Efter afstemningen i Folketinget ved 2.
behandling den 25. april 2017
Forslag
til
Lov om retshåndhævende myndigheders
behandling af personoplysninger1)
Afsnit I
Indledende bestemmelser
Kapitel 1
Lovens område
§ 1.
Loven gælder for politiets, anklagemyndighedens, herunder den
militære anklagemyndigheds, kriminalforsorgens, Den
Uafhængige Politiklagemyndigheds og domstolenes behandling af
personoplysninger, der helt eller delvis foretages ved hjælp
af automatisk databehandling, og for anden ikkeautomatisk
behandling af personoplysninger, der er eller vil blive indeholdt i
et register, når behandlingen foretages med henblik på
at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner,
herunder for at beskytte mod eller forebygge trusler mod den
offentlige sikkerhed.
Stk. 2. Loven
finder ikke anvendelse på den behandling af
personoplysninger, som udføres for eller af politiets og
forsvarets efterretningstjenester.
Stk. 3. Loven
finder ikke anvendelse på behandling af personoplysninger i
medfør af EU-retsakter, der den 6. maj 2016 eller inden
denne dato er trådt i kraft på området for
retligt samarbejde i straffesager og politisamarbejde, og som
regulerer behandling mellem medlemsstaterne og de udpe?g?ede
myndigheders adgang til EU-informationssystemer.
§ 2.
Regler om behandling af personoplysninger i anden lovgivning, som
giver den registrerede en bedre retsstilling, går forud for
reglerne i denne lov.
Kapitel 2
Definitioner
§ 3.
I denne lov forstås ved:
1)
Personoplysninger: Enhver form for information om en identificeret
eller identificerbar fysisk person (den registrerede).
2) Behandling:
Enhver aktivitet eller række af aktiviteter med eller uden
brug af automatisk behandling, som person?oply??s??ninger eller en
samling af person?o?ply?s?nin?g?er gøres til genstand
for.
3)
Begrænsning af behandling: Mærkning af opbevarede
personoplysninger med den hensigt at begrænse fremtidig
behandling af disse oplysninger.
4) Profilering:
Enhver form for automatisk behandling af personoplysninger, der
består i at anvende person?o?plysninger til at evaluere
bestemte personlige forhold vedrørende en fysisk person.
5) Register:
Enhver struktureret samling af personoplysninger, der er
tilgængelig efter bestemte kriterier, hvad enten denne
samling er placeret centralt eller decentralt eller er fordelt
på et funktionsbestemt eller et geografisk grundlag.
6) Kompetent
myndighed: Enhver offentlig myndighed eller ethvert andet organ
eller enhver anden enhed, der i henhold til medlemsstaternes
nationale ret er bemyndiget til at udøve offentlig myndighed
og offentlige beføjelser med henblik på at forebygge,
efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed. De
kompetente myndigheder i Danmark er politiet, anklagemyndigheden,
herunder den militære anklagemyndighed, kriminalforsorgen,
Den Uafhæn?g?ige Politiklagemyndighed og domstolene.
7)
Dataansvarlig: Den kompetente myndighed, der alene eller sammen med
andre afgør, til hvilke formål og med hvilke
hjælpemidler der må foretages behandling af
personoplysninger.
8)
Databehandler: En fysisk eller juridisk person, en offentlig
myndighed, en institution eller et andet organ, der behandler
personoplysninger på den dataansvarliges vegne.
9) Modtager: En
fysisk eller juridisk person, en offentlig myndighed, en
institution eller et andet organ, hvortil personoplysninger
videregives, således at modtageren herefter
selvstændigt træffer beslutning om, til hvilket
formål og med hvilke midler denne behandler de videregivne
oplysninger, uanset om det er en tredjemand eller ej. Myndigheder,
som vil kunne få meddelt personoplysninger som led i en
isoleret forespørgsel, betragtes ikke som modtagere.
10) Brud
på persondatasikkerheden: Ethvert brud på sikkerheden,
der fører til hændelig eller ulovlig
tilintetgørelse, hændeligt eller ulovligt tab,
hændelig eller ulovlig ændring eller uautoriseret
videregivelse af eller adgang til personoplysninger, der er
transmitteret, opbevaret eller på anden måde
behandlet.
11) Genetiske
data: Personoplysninger vedrørende en fysisk persons arvede
eller erhvervede genetiske karakteristika, som giver entydig
information om den fysiske persons fysiologi eller helbred, og som
navnlig foreligger efter en analyse af en biologisk prøve
fra den pågældende fysiske person.
12) Biometriske
data: Personoplysninger, der som følge af specifik teknisk
behandling vedrørende en fysisk persons fysiske,
fysiologiske eller adfærdsmæssige karakteristika
muliggør eller bekræfter en entydig identifikation af
vedkommende, f.eks. ansigtsbillede eller
fingeraftryksoplysninger.
13)
Helbredsoplysninger: Personoplysninger, der vedrører en
fysisk persons fysiske eller mentale helbred, herunder levering af
sundhedsydelser, og som giver information om vedkommendes
helbredstilstand.
14)
International organisation: En folkeretlig organisation og organer,
der er underordnet en sådan organisation, og ethvert andet
organ, der er oprettet ved eller med hjemmel i en aftale mellem to
eller flere lande.
Afsnit II
Behandlingsregler
Kapitel 3
Behandling af oplysninger
§ 4.
Oplysninger skal behandles i overensstemmelse med god
databehandlingsskik og under hensyntagen til oplysningernes
karakter.
Stk. 2.
Indsamling af oplysninger skal ske til udtrykkeligt angivne og
saglige formål, som er omfattet af § 1, stk. 1, og
senere behandling må ikke være uforenelig med disse
formål, jf. dog § 5.
Stk. 3.
Oplysninger, som behandles, skal være relevante og
tilstrækkelige og må ikke omfatte mere, end hvad der
kræves til opfyldelse af de formål, hvortil
oplysningerne indsamles, og de formål, hvortil oplysningerne
senere behandles.
Stk. 4.
Oplysninger, som behandles, skal være korrekte og om
nødvendigt ajourførte. Der skal tages ethvert
rimeligt skridt for at sikre, at personoplysninger, der er urigtige
i forhold til de formål, hvortil de behandles, straks slettes
eller berigtiges.
Stk. 5. Den
dataansvarlige træffer alle rimelige foranstaltninger til at
sikre, at personoplysninger ikke videregives eller stilles til
rådighed, hvis de er urigtige, ufuldstændige eller ikke
ajourførte. I dette øjemed verificerer den
dataansvarlige så vidt muligt kvaliteten af
personoplysningerne, før de videregives eller stilles til
rådighed. I forbindelse med videregivelse af oplysninger skal
der så vidt muligt tilføjes nødvendige
oplysninger, der gør det muligt for den modtagende
kompetente myndighed at vurdere, i hvor høj grad
personoplysningerne er rigtige, fuldstændige og
pålidelige, og i hvilket omfang de er ajourførte.
Konstateres det, at der er videregivet urigtige personoplysninger,
eller at person?o?plysninger er videregivet ulovligt, skal dette
straks meddeles modtageren. Oplysningerne skal i givet fald
berigtiges eller slettes, eller behandlingen skal
begrænses.
Stk. 6.
Indsamlede oplysninger må ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede
i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles.
Stk. 7.
Indsamlede oplysninger skal behandles på en måde, der
sikrer en tilstrækkelig sikkerhed for de
pågældende personoplysninger, herunder beskyttelse mod
uautoriseret eller ulovlig behandling og mod hændeligt tab,
hændelig tilintetgørelse eller hændelig
beskadigelse, under anvendelse af passende tekniske eller
organisatoriske foranstaltninger, jf. § 27.
Stk. 8. Den
dataansvarlige er ansvarlig for og skal kunne påvise, at stk.
1-7 overholdes.
§ 5.
Senere behandling af oplysninger til et andet af de formål,
der er nævnt i § 1, stk. 1, end det, hvortil de
oprindelig var indsamlet, kan foretages af den samme eller en anden
af de kompetente myndigheder, når behandlingen sker på
baggrund af lov og er nødvendig og forholdsmæssig i
forhold til dette efterfølgende formål.
Stk. 2. Der kan
i medfør af stk. 1 endvidere foretages behandling af
oplysninger, der alene sker til arkivformål i samfundets
interesse eller i historisk, statistisk eller videnskabeligt
øjemed.
Stk. 3. Den
dataansvarlige er ansvarlig for og skal kunne påvise, at stk.
1 og 2 overholdes.
§ 6.
Foretages der videregivelse af oplysninger, fastsætter og
underretter den videregivende kompetente myndighed om eventuelle
særlige vilkår for behandling af oplysningerne. Der kan
ikke fastsættes særlige vilkår, alene som
følge af at der er tale om videregivelse til en modtager i
en anden medlemsstat.
Stk. 2.
Behandling af oplysninger, der er modtaget fra en kompetent
myndighed, må ikke ske i strid med særlige
vilkår, som er fastsat af den videregivende kompetente
myndighed.
§ 7.
Den dataansvarlige skal tilrettelægge behandlingen af
personoplysninger således, at der fastsættes passende
frister for sletning af personoplysninger eller regelmæssig
undersøgelse af behovet for lagring af oplysningerne. Det
sikres endvidere ved proceduremæssige foranstaltninger, at
tidsfristerne overholdes.
§ 8.
Den dataansvarlige skal, når det er relevant, så vidt
muligt sondre mellem personoplysninger om forskellige kategorier af
registrerede, herunder
1) personer, om
hvem der er væsentlig grund til at tro, at de har
begået eller vil begå en strafbar handling,
2) personer, der
er dømt for en strafbar handling,
3) ofre for en
strafbar handling eller personer, om hvem visse faktiske
omstændigheder giver anledning til at tro, at de kunne blive
ofre for en strafbar handling, og
4) andre parter
i forbindelse med en strafbar handling såsom personer,
der kan blive indkaldt som vidner i efterforskninger i forbindelse
med strafbare handlinger eller i efterfølgende straffesager,
personer, der kan tilvejebringe oplysninger om strafbare
handlinger, eller kontakt- eller ledsagepersoner for de personer,
der er nævnt i nr. 1 og 2.
§ 9.
Behandling af oplysninger må kun finde sted, når
behandlingen er nødvendig for at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod
eller forebygge trusler mod den offentlige sikkerhed.
§
10. Der må ikke behandles personoplysninger om race
eller etnisk oprindelse, politisk, religiøs eller filosofisk
overbevisning, fagforeningsmæssigt tilhørsforhold,
genetiske data, biometriske data med det formål entydigt at
identificere en fysisk person, helbredsoplysninger eller
oplysninger om en fysisk persons seksuelle forhold eller seksuelle
orientering.
Stk. 2. Under
overholdelse af betingelserne i denne lov kan der dog foretages
behandling af oplysninger omfattet af stk. 1, når det er
strengt nødvendigt og sker af hensyn til de formål,
der er nævnt i § 1, stk. 1, herunder for at beskytte den
registreredes eller en anden fysisk persons vitale interesser,
eller hvis behandlingen vedrører oplysninger, som tydeligvis
er offentliggjort af den registrerede.
§
11. Der kan træffes afgørelser, der har negativ
retsvirkning for den registrerede eller betydeligt påvirker
den pågældende, alene på grundlag af automatisk
behandling, herunder profilering.
Stk. 2. Ved
afgørelser, der er omfattet af stk. 1, skal der findes
passende foranstaltninger til at sikre den registreredes
berettigede interesser, herunder i det mindste en ret for den
registrerede til at kræve menneskelig indgriben fra den
dataansvarliges side.
§
12. De kompetente myndigheder skal indføre effektive
mekanismer, som tilskynder til fortrolig indberetning til
tilsynsmyndighederne af overtrædelser af denne lov.
Afsnit III
Den registreredes rettigheder
Kapitel 4
Oplysninger, der skal stilles til
rådighed for eller gives til den registrerede
§
13. Den dataansvarlige skal stille følgende
oplysninger til rådighed for den registrerede:
1) Identitet
på og kontaktoplysninger for den dataansvarlige.
2)
Kontaktoplysninger for databeskyttelsesrådgiveren og
oplysninger om dennes funktion i forhold til de registrerede.
3)
Formålene med den behandling, som personoplysnin?g?erne
skal bruges til.
4) Retten til at
indgive en klage til en tilsynsmyndighed og kontaktoplysninger for
tilsynsmyndigheden.
5) Den
registreredes rettigheder efter kapitel 5 og 6.
6) Retten til at
lade den kompetente tilsynsmyndighed udøve den registreredes
rettigheder i forhold til de kompetente myndigheders
afgørelser om undladelse, udsættelse,
begrænsning eller nægtelse efter dette kapitel og
kapitel 5 og 6, jf. § 40, stk. 1, nr. 10.
Stk. 2. Er det
nødvendigt for, at den registrerede kan varetage sine
interesser, skal den dataansvarlige som minimum give den
registrerede meddelelse om følgende:
1)
Retsgrundlaget for behandlingen.
2) Det tidsrum,
hvor personoplysningerne vil blive opbevaret, eller, hvis dette
ikke er muligt, de kriterier, der anvendes til at fastlægge
dette tidsrum.
3) Kategorierne
af eventuelle modtagere af personoply?s?ningerne, herunder i
tredjelande eller internationale organisationer.
4) Yderligere
oplysninger, hvis det er nødvendigt, navnlig hvis
personoplysningerne indsamles uden den registreredes vidende.
§
14. Meddelelse efter § 13, stk. 2, kan udsættes,
begrænses eller undlades, hvis den registreredes interesse i
at få kendskab til oplysningerne findes at burde vige for
at
1) undgå,
at der lægges hindringer i vejen for officielle eller retlige
undersøgelser, efterforskninger eller procedurer,
2) undgå
at skade forebyggelsen, afsløringen, efterforskningen eller
retsforfølgningen af strafbare handlinger eller
fuldbyrdelsen af strafferetlige sanktioner,
3) beskytte den
offentlige sikkerhed,
4) beskytte
statens sikkerhed eller
5) beskytte den
registreredes eller andres rettigheder.
Stk. 2.
Justitsministeren fastsætter nærmere regler om, hvilke
kategorier af behandling der er omfattet af stk. 1, og om, at
meddelelse efter § 13, stk. 2, kan udsættes til et
passende tidspunkt, for så vidt hensynene i stk. 1 må
antages at medføre, at meddelelser i almindelighed må
underkastes en sådan udsættelse.
Kapitel 5
Den registreredes indsigtsret
§
15. Fremsætter en registreret begæring herom,
skal den dataansvarlige bekræfte over for den
pågældende, om der behandles oplysninger om
vedkommende.
Stk. 2.
Behandles der oplysninger om den pågældende, skal der
gives adgang til oplysningerne samt gives en meddelelse med
følgende oplysninger:
1)
Formålene med og retsgrundlaget for behandlingen.
2) De
berørte kategorier af personoplysninger.
3) De modtagere
eller kategorier af modtagere, som personoplysningerne er
videregivet til, herunder navnlig modtagere i tredjelande eller
internationale organisationer.
4) Om muligt,
det påtænkte tidsrum, hvor personoplysnin?g?erne
vil blive opbevaret, eller, hvis dette ikke er muligt, de
kriterier, der anvendes til at fastlægge dette tidsrum.
5) Retten til at
anmode den dataansvarlige om berigtigelse eller sletning af
personoplysninger eller begrænsning af behandling
vedrørende den registrerede.
6) Retten til at
indgive en klage til tilsynsmyndigheden og kontaktoplysninger for
tilsynsmyndigheden.
7) Hvilke
personoplysninger der er omfattet af behandlingen, og enhver
tilgængelig oplysning om, hvorfra de stammer.
§
16. Indsigt efter § 15 kan udsættes,
begrænses eller nægtes, hvis den registreredes
interesse i at få kendskab til oplysningerne findes at burde
vige for de hensyn til offentlige interesser, der er nævnt i
§ 14, stk. 1.
Stk. 2. En
afgørelse om, at den registreredes indsigt udsættes,
begrænses eller nægtes, skal meddeles den registrerede
skriftligt og skal være ledsaget af en begrundelse og en
klagevejledning. Afgørelsen skal endvidere indeholde
oplysninger om den registreredes ret til at lade den kompetente
tilsynsmyndighed udøve den registreredes rettigheder, jf.
§ 40, stk. 1, nr. 10.
Stk. 3. Af
hensyn til de i stk. 1 nævnte formål kan den
registrerede i stedet for meddelelse efter stk. 2 gives meddelelse
om, at det ikke kan oplyses, om der behandles oplysninger om den
pågældende. En sådan meddelelse skal indeholde en
klagevejledning og oplysninger om den registreredes ret til at lade
den kompetente tilsynsmyndighed udøve den registreredes
rettigheder, jf. § 40, stk. 1, nr. 10.
Stk. 4.
Justitsministeren fastsætter nærmere regler om, hvilke
kategorier af behandling der er omfattet af stk. 1, herunder om
undtagelser fra retten til at få oplysninger efter § 15,
for så vidt hensynene i stk. 1 må antages at
medføre, at begæringer om indsigt i almindelighed
må nægtes.
Kapitel 6
Ret til berigtigelse, sletning og
begrænsning af behandling
§
17. Den dataansvarlige skal efter anmodning fra den
registrerede uden unødig forsinkelse berigtige oplysninger,
der viser sig urigtige. På tilsvarende måde skal der
ske fuldstændiggørelse af ufuldstændige
oplysninger, hvis dette kan ske uden at bringe formålet med
behandlingen i fare. Den dataansvarlige skal meddele berigtigelse
af urigtige person?o?plysninger til den kompetente myndighed,
hvorfra de urigtige oplysninger stammer.
Stk. 2. Den
dataansvarlige skal efter anmodning fra den registrerede uden
unødig forsinkelse slette oplysninger, der er behandlet i
strid med kapitel 3, eller hvis det er påkrævet for at
overholde en retlig forpligtelse, som den dataansvarlige er
underlagt.
Stk. 3. Den
dataansvarlige skal i stedet for sletning begrænse
behandlingen af personoplysninger, hvis
1) rigtigheden
af personoplysningerne bestrides af den registrerede og deres
rigtighed eller urigtighed ikke kan konstateres eller
2)
personoplysningerne skal bevares som bevismiddel.
Stk. 4. Er
behandling begrænset i henhold til stk. 3, nr. 1, underretter
den dataansvarlige den registrerede herom, inden
begrænsningen af behandling ophæves.
Stk. 5. Et
afslag på en anmodning om berigtigelse, sletning eller
begrænsning af behandling skal meddeles den registrerede
skriftligt og skal være ledsaget af en begrundelse og en
klagevejledning. Afgørelsen skal endvidere indeholde
oplysninger om den registreredes ret til at lade den kompetente
tilsynsmyndighed udøve den registreredes rettigheder, jf.
§ 40, stk. 1, nr. 10. Bestemmelsen i § 16, stk. 3, finder
tilsvarende anvendelse.
Stk. 6. Den
dataansvarlige skal underrette modtagere om, at der er sket
berigtigelse, sletning eller begrænsning af behandling af
personoplysninger. Modtagerne berigtiger eller sletter
personoplysningerne eller begrænser behandling af
personoplysninger, som de har ansvaret for.
Kapitel 7
Generelle bestemmelser
§
18. Oplysninger og meddelelser, der er nævnt i dette
afsnit, skal stilles til rådighed eller gives gratis i en
kortfattet, letforståelig og lettilgængelig form og i
et klart og enkelt sprog.
Stk. 2. Den
dataansvarlige skal snarest og på skrift besvare anmodninger
som nævnt i dette afsnit. Er anmodningen ikke besvaret inden
4 uger efter modtagelsen, skal den dataansvarlige underrette den
pågældende om grunden hertil samt om, hvornår
anmodningen forventes besvaret.
Stk. 3.
Retsplejelovens og den militære retsplejelovs regler om
retten til oplysninger, indsigt i og berigtigelse eller sletning og
begrænsning af behandling af personoplysninger i straffesager
finder anvendelse i forhold til rettigheder i medfør af
dette afsnit.
Stk. 4.
Justitsministeren fastsætter nærmere regler om
behandling af anmodninger i medfør af dette afsnit og om
behandling af klagesager, herunder at afgørelser ikke skal
kunne påklages til anden administrativ myndighed.
§
19. Den dataansvarlige kan afvise at imødekomme
åbenbart grundløse eller overdrevent gentagne
anmodninger, som er fremsat i henhold til bestemmelserne i dette
afsnit.
Afsnit IV
Forpligtelser for den dataansvarlige og
databehandleren
Kapitel 8
Forpligtelser for den
dataansvarlige
§
20. Den dataansvarlige gennemfører og om
nødvendigt ajourfører og reviderer de fornødne
tekniske og organisatoriske foranstaltninger for at sikre og for at
være i stand til at påvise, at behandling er i
overensstemmelse med denne lov. Står det i rimeligt forhold
til behandlingsaktiviteterne, skal den dataansvarlige tillige
gennemføre de fornødne
databeskyttelsespolitikker.
Stk. 2.
Foranstaltninger efter stk. 1 omfatter databeskyttelse gennem
design og gennem standardindstillinger.
§
21. Fastsætter to eller flere dataansvarlige i
fællesskab formålene med og hjælpemidlerne til
behandling, betragtes de som fælles dataansvarlige.
Fælles dataansvarlige skal fastsætte en ordning for
fordeling af ansvaret for, at behandlingen er i overensstemmelse
med loven, herunder navnlig i forhold til den registreredes
rettigheder efter afsnit III. Ordningen skal omfatte udpegning af
et fælles kontaktpunkt. Der kan udpeges et særligt
kontaktpunkt, der kan fungere som fælles kontaktpunkt for de
registrerede, når disse udøver deres rettigheder.
Kapitel 9
Forpligtelser for databehandleren
m.v.
§
22. Overlader en dataansvarlig en behandling af oplysninger
til en databehandler, skal den dataansvarlige sikre sig, at
databehandleren kan træffe de tekniske og organisatoriske
sikkerhedsforanstaltninger, der er nævnt i §§ 20 og
24, og påse, at dette sker.
Stk. 2.
Gennemførelse af en behandling ved en databehandler skal ske
i henhold til lov eller en skriftlig aftale mellem databehandleren
og den dataansvarlige. Loven eller aftalen skal fastsætte
genstanden for og varigheden af behandlingen, behandlingens
karakter og formål, typen af person?o?p?lysninger og
kategorierne af registrerede samt den dataansvarliges forpligtelser
og rettigheder. Det skal navnlig fremgå, at
databehandleren
1) kun må
handle efter instruks fra den dataansvarlige,
2) sikrer, at de
fysiske personer, der er autoriseret til at behandle
personoplysninger, har forpligtet sig til fortrolighed eller er
underlagt en passende lovbestemt tavshedspligt,
3) bistår
den dataansvarlige på enhver hensigtsmæssig måde
med at sikre overholdelse af bestemmelserne om den registreredes
rettigheder,
4) efter den
dataansvarliges valg sletter eller tilbageleverer alle
personoplysningerne til den dataansvarlige, efter at tjenesterne
vedrørende behandling er ophørt, medmindre anden
lovgivning foreskriver opbevaring af personoplysningerne,
5) stiller alle
oplysninger, der er nødvendige for at påvise
overholdelse af denne bestemmelse, til rådighed for den
dataansvarlige og
6) overholder
betingelserne i nr. 1-5 og stk. 3 med henblik på at
gøre brug af en anden databehandler.
Stk. 3. En
databehandlers overladelse af behandling til en anden databehandler
skal ske i henhold til en generel eller specifik skriftlig aftale
med den dataansvarlige. Sker overla?delse i henhold til en generel
aftale, skal databehandleren underrette den dataansvarlige herom
senest 14 dage forud for overladelsen.
Stk. 4. Enhver,
der udfører arbejde for den dataansvarlige eller
databehandleren, og som har adgang til personoplysninger, må
kun efter instruks fra den dataansvarlige behandle disse
oplysninger, medmindre det følger af anden lovgivning, at
den pågældende skal foretage behandlingen.
Kapitel 10
Fortegnelser over
behandlingsaktiviteter og logning
§
23. Den dataansvarlige skal føre skriftlige
fortegnelser over alle kategorier af behandlingsaktiviteter under
den dataansvarliges ansvar. Fortegnelserne skal indeholde oplysning
om
1) navn på
og kontaktoplysninger for den dataansvarlige og, hvis det er
relevant, den fælles dataansvarlige og
databeskyttelsesrådgiveren,
2)
formålene med behandlingen,
3) de kategorier
af modtagere, som personoplysningerne er eller vil blive
videregivet til, herunder modtagere i tredjelande eller
internationale organisationer,
4) en
beskrivelse af kategorierne af registrerede og kategorierne af
personoplysninger,
5) brugen af
profilering, hvor det er relevant,
6) kategorierne
af overførsler af personoplysninger til et tredjeland eller
en international organisation, hvor det er relevant,
7)
retsgrundlaget for behandlingsaktiviteten, herunder
overførsler, hvortil personoplysningerne er bestemt,
8) de forventede
tidsfrister for sletning af de forskellige kategorier af
personoplysninger, hvis det er muligt, og
9) en generel
beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
Stk. 2.
Databehandleren fører skriftlige fortegnelser over alle
kategorier af behandlingsaktiviteter, der foretages på vegne
af en dataansvarlig. Fortegnelserne skal indeholde oplysning om
1) navn på
og kontaktoplysninger for databehandleren eller databehandlerne for
hver dataansvarlig, på hvis vegne databehandleren handler,
og, hvor det er relevant, databeskyttelsesrådgiveren,
2) de kategorier
af behandling, der foretages på vegne af den enkelte
dataansvarlige,
3)
overførsler af personoplysninger til et tredjeland eller en
international organisation, hvor det er relevant, når den
dataansvarlige udtrykkeligt har givet instruks herom, herunder
angivelse af dette tredjeland eller denne internationale
organisation, og
4) en generel
beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
§
24. I automatiske databehandlingssystemer foretages logning
af indsamling, ændring, søgning, videregivelse,
herunder overførsel, samkøring og sletning.
Stk. 2.
Justitsministeren fastsætter nærmere regler om, hvilke
automatiske databehandlingssystemer indført før den
6. maj 2016, der er omfattet af stk. 1.
Kapitel 11
Konsekvensanalyser og høring
af tilsynsmyndighederne
§
25. Vil en type behandling, navnlig ved brug af nye
teknologier og i medfør af sin karakter, sit omfang, sin
sammenhæng og sit formål, sandsynligvis indebære
en høj risiko for fysiske personers rettigheder, skal den
dataansvarlige forud for behandlingen foretage en analyse af de
påtænkte behandlingsaktiviteters konsekvenser for
beskyttelse af perso?n?o??ply?snin?g?er.
Stk. 2. Analysen
skal indeholde en generel beskrivelse af de planlagte
behandlingsaktiviteter, en vurdering af risiciene for de
registreredes rettigheder, de foranstaltninger, der
påtænkes for at imødegå disse risici,
garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre
beskyttelse af personoplysninger og påvise overholdelse af
denne lov, under hensyntagen til de registreredes og andre
berørte personers rettigheder og legitime interesser.
§
26. Den dataansvarlige eller databehandleren skal
høre tilsynsmyndigheden inden behandling af
personoplysninger, der vil indgå som en del af et nyt
register, der skal oprettes, når
1) en
konsekvensanalyse vedrørende databeskyttelse, jf. § 25,
viser, at behandlingen vil føre til en høj risiko i
mangel af foranstaltninger truffet af den dataansvarlige for at
begrænse risikoen, eller
2) den type
behandling, navnlig ved brug af nye teknologier, mekanismer eller
procedurer, indebærer en høj risiko for de
registreredes rettigheder.
Stk. 2. Finder
tilsynsmyndigheden, at den planlagte behandling ikke vil overholde
loven, herunder navnlig hvis den dataansvarlige ikke
tilstrækkeligt har identificeret eller begrænset
risikoen, giver tilsynsmyndigheden inden for en periode på op
til 6 uger efter modtagelse af anmodningen om høring den
dataansvarlige og, hvor det er relevant, databehandleren skriftlig
rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende
enhver af sine beføjelser, jf. kapitel 20. Denne periode kan
forlænges med 1 måned under hensyntagen til den
påtænkte behandlings kompleksitet. Tilsynsmyndigheden
underretter den dataansvarlige og, hvor det er relevant,
databehandleren om enhver sådan forlængelse senest 1
måned efter modtagelse af anmodningen om høring sammen
med begrundelsen for forsinkelsen.
Stk. 3.
Tilsynsmyndighederne opstiller en liste over de
behandlingsaktiviteter, hvor der i henhold til stk. 1 skal
foretages en forudgående høring.
Afsnit V
Personoplysningssikkerhed
Kapitel 12
Behandlingssikkerhed
§
27. Den dataansvarlige og databehandleren skal under
hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og behandlingens karakter, omfang,
sammenhæng og formål og risicienes varierende
sandsynlighed og alvor for fysiske personers rettigheder
gennemføre passende tekniske og organisatoriske
foranstaltninger for at sikre et sikkerhedsniveau, der passer til
disse risici, navnlig for så vidt angår behandlingen af
de særlige kategorier af personoplysninger, der er omfattet
af § 10.
Stk. 2. For
så vidt angår automatisk behandling, skal den
dataansvarlige eller databehandleren på grundlag af en
risikovurdering gennemføre foranstaltninger til at sikre,
at
1) uautoriserede
personer ikke kan få adgang til det behandlingsudstyr, der
benyttes til behandling (kontrol med fysisk adgang til
udstyret),
2) der ikke sker
uautoriseret læsning, kopiering, ændring eller sletning
af datamedier (kontrol med datamedier),
3) der ikke sker
uautoriseret indlæsning af personoplysninger eller
uautoriseret læsning, ændring eller sletning af
opbevarede personoplysninger (kontrol med opbevaring),
4) automatiske
behandlingssystemer ikke via datakommunikationsudstyr kan benyttes
af uautoriserede personer (brugerkontrol),
5) personer med
bemyndigelse til at anvende et automatisk behandlingssystem kun har
adgang til de person?o?plysninger, der er omfattet af deres
adgangstilladelse (kontrol med dataadgangen),
6) det er muligt
at kontrollere og fastslå de modtagere, til hvilke der er
blevet transmitteret eller stillet oplysninger til rådighed
eller kan transmitteres eller stilles oplysninger til
rådighed ved hjælp af datakommunikati?onsudstyr
(kommunikationskontrol),
7) det er muligt
efterfølgende at undersøge og fastslå, hvilke
personoplysninger der er indlæst i automatiske
behandlingssystemer, og hvornår og af hvem
person?o?plysningerne blev indlæst (kontrol med
indlæsning),
8) der ikke sker
uautoriseret læsning, kopiering, ændring eller sletning
af personoplysninger i forbindelse med overførsler af disse
eller under transport af datamedier (transportkontrol),
9) de anvendte
systemer i tilfælde af teknisk uheld kan genetableres
(genopretning) og
10) systemet
fungerer, at indtrufne fejl meldes (pålidelighed), og at
opbevarede personoplysninger ikke bliver ødelagt som
følge af fejlfunktioner i systemet (integritet).
Stk. 3. For
oplysninger af særlig interesse for fremmede magter skal der
træffes foranstaltninger, der muliggør bortskaffelse
eller tilintetgørelse i tilfælde af krig eller
lignende forhold, jf. dog stk. 5.
Stk. 4.
Justitsministeren fastsætter nærmere regler om de i
stk. 1-3 nævnte foranstaltninger.
Stk. 5.
Justitsministeren kan efter indstilling fra en kompetent myndighed
fastsætte regler om, at personoplysninger omfattet af stk. 3
ikke skal underlægges foranstaltninger, der muliggør
bortskaffelse eller tilintetgørelse, hvis dette ud fra en
samlet vurdering må anses for forsvarligt.
Kapitel 13
Brud på datasikkerheden
§
28. Ved brud på persondatasikkerheden skal den
dataansvarlige uden unødig forsinkelse og om muligt, senest
72 timer efter at den dataansvarlige er blevet bekendt med bruddet,
anmelde bruddet til tilsynsmyndigheden, medmindre det er
usandsynligt, at bruddet indebærer en risiko for fysiske
personers rettigheder. En overskridelse af fristen på 72
timer skal begrundes.
Stk. 2.
Databehandleren underretter uden unødig forsinkelse den
dataansvarlige om et brud på persondatasikkerheden.
Stk. 3.
Anmeldelsen efter stk. 1 skal
1) beskrive
karakteren af bruddet på persondatasikkerheden, herunder i
videst muligt omfang kategorierne af og det berørte antal
registrerede og kategorierne af og det berørte antal
registreringer af personoplysninger,
2) angive navn
på og kontaktoplysninger for databeskyttelsesrådgiveren
eller et andet kontaktpunkt, hvor yderligere oplysninger kan
indhentes,
3) beskrive de
sandsynlige konsekvenser af bruddet på persondatasikkerheden
og
4) beskrive de
foranstaltninger, som den dataansvarlige har truffet eller
foreslår truffet for at håndtere bruddet på
persondatasikkerheden, herunder, hvis det er relevant,
foranstaltninger for at begrænse dets mulige
skadevirkninger.
Stk. 4. Er det
ikke muligt at forelægge oplysningerne, der er nævnt i
stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles
trinvis uden unødig forsinkelse.
Stk. 5. Den
dataansvarlige skal dokumentere alle brud på
persondatasikkerheden, som er omfattet af stk. 1, herunder de
faktiske omstændigheder vedrørende bruddet, bruddets
virkninger og de trufne afhjælpende foranstaltninger.
Stk. 6.
Omhandler bruddet på persondatasikkerheden oplysninger, der
er transmitteret af eller til en dataansvarlig i en anden
medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden
unødig forsinkelse meddeles til den dataansvarlige i denne
medlemsstat.
§
29. Ved brud på persondatasikkerheden, som
sandsynligvis vil indebære en høj risiko for fysiske
personers rettigheder, skal den dataansvarlige uden unødig
forsinkelse underrette den registrerede om bruddet.
Stk. 2.
Underretningen skal i et klart og enkelt sprog beskrive karakteren
af bruddet og indeholde de oplysninger, der er nævnt i §
28, stk. 3, nr. 2-4.
Stk. 3.
Bestemmelsen i stk. 1 gælder ikke, hvis
1) den
dataansvarlige har gennemført passende tekniske og
organisatoriske beskyttelsesforanstaltninger og disse
foranstaltninger er blevet anvendt på de person?o?plysninger,
som er berørt af bruddet på persondatasikkerheden,
herunder navnlig foranstaltninger, der f.eks. på grund af
kryptering gør personoplysningerne uforståelige for
enhver, der ikke har autoriseret adgang hertil,
2) den
dataansvarlige har truffet efterfølgende foranstaltninger,
der sikrer, at den høje risiko for de registreredes
rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere
er reel, eller
3) det vil
kræve en uforholdsmæssig indsats af den
dataansvarlige.
Stk. 4. I de
tilfælde, der er nævnt i stk. 3, nr. 3, skal der i
stedet gives en offentlig meddelelse eller træffes
tilsvarende foranstaltning, hvorved de registrerede underrettes
på en tilsvarende effektiv måde.
Stk. 5. Har den
dataansvarlige ikke allerede underrettet den registrerede om
bruddet på persondatasikkerheden, kan tilsynsmyndigheden
efter at have overvejet sandsynligheden for, at bruddet på
persondatasikkerheden indebærer en høj risiko,
kræve, at den dataansvarlige gør dette, eller
beslutte, at en af betingelserne i stk. 3 er opfyldt.
Stk. 6.
Underretning af den registrerede kan udsættes,
begrænses eller undlades af de grunde, der er nævnt i
§ 14, stk. 1.
Afsnit VI
Databeskyttelsesrådgiver
Kapitel 14
Udpegelse af en
databeskyttelsesrådgiver
§
30. Den dataansvarlige udpeger på grundlag af faglige
kvalifikationer, herunder navnlig ekspertise inden for
databeskyttelsesret og -praksis og evnen til at udføre de
opgaver, der er nævnt i kapitel 15, en
databeskyttelsesrådgiver, som inddrages i alle
spørgsmål vedrørende beskyttelse af
personoplysninger.
Stk. 2. Flere
dataansvarlige kan under hensyntagen til deres størrelse og
organisatoriske forhold udpege en fælles
databeskyttelsesrådgiver.
Stk. 3.
Bestemmelsen i stk. 1 gælder ikke for domstolene, når
disse foretager behandling af personoplysninger i deres egenskab af
domstole.
Stk. 4. Den
dataansvarlige offentliggør kontaktoplysningerne for
databeskyttelsesrådgiveren og meddeler disse til
tilsynsmyndigheden.
Kapitel 15
Databeskyttelsesrådgiverens
stilling og opgaver
§
31. Den dataansvarlige understøtter, at
databeskyttelsesrådgiveren kan
1) underrette og
rådgive den dataansvarlige og de ansatte, der behandler
personoplysninger, om deres forpligtelser i medfør af denne
lov og anden lovgivning om databeskyttelse,
2)
overvåge overholdelsen af denne lov og anden lovgivning om
databeskyttelse og af den dataansvarliges politikker om beskyttelse
af personoplysninger, herunder fordeling af ansvar,
oplysningskampagner og uddannelse af det personale, der medvirker
ved behandlingsaktiviteterne og de tilhørende
revisioner,
3)
rådgive, når der anmodes herom, med hensyn til
konsekvensanalysen vedrørende databeskyttelse og
overvåge dens opfyldelse i henhold til bestemmelsen i §
25 og
4) samarbejde
med tilsynsmyndigheden og fungere som tilsynsmyndighedens
kontaktpunkt i spørgsmål vedrørende behandling,
herunder den forudgående høring, der er nævnt i
§ 26, og høre tilsynsmyndigheden, når det er
hensigtsmæssigt, om eventuelle andre
spørgsmål.
Afsnit VII
Overførsler af personoplysninger
til tredjelande eller internationale organisationer
Kapitel 16
Generelle principper
§
32. Overførsel af personoplysninger, der behandles
eller planlægges behandlet efter overførsel til et
tredjeland eller en international organisation, herunder
videreoverførsel til et andet tredjeland eller en anden
international organisation, må kun finde sted under
overholdelse af reglerne i denne lov, og hvis betingelserne i dette
afsnit er overholdt, herunder navnlig at
1)
overførslen er nødvendig i forhold til de
formål, der er nævnt i § 1, stk. 1,
2)
personoplysningerne overføres til en dataansvarlig i et
tredjeland eller en international organisation, der er en
myndighed, der er kompetent i forhold til de formål, der er
nævnt i § 1, stk. 1,
3) en kompetent
myndighed i en anden medlemsstat har givet sin forudgående
godkendelse til overførslen i henhold til dens nationale
regler og personoplysnin?g?erne transmitteres eller stilles til
rådighed af denne myndighed,
4) der
foreligger et af de overførselsgrundlag, der er nævnt
i kapitel 17, og
5) den
kompetente myndighed, der foretog den oprindelige
overførsel, i tilfælde af videreoverførsel til
et andet tredjeland eller en anden international organisation giver
bemyndigelse til videreoverførslen, efter at den har taget
behørigt hensyn til alle relevante faktorer, herunder en
strafbar handlings grovhed, det formål, hvortil
perso?n?oplysningerne oprindelig blev overført, og
beskyttelsesniveauet for personoplysninger i det tredjeland eller
den internationale organisation, hvortil perso?noplysningerne
videreoverføres.
Stk. 2.
Overførsel uden forudgående godkendelse efter stk. 1,
nr. 3, kan ske, hvis overførslen er nødvendig for at
forebygge en umiddelbar og alvorlig trussel mod en medlemsstats
eller et tredjelands offentlige sikkerhed eller mod en medlemsstats
væsentlige interesser og den forudgående godkendelse
ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at
give den pågældende godkendelse, underrettes straks om
overførslen.
Kapitel 17
Grundlag for overførsel
§
33. Overførsel kan ske, hvis Europa-Kommissionen har
truffet afgørelse om, at tredjelandet, et område eller
en eller flere specifikke sektorer i dette tredjeland eller den
pågældende internationale organisation har et
tilstrækkeligt beskyttelsesniveau.
§
34. Foreligger der ikke en afgørelse som nævnt
i § 33, kan der ske overførsel, hvis
1) der i en
international aftale er givet de fornødne garantier, hvad
angår beskyttelsen af personoplysninger, eller
2) den
dataansvarlige har vurderet alle forhold i forbindelse med
overførslen af personoplysninger og konkluderet, at der
findes de fornødne garantier for beskyttelsen af
personoplysninger.
Stk. 2. Den
dataansvarlige underretter tilsynsmyndigheden om kategorier af
overførsler i medfør af stk. 1, nr. 2.
Stk. 3. En
overførsel i medfør af stk. 1, nr. 2, dokumenteres i
forhold til dato og tidspunkt for overførslen, oplysninger
om den modtagende kompetente myndighed, begrundelsen for
overførslen og de overførte personoplysninger.
Dokumentationen stilles efter anmodning til rådighed for
tilsynsmyndigheden.
§
35. Foreligger der ikke en afgørelse som nævnt
i § 33 eller de fornødne garantier som nævnt i
§ 34, kan en overførsel eller en kategori af
overførsler kun finde sted, hvis overførslen er
nødvendig
1) for at
beskytte den registreredes eller en anden persons vitale
interesser,
2) for at
beskytte den registreredes legitime interesser, hvis det er fastsat
i henhold til lov,
3) for at
afværge en umiddelbar og alvorlig trussel mod en medlemsstats
eller et tredjelands offentlige sikkerhed,
4) i enkeltsager
med henblik på de formål, der er nævnt i §
1, stk. 1, eller
5) i en
enkeltsag, for at retskrav kan fastlægges, gøres
gældende eller forsvares med henblik på de
formål, der er nævnt i § 1, stk. 1.
Stk. 2.
Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde sted,
hvis hensynet til den registreredes rettigheder går forud for
den samfundsmæssige interesse i overførslen.
Stk. 3. En
overførsel i medfør af stk. 1 dokumenteres i forhold
til dato og tidspunkt for overførslen, oplysninger om den
modtagende kompetente myndighed, begrundelsen for
overførslen og de overførte personoplysninger.
Dokumentationen stilles efter anmodning til rådighed for
tilsynsmyndigheden.
§
36. De kompetente myndigheder kan overføre
person?o?plysninger til andre end kompetente myndigheder og
internationale organisationer på baggrund af en international
aftale eller i enkeltstående og specifikke tilfælde,
hvis
1)
overførslen er strengt nødvendig for den
overførende kompetente myndigheds udførelse af en
opgave, der følger af lovgivningen, og forfølger de
formål, der er nævnt i § 1, stk. 1,
2) den
overførende kompetente myndighed fastslår, at ingen af
den pågældende registreredes grundlæggende
rettigheder går forud for samfundets interesse, der
nødvendiggør overførslen i det foreliggende
tilfælde,
3) den
overførende kompetente myndighed mener, at
overførslen til en myndighed, der i tredjelandet er
kompetent i forhold til de formål, der er nævnt i
§ 1, stk. 1, er ineffektiv eller uhensigtsmæssig,
navnlig fordi overførslen ikke kan foretages i tide,
4) den
myndighed, der i tredjelandet er kompetent i forhold til de
formål, der er nævnt i § 1, stk. 1, underrettes
uden unødig forsinkelse, medmindre dette er ineffektivt
eller uhensigtsmæssigt, og
5) den
overførende kompetente myndighed underretter modtageren om
det eller de specifikke formål, hvortil sidstnævnte
udelukkende kan behandle personoply?snin?g?erne, forudsat at
denne behandling er nødvendig.
Stk. 2. Den
overførende kompetente myndighed dokumenterer og underretter
tilsynsmyndigheden om overførsler i medfør af stk.
1.
Afsnit VIII
Tilsynsmyndighed
Kapitel 18
Datatilsynet
§
37. Datatilsynet, der består af et råd og et
sekretariat, fører tilsyn med enhver behandling, der
omfattes af loven, jf. dog kapitel 19.
Stk. 2.
Tilsynets daglige forretninger varetages af et sekretariat, der
ledes af en direktør.
Stk. 3.
Justitsministeren nedsætter Datarådet, som består
af 1 formand, der er dommer, og 6 andre medlemmer. Der kan udpeges
stedfortrædere for medlemmerne. Formanden og medlemmerne og
stedfortræderne for disse udpeges for 4 år. Der kan ske
genudpegning to gange. Udpegningen af formand og medlemmer og
stedfortrædere for disse sker på baggrund af disses
faglige kvalifikationer, herunder navnlig ekspertise inden for
databeskyttelsesret.
Stk. 4.
Rådet fastsætter sin forretningsorden og de
nærmere regler om arbejdets fordeling mellem råd og
sekretariat.
Stk. 5.
Udpegningen af formand og medlemmer og stedfortrædere for
disse er betinget af, at de pågældende
sikkerhedsgodkendes, og at godkendelsen opretholdes i hele
embedsperioden.
Stk. 6. Hvervet
som formand, medlem eller stedfortræder ophører ved
udgangen af embedsperioden eller ved frivillig fratræden.
Stk. 7.
Formanden og medlemmer og stedfortrædere for disse kan alene
afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis
disse ikke længere opfylder betingelserne for at varetage
hvervet.
Stk. 8.
Sekretariatets personale og Datarådets formand og medlemmer
og stedfortrædere for disse kan kun have
bibeskæftigelse, i det omfang det er foreneligt med
udøvelsen af de pligter, der er knyttet til stillingen eller
hvervet.
Stk. 9.
Datatilsynet repræsenterer tilsynsmyndighederne i Det
Europæiske Databeskyttelsesråd.
Kapitel 19
Tilsyn med domstolene
§
38. Domstolsstyrelsen fører tilsyn med behandling af
oplysninger, der foretages for domstolene, når disse ikke
handler i deres egenskab af domstol.
Stk. 2. For
anden behandling af oplysninger træffes afgørelse af
vedkommende ret. Afgørelsen kan kæres til
højere ret. For særlige domstole, hvis
afgørelser ikke kan indbringes for højere ret, kan
den afgørelse, der er nævnt i 1. pkt., kæres til
den landsret, i hvis kreds retten er beliggende. Kærefristen
er 4 uger fra den dag, afgørelsen er meddelt den
pågældende.
Kapitel 20
Tilsynsmyndighedernes opgaver og
beføjelser
§
39. Tilsynsmyndighederne udøver deres funktioner i
fuld uafhængighed.
§
40. Tilsynsmyndighederne har til opgave her i landet at
1) føre
tilsyn med og håndhæve anvendelsen af denne lov,
2) fremme
offentlighedens kendskab til og forståelse af risici, regler,
garantier og rettigheder i forbindelse med behandling af
personoplysninger,
3) rådgive
Folketinget, regeringen og andre institutioner og organer om
lovgivningsmæssige og administrative foranstaltninger til
beskyttelse af fysiske personers rettigheder i forbindelse med
behandling,
4) fremme
dataansvarliges og databehandleres kendskab til deres forpligtelser
i medfør af denne lov,
5) efter
anmodning informere alle registrerede om udøvelsen af deres
rettigheder i medfør af denne lov og med henblik herpå
samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det
er relevant,
6) behandle
klager, der indgives af en registreret eller af et organ, en
organisation eller en sammenslutning i overensstemmelse med
bestemmelsen i § 48, og, for så vidt det er
hensigtsmæssigt, undersøge genstanden for klagen og
underrette klageren om forløbet og resultatet af
undersøgelsen inden for højst 3 måneder,
navnlig hvis yderligere undersøgelse eller koordinering med
en anden tilsynsmyndighed er nødvendig,
7) videresende
klager, som skal behandles af en tilsynsmyndighed i en anden
medlemsstat,
8) efter
anmodning yde supplerende bistand til en registreret, der har
indgivet en klage, som er blevet videresendt til en
tilsynsmyndighed i en anden medlemsstat,
9) underrette en
registreret, der har indgivet en klage, om adgangen til retsmidler
efter kapitel 22,
10) efter
anmodning kontrollere, om en behandling af personoplysninger er
lovlig i henhold til undladelse, udsættelse,
begrænsning eller nægtelse efter kapitel 4-6, og
underrette den registrerede inden for en rimelig frist om
resultatet af undersøgelsen eller om årsagerne til, at
undersøgelsen ikke er foretaget, og om den registreredes
adgang til retsmidler efter kapitel 22,
11) samarbejde
med andre tilsynsmyndigheder, herunder gennem udveksling af
oplysninger og gensidig bistand med henblik på at sikre
ensartet anvendelse og håndhævelse af denne lov,
12)
gennemføre undersøgelser om anvendelsen af denne lov,
herunder på grundlag af oplysninger, der er modtaget fra en
anden tilsynsmyndighed eller en anden offentlig myndighed,
13) holde
øje med relevant udvikling, for så vidt den har
indvirkning på beskyttelse af personoplysninger, navnlig
udviklingen inden for informations- og kommunikationsteknologi,
14)
rådgive om behandlingsaktiviteter som omhandlet i § 26
og
15) bidrage til
Det Europæiske Databeskyttelsesråds aktiviteter.
Stk. 2.
Tilsynsmyndighederne letter indgivelsen af klager efter stk. 1, nr.
6.
Stk. 3.
Tilsynsmyndighederne kan afvise at imødekomme åbenbart
grundløse eller overdrevent gentagne anmodninger efter denne
lov.
§
41. Tilsynsmyndighederne kan kræve enhver oplysning,
der er af betydning for deres virksomhed, herunder til
afgørelse af, om et forhold falder ind under lovens
bestemmelser.
Stk. 2.
Tilsynsmyndighedernes medlemmer og personale har mod behørig
legitimation til enhver tid uden retskendelse adgang til alle
lokaler, hvorfra en behandling af person?o?p?lysninger
foretages.
§
42. Tilsynsmyndighederne kan over for den dataansvarlige og
databehandleren afgive udtalelse om, at planlagte
behandlingsaktiviteter sandsynligvis vil være i strid med
denne lov, give påbud om at bringe behandlingsaktiviteter i
overensstemmelse med denne lov eller midlertidigt eller definitivt
begrænse, herunder forbyde, behandling af
personoplysninger.
Stk. 2.
Tilsynsmyndighedernes afgørelser efter denne lov kan ikke
indbringes for anden administrativ myndighed.
§
43. Ved udarbejdelse af generelle retsforskrifter, der har
betydning for behandling af personoplysninger, skal der indhentes
en udtalelse fra Datatilsynet. Er der tale om generelle
forskrifter, der har betydning for behandling af oplysninger, der
foretages for domstolene, skal der indhentes en udtalelse fra
Domstolsstyrelsen.
§
44. Tilsynsmyndighederne kan indbringe
spørgsmål om overtrædelser af denne lov for
retten i den borgerlige retsplejes former.
§
45. Tilsynsmyndighederne afgiver en årlig beretning om
deres virksomhed til Folketinget og justitsministeren. Beretningen
offentliggøres.
Kapitel 21
Samarbejde
§
46. Tilsynsmyndighederne samarbejder, i det omfang det er
nødvendigt for at opfylde deres pligter, navnlig ved at
udveksle alle relevante oplysninger.
§
47. Tilsynsmyndighederne besvarer anmodninger fra en
tilsynsmyndighed i en anden medlemsstat uden unødig
forsinkelse og senest 1 måned efter modtagelsen. Oplysninger,
som en tilsynsmyndighed i en anden medlemsstat har anmodet om,
fremsendes elektronisk i et standardformat.
Stk. 2.
Anmodninger om bistand skal indeholde alle nødvendige
oplysninger, herunder formålet med og grunden til
anmodningen. Udvekslede oplysninger må kun anvendes til det
formål, som er angivet i anmodningen.
Stk. 3.
Anmodninger kan alene afvises, når den anmodede
tilsynsmyndighed ikke har kompetence med hensyn til genstanden for
anmodningen eller de foranstaltninger, som den anmodes om at
iværksætte, eller en imødekommelse af
anmodningen vil være i strid med denne eller anden lov. Et
afslag på at imødekomme en anmodning skal
begrundes.
Afsnit IX
Retsmidler, ansvar og sanktioner
Kapitel 22
Retsmidler, ansvar og sanktioner
§
48. Den registrerede eller dennes repræsentant kan
klage til vedkommende tilsynsmyndighed over behandling af
oplysninger vedrørende den registrerede.
Stk. 2.
Tilsynsmyndighedernes afgørelser, undladelser af at behandle
en klage fra en registreret eller en manglende underretning efter
§ 40, stk. 1, nr. 6, kan af den registrerede eller dennes
repræsentant indbringes for domstolene i den borgerlige
retsplejes former.
Stk. 3. Den
registrerede eller dennes repræsentant kan indbringe
spørgsmål om dataansvarliges og databehandleres
overholdelse af denne lov for domstolene i den borgerlige
retsplejes former.
§
49. Enhver person, som har lidt materiel eller immateriel
skade som følge af en ulovlig behandlingsaktivitet eller
enhver anden behandling i strid med denne lov, har ret til
erstatning fra den dataansvarlige i overensstemmelse med det
almindelige EU-retlige erstatningsansvar.
§
50. Medmindre højere straf er forskyldt efter anden
lovgivning, kan en privat databehandler, der i forbindelse med en
behandling, der udføres for en kompetent myndighed,
overtræder § 22, stk. 2 og 3, § 23, stk. 2, §
27 og § 28, stk. 2, eller undlader at efterkomme et
påbud eller forbud, der er meddelt i henhold til § 42,
straffes med bøde eller fængsel indtil 4
måneder.
Stk. 2.
Dataansvarlige, der undlader at efterkomme et påbud eller
forbud, der er meddelt i henhold til § 42, straffes med
bøde.
Stk. 3. I
regler, der udstedes i medfør af loven, kan der
fastsættes straf af bøde eller fængsel indtil 4
måneder.
Stk. 4. Der kan
pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Afsnit X
Afsluttende bestemmelser
Kapitel 23
Afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser m.v.
§
51. Justitsministeren kan fastsætte regler, som er
nødvendige for at gennemføre de af
Europa-Kommissionen udstedte retsakter, som træffes med
henblik på gennemførelse af direktivet om beskyttelse
af fysiske personer i forbindelse med kompetente myndigheders
behandling af personoplysninger med henblik på at forebygge,
efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner og om fri
udveksling af sådanne oplysninger og om ophævelse af
Rådets rammeafgørelse 2008/977/RIA, eller regler, som
er nødvendige for at anvende de af Europa-Kommissionen
udstedte retsakter på direktivets område.
§
52. Loven træder i kraft dagen efter
bekendtgørelsen i Lovtidende.
Stk. 2.
Lovforslaget kan stadfæstes straks efter dets vedtagelse.
§
53. Lovens §§ 25 og 26 gælder i forhold til
ny behandling af personoplysninger, der iværksættes, og
registre, der oprettes den 1. maj 2017 eller senere.
§
54. Overførsler til tredjelande og internationale
organisationer kan ske i medfør af internationale aftaler,
der er indgået inden den 6. maj 2016, indtil aftalerne
ændres, erstattes eller ophæves.
§ 55. I
lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som
ændret senest ved § 1 i lov nr. 639 af 12. juni
2013, foretages følgende ændringer:
1. § 2,
stk. 4, ophæves.
Stk. 5-11 bliver herefter stk. 4-10.
2.
Efter § 2 indsættes i kapitel
1:
Ȥ 2 a. Loven
gælder ikke for behandling, som er omfattet af lov om
retshåndhævende myndigheders behandling af
personoplysninger, jf. dog stk. 2.
Stk. 2. Regler
udstedt i medfør af § 32, stk. 5, § 41, stk. 5,
§ 55, stk. 4, og § 72 gælder for den behandling af
perso?no?p?lysninger, der er omfattet af lov om
retshåndhævende myndigheders behandling af
person?o?plysninger, medmindre det vil være i strid med denne
lov.«
§
56. Loven gælder ikke for Færøerne, men
kan ved kongelig anordning sættes i kraft for
rigsmyndighedernes behandling af oplysning med de ændringer,
som de færøske forhold tilsiger. Loven gælder
ikke for Grønland, men kan ved kongelig anordning
sættes i kraft med de ændringer, som de
grønlandske forhold tilsiger.
Officielle noter
1)
Loven gennemfører Europa-Parlamentets og Rådets
direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af
personoplysninger med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner og om fri udveksling af
sådanne oplysninger og om ophævelse af Rådets
rammeafgørelse 2008/977/RIA, EU-Tidende 2016, nr. L 119,
side 89.