Fremsat den 28. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen)
Forslag
til
Lov om ændring af lov om Center for
Cybersikkerhed
(Konsekvensændringer som følge
af databeskyttelsesforordningen og databeskyttelsesloven)
§ 1
I lov nr. 713 af 25. juni 2014 om Center for
Cybersikkerhed foretages følgende ændringer:
1. I
§ 8, stk. 1, 2. pkt., ændres
»og fra lov om behandling af personoplysninger, jf. § 2,
stk. 11, i lov om behandling af personoplysninger« til:
»og fra databeskyttelsesloven og Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne
oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, samt
fra lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. § 1, stk. 2, i lov om
retshåndhævende myndigheders behandling af
personoplysnin?ger«.
2. I
§ 8, stk. 2, ændres
»kapitel 8-10 i lov om behandling af personoplysninger«
til: »databeskyttelsesloven, Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne
oplysninger«.
3. I
§ 14 indsættes som stk. 2:
»Stk. 2.
Personoplysninger kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.«
4. I
§ 23, stk. 2, ændres
»lov om behandling af personoplysninger« til:
»databeskyttelsesloven og fra Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger
samt fra lov om retshåndhævende myndigheders behandling
af personoplysninger«.
§ 2
Loven træder i kraft den 25. maj 2018.
§ 3
Loven gælder ikke for Færøerne
og Grønland, men kan ved kongelig anordning helt eller
delvis sættes i kraft for Færøerne og
Grønland med de ændringer, som de færøske
og grønlandske forhold tilsiger.
Bemærkninger til lovforslaget
Almindelige
bemærkninger
1. Indledning og
baggrund
EU's databeskyttelsesforordning finder
anvendelse i Danmark fra den 25. maj 2018. Med henblik på at
supplere reglerne i databeskyttelsesforordningen har
Justitsministeriet endvidere den 25. oktober 2017 fremsat forslag
til en ny databeskyttelseslov, der forventes at træde i kraft
den 25. maj 2018. Samtidig vil den nuværende persondatalov
blive ophævet.
Center for Cybersikkerhed, der er en del af
Forsvarets Efterretningstjeneste, er national
it-sikkerhedsmyndighed samt netsikkerhedstjeneste. En af centerets
væsentligste opgaver er at opdage, analysere og bidrage til
at imødegå avancerede cyberangreb mod myndigheder samt
virksomheder, der er beskæftiget med samfundsvigtige
funktioner. Det sker blandt andet gennem monitorering af
internettrafikken hos en lang række myndigheder og
virksomheder, der er tilsluttet centerets netsikkerhedstjeneste.
Center for Cybersikkerheds virksomhed er reguleret i lov om Center
for Cybersikkerhed.
Center for Cybersikkerhed er ikke omfattet af
den nuværende persondatalov, og den behandling af
personoplysninger, som udføres af Center for Cybersikkerhed,
vil heller ikke blive omfattet af databeskyttelsesforordningen og
den nye databeskyttelseslov. Dette følger af
databeskyttelsesforordningens artikel 2, stk. 2, litra a, og af
§ 3, stk. 2, i den foreslåede nye
databeskyttelseslov.
En række af persondatalovens centrale
principper for behandling af personoplysninger er imidlertid
indarbejdet i lov om Center for Cybersikkerhed, som også
indeholder flere henvisninger til persondataloven. Der er derfor
behov for at konsekvensændre lov om Center for Cybersikkerhed
som følge af den nye databeskyttelsesregulering.
Formålet med dette lovforslag er at
gennemføre de nødvendige
konsekvensændringer.
Det vurderes, at der med den nuværende
regulering af Center for Cybersikkerheds behandling af
personoplysnin?ger er fundet en passende balance mellem
på den ene side hensynet til de særlige forhold, der
gør sig gældende for centerets aktiviteter, og
på den anden side hensynet til at sikre et højt
beskyttelsesniveau i forhold til behandlingen af personoplysninger.
For så vidt angår de centrale principper for Center for
Cybersikkerheds behandling af personoplysninger vil der derfor med
lovforslaget ske en indholdsmæssig uændret
videreførelse af gældende ret. Herudover vil der med
lovforslaget ske en tydeliggørelse af reglerne for
overførsel af personoplysninger til arkiv i medfør af
arkivlovgivningen.
2. Lovforslagets
hovedindhold
2.1. Gældende
ret
EU-Kommissionen fremsatte i januar 2012 et
forslag til en databeskyttelsespakke, som blev endeligt vedtaget
den 14. april 2016. Databeskyttelsespakken består af
Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesforordningen) og af
direktiv om retshåndhævende myndigheders behandling af
personoplysninger (retshåndhævelsesdirektivet).
Retshåndhævelsesdirektivet er gennemført i dansk
ret ved lov nr. 410 af 27. april 2017 om
retshåndhævende myndigheders behandling af
personoplysninger, som trådte i kraft den 30. april 2017.
Databeskyttelsesforordningen finder anvendelse den 25. maj 2018 og
suppleres af et forslag til lov om databeskyttelse, som
justitsministeren har fremsat for Folketinget den 25. oktober 2017.
Det forventes, at persondataloven ophæves med den kommende
databeskyttelseslov, som skal træde i kraft den 25. maj 2018
samtidigt med, at databeskyttelsesforordningen finder
anvendelse.
Det følger af § 1, stk. 2, i lov
nr. 410 af 27. april 2017 om retshåndhævende
myndigheders behandling af personoplysninger, at loven ikke finder
anvendelse på den behandling, der udføres for eller af
politiets og forsvarets efterretningstjenester.
Efter § 2, stk. 11, i lov nr. 429 af 31.
maj 2000 om behandling af personoplysninger (persondataloven)
gælder loven ikke for behandlinger, der udføres for
politiets og forsvarets efterretningstjenester. Ved § 55 i lov
nr. 410 af 27. april 2017 om retshåndhævende
myndigheders behandling af personoplysninger er persondatalovens
§ 2, stk. 11, blevet § 2, stk. 10.
Center for Cybersikkerhed er en del af
Forsvarets Efterretningstjeneste, og det følger
således af persondatalovens § 2, stk. 10, og af §
1, stk. 2, i lov om retshåndhævende myndigheders
behandling af personoplysninger, at centerets virksomhed er
undtaget fra de to love.
Det er desuden tydeliggjort i § 8, stk.
1, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at
centerets virksomhed er undtaget fra persondataloven.
Persondatalovens regler finder derfor ikke direkte anvendelse
på centerets behandling af personoplysninger.
Forsvarsministeren kan dog efter § 8, stk. 2, i lov om Center
for Cybersikkerhed bestemme, at kapitel 8-10 i persondataloven (om
oplysningspligt over for den registrerede, den registreredes
indsigtsret og øvrige rettigheder) helt eller delvist finder
anvendelse for Center for Cybersikkerhed vedrørende
centerets behandling af anmodninger om tilslutning til
netsikkerhedstjenesten, centerets virksomhed som myndighed for
informationssikkerhed og beredskab på teleområdet og
centerets personalesager.
Efter den gældende ordning i lov om
Center for Cybersikkerhed finder en række centrale principper
fra persondataloven anvendelse for centeret, da principperne er
indarbejdet i lovens kapitel 6. Det gælder blandt andet krav
til behandlingsgrundlag og krav om proportionalitet og
dataminimering.
Det er i de almindelige bemærkninger til
forslaget til lov om Center for Cybersikkerhed, jf.
Folketingstidende 2013-2014, A, L 192 som fremsat, side 13,
anført, at de centrale principper i persondataloven så
vidt muligt bør gælde for Center for Cybersikkerhed.
De særlige forhold, som gør sig gældende for
Center for Cybersikkerheds aktiviteter, tilsiger imidlertid, at
centeret ikke i samme omfang som andre offentlige myndigheder
bør være omfattet af den almindelige persondataretlige
lovgivning. Dette skal særligt ses i lyset af, at centerets
netsikkerhedstjeneste i overensstemmelse med sit formål
behandler store mængder data, hvor behandlingens fokus
imidlertid som altovervejende hovedregel er på oplysninger af
rent teknisk karakter.
Det anføres i bemærkningerne, at
principperne om oplysningspligt over for den registrerede og den
registreredes indsigts- og indsigelsesret ikke vil finde anvendelse
på centerets virksomhed. Baggrunden herfor er, at
formålet med Center for Cybersikkerheds netsikkerhedstjeneste
ikke er at behandle personoplysninger, men at
netsikkerhedstjenesten uundgåeligt vil skulle behandle
personoplysninger i forbindelse med sine aktiviteter. Indsamlingen
af personoplysninger er således en nødvendig del af
netsikkerhedstjenestens virke, og det er vurderingen, at opfyldelse
af en oplysningspligt over for den registrerede vil være
uforholdsmæssig vanskelig, ligesom behovet for at kunne
begære indsigt eller gøre indsigelse er mindre
fremtrædende end de administrative byrder, det ville
påføre netsikkerhedstjenesten.
Herudover fremgår det af § 23, stk.
2, i lov om Center for Cybersikkerhed, at Tilsynet med
Efterretningstjenesternes virksomhed er undtaget fra
persondataloven, når der føres tilsyn med Center for
Cybersikkerheds behandling af personoplysninger.
2.2. Forsvarsministeriets overvejelser
I lyset af, at persondataloven foreslås
ophævet, og at reguleringen af databeskyttelsesområdet
fremover primært vil ske i databeskyttelsesforordningen og
den nye databeskyttelseslov, vurderes der at være behov for
at foretage en konsekvensændring af lov om Center for
Cybersikkerhed.
Den nuværende regulering af Center for
Cybersikkerheds behandling af personoplysninger, herunder
afvejningen af hensynet til de særlige forhold, der
gør sig gældende for Center for Cybersikkerheds
virksomhed, over for hensynet til at sikre et højt
beskyttelsesniveau i forhold til behandlingen af personoplysninger,
er et resultat af grundige overvejelser, som blev foretaget i
forbindelse med lov om Center for Cybersikkerhed. De kommende
ændringer i databeskyttelsesreguleringen fører ikke
til en ændret vurdering heraf.
Forsvarsministeriet finder derfor, at
gældende ret efter lov om Center for Cybersikkerhed i videst
muligt omfang bør videreføres. Tilpasningen af lov om
Center for Cybersikkerhed til den nye databeskyttelsesregulering
bør således begrænse sig til de ændringer
af teknisk karakter, som er en konsekvens af ændringerne i
databeskyttelsesreguleringen.
Det bemærkes i den forbindelse, at den
nye databeskyttelsesregulering vil finde anvendelse for de
myndigheder og virksomheder, som er tilsluttet Center for
Cybersikkerheds netsikkerhedstjeneste, eller som på anden vis
anmoder om centerets bistand i forbindelse med f.eks. cyberangreb.
De tilsluttede myndigheder og virksomheder videregiver som led i
samarbejdet med netsikkerhedstjenesten data - herun?der
persondata - til Center for Cybersikkerhed. Denne videregivelse vil
fortsat kunne ske inden for rammerne af den nye
databeskyttelsesregulering. Der henvises i den forbindelse
særligt til databeskyttelsesforordningens
præambelbetragtning 49, hvoraf det fremgår, at
behandling af personoplysninger - i det omfang, det er strengt
nødvendigt og forholdsmæssigt for at sikre net- og
informationssikkerheden - der foretages af eksempelvis Computer
Emergency Response Teams (CERT'er) eller Computer Security Incident
Response Teams (CSIRT'er) udgør en legitim interesse for den
berørte dataansvarlige.
Endvidere finder Forsvarsministeriet det mest
korrekt, at det af lov om Center for Cybersikkerhed udtrykkeligt
fremgår, at personoplysninger kan overføres til arkiv
efter regle?rne i arkivlovgivningen. En sådan
bestemmelse vil svare til den nuværende § 14 i
persondataloven og § 14 i den kommende databeskyttelseslov.
Der vil i lighed med disse to bestemmelser alene være tale om
en tydeliggørelse af, hvad der følger af
arkivlovgivningen.
2.3. Den
foreslåede ordning
Det forslås, at henvisningerne i lov om
Center for Cybersikkerhed til persondataloven
konsekvensændres, således at der i stedet henvises til
den nye databeskyttelsesregulering.
Ændringerne foreslås at omfatte
lovens § 8, stk. 1, der henviser til persondatalovens
undtagelsesbestemmelse vedrørende
efterretningstjenester, samt lovens § 23, stk. 2, hvoraf det
følger, at Tilsynet med Efterretningstjenesternes virksomhed
er undtaget fra persondataloven. Det foreslås således,
at det i overensstemmelse med den gældende ordning i lov om
Center for Cybersikkerhed udtrykkeligt fremgår af
bestemmelserne, at centeret og tilsynet er undtaget fra henholdsvis
databeskyttelsesforordningen, databeskyttelsesloven og lov om
retshåndhævende myndigheders behandling af
personoplysninger.
Der foreslås endvidere en
konsekvensændring af lovens § 8, stk. 2, hvor den
gældende hjemmel til, at forsvarsministeren kan sætte
persondatalovens kapitel 8-10 i kraft for Center for
Cybersikkerheds behandling af anmodninger om tilslutning til
netsikkerhedstjenesten, centerets virksomhed som myndighed for
informationssikkerhed og beredskab på teleområdet samt
centerets personalesager, ændres til, at ministeren fremover
vil kunne bestemme, at databeskyttelsesforordningen og den nye
databeskyttelseslov helt eller delvist skal finde anvendelse i de
nævnte tilfælde.
Lovens øvrige bestemmelser om
behandling af personoplysninger foreslås ikke
ændret. Lovens kapitel 6 om behandling af personoplysninger i
Center for Cybersikkerhed vil dermed blive videreført
uændret. De bestemmelser i kapitlet, der er baseret på
den nuværende persondatalov, vil fortsat efter
persondatalovens ophævelse skulle fortolkes i
overensstemmelse med forarbejder til og praksis efter
persondataloven. Bestemmelserne vil dermed ikke skulle fortolkes i
lyset af reglerne i databeskyttelsesforordningen, den nye
databeskyttelseslov samt fremtidig praksis herom.
Det foreslås desuden, at der
tilføjes en ny bestemmelse i § 14, stk. 2, der
tydeliggør, at personoplysninger, som Center for
Cybersikkerhed behandler i medfør af lov om Center for
Cybersikkerhed, kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.
3. Økonomiske og
administrative konsekvenser for det offentlige
Lovforslaget har ikke økonomiske og
administrative konsekvenser for det offentlige.
4. Økonomiske og
administrative konsekvenser for erhvervslivet mv.
Lovforslaget har ikke økonomiske og
administrative konsekvenser for erhvervslivet mv.
5. Administrative
konsekvenser for borgerne
Lovforslaget har ikke administrative
konsekvenser for borgerne.
6. Miljømæssige konsekvenser
Lovforslaget har ikke
miljømæssige konsekvenser.
7. Forholdet til
EU-retten
Databeskyttelsesforordningen finder ikke
anvendelse for Center for Cybersikkerhed, jf. forordningens artikel
2, stk. 2, litra a.
8. Hørte
myndigheder og organisationer mv.
Et udkast til lovforslaget har i perioden fra
den 13. december 2017 til den 15. januar 2018 været sendt i
høring hos følgende myndigheder og organisationer
mv.:
Advokatrådet, Amnesty International,
Danske Advokater, Dansk Energi, Dansk Erhverv, Dansk Industri,
Dansk Internet Forum (DIFO), DANSK IT, Danske Regioner,
Datatilsynet, Den Danske Dommerforening, DI ITEK, DKCERT,
Domstolsstyrelsen, Institut for Menneskerettigheder, ISP
Sikkerhedsforum, IT-Branchen, IT-Politisk Forening, Justitia, KL,
PROSA, Præsidenten for Vestre Landsret, Præsidenten for
Østre Landsret, Retspolitisk Forening, Rigsombudsmanden i
Grønland, Rigsombudsmanden på Færøerne,
Rådet for Digital Sikkerhed, samtlige
byretspræsidenter, Teleindustrien (TI) og Tilsynet med
Efterretningstjenesterne.
9. Sammenfattende skema | | Positive konsekvenser/mindreudgifter (hvis ja, angiv omfang) | Negative konsekvenser/merudgifter (hvis ja, angiv omfang) | Økonomiske konsekvenser for stat,
kommuner og regioner | Ingen | Ingen | Administrative konsekvenser for stat,
kommuner og regioner | Ingen | Ingen | Økonomiske konsekvenser for
erhvervslivet | Ingen | Ingen | Administrative konsekvenser for
erhvervslivet | Ingen | Ingen | Administrative konsekvenser for
borgerne | Ingen | Ingen | Miljømæssige
konsekvenser | Ingen | Ingen | Forholdet til EU-retten | Databeskyttelsesforordningen finder ikke
anvendelse på Center for Cybersikkerheds virksomhed, jf.
forordningens artikel 2, stk. 2, litra a. | Overimplementering af EU-retlige
minimumsforpligtelser | Ja | Nej X |
|
Bemærkninger til lovforslagets enkelte
bestemmelser
Til §
1
Til nr.
1
Center for Cybersikkerheds virksomhed er i
medfør af persondatalovens § 2, stk. 10, (tidligere
§ 2, stk. 11), undtaget fra persondataloven, hvilket ligeledes
fremgår af § 8, stk. 1, i lov om Center for
Cybersikkerhed.
Ved den nye databeskyttelseslovs
ikrafttræden ophæves persondataloven. Det følger
af § 3, stk. 2, i den nye databeskyttelseslov, at loven og
databeskyttelsesforordningen ikke vil finde anvendelse på den
behandling af personoplysnin?ger, som udføres for eller
af politiets og forsvarets efterretningstjenester.
Som konsekvens heraf foreslås det at
ændre henvisningen til persondataloven i § 8, stk. 1,
så der fremover henvises til databeskyttelsesforordningen og
databeskyttelsesloven, jf. § 3, stk. 2, i
databeskyttelsesloven.
Det foreslås samtidig, at det af
lovteksten udtrykkeligt fremgår, at Center for
Cybersikkerheds virksomhed ikke er omfattet af lov nr. 410 af 27.
april 2017 om retshåndhævende myndigheders behandling
af personoplysninger, som trådte i kraft den 30. april
2017.
Der er alene tale om en lovteknisk
konsekvensændring, som ikke indebærer en ændring
af gældende ret.
Til nr.
2
Det følger af § 8, stk. 2, i lov
om Center for Cybersikkerhed, at forsvarsministeren kan bestemme,
at kapitel 8-10 i persondataloven helt eller delvist finder
anvendelse for Center for Cybersikkerhed vedrørende
centerets behandling af anmodninger om tilslutning til
netsikkerhedstjenesten, centerets virksomhed som myndighed for
informationssikkerhed og beredskab på teleområdet og
centerets personalesager.
Som en konsekvens af den nye
databeskyttelsesregulering foreslås det, at
forsvarsministeren fremover kan bestemme, at
databeskyttelsesforordningen og databeskyttelsesloven helt eller
delvis finder anvendelse for Center for Cybersikkerhed
vedrørende centerets behandling af anmodninger om
tilslutning til netsikkerhedstjenesten, centerets virksomhed som
myndighed for informationssikkerhed og beredskab på
teleområdet og centerets personalesager. Det
forudsættes, at det som led heri tillige vil kunne bestemmes,
at databeskyttelsesforordningen og databeskyttelsesloven helt eller
delvis finder anvendelse for de myndighedsopgaver vedrørende
informationssikkerhed, som Center for Cybersikkerhed måtte
blive tillagt som led i implementeringen af Europa-Parlamentets og
Rådets direktiv 2016/1148 af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles
sikkerhedsniveau for net- og informationssystemer i hele Unionen
(NIS-direktivet).
Det forudsættes endvidere, at
Forsvarsministeriet drøfter de administrative regler udstedt
i medfør heraf med Tilsynet med Efterretningstjenesterne, og
at Udvalget vedrørende Efterretningstjenesterne underrettes,
inden reglerne udstedes.
Til nr.
3
Der foreslås indsat en ny § 14,
stk. 2, hvorefter personoplysninger, som Center for
Cybersikkerhed behandler i medfør af lov om Center for
Cybersikkerhed, kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.
Bestemmelsen er identisk med den
nuværende § 14 i persondataloven, og med
indsættelsen af denne bestemmelse vil det blive tydeliggjort,
at den ordning, der i dag følger af persondatalovens §
14, også gælder for Center for Cybersikkerhed.
Bestemmelsen skal forstås og fortolkes i overensstemmelse med
persondatalovens forarbejder og den relevante praksis.
Til nr.
4
Det følger af § 23, stk. 2, i lov
om Center for Cybersikkerhed, at Tilsynet med
Efterretningstjenesternes virksomhed er undtaget fra
persondataloven.
Som konsekvens af den nye
databeskyttelsesregulering foreslås det, at henvisningen til
persondataloven erstattes af en henvisning til
databeskyttelsesforordningen og databeskyttelsesloven.
Det foreslås herudover, at det i
lovteksten præciseres, at Tilsynet med
Efterretningstjenesternes virksomhed, i lighed med Center for
Cybersikkerheds virksomhed, ikke er omfattet af lov om
retshåndhævende myndigheders behandling af
personoplysninger.
Der er alene tale om en lovteknisk
konsekvensændring, som ikke indebærer en ændring
af gældende ret.
Til §
2
Det foreslås, at loven træder i
kraft den 25. maj 2018. Dermed vil loven træde i kraft
samtidig med, at databeskyttelsesforordningen finder anvendelse og
den nye databeskyttelseslov forventes at træde i kraft,
hvorefter persondataloven ophæves.
Til §
3
Bestemmelsen vedrører lovens
territoriale gyldighed.
Lov om Center for Cybersikkerhed gælder
ikke for Færøerne og Grønland, men kan ved
kongelig anordning sættes helt eller delvis i kraft for
Færøerne og Grønland med de ændringer,
som de færøske og grønlandske forhold tilsiger,
jf. lovens § 26.
På den baggrund indebærer den
foreslåede bestemmelse, at loven ikke gælder for
Færøerne og Grønland, men at loven ved kongelig
anordning helt eller delvis kan sættes i kraft for
Færøerne og Grønland med de ændringer,
som de færøske og grønlandske forhold
tilsiger.
Bilag 1
Lovforslaget sammenholdt med gældende
lov
Gældende
formulering | | Lovforslaget | | | | | | § 1 | | | | | | I lov nr. 713 af 25. juni 2014 om Center for
Cybersikkerhed foretages følgende ændringer: | | | | § 8. Center
for Cybersikkerheds virksomhed er undtaget fra lov om offentlighed
i forvaltningen bortset fra lovens § 13. Center for
Cybersikkerheds virksomhed er endvidere undtaget fra
forvaltningslovens kapitel 4-6 og fra lov om behandling af
personoplysninger, jf. § 2, stk. 11, i lov om behandling af
personoplysninger. | | 1. I § 8, stk. 1, 2. pkt., ændres
»og fra lov om behandling af personoplysninger, jf. § 2,
stk. 11, i lov om behandling af personoplysninger« til:
»og fra databeskyttelsesloven og Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne
oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, samt
fra lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. § 1, stk. 2, i lov om
retshåndhævende myndigheders behandling af
personoplysninger«. | | | | Stk. 2.
Forsvarsministeren kan bestemme, at kapitel 8-10 i lov om
behandling af personoplysnin?ger, lov om offentlighed i
forvaltningen og forvaltningslovens kapitel 4-6 helt eller delvis
finder anvendelse for Center for Cybersikkerhed
vedrørende 1) centerets behandling af anmodninger om
tilslutning til netsikkerhedstjenesten, jf. § 3, stk. 3, 2) centerets virksomhed som myndighed for
informationssikkerhed og beredskab på teleområdet
og 3) centerets personalesager. | | 2. I § 8, stk. 2, ændres »kapitel
8-10 i lov om behandling af personoplysninger« til:
»databeskyttelsesloven, Europa-Parlamentets og Rådets
forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om
fri udveksling af sådanne oplysninger«. | | | | § 14.
--- | | 3. I § 14 indsættes som stk. 2: »Stk. 2.
Personoplysninger kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.« | § 23.
--- | | | Stk. 2. Tilsynets virksomhed er undtaget fra
forvaltningslovens kapitel 4-6 og fra lov om behandling af
personoplysninger. | | 4. I § 23, stk. 2, ændres »lov om
behandling af personoplysninger« til:
»databeskyttelsesloven og fra Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger
samt fra lov om retshåndhævende myndigheders behandling
af personoplysninger«. | | | | | | § 2 | | | | | | Loven træder i kraft den 25. maj
2018. | | | | | | § 3 | | | | | | Loven gælder ikke for
Færøerne og Grønland, men kan ved kongelig
anordning helt eller delvis sættes i kraft for
Færøerne og Grønland med de ændringer,
som de færøske og grønlandske forhold
tilsiger. |
|