Udvalget for Digitalisering og It 2023-24
DIU Alm.del Bilag 165
Offentligt
Forslag
Til
Lov om ændring af databeskyttelsesloven
(ophævelse af krav om tilladelse fra Datatilsynet til behandling)
§1
I databeskyttelsesloven, jf. lovbekendtgørelse nr. 289 af 8. marts 2024, foretages følgende
ændringer:
1.
I
§ 2, stk. 2, 2. pkt.,
ændres », som er omfattet af § 26, stk. 1, nr. 1« til: »i advarselsregistre«.
2.
§§ 19
og
47,
ophæves.
3.
Afsnit V
ophæves.
4.
I
§ 41, stk. 2, nr. 1,
ændres », § 21 eller § 26, stk. 1 og 5« til: »eller § 21«.
5.
§ 43
affattes således:
»§ 43. Den, der driver eller er beskæftiget med advarselsregistre, kreditoplysningsbureauer eller
retsinformationssystemer, kan ved dom for strafbart forhold frakendes retten hertil, såfremt det
udviste forhold begrunder en nærliggende fare for misbrug. I øvrigt finder straffelovens § 79, stk.
3 og 4, anvendelse.«
§2
Loven træder i kraft den 1. januar 2025.
Bemærkninger til lovforslaget
Almindelige bemærkninger
1. Indledning og lovforslagets baggrund
Det fremgår af regeringens 2030-plan
DK2030 - Danmark rustet til fremtiden,
at regeringen i tillæg
til de flerårige samarbejdsprogrammer med kommuner og regioner vil tage initiativ til et flerårigt
arbejdsprogram på det statslige område, som har til formål at frigøre medarbejdernes tid, sikre bedre
ressourceudnyttelse, understøtte opgavebortfald og begrænse statslig administration og bureaukrati.
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
Som led i det statslige arbejdsprogram er det besluttet, at samtlige ministerier skal bidrage med
politisk prioriteret opgavebortfald.
På Justitsministeriets område vurderes Datatilsynets administration af tilladelsesordningen i
databeskyttelseslovens § 26 at være en af de opgaver, som kan bortfalde. På den baggrund foreslås
det med lovforslaget at ophæve tilladelsesordningen efter databeskyttelseslovens § 26.
2. Lovforslagets hovedpunkter
2.1 Ophævelse af krav om tilladelse fra Datatilsynet til behandling
2.1.1 Gældende ret
Det følger af databeskyttelseslovens § 26, stk. 1, at private dataansvarlige i visse tilfælde skal indhente
tilladelse fra Datatilsynet, inden en behandling iværksættes. Kravet om tilladelse gælder, i) når
behandlingen af oplysningerne sker med henblik på at advare andre mod forretningsforbindelser med
eller ansættelsesforhold til en registreret, ii) når behandlingen sker med henblik på erhvervsmæssig
videregivelse af oplysninger til bedømmelse af økonomiske soliditet og kreditværdighed eller iii) når
behandlingen udelukkende finder sted med henblik på at føre retsinformationssystemer. Det
overlades således til Datatilsynet i hvert enkelt tilfælde at afgøre, om behandlingsaktiviteten tjener
anerkendelsesværdige interesser og i bekræftende fald at fastsætte individuelle vilkår med hensyn til
udførelsen af behandlingerne. I Datatilsynets bedømmelse af, om en ansøgning bør imødekommes,
indgår navnlig en vurdering af registrets formål i forhold til den risiko for krænkelser af privatlivets
fred, som oprettelse og brugen af registret kan medføre.
Efter § 26, stk. 2, bemyndiges Justitsministeren til at fastsætte regler om undtagelse til
tilladelsesordningen i stk. 1.
§ 26, stk. 3, giver mulighed for at udvide tilladelsesordningen. Det følger således af § 26, stk. 3, at
Justitsministeren kan fastsætte regler om, at der forinden iværksættelse af andre behandlinger end
dem, der er nævnt i stk. 1, skal indhentes tilladelse fra Datatilsynet, herunder for behandlinger, der
foretages for en offentlig myndighed.
Bemyndigelsesbestemmelserne i stk. 2 og stk. 3 er ikke udnyttet.
Datatilsynet kan i medfør af § 26, stk. 4, i forbindelse med meddelelse af en tilladelse efter stk. 1 eller
3 fastsætte vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv.
Datatilsynet kan eksempelvis fastsætte særlige sikkerhedsforanstaltninger og stille sådanne andre
vilkår, som i hvert enkelt tilfælde skønnes nødvendige. Det vil f.eks. kunne være i relation til sletning
eller ajourføring.
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
Det følger endelig af § 26, stk. 5, at der forinden iværksættelse af ændringer i de behandlinger, der er
nævnt i stk. 1 eller 3, skal indhentes en ny tilladelse fra Datatilsynet, hvis der er tale om væsentlige
ændringer.
Databeskyttelsesforordningen stiller ikke krav om tilladelse til behandling af personoplysninger.
Databeskyttelsesforordningens artikel 36, stk. 5, giver dog mulighed for nationale regler om, at den
dataansvarlige ifm. visse behandlingsaktiviteter altid skal høre og opnå forudgående tilladelse fra
tilsynsmyndigheden. Muligheden for at stille krav om tilladelse til behandling af personoplysninger
i databeskyttelsesforordningens artikel 36, stk. 5, er begrænset til behandlingsaktiviteter som led i
udførelse af en opgave i samfundets interesse. § 26 udmønter muligheden for at have et nationalt
tilladelseskrav efter artikel 36, stk. 5, men er i vid udstrækning en videreførelse af den dagældende
persondatalovs § 50, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side 195-196.
2.1.2. Justitsministeriets overvejelser og den foreslåede ordning
Der blev i forarbejderne til databeskyttelsesloven, jf. Folketingstidende 2017-18, tillæg A, L 68 som
fremsat, side 148, lagt vægt på, at det er af meget væsentlig betydning for både enkeltpersoner og
virksomheder, at behandling af personoplysninger i forbindelse med førelsen af advarselsregistre og
retsinformationssystemer og behandling af personoplysninger i kreditoplysningsbureauer sker på en
saglig og lovlig måde, da ulovlige behandlinger på dette område kan medføre meget alvorlige
skadevirkninger for de involverede parter. På den baggrund fandt Justitsministeriet, at det burde være
op til Datatilsynet i hvert enkelt tilfælde at afgøre, om oprettelsen af advarselsregistre mv. tjener
anerkendelsesværdige interesser og i bekræftende fald at fastsætte individuelle vilkår med hensyn til
registrets brug.
Som led i det statslige arbejdsprogram om opgavebortfald i staten, er det Justitsministeriets vurdering,
at kravet om, at der skal indhentes forudgående tilladelse fra Datatilsynet til advarselsregistre mv.,
bør ophæves. Forslaget indebærer, at man falder tilbage på det almindelige udgangspunkt efter
databeskyttelsesforordningen, hvorefter der ikke gælder et anmeldelseskrav. Justitsministeriet finder,
at reglen i § 26, stk. 1, ikke er påkrævet i lyset af antallet af sager om tilladelse efter bestemmelsen,
som Datatilsynet behandler, og at de hensyn, som i sin tid begrundede reglen, kan varetages gennem
Datatilsynets almindelige tilsyn, herunder gennem behørig vejledning af de dataansvarlige. Videre
finder Justitsministeriet, at de ressourcer, der for Datatilsynet er forbundet med at opretholde
særordningen i § 26, ikke står mål med hensynet til de registrerede, hvorfor bestemmelsen med fordel
kan ophæves med henblik på at lette Datatilsynets opgaver.
De materielle betingelser for behandling af personoplysninger i advarselsregistre,
kreditoplysningsbureauer og retsinformationssystemer ændres ikke, og denne behandling vil som
hidtil skulle leve op til de databeskyttelsesretlige regler i øvrigt, herunder til behandlingshjemmel mv.
Derudover finder Justitsministeriet, at § 26, stk. 2 og 4-5, som konsekvens af den foreslåede
ophævelse af § 26, stk. 1, ligeledes bør ophæves. Endelig finder Justitsministeriet, at bemyndigelsen
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
i § 26, stk. 3, bør ophæves. Der lægges vægt på, at bemyndigelserne i stk. 2 og 3 ikke har været
udnyttet.
Den foreslåede ændring medfører, at private ikke længere vil skulle søge om tilladelse fra Datatilsynet
til behandling af personoplysninger i advarselsregistre, kreditoplysningsbureauer og
retsinformationssystemer. Efter den foreslåede ordning vil private derfor kunne behandle
personoplysninger i de nævnte registre efter de almindelige databeskyttelsesretlige regler uden
Datatilsynets forudgående tilladelse. Private vil som følge af ændringen derfor heller ikke være
forpligtede af eventuelle fastsatte vilkår i en tilladelse, som Datatilsynet tidligere har givet.
Datatilsynets vilkår er imidlertid i vidt omfang udtryk for en præcisering af de krav, som allerede
følger af reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Endvidere er der i
databeskyttelseslovens kapitel 5 fastsat detaljerede regler om kreditoplysningsbureauers virksomhed.
Der henvises til lovforslagets § 1, nr. 3 og bemærkningerne hertil.
3. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
Lovforslaget vurderes at have økonomiske konsekvenser for Datatilsynet i form af en
ressourcefrigørelse på 0,2 mio. kr. årligt fra 2025 og frem. De økonomiske konsekvenser kan henføres
til en frigørelse af 0,3 årsværk årligt fra 2025 og frem.
Lovforslaget vurderes ikke i øvrigt at
implementeringskonsekvenser for det offentlige.
have
økonomiske
konsekvenser
og
Lovforslaget vurderes at være udformet i overensstemmelse med det femte princip for
digitaliseringsklar lovgivning, som handler om tryg og sikker datahåndtering. Det vurderes, at
princippet er overholdt, idet der ikke med lovforslaget lempes på betingelserne for at behandle
personoplysningerne
i
advarselsregistre
mv.,
hvorfor
de
almindelige
krav
i
databeskyttelsesforordningen og databeskyttelsesloven fortsat er gældende. De øvrige principper for
digitaliseringsklar lovgivning vurderes ikke at være relevante.
4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Forslaget vurderes ikke at have økonomiske konsekvenser for erhvervslivet af betydning.
Forslaget kan medføre begrænsede administrative konsekvenser for erhvervslivet i form af en mindre
byrdelettelse ved, at virksomhederne ikke længere vil skulle indhente særskilt tilladelse efter § 26 hos
Datatilsynet.
5. Administrative konsekvenser for borgerne
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
Lovforslaget har ikke administrative konsekvenser for borgerne.
6. Klimamæssige konsekvenser
Lovforslaget har ingen klimamæssige konsekvenser.
7. Miljø- og naturmæssige konsekvenser
Lovforslaget har ingen miljø- og naturmæssige konsekvenser.
8. Forholdet til EU-retten
Databeskyttelsesforordningens artikel 36, stk. 5, giver mulighed for nationale regler om, at den
dataansvarlige ifm. visse behandlingsaktiviteter altid skal høre og opnå forudgående tilladelse fra
tilsynsmyndigheden. § 26 er en udmøntning af denne mulighed efter forordningen.
Det foreslås at ændre reglerne for behandling i advarselsregistre, kreditoplysningsbureauer og
retsinformationssystemer, således at denne mulighed ikke længere udnyttes.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 4. september 2024 til den 2. oktober 2024 været sendt i
høring hos følgende myndigheder og organisationer m.v.:
Advokatrådet, Akademikernes Centralorganisation (AC), Amnesty International, Ankenævnet for
Patienterstatningen, Ankestyrelsen, Berlingske Media, Brancheorganisationen F&P, BUPL,
Civilstyrelsen, Dagbladet Information, Danmarks Jurist- og Økonomforbundet (DJØF), Danmarks
Lærerforening, Danmarks Medie- og Journalisthøjskole, Danmarks Radio, Danmarks Tekniske
Universitet, Dansk Erhverv, Dansk Folkeoplysnings Samråd, Dansk Industri, Dansk IT, Dansk
Journalistforbund (DJ), Dansk Socialrådgiverforening, Dansk Sygeplejeråd, Danske Advokater,
Danske Medier, Danske Regioner, Danske Patienter, Datatilsynet, Dataetisk Råd, Den Danske
Dommerforening, Den Uafhængige Politiklagemyndighed, Det Juridiske Fakultet – Københavns
Universitet,
Direktoratet
for
Kriminalforsorgen,
Domstolsstyrelsen,
Fagbevægelsens
Hovedorganisation (FH), Fag og Arbejde (FOA), Forsvarsministeriets Auditørkorps,
Fængselsforbundet, Gymnasieskolernes Lærerforening (GL), Handelshøjskolen – Aarhus
Universitet, HK Danmark, Institut for Menneskerettigheder, IT-Branchen, Juridisk Institut –
Copenhagen Business School, Juridisk Institut – Syddansk Universitet, Juridisk Institut – Aalborg
Universitet, Juridisk Institut – Aarhus Universitet, Justitia, Jyllands-Posten, Kommunernes
Landsforening (KL), Kristeligt Dagblad, Lægeforeningen, Manderådet, Patienterstatningen,
Patientforeningen, Politiforbundet, Politiken, Retspolitisk Forening, Rigsadvokaten, Rigspolitiet,
Rådet for Digital Sikkerhed, samtlige byretter, Socialpædagogernes Landsforbund, Sø- og
Handelsretten, TV2 DANMARK A/S, Vestre Landsret og Østre Landsret.
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
2901930_0006.png
10. Sammenfattende skema
Positive
konsekvenser/mindreudgifter
(hvis ja, angiv omfang/hvis nej,
anfør »Ingen«)
Ja, i form af en
ressourcefrigørelse på 0,2 mio.
kr. årligt for Datatilsynet.
Ingen
Negative
konsekvenser/merudgifter
(hvis ja, angiv omfang/Hvis
nej, anfør »Ingen«)
Ingen
Økonomiske konsekvenser for
stat, kommuner og regioner
Implementeringskonsekvenser
for stat, kommuner og
regioner
Økonomiske konsekvenser for
erhvervslivet
Administrative konsekvenser
for erhvervslivet
Ingen
Ingen
Forslaget kan medføre
begrænsede administrative
konsekvenser for erhvervslivet
i form af en mindre
byrdelettelse ved, at
virksomhederne ikke længere
vil skulle indhente særskilt
tilladelse til advarselsregistre
mv. hos Datatilsynet.
Ingen
Ingen
Ingen
Administrative konsekvenser
for borgerne
Klimamæssige konsekvenser
Ingen
Ingen
Miljø- og naturmæssige
konsekvenser
Forholdet til EU-retten
Ingen
Ingen
Forslaget medfører, at de
danske regler på området ikke
går videre end kravene i
databeskyttelsesforordningen.
Ja
Ingen
Ingen
Er i strid med de fem
principper for implementering
af erhvervsrettet EU-
Nej
X
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
2901930_0007.png
regulering/Overimplementering
af EU-retlige
minimumsforpligtelser
Til § 1
Til nr. 1
Det følger af databeskyttelseslovens § 2, stk. 2, 2. pkt., at loven og databeskyttelsesforordningen også
gælder for behandling af oplysninger om virksomheder, hvis behandlingen er omfattet af § 26, stk. 1,
nr. 1.
Det foreslås at ændre bestemmelsen, således at henvisningen til § 26, stk. 1, nr. 1 ændres til en
henvisning til advarselsregistre. Ændringen er en konsekvens af den foreslåede ophævelse af
databeskyttelseslovens § 26, jf. forslagets § 1, nr. 3 om ophævelse af afsnit V. Med den foreslåede
ændring vil reglerne i databeskyttelsesloven og databeskyttelsesforordningen fortsat gælde for
behandling af oplysninger om virksomheder i advarselsregistre.
Til nr. 2
Det følger af databeskyttelseslovens § 19, at den, som ønsker at drive virksomhed med behandling af
oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed med henblik på videregivelse
(kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet, inden behandlingen
påbegyndes. Det følger af § 47, at for behandlinger, hvortil der inden lovens ikrafttræden er opnået
tilladelse efter § 50, stk. 1, nr. 2, 3 og 5, i den dagældende persondatalov, gælder tilladelsen efter
databeskyttelseslovens ikrafttræden, indtil den erstattes af en ny tilladelse efter
databeskyttelseslovens § 26, stk. 1.
Det foreslås, at
§§ 19
og
47,
ophæves. Bestemmelserne knytter sig databeskyttelseslovens § 26, som
foreslås ophævet, jf. forslagets § 1, nr. 3 om ophævelse af afsnit V.
Til nr. 3
Databeskyttelseslovens afsnit V omhandler tilladelse til behandling. Afsnittet består af én
bestemmelse - § 26.
Det følger af databeskyttelseslovens § 26, stk. 1, at der i visse tilfælde stilles krav om en forudgående
tilladelse fra Datatilsynet, inden behandling kan iværksættes. Kravet gælder for private
dataansvarlige, når behandlingen af personoplysningerne sker med henblik på at advare andre mod
forretningsforbindelser med eller ansættelsesforhold til en registreret, når behandlingen sker med
henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og
kreditværdighed, eller når behandlingen udelukkende finder sted med henblik på at føre
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
retsinformationssystemer. Datatilsynet kan i forbindelse med en tilladelse fastsætte nærmere vilkår
for udførelsen af behandlingen til beskyttelse af de registreredes privatliv, jf. databeskyttelseslovens
§ 26, stk. 4. Videre følger det af databeskyttelseslovens § 26, stk. 5, at forinden iværksættelse af
ændringer i behandlinger efter stk. 1 eller 3, skal Datatilsynets tilladelse indhentes på ny, hvis der er
tale om væsentlige ændringer.
Efter databeskyttelseslovens § 26, stk. 2, kan justitsministeren fastsætte nærmere reglerne om, at
bestemte behandlinger i registre ikke kræver en forudgående tilladelse fra Datatilsynet.
Bemyndigelsen er endnu ikke udnyttet. Efter databeskyttelseslovens § 26, stk. 3, kan justitsministeren
endvidere fastsætte regler om, at der forinden iværksættelse af andre behandlinger end dem, der er
nævnt i stk. 1, skal indhentes tilladelse fra tilsynet, herunder for behandlinger, der foretages for en
offentlig myndighed. Bemyndigelsen er ikke udnyttet.
Det foreslås, at
Afsnit V
ophæves.
Forslaget vil indebære, at private dataansvarlige ikke længere skal have en forudgående tilladelse fra
Datatilsynet, inden de kan føre advarselsregistre eller drive kreditoplysningsbureauer og
retsinformationssystemer.
Forslaget ophæver alene kravet om en forudgående tilladelse fra Datatilsynet, inden private
dataansvarlige kan oprette et register, og muligheden for, at Datatilsynet kan fastsætte særlige vilkår
for oprettelsen af registeret. Forslaget ændrer således ikke på, at private dataansvarlige i øvrigt skal
overholde databeskyttelsesforordningens og databeskyttelseslovens regler.
Forslaget vil endvidere indebære, at justitsministeren ikke længere har bemyndigelse til at fastsætte
undtagelser fra kravet om Datatilsynets forudgående tilladelse til bestemte behandlinger i registre, og
at justitsministeren heller ikke i øvrigt har bemyndigelse til at fastsætte regler om tilladelseskrav til
andre behandlinger end dem, der er nævnt i § 26, stk. 1.
Der henvises i øvrigt til pkt. 2.1. i lovforslagets almindelige bemærkninger.
Til nr. 4
Det følger af databeskyttelseslovens § 41, stk. 2, nr. 1, at den, der overtræder § 26, stk. 1 og 5, straffes
med bøde eller fængsel indtil 6 måneder, medmindre højere straf er forskyldt efter den øvrige
lovgivning.
Det foreslås, at
§ 41, stk. 2, nr. 1,
ændres, så henvisningen til § 26 udgår.
Forslaget er en konsekvens af den foreslåede ophævelse af § 26, jf. lovforslagets § 1, nr. 3.
Til nr. 5
 DIU, Alm.del - 2023-24 - Bilag 165: Lovudkast: Lov om ændring af databeskyttelsesloven, fra justitsministeren
Det følger af databeskyttelseslovens § 43, at den, der driver eller er beskæftiget med virksomhed som
nævnt i § 26 eller som privat databehandler opbevarer personoplysninger, ved dom for strafbart
forhold kan frakendes retten hertil, såfremt det udviste forhold begrunder en nærliggende fare for
misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4, anvendelse.
Det foreslås at nyaffatte bestemmelsen, således at det fortsat i visse tilfælde er muligt at frakende
retten til at drive visse former for virksomhed, uden at bestemmelsen rummer en eksplicit henvisning
til § 26, som foreslås ophævet.
Til
§ 2
Det foreslås, at loven skal træde i kraft den 1. januar 2025.
Det foreslåede vil ikke gælde for Færøerne og Grønland, da databeskyttelsesloven ikke gælder for
Færøerne og Grønland, ligesom loven ikke indeholder en anordningshjemmel, jf. lovens § 48.