Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt
1881555_0001.png
Folketinget
Retsudvalget
Christiansborg Slot 1
1218 København K
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
8. december 2017
Databeskyttelseskontoret
Anders Lotterup
2017-0037-0005
585389
Hermed sendes besvarelse af spørgsmål 4 vedrørende forslag til lov om sup-
plerende bestemmelser til forordning om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love. (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg har stillet til justitsministeren den 22. november 2017.
Søren Pape Poulsen
/
Jakob Lundsager
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69:
”Vil ministeren overveje at ændre forslagets punkter vedrørende
• regler for myndighedernes videreanvendelse af oplysninger til
andre formål, end de oprindeligt er indsamlet til,
• regler for oplysningspligt herom samt
• regler om, at bemyndigelse fastsættes på bekendtgørelsesni-
veau mellem justitsministeren og ressortministeren, således at
man med lovforslaget afholder sig fra at udnytte muligheden for
nationale særregler på området i det brede omfang, ministeren
har valgt i lovforslaget?
Svar:
1.
Der skal være hjemmel til al behandling af personoplysninger. Hjemlen
kan findes særligt i lovforslagets (L 68) §§ 6-14 med henvisningerne heri til
databeskyttelsesforordningens artikel 6, stk. 1, og artikel 9, stk. 2.
2.
Udover, at der skal være et hjemmelsgrundlag for behandlingen, skal al
behandling af personoplysninger også overholde de grundlæggende princip-
per i databeskyttelsesforordningens artikel 5, herunder at behandling af op-
lysninger skal være tilstrækkelig, relevant og begrænset til, hvad der er nød-
vendigt i forhold til de formål, hvortil de behandles, jf. artikel 5, stk. 1, litra
c.
Det følger også af forordningens artikel 5, at personoplysninger skal ind-
samles til udtrykkeligt angivne og legitime formål og ikke må viderebehand-
les på en måde, der er uforenelig med disse formål, jf. stk. 1, litra b (det så-
kaldte finalité-princip). Denne forordningsbestemmelse er medtaget i lov-
forslagets § 5, stk. 1, og kendes allerede fra gældende ret efter persondata-
lovens § 5, stk. 2, hvorefter indsamling af oplysninger skal ske til udtrykke-
ligt angivne og saglige formål, og senere behandling må ikke være uforene-
lig med disse formål.
Selvom der er hjemmel til behandling af personoplysninger, er der således
grænser for, hvilke andre, senere formål personoplysninger kan anvendes
til.
I databeskyttelsesforordningens artikel 6, stk. 4, præciseres det, at der er tre
muligheder for, hvornår en viderebehandling af personoplysninger er lovlig
2
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
og i overensstemmelse med artikel 5, stk. 1, litra b, og dermed lovforslagets
§ 5, stk. 1.
En viderebehandling er således lovlig, hvis den for det
første
er baseret på
et samtykke til viderebehandlingen, hvis den for det
andet
bygger på en be-
stemmelse i EU-retten eller medlemsstaternes nationale ret i overensstem-
melse med artikel 23, stk. 1, eller hvis viderebehandlingen for det
tredje
for-
følger et formål, der ikke er uforeneligt med det oprindelige indsamlings-
formål på baggrund af ”ikke-uforenelighedstesten” i artikel 6, stk. 4, 2. led,
litra a-e.
Den nævnte anden mulighed for viderebehandling, bl.a. på baggrund af en
bestemmelse i national ret om viderebehandling, danner baggrund for lov-
forslagets § 5, stk. 3, der omtales nedenfor (punkt 3-7). Den nævnte tredje
mulighed for viderebehandling på baggrund af en ”ikke-uforenelighedstest”
er medtaget i lovforslagets § 5, stk. 2, og omtales umiddelbart nedenfor.
Den tredje mulighed betyder, at den dataansvarlige på baggrund af »testen«
i artikel 6, stk. 4, 2. led, litra a-e, kan foretage en vurdering af, hvornår en
viderebehandling er forenelig med det formål, som personoplysningerne op-
rindeligt blev indsamlet til. Det fremgår således af forordningens art. 6, stk.
4, 2. led, litra a-e, og betragtning 50, 1. afsnit, 5. pkt., at for at afgøre om et
andet behandlingsformål er foreneligt med det formål, som personoplysnin-
gerne oprindeligt blev indsamlet til, skal den dataansvarlige bl.a. tage hen-
syn til enhver forbindelse mellem det formål, som personoplysningerne er
indsamlet til, og formålet med den påtænkte viderebehandling, den sam-
menhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hen-
syn til forholdet mellem den registrerede og den dataansvarlige, personop-
lysningernes art, navnlig om særlige kategorier af personoplysninger be-
handles, jf. art. 9, eller om personoplysninger vedrørende straffedomme og
lovovertrædelser behandles, jf. art. 10, den påtænkte viderebehandlings mu-
lige konsekvenser for de registrerede og tilstedeværelse af fornødne garan-
tier, som kan omfatte kryptering eller pseudonymisering.
Hvis en behandling således på baggrund af testen ikke er uforenelig med det
oprindelige behandlingsformål, kan behandlingen lovligt ske på baggrund
af og inden for rammerne af det oprindelige hjemmelsgrundlag.
3.
Det fremgår af lovforslagets § 5, stk. 3, at vedkommende minister efter
forhandling med justitsministeren – uanset § 5, stk. 1 og 2 – og inden for
rammerne af databeskyttelsesforordningens artikel 23 kan fastsætte nær-
3
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
mere regler om, at personoplysninger af offentlige myndigheder må videre-
behandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt
af formålenes forenelighed.
Baggrunden for forslaget er bl.a., at regeringen ønsker, at det offentlige kan
videreanvende og genbruge data på en effektiv, åben og transparent måde,
der stadig lever op til kravene om databeskyttelse.
Samtidig skal der skabes rammer for en effektiv datadeling, så borgerne og
virksomhederne kan få en mere effektiv sagsbehandling og mere målrettede,
sammenhængende indsatser, der virker bedre for den enkelte. Lovforslagets
§ 5, stk. 3, skal bidrage til, at borgere og virksomheder får bedre og hurti-
gere afgørelser samt målsætningen om, at borgere og virksomheder i videst
muligt omfang kun skal afgive samme oplysning én gang til den offentlige
sektor. Det giver samtidig medarbejdere i det offentlige mere tid til kerne-
opgaven og fremmer en mere sammenhængende offentlig sektor.
Med lovforslagets § 5, stk. 3, lægges der derfor op til – inden for de databe-
skyttelsesretlige rammer – at tydeliggøre den adgang til videreanvendelse
og genbrug af oplysninger, som følger af databeskyttelsesforordningen, ved
at fastsætte en særlig bestemmelse om formålsbestemthed.
Dette vil bidrage til at skabe mere åbenhed for borgerne, når de på forhånd
vil kunne orientere sig i, om en given viderebehandling kan ske til et andet
formål end det oprindelige, ligesom det set fra myndighedens side vil skabe
et sikkert retligt grundlag.
Vurderingen af, om der efter den ovenfor nævnte gældende persondatalovs
§ 5, stk. 2, eller databeskyttelsesforordningens artikel 5, stk. 1, litra b (lov-
forslagets § 5, stk. 2), kan ske viderebehandling til nye formål, der ikke er
uforenelige med de oprindelige formål, forudsætter i udgangspunktet en
konkretiseret vurdering. Der opstår på den baggrund erfaringsmæssigt for-
skellig praksis i f.eks. kommunerne for, om en viderebehandling må ske i
en konkret situation på et bestemt lovområde.
En udnyttelse af bemyndigelsen i lovforslagets § 5, stk. 3, kan gøre op med
den tvivl ved præcist at fastlægge i hvilke tilfælde, der lovligt kan ske vide-
rebehandling i en kommune eller mellem kommunerne, og i hvilke tilfælde
der ikke kan.
4
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
4.
Der kan som eksempel på anvendelse af bemyndigelsen i stk. 3 nævnes
”borgeroversigter” til segmentering og udsøgning af borgere, der modtager
ydelser på tværs af flere forvaltningsområder. Endvidere kan bemyndigel-
sen bidrage til, at kommunale sagsbehandlere i jobcentrene med udgangs-
punkt i en konkret borger kan få adgang til et overblik over, hvilke ydelser
og indsatser borgeren modtager på tværs af forvaltningerne i kommunen.
5.
Efter ordlyden af lovforslagets § 5, stk. 3, kan bemyndigelsen anvendes
til at fastsætte regler om, at offentlige myndigheder må viderebehandle per-
sonoplysninger til andre formål, end de oprindeligt var indsamlet til,
”uaf-
hængigt af formålenes forenelighed.”
I det omfang bemyndigelsesbestemmelsen vil blive brugt til at fastsætte reg-
ler om viderebehandling til forenelige formål, er der tale om en viderebe-
handling af oplysninger, der i forvejen var mulighed for ved anvendelse af
”ikke-uforenelighedstesten” (finalité-princippet) i databeskyttelsesforord-
ningens artikel 6, stk. 4, 2. afsnit, jf. lovforslagets § 5, stk. 2.
En udnyttelse af bemyndigelsesbestemmelsen i disse tilfælde vil bidrage til
åbenheden og klarhed omkring videreanvendelsen af personoplysninger,
hvilket ikke mindst i grænsetilfældene eller i de tilfælde, hvor myndigheder
anlægger en forskellig fortolkning af, hvad en konkret anvendelse af fina-
lité-princippet fører til, vil være til stor gavn for borgerne og myndighe-
derne, da der vil blive skabt et mere sikkert og gennemsigtigt grundlag for
videreanvendelsen.
Det bemærkes, at der efter gældende praksis er forholdsvise vide rammer
for offentlige myndigheder – i modsætning til private aktører, hvor ram-
merne i praksis er snævrere – til at viderebehandle personoplysninger til an-
dre formål.
6.
I det omfang bemyndigelsesbestemmelse vil blive brugt til at fastsætte
regler om viderebehandling til formål, der kan siges ikke at være forenelige
med det oprindelige formål, eller hvor der er tvivl om foreneligheden, er der
en række mekanismer i forordningen, som sikrer beskyttelse af de registre-
redes rettigheder, ligesom lovforslagets § 5, stk. 3, i sig selv indeholder væ-
sentlige indskrænkninger i muligheden for at fastsætte regler efter bestem-
melsen.
Bemyndigelsesbestemmelsen i forslagets § 5, stk. 3, finder således udtryk-
kelig ikke anvendelse på behandling af oplysninger i medfør af lovforsla-
5
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
gets § 10 om rammerne og begrænsningerne for behandling af oplysninger
med henblik på at udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning.
Derudover kan bemyndigelsesbestemmelsen heller ikke anvendes til at fast-
sætte regler om viderebehandling til formål, der ikke er forenelige med det
oprindelige formål, hvis der er tale om helbredsoplysninger og genetiske,
der er følsomme personoplysninger omfattet af forordningens artikel 9, i det
omfang disse følsomme oplysninger er indsamlet i medfør af sundhedslov-
givningen eller i medfør af lovforslagets § 7, stk. 3, om bl.a. nødvendig be-
handling af personoplysninger henblik på forebyggende sygdomsbekæm-
pelse, medicinsk diagnose, sygepleje eller patientbehandling.
Denne begrænsning betyder eksempelvis, at videreanvendelse af oplysnin-
ger, som en læge på et hospital eller i en lægepraksis indsamler om en pa-
tient til brug for behandling af patienten, alene kan reguleres efter bemyn-
digelsesbestemmelsen i det omfang, der er tale om videreanvendelse til for-
mål, der er forenelige med det oprindelige formål (dvs. patientbehandling).
Det skal herudover bemærkes, at det er en forudsætning for anvendelsen af
bemyndigelsesbestemmelsen i lovforslagets § 5, stk. 3, at den ikke anven-
des til udstedelse af regler, der strider mod andre regler, f.eks. en særlig lov-
bestemt tavshedspligt omfattet af § 35 i lov om offentlighed i forvaltningen
– såsom skatteforvaltningslovens § 17, sundhedslovens § 40 og folkeskole-
lovens § 55 b – eller regler om, at en videregivelse af oplysninger alene må
finde sted på bestemte betingelser.
Eksempelvis følger det af den nævnte § 55 b i folkeskoleloven, at testre-
sultaterne i de nationale test er fortrolige. Der er med bestemmelsen tale om
en særlig tavshedspligt, og bemyndigelsen i lovforslagets § 5, stk. 3, kan så-
ledes ikke anvendes til at fastsætte regler om en viderebehandling af perso-
noplysninger, der ville være i strid med tavshedspligten i folkeskolelovens
§ 55 b. En sådan viderebehandling ville i stedet kræve en lovændring af be-
stemmelsen i folkeskoleloven.
Det er Justitsministeriets opfattelse, at der er væsentlige områder, hvor mu-
ligheden for at fastsætte regler om videreanvendelse af oplysninger, således
allerede er undtaget fra bestemmelsen. Hvis man på disse områder ønsker at
fastsætte regler om videreanvendelse af oplysningerne til formål, der er
uforenlige med de oprindelige, vil det kræve en lovændring.
6
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
7.
I de tilfælde, hvor der er tale om viderebehandling til et formål, der ikke
er foreneligt med det oprindelige formål, eller hvor der er tvivl om forene-
ligheden, sikrer henvisningen i forslagets § 5, stk. 3, til databeskyttelsesfor-
ordningens artikel 23, at der er snævre grænser for brugen af lovforslagets
§ 5, stk. 3, og at der i den forbindelse tages behørig hensyn databeskyttelse
og de registreredes rettigheder.
Forordningens artikel 23 giver således mulighed for at begrænse bl.a. for-
ordningens artikel 5, herunder finalité-princippet. Der er dog efter bestem-
melsen en række strenge krav til en sådan begrænsning, der skal respektere
det væsentligste indhold af de grundlæggende rettigheder og frihedsrettig-
heder og skal være en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund.
Enhver konkret udnyttelse af bemyndigelsen i stk. 3 skal således ligge in-
den for mindst én af litraerne i litra a til j i artikel 23, stk. 1, i forordningen,
hvor eksempelvis litra e giver mulighed for at begrænse rettighederne af
hensyn til en medlemsstats væsentlige økonomiske interesser.
Når bemyndigelsen i lovforslagets § 5, stk. 3, udnyttes, skal bekendtgørel-
sen også leve op til kravene i forordningens artikel 23, stk. 2, hvorefter en-
hver lovgivningsmæssig foranstaltning, der er omhandlet i artikel 23 stk. 1,
som minimum, hvor det er relevant, skal indeholde specifikke bestemmel-
ser vedrørende de i stk. 2, litra a-h, angivne krav.
Det vil således eksempelvis være relevant i bekendtgørelsen specifikt at re-
gulere, hvilke formål der kan ske videreanvendelse til, og hvilke formål der
ikke kan ske videreanvendelse til. Det vil også være relevant at fastsætte be-
stemmelser om, hvor lang tid personoplysningerne må opbevares, ligesom
der skal fastsættes regler, som sikrer, at videreanvendte oplysninger ikke
kan misbruges.
Regler fastsat efter lovforslagets § 5, stk. 3, må forventes ofte at blive af tek-
nisk præget karakter, og på den baggrund er det nærliggende, at sådanne
regler fastsættes i bekendtgørelsesform.
Det skal også nævnes, at Datatilsynet som uafhængig tilsynsmyndighed på
forhånd skal udtale sig om bekendtgørelser efter § 5, stk. 3, herunder om
forholdet til forordningen og beskyttelsen af personoplysninger i øvrigt, jf.
lovforslagets § 28.
7
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
Som det fremgår af bemærkningerne til forslagets § 28, skal Datatilsynet i
forbindelse med høringen udtale sig om, hvorvidt de påtænkte retsforskrif-
ter mv. efter tilsynets opfattelse giver anledning til betænkeligheder i for-
hold til forordningen og dette lovforslag eller i øvrigt i relation til beskyttel-
sen af de registreredes privatliv.
Justitsministeriet vil i øvrigt løbende overvåge brugen af bemyndigelsen i
stk. 3 og føre en liste over bekendtgørelser udstedt i medfør af bestemmel-
sen.
8.
Det følger af databeskyttelsesforordningens artikel 13, stk. 3, og artikel
14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplys-
ningerne til et andet formål end det, hvortil de er indsamlet, giver den data-
ansvarlige forud for denne viderebehandling den registrerede oplysninger
om dette andet formål og andre relevante yderligere oplysninger. Der er så-
ledes tale om en
fornyet
oplysningspligt i forhold til oplysningspligten, der
i øvrigt følger af artikel 13, stk. 1 og 2, og artikel 14, stk. 1 og 2.
Oplysningspligten i forordningens artikel 13 og 14 er en central rettighed
for den registrerede, der giver mulighed for at blive orienteret herom, når en
dataansvarlig behandler oplysninger om én.
Set fra den dataansvarliges side kan den fornyede oplysningspligt, der nu
følger af forordningens artikel 13, stk. 3, og artikel 14, stk. 4, opleves som
administrativ byrdefuld. Samtidig synes det tvivlsomt, om en fornyet oplys-
ningspligt i denne situation reelt vil skabe større retssikkerhed for den regi-
strerede.
Det er på denne baggrund Justitsministeriets vurdering, at det er forsvarligt
– inden for rammerne af forordningens artikel 23 – at begrænse alene den
fornyede oplysningspligt efter forordningens artikel 13, stk. 3, og artikel 14,
stk. 4, i det omfang vedkommende minister har udnyttet bemyndigelsen i
lovforslagets § 5, stk. 3, og i bekendtgørelsesform bestemt, at en nærmere
angiven viderebehandling af personoplysninger lovligt skal kunne finde sted
i den offentlige forvaltning.
Der er derfor indsat en bestemmelse herom i lovforslagets § 23.
Det bemærkes, at lovforslagets § 23 alene lægger op til at begrænse oplys-
ningspligten for den dataansvarlige (myndigheden), der allerede én gang har
opfyldt sin oplysningspligt over for den registrerede efter databeskyttelses-
8
L 69 - 2017-18 - Endeligt svar på spørgsmål 86: Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren
forordningens artikel 13, stk. 1-2, eller artikel 14, stk. 1-2. Hvis den pågæl-
dende dataansvarlige videregiver oplysninger på baggrund af en bekendtgø-
relse udstedt efter lovforslagets § 5, stk. 3, til en anden dataansvarlig (en an-
den myndighed), skal sidstnævnte dataansvarlig selv sikre sig, at vedkom-
mende lever op til oplysningspligten.
Der henvises vedrørende dette spørgsmål i det hele til lovforslagets afsnit
2.3.1.2., 2.3.1.3. og 2.4.3.5 samt bemærkningerne til forslagets § 5, stk. 3,
og § 23.
9.
På den baggrund er det Justitsministeriets opfattelse, at der med bemyn-
digelsesbestemmelsen i lovforslagets § 5, stk. 3, er fundet den rette balance
mellem behovet for effektiv og gennemsigtig udveksling af oplysninger i
den offentlige forvaltning samtidigt med, at der fortsat er en høj beskyttelse
af borgernes personoplysninger. Der er på den baggrund ikke planer om at
ændre på lovforslagets § 5, stk. 3, og § 23.
9