Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt
1881734_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
19. januar 2018
Databeskyttelseskontoret
Nanna Due Binø
2017-0037-0005
616658
Hermed sendes besvarelse af spørgsmål 48 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den
21. december 2017.
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 69 - 2017-18 - Endeligt svar på spørgsmål 111: Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren
Spørgsmål 48 fra Folketingets Retsudvalg efter ønske fra Josephine
Fock (ALT) vedrørende L 68 og L 69:
”Vil ministeren kommentere alle problematikkerne rejst af jurist
Catrine Søndergaard Byrne i artiklen ”Dansk lov går stik imod
udmelding fra europæisk datavagthund” fra version2.dk den 15.
december 2017?
Svar:
1.
I databeskyttelsesforordningens artikel 6, stk. 4, præciseres det, at der er
tre muligheder for, hvornår en viderebehandling af personoplysninger er
lovlig og i overensstemmelse med artikel 5, stk. 1, litra b, og dermed lov-
forslagets § 5, stk. 1.
En viderebehandling er således lovlig, hvis den for det
første
er baseret på
et samtykke til viderebehandlingen, hvis den for det
andet
bygger på en be-
stemmelse i EU-retten eller medlemsstaternes nationale ret i overensstem-
melse med artikel 23, stk. 1, eller hvis viderebehandlingen for det
tredje
for-
følger et formål, der ikke er uforeneligt med det oprindelige indsamlings-
formål på baggrund af ”ikke-uforenelighedstesten” i artikel 6, stk. 4, 2. led,
litra a-e.
Den nævnte anden mulighed for viderebehandling, bl.a. på baggrund af en
bestemmelse i national ret om viderebehandling, danner baggrund for lov-
forslagets § 5, stk. 3.
2.
I de tilfælde, hvor der er tale om viderebehandling til et formål, der ikke
er foreneligt med det oprindelige formål, eller hvor der er tvivl om forene-
ligheden, sikrer henvisningen i forslagets § 5, stk. 3, til databeskyttelsesfor-
ordningens artikel 23, at der er snævre grænser for brugen af lovforslagets
§ 5, stk. 3, og at der i den forbindelse tages behørig hensyn til databeskyt-
telse og de registreredes rettigheder.
Forordningens artikel 23 giver således mulighed for at begrænse bl.a. for-
ordningens artikel 5, herunder finalité-princippet. Der er dog efter bestem-
melsen en række strenge krav til en sådan begrænsning, der skal respektere
det væsentligste indhold af de grundlæggende rettigheder og frihedsrettig-
heder og skal være en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund.
2
L 69 - 2017-18 - Endeligt svar på spørgsmål 111: Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren
Enhver konkret udnyttelse af bemyndigelsen i stk. 3 skal således ligge in-
den for mindst én af litraerne i litra a til j i artikel 23, stk. 1, i forordningen,
hvor eksempelvis litra e giver mulighed for at begrænse rettighederne af
hensyn til en medlemsstats væsentlige økonomiske interesser.
Når bemyndigelsen i lovforslagets § 5, stk. 3, udnyttes, skal bekendtgørel-
sen også leve op til kravene i forordningens artikel 23, stk. 2, hvorefter en-
hver lovgivningsmæssig foranstaltning, der er omhandlet i artikel 23 stk. 1,
som minimum, hvor det er relevant, skal indeholde specifikke bestemmel-
ser vedrørende de i stk. 2, litra a-h, angivne krav.
Det vil således eksempelvis være relevant i bekendtgørelsen specifikt at re-
gulere, hvilke formål der kan ske videreanvendelse til, og hvilke formål der
ikke kan ske videreanvendelse til. Det vil også være relevant at fastsætte be-
stemmelser om, hvor lang tid personoplysningerne må opbevares, ligesom
der skal fastsættes regler, som sikrer, at videreanvendte oplysninger ikke
kan misbruges.
Regler fastsat efter lovforslagets § 5, stk. 3, må forventes ofte at blive af tek-
nisk præget karakter, og på den baggrund er det nærliggende, at sådanne
regler fastsættes i bekendtgørelsesform.
Det bemærkes, at det fremgår af præambelbetragtning nr. 41 til databeskyt-
telsesforordningen, at når forordningen henviser til et retsgrundlag eller en
lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der
er vedtaget af et parlament, med forbehold for krav i henhold til den forfat-
ningsmæssige orden i den pågældende medlemsstat.
Det fremgår af betænkning nr. 1565/2017 om databeskyttelsesforordningen,
side 158, at retsgrundlaget således f.eks. også kan fremgå af en bekendtgø-
relse, fastsat på baggrund af en bemyndigelse i lov, der rummer mulighed
for at fastsætte regler om behandling af personoplysninger.
3.
Lovforslaget til databeskyttelseslovens § 23 lægger alene op til at be-
grænse oplysningspligten for den dataansvarlige (myndigheden), der alle-
rede én gang har opfyldt sin oplysningspligt over for den registrerede efter
databeskyttelsesforordningens artikel 13, stk. 1 og 2, eller artikel 14, stk. 1
og 2.
Den registrerede er dermed i denne situation blevet orienteret af den data-
ansvarlige om de oplysninger, som fremgår af artikel 13, stk. 1 og 2, eller
3
L 69 - 2017-18 - Endeligt svar på spørgsmål 111: Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren
artikel 14, stk. 1 og 2. Det betyder, at undtagelsen i § 23 alene går ud på, at
den dataansvarlige, som på baggrund af en bekendtgørelse udstedt efter lov-
forslagets § 5, stk. 3, nu ønsker at benytte lovligt indsamlede oplysninger til
et nyt formål, ikke skal give underretning til den registrerede om dette nye
formål.
Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel
i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden data-
ansvarlig (en anden myndighed), skal sidstnævnte dataansvarlig selv sikre
sig, at vedkommende dataansvarlig lever op til oplysningspligten.
Det vil altså sige, at den myndighed, der modtager oplysningerne fra den af-
givende myndighed, selvstændigt skal sikre sig, at der sker underretning af
den registrerede.
Det er Justitsministeriets opfattelse, at denne snævre undtagelse fra oplys-
ningspligten er forsvarlig.
Artikel 29-gruppens udtalelse om databeskyttelsesforordningens bestem-
melser om gennemsigtighed og oplysningspligt ændrer ikke på Justitsmini-
steriets vurdering.
4