Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt
1869170_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
19. januar 2018
Databeskyttelseskontoret
Nanna Due Binø
2017-0037-0005
616658
Hermed sendes besvarelse af spørgsmål 48 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den
21. december 2017.
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 68 - 2017-18 - Endeligt svar på spørgsmål 66: Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamle persondata til nye formål, til justitsministeren
Spørgsmål 48 fra Folketingets Retsudvalg efter ønske fra Josephine
Fock (ALT) vedrørende L 68 og L 69:
”Vil ministeren kommentere alle problematikkerne rejst af jurist
Catrine Søndergaard Byrne i artiklen ”Dansk lov går stik imod
udmelding fra europæisk datavagthund” fra version2.dk den 15.
december 2017?
Svar:
1.
I databeskyttelsesforordningens artikel 6, stk. 4, præciseres det, at der er
tre muligheder for, hvornår en viderebehandling af personoplysninger er
lovlig og i overensstemmelse med artikel 5, stk. 1, litra b, og dermed lov-
forslagets § 5, stk. 1.
En viderebehandling er således lovlig, hvis den for det
første
er baseret på
et samtykke til viderebehandlingen, hvis den for det
andet
bygger på en be-
stemmelse i EU-retten eller medlemsstaternes nationale ret i overensstem-
melse med artikel 23, stk. 1, eller hvis viderebehandlingen for det
tredje
for-
følger et formål, der ikke er uforeneligt med det oprindelige indsamlings-
formål på baggrund af ”ikke-uforenelighedstesten” i artikel 6, stk. 4, 2. led,
litra a-e.
Den nævnte anden mulighed for viderebehandling, bl.a. på baggrund af en
bestemmelse i national ret om viderebehandling, danner baggrund for lov-
forslagets § 5, stk. 3.
2.
I de tilfælde, hvor der er tale om viderebehandling til et formål, der ikke
er foreneligt med det oprindelige formål, eller hvor der er tvivl om forene-
ligheden, sikrer henvisningen i forslagets § 5, stk. 3, til databeskyttelsesfor-
ordningens artikel 23, at der er snævre grænser for brugen af lovforslagets
§ 5, stk. 3, og at der i den forbindelse tages behørig hensyn til databeskyt-
telse og de registreredes rettigheder.
Forordningens artikel 23 giver således mulighed for at begrænse bl.a. for-
ordningens artikel 5, herunder finalité-princippet. Der er dog efter bestem-
melsen en række strenge krav til en sådan begrænsning, der skal respektere
det væsentligste indhold af de grundlæggende rettigheder og frihedsrettig-
heder og skal være en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund.
2
L 68 - 2017-18 - Endeligt svar på spørgsmål 66: Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamle persondata til nye formål, til justitsministeren
Enhver konkret udnyttelse af bemyndigelsen i stk. 3 skal således ligge in-
den for mindst én af litraerne i litra a til j i artikel 23, stk. 1, i forordningen,
hvor eksempelvis litra e giver mulighed for at begrænse rettighederne af
hensyn til en medlemsstats væsentlige økonomiske interesser.
Når bemyndigelsen i lovforslagets § 5, stk. 3, udnyttes, skal bekendtgørel-
sen også leve op til kravene i forordningens artikel 23, stk. 2, hvorefter en-
hver lovgivningsmæssig foranstaltning, der er omhandlet i artikel 23 stk. 1,
som minimum, hvor det er relevant, skal indeholde specifikke bestemmel-
ser vedrørende de i stk. 2, litra a-h, angivne krav.
Det vil således eksempelvis være relevant i bekendtgørelsen specifikt at re-
gulere, hvilke formål der kan ske videreanvendelse til, og hvilke formål der
ikke kan ske videreanvendelse til. Det vil også være relevant at fastsætte be-
stemmelser om, hvor lang tid personoplysningerne må opbevares, ligesom
der skal fastsættes regler, som sikrer, at videreanvendte oplysninger ikke
kan misbruges.
Regler fastsat efter lovforslagets § 5, stk. 3, må forventes ofte at blive af tek-
nisk præget karakter, og på den baggrund er det nærliggende, at sådanne
regler fastsættes i bekendtgørelsesform.
Det bemærkes, at det fremgår af præambelbetragtning nr. 41 til databeskyt-
telsesforordningen, at når forordningen henviser til et retsgrundlag eller en
lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der
er vedtaget af et parlament, med forbehold for krav i henhold til den forfat-
ningsmæssige orden i den pågældende medlemsstat.
Det fremgår af betænkning nr. 1565/2017 om databeskyttelsesforordningen,
side 158, at retsgrundlaget således f.eks. også kan fremgå af en bekendtgø-
relse, fastsat på baggrund af en bemyndigelse i lov, der rummer mulighed
for at fastsætte regler om behandling af personoplysninger.
3.
Lovforslaget til databeskyttelseslovens § 23 lægger alene op til at be-
grænse oplysningspligten for den dataansvarlige (myndigheden), der alle-
rede én gang har opfyldt sin oplysningspligt over for den registrerede efter
databeskyttelsesforordningens artikel 13, stk. 1 og 2, eller artikel 14, stk. 1
og 2.
Den registrerede er dermed i denne situation blevet orienteret af den data-
ansvarlige om de oplysninger, som fremgår af artikel 13, stk. 1 og 2, eller
3
L 68 - 2017-18 - Endeligt svar på spørgsmål 66: Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamle persondata til nye formål, til justitsministeren
artikel 14, stk. 1 og 2. Det betyder, at undtagelsen i § 23 alene går ud på, at
den dataansvarlige, som på baggrund af en bekendtgørelse udstedt efter lov-
forslagets § 5, stk. 3, nu ønsker at benytte lovligt indsamlede oplysninger til
et nyt formål, ikke skal give underretning til den registrerede om dette nye
formål.
Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel
i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden data-
ansvarlig (en anden myndighed), skal sidstnævnte dataansvarlig selv sikre
sig, at vedkommende dataansvarlig lever op til oplysningspligten.
Det vil altså sige, at den myndighed, der modtager oplysningerne fra den af-
givende myndighed, selvstændigt skal sikre sig, at der sker underretning af
den registrerede.
Det er Justitsministeriets opfattelse, at denne snævre undtagelse fra oplys-
ningspligten er forsvarlig.
Artikel 29-gruppens udtalelse om databeskyttelsesforordningens bestem-
melser om gennemsigtighed og oplysningspligt ændrer ikke på Justitsmini-
steriets vurdering.
4