarlig til at behandle oplysninger til et andet formål

omfattet af direktivet.

Der er tale om en væsentlig bestemmelse, som gør det muligt for de kom-

petente myndigheder at behandle oplysninger til flere forskellige formål.

Det er f.eks. relevant i forhold til den videregivelse af personoplysninger,

som finder sted i forbindelse med en straffesags forløb. Politiet kan således

indsamle oplysninger om en mistænkts telefonnummer i forbindelse med

efterforskningen af et strafbart forhold. Hvis der indledes en straffesag, vil

oplysningen om den (nu) tiltaltes telefonnummer blive videregivet til dom-

stolene til brug for forkyndelse af anklageskrift og indkaldelse til hoved-

forhandling. Hvis den pågældende findes skyldig og idømmes en fængsels-

straf, vil oplysningerne om den (nu) dømtes telefonnummer blive videregi-

vet til kriminalforsorgen til brug for besked om indkaldelse til afsoning.

Det foreslås på den baggrund, at der fastsættes regler om, at senere be-

handling til et andet formål omfattet af loven, kan ske på baggrund af lov,

og hvis det er nødvendigt og forholdsmæssigt i forhold til dette efterføl-

gende formål. Begrebet ”lov” vil i denne forbindelse omfatte enhver eksi-

sterende regulering, der generelt eller konkret hjemler, at behandling kan

finde sted. Dette vil således også omfatte nærværende lov i det omfang en

konkret behandling til et andet formål kan anses for at være hjemlet her-

ved.

Der henvises i øvrigt til lovforslagets §§ 4 og 5 og bemærkningerne hertil.

2.3.3.2.

Direktivets artikel 5 indeholder krav om tidsfrister for sletning og

revision.

Som nævnt ovenfor i pkt. 2.3.1.4 indeholder persondataloven i dag en ge-

nerel regel om, at indsamlede oplysninger ikke må opbevares på en måde,

der giver mulighed for at identificere den registrerede i et længere tidsrum

end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne

behandles.

Direktivets krav om, at den dataansvarlige skal fastsætte tidsfrister for slet-

ning, udgør efter Justitsministeriets opfattelse i vidt omfang en videreførel-

se af gældende ret.

Det foreslås på den baggrund, at der i overensstemmelse med retshåndhæ-

velsesdirektivets artikel 5 fastsættes en regel om, at den dataansvarlige

myndighed skal fastsætte tidsfrister for, hvornår de indsamlede oplysnin-

ger skal slettes. Det sikres herved, at der ikke opstår tvivl om, at der er sket

en korrekt implementering af direktivet.

Der henvises i øvrigt til lovforslagets § 7 og bemærkningerne hertil.

2.3.3.3.

Direktivets artikel 6 og artikel 7, stk. 1, indeholder krav om, at der

skal sondres mellem henholdsvis forskellige kategorier af registrerede og

personoplysninger.

Kravene har efter Justitsministeriets opfattelse til formål at sikre, at den

dataansvarlige anvender en differentieret tilgang til, om behandlingskrave-

ne er opfyldt. En sådan sondring kan således f.eks. være relevant, når den

dataansvarlige skal vurdere, om de indsamlede oplysninger kan anses for

at være korrekte, eller hvornår oplysningerne skal slettes.

Persondataloven indeholder ikke eksplicitte regler om, at de kompetente

myndigheder skal foretage sådanne sondringer. Overholdelsen af de almin-

delige databehandlingsprincipper vil imidlertid efter Justitsministeriets

opfattelse medføre, at der allerede i dag er behov for, at de kompetente

myndigheder, inden en konkret behandling iværksættes, inddrager spørgs-

målet om, hvilken kategori af registreret person der er tale om.

Hertil kommer, at også praksis fra Den Europæiske Menneskerettigheds-

domstol forudsætter, at der i visse sammenhænge skal sondres mellem

forskellige kategorier af registrerede, jf. Domstolens dom af 4. december

2008 (i sagen S og Marper mod Det Forenede Kongerige, sagsnr. 30562).

Domstolene tog i sagen stilling til en ordning i Det Forenede Kongerige,

hvorefter oplysninger fra mistænkte om fingeraftryk, celleprøver og DNA

blev opbevaret uden tidsbegrænsning og uden hensyntagen til, om de på-

gældende efterfølgende blev dømt for et strafbart forhold. Domstolen

fandt, at denne ordning var i strid med Den Europæiske Menneskerettig-

hedskonventions artikel 8 om retten til privatliv, idet Domstolen bl.a. hen-

viste til, at den omstændighed, at mistænktes og dømtes DNA-oplysninger

blev opbevaret på samme måde ikke var i overensstemmelse med princip-

pet om uskyldsformodningen.

Det foreslås på den baggrund, at der i overensstemmelse med retshåndhæ-

velsesdirektivets artikel 6 fastsættes en regel om, at den dataansvarlige

skal sondre mellem forskellige typer af registrerede. Det sikres herved, at

der ikke opstår tvivl om, at der er sket en korrekt implementering af direk-

tivet.

Det foreslås endvidere, at der i forbindelse med den generelle regel om

behandlingsprincipperne fastsættes et krav om, at den dataansvarlige skal

tage hensyn til oplysningernes karakter ved behandlingen.

Der henvises i øvrigt til lovforslagets § 4, stk. 1, og § 8 og bemærkninger-

ne hertil.

2.3.3.4.

Direktivets artikel 7, stk. 2, indeholder regler om de dataansvarli-

ges pligt til at sikre, at oplysninger, der videregives, er rigtige, fuldstændi-

ge og pålidelige, samt et krav om at der ved videregivelsen så vidt mulig

tilføjes nødvendige oplysninger, der gør det muligt for den modtagende

kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er

rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte.

Bestemmelsens stk. 3 indeholder et krav om, at en modtager skal underret-

tes, hvis der er sket videregivelse af urigtige oplysninger, eller at oplysnin-

ger er videregivet ulovligt, hvorefter der skal ske berigtigelse, sletning

eller begrænsning.

Direktivet svarer på dette punkt til rammeafgørelsesbekendtgørelsens § 9,

stk. 1 og 2.

Det foreslås på den baggrund, at der i overensstemmelse med retshåndhæ-

velsesdirektivets artikel 7, stk. 2, fastsættes en regel om den dataansvarli-

ges forpligtelser i forbindelse med videregivelse. Der er som nævnt oven-

for tale om en udvidelse af den forpligtelse, som allerede i dag gælder efter

rammeafgørelsesbekendtgørelsen.

Der henvises i øvrigt til lovforslagets § 4, stk. 5, og bemærkningerne hertil.

2.3.3.5.

Direktivets artikel 8 indeholder et krav om, at medlemsstaterne

skal fastsætte bestemmelser om, at behandling kun er lovlig, hvis og i det

omfang denne behandling er nødvendig for, at en kompetent myndighed

kan udføre en opgave med henblik på at forebygge, efterforske, afsløre

eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktio-

ner, herunder beskytte mod eller forebygge trusler mod den offentlige sik-

kerhed, og at den sker på grundlag af EU-retten eller medlemsstaternes

nationale ret.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 8 fastsættes en regel om, at behandling af oplysninger kun må finde

sted, når behandlingen er nødvendig for at forebygge, efterforske, afsløre

eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktio-

ner, herunder beskytte mod eller forebygge trusler mod den offentlige sik-

kerhed.

Den foreslåede bestemmelse erstatter således de behandlingsgrundlag efter

persondataloven, som de kompetente myndigheder i dag anvender til be-

handling af personoplysninger, herunder behandling af personnumre med

henblik på de formål, som er nævnt i § 1, stk. 1.

Justitsministeriet finder således ikke, at der er behov for, at der i nærvæ-

rende lov indsættes en særlig adgang for de kompetente myndigheder til at

behandle oplysninger om personnummer svarende til persondatalovens §

11.

Hvis de kompetente myndigheder behandler oplysninger om personnum-

mer til et formål, som falder uden for det foreslåede anvendelsesområde

for nærværende lov, vil behandlingen fortsat skulle ske i medfør af person-

datalovens § 11.

De kompetente myndigheder vil – uanset om behandlingen sker i medfør

af nærværende lov eller persondataloven – også fremover skulle overholde

reglerne i CPR-loven, jf. lovbekendtgørelse nr. 5 af 9. januar 2013 om Det

Centrale Personregister med senere ændringer.

Justitsministeriet finder desuden ikke, at der er grundlag for, at de kompe-

tente myndigheder skal behandle oplysninger på grundlag af et samtykke

fra den registrerede, jf. herved henvisningen til direktivets præambelbe-

tragtning nr. 35 i pkt. 2.4.3.5 ovenfor. Et eventuelt samtykke fra den regi-

strerede vil imidlertid kunne indgå i den dataansvarlige myndigheds vurde-

ring af, om en given behandling kan anses for at være nødvendig.

Det bemærkes endvidere, at behandlingen af personoplysninger med hen-

blik på førelse af retsinformationssystemer – som i dag sker efter person-

datalovens § 9 – ikke varetager et formål, der er omfattet af det foreslåede

anvendelsesområde. Behandling af personoplysninger til dette formål vil i

stedet fortsat skulle ske efter persondatalovens § 9 og – fra den 25. maj

2018 – databeskyttelsesforordningen.

Der henvises i øvrigt til lovforslagets § 9 og bemærkningerne hertil.

2.3.3.6.

Direktivets artikel 10 indeholder krav vedrørende behandling af

særlige kategorier af personoplysninger. Der er tale om personoplysninger

om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevis-

ning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske

data, biometriske data med det formål entydigt at identificere en fysisk

person, helbredsoplysninger eller oplysninger om en fysisk persons seksu-

elle forhold eller seksuelle orientering.

De i bestemmelsen oplistede særlige kategorier svarer i vidt omfang til de

særlige kategorier af oplysninger, som er omfattet af databeskyttelsesdi-

rektivets artikel 8, som er implementeret i persondatalovens § 7. Retshånd-

hævelsesdirektivets artikel 10 tilføjer således alene genetiske data samt

biometriske data med det formål entydigt at identificere en fysisk person.

I overensstemmelse med de gældende regler for offentlige myndigheders

behandling af følsomme oplysninger i straffesager, jf. pkt. 2.3.1.3 ovenfor,

foreslås der i lovforslagets § 10 fastsat en regel om, at de kompetente myn-

digheder under overholdelse af betingelserne i loven kan foretage behand-

ling af oplysninger omfattet af stk. 1, når det er strengt nødvendigt med

henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare

handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod

eller forebygge trusler mod den offentlige sikkerhed.

Der er i forhold til behandlingsgrundlaget for almindelige personoplysnin-

ger i den foreslåede § 9 således tale om et skærpet krav til nødvendighe-

den, idet behandlingen for så vidt angår disse særlige kategorier af oplys-

ninger skal være strengt nødvendig. Kravet er desuden skærpet i forhold til

den gældende bestemmelse i persondatalovens § 7, stk. 6.

I praksis vil det dog formentlig ikke være muligt at angive nogen væsentlig

forskel på kriterierne ”nødvendigt” og ”strengt nødvendigt”. Det gælder

således bl.a. i relation til politiets mv. adgang til at behandle de nævnte

typer af følsomme personoplysninger med henblik på kriminalitetsbekæm-

pelse, f.eks. behandling af oplysninger om politisk overbevisning i forbin-

delse med opklaring af et politisk motiveret mord, eller behandling af op-

lysninger om race med henblik på at identificere en gerningsmand.

Persondatalovens § 8 indeholder som nævnt oven for i pkt. 2.3.1.3 et sær-

ligt grundlag for behandling af oplysninger om rent private forhold. Der er

efter Justitsministeriets opfattelse ikke behov for at videreføre dette be-

handlingsgrundlag. Sådanne oplysninger vil således kunne ske efter det

almindelige behandlingsgrundlag, jf. pkt. 2.3.3.5 ovenfor.

Der henvises i øvrigt til lovforslagets § 10 og bemærkningerne hertil.

2.3.3.7.

Direktivets artikel 11 indeholder en bestemmelse om adgangen til

at træffe afgørelser alene på grundlag af automatisk behandling, herunder

profilering.

Persondatalovens § 39 indeholder en bestemmelse om afgørelser, der alene

er truffet på baggrund af elektronisk databehandling. Bestemmelsen finder

imidlertid ikke anvendelse på politiets, anklagemyndighedens og domsto-

lenes behandling af personoplysninger inden for det strafferetlige område.

De myndigheder, som er omfattet af lovforslagets anvendelsesområde,

træffer ikke i dag afgørelser alene på grundlag af automatisk behandling.

Det bemærkes i den forbindelse, at der ved lov nr. 372 af 14. april 2014

om ændring af færdselsloven (Indførelse af betinget objektivt ansvar for

ejer (bruger) af et motorkøretøj for visse hastighedsovertrædelser) blev

indført en bestemmelse i færdselslovens § 118 c, hvorefter ejeren (bruge-

ren) af køretøjet blev pålagt et objektivt bødeansvar for hastighedsover-

skridelser, der var konstateret ved automatisk trafikkontrol (ATK).

Det fremgår af lovforslaget (Folketingstidende 2013-14, A, L 74 som

fremsat den 14. november 2013), pkt. 4.1.3, at der ved en hastighedsmå-

ling, der er foretaget med ATK, sker en manuel vurdering af de enkelte

billeder i forhold til, om måling og kvalitet er tilstrækkelig til, at der kan

indledes en straffesag.

Det kan imidlertid ikke udelukkes, at den teknologiske udvikling vil føre

til, at der i fremtiden kan optages fotos med ATK af en sådan kvalitet, at

en manuel vurdering ikke vil være nødvendig, hvorefter en afgørelse om,

at der skal indledes en straffesag – i første omgang i form af et bødefore-

læg – i princippet kan ske alene på baggrund af automatisk databehand-

ling. Der kan med andre blive tale om, at bødeforelægget automatisk sen-

des til ejeren (brugeren) af køretøjet.

Det foreslås på den baggrund i lovforslagets § 11, at der fastsættes en be-

stemmelse om, at der kan træffes automatiske afgørelser, såfremt der fin-

des passende foranstaltninger for at sikre den registreredes interesser, her-

under en adgang for den registrerede til en kræve en menneskelig indgri-

ben fra den dataansvarliges side. Det vil i ovennævnte eksempel indebære,

at en ejer, der har modtaget en afgørelse om, at den pågældende ifalder

bødeansvar efter en hastighedsmåling med ATK, vil kunne kræve, at poli-

tiet foretager en manuel vurdering af det eller de optagne fotos, og at poli-

tiet på den baggrund tager stilling til, om der skal indledes en straffesag.

De afgørelser, som i givet fald vil være omfattet af bestemmelsen, vil alene

være myndighedsafgørelser i forvaltningslovens forstand, dvs. udtalelser,

der går ud på at fastsætte, hvad der er eller skal være ret i et foreliggende

tilfælde, idet automatiske afgørelser ikke vil blive truffet af domstolene.

Der henvises i øvrigt til lovforslagets § 11 og bemærkningerne hertil.

2.4. Den registreredes rettigheder

2.4.1. Gældende ret

2.4.1.1.

Som nævnt ovenfor i pkt. 1.3.1 gælder persondataloven generelt

for de kompetente myndigheders behandling af personoplysninger. Lovens

bestemmelser om oplysningspligt over for den registrerede (kapitel 8), og

den registreredes ret til indsigelse, berigtigelse, blokering og sletning af

personoplysninger (§§ 35-37) finder dog ikke anvendelse på behandlinger,

der foretages for domstolene, politiet og anklagemyndigheden inden for

det strafferetlige område. Herudover finder lovens regler om den registre-

redes ret til indsigt (kapitel 9) ikke anvendelse på behandlinger, der foreta-

ges for domstolene inden for det strafferetlige område.

Som nævnt ovenfor i pkt. 1.3.2 finder persondatalovens kapitel 9 om den

registreredes indsigtsret og § 37 om berigtigelse mv. anvendelse for så vidt

angår de kompetente myndigheders behandling af personoplysninger, der

udveksles eller stilles til rådighed mellem en dansk og en udenlandsk myn-

dighed i forbindelse med politisamarbejde og retligt samarbejde i krimi-

nalsager inden for Den Europæiske Union og Schengen-samarbejdet, jf.

rammeafgørelsesbekendtgørelsens § 2.

2.4.1.2.

Det fremgår af persondatalovens § 28, stk. 1, at den dataansvarlige

eller dennes repræsentant ved indsamling af oplysninger hos den registre-

rede skal give den registrerede meddelelse om den dataansvarliges og den-

nes repræsentants identitet, formålene med den behandling, hvortil oplys-

ningerne er bestemt, og alle yderligere oplysninger, der under hensyn til de

særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nød-

vendige for, at den registrerede kan varetage sine interesser. Som eksemp-

ler på sådanne yderligere oplysninger nævnes i stk. 1 kategorierne af mod-

tagere, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål

samt mulige følger af ikke at svare, og om reglerne om indsigt i og om

berigtigelse af de oplysninger, der vedrører den registrerede. Bestemmel-

sen i stk. 1 gælder ikke, hvis den registrerede allerede er bekendt med dis-

se oplysninger, jf. stk. 2.

Det fremgår videre af persondatalovens § 29, stk. 1, at hvor oplysninger

ikke er indsamlet hos den registrerede, påhviler det den dataansvarlige

eller dennes repræsentant ved registreringen, eller hvor de indsamlede op-

lysninger er bestemt til videregivelse til tredjemand, senest når videregi-

velsen af oplysningerne finder sted, at give den registrerede meddelelse

om den dataansvarliges og dennes repræsentants identitet, formålene med

den behandling, hvortil oplysningerne er bestemt, og alle yderligere oplys-

ninger, der under hensyn til de særlige omstændigheder, hvorunder oplys-

ningerne er indsamlet, er nødvendige for, at den registrerede kan varetage

sine interesser. Som eksempler på sådanne yderligere oplysninger nævnes i

stk. 1 hvilken type oplysninger det drejer sig om, kategorierne af modtage-

re og om reglerne om indsigt i og om berigtigelse af de oplysninger, der

vedrører den registrerede. Bestemmelsen i stk. 1 gælder ikke, hvis den

registrerede allerede er bekendt med disse oplysninger, hvis registreringen

eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fast-

sat i henhold til lov, eller hvis underretning af den registrerede viser sig

umulig eller er uforholdsmæssigt vanskelig, jf. stk. 2 og 3.

Persondatalovens § 30 indeholder regler om, hvornår der kan gøres undta-

gelse fra §§ 28 og 29. Det fremgår således af bestemmelsens stk. 1, at be-

stemmelserne i § 28, stk. 1, og § 29, stk. 1, ikke gælder, hvis den registre-

redes interesse i at få kendskab til oplysningerne findes at burde vige for

afgørende hensyn til private interesser, herunder hensynet til den pågæl-

dende selv.

Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1, kan tillige

gøres, hvis den registreredes interesse i at få kendskab til oplysningerne

findes at burde vige for afgørende hensyn til offentlige interesser, herunder

navnlig til statens sikkerhed (nr. 1), forsvaret (nr. 2), den offentlige sikker-

hed (nr. 3), forebyggelse, efterforskning, afsløring og retsforfølgning i

straffesager eller i forbindelse med brud på etiske regler for lovregulerede

erhverv (nr. 4), væsentlige økonomiske eller finansielle interesser hos en

medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og

skatteanliggender (nr. 5), og kontrol-, tilsyns- eller reguleringsopgaver,

herunder opgaver af midlertidig karakter, der er et led i den offentlige

myndighedsudøvelse på de i nr. 3-5 nævnte områder (nr. 6).

2.4.1.3.

Persondatalovens §§ 31-34 indeholder regler om den registreredes

indsigtsret.

Det fremgår således af persondatalovens § 31, at når en person fremsætter

begæring herom, skal den dataansvarlige give den pågældende meddelelse

om, hvorvidt der behandles oplysninger om vedkommende. Behandles

sådanne oplysninger, skal der på en let forståelig måde gives den registre-

rede meddelelse om, hvilke oplysninger der behandles, behandlingens for-

mål, kategorierne af modtagere af oplysningerne og tilgængelig informa-

tion om, hvorfra disse oplysninger stammer.

Den dataansvarlige skal snarest besvare begæringer som nævnt i stk. 1. Er

begæringen ikke besvaret inden 4 uger efter modtagelsen, skal den

dataansvarlige underrette den pågældende om grunden hertil, samt om,

hvornår afgørelsen kan forventes at foreligge, jf. stk. 2.

Persondatalovens § 32 indeholder en række undtagelser til indsigtsretten

efter § 31. Det fremgår således af bestemmelsens stk. 1, at retten til indsigt

ikke gælder, hvis betingelserne i § 30 er opfyldt, jf. ovenfor i pkt. 2.4.1.2.

Det fremgår videre af bestemmelsens stk. 3, at der ikke er ret til indsigt i

oplysninger, der behandles for domstolene, hvis oplysningerne indgår i

tekst, som ikke foreligger i endelig form. Dette gælder dog ikke, hvis op-

lysningerne er videregivet til en tredjemand. Der er ikke ret til indsigt i

voteringsprotokoller og andre referater af domstolenes rådslagning samt

materiale udarbejdet af domstolene til brug for rådslagningen.

Bestemmelsen i § 31, stk. 1, finder heller ikke anvendelse, hvis oplysnin-

gerne udelukkende behandles i videnskabeligt øjemed, eller hvor oplysnin-

gerne kun opbevares i form af personoplysninger i det tidsrum, som kræ-

ves for at udarbejde statistikker, jf. stk. 4.

Det fremgår desuden af bestemmelsens stk. 5, at for behandling af oplys-

ninger på det strafferetlige område, der foretages for den offentlige forvalt-

ning, kan justitsministeren fastsætte undtagelser fra retten til at få oplys-

ninger efter § 31, stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved §

30, må antages at medføre, at begæringer om ret til indsigt i almindelighed

må afslås.

Justitsministeren har anvendt bemyndigelsesbestemmelsen i lovens § 32,

stk. 5, til ved bekendtgørelse at gøre undtagelse fra indsigtsretten. Det føl-

ger således af § 13 i bekendtgørelse nr. 1776 af 16. december 2015 om po-

litiets anvendelse af automatisk nummerpladegenkendelse (ANPG), at ind-

sigtsretten ikke finder anvendelse i forhold til oplysninger, der behandles i

ANPG-systemet. Tilsvarende følger det af § 13, stk. 1, i bekendtgørelse nr.

921 af 2. juli 2010 om behandling af personoplysninger i Politiets Efter-

forskningsstøtte Database (PED), at indsigtsretten som udgangspunkt ikke

finder anvendelse i forhold til oplysninger behandlet i PED.

Det fremgår herudover af persondatalovens § 33, at en registreret person,

der har fået meddelelse efter § 31, stk. 1, ikke har krav på ny meddelelse

før 6 måneder efter sidste meddelelse, medmindre der godtgøres en særlig

interesse heri.

Endeligt fremgår det af persondatalovens § 34, at meddelelser i henhold til

§ 31, stk. 1, på begæring skal gives skriftligt. I tilfælde, hvor hensynet til

den registrerede taler derfor, kan meddelelse dog gives i form af en mundt-

lig underretning om indholdet af oplysningerne.

Retsplejelovens kapitel 66 indeholder regler om sigtede personers mv.

adgang til materiale, som er tilvejebragt af politiet i forbindelse med straf-

feretlig forfølgning. Retsplejeloven indeholder endvidere regler om aktind-

sigt i domme, kendelser og andre dokumenter, der vedrører en straffesag.

Udgangspunktet er, at enhver har ret til aktindsigt i domme og kendelser

mv., ligesom den, der har en individuel, væsentlig interesse i et konkret

retsspørgsmål, som udgangspunkt kan forlange at blive gjort bekendt med

dokumenter, der vedrører en straffesag, herunder indførsler i retsbøgerne, i

det omfang dokumenterne har betydning for vurderingen af det pågælden-

de retsspørgsmål. Herudover indeholder retsplejeloven regler om berigti-

gelse af retsafgørelser.

2.4.1.4.

Persondatalovens §§ 35 og 37 indeholder regler om den registrere-

des ret til indsigelse, berigtigelse, blokering og sletning af personoplysnin-

ger.

Det fremgår således af § 35, at den registrerede til enhver tid over for den

dataansvarlige kan gøre indsigelse mod, at oplysninger om vedkommende

gøres til genstand for behandling. Hvis indsigelsen efter stk. 1 er berettiget,

må behandlingen ikke længere omfatte de pågældende oplysninger, jf. stk.

Det fremgår videre af persondatalovens § 37, at den dataansvarlige skal

berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildle-

dende eller på lignende måde er behandlet i strid med lov eller bestemmel-

ser udstedt i medfør af lov, hvis en registreret person fremsætter anmod-

ning herom.

Det fremgår af retsplejelovens § 221, stk. 1, at retten til enhver tid i em-

beds medfør eller ifølge begæring kan berigtige skrivefejl, som er indløbet

i henseende til ord, navne eller tal, blotte regnefejl samt sådanne fejl og

forglemmelser, som alene vedrører udfærdigelsens form. Øvrige fejl og

forglemmelser kan berigtiges, hvis parterne ikke udtaler sig herimod.

Retten kan også, når begæring derom fremkommer inden ankefristens ud-

løb, og efter at der er givet parterne og i straffesager tillige forsvareren

lejlighed til at ytre sig derom, berigtige den i afgørelsen af en borgerlig sag

indeholdte fremstilling af parternes mundtlige angivelser og ytringer eller

den i afgørelsen af en straffesag indeholdte fremstilling af sagens faktiske

sammenhæng, for så vidt fremstillingen erkendes at lide af fejl, bestående i

forbigåelser, uklarheder eller modsigelser, men derimod ikke i øvrigt fore-

tage forandringer enten i begrundelsen eller resultatet. Beslutning angåen-

de slige berigtigelser træffes, og meddelelse om dem sker efter de samme

regler, som gælder for den oprindelige afgørelse, jf. retsplejelovens § 221,

stk. 2.

2.4.2. Retshåndhævelsesdirektivet

Direktivets kapitel III indeholder regler om oplysninger, der stilles til rå-

dighed eller gives til den registrerede (artikel 13), den registreredes ind-

sigtsret og begrænsninger heraf (artiklerne 14 og 15), retten til berigtigelse,

sletning og begrænsning af behandling (artikel 16) samt generelle regler

om udøvelsen af disse rettigheder (artiklerne 17 og 18).

2.4.2.1.

Efter direktivets artikel 13 skal den dataansvarlige som minimum

stille en række nærmere angivne oplysninger til rådighed for den registre-

rede, herunder identitet på og kontaktoplysninger for den dataansvarlige,

kontaktoplysninger for en eventuel databeskyttelsesrådgiver og formålene

med den behandling, som personoplysningerne skal bruges til.

Det fremgår af direktivets præambelbetragtning nr. 42, at dette kan ske på

den kompetente myndigheds websted.

Den dataansvarlige skal herudover i særlige tilfælde give den registrerede

yderligere en række oplysninger, for at vedkommende kan udøve sine ret-

tigheder, herunder retsgrundlaget for behandlingen og det tidsrum, hvor

personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de

kriterier, der anvendes til at fastlægge dette tidsrum, jf. herved nærmere

direktivets artikel 13, stk. 2.

Der kan efter artikel 13, stk. 3, i visse situationer ske udsættelse, begræns-

ning eller afskæring af meddelelse af oplysninger til de registrerede. Det

kan ske for at undgå, at der lægges hindringer i vejen for officielle eller

retlige undersøgelser, efterforskninger eller procedurer, undgå at skade

forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af

strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, beskyt-

te den offentlige sikkerhed, beskytte statens sikkerhed eller beskytte andres

rettigheder og frihedsrettigheder. Efter bestemmelsens stk. 4 kan der fast-

sættes nærmere regler om de kategorier af behandling, som helt eller delvis

er omfattet af stk. 3.

2.4.2.2.

Den registrerede har efter artikel 14 ret til at få den dataansvarliges

bekræftelse på, om personoplysninger vedrørende den pågældende be-

handles, og i givet fald adgang til personoplysningerne og en række nær-

mere angivne oplysninger, herunder formålene med og retsgrundlaget for

behandlingen og de berørte kategorier af personoplysninger.

Det fremgår af direktivets præambelbetragtning nr. 43, at en fysisk person

bør have ret til indsigt i oplysninger, der er indsamlet om vedkommende,

og til let og med rimelige mellemrum at udøve denne ret med henblik på at

forvisse sig om og kontrollere en behandlings lovlighed. Enhver registreret

bør derfor navnlig have ret til at kende og blive underrettet om de formål,

hvortil oplysningerne behandles, perioden, hvor oplysningerne behandles,

og modtagerne af oplysningerne, herunder sådanne i tredjelande. Når så-

dan en underretning omfatter meddelelse om personoplysningernes oprin-

delse, bør oplysningerne ikke afsløre identiteten på fysiske personer, navn-

lig fortrolige kilder. Med henblik på overholdelse af denne ret er det til-

strækkeligt, at den registrerede er i besiddelse af et fuldstændigt resumé af

disse oplysninger i en letforståelig form, det vil sige en form, der giver den

pågældende registrerede mulighed for at blive opmærksom på disse oplys-

ninger og kontrollere, at de er korrekte og behandlet i overensstemmelse

med dette direktiv, så det er muligt for den pågældende at udøve de rettig-

heder, der tilkommer vedkommende i henhold til dette direktiv. Et sådant

resumé kan have form af en kopi af de personoplysninger, der behandles.

Den registreredes ret til indsigt kan efter omstændighederne begrænses

efter artikel 15 for at undgå, at der lægges hindringer i vejen for officielle

eller retlige undersøgelser, efterforskninger eller procedurer, undgå at ska-

de forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af

strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, beskyt-

te den offentlige sikkerhed, beskytte statens sikkerhed, eller beskytte an-

dres rettigheder og frihedsrettigheder. Efter bestemmelsens stk. 2 kan der

fastsættes nærmere regler om de kategorier af behandling, som helt eller

delvis er omfattet af stk. 1.

Efter artikel 15, stk. 3, skal den dataansvarlige i de i stk. 1 og 2 omhandle-

de tilfælde uden unødig forsinkelse give den registrerede skriftlig meddel-

else om ethvert afslag på indsigt i personoplysninger eller begrænsning af

indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan

meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for

et af formålene i stk. 1. Den dataansvarlige skal underrette den registrerede

om muligheden for at indgive en klage til en tilsynsmyndighed eller ad-

gangen til retsmidler.

Den dataansvarlige skal dokumentere den faktiske eller retlige begrundel-

se, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for til-

synsmyndighederne, jf. stk. 4.

2.4.2.3.

Det fremgår af direktivets artikel 16, stk. 1, at den registrerede har

ret til at få urigtige personoplysninger om sig selv berigtiget af den

dataansvarlige uden unødig forsinkelse. Den registrerede skal under hen-

syntagen til formålene med behandlingen have ret til at få fuldstændiggjort

ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende

erklæring.

Det fremgår af direktivets præambelbetragtning nr. 47, at retten til berigti-

gelse imidlertid ikke bør berøre eksempelvis indholdet af et vidneudsagn.

Den dataansvarlige skal slette personoplysninger uden unødig forsinkelse,

og den registrerede skal have ret til at få personoplysninger om sig selv

slettet af den dataansvarlige uden unødig forsinkelse, hvis behandling

overtræder de bestemmelser, der vedtages i henhold til artikel 4 (behand-

lingsprincipper), 8 (behandling af almindelige oplysninger) eller 10 (be-

handling af særlige kategorier af oplysninger), eller hvis personoplysnin-

ger skal slettes for at overholde en retlig forpligtelse, som den dataansvar-

lige er underlagt, jf. artikel 16, stk. 2.

Det fremgår videre af bestemmelsens stk. 3, at i stedet for sletning begræn-

ser den dataansvarlige behandlingen, hvis rigtigheden af personoplysnin-

gerne bestrides af den registrerede og deres rigtighed eller urigtighed ikke

kan konstateres, eller personoplysningerne skal bevares som bevismiddel.

Hvis behandling er begrænset som følge af, at rigtigheden af personoplys-

ningerne bestrides af den registrerede og deres rigtighed eller urigtighed

ikke kan konstateres, underretter den dataansvarlige den registrerede her-

om, inden begrænsningen af behandling ophæves.

Det fremgår af direktivets præambelbetragtning nr. 47, at en fysisk person

også bør have ret til begrænsning af behandlingen, hvis vedkommende

bestrider personoplysningers rigtighed, og det ikke kan konstateres, om

oplysningerne er rigtige eller ej, eller hvis personoplysningerne skal beva-

res som bevismiddel. I stedet for at slette personoplysninger bør behand-

ling navnlig begrænses, hvis der i et konkret tilfælde er rimelig grund til at

tro, at sletning vil kunne påvirke den registreredes legitime interesser. I så

fald bør begrænsede oplysninger kun behandles til det formål, der gjorde,

at de ikke blev slettet. Metoderne til at begrænse behandlingen af perso-

noplysninger kan bl.a. omfatte, at udvalgte oplysninger flyttes til et andet

behandlingssystem, f.eks. til arkivformål, eller at udvalgte oplysninger

gøres utilgængelige. I automatiske registre bør behandling i princippet

begrænses ved hjælp af tekniske hjælpemidler. Det forhold, at behandlin-

gen af personoplysningerne er begrænset, bør angives i registret på en så-

dan måde, at det tydeligt fremgår, at behandlingen af personoplysningerne

er begrænset. En sådan berigtigelse eller sletning af personoplysninger

eller begrænsning af behandling bør meddeles de modtagere, hvortil oplys-

ningerne er videregivet, og de kompetente myndigheder, hvorfra de urigti-

ge oplysninger stammer. Den dataansvarlige bør også afstå fra yderligere

udbredelse af sådanne oplysninger.

Efter bestemmelsens stk. 4 skal den dataansvarlige give den registrerede

skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af per-

sonoplysninger eller begrænsning af behandling og om begrundelsen for

afslaget.

Forpligtelsen til at give sådanne oplysninger kan i visse situationer helt

eller delvist begrænses for at undgå, at der lægges hindringer i vejen for

officielle eller retlige undersøgelser, efterforskninger eller procedurer,

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsfor-

følgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige

sanktioner, beskytte den offentlige eller statens sikkerhed og beskytte an-

dres rettigheder og frihedsrettigheder. Den dataansvarlige skal underrette

den registrerede om muligheden for at indgive klage til en tilsynsmyndig-

hed eller adgangen til retsmidler.

Den dataansvarlige skal meddele berigtigelse af urigtige personoplysnin-

ger til den kompetente myndighed, hvorfra de urigtige oplysninger stam-

mer, jf. bestemmelsens stk. 5.

Endeligt fremgår det af bestemmelsens stk. 6, at den dataansvarlige skal

underrette modtagerne, hvis personoplysningerne er blevet berigtiget eller

slettet eller behandlingen er blevet begrænset, jf. stk. 1, 2 og 3, og at mod-

tagerne skal berigtige eller slette personoplysningerne eller begrænse be-

handling af personoplysninger, som de har ansvaret for.

2.4.2.4.

Direktivets artikel 12 indeholder en række regler om, hvordan den

dataansvarlige skal behandle anmodninger fra den registrerede, herunder

om hvordan de ovennævnte oplysninger og meddelelser skal gives, samt

om udøvelsen af den registreredes rettigheder.

Det fremgår af stk. 1, at den dataansvarlige skal iværksætte rimelige tiltag

for at give enhver oplysning som omhandlet i artikel 13 og enhver meddel-

else som omhandlet i artikel 11, 14-18 og 31 om behandling til den regi-

strerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og

enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herun-

der ved hjælp af elektroniske midler. Som hovedregel skal den dataansvar-

lige give oplysningerne i samme form som anmodningen.

Den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i

medfør af artikel 11 og 14-18, jf. artikel 12, stk. 2.

Efter bestemmelsens stk. 3 skal den dataansvarlige give den registrerede

skriftlig meddelelse om opfølgningen på dennes anmodning uden unødig

forsinkelse.

Det fremgår videre af bestemmelsens stk. 4, at de oplysninger, der gives i

medfør af artikel 13, og enhver meddelelse og enhver foranstaltning, der

træffes i henhold til artikel 11, 14-18 og 31, er gratis. Hvis anmodninger

fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gen-

tages, kan den dataansvarlige enten opkræve et rimeligt gebyr under hen-

syntagen til de administrative omkostninger ved at give oplysninger eller

meddelelser eller træffe den ønskede foranstaltning, eller afvise at efter-

komme anmodningen. Bevisbyrden for, at anmodningen er åbenbart

grundløs eller overdreven, påhviler den dataansvarlige.

Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af

den fysiske person, der fremsætter en anmodning som omhandlet i artikel

14 eller 16, anmode om de yderligere oplysninger, der er nødvendige for at

bekræfte den registreredes identitet, jf. stk. 5.

Efter direktivets artikel 17, stk. 1, kan den registrerede udøve sine rettighe-

der efter artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, gennem

den kompetente tilsynsmyndighed.

Den dataansvarlige skal underrette den registrerede om dennes mulighed

for at udøve sine rettigheder gennem tilsynsmyndigheden, jf. artikel 17,

stk. 2.

Efter artikel 17, stk. 3, skal tilsynsmyndigheden i givet fald som minimum

underrette den registrerede om, at tilsynsmyndigheden har foretaget den

nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden underretter

også den registrerede om dennes adgang til retsmidler.

Det fremgår endeligt af direktivets artikel 18, at medlemsstaterne kan fast-

sætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i

artikel 13, 14 og 16, skal gennemføres i henhold til medlemsstaternes na-

tionale ret, når personoplysningerne er indeholdt i en retsafgørelse eller et

terforskninger og straffesager.

Det fremgår af direktivets præambelbetragtning nr. 49, at hvis personop-

lysningerne behandles under en strafferetlig efterforskning og strafferets-

sag, bør medlemsstaterne kunne fastsætte bestemmelser om, at udøvelsen

af retten til oplysninger, indsigt i og berigtigelse eller sletning af personop-

lysninger og begrænsning af behandling skal udføres i henhold til de natio-

nale retsplejeregler.

2.4.3. Justitsministeriets overvejelser og lovforslagets udformning

2.4.3.1.

Direktivets artikel 13 indeholder regler om de oplysninger, som

den dataansvarlige skal stille til rådighed for eller meddele den registrere-

de.

Persondatalovens regler om oplysningspligt over for den registrerede fin-

der ikke anvendelse for politiets, anklagemyndighedens og domstolenes

behandling af personoplysninger på det strafferetlige område. Heller ikke

rammeafgørelsesbekendtgørelsen indeholder en sådan forpligtelse for disse

myndigheder.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 13, stk. 1, fastsættes en regel om, at den dataansvarlige skal stille de

oplysninger, der er nævnt i direktivet, til rådighed for den registrerede.

Den dataansvarliges forpligtelse til at stille oplysninger til rådighed kan

f.eks. opfyldes ved at gøre oplysningerne tilgængelige på den kompetente

myndigheds hjemmeside eller gennem trykt materiale, som er tilgængeligt

for de registrerede.

Det foreslås endvidere, at der i overensstemmelse med direktivets artikel

13, stk. 2 og 3, fastsættes regler om, at den dataansvarlige i særlige tilfælde

skal give den registrerede meddelelse om de oplysninger, der er nævnt i

direktivets artikel 13, stk. 2, med mindre der foreligger en af de grunde,

der er nævnt i direktivets artikel 13, stk. 3.

Der henvises i øvrigt til lovforslagets § 13 og bemærkningerne hertil.

2.4.3.2.

Direktivets artikel 14 indeholder regler om den registreredes ind-

sigtsret.

Persondatalovens regler om den registreredes indsigtsret finder anvendelse

for de kompetente myndigheder med undtagelse af domstolene, som dog

er omfattet heraf for så vidt angår behandling, der er omfattet af rammeaf-

gørelsesbekendtgørelsen.

Den dataansvarlige er forpligtet til at give den registrerede flere oplysnin-

ger efter retshåndhævelsesdirektivet end efter persondatalovens regler.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 14 fastsættes en regel om, at den dataansvarlige efter anmodning fra

den registrerede skal give den pågældende de oplysninger, der er nævnt i

direktivet.

Direktivets artikel 15 indeholder regler om begrænsning af indsigtsretten.

Reglerne svarer i vidt omfang til de gældende regler i persondataloven,

idet hensynet til den registrerede selv dog ikke efter direktivet kan begrun-

de en begrænsning.

Efter Justitsministeriets opfattelse vil det imidlertid være hensigtsmæssigt,

hvis det også fremover er muligt for den dataansvarlige at begrænse ind-

sigtsretten af hensyn til den registrerede selv, hvilket navnlig kan være

relevant for de registrerede, som har berøring med kriminalforsorgen. En

sådan udvidelse af adgang til at begrænse indsigtsretten er efter Justitsmi-

nisteriets opfattelse i overensstemmelse med direktivet, idet der er tale om

udvidelse af beskyttelsen af den registreredes rettigheder, jf. direktivets

artikel 1, stk. 3.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 15 fastsættes en regel om, at indsigtsretten kan begrænses af de

grunde, der er nævnt i direktivet med den ovennævnte tilføjelse.

Direktivets artikel 18 giver mulighed for, at medlemsstaterne kan bestem-

me, at udøvelsen af bl.a. indsigtsretten kan ske gennem de nationale rets-

plejeregler. Retsplejelovens regler om adgangen til indsigt i retsafgørelser

indeholder efter Justitsministeriets opfattelse de rettigheder, som fremgår

af direktivets artikel 14. Det foreslås på den baggrund, at den registreredes

anmodning om indsigt i oplysninger om den pågældende i retsafgørelser

skal ske efter retsplejelovens regler.

Der henvises i øvrigt til lovforslagets § 15, § 16 og § 18, stk. 3, og be-

mærkningerne hertil.

2.4.3.3.

Retshåndhævelsesdirektivets artikel 16 indeholder regler om den

registreredes ret til berigtigelse, sletning og begrænsning af behandling.

Persondatalovens regler om den registreredes ret til indsigelse, berigtigel-

se, blokering og sletning af personoplysninger finder ikke anvendelse for

politiets, anklagemyndighedens og domstolenes behandling af personop-

lysninger i straffesager. Persondatalovens § 37 om berigtigelse mv. finder

dog anvendelse i forhold til den behandling, som er omfattet af rammeaf-

gørelsesbekendtgørelsen, jf. bekendtgørelsens § 2, stk. 4.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 16 fastsættes en regel om, at den dataansvarlige efter anmodning fra

den registrerede skal berigtige eller slette oplysninger om den pågældende,

eller – hvis de grunde, der er nævnt i direktivet, er opfyldt – begrænse be-

handlingen heraf. Af de grunde, som er nævnt ovenfor i pkt. 2.4.3.2 fore-

slås det endvidere, at udøvelsen af retten til berigtigelse mv. i forhold til

personoplysninger i retsafgørelser skal ske efter retsplejelovens regler.

Der henvises i øvrigt til lovforslagets § 15 og § 17, og § 18, stk. 3, og be-

mærkningerne hertil.

2.4.3.4.

Direktivets artikel 12 indeholder en række generelle regler om den

registreredes udøvelse af sine rettigheder og om formen for de meddelel-

ser, som den dataansvarlige skal give til den registrerede.

Direktivets artikel 12, stk. 2, indeholder et krav om, at den dataansvarlige

skal lette udøvelsen af den registreredes rettigheder i medfør af artikel 11

og 14-18.

Det foreslås på den baggrund, at der fastsættes et krav om, at den

dataansvarlige skal lette udøvelsen af den registreredes rettigheder. Det vil

f.eks. kunne ske ved, at den dataansvarlige udarbejder en særlig blanket,

som den registrerede kan gøre brug af.

Direktivets artikel 12, stk. 3, indeholder et krav om, at den dataansvarlige

skal give den registrerede skriftlig meddelelse om opfølgningen på dennes

anmodning uden unødig forsinkelse.

Reglen er i vidt omfang sammenfaldende med persondatalovens § 31, stk.

2, om den dataansvarliges forpligtelser i forhold til behandlingen af en

indsigtsanmodning, hvor der er fastsat en frist på 4 uger, inden for hvilken

den dataansvarlige skal besvare anmodningen eller underrette den registre-

rede om grunden til en manglende besvarelse. Denne ordning er efter Ju-

stitsministeriets opfattelse i overensstemmelse med direktivets krav om

meddelelse uden unødigt ophold, og den gældende ordning foreslås på den

baggrund videreført.

Direktivets artikel 12, stk. 4, indeholder et krav om, at meddelelser mv.

skal være gratis, og en mulighed for, at den dataansvarlige kan afvise eller

opkræve gebyr for behandlingen anmodninger, som er åbenbart grundløse

eller overdrevne, især fordi de gentages.

Den foreslåede ordning indeholder ikke en mulighed for at opkræve gebyr,

hvorfor meddelelser mv. vil være gratis for de registrerede. I forhold til

spørgsmålet om håndteringen af åbenlyst grundløse eller overdrevent gen-

tagne anmodninger er det efter Justitsministeriets opfattelse mest hensigts-

mæssigt at give de dataansvarlige myndigheder mulighed for at afvise så-

danne anmodninger. En sådan ordning vil således i praksis være en videre-

førelse af persondatalovens § 33.

Persondataloven indeholder forskellige krav til, hvordan den dataansvarli-

ge skal give meddelelser efter loven til den registrerede, herunder et krav

om, at den dataansvarlige skal give meddelelser til den registrerede som

følge af den pågældendes udøvelse af sin indsigtsret på en letforståelig

måde. En del af de krav, som følger af direktivet må således anses for alle-

rede at følge af gældende ret.

For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket en korrekt

implementering af direktivet, foreslås det imidlertid, at der i overensstem-

melse med direktivets artikel 12 fastsættes de krav til meddelelsernes form

mv., som følger af direktivet.

Det bemærkes i den forbindelse, at de kompetente myndigheders kommu-

nikation med borgere også på dette område kan ske ved hjælp af offentlig

Digital Post i overensstemmelse med reglerne i lovbekendtgørelse nr. 801

af 13. juni 2016 om Digital Post fra offentlige afsendere.

Der henvises i øvrigt til lovforslagets §§ 18 og 19 og bemærkningerne her-

til.

2.5. Forpligtelser for den dataansvarlige og databehandleren

2.5.1. Gældende ret

2.5.1.1.

Persondatalovens regler om den dataansvarliges og databehandle-

rens forpligtelse til at træffe tekniske og organisatoriske sikkerhedsforan-

staltninger og kravene i forbindelse med den dataansvarliges overladelse af

en behandling af personoplysninger til en databehandler er knyttet til reg-

lerne om behandlingssikkerhed, jf. pkt. 2.6.1 nedenfor.

2.5.1.2.

Persondataloven indeholder ikke krav om, at den dataansvarlige

skal føre fortegnelser over eller foretage logning af behandlingsaktiviteter.

Justitsministeren har imidlertid med hjemmel i persondatalovens § 41, stk.

5, udstedt bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstalt-

ninger til beskyttelse af personoplysninger, som behandles for den offentli-

ge forvaltning (sikkerhedsbekendtgørelsen), og bekendtgørelse nr. 535 af

15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplys-

ninger, som behandles for domstolene (sikkerhedsbekendtgørelsen for

domstolene), som indeholder regler om logning.

Det fremgår således af § 19, jf. § 2, stk. 2, i sikkerhedsbekendtgørelsen, at

der skal foretages maskinel registrering (logning) af alle anvendelser af

fortrolige personoplysninger. Registreringen skal mindst indeholde oplys-

ning om tidspunkt, bruger, type af anvendelse og angivelse af den person,

de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Log-

gen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder

med et særligt behov kan opbevare loggen i op til 5 år.

Det fremgår videre af bestemmelsens stk. 2, at stk. 1 ikke finder anvendel-

se for personoplysninger, som indgår i tekstbehandlingsdokumenter og

lignende, der ikke foreligger i endelig form. Det samme gælder sådanne

dokumenter, som foreligger i endelig form, hvis der sker sletning inden for

en af den dataansvarlige myndighed nærmere fastsat kortere frist.

Bestemmelsen i stk. 1 finder heller ikke anvendelse, hvis behandlingen af

personoplysninger udelukkende sker ved afvikling af programmer, som

foretager en forud defineret massebehandling af personoplysninger (batch-

kørsler). Der skal dog foretages maskinel logning af bruger og tidspunkt

for behandlingen, jf. stk. 3.

Bestemmelsen i stk. 1 finder endvidere ikke anvendelse, hvis behandlingen

af personoplysningerne udelukkende sker med henblik på statistiske eller

videnskabelige undersøgelser, og identifikationsoplysningerne forinden

enten er krypteret eller erstattet med et kodenummer eller lignende. Der

skal dog foretages maskinel logning af bruger og tidspunkt for behandlin-

gen, jf. stk. 4.

Bestemmelsen i stk. 1 finder endelig ikke anvendelse for personoplysnin-

ger, som i form af måle- eller analyseresultater automatisk lagres i medico-

teknisk udstyr. Undtagelsen omfatter tillige personoplysninger, som manu-

elt registreres i medicoteknisk udstyr til supplering af automatisk lagrede

oplysninger, jf. stk. 5.

Sikkerhedsbekendtgørelsen for domstolene indeholder i § 19 regler svaren-

de til de ovennævnte regler i sikkerhedsbekendtgørelsens § 19, stk. 1, 2 og

Rammeafgørelsesbekendtgørelsens § 10 indeholder et krav om, at den

dataansvarlige med henblik på at kontrollere, om databehandlingen er lov-

lig, samt med henblik på at udøve egenkontrol og sikre integritet og sik-

kerhed skal registrere eller dokumentere hver videregivelse af personop-

lysninger.

Registreringen eller dokumentationen skal bl.a. indeholde oplysninger om,

til hvilke organer der er blevet eller kan være blevet videregivet eller stillet

personoplysninger til rådighed ved hjælp af datakommunikationsudstyr, og

hvilke personoplysninger der er indlæst i edb-systemerne, hvornår og af

hvem.

Registreringer, der foretages, eller dokumentation, der udarbejdes, videre-

gives til Datatilsynet på dennes anmodning med henblik på kontrol af data-

beskyttelsen. For domstolenes vedkommende sker videregivelsen til Dom-

stolsstyrelsen. Datatilsynet og Domstolsstyrelsen anvender kun disse op-

lysninger med henblik på kontrol af databeskyttelsen og med henblik på at

sikre en korrekt databehandling og dataenes integritet og sikkerhed, jf. §

10, stk. 2.

2.5.1.3.

Persondataloven indeholder ikke et krav om, at den dataansvarlige

skal udarbejde konsekvensanalyser eller foretage forudgående høring af

tilsynsmyndigheden.

Persondatalovens kapitel 12 (§§ 43-47) indeholder dog regler om anmel-

delse af behandlinger, der foretages for den offentlige forvaltning, til til-

synsmyndigheden, jf. pkt. 2.6.1.2 nedenfor.

2.5.1.4.

Spørgsmålet om fælles dataansvarlige er ikke direkte reguleret i

persondataloven. Det følger imidlertid af definitionen af begrebet ”den

dataansvarlige” i persondatalovens § 3, nr. 4, at dette kan være en fysisk

eller juridisk person, offentlig myndighed institution eller ethvert andet

organ, der alene eller

sammen med andre

afgør, til hvilket formål og med

hvilke virkemidler der må foretages behandling af oplysninger.

Spørgsmålet om fordelingen af ansvar og forpligtelser for de fælles

dataansvarliges er ikke reguleret direkte i gældende ret. I sager, hvor Data-

tilsynet har accepteret et fælles dataansvar, har tilsynet imidlertid lagt til

grund, at der skal foreligge klare retningslinjer og instruktionsbeføjelser

for så vidt angår behandlingen af oplysninger. Herudover skal de registre-

rede kunne gøre deres rettigheder efter persondatalovens kapitel III, såsom

retten til indsigt, oplysninger mv., gældende over for enhver af de fælles

dataansvarlige.

2.5.2. Retshåndhævelsesdirektivet

2.5.2.1.

Direktivets artikel 19 indeholder regler om den dataansvarliges

pligter. Det fremgår således af bestemmelsens stk. 1, at den dataansvarlige

under hensyntagen til behandlingens karakter, omfang, sammenhæng og

formål samt risiciene af varierende sandsynlighed og alvor for fysiske per-

soners rettigheder og frihedsrettigheder skal gennemføre passende tekniske

og organisatoriske foranstaltninger for at sikre og for at være i stand til at

påvise, at behandling er i overensstemmelse med direktivet. Disse foran-

staltninger skal om nødvendigt revideres og ajourføres.

Det fremgår videre af bestemmelsens stk. 2, at hvis det står i rimeligt for-

hold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet

i stk. 1, omfatte den dataansvarliges implementering af passende databe-

skyttelsespolitikker.

Direktivets artikel 20 indeholder nærmere regler om databeskyttelse gen-

nem design og gennem standardindstillinger. Det fremgår af bestemmel-

sens stk. 1, at den dataansvarlige under hensyntagen til det aktuelle tekni-

ske niveau, implementeringsomkostningerne og den pågældende behand-

lings karakter, omfang, sammenhæng og formål samt risiciene af varieren-

de sandsynlighed og alvor for fysiske personers rettigheder og frihedsret-

tigheder, som behandlingen indebærer, både på tidspunktet for fastlæggel-

se af midlerne til behandling og på tidspunktet for selve behandlingen skal

gennemføre passende tekniske og organisatoriske foranstaltninger, såsom

pseudonymisering, som er designet med henblik på effektiv implemente-

ring af databeskyttelsesprincipper, såsom dataminimering, og med henblik

på integrering af de fornødne garantier i behandlingen for at opfylde kra-

vene i dette direktiv og beskytte de registreredes rettigheder.

Det fremgår videre af artikel 20, stk. 2, at den dataansvarlige skal gennem-

føre passende tekniske og organisatoriske foranstaltninger med henblik på

gennem standardindstillinger at sikre, at kun personoplysninger, der er

nødvendige til hvert specifikt formål med behandlingen, behandles. Denne

forpligtelse gælder den mængde personoplysninger, der indsamles, og om-

fanget af deres behandling samt deres opbevaringsperiode og tilgængelig-

hed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger

sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles

til rådighed for et ubegrænset antal fysiske personer.

Direktivets artikel 21 indeholder regler om fælles dataansvarlige. Hvis to

eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpe-

midlerne til behandling, er de fælles dataansvarlige. De fastsætter på en

gennemsigtig måde deres respektive ansvar for overholdelse af dette direk-

tiv, navnlig hvad angår udøvelsen af den registreredes rettigheder og deres

respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i

artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det om-

fang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller med-

lemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordnin-

gen udpeges kontaktpunktet for de registrerede.

Medlemsstaterne har herudover adgang til at fastsætte forskellige regler

om ordningen for fælles dataansvarlige.

2.5.2.2.

Direktivets artikel 22 indeholder regler om databehandleren.

Den dataansvarlige må udelukkende benytte databehandlere, der kan stille

de fornødne garantier for, at de vil gennemføre de passende tekniske og

organisatoriske foranstaltninger på en sådan måde, at behandlingen opfyl-

der kravene i dette direktiv og sikrer beskyttelse af den registreredes rettig-

heder, jf. stk. 1.

Databehandlerens behandling skal ske på baggrund af en skriftlig kontrakt

eller et andet bindende retsgrundlag, som skal fastsætte den dataansvarli-

ges pligter og rettigheder, herunder at den dataansvarlige kun må handle på

instruks fra den dataansvarlige og på forskellige måder skal bistå den

dataansvarlige med at overholde reglerne om den registreredes rettigheder

mv., jf. nærmere herom i direktivets artikel 22, stk. 3.

En databehandlers anvendelse af en anden databehandler skal ske på bag-

grund af en skriftlig aftale, og i visse situationer skal databehandleren un-

derrette den dataansvarlige om, at der anvendes andre databehandlere, jf.

nærmere herom i direktivets artikel 22, stk. 2.

Agerer en databehandler som en dataansvarlig, dvs. fastsætter formål med

og hjælpemidler til behandling, omfattes databehandleren af reglerne om

de dataansvarlige, jf. artikel 22, stk. 5.

Databehandleren og enhver, der udfører arbejde for den dataansvarlige

eller databehandleren, og som har adgang til personoplysninger, må kun

behandle disse oplysninger efter instruks fra den dataansvarlige, medmin-

dre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret,

jf. direktivets artikel 23.

2.5.2.3.

Direktivets artikel 24 indeholder regler om fortegnelser over be-

handlingsaktiviteter.

Den dataansvarlige skal føre fortegnelser over alle kategorier af behand-

lingsaktiviteter under deres ansvar. Direktivet indeholder en liste over de

oplysninger, som fortegnelserne skal indeholde, herunder navn på og kon-

taktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles

dataansvarlige og databeskyttelsesrådgiveren, formålene med behandlin-

gen, og en angivelse af retsgrundlaget for behandlingsaktiviteten, herunder

overførsler, hvortil personoplysningerne er bestemt, jf. nærmere herom i

direktivets artikel 24, stk. 1. På tilsvarende måde skal databehandlere føre

fortegnelser, som skal indeholde en række oplysninger, som knytter sig til

databehandlerens funktion, jf. nærmere herom i direktivets artikel 24, stk.

Efter direktivets artikel 25, stk. 1, skal der som minimum foretages logning

af følgende former for behandlingsaktiviteter i automatiske databehand-

lingssystemer: indsamling, ændring, søgning, videregivelse, herunder

overførsel, samkøring og sletning. Logning af søgning og videregivelse

skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for

sådanne aktiviteter og i videst muligt omfang identifikation af den person,

som har søgt eller videregivet personoplysninger, og identiteten på modta-

gerne af sådanne personoplysninger.

Det fremgår videre af bestemmelsens stk. 2, at loggene udelukkende an-

vendes til at kontrollere, om behandling er lovlig, til egenkontrol, til at

sikre integriteten og sikkerheden af personoplysningerne og i forbindelse

med straffesager.

Det fremgår endeligt af bestemmelsens stk. 3, at den dataansvarlige og

databehandleren efter anmodning stiller loggene til rådighed for tilsyns-

myndigheden.

Det fremgår af direktivets præambelbetragtning nr. 57, at der som mini-

mum bør ske logning af aktiviteter i automatiske databehandlingssystemer

såsom indsamling, ændring, søgning, videregivelse, herunder overførsel,

samkøring eller sletning. Navnet på den person, som har søgt eller videre-

givet personoplysninger, bør logges, og herudfra bør det være muligt at

fastlægge begrundelsen for behandlingsaktiviteterne. Loggene bør udeluk-

kende anvendes til at kontrollere, om databehandlingen er lovlig, til egen-

kontrol, til at sikre dataintegriteten og datasikkerheden og i forbindelse

med straffesager. Egenkontrol omfatter også kompetente myndigheders

interne disciplinærsager.

Direktivets artikel 63, stk. 2 og 3, indeholder særlige regler om anvendel-

sestidspunktet for direktivets artikel 25 om logning. Det fremgår således af

artikel 63, stk. 2, at medlemsstaterne i ekstraordinære tilfælde, og hvis det

er uforholdsmæssigt vanskeligt, kan fastsætte bestemmelser om, at auto-

matiske behandlingssystemer, der er indført før den 6. maj 2016, skal brin-

ges i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.

Det fremgår videre af bestemmelsens stk. 3, at en medlemsstat under ek-

straordinære omstændigheder kan bringe et automatisk behandlingssystem

som omhandlet i stk. 2 i overensstemmelse med artikel 25, stk. 1, inden for

en nærmere angivet periode efter den 6. maj 2023, hvis det i modsat fald

ville forårsage alvorlige vanskeligheder for driften af det pågældende auto-

matiske behandlingssystem. Medlemsstaten meddeler Kommissionen årsa-

gerne til disse alvorlige vanskeligheder og årsagerne til den angivne perio-

de, inden for hvilken den bringer det pågældende automatiske behand-

lingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne perio-

de må under ingen omstændigheder være senere end den 6. maj 2026.

Fortegnelserne, som skal foreligge skriftligt, herunder elektronisk, og log-

gene skal stilles til rådighed for tilsynsmyndigheden, jf. artikel 24, stk. 2,

og artikel 25, stk. 3, ligesom den dataansvarlige og databehandleren i øv-

rigt skal samarbejde med tilsynsmyndigheden, jf. artikel 26.

2.5.2.4.

Direktivets artikel 27 og 28 indeholder regler om henholdsvis kon-

sekvensanalyser og forudgående høring af tilsynsmyndigheden.

Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør

af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil inde-

bære en høj risiko for fysiske personers rettigheder og frihedsrettigheder,

skal den dataansvarlige forud for behandlingen foretage en analyse af de

påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af perso-

noplysninger, jf. direktivets artikel 27, stk. 1.

Analysen skal mindst omfatte en generel beskrivelse af de planlagte be-

handlingsaktiviteter, en vurdering af risiciene for de registreredes rettighe-

der og frihedsrettigheder de foranstaltninger, der påtænkes for at imødegå

disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan

sikre beskyttelse af personoplysninger og påvise overholdelse af dette di-

rektiv, under hensyntagen til de registreredes og andre berørte personers

rettigheder og legitime interesser, jf. bestemmelsens stk. 2.

Det fremgår af direktivets præambelbetragtning nr. 58, at konsekvensana-

lyser bør omfatte behandlingsaktiviteters relevante systemer og processer,

men ikke enkeltsager.

Efter direktivets artikel 28 skal den dataansvarlige eller databehandleren

høre tilsynsmyndigheden inden behandling af personoplysninger, der vil

indgå som en del af et nyt register, der skal oprettes, såfremt en konse-

kvensanalyse vedrørende databeskyttelse, jf. artikel 27, viser, at behandlin-

gen vil føre til en høj risiko i mangel af foranstaltninger truffet af den

dataansvarlige for at begrænse risikoen, eller den type behandling, navnlig

ved brug af nye teknologier, mekanismer eller procedurer, indebærer en

høj risiko for de registreredes rettigheder og frihedsrettigheder. Tilsyns-

myndigheden skal kunne fastsætte en liste over de behandlingsaktiviteter,

hvor der skal ske forudgående høring, jf. bestemmelsens stk. 3.

Den dataansvarlige skal i forbindelse med høringen stille konsekvensana-

lysen og efter anmodning andre nødvendige oplysninger til rådighed for

tilsynsmyndigheden, jf. artikel 28, stk. 4.

Hvis tilsynsmyndigheden finder, at den planlagte behandling overtræder

de bestemmelser, der vedtages i henhold til direktivet, navnlig hvis den

dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen,

skal tilsynsmyndigheden inden for en periode på op til seks uger efter

modtagelsen af anmodningen om høring give den dataansvarlige og, hvor

det er relevant, databehandleren skriftlig rådgivning og kan i den forbin-

delse anvende enhver af sine beføjelser. 6-ugers perioden kan forlænges

med en måned under hensyntagen til den påtænkte behandlings kompleksi-

tet. Tilsynsmyndigheden giver underretning om og begrunder enhver så-

dan forlængelse senest en måned efter modtagelse af anmodningen om

høring, jf. direktivets artikel 28, stk. 5.

Det fremgår af direktivets præambelbetragtning nr. 96, at hvis en behand-

ling overholder den EU-ret, der er gældende inden datoen for direktivets

ikrafttræden, bør kravene i dette direktiv om forudgående høring af tilsyns-

myndigheden ikke finde anvendelse på de behandlingsaktiviteter, der alle-

rede var iværksat på denne dato, idet disse krav i sagens natur skal opfyl-

des forud for behandlingen.

Direktivets artikel 28, stk. 2, indeholder herudover en regel om høring af

tilsynsmyndigheden ved udarbejdelse af lovforslag og lignende, jf. nærme-

re om tilsynsmyndigheden i pkt. 2.9.2 nedenfor.

Endelig indeholder direktivets artikel 48 et krav om, at kompetente myn-

digheder skal indføre effektive mekanismer, som tilskynder til fortrolig

indberetning af overtrædelser af direktivet.

2.5.3. Justitsministeriets overvejelser og lovforslagets udformning

Der er ikke i gældende ret en eksplicit og overordnet bestemmelse om den

dataansvarliges ansvar. I stedet følger den dataansvarliges ansvar implicit

af, at den dataansvarlige har retten til at disponere og bestemme over de

pågældende personoplysninger og derfor også er ansvarlig for overholdel-

se af databeskyttelsesretten ved behandling af personoplysninger. Dette

følger endvidere implicit af de krav og forpligtelser, som den dataansvarli-

ge er underlagt efter gældende ret.

2.5.3.1.

Direktivets artikel 19 indeholder krav om, at den dataansvarlige

skal gennemføre passende tekniske og organisatoriske foranstaltninger for

at sikre og for at være i stand til at påvise, at behandling er i overensstem-

melse med direktivet. Der kan være tale om foranstaltninger, som er desig-

net til eller gennem standardindstillinger opfylder disse krav, jf. direktivets

artikel 20.

Retshåndhævelsesdirektivet indeholder således i princippet en nyskabelse

på dette punkt, idet de tekniske og organisatoriske foranstaltninger, som de

dataansvarlige i dag er forpligtede til at træffe, er knyttet til spørgsmålet

om behandlingssikkerheden.

De gældende regler om behandlingssikkerhed må imidlertid i vidt omfang

anses for at dække den forpligtelse, som følger af direktivets artikel 19,

idet direktivet dog indeholder en særskilt forpligtelse til, at de trufne foran-

staltninger skal gøre den dataansvarlige i stand til at påvise, at direktivet

overholdes.

Persondataloven indeholder ikke bestemmelser, som specifikt kræver data-

beskyttelse gennem design eller databeskyttelse gennem standardindstillin-

ger.

Persondatalovens § 41, stk. 3, forpligter imidlertid den dataansvarlige og

databehandleren til at beskytte mod, at oplysninger hændeligt eller ulovligt

tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkom-

mendes kendskab, misbruges eller i øvrigt behandles i strid med personda-

taloven.

Persondataloven fastsætter ingen nærmere tidsmæssig ramme for, hvornår

foranstaltningerne skal være truffet. Foranstaltningerne vil dog som ud-

gangspunkt altid skulle forberedes eller implementeres forud for, at be-

handlingen påbegyndes. Datatilsynets praksis indeholder eksempler på, at

persondatalovens behandlingsbetingelser og sikkerhedskrav skal iagttages

ved indretningen af digitale løsninger.

Direktivets krav om databeskyttelse gennem design eller databeskyttelse

gennem standardindstillinger må på den baggrund helt overordnet anses

for at være en videreførelse af gældende ret.

Det bemærkes i den forbindelse, at kravet om databeskyttelse gennem de-

sign og standardindstillinger efter Justitsministeriets opfattelse ikke stiller

krav om, at eksisterende systemer skal redesignes. Kravene er således ale-

ne relevante i forhold til udvikling og design af fremtidige systemer.

For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket en korrekt

implementering af direktivet, foreslås det, at der i overensstemmelse med

direktivets artikel 19 fastsættes et eksplicit krav om, at den dataansvarlige

skal gennemføre de fornødne tekniske og organisatoriske foranstaltninger,

og at dette kan ske gennem databeskyttelse gennem design eller standar-

dindstillinger.

Der henvises i øvrigt til lovforslagets § 20 og bemærkningerne hertil.

2.5.3.2.

Direktivets artikel 21 giver mulighed for, at flere dataansvarlige

kan være fælles dataansvarlige.

Der er som nævnt ovenfor i pkt. 2.5.1.4 allerede i dag mulighed for, at fle-

re dataansvarlige kan have et fælles dataansvar. Direktivets krav må derfor

anses for at være en videreførelse af gældende ret.

Det foreslås på den baggrund, at der fastsættes en regel, hvorefter der i

overensstemmelse med direktivets artikel 21 kan være fælles dataansvarli-

ge.

Det bemærkes i den forbindelse, at kravet om, at de fælles dataansvarlige

skal udpege et kontaktpunkt, kan opfyldes ved at udpege den eller de

dataansvarliges databeskyttelsesrådgiver som kontaktpunkt.

Der henvises i øvrigt til lovforslagets § 21 og bemærkningerne hertil.

2.5.3.3.

Direktivets artikel 22 indeholder regler om databehandleren og om

kravene til det retlige forhold mellem den dataansvarlige og databehandle-

ren.

Der stilles efter gældende ret de samme krav til databehandleren som til

den dataansvarlige i forhold til de fornødne tekniske og organisatoriske

foranstaltninger, jf. nedenfor i pkt. 2.6.1.1.

Retshåndhævelsesdirektivet indeholder imidlertid en nyskabelse i form af

flere og mere detaljerede krav til indholdet i en databehandleraftale, og

dermed til databehandlerens forpligtelser over for den dataansvarlige, end

efter gældende ret. Herudover sker der en mere detaljeret regulering af den

situation, hvor en databehandler ønsker at anvende en underdatabehandler.

Det foreslås på den baggrund, at der fastsættes en regel svarende til direk-

tivets artikel 22, idet det dog præciseres, at en databehandler senest 14

dage forud for, at der sker overladelse af behandling til en underdatabe-

handler i medfør af en generel aftale med den dataansvarlige herom, skal

underrette den dataansvarlige om overladelsen. Den dataansvarlige vil i

den forbindelse kunne modsætte sig overladelsen, hvis det anses for nød-

vendigt.

Det bemærkes i forhold til spørgsmålet om databehandleraftaler, at de

kompetente myndigheder tillige vil behandle personoplysninger i sager og

med formål, som falder uden for det foreslåede anvendelsesområde for

loven. Denne behandling vil i stedet være omfattet af persondataloven og –

fra den 25. maj 2018 – databeskyttelsesforordningen. Dette indebærer, at

databehandleraftaler efter omstændighederne vil skulle overholde kravene

i såvel retshåndhævelsesdirektivet som – efter den 25. maj 2018 – databe-

skyttelsesforordningen.

Det er imidlertid Justitsministeriets vurdering, at de krav til databehandler-

ne mv., som følger af henholdsvis retshåndhævelsesdirektivet og databe-

skyttelsesforordningen, ikke strider mod hinanden, og at en overholdelse

af retshåndhævelsesdirektivet – som gennemført i denne lov – samtidig vil

opfylde forordningens krav.

Der henvises i øvrigt til lovforslagets § 22 og bemærkningerne hertil.

2.5.3.4.

Direktivets artikel 24 indeholder et krav om, at den dataansvarlige

skal føre fortegnelser over alle kategorier af behandlingsaktiviteter.

Der følger ikke en eksplicit fortegnelsesforpligtelse efter gældende ret.

Det følger imidlertid af reglerne om anmeldelsespligten i persondatalovens

kapitel 12, jf. pkt. 2.6.1.2, at der ved behandlinger, som er omfattet af disse

forpligtelser, skal ske anmeldelse til tilsynsmyndigheden, og at anmeldel-

sen bl.a. skal indeholde en optegnelse over de behandlingsaktiviteter, der

påtænkes iværksat.

Der følger således for så vidt et krav om fortegnelser over behandlingsakti-

viteter i medfør af anmeldelsesforpligtelsen efter gældende ret.

Hvis en dataansvarlig er omfattet af det gældende anmeldelseskrav, vil den

dataansvarlige således i vidt omfang kunne genanvende de anmeldelser,

der er indsendt til Datatilsynet, til at opfylde direktivets krav om, at der

skal føres fortegnelser over behandlingsaktiviteter.

For så vidt angår de behandlinger, der

ikke

er omfattet af anmeldelsesplig-

ten efter gældende ret, vil disse nu i medfør af artikel 24 skulle indgå i en

fortegnelse, som omfatter al behandlingsaktivitet under den dataansvarli-

ges ansvar. Også databehandlere pålægges fremover et fortegnelseskrav.

Den dataansvarlige er i allerede i dag forpligtet til at udlevere en oversigt

over alle behandlinger – inklusiv de behandlingsaktiviteter, der ikke er

omfattet af anmeldelsespligten – til enhver, der anmoder herom, jf. person-

datalovens § 54, stk. 2. Dermed er den dataansvarlige i et vist omfang alle-

rede omfattet af krav, der svarer til direktivets.

Der er derfor i praksis alene tale om en begrænset udvidelse af pligten til

fortegnelse i artikel 24 i forhold til gældende ret for den dataansvarlige.

For databehandleren udvides pligten til fortegnelse i artikel 24 i forhold til

gældende ret, idet alle behandlingsaktiviteter skal indgå i de elektroniske

og skriftlige fortegnelser hos databehandleren.

Det foreslås på den baggrund, at der fastsættes en regel svarende til direk-

tivets artikel 24.

Der henvises i øvrigt til lovforslagets § 23 og bemærkningerne hertil.

2.5.3.4.

Direktivets artikel 25 indeholder et krav om logning af en række

forskellige behandlingsaktiviteter. Allerede som følge af, at direktivets

logningskrav ikke er begrænset til fortrolige oplysninger, er der tale om en

udvidelse af den gældende forpligtelse i sikkerhedsbekendtgørelserne til at

foretage logning. Det nærmere omfang af direktivets forpligtelse til at fo-

retage logning giver imidlertid anledning til tvivl, herunder i forhold til

spørgsmålet om, i hvilket omfang det i øvrigt vil være muligt at opretholde

den gældende ordning for logning i sikkerhedsbekendtgørelserne.

2.5.3.4.1.

Sikkerhedsbekendtgørelsen og sikkerhedsbekendtgørelsen for

domstolene indeholder som nævnt ovenfor i pkt. 2.5.1.2 krav om, at der

skal ske logning af behandling af fortrolige oplysninger.

Direktivets logningskrav kan imidlertid ikke isoleres til alene at angå for-

trolige oplysninger. Der er således på dette punkt tale om en udvidelse af

logningspligten. Udvidelsen skaber behov for at ændre i de automatiske

databehandlingssystemer, som anvendes af de kompetente myndigheder i

dag, og som alene er tilpasset kravet om logning i overensstemmelse med

sikkerhedsbekendtgørelsens regler, herunder alene af fortrolige oplysnin-

ger. I overensstemmelse med direktivets artikel 63, stk. 2, foreslås det der-

for, at tidspunktet for, hvornår logningskravet skal være opfyldt, udskydes,

jf. nærmere herom nedenfor.

2.5.3.4.2.

Som nævnt ovenfor giver det nærmere omfang af direktivets

logningsforpligtelse anledning til tvivl, herunder i forhold til spørgsmålet

om sammenhængen mellem henholdsvis direktivets og sikkerhedsbekendt-

gørelsernes logningskrav.

Det fremgår af artikel 25, stk. 1, 1. pkt., at der skal foretages logning af

behandlingsaktiviteterne indsamling, ændring, søgning, videregivelse, her-

under overførsel, samkøring og sletning.

Det fremgår videre af direktivets artikel 25, stk. 1, 2. pkt., at logning af

alene behandlingsaktiviteterne søgning og videregivelse skal gøre det mu-

ligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktivite-

ter og i videst muligt omfang identifikation af den person, som har søgt

eller videregivet personoplysningerne, og identiteten på modtagerne af

sådanne oplysninger.

For så vidt angår de øvrige behandlingsaktiviteter, der er omfattet af log-

ningskravet efter artikel 25, stk. 1, 1. pkt., dvs. indsamling, ændring, sam-

køring og sletning, indeholder bestemmelsen ikke nærmere krav til lognin-

gen, og medlemsstaterne må således formentlig antages at have en højere

grad af valgfrihed i forhold til, hvordan logningskravet skal udformes for

så vidt angår disse behandlingsaktiviteter.

2.5.3.4.3.

Som nævnt ovenfor fører udvidelsen af logningsforpligtelsen til,

at der er behov for at ændre i de automatiske databehandlingssystemer,

som anvendes af de retshåndhævende myndigheder i dag, og som alene er

tilpasset kravet om logning i overensstemmelse med sikkerhedsbekendtgø-

relsens regler, herunder alene af fortrolige oplysninger. Der er allerede af

den grund ikke teknisk mulighed for generelt at bringe de kompetente

myndigheders automatiske databehandlingssystemer i overensstemmelse

med direktivets logningskrav den 1. maj 2017.

Det kan – afhængig af en nærmere afklaring af logningskravets rækkevid-

de – ikke udelukkes, at visse af de automatiske databehandlingssystemer,

som anvendes af de kompetente myndigheder i dag, vil kunne opfylde di-

rektivets logningskrav inden for relativt kort tid. For andre systemers ved-

kommende vil en overholdelse af kravet imidlertid formentlig forudsætte

mere omfattende ændringer.

I overensstemmelse med direktivets artikel 63, stk. 2, foreslås det derfor, at

justitsministeren får bemyndigelse til at fastsætte nærmere regler om, hvil-

ke automatiske databehandlingssystemer logningskravet skal finde anven-

delse på.

Denne ordning giver mulighed for, at der sammen med de kompetente

myndigheder kan ske en nærmere afklaring af rækkevidden af logningsfor-

pligtelsen, inden der tages initiativ til at ændre de kompetente myndighe-

ders automatiske databehandlingssystemer.

Det sikres endvidere herved, at der vil kunne ske en løbende indfasning af

forpligtelsen, eventuelt i forbindelse med at der sker udskiftning af eksiste-

rende automatiske behandlingssystemer.

Logningskravet vil dog skulle finde anvendelse for alle relevante automati-

ske databehandlingssystemer senest den 6. maj 2023, eller, hvis det måtte

vise sig, at direktivets logningskrav medfører alvorlige vanskeligheder for

driften af de kompetente myndigheders automatiske behandlingssystemer,

senest den 6. maj 2026.

Der henvises i øvrigt til lovforslagets § 24 og bemærkningerne hertil.

2.5.3.5.

Direktivets artikler 27 og 28 indeholder regler om konsekvensana-

lyser og forudgående høring af tilsynsmyndigheden.

Direktivet indeholder en nyskabelse på dette punkt, idet der efter gældende

ret ikke findes sådanne krav.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikler 27 og 28 fastsættes regler om konsekvensanalyser og forudgående

høring af tilsynsmyndigheden.

Det bemærkes i den forbindelse, at kravet om konsekvensanalyser og for-

udgående høring finder anvendelse på henholdsvis behandling, der foreta-

ges, og registre, der oprettes, den 1. maj 2017 eller senere, dvs. efter det

foreslåede ikrafttrædelsestidspunkt, jf. også den foreslåede § 53 og be-

mærkninger hertil.

Ordningen vil således erstatte det gældende system med anmeldelser

behandlinger, der foretages for den offentlige forvaltning, til tilsynsmyn-

digheden, jf. pkt. 2.6.1.2 nedenfor.

Der henvises i øvrigt til lovforslagets §§ 25 og 26 og bemærkningerne her-

til.

2.6. Personoplysningssikkerhed

2.6.1. Gældende ret

2.6.1.1.

Persondataloven indeholder i kapitel 11 (§§ 41-42) regler om den

fysiske behandlingssikkerhed.

Det fremgår således af lovens § 41, stk. 1, at personer, virksomheder mv.,

der udfører arbejde under den dataansvarlige eller databehandleren, og

som får adgang til oplysninger, kun må behandle disse efter instruks fra

den dataansvarlige, medmindre andet følger af lov eller bestemmelser fast-

sat i henhold til lov.

Efter § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og

organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt

eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kom-

mer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i

strid med loven. Tilsvarende gælder for databehandlere.

Efter persondatalovens § 41, stk. 4, skal der for oplysninger, der behandles

for den offentlige forvaltning, og som er af særlig interesse for fremmede

magter, træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgø-

relse i tilfælde af krig eller lignende forhold (krigsreglen).

Persondatalovens § 41, stk. 5, bemyndiger justitsministeren til at fastsætte

nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. Justitsmi-

nisteren har med hjemmel i bestemmelsen udstedt sikkerhedsbekendtgørel-

sen og sikkerhedsbekendtgørelsen for domstolene.

Det fremgår af bekendtgørelsernes § 5, at den

dataansvarlige myndighed

skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltnin-

ger i myndigheden til uddybning af de regler, der fremgår af bekendtgørel-

sen. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fy-

sisk sikring, herunder sikkerhedsorganisation, administration af adgangs-

kontrolordninger og autorisationsordninger samt kontrol med autorisatio-

ner. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for

og beskriver behandling og destruktion af ind- og uddatamateriale samt

anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for

myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger,

der er fastsat for myndigheden.

De interne bestemmelser skal gennemgås mindst én gang hvert år med

henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold

i myndigheden, jf. bestemmelsernes stk. 2.

Bekendtgørelserne indeholder herudover nærmere regler om bl.a. instruk-

tion over for medarbejdere, der behandler personoplysninger, samt om

autorisation og adgangskontrol.

Når en dataansvarlig overlader en behandling af oplysninger til en databe-

handler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de

i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstalt-

ninger, og påse, at dette sker, jf. persondatalovens § 42, stk. 1.

Gennemførelse af en behandling ved en databehandler skal ske i henhold

til en skriftlig aftale parterne imellem. Det skal fremgå af aftalen, at data-

behandleren alene handler efter instruks fra den dataansvarlige, og at reg-

lerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandle-

ren, jf. § 42, stk. 2.

2.6.1.2.

Persondatalovens kapitel 12 (§§ 43-47) indeholder regler om an-

meldelse af behandlinger, der foretages for den offentlige forvaltning, til

Datatilsynet.

Det fremgår således af lovens § 43, jf. § 44, at der skal ske anmeldelse til

Datatilsynet forinden iværksættelse af behandling af fortrolige oplysnin-

ger. Anmeldelsen skal indeholde en række nærmere angivne oplysninger,

herunder om behandlingens formål, en generel beskrivelse af behandlin-

gen, kategorierne af registrerede og foranstaltninger, der iværksættes af

hensyn til behandlingssikkerheden og oplysninger om tidspunktet for slet-

ning af oplysningerne.

I visse situationer skal der tillige indhentes en udtalelse fra Datatilsynet, jf.

lovens § 45. Der er tale om bl.a. behandlinger, som omfatter følsomme

oplysninger eller oplysninger om rent private forhold, og behandlinger,

som udelukkende finder sted i videnskabeligt eller statistisk øjemed.

Persondatalovens § 54 indeholder regler om, at Datatilsynet skal føre en

fortegnelse over de modtagne anmeldelser, og at denne fortegnelse skal in-

deholde de samme oplysninger som anmeldelsen. Den dataansvarlige skal

stille disse oplysninger til rådighed for enhver, der anmoder herom, jf. be-

stemmelsens stk. 2.

2.6.1.3.

Persondataloven indeholder ikke regler, hvorefter dataansvarlige,

der har sikkerhedsbrud i forbindelse med behandling af personoplysninger,

har pligt til at underrette tilsynsmyndigheden herom.

Som nævnt oven for i pkt. 2.3.1.1 indeholder persondatalovens § 5, stk. 1,

imidlertid et krav om, at oplysninger skal behandles i overensstemmelse

med god databehandlingsskik.

God databehandlingsskik anses efter praksis fra Datatilsynet for bl.a. at

omfatte krav til den dataansvarlige om at foretage underretning af berørte

personer ved brud på datasikkerheden, når personoplysninger er kommet

til uvedkommendes kendskab eller har været i risiko herfor. Ved vurderin-

gen af spørgsmålet om underretning må den dataansvarlige bl.a. tage op-

lysningernes karakter og de mulige konsekvenser for de berørte i betragt-

ning. Ved utilsigtet offentliggørelse af personoplysninger på en hjemmesi-

de på internettet skal de dataansvarlige således bl.a. foretage underretning

af de berørte personer.

Der gælder efter Datatilsynets praksis vedrørende god databehandlingsskik

ikke et krav om underretning af

tilsynet

i tilfælde af sikkerhedsbrud.

2.6.2. Retshåndhævelsesdirektivet

2.6.2.1.

Direktivets artikel 29 fastsætter detaljerede krav til sikkerheden i

forbindelse med behandlingen af personoplysninger.

Efter bestemmelsen forpligtes den dataansvarlige og databehandleren til

under hensyntagen til det aktuelle tekniske niveau, implementeringsom-

kostningerne og behandlingens karakter, omfang, sammenhæng og formål

samt risiciene af varierende sandsynlighed og alvor for fysiske personers

rettigheder og frihedsrettigheder skal gennemføre passende tekniske og

organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer

til disse risici, navnlig for så vidt angår behandlingen af de særlige katego-

rier af personoplysninger, der er omhandlet i artikel 10.

For så vidt angår automatisk behandling opstilles en række specifikke sik-

kerhedskrav i bestemmelsen, herunder krav vedrørende kontrol med fysisk

adgang til udstyret, kontrol med datamedier og opbevaring, jf. herved nær-

mere direktivets artikel 29, stk. 2.

2.6.2.2.

Direktivets artikler 30 og 31 indeholder regler om, at den

dataansvarlige skal foretage henholdsvis anmeldelse til tilsynsmyndighe-

den og underretning af den registrerede om brud på datasikkerheden.

Ved brud på persondatasikkerheden skal den dataansvarlige uden unødig

forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt

med det, anmelde bruddet på persondatasikkerheden til tilsynsmyndighe-

den, medmindre at det er usandsynligt, at bruddet på persondatasikkerhe-

den indebærer en risiko for fysiske personers rettigheder og frihedsrettig-

heder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72

timer, ledsages den af en begrundelse for forsinkelsen, jf. artikel 30, stk. 1.

Databehandleren skal uden unødig forsinkelse underrette den dataansvarli-

ge om brud på persondatasikkerheden, jf. bestemmelsens stk. 2.

Anmeldelsen skal som minimum indeholde en række nærmere angivne

oplysninger, herunder om karakteren af bruddet og eventuelle foranstalt-

ninger, som den dataansvarlige har truffet, jf. herved nærmere artikel 30,

stk. 2. Hvis bruddet angår oplysninger, der er transmitteret af eller til en

dataansvarlig i en anden medlemsstat, skal oplysningerne tillige gives til

denne, jf. bestemmelsens stk. 6. Når det ikke er muligt at forelægge alle

oplysningerne samlet, kan der ske trinvis forelæggelse, jf. artikel 30, stk. 4.

Direktivets artikel 30, stk. 5, indeholder krav om, at den dataansvarlige

skal dokumentere brud på datasikkerheden.

Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj

risiko for fysiske personers rettigheder og frihedsrettigheder, skal den

dataansvarlige uden unødig forsinkelse underrette den registrerede om

bruddet på persondatasikkerheden og i den forbindelse give den registrere-

de en række nærmere angivne oplysninger, herunder om karakteren af

bruddet, jf. direktivets artikel 31, stk. 1 og 2.

Det fremgår af direktivets præambelbetragtning nr. 62, at underretninger

til registrerede bør gives, så snart det med rimelighed er muligt, i tæt sam-

arbejde med tilsynsmyndigheden og i overensstemmelse med retnings-

linjer, der er udstukket af denne eller andre relevante myndigheder. Ek-

sempelvis kræver behovet for at begrænse en umiddelbar risiko for skade

omgående underretning af de registrerede, mens behovet for at gennemføre

passende foranstaltninger mod fortsatte eller lignende brud på persondata-

sikkerheden kan begrunde en længere frist for underretningen.

Efter artikel 31, stk. 3, kan underretning af den registrerede i visse tilfælde

undlades. Det gælder, når den dataansvarlige har gennemført passende

tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foran-

staltninger er blevet anvendt på de personoplysninger, som er berørt af

bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør perso-

noplysningerne uforståelige for enhver, der ikke har autoriseret adgang

hertil, som f.eks. kryptering.

Der skal heller ikke gives underretning, hvis den dataansvarlige har truffet

efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registre-

redes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynlig-

vis ikke længere er reel, eller hvis det vil kræve en uforholdsmæssig ind-

sats. I sidstnævnte tilfælde skal der i stedet foretages en offentlig meddel-

else eller tilsvarende foranstaltning, hvorved de registrerede underrettes på

en tilsvarende effektiv måde. Der er efter artikel 31, stk. 5, også mulighed

for at udsætte, begrænse eller afskære underretning af de grunde, der er

nævnt i direktivets artikel 13, stk. 3, jf. pkt. 2.4.2.1 ovenfor.

Hvis den dataansvarlige ikke allerede har underrettet den registrerede om

bruddet på persondatasikkerheden, har tilsynsmyndigheden mulighed for

at kræve, at den dataansvarlige foretager underretning, jf. herved nærmere

bestemmelsens stk. 4.

2.6.3. Justitsministeriets overvejelser og lovforslagets udformning

2.6.3.1.

Direktivets artikel 29 indeholder reglerne om behandlingssikker-

hed. Bestemmelsens stk. 1 indeholder det generelle princip om, at de for-

nødne tekniske og organisatoriske foranstaltninger skal fastsættes ud fra en

risikobaseret tilgang, mens bestemmelsens stk. 2 indeholder en detaljeret

liste over de konkrete sikkerhedsspørgsmål, som foranstaltningerne skal

håndtere, når der er tale om automatisk behandling.

Persondatalovens § 41, stk. 3, og de bekendtgørelser, som er udstedt i

medfør af lovens § 41, stk. 5, fastsætter som nævnt oven for i pkt. 2.6.1.1

en række krav til behandlingssikkerheden, som i vidt omfang er sammen-

faldende med retshåndhævelsesdirektivets krav.

Det foreslås på den baggrund, at der i overensstemmelse med direktivet

fastsættes en regel, som indeholder de nærmere krav til behandlingssikker-

heden. Der foreslås endvidere indsat en bemyndigelse til justitsministeren

til at fastsætte nærmere regler om disse sikkerhedsforanstaltninger, hvilket

vil være en videreførelse af persondatalovens § 41, stk. 5.

Det foreslås endvidere, at den såkaldte krigsregel videreføres med visse

modifikationer, jf. nedenfor, hvilket indebærer visse begrænsninger i for-

hold til anvendelsen af databehandlere fra andre lande, idet en sikring af, at

der kan ske bortskaffelse eller tilintetgørelse af oplysningerne i visse auto-

matiske databehandlingssystemer i udgangspunktet forudsætter, at syste-

merne føres i Danmark. Justitsministeren har tidligere i forbindelse med en

besvarelse af spørgsmålene nr. 25, 27, 64 og 69 af 5. januar 1999 fra Fol-

ketingets Retsudvalg til lovforslag nr. L 44 af 8. oktober 1998 om behand-

ling af personoplysninger (Folketingstidende 1998-99, tillæg A, s. 943)

tilkendegivet, at den gældende krigsregel i persondatalovens § 41, stk. 4,

bl.a. indebærer, at Det Centrale Kriminalregister ikke må føres i udlandet.

Spørgsmålet om, hvem der som databehandler kan opbevare oplysninger

for en kompetent dansk myndighed, er ikke nærmere reguleret af retshånd-

hævelsesdirektivet. Et krav om, at et register skal føres i Danmark, kan

imidlertid give anledning til at overveje forholdet til EU-rettens almindeli-

ge regler om fri bevægelighed, hvor udgangspunktet er, at der ikke må ske

forskelsbehandling af databehandlere fra andre medlemsstater.

Det er imidlertid Justitsministeriets vurdering, at kravet i krigsreglen på

berettiget vis varetager hensynet til statens sikkerhed, og at kravet derfor

under alle omstændigheder er i overensstemmelse med EU-retten, jf.

TEUF artikel 52, jf. artikel 65. Hertil kommer, at det følger af retshåndhæ-

velsesdirektivets artikel 2, stk. 3, litra a, at direktivet ikke omfatter behand-

linger, som vedrører statens sikkerhed.

I takt med samfundets generelle digitalisering behandler navnlig politiet

stadigt stigende mængder oplysninger som led i opgavevaretagelsen. Sam-

tidig indebærer bl.a. hensynet til forsvarerens adgang til at gøre sig be-

kendt med det materiale, som politiet har indsamlet til brug for en konkret

straffesag, at politiet har et stigende behov for at opbevare større mængder

oplysninger, herunder personoplysninger. Dette aktualiserer et generelt

behov for, at de kompetente myndigheder, i større omfang end det i dag er

tilfældet under den gældende regulering, har adgang til at udnytte fleksible

– og sikre – opbevaringsalternativer til den klassiske opbevaring på poli-

tiets egne servere.

På den baggrund er der i lovforslaget fundet anledning til at tilpasse den

gældende krigsregel, så der i konkrete tilfælde og på baggrund af en nær-

mere risikovurdering kan gives adgang til, at oplysninger omfattet af krigs-

reglens anvendelsesområde ikke skal underlægges de i krigsreglen nævnte

foranstaltninger, dvs. i praksis en adgang til at opbevare sådanne oplysnin-

ger uden for dansk territorium. Dog vil reglen ikke kunne anvendes til at

tillade opbevaring uden for EU, idet det findes, at det kun i forhold til de

øvrige EU-medlemsstater generelt kan lægges til grund, at oplysninger

behandles og beskyttes i overensstemmelse med passende retlige krav mv.

Der henvises i øvrigt til lovforslagets § 27 og bemærkningerne hertil.

2.6.3.2.

Direktivets artikel 30 indeholder regler om, at den dataansvarlige

skal anmelde brud på datasikkerheden, medmindre det er usandsynligt, at

bruddet medfører en risiko for fysiske personers rettigheder.

Der er efter gældende ret ikke noget krav om, at tilsynsmyndigheden skal

underrettes ved brud på datasikkerheden.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikel 30 fastsættes en regel om, at den dataansvarlige skal underrette til-

synsmyndigheden ved brud på datasikkerheden.

Der henvises i øvrigt til lovforslagets § 28 og bemærkningerne hertil.

2.6.3.3.

Direktivets artikel 31 indeholder regler om, at den dataansvarlige

skal underrette den registrerede om brud på datasikkerheden, som sandsyn-

ligvis vil indebære en høj risiko for den registrerede.

Som nævnt ovenfor i pkt. 2.6.1.3 anses god databehandlingsskik efter per-

sondatalovens § 5, stk. 1, for bl.a. at omfatte krav til den dataansvarlige om

at foretage underretning af berørte personer ved brud på datasikkerheden,

når personoplysninger er kommet til uvedkommendes kendskab eller har

været i risiko herfor.

Direktivets krav om underretning af den registrerede må derfor i vidt om-

fang anses for at være en videreførelse af gældende ret.

For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket korrekt im-

plementering af direktivets artikel 31, foreslås det imidlertid, at der i over-

ensstemmelse med direktivet fastsættes en eksplicit regel om, at den

dataansvarlige skal underrette den registrerede om brud på datasikkerhe-

den.

Der henvises i øvrigt til lovforslagets § 29 og bemærkningerne hertil.

2.7. Databeskyttelsesrådgiver

2.7.1. Gældende ret

Der er efter gældende ret ikke nogen forpligtelse for den dataansvarlige til

at udpege en databeskyttelsesrådgiver.

2.7.2. Retshåndhævelsesdirektivet

Direktivets artikel 32 indeholder regler om udpegning af en databeskyttel-

sesrådgiver.

Retshåndhævende myndigheder, der ikke er uafhængige judicielle myndig-

heder, skal udpege en databeskyttelsesrådgiver på baggrund af dennes fag-

lige kvalifikationer, herunder navnlig inden for databeskyttelsesret, jf. be-

stemmelsens stk. 1 og 2. Flere myndigheder har mulighed for at udpege

en fælles databeskyttelsesrådgiver under hensyntagen til deres organisato-

riske struktur og størrelse, jf. stk. 3. Kontaktoplysninger for databeskyttel-

sesrådgiveren skal offentliggøres og meddeles til tilsynsmyndigheden, jf.

bestemmelsens stk. 4.

Efter direktivets artikel 33 skal den dataansvarlige sikre, at databeskyttel-

sesrådgiveren inddrages i spørgsmål om databeskyttelse og stille de nød-

vendige ressourcer mv. til rådighed.

Det fremgår af direktivets præambelbetragtning nr. 63, at databeskyttelses-

giveren kan være en af den dataansvarliges eksisterende medarbejdere,

som har fået særlig uddannelse inden for databeskyttelsesret og -praksis

for at tilegne sig ekspertise på dette område. Vedkommendes opgaver vil

kunne udføres på deltid eller fuldtid.

Det fremgår videre af betragtningen, at flere dataansvarlige kan udpege en

fælles databeskyttelsesansvarlig i overensstemmelse med deres struktur og

100

størrelse, for eksempel i tilfælde af fælles ressourcer i centrale enheder.

Denne person kan også udpeges til forskellige stillinger i de berørte

dataansvarliges struktur.

Det fremgår herudover af betragtningen, at databeskyttelsesrådgivere bør

være i stand til at udøve deres opgaver på uafhængig vis i henhold til med-

lemsstaternes nationale ret.

Direktivets artikel 34 indeholder en liste over de opgaver, som den

dataansvarlige som minimum skal overdrage til databeskyttelsesrådgive-

ren. Der er tale om bl.a. opgaver forbundet med rådgivning af ansatte,

overvågning af overholdelsen af reglerne og samarbejde med tilsynsmyn-

digheden.

2.7.3. Justitsministeriets overvejelser og lovforslagets udformning

Direktivets artikel 32 indeholder regler om udpegelse af en databeskyttel-

sesrådgiver.

Der følger ikke en forpligtelse til at udpege en databeskyttelsesrådgiver

efter gældende ret.

Det foreslås på den baggrund, at der i overensstemmelse med direktivets

artikler 32-34 fastsættes regler om, at den dataansvarlige skal udpege en

databeskyttelsesrådgiver, og om dennes opgaver.

Det bemærkes i den forbindelse, at de kompetente myndigheder som næv-

nt i pkt. 2.5.3.3 tillige vil behandle personoplysninger i sager og med for-

mål, som falder uden for det foreslåede anvendelsesområde for loven.

Denne behandling vil i stedet være omfattet af persondataloven og – fra

den 25. maj 2018 – databeskyttelsesforordningen. Dette indebærer, at så-

vel retshåndhævelsesdirektivets som – efter den 25. maj 2018 – databe-

skyttelsesforordningens krav om udpegelse af en databeskyttelsesrådgiver

efter omstændighederne skal være opfyldt.

Forordningens regler om databeskyttelsesrådgiveren adskiller sig på visse

punkter fra retshåndhævelsesdirektivets regler herom.

Det er imidlertid Justitsministeriets opfattelse, at de krav til databeskyttel-

sesrådgiveren, som følger af henholdsvis retshåndhævelsesdirektivet og

databeskyttelsesforordningen, ikke strider mod hinanden.

101

Den person, som udpeges som databeskyttelsesrådgiver, vil således efter

retshåndhævelsesdirektivet tillige kunne varetage funktionen som databe-

skyttelsesrådgiver i medfør af databeskyttelsesforordningen.

Databeskyttelsesrådgiveren vil endvidere kunne fungere som kontakt-

punkt, når der er tale om fælles dataansvarlige, jf. pkt. 2.5.3.2.

I forhold til muligheden for, at flere dataansvarlige kan udpege en fælles

databeskyttelsesrådgiver, vil dette også være en mulighed på tværs af de

kompetente myndigheder, såfremt størrelsen og de organisatoriske forhold

tillader dette. Efter Justitsministeriets opfattelse vil en fælles databeskyttel-

sesrådgiver således kunne udpeges, når flere kompetente myndigheder har

tilsvarende organisatoriske opbygninger. Dette vil f.eks. være tilfældet i

forhold til de myndigheder, der udgør den overordnede anklagemyndig-

hed. Henset til, at dansk politi udgør et såkaldt enhedspoliti med en fælles

ledelse og en homogen organisationsstruktur, vil udpegningen af en fælles

databeskyttelsesrådgiver i dansk politi ligeledes være mulig. På tilsvarende

måde vil der kunne udpeges en fælles databeskyttelsesrådgiver for samtli-

ge byretter for så vidt angår den behandling af personoplysninger, der fore-

tages, når disse handler uden for deres egenskab af domstole.

I en dansk kontekst varetager de enkelte politikredse både rollen som poli-

ti- og anklagemyndighed inden for den samme organisation. Dette vil efter

Justitsministeriets opfattelse ikke være til hinder for, at den samme databe-

skyttelsesrådgiver er udpeget for al den behandling af personoplysninger,

som foretages af politikredsen eller som nævnt på tværs af dansk politi.

Der henvises i øvrigt til lovforslagets §§ 30 og 31 og bemærkningerne her-

til.

2.8. Overførsler af personoplysninger til tredjelande mv.

2.8.1. Gældende ret

2.8.1.1.

Persondatalovens § 27 indeholder regler om overførsel af perso-

noplysninger til tredjelande.

Det fremgår af stk. 1, at der kun må overføres oplysninger til et tredjeland,

hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau. Derudover kan

102

der overføres oplysninger til et tredjeland, hvis en af de i stk. 3, nr. 1-8,

nævnte betingelser er opfyldt.

Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er nødvendig af

hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold

samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager

om strafferetlig forfølgning eller overførsel er nødvendig af hensyn til den

offentlige sikkerhed, rigets forsvar eller statens sikkerhed.

Der kan endvidere ske overførsel, hvis tilsynsmyndigheden har givet sær-

lig tilladelse hertil eller på baggrund af kontrakter, der er i overensstem-

melse med standardkontraktbestemmelser, som er godkendt af Europa-

Kommissionen, jf. stk. 4 og 5.

Herudover skal persondatalovens almindelige behandlingsregler mv. være

opfyldt ved overførsel af oplysninger til tredjelande efter stk. 1 og 3-5, jf.

stk. 6.

2.8.1.2.

Rammeafgørelsesbekendtgørelsens §§ 4-6 indeholder særlige reg-

ler om overførsel til tredjelande eller internationale organer af personop-

lysninger, som er modtaget fra eller stillet til rådighed af en anden med-

lemsstat.

Det fremgår af § 4, stk. 1, at videregivelse kun må ske, hvis det er nødven-

digt for forebyggelse, efterforskning, afsløring eller retsforfølgning af

straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, og

den modtagende myndighed i tredjelandet eller det modtagende internatio-

nale organ har ansvaret for at forebygge, efterforske, afsløre eller retsfor-

følge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

Det kræves endvidere, at den videregivende myndighed i den medlemsstat,

som har sendt eller stillet oplysninger til rådighed, har givet sin godkendel-

se til at videregive disse i henhold til sin nationale lovgivning, og at det

pågældende tredjeland eller internationale organ sikrer et tilstrækkeligt

beskyttelsesniveau for den påtænkte behandling af oplysningerne.

Der kan dog efter stk. 2 ske videregivelse uden forhåndsgodkendelse fra

den videregivende myndighed i den medlemsstat, som har sendt eller stil-

let oplysninger til rådighed, hvis videregivelsen af oplysningerne er afgø-

rende for forebyggelse af en umiddelbar og alvorlig trussel mod den of-

fentlige sikkerhed i et tredjeland eller et land inden for Den Europæiske

103

Union eller Schengen-samarbejdet, eller videregivelsen af oplysningerne

er afgørende for væsentlige interesser for et land inden for Den Europæi-

ske Union eller Schengen-samarbejdet.

Det er en betingelse for videregivelsen, at forhåndsgodkendelse ikke kan

indhentes i tide, og den udenlandske myndighed, der skulle have givet sin

godkendelse, skal orienteres omgående.

Der kan efter bestemmelsens stk. 3 ske videregivelse i tilfælde, hvor det

pågældende tredjeland eller internationale organ ikke sikrer et tilstrække-

ligt beskyttelsesniveau for den påtænkte behandling af oplysningerne, hvis

lovgivningen giver mulighed herfor på grund af den registreredes specifik-

ke legitime interesser, eller på grund af legitime vigtige interesser, navnlig

vigtige offentlige interesser, eller tredjelandet eller det modtagende inter-

nationale organ giver sikkerhedsgarantier, som den videregivende myndig-

hed anser for tilstrækkelige i henhold til sin nationale lovgivning.

2.8.2. Retshåndhævelsesdirektivet

Retshåndhævelsesdirektivets kapitel V fastlægger betingelserne for, hvor-

når de kompetente myndigheder kan videregive personoplysninger til tred-

jelande eller internationale organisationer.

Efter direktivets artikel 35, stk. 1, kan overførsel fra en kompetent myndig-

hed til et tredjeland eller til en international organisation, herunder også

videreoverførsel til et andet tredjeland eller international organisation, ale-

ne finde sted ved opfyldelse af særlige betingelser. Overførslen skal være

nødvendig for at opfylde et af de formål, som er omfattet af direktivets

anvendelsesområde, og den dataansvarlige i tredjelandet mv. skal være en

kompetent myndighed i henhold til disse formål. Hvis personoplysninger-

ne er videregivet eller stillet til rådighed af en anden medlemsstat, skal

denne medlemsstat give forudgående tilladelse til overførslen i henhold til

dens nationale lovgivning. Oplysninger kan undtagelsesvis overføres uden

forudgående tilladelse, hvis det er nødvendigt for at forebygge en umiddel-

bar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige

sikkerhed eller mod en medlemsstats væsentlige interesser, og den forud-

gående tilladelse ikke kan indhentes i tide. Den ansvarlige myndighed for

den forudgående tilladelse underrettes straks, jf. bestemmelsens stk. 2.

Endelig skal Kommissionen have truffet en afgørelse om, at tredjelandet

mv. sikrer et tilstrækkeligt beskyttelsesniveau, eller der skal være indført

eller eksistere fornødne garantier, jf. direktivets artikler 36 og 37.

104

I de tilfælde, hvor Kommissionen ikke har truffet en afgørelse om, at tred-

jelandet mv. sikrer et tilstrækkeligt beskyttelsesniveau, eller der ikke er

indført eller eksisterer fornødne garantier, kan overførsel af personoplys-

ninger til et tredjeland mv., kun ske i en række konkrete tilfælde, herunder

hvis overførslen er nødvendig for at beskytte den registreredes eller en

anden persons vitale interesser, eller hvis overførslen er nødvendig i en-

keltsager med henblik på at forfølge de formål, som er omfattet af direkti-

vets anvendelsesområde, jf. herved nærmere direktivets artikel 38.

I individuelle og konkrete sager kan medlemsstaterne endvidere tillade, at

der overføres personoplysninger til private i tredjelande, hvis en række

betingelser er opfyldt, herunder at overførslen er strengt nødvendig for den

overførende myndigheds udførelse af en opgave omfattet af direktivets

anvendelsesområde, og at en overførsel til en kompetent myndighed i det

pågældende land er ineffektiv eller uhensigtsmæssig, jf. direktivets artikel

39.

2.8.3. Justitsministeriets overvejelser og lovforslagets udformning

Direktivets kapitel V indeholder regler om overførsler af personoplysnin-

ger til tredjelande.

Rammeafgørelsen indeholder regler om overførsel af personoplysninger,

som er modtaget fra andre medlemsstater; rammeafgørelsen regulerer

imidlertid ikke spørgsmålet om overførsel af personoplysninger, som ikke

har været udvekslet mellem medlemsstaterne. Sådanne overførsler regule-

res derimod i dag af persondataloven.

Med retshåndhævelsesdirektivet introduceres muligheden for at overføre

personoplysninger til tredjelande mv. på baggrund af en tilstrækkeligheds-

afgørelse fra Kommissionen til området for politisamarbejdet og det retlige

samarbejde i kriminalsager.

Herudover giver retshåndhævelsesdirektivet mulighed for, at der kan ske

overførsel på baggrund af fornødne garantier. Kravet kan opfyldes gennem

et retligt bindende instrument eller på baggrund af en konkret vurdering fra

den dataansvarlige.

105

Det foreslås på den baggrund i, at der fastsættes regler, hvorefter der kan

ske overførsel af personoplysninger til tredjelande i overensstemmelse

med direktivets kapitel V.

Der henvises i øvrigt til lovforslagets §§ 32-36 og bemærkningerne hertil.

2.9. Tilsyn

2.9.1. Gældende ret

2.9.1.1.

Det fremgår af persondatalovens § 55, at

Datatilsynet, der består af

et råd og et sekretariat, fører tilsyn med enhver behandling, der omfattes af

loven, idet tilsynet med domstolene dog varetages af Domstolsstyrelsen for

så vidt angår behandling af oplysninger med hensyn til domstolenes admi-

nistrative forhold, jf. nærmere herom i pkt. 2.9.1.3 nedenfor. Datatilsynet

og Domstolsstyrelsen skal samarbejde, i det omfang det er nødvendigt for

at opfylde deres pligter, navnlig ved at udveksle alle relevante oplysninger,

jf. lovens § 66.

Datatilsynets daglige forretninger varetages af sekretariatet, der ledes af en

direktør, og Rådet, der nedsættes af justitsministeren, består af en formand,

der er dommer, og af 6 andre medlemmer. Der kan udnævnes stedfortræ-

dere for medlemmerne. Medlemmerne og stedfortræderne for disse ud-

nævnes for 4 år, jf. bestemmelsens stk. 2 og 3. Rådet fastsætter sin forret-

ningsorden og de nærmere regler om arbejdets fordeling mellem råd og

sekretariat, jf. stk. 4.

Det fremgår af § 8 i forretningsordenen, jf. bekendtgørelse nr. 1178 af 15.

december 2000 om forretningsordenen for Datarådet, at rådets medlemmer

har tavshedspligt med hensyn til, hvad de erfarer i deres egenskab af med-

lem af rådet, når der er tale om oplysninger, som efter deres karakter er

fortrolige. Samme tavshedspligt påhviler medarbejdere i sekretariatet, der

medvirker ved rådsbehandlingen.

Datatilsynet og Domstolsstyrelsen udøver deres funktioner i fuld uafhæn-

gighed, jf. lovens §§ 56 og 68, stk. 1, og deres afgørelser kan ikke indbrin-

ges for anden administrativ myndighed, jf. §§ 61 og 68, stk. 1, 2. pkt.

Efter § 62 kan Datatilsynet kræve enhver oplysning, der er af betydning

for dets virksomhed, herunder til afgørelse af, om et forhold falder ind

106

under lovens bestemmelser. Tilsvarende gælder for Domstolsstyrelsen, jf.

§ 68, stk. 1.

Herudover har Datatilsynets medlemmer og personale til enhver tid mod

behørig legitimation uden retskendelse adgang til alle lokaler, hvorfra en

behandling, som foretages for den offentlige forvaltning, administreres,

eller hvorfra der er adgang til de oplysninger, som behandles, samt til loka-

ler, hvor oplysningerne eller tekniske hjælpemidler opbevares eller anven-

des.jf. § 62, stk. 2. Tilsvarende gælder for Domstolsstyrelsen, jf. § 68, stk.

Efter lovens §§ 57 og 68, stk. 2, skal der ved udarbejdelse af bekendtgørel-

ser, cirkulærer eller lignende generelle retsforskrifter, der har betydning

for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger,

indhentes en udtalelse fra Datatilsynet eller – hvis det omhandler domsto-

lenes behandling – Domstolsstyrelsen.

Efter persondatalovens § 65 afgiver Datatilsynet en årlig beretning til Fol-

ketinget. Domstolsstyrelsen offentliggør en årlig beretning om dens virk-

somhed, jf. lovens § 68, stk. 3.

2.9.1.2.

Efter lovens § 58, stk. 1, og 68, stk. 1, påser Datatilsynet og Dom-

stolsstyrelsen af egen drift eller efter klage fra en registreret, at behandlin-

gen af personoplysninger finder sted i overensstemmelse med loven og

regler udstedt i medfør af loven.

Lovens § 60, stk. 1, indeholder regler om, hvornår Datatilsynet kan træffe

afgørelser over for myndigheder. Af relevans for de myndigheder, som er

omfattet af lovforslaget, er afgørelser om overførsler af personoplysninger

til tredjelande i medfør af lovens §§ 27, stk. 4, og 58, stk. 2. Med undtagel-

se af domstolene er der endvidere tale om afgørelser vedrørende den regi-

streredes indsigtsret efter §§ 32, stk. 1, 2 og 4, 33 og 34. For kriminal-

forsorgen er der tale om afgørelser vedrørende lovens §§ 28-31 om oplys-

ningspligt over for den registrerede, §§ 35 og 37 om den registreredes ad-

gangen til indsigelser, berigtigelse, sletning eller blokering og § 39 om

automatiske individuelle afgørelser

I andre tilfælde afgiver tilsynet udtalelser over for den dataansvarlige myn-

dighed, jf. § 60, stk. 2.

107

Lovens §§ 63, stk. 1, og 68, stk. 1, bemyndiger Datatilsynet henholdsvis

Domstolsstyrelsen til at bestemme, at anmeldelser og ansøgninger om tilla-

delse efter loven og ændringer heri kan eller skal indgives på nærmere an-

given måde. Datatilsynet har i medfør af bestemmelsen bl.a. bestemt, at

den offentlige forvaltnings anmeldelse af behandlinger i medfør af regler-

ne i lovens kapitel 12 skal ske elektronisk via tilsynets hjemmeside.

2.9.1.3.

Reglerne om tilsynet med domstolene findes i persondatalovens

kapitel 17.

Som nævnt ovenfor i pkt. 2.9.1.1 fører Domstolsstyrelsen tilsyn med dom-

stolenes behandling af personoplysninger med hensyn til administrative

forhold. Domstolsstyrelsen har i den forbindelse en række af de samme

beføjelser som Datatilsynet.

For anden behandling af oplysninger træffes afgørelse af vedkommende

ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørel-

ser ikke kan indbringes for højere ret, kan den i 1. pkt. nævnte afgørelse

kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4

uger fra den dag, afgørelsen er meddelt den pågældende, jf. § 67, stk. 3.

2.9.2. Retshåndhævelsesdirektivet

2.9.2.1.

Direktivets kapitel VI indeholder regler om oprettelsen af tilsyns-

myndigheden og om tilsynsmyndighedens status, opgaver og beføjelser.

Det fremgår således af direktivets artikel 41, stk. 1, at en eller flere tilsyns-

myndigheder skal være ansvarlige for og føre tilsyn med anvendelsen af

direktivet. Den tilsynsmyndighed, som er ansvarlig for tilsynet efter data-

beskyttelsesforordningen, kan tillige være tilsynsmyndighed i forhold til

direktivet, jf. bestemmelsens stk. 3.

Direktivets artikel 42 indeholder krav om, at tilsynsmyndigheden skal ud-

føre sine opgaver og udøve sine beføjelser i fuld uafhængighed og med de

fornødne ressourcer mv. På tilsvarende måde skal medlemmer af tilsyns-

myndigheden holde sig fri for udefrakommende indflydelse og fra virk-

somhed, som er uforenelig med hvervet, jf. bestemmelsens stk. 2 og 3.

Direktivets artikel 43 indeholder regler om de generelle betingelser for

medlemmer af en tilsynsmyndighed, herunder at medlemmer skal udnæv-

nes på baggrund af deres faglige kvalifikationer efter en gennemsigtig pro-

108

cedure af f.eks. parlamentet eller regeringen. Bestemmelsens stk. 3 og 4

indeholder nærmere regler om ophør af embedsperiode og om afskedigel-

se.

Direktivets artikel 44 indeholder en liste over de elementer forbundet med

oprettelsen af en tilsynsmyndighed, hvor medlemsstaterne skal fastsætte

regler. Der skal bl.a. fastsættes regler om, at embedsperioden for medlem-

merne skal være på mindst fire år og regler om, hvorvidt der kan ske ge-

nudnævnelse af medlemmer. Det fremgår videre af bestemmelsens stk. 2,

at medlemmerne skal have tavshedspligt i forhold til de oplysninger, som

kommer til deres kendskab under udøvelsen af deres opgaver.

2.9.2.2.

Direktivets artikel 45 indeholder regler om tilsynsmyndighedens

kompetencer. Det fremgår af bestemmelsens stk. 2, at tilsynsmyndigheden

ikke skal have kompetence til at føre tilsyn med domstolenes behandlings-

aktiviteter, når de handler i deres egenskab af domstol.

Direktivets artikel 46 indeholder en liste over tilsynsmyndighedens opga-

ver, herunder at føre tilsyn, at rådgive på forskellige måder og behandle

klager fra registrerede. Efter bestemmelsens stk. 2 skal tilsynsmyndighe-

den lette indgivelse af klager fra registrerede mv. gennem foranstaltninger

som f.eks. en klageformular. Åbenbart grundløse eller uforholdsmæssige

anmodninger kan pålægges gebyr eller afvises, jf. artikel 46, stk. 4.

Tilsynsmyndigheden skal udarbejde en årlig rapport om sin virksomhed,

som skal fremsendes til det nationale parlament og regeringen samt gøres

tilgængelig for offentligheden, jf. artikel 49.

2.9.2.3.

Direktivets artikel 47 indeholder regler om tilsynsmyndighedens

beføjelser, der som minimum skal indeholde beføjelse til at få indsigt i alle

de personoplysninger, der behandles, og alle oplysninger, der kræves til

udførelse af myndighedens opgaver.

Tilsynsmyndigheden skal herudover have effektive korrigerende beføjel-

ser, f.eks. at udstede advarsler, påbud eller forbud, jf. artikel 47, stk. 2.

Efter direktivets artikel 47, stk. 5, skal tilsynsmyndigheden have beføjelser

til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold

til direktivet, for de judicielle myndigheder og om nødvendigt at indlede

eller på anden måde deltage i retssager med henblik på at håndhæve disse

bestemmelser.

109

Det fremgår af direktivets præambelbetragtning nr. 82, at tilsynsmyndighe-

dernes beføjelser ikke bør gribe ind i de særlige regler for straffesager,

herunder efterforskning og retsforfølgning af strafbare handlinger, eller i

retsvæsnets uafhængighed.

2.9.2.4.

Tilsynsmyndighederne skal efter direktivets artikel 50 samarbejde

såvel nationalt som medlemsstaterne i mellem. Bestemmelsens stk. 2-7

indeholder nærmere regler om samarbejdet mellem tilsynsmyndighederne i

forskellige medlemsstater, herunder regler om, at anmodninger skal besva-

res uden unødig forsinkelse og senest en måned efter modtagelsen, jf. stk.

2, og at en anmodning kun kan afvises, hvis den modtagende tilsynsmyn-

dighed ikke har kompetence til at udføre den, eller en imødekommelse

ville være i strid med direktivet eller med EU-ret eller national ret, som

den modtagende tilsynsmyndigheder er underlagt.

2.9.3. Justitsministeriets overvejelser og lovforslagets udformning

Direktivets kapitel VI indeholder regler om oprettelsen af tilsynsmyndig-

heden og om tilsynsmyndighedens status, opgaver og beføjelser. Reglerne

er sammenfaldende med reglerne om tilsynsmyndigheden i databeskyttel-

sesforordningens kapitel VI.

2.9.3.1.

I forhold til Datatilsynets organisation foreslås der i vidt omfang

en videreførelse af den gældende ordning.

Det er imidlertid et krav efter direktivets artikel 44, stk. 1, litra e, at med-

lemsstaterne fastsætter regler om, hvorvidt der ske genudnævnelse af med-

lemmer af tilsynsmyndigheden, og i givet fald hvor mange gange, at der

kan ske genudnævnelse.

Justitsministeriet finder, at hensynet til at sikre en vis kontinuitet for Data-

rådet, og til at sikre, at rådets medlemmer opnår tilstrækkelig erfaring med

behandling af rådets sager, taler for, at der skal være mulighed for genud-

nævnelse.

På den anden side vil en ubegrænset adgang til genudnævnelse – såfremt

en sådan ordning ville være i overensstemmelse med direktivet – kunne

skabe tvivl om medlemmets uafhængighed, idet det ville kunne anføres, at

medlemmet agerer på en måde i rådet, som er egnet til at sikre, at der sker

genudnævnelse af den pågældende.

110

Justitsministeriet finder, at en ordning, hvor der er mulighed for at blive

genudnævnt to gange, udgør en fornuftig balance mellem disse to hensyn.

Justitsministeriet finder desuden, at karakteren af de oplysninger om de

kompetente myndigheder automatiske databehandlingssystemer, som vil

kunne tilgå rådet, kan begrunde, at der fremover stilles krav om, at rådets

formand, medlemmer og stedfortrædende medlemmer kan sikkerhedsgod-

kendes, og at sikkerhedsgodkendelsen kan opretholdes i hele embedsperio-

den. En sådan ordning er i overensstemmelse med direktivets artikel 43,

stk. 4, hvorefter et medlem bl.a. kan afskediges, hvis den pågældende ikke

længere opfylder betingelserne for at varetage sit hverv.

I forhold til direktivets krav om, at den enkelte tilsynsmyndigheds medlem

eller medlemmer og personale såvel under som efter deres embedsperiode

skal have tavshedspligt for så vidt angår alle fortrolige oplysninger, der er

kommet til deres kendskab under udførelsen af deres opgaver eller udøvel-

sen af deres beføjelser, jf. artikel 44, stk. 2, er det Justitsministeriets vurde-

ring, at dette krav er opfyldt gennem Datarådets forretningsorden, jf. pkt.

2.9.1.1 ovenfor, forvaltningslovens § 27 og straffelovens § 152.

Der henvises i øvrigt til lovforslagets § 37 og bemærkningerne hertil.

2.9.3.2.

Tilsynsmyndigheden har efter direktivet ikke kompetence til at

føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres

egenskab af domstol.

Der foreslås på den baggrund, at ordningen efter persondatalovens § 67

videreføres, hvorefter Domstolsstyrelsen alene har kompetence til at føre

tilsyn med domstolenes behandling af personoplysninger med hensyn til

administrative forhold.

Der henvises i øvrigt til lovforslagets § 38 og bemærkningerne hertil.

2.9.3.3.

For så vidt angår spørgsmålet om tilsynsmyndighedernes uafhæn-

gighed, som er reguleret i direktivets artikel 42, er der tale om en viderefø-

relse af gældende ret, herunder udtryk for en kodificering af EU-Domsto-

lens retspraksis om fortolkningen af de krav til tilsynsmyndighedens uaf-

hængighed, som følger af databeskyttelsesdirektivet.

111

Den gældende ordning i Danmark efter persondatalovens §§ 55-56 og §§

67-68 med Datatilsynets og Domstolsstyrelsens tilsyn anses for at leve op

til det gældende uafhængighedskrav.

Justitsministeriet forholdt sig således til tilsynsmyndighedernes uafhæn-

gighed i et svar af 17. december 2012 på spørgsmål nr. 284 (Alm. del) af

19. november 2012 fra Folketingets Retsudvalg. Det fremgår af besvarel-

sen, at det af § 56 i den danske persondatalov følger, at Datatilsynet udø-

ver sine funktioner i fuld uafhængighed. Dette indebærer bl.a., at hverken

Justitsministeriet eller andre ministerier kan give instruktioner eller føre

tilsyn med Datatilsynet.

Det fremgår videre af besvarelsen, at det af forarbejderne til persondata-

loven (Folketingstidende 1999-2000, tillæg A, s. 4101) fremgår, at der ved

udpegning af medlemmer af rådet skal tilstræbes uvildighed og sagkund-

skab, og at rådets medlemmer således skal udpeges på en måde, der sikrer

Datatilsynet den fornødne uafhængighed. Hvad angår de ansatte i Datatil-

synets sekretariat er disse ikke undergivet et tjenstligt tilsyn fra Justitsmi-

nisteriets side.

Det foreslås på den baggrund, at der fastsættes regler om, at tilsynsmyn-

digheden skal udøve sine funktioner i fuld uafhængighed. Den foreslåede

bestemmelse omfatter således tillige de aspekter af uafhængighedskravet,

som er anført i direktivets artikel 42, stk. 2-6. I forhold til spørgsmålet om

tilsynsmyndighedens budget, som efter direktivets artikel 42, stk. 6, skal

være særskilt, kan det bemærkes, at bevillingen til Datatilsynet og Dom-

stolsstyrelsen fremgår særskilt af den årlige finanslov under Justitsministe-

riet.

Der henvises i øvrigt til lovforslagets § 39 og bemærkningerne hertil.

2.10. Retsmidler, ansvar og sanktioner

2.10.1. Gældende ret

Bestemmelser om erstatning- og strafansvar er fastsat i persondatalovens

kapitel 18 (§§ 69-71). Den generelle adgang til at klage til tilsynsmyndig-

heden over behandling af personoplysninger findes i lovens § 40.

2.10.1.1.

Efter § 69 skal den dataansvarlige erstatte skade, der er forvoldt

ved behandling i strid med bestemmelserne i loven, medmindre det godt-

112

gøres, at skaden ikke kunne have været afværget ved den agtpågivenhed

og omhu, der må kræves i forbindelse med behandling af oplysninger.

Der er således tale om et præsumptionsansvar (culpa med omvendt bevis-

byrde) for den dataansvarlige. Erstatningsansvaret reguleres i øvrigt af

dansk rets almindelige erstatningsretlige regler.

Det fremgår af forarbejderne til persondataloven (Folketingstidende 1999-

2000, tillæg A, s. 4043 f.), at valget af præsumptionsansvar som ansvars-

grundlag var påkrævet for at sikre en korrekt implementering af databe-

skyttelsesdirektivet.

2.10.1.2.

Lovens § 70, stk. 2, indeholder regler om straf i forbindelse med

behandling, som udføres for offentlige myndigheder. Medmindre højere

straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte

den, der overtræder § 41, stk. 3 (om behandlingssikkerhed), eller § 53 (om

forudgående anmeldelse for databehandlere) eller tilsidesætter vilkår som

nævnt i § 7, stk. 7 (om behandling af følsomme oplysninger), § 9, stk. 3

(om førelse af retsinformationssystemer), § 10, stk. 3 (om videregivelse af

følsomme oplysninger og oplysninger om rent private forhold til tredje-

mand i statistisk eller videnskabeligt øjemed), § 13, stk. 1 (om registrering

af udgående telefonopkald), § 27, stk. 4 (overførsel af oplysninger til tred-

jelande), eller en betingelse eller et vilkår for en tilladelse i henhold til

regler udstedt i medfør af loven.

Det fremgår videre af persondatalovens § 70, stk. 5, at der kan pålægges

selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens

5. kapitel.

Det fremgår af straffelovens § 27, stk. 2, at statslige myndigheder og kom-

muner alene kan straffes i anledning af overtrædelser, der begås ved udø-

velse af virksomhed, der svarer til eller kan sidestilles med virksomhed

udøvet af private.

2.10.2. Retshåndhævelsesdirektivet

2.10.2.1.

Efter direktivets artikel 52 skal enhver registreret have adgang til

at indgive klager til tilsynsmyndigheden. Sendes klagen til den forkerte

tilsynsmyndighed, skal der ske videresendelse. Tilsynsmyndigheden skal

efter anmodning yde bistand til den registrerede og skal underrette den

113

pågældende om forløbet og resultatet af klagen samt vejlede om adgangen

til retsmidler.

2.10.2.2.

Efter direktivets artikler 53 og 54 skal den registrerede – med

forbehold af en eventuel administrativ klageadgang – have ret til at ind-

bringe henholdsvis tilsynsmyndighedens afgørelser og spørgsmål om

dataansvarliges og databehandleres krænkelser af de rettigheder, der garan-

teres vedkommende i henhold til national lovgivning, for en domstol. En

sag mod en tilsynsmyndighed skal anlægges i den medlemsstat, hvor til-

synsmyndigheden er etableret, jf. artikel 53 stk. 3.

2.10.2.3.

Den registrerede skal i overensstemmelse med nationale retsple-

jeregler have ret til at bemyndige et organ, en organisation eller en sam-

menslutning, der er etableret i overensstemmelse med medlemsstaternes

nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige

formål er af almen interesse, og som er aktiv på området for beskyttelse af

registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse

af deres personoplysninger, til at indgive en klage på sine vegne og til at

udøve de rettigheder, der er omhandlet i artikel 52, 53 og 54 på sine vegne.

Det fremgår af direktivets præambelbetragtning nr. 87, at den registreredes

ret til at lade sig repræsentere ikke bør berøre medlemsstaternes nationale

retsplejeregler, som vil kunne kræve obligatorisk repræsentation af regi-

strerede ved advokat for en national domstol.

2.10.2.4.

Direktivets artikel 56 omhandler retten til erstatning. Efter be-

stemmelsen er enhver, der har lidt skade som følge af en ulovlig handling

eller enhver anden handling, der er uforenelig med de nationale bestem-

melser, der vedtages til gennemførelse af direktivet, berettiget til erstatning

for den forvoldte skade fra den kompetente myndighed (eller en anden

myndighed, der er kompetent i henhold til den nationale lovgivning).

2.10.2.5.

Efter artikel 57 fastsætter medlemsstaterne regler om sanktioner,

der er effektive, står i et rimeligt forhold til lovovertrædelsen, har afskræk-

kende virkning, og som skal finde anvendelse i tilfælde af overtrædelse af

de bestemmelser, der vedtages til gennemførelse af direktivet.

2.10.3. Justitsministeriets overvejelser og lovforslagets udformning

2.10.3.1.

Direktivets artikel 52 indeholder et krav om, at enhver registreret

har ret til at indgive klage til en tilsynsmyndighed.

114

Bestemmelsen svarer til den gældende bestemmelse i persondatalovens §

40, som foreslås videreført.

Der henvises i øvrigt til lovforslagets § 48, stk. 1, og bemærkningerne her-

til.

2.10.3.2.

Direktivets artikel 53 indeholder regler om, at den registrerede

skal have adgang til at indbringe en tilsynsmyndigheds afgørelser for dom-

stolene. Der skal endvidere være adgang for den registrerede til at indbrin-

ge tilsynet for domstolene, hvis tilsynet har undladt at opfylde sine opga-

ver efter direktivet i forhold til den registrerede, dvs. ikke har behandlet en

klage eller givet underretning om forløbet eller resultatet af en klage inden

for tre måneder.

For så vidt angår spørgsmålet om adgangen til at indbringe en tilsynsmyn-

digheds afgørelser for domstolene, følger det af grundlovens § 63, at dom-

stolene er berettiget til at påkende ethvert spørgsmål om øvrighedsmyndig-

hedens grænser. Denne mulighed for domstolsprøvelse vil bl.a. kunne ud-

nyttes, såfremt Datatilsynet eller Domstolsstyrelsen har behandlet en klage

fra en registreret person. I givet fald vil den registrerede, som tilsynsmyn-

dighedens afgørelse måtte gå imod, kunne indbringe denne for domstole-

ne.

For så vidt angår adgangen til at indbringe en tilsynsmyndighed for dom-

stolene for ikke at havde opfyldt sine opgaver, følger adgangen til at ind-

bringe tilsynsmyndigheden for domstolene af retsplejelovens almindelige

regler, hvorefter offentlige myndigheder kan sagsøges af personer med

retlig interesse i spørgsmålet.

For så vidt angår spørgsmålet om, hvor en sag mod Datatilsynet eller

Domstolsstyrelsen skal anlægges, fremgår det af retsplejelovens § 240, stk.

1, at staten har hjemting i den retskreds, hvor den myndighed, som stævnes

på statens vegne, har kontor.

Det foreslås på den baggrund, at der fastsættes en regel om, at den registre-

rede kan indbringe tilsynsmyndigheders afgørelser, undladelser af at be-

handle en klage fra en registreret eller en manglende underretning om for-

løbet eller resultatet af en klage inden for tre måneder, for retten i den bor-

gerlige retsplejes former, dvs. efter retsplejelovens regler om civile søgs-

mål.

115

Den foreslåede bestemmelse er således en videreførelse af gældende ret.

Der henvises i øvrigt til lovforslagets § 48, stk. 2, og bemærkningerne her-

til.

2.10.3.3.

Efter direktivets artikel 54 skal den registrerede have adgang til

effektive retsmidler over for en dataansvarlig eller en databehandler.

Adgangen til at indbringe tilsynsmyndigheden for domstolene, hvilket

anses for at opfylde kravet om adgang til effektive retsmidler, følger af

retsplejelovens almindelige regler, jf. det ovenfor i pkt. 2.10.3.2 anførte

om adgangen til at indbringe tilsynsmyndighederne for domstolene.

Det foreslås på den baggrund, at der fastsættes regler om, at den registrere-

de kan indbringe spørgsmål om den dataansvarliges og databehandleres

overholdelse af loven for domstolene i overensstemmelse i den borgerlige

retsplejes former, dvs. efter retsplejelovens regler om civile søgsmål.

Der henvises i øvrigt til lovforslagets § 48, stk. 2 og 3, og bemærkningerne

hertil.

2.10.3.4.

Efter direktivets artikel 55 skal den registrerede have adgang til

at lade sig repræsentere i forhold til klager til tilsynsmyndigheden og ind-

bringelse af henholdsvis tilsynsmyndighederne samt dataansvarlige og

databehandlere for domstolene. Denne ret er efter direktivet begrænset til

et organ, en organisation eller en sammenslutning, der er etableret i over-

ensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med

gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som

er aktiv på området for beskyttelse af registreredes rettigheder og friheds-

rettigheder med hensyn til beskyttelse af deres personoplysninger.

Retten til at lade sig repræsentere er efter gældende ret ikke begrænset på

en måde, som svarer til direktivets artikel 55.

Således gælder der i dansk forvaltningsret på ulovbestemt grundlag et

grundlæggende princip om, at den, der er part i en sag ved den offentlige

forvaltning, på ethvert tidspunkt kan lade sige repræsentere eller bistå af

andre. For så vidt angår afgørelsessager er dette princip kodificeret i for-

valtningslovens § 8, stk. 1. Den, som optræder som repræsentant, skal kun-

ne godtgøre, at vedkommende er berettiget hertil.

116

For så vidt angår den registreredes adgang til at lade sig repræsentere af

andre ved anlæggelse af søgsmål følger dette af dansk rets regler om man-

datarer. Mandataren kan føre sagen på partens vegne på samme måde som

en procesfuldmægtig, og mandatarens optræden i sagen bygger på partens

bemyndigelse, der når som helst kan tilbagekaldes.

Justitsministeriet finder ikke grundlag for at indsnævre de registreredes

adgang til at lade sig repræsentere i sager omfattet af lovforslagets område

i forhold til dansk rets almindelige regler herom.

Det foreslås på den baggrund, at der fastsættes regler om, at den registrere-

de tillige skal have adgang til at udøve sine rettigheder gennem en repræ-

sentant.

Der henvises i øvrigt til lovforslagets § 48 og bemærkningerne hertil.

2.10.3.5.

Det fremgår af direktivets artikel 56, at enhver, som har lidt ma-

teriel eller immateriel skade som følge af en ulovlig behandlingsaktivitet

eller en overtrædelse af de nationale regler, der vedtages i henhold til di-

rektivet, har ret til erstatning for den forvoldte skade fra den dataansvarlige

eller en anden myndighed, der er kompetent i henhold til national ret.

Efter den gældende bestemmelse i persondatalovens § 69 skal den

dataansvarlige erstatte skade, der er forvoldt ved behandling i strid med

bestemmelserne i loven, medmindre det godtgøres, at skaden ikke kunne

have været afværget ved den agtpågivenhed og omhu, der må kræves i

forbindelse med behandling af oplysninger.

Efter de gældende regler gælder der således et skærpet ansvarsgrundlag i

form af præsumptionsansvar (culpa med omvendt bevisbyrde). I modsæt-

ning til et almindeligt culpaansvar, hvor den skadelidte har bevisbyrden

for, at skadevolderen har handlet culpøst, indebærer præsumptionsansva-

ret, at skadevolderen har bevisbyrden for, at vedkommende ikke har hand-

let ansvarspådragende. Efter den gældende bestemmelse i persondata-

lovens § 69 skal den dataansvarlige således bevise, at hverken den pågæl-

dende selv eller nogen, for hvis fejl den dataansvarlige i givet fald er an-

svarlig for, har handlet culpøst. Herudover finder de almindelige erstat-

ningsretlige principper anvendelse.

117

Det fremgår af forarbejderne til persondataloven, jf. lovforslag nr. L 147 af

9. december 1999 (Folketingstidende 1999-2000, tillæg A, s. 4043 f.), at

valget af præsumptionsansvar som ansvarsgrundlag var påkrævet for at

sikre en korrekt implementering af databeskyttelsesdirektivet.

Retshåndhævelsesdirektivets artikel 56 regulerer i modsætning til databe-

skyttelsesdirektivet ikke nærmere, hvordan reglerne om erstatning skal

udformes, herunder hvilket ansvarsgrundlag der skal anvendes. Der må

derfor antages at være et vist råderum for medlemsstaterne på dette punkt.

Det er Justitsministeriets opfattelse, at spørgsmål om erstatning for over-

trædelse af lovens bestemmelser skal håndteres i medfør af de almindelige

erstatningsretlige regler i dansk ret, og at der ikke er grundlag eller behov

for at fastsætte et skærpet præsumptionsansvar. De registreredes mulighe-

der for at godtgøre, at der foreligger et erstatningsansvar, skal således ses i

lyset af de registreredes adgang til at klage til tilsynsmyndighederne med

den deraf følgende adgang til at anvende tilsynsmyndighedernes afgørelser

i en efterfølgende erstatningssag. Hertil kommer, at det ikke er et krav ef-

ter retshåndhævelsesdirektivet, at der fastsættes et skærpet præsumptions-

ansvar.

Justitsministeriet finder således, at adgangen til erstatning skal følge de

almindelige erstatningsretlige principper i dansk ret.

Retshåndhævelsesdirektivets artikel 56 drejer sig om adgangen til at søge

erstatning hos den dataansvarlige for skade som følge af en ulovlig be-

handlingsaktivitet eller enhver anden behandling i strid med de nationale

regler, som gennemfører direktivet. For så vidt angår de tilfælde, hvor ska-

den er opstået som følge af en culpøs handling eller undladelse foretaget af

en databehandler, vil den dataansvarlige efter omstændighederne kunne

gøre et regreskrav gældende mod databehandleren. Adgangen hertil regu-

leres ikke af retshåndhævelsesdirektivet, men vil kunne være reguleret af

databehandleraftalen, og vil i øvrigt afhænge af, om der foreligger et an-

svarsgrundlag efter de almindelige regler om erstatning inden for kontrakt-

forhold.

Der henvises i øvrigt til lovforslagets § 49 og bemærkningerne hertil.

2.10.3.6.

Direktivets artikel 57 forpligter medlemsstaterne til at fastsætte

regler om sanktioner, samt at træffe alle nødvendige foranstaltninger for at

118

sikre, at sanktionerne anvendes. Sanktionerne skal være effektive, stå i et

rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Persondatalovens § 70, stk. 2, indeholder regler om straf i forbindelse med

behandling, som udføres for offentlige myndigheder. Handlinger, der tilli-

ge indebærer en overtrædelse af bestemmelser, der kan medføre højere

straf, kan henføres under sådanne bestemmelser. Der tænkes herved navn-

lig på bestemmelsen i straffelovens § 264 d om bl.a. forsætlig, uberettiget

videregivelse af oplysninger om en anden persons private forhold. Der

tænkes endvidere på forskellige andre bestemmelser i straffeloven om for-

brydelser i offentlig tjeneste eller hverv m.v., herunder bl.a. §§ 152 og 152

c-f samt §§ 155-157.

Strafansvar efter persondatalovens § 70, stk. 2, vedrører primært bestem-

melser, som private databehandlere, der udfører opgaver for offentlige

myndigheder, skal iagttage. Strafansvar i forhold til den offentlige myn-

dighed er navnlig relevant ved overtrædelser af vilkår fastsat af Datatilsy-

net. Offentlige myndigheder kan ifalde strafansvar for overtrædelse af per-

sondataloven i overensstemmelse med straffelovens regler om strafansvar

for juridiske personer mv.

Det foreslås på den baggrund, at der fastsættes en bestemmelse, hvor pri-

vate dataansvarlige kan ifalde strafansvar i forhold til behandling, som

udføres for de kompetente myndigheder, og hvor de kompetente myndig-

heder kan ifalde strafansvar ved overtrædelse af påbud og forbud, der er

meddelt i henhold til den foreslåede § 42.

Med den foreslåede ordning sikres det, at tilsynsmyndighederne har en

reaktionsmulighed i tilfælde af, at en kompetent myndighed ikke overhol-

der et påbud eller forbud.

Strafansvaret efter denne bestemmelse vil således navnlig være relevant i

forhold til overtrædelser af generel eller systematisk karakter, idet stra-

fansvar for så vidt angår overtrædelser i form af konkrete behandlinger,

f.eks. en polititjenestemands uberettigede videregivelse af personoplysnin-

ger til et nyhedsmedie, som typisk ikke vil blive genstand for påbud eller

forbud fra tilsynsmyndigheder, fortsat vil kunne fastlægges i medfør af

straffelovens regler suppleret af eventuelle disciplinære reaktioner.

Strafansvaret for offentlige myndigheder skal også fortsat pålægges i over-

ensstemmelse med reglerne i straffelovens 5. kapitel, herunder straffe-

119

lovens § 27, stk. 2. Det følger heraf, at statslige myndigheder og kommu-

ner alene kan straffes i anledning af overtrædelser, der begås ved udøvelse

af virksomhed, der svarer til eller kan sidestilles med virksomhed udøvet

af private.

Der henvises i øvrigt til lovforslagets § 50 og bemærkningerne hertil.

3. Økonomiske og administrative konsekvenser for det offentlige

Der udstår en vurdering af lovforslagets økonomiske og administrative

konsekvenser for det offentlige.

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget har ikke administrative eller økonomiske konsekvenser for

erhvervslivet.

5. Administrative konsekvenser for borgerne

6. Miljømæssige konsekvenser

Lovforslaget har ikke miljømæssige konsekvenser.

7. Forholdet til EU-retten

Lovforslaget gennemfører Europa-Parlamentets og Rådets direktiv

2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbin-

delse med kompetente myndigheders behandling af personoplysninger

med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafba-

re handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling

af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse

2008/977/RIA.

8. Hørte myndigheder og organisationer mv.

Et udkast til lovforslaget har i perioden fra den 1. marts 2017 til den 15.

marts 2017 været sendt i høring hos følgende myndigheder og organisa-

tioner mv.:

9. Sammenfattende skema

120

Positive konsekven-

ser/mindreudgifter

(hvis ja, angiv om-

fang)

Økonomiske konse-

kvenser for stat, kom-

muner og regioner

Negative konsekven-

ser/merudgifter

(hvis ja, angiv om-

fang)

Administrative kon-

sekvenser for stat,

kommuner og regio-

ner

Økonomiske konse-

kvenser for erhvervsli-

vet

Administrative konse-

kvenser for erhvervsli-

vet

Administrative konse-

kvenser for borgerne

Miljømæssige

konsekvenser

Ingen

Forholdet til EU-retten Lovforslaget gennemfører Europa-Parlamen-

tets og Rådets direktiv 2016/680/EU af 27.

april 2016 om beskyttelse af fysiske personer i

forbindelse med kompetente myndigheders

behandling af personoplysninger med henblik

på at forebygge, efterforske, afsløre eller rets-

forfølge strafbare handlinger eller fuldbyrde

strafferetlige sanktioner og om fri udveksling

af sådanne oplysninger og om ophævelse af

Rådets rammeafgørelse 2008/977/RIA.

121

Overimplementering af

EU-retlige minimumsfor-

pligtelser (sæt X)

Nej

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til stk. 1

Persondataloven gælder generelt for behandling af personoplysninger, der

helt eller delvis foretages ved hjælp af elektronisk databehandling, og for

ikke-elektronisk behandling af personoplysninger, der er eller vil blive

indeholdt i et register, jf. lovens § 1, stk. 1. Regler om behandling af perso-

noplysninger i anden lovgivning, som giver den registrerede en bedre rets-

stilling, går forud for reglerne i persondataloven, jf. § 2, stk. 1.

Persondataloven gælder således også for politiets, militærpolitiets, ankla-

gemyndighedens, herunder den militære anklagemyndigheds, kriminal-

forsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes be-