Fremsat den 14. november 2023 af justitsministeren (Peter Hummelgaard)
Forslag
til
Lov om ændring af databeskyttelsesloven og
lov om Det Centrale Personregister
(Justering af aldersgrænsen for
samtykke til behandling af personoplysninger i forbindelse med
udbud af informationssamfundstjenester m.v.)
§ 1
I databeskyttelsesloven, lov nr. 502 af 23. maj
2018, foretages følgende ændringer:
1. I
§ 6, stk. 2 og 3, ændres »13 år«
til: »15 år«.
2. § 13,
stk. 1-3, ophæves.
Stk. 4-9 bliver herefter stk. 1-6.
3. § 13,
stk. 5-9, der bliver til stk. 2-6, ophæves.
4. I
§ 22 indsættes som stk. 7 og 8:
»Stk. 7.
Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse
på behandling af personoplysninger, der foretages af
Procesbevillingsnævnet i henhold til retsplejelovens §
22, stk. 1.
Stk. 8.
Databeskyttelsesforordningens artikel 15 finder ikke anvendelse
på Folketingets Ombudsmands behandling af personoplysninger i
sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som
led i behandlingen af en sag. Folketingets Ombudsmand videresender
sådanne indsigtsanmodninger efter artikel 15 til de relevante
myndigheder m.v.«
§ 2
I lov om Det Centrale Personregister, jf.
lovbekendtgørelse nr. 1010 af 23. juni 2023, foretages
følgende ændring:
1. I
§ 29, stk. 2., 2. pkt.,
ændres »§ 13, stk. 4, i
databeskyttelsesloven« til: »§ 13 i
databeskyttelsesloven«.
§ 3
Stk. 1. Loven
træder i kraft den 1. januar 2024.
Stk. 2. Lovens § 1,
nr. 1, finder ikke anvendelse på et samtykke afgivet
før lovens ikrafttræden. For et sådant samtykke
finder de hidtil gældende regler anvendelse
Bemærkninger til lovforslaget
Almindelige
bemærkninger | Indholdsfortegnelse | | 1. | Indledning | 2. | Lovforslagets
hovedpunkter | | 2.1. | Justering af
aldersgrænsen for samtykke til behandling af
personoplysninger i forbindelse med udbud af
informationssamfundstjenester | | | 2.1.1. | Gældende
ret | | | 2.1.2. | Anbefalinger fra
regeringens ekspertgruppe om tech-giganter | | | 2.1.3. | Justitsministeriets
overvejelser og den foreslåede ordning | | 2.2. | Behandling af
personoplysninger i forbindelse med
markedsføring | | | 2.2.1. | Gældende
ret | | | 2.2.2. | Justitsministeriets
overvejelser | | | 2.2.3. | Den foreslåede
ordning | | 2.3. | Procesbevillingsnævnet undtages fra
oplysningspligten og indsigtsretten i sager vedrørende
appeltilladelse | | | 2.3.1. | Gældende
ret | | | 2.3.2. | Justitsministeriets
overvejelser og den foreslåede ordning | | 2.4. | Tilpasning af adgangen
til indsigt hos Folketingets Ombudsmand | | | 2.4.1. | Gældende
ret | | | | 2.4.1.1. | Forvaltningsloven og
offentlighedsloven | | | | 2.4.1.2. | Databeskyttelsesforordningen og -loven | | | 2.4.2. | Justitsministeriets
overvejelser og den foreslåede ordning | 3. | Økonomiske
konsekvenser og implementeringskonsekvenser for det
offentlige | 4. | Økonomiske og
administrative konsekvenser for erhvervslivet mv. | 5. | Administrative
konsekvenser for borgerne | 6. | Klimamæssige
konsekvenser | 7. | Miljø- og
naturmæssige konsekvenser | 8. | Forholdet til
EU-retten | 9. | Hørte
myndigheder og organisationer m.v. | 10. | Sammenfattende
skema | |
|
1. Indledning
Med lovforslaget lægges der op til at foretage visse
ændringer af databeskyttelsesloven på områder,
hvor der siden lovens ikrafttræden har vist sig behov for
justeringer.
Justitsministeriet vurderede i forbindelse med
fremsættelsen af lovforslaget til databeskyttelsesloven i
2017, at det var nødvendigt, at der blev udarbejdet en
generel lov, som supplerer reglerne i databeskyttelsesforordningen,
bl.a. for at den dagældende retstilstand i persondataloven
kunne opretholdes, jf. Folketingstidende 2017-18, tillæg A, L
68 som fremsat den 25. oktober 2017, side 116.
Databeskyttelsesloven fastsætter således supplerende
nationale bestemmelser om behandling af personoplysninger inden for
det nationale råderum, som databeskyttelsesforordningen giver
mulighed for. Databeskyttelsesloven trådte i kraft den 25.
maj 2018, hvorved den dagældende persondatalov blev
ophævet.
Lovforslaget indeholder for det første et forslag om at
hæve aldersgrænsen for samtykke til behandling af
personoplysninger i forbindelse med udbud af
informationssamfundstjenester fra 13 år til 15 år.
Lovforslaget indeholder for det andet et forslag om at
ophæve lovens § 13, stk. 1-3 og stk. 5-9, der
vedrører behandling af personoplysninger i forbindelse med
markedsføring. Justitsministeriet vurderede i forbindelse
med udarbejdelsen af databeskyttelsesloven, at lovens § 13
lå inden for rammerne af det såkaldte nationale
råderum i databeskyttelsesforordningen, hvorefter
medlemsstaterne inden for nærmere bestemte områder kan
eller skal fastsætte nationale regler. På baggrund af
en konkret henvendelse fra Datatilsynet, hvor tilsynet finder det
tvivlsomt, om bestemmelsen ligger inden for medlemsstaternes
nationale råderum, har Justitsministeriet genovervejet denne
vurdering.
Lovforslaget indeholder for det tredje et forslag om at undtage
Procesbevillingsnævnet fra oplysningspligten og
indsigtsretten efter databeskyttelsesforordningen på samme
måde, som domstolene er i dag. Undtagelsen vil alene
gælde ved Procesbevillingsnævnets behandling af
personoplysninger i sager vedrørende appeltilladelse.
Lovforslaget indeholder for det fjerde et forslag om at tilpasse
adgangen til indsigt efter databeskyttelsesforordningen hos
Folketingets Ombudsmand, således at retten til indsigt efter
databeskyttelsesforordningen ikke finder anvendelse på
Folketingets Ombudsmands behandling af personoplysninger i
sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som
led i behandlingen af en sag hos ombudsmanden. Med forslaget vil
Folketingets Ombudsmand i stedet skulle videresende en anmodning om
indsigt til vedkommende myndighed m.v., der herefter vil skulle
tage stilling til og besvare anmodningen.
2. Lovforslagets hovedpunkter
2.1. Justering
af aldersgrænsen for samtykke til behandling af
personoplysninger i forbindelse med udbud af
informationssamfundstjenester
2.1.1. Gældende ret
Databeskyttelseslovens § 6, stk. 1, fastsætter, at
behandling af personoplysninger er lovlig, hvis mindst en af
betingelserne i databeskyttelsesforordningens artikel 6, stk. 1,
litra a-f, er opfyldt.
Personoplysninger kan ifølge forordningens artikel 6,
stk. 1, litra a, behandles på betingelse af, at den
registrerede har givet samtykke til behandling af sine
personoplysninger til et eller flere specifikke formål.
Der gælder særlige betingelser for et barns samtykke
i forbindelse med udbud af informationssamfundstjenester. Det
fremgår således af artikel 8, stk. 1, at hvis artikel
6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af
informationssamfundstjenester direkte til børn, er
behandling af personoplysninger om et barn lovlig, hvis barnet er
mindst 16 år. Hvis barnet er under 16 år, er
behandlingen kun lovlig, hvis og i det omfang samtykke gives eller
godkendes af indehaveren af forældremyndigheden over barnet.
Medlemsstaterne har efter artikel 8, stk. 1, sidste pkt., mulighed
for ved lov at fastsætte en lavere aldersgrænse end 16
år, forudsat at en sådan aldersgrænse ikke er
under 13 år.
Databeskyttelseslovens § 6, stk. 2 og 3, udmønter
databeskyttelsesforordningens artikel 8, stk. 1, og
fastsætter aldersgrænsen i Danmark til 13 år.
Det følger af databeskyttelseslovens § 6, stk. 2, at
hvis artikel 6, stk. 1, litra a, finder anvendelse i forbindelse
med udbud af informationssamfundstjenester direkte til børn,
er behandling af personoplysninger om et barn lovlig, hvis barnet
er mindst 13 år. Når barnet er fyldt 13 år, kan
barnet således selv give samtykke til
informationssamfundstjenesternes behandling af barnets
personoplysninger.
Det følger af databeskyttelseslovens § 6, stk. 3, at
hvis barnet er under 13 år, er behandling af
personoplysninger om barnet kun lovlig, hvis og i det omfang
samtykke gives eller godkendes af indehaveren af
forældremyndigheden over barnet. I visse tilfælde er
samtykke fra forældremyndighedsindehaveren imidlertid ikke
nødvendig. Det følger således af
præambelbetragtning nr. 38, at samtykke fra indehaveren af
forældremyndigheden ikke er nødvendigt, når det
drejer sig om forebyggende eller rådgivende tjenester, der
tilbydes direkte til et barn. I en dansk kontekst kunne det f.eks.
dreje sig om BørneTelefonen.
I forbindelse med fastsættelsen af aldersgrænsen til
13 år blev der bl.a. lagt vægt på, at børn
i Danmark i høj grad er medievante, at adgang til
information via søgemaskiner og deltagelse i online
aktiviteter har stor samfundsmæssig og social betydning for
børn og unge, og at aktiviteter i denne sammenhæng er
med til at skabe og fastholde kontakt med kammerater, ligesom
børn og unge får mulighed for at deltage i forskellige
diskussionsfora, søge information til skolearbejde, spille
spil, se film og lytte til musik. Der blev derudover lagt
vægt på, at en høj aldersgrænse for,
hvornår et barn gyldigt kan give samtykke til behandling af
personoplysninger, kan føre til, at børn og unge
udelukkes fra informationssamfundstjenester, hvis
forældremyndighedsindehaveren ikke vil give samtykke til
behandling af personoplysninger, ligesom det blev påpeget, at
en høj aldersgrænse eventuelt vil kunne
medføre, at børn og unge ved brug af
informationssamfundstjenester vil udgive sig for at være
ældre, end de rent faktisk er. Endelig blev der lagt
vægt på, at børn og unge gennem
databeskyttelsesforordningen og gennem de øvrige
bestemmelser i den dengang foreslåede databeskyttelseslov -
uanset et krav om samtykke fra forældremyndighedsindehaverne
- ydes en integritetsbeskyttelse, hvorfor det ansås for
tvivlsomt, om en høj aldersgrænse for samtykke
medfører en øget integritetsbeskyttelse, jf.
Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25.
oktober 2017, side 127.
Det fremgår af databeskyttelsesforordningens artikel 4,
stk. 25, at en informationssamfundstjeneste er en tjeneste som
defineret i artikel 1, stk. 1, litra b, i Europa-Parlamentets og
Rådets direktiv (EU) 2015/1535. Ifølge denne
bestemmelse omfattes enhver tjeneste i informationssamfundet, dvs.
enhver tjeneste, der normalt ydes mod betaling, og som
teleformidles ad elektronisk vej på individuel anmodning fra
en tjenestemodtager. Det er ikke et krav, at tjenesten ydes mod
betaling. Omfattet af definitionen er eksempelvis tjenester som
udbyder e-handel og online spil, søgemaskiner,
musiktjenester og sociale medier, herunder Facebook, TikTok,
Instagram, Snapchat m.v.
2.1.2. Anbefalinger fra regeringens ekspertgruppe om
tech-giganter
Den daværende regering nedsatte den 29. juni 2022 en
ekspertgruppe om tech-giganter, som har til formål at
understøtte regeringens arbejde med at håndtere
problemstillinger, som er forbundet med tech-gigant-dagsordenen i
et nationalt og internationalt perspektiv, herunder hvor
tech-giganternes forretningsmodeller udfordrer vores samfund,
kultur, økonomi, trivsel m.v.
Ekspertgruppen lancerede den 12. juni 2023 den første
delafrapportering: "Demokratisk kontrol med tech-giganternes
forretningsmodeller". Afrapporteringen indeholder bl.a.
anbefalinger i forhold til tech-giganternes ansvar over for
børn og unge.
Ekspertgruppen anbefaler som et blandt flere tiltag i forhold
til beskyttelse af børn og unge på internettet, at
aldersgrænsen for et barns samtykke i forbindelse med udbud
af informationssamfundstjenester hæves fra 13 år til 16
år. Gruppen peger på, at tech-giganterne i så
fald vil skulle indhente samtykke fra forældre for at kunne
behandle børns personoplysninger, indtil barnet er 16
år, og at flere mindreårige på den måde vil
nyde godt af den særlige beskyttelse, som
databeskyttelsesforordningen giver.
Ekspertgruppen henviser til, at den nugældende
aldersgrænse på 13 år flugter med amerikansk
lovgivning fra 1996 om børns online beskyttelse (Children's
Online Privacy Protection Act, COPPA), som forsøges
hævet til 16 år, ligesom ekspertgruppen henviser til,
at en række EU-lande, herunder Tyskland, Holland og Irland,
har en aldersgrænse på 16 år. Ekspertgruppen
henviser desuden til, at EU anbefaler en aldersgrænse
på 16 år.
Ekspertgruppen lægger vægt på, at en stadig
større del af børn og unges liv foregår online,
og henviser i den sammenhæng til, at flere danske
undersøgelser viser, at fysisk samvær blandt
11-15-årige har været markant faldende gennem de sidste
30 år, mens online kontakt er steget. Ekspertgruppen
lægger endvidere vægt på, at visse former for
indhold på internettet kan være både ulovligt og
direkte skadeligt for børn, hvilket kan have konsekvenser
for både trivsel, ensomhed, kropsopfattelse, identitets- og
kulturdannelse m.v.
2.1.3. Justitsministeriets overvejelser og den foreslåede
ordning
Under henvisning til, at en stadig større del af
børn og unges liv foregår online, at børn og
unge ofte er mindre bevidste om de risici og konsekvenser, der kan
være ved at give samtykke til behandling af
personoplysninger, og at børn og unge som udgangspunkt har
ringere kendskab til deres rettigheder i forbindelse med behandling
af deres personoplysninger, er der behov for at finde
løsninger på, hvordan børn og unge beskyttes
bedre på internettet. Børn og unge har et
særligt behov for beskyttelse, herunder navnlig i forhold til
ikke alderssvarende indhold, fejlagtigt indhold og for de
indbyggede funktioner i tech-giganternes tjenester, som anvendes
til at forudsige og påvirke adfærd.
En del af løsningen er at hæve aldersgrænsen
for, hvornår et barn kan give samtykke til behandling af
personoplysninger i forbindelse med udbud af
informationssamfundstjenester. En højere aldersgrænse
vil indebære, at forældremyndighedsindehaveren skal
godkende barnets samtykke eller selv samtykke til
informationssamfundstjenesternes behandling af barnets
personoplysninger, frem til barnet når aldersgrænsen.
Formålet med at hæve aldersgrænsen er dels at
øge bevidstheden hos både børnene, de unge og
forældremyndighedsindehaverne i forhold til, at der kan
være visse risici ved at give adgang for
informationssamfundstjenester til at behandle personoplysninger,
dels at øge eftertænksomheden i samme forbindelse.
Aldersgrænsen for et barns samtykke til behandling af
personoplysninger i forbindelse med udbud af
informationssamfundstjenester foreslås hævet til 15
år. Det er Justitsministeriets vurdering, at en
aldersgrænse på 15 år vil harmonere bedst med de
øvrige aldersgrænser, der gælder i Danmark,
herunder bl.a. henset til at aldersgrænsen for samtykke til
behandling i sundhedsvæsenet samt den kriminelle og seksuelle
lavalder er på 15 år.
2.2. Behandling af personoplysninger i forbindelse med
markedsføring
2.2.1. Gældende ret
Efter databeskyttelsesforordningens artikel 6, stk. 2, kan
medlemsstaterne opretholde eller indføre mere specifikke
bestemmelser for at tilpasse anvendelsen af forordningens
bestemmelser om behandling med henblik på overholdelse af
artikel 6, stk. 1, litra c og e, ved at fastsætte mere
specifikke krav til behandling og andre foranstaltninger for at
sikre lovlig og rimelig behandling.
Efter databeskyttelsesforordningens artikel 6, stk. 3, skal
grundlaget for behandling i henhold til artikel 6, stk. 1, litra c
og e, fremgå af enten EU-retten eller medlemsstaternes
nationale ret, som den dataansvarlige er underlagt. Dette
retsgrundlag kan indeholde specifikke bestemmelser med henblik
på at tilpasse anvendelsen af bestemmelserne i forordningen.
Efter stk. 3 kan medlemsstaterne således bl.a.
fastsætte generelle betingelser for lovlighed af den
dataansvarliges behandling, hvilke typer oplysninger der skal
behandles og formålsbegrænsninger m.v.
Databeskyttelsesforordningens artikel 6, stk. 3, skal ses i
sammenhæng med stk. 2, idet bestemmelsen er en uddybning af,
hvordan de bestemmelser, som indføres efter stk. 2, skal
udformes.
I databeskyttelseslovens § 13, stk. 1-3, er der fastsat
nærmere betingelser for behandling af personoplysninger i
forbindelse med direkte markedsføring. Direkte
markedsføring er markedsføring, der er rettet mod en
eller flere bestemte modtagere.
Efter databeskyttelseslovens § 13, stk. 1, må en
virksomhed ikke videregive oplysninger om en forbruger til en anden
virksomhed til brug ved direkte markedsføring eller anvende
oplysningerne på vegne af en anden virksomhed i dette
øjemed, medmindre forbrugeren har givet sit udtrykkelige
samtykke hertil.
Et samtykke skal indhentes i overensstemmelse med reglerne i
markedsføringslovens § 10.
Efter databeskyttelseslovens § 13, stk. 2, kan
videregivelse og anvendelse som nævnt i stk. 1 dog finde sted
uden samtykke, hvis der er tale om generelle kundeoplysninger, der
danner grundlag for inddeling i kundekategorier, og hvis
betingelserne i databeskyttelsesforordningens artikel 6, stk. 1,
litra f, er opfyldt.
Det følger af bestemmelsens forarbejder, jf.
Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25.
oktober 2017, side 183, at stk. 2 angiver de tilfælde, hvor
der gøres undtagelse fra kravet om samtykke i stk. 1, og at
to betingelser skal være opfyldt. For det første skal
der være tale om generelle kundeoplysninger, der danner
grundlag for inddeling i kundekategorier. Er denne betingelse
opfyldt, skal videregivelsen for det andet følge af den
interesseafvejning, som er fastsat i databeskyttelsesforordningens
artikel 6, stk. 1, litra f. Efter denne bestemmelse kan
videregivelse ske, hvis videregivelse er nødvendig for, at
»den dataansvarlige eller en tredjemand kan forfølge
en legitim interesse, medmindre den registreredes interesser eller
grundlæggende rettigheder og frihedsrettigheder, der
kræver beskyttelse af personoplysninger, går forud
herfor, navnlig hvis den registrerede er et barn.« Med dette
supplerende krav sikres det, at videregivelse af generelle
kundeoplysninger i markedsføringsøjemed ikke kan ske,
hvis interesseafvejningen undtagelsesvis måtte tale herimod.
Som eksempel herpå kan nævnes den situation, at en
virksomhed har orienteret sine kunder om, at den ikke vil
videregive oplysninger om kunderne til andre virksomheder til brug
for markedsføring. Hvis virksomheden på trods heraf
alligevel skulle beslutte sig for at videregive oplysningerne, vil
hensynet til kunderne, jf. databeskyttelsesforordningens artikel 6,
stk. 1, litra f, efter omstændighederne kunne tale imod, at
en sådan videregivelse kan ske uden kundernes
forudgående samtykke.
Det følger videre af bestemmelsens forarbejder, jf.
Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25.
oktober 2017, side 183, at som eksempler på oplysninger, der
herefter vil kunne videregives uden samtykke efter den
foreslåede bestemmelse, nævnes oplysninger om kundens
navn, adresse, køn og alder. Det samme gælder
generelle oplysninger om f.eks., at kunden er husejer, bilejer,
computerejer og lignende. Tilsvarende gælder f.eks.
oplysninger om, at der er tale om en kunde til fritidsartikler, til
baby- og småbørnsartikler, til økologiske
varer, til vin- og spiritus eller andre generelt afgrænsede
varegrupper. Derimod vil det efter den foreslåede bestemmelse
ikke være muligt uden samtykke at videregive oplysninger, som
afslører følsomme oplysninger om kunden. Det vil
heller ikke være muligt at videregive mere detaljerede
kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der
må således f.eks. ikke videregives oplysninger om,
hvorvidt kundens bil er købt på kredit og i givet fald
oplysninger om vilkårene for kreditten. Der må heller
ikke videregives oplysninger om, hvilken mængde vin kunden
køber. Det gælder, selv om dette ikke i sig selv
afslører, at kunden har et spiritusmisbrug. Der må
heller ikke videregives mere detaljerede oplysninger om, hvilken
slags vin kunden køber.
Det følger af databeskyttelseslovens § 13, stk. 3,
at der efter stk. 2 ikke må videregives eller anvendes
oplysninger som nævnt i databeskyttelsesforordningens artikel
9, stk. 1, eller databeskyttelseslovens § 8. Bestemmelsen
tager sigte på at gøre det klart, at der ikke uden
forbrugerens samtykke må videregives følsomme
oplysninger, jf. Folketingstidende 2017-18, tillæg A, L 68
som fremsat den 25. oktober 2017, side 183.
Det følger af databeskyttelseslovens § 13, stk. 4,
at inden en virksomhed videregiver oplysninger om en forbruger til
en anden virksomhed med henblik på direkte
markedsføring eller anvender oplysningerne på vegne af
en anden virksomhed i dette øjemed, skal den
undersøge i CPR, om forbrugeren har frabedt sig henvendelser
i markedsføringsøjemed. I bekræftende fald
må oplysningerne ikke videregives til dette formål, jf.
databeskyttelsesforordningen artikel 21, stk. 3.
I databeskyttelseslovens § 13, stk. 5-7, er der fastsat
regler om adresserings- og kuverteringsbureauer. Adresserings- og
kuverteringsbureauer sælger adresser over grupper af personer
eller virksomheder - f.eks. alle bagere, alle tandlæger eller
alle dommere - eller foretager kuvertering og udsendelse af
meddelelser for en andens regning til sådanne grupper, jf.
delbetænkning nr. 687/1973 om private registre side 33.
Det følger af databeskyttelseslovens § 13, stk. 5,
at dataansvarlige, der med henblik på direkte
markedsføring sælger fortegnelser over grupper af
personer, eller som for tredjemand foretager adressering eller
udsendelse af meddelelser til sådanne grupper, kun må
behandle 1) oplysninger om navn, adresse, stilling, erhverv,
e-mailadresse, telefon- og telefaxnummer, 2) oplysninger, der
indgår i erhvervsregistre, som i henhold til lov eller
bestemmelser fastsat i henhold til lov er beregnet til at informere
offentligheden, og 3) andre oplysninger, hvis den registrerede har
givet udtrykkeligt samtykke dertil.
Efter bestemmelsens stk. 6 skal et samtykke efter stk. 5
indhentes i overensstemmelse med markedsføringslovens §
10.
Det bemærkes i forarbejderne til bestemmelsen, at den
registrerede altid vil kunne fremsætte indsigelse mod, at et
dataansvarligt adresserings- og kuverteringsbureau behandler
oplysninger om den pågældende med henblik på
direkte markedsføring, herunder salg, kuvertering eller
udsendelse, jf. databeskyttelsesforordningens artikel 21, stk. 2,
ligesom adresserings- og kuverteringsbureauet skal følge
proceduren i forordningens artikel 21, stk. 3, jf.
Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25.
oktober 2017, side 184.
Det følger af databeskyttelseslovens § 13, stk. 7,
at behandling af oplysninger, som nævnt i stk. 5 ikke
må omfatte oplysninger som nævnt i
databeskyttelsesforordningens artikel 9, stk. 1, eller
databeskyttelseslovens § 8. Bestemmelsen er indsat for at
undgå enhver tvivl i forhold til, at behandling af
oplysninger omfattet af stk. 5 ikke må omfatte
følsomme oplysninger. Dette gælder uanset, om der er
givet samtykke dertil, jf. Folketingstidende 2017-18, tillæg
A, L 68 som fremsat den 25. oktober 2017, side 184.
Herudover følger det af databeskyttelseslovens § 13,
stk. 8, at justitsministeren kan fastsætte yderligere
begrænsninger i adgangen til at videregive eller anvende
bestemte typer af oplysninger efter stk. 2. Baggrunden for
bestemmelsen er, at det ikke på forhånd kan udelukkes,
at der vil kunne vise sig et behov for, at visse typer oplysninger
ikke skal kunne videregives uden forbrugerens udtrykkelige
samtykke, jf. Folketingstidende 2017-18, tillæg A, L 68 som
fremsat den 25. oktober 2017, side 184.
Endvidere følger det af databeskyttelseslovens § 13,
stk. 9, at justitsministeren kan fastsætte yderligere
begrænsninger end de i stk. 7 nævnte i adgangen til at
behandle bestemte typer af oplysninger. Baggrunden for bestemmelsen
er, at det ikke på forhånd kan udelukkes, at der vil
kunne vise sig et behov for, at visse typer oplysninger ikke skal
kunne behandles, jf. Folketingstidende 2017-18, tillæg A, L
68 som fremsat den 25. oktober 2017, side 184.
Databeskyttelseslovens § 13 er en videreførelse af
§ 6, stk. 2-4, § 12 og § 36, stk. 2, 1. pkt., i lov
nr. 429 af 31. maj 2000 om behandling af personoplysninger
(persondataloven).
Det fremgår af bemærkningerne til
databeskyttelsesloven, at for så vidt angår
persondatalovens behandlingsregler vedrørende
markedsføring i lovens § 6, stk. 2-4, § 12 og
§ 36, stk. 2, 1. pkt., var det Justitsministeriets vurdering,
at disse regler kunne og burde opretholdes, jf. Folketingstidende
2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017,
side 140.
Det følger endvidere af bemærkningerne til
databeskyttelsesloven, at den registrerede burde have
afgørende indflydelse på, i hvilket omfang der
behandles personoplysninger om den pågældende med
henblik på markedsføring, og at der derfor i
databeskyttelsesloven burde fastsættes snævre
grænser for, i hvilke tilfælde en virksomhed - uden den
enkelte forbrugers samtykke - måtte videregive oplysninger om
en forbruger til andre virksomheder til brug for
markedsføring, jf. Folketingstidende 2017-18, tillæg
A, L 68 som fremsat den 25. oktober 2017, side 140.
Justitsministeriet vurderede endvidere, at
databeskyttelseslovens § 13 var inden for rammerne af det
nationale råderum i databeskyttelsesforordningens artikel 6,
stk. 2 og 3.
Databeskyttelsesforordningens artikel 21, stk. 2 og 3, regulerer
den registreredes indsigelsesret over for behandling af oplysninger
med henblik på direkte markedsføring.
Det følger af databeskyttelsesforordningens artikel 21,
stk. 2, at den registrerede til enhver tid har ret til at
gøre indsigelse mod behandling af sine personoplysninger,
hvis oplysningerne behandles med henblik på direkte
markedsføring, herunder at gøre indsigelse mod
profilering, i det omfang den vedrører direkte
markedsføring.
Efter forordningens artikel 21, stk. 3, må
personoplysningerne ikke længere behandles med henblik
på direkte markedsføring, hvis den registrerede
gør indsigelse mod behandling til dette formål. Af
forarbejderne til databeskyttelseslovens § 13, stk. 2,
fremgår, at i det omfang videregivelse kan ske uden kundens
samtykke, indebærer forordningens artikel 21, stk. 3, at
videregivelse ikke må finde sted med henblik på direkte
markedsføring, hvis kunden har gjort indsigelse imod det,
jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den
25. oktober 2017, side 183.
Herudover fastsætter forordningens artikel 21, stk. 4,
bl.a. krav om meddelelse til den registrerede om muligheden for at
gøre indsigelse efter stk. 2.
For nærmere om forordningens artikel 21, stk. 2-4,
henvises til betænkning nr. 1565/2017, side 366 ff.
2.2.2. Justitsministeriets overvejelser
Justitsministeriet har ved udarbejdelsen af
databeskyttelsesloven vurderet, at § 13 kunne fastsættes
inden for rammerne af det nationale råderum.
Datatilsynet er den centrale uafhængige myndighed, der
fører tilsyn med, at reglerne om databeskyttelse bliver
overholdt. I forbindelse med den praktiske udmøntning af
databeskyttelseslovens § 13 er der opstået usikkerhed om
bestemmelsens forenelighed med det nationale råderum.
Justitsministeriet har på den baggrund fundet anledning
til at genbesøge vurderingen af, om databeskyttelseslovens
§ 13 ligger inden for det nationale råderum, jf. afsnit
2.2.1 om databeskyttelsesforordningens artikel 6, stk. 2 og 3.
Det følger af artikel 6, stk. 1, litra c, at en
behandling er lovlig, hvis behandlingen er nødvendig for at
overholde en retlig forpligtelse, som påhviler den
dataansvarlige.
Det følger af artikel 6, stk. 1, litra e, at en
behandling er lovlig, hvis behandlingen er nødvendig af
hensyn til udførelse af en opgave i samfundets interesse
eller som henhører under offentlig
myndighedsudøvelse, som den dataansvarlige har fået
pålagt.
I forarbejderne til persondataloven er udtrykket "opgave i
samfundets interesse" nærmere beskrevet, og det fremgår
heraf, at der skal være tale om opgaver af almen interesse,
dvs. opgaver, som er af betydning for en bredere kreds af personer.
Dette vil bl.a. være tilfældet for så vidt
angår behandling i statistisk, historisk eller videnskabeligt
øjemed. Det forhold, at behandlingen sker i et kommercielt
øjemed, udelukker ikke, at behandlingen kan anses for at ske
til varetagelse af almene interesser. Der henvises til lovforslag
nr. L 147 som fremsat den 9. december 1999 (Folketingstidende
1999-2000, tillæg A, de specielle bemærkninger til
§ 6, stk. 1, nr. 5).
Det fremgår bl.a. af præambelbetragtning nr. 10 til
databeskyttelsesforordningen, at i forbindelse med behandling af
personoplysninger for at overholde en retlig forpligtelse eller for
at udføre en opgave i samfundets interesse, eller som
henhører under offentlig myndighedsudøvelse, som den
dataansvarlige har fået pålagt, bør
medlemsstaterne kunne opretholde eller indføre nationale
bestemmelser for yderligere at præcisere anvendelsen af
forordningens bestemmelser. Det fremgår endvidere af
præambelbetragtning nr. 10, at forordningen således
ikke udelukker, at medlemsstaternes nationale ret fastlægger
omstændighederne i forbindelse med specifikke
databehandlingssituationer, herunder mere præcis
fastlæggelse af de forhold, hvorunder behandling af
personoplysninger er lovlig.
Af betænkning nr. 1565/2017 fremgår det, at det
må antages, at når EU-lovgiver i
præambelbetragtning nr. 10 har anført, at
medlemsstaterne bør kunne opretholde eller indføre
nationale bestemmelser for yderligere at præcisere
anvendelsen af forordningens bestemmelser, vil det være
sådan, at medlemsstaternes lovgivning, som ses at være
i overensstemmelse med gældende ret, også efter
forordningens ikrafttrædelse som udgangspunkt vil kunne
opretholdes, jf. betænkningen side 150.
Databeskyttelsesforordningens generelle formål, ordlyden i
forordningens artikel 6, stk. 2, samt præambelbetragtning nr.
10 indikerer endvidere, at det ikke har været hensigten, at
der med forordningen er tiltænkt et andet rum - end efter
databeskyttelsesdirektivet - for at fastsætte mere specifikke
nationale krav til behandling og andre foranstaltninger for at
sikre lovlig og rimelig behandling med henblik på
overholdelse af artikel 6, stk. 1, litra c og e, hvorfor det
nationale råderum på dette område er i
overensstemmelse med databeskyttelsesdirektivet og en
videreførelse af gældende ret, jf. betænkning
nr. 1565/2017 side 150.
Videre følger det af betænkningen, at der dog er
den forskel i forhold til dagældende ret, at det eksplicit i
forordningens artikel 6, stk. 2, nævnes, at muligheden for,
at medlemsstaterne kan opretholde eller indføre mere
specifikke bestemmelser, er med henblik på at overholde
artikel 6, stk. 1, litra c og e.
Da det eksplicit anføres, at artikel 6, stk. 2, kun
vedrører artikel 6, stk. 1, litra c og e, sammenholdt med
præambelbetragtning nr. 10, har medlemsstaterne ikke mulighed
for mere præcist at fastsætte specifikke krav til
behandling og andre foranstaltninger for så vidt angår
artikel 6, stk. 1, litra a, b, d og f, jf. betænkning nr.
1565/2017 side 151.
Det fremgår endvidere af betænkning nr. 1565/2017
side 162, at der må antages at være adgang til at
opretholde eller indføre konkrete lovregler - inden for
rammerne af forordningens artikel 6, stk. 2 og 3 - om f.eks.
behandling af oplysninger i den finansielle sektor, såsom
reglerne i kapitel 9 i lov om finansiel virksomhed om videregivelse
af fortrolige oplysninger og betalingstjenestelovens § 85,
eller i sundhedssektoren. Der kan således også for
behandling i den private sektor, ligesom i forhold til behandling i
den offentlige sektor, ske behandling af personoplysninger, hvis
det sker for at overholde en "retlig forpligtelse", som
påhviler den dataansvarlige (artikel 6, stk. 1, litra c),
eller hvis lovgiver i øvrigt har udnyttet sin mulighed for
nationalt at fastlægge, hvornår det skal være -
og ikke skal være - muligt at behandle personoplysninger af
hensyn til "samfundets interesse" (artikel 6, stk. 1, litra e).
Om det nationale råderum henvises i øvrigt til
betænkning nr. 1565/2017 side 141-163.
Det er Justitsministeriets vurdering, at databeskyttelseslovens
§ 13 ikke er fastsat med hjemmel i artikel 6, stk. 1, litra c,
da behandling af personoplysninger i forbindelse med
markedsføring ikke sker for at overholde en retlig
forpligtelse.
Det lægges endvidere til grund, at der ikke er tale om
offentlig myndighedsudøvelse, som den dataansvarlige har
fået pålagt.
Det er Justitsministeriets vurdering, at behandling af
personoplysninger i forbindelse med markedsføring ikke er
nødvendigt af hensyn til udførelse af en opgave i
samfundets interesse. Det bemærkes i den forbindelse som
nævnt ovenfor, at der ved vurderingen af, om behandling af
personoplysninger er nødvendig af hensyn til
udførelse af en opgave i samfundets interesse, skal
være tale om opgaver af almen interesse, dvs. opgaver, som er
af betydning for en bredere kreds af personer.
Umiddelbart vil en behandling, hvor en virksomhed videregiver
personoplysninger til en anden virksomhed med henblik på
direkte markedsføring ske på grundlag af enten
databeskyttelsesforordningens artikel 6, stk. 1, litra a
(samtykke), eller artikel 6, stk. 1, litra f (interesseafvejning).
Justitsministeriet har foretaget en høring af en række
relevante lande om deres eventuelle nationale regler om behandling
af personoplysninger i forbindelse med direkte
markedsføring. Tilbagemeldingen var generelt, at der ikke i
de adspurgte lande er fastlagt sådanne regler. Et enkelt land
gjorde endvidere gældende, at det ikke er muligt inden for
databeskyttelsesforordningen at fastsætte nationale regler
herom.
Det er herefter Justitsministeriets vurdering, at det er
tvivlsomt om databeskyttelseslovens § 13, stk. 1-3 og stk.
5-9, ligger inden for rammerne af det nationale råderum i
forordningens artikel 6, stk. 2.
Det er derimod Justitsministeriets vurdering, at behandling af
personoplysninger i forbindelse med, at en virksomhed
undersøger i CPR, om en forbruger har frabedt sig
henvendelser i markedsføringsøjemed - som en
virksomhed i medfør af databeskyttelseslovens § 13,
stk. 4, har pligt til at tjekke hver gang den ønsker at
videregive kundeoplysninger til en anden virksomhed med henblik
på direkte markedsføring eller anvende oplysningerne
på vegne af en anden virksomhed i dette øjemed - sker
på baggrund af en retlig forpligtelse, som påhviler den
dataansvarlige, jf. databeskyttelsesforordningens artikel 6, stk.
1, litra c. Det er derfor Justitsministeriets vurdering, at
databeskyttelseslovens § 13, stk. 4, ligger inden for rammerne
af det nationale råderum i databeskyttelsesforordningens
artikel 6, stk. 2.
2.2.3. Den foreslåede ordning
For at sikre overensstemmelse med EU-retten foreslås det
at ophæve databeskyttelseslovens § 13, stk. 1-3 og stk.
5-9.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 1-2, ophæves, vil medføre, at der ikke
længere fastsættes særregler for, i hvilke
tilfælde en virksomhed - uden den enkelte forbrugers samtykke
- må videregive oplysninger om en forbruger til andre
virksomheder til brug for markedsføring.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 1 og 6, ophæves, vil desuden medføre,
at der ikke længere stilles krav om, at et samtykke til
behandling af personoplysninger i forbindelse med
markedsføring skal indhentes i overensstemmelse med
markedsføringslovens § 10.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 5, ophæves, vil medføre, at
dataansvarlige adresserings- og kuverteringsbureauers kan behandle
yderligere oplysninger end de nævnte i databeskyttelseslovens
§ 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et
behandlingsgrundlag i databeskyttelsesforordningens artikel 6.
Der henvises til bemærkningerne til lovforslagets §
1, nr. 2 og 3.
2.3. Procesbevillingsnævnet undtages fra
oplysningspligten og indsigtsretten i sager vedrørende
appeltilladelse
2.3.1. Gældende ret
Procesbevillingsnævnet behandler ansøgninger om
meddelelse af anden- og tredjeinstansbevilling, jf. retsplejelovens
§ 22, stk. 1. Procesbevillingsnævnet behandler endvidere
klager over afslag på ansøgninger om fri proces og
retshjælp, jf. retsplejelovens § 22, stk. 2.
Procesbevillingsnævnet er et uafhængigt og uvildigt
organ, som virker i nær tilknytning til de almindelige
domstole uden at være en del af disse, jf. Folketingstidende
1994-95, tillæg A, L 217 som fremsat den 6. april 1995, side
2954. Nævnet er endvidere ikke en del af den offentlige
forvaltning, hvilket bl.a. indebærer, at nævnet ikke er
omfattet af offentlighedsloven, forvaltningsloven og
ombudsmandsloven, jf. Folketingstidende 1994-95, tillæg A, L
217 som fremsat den 6. april 1995 side 2959.
Procesbevillingsnævnets forretningsorden er fastsat i
bekendtgørelse nr. 294 af 25. marts 2019 i medfør af
retsplejelovens § 25.
Det følger af forretningsordenens § 20, stk. 1, at
aktindsigt meddeles af nævnets formand eller
afdelingsformanden i overensstemmelse med bestemmelserne i
retsplejelovens §§ 41-41 h, 255 a og 729 a-729 d med de
fornødne tillempninger.
Det fremgår af § 20, stk. 2, i forretningsordenen, at
begæring om indsigtsret fra den registrerede i medfør
af databeskyttelsesforordningen behandles efter reglerne i
forordningens artikel 12 og artikel 15, jf. dog
databeskyttelseslovens § 22.
Det følger endvidere af forretningsordenens § 4,
stk. 2, 3. pkt., at der i sager vedrørende appeltilladelse
og sager vedrørende fri proces og retshjælp sker
underretning af den registrerede i overensstemmelse med reglerne i
databeskyttelsesforordningens artikel 12-14, jf. dog
databeskyttelseslovens §§ 22 og 23.
Det følger af databeskyttelsesforordningens artikel 13,
at den dataansvarlige - ved indsamling af personoplysninger hos den
registrerede selv - har pligt til at give den registrerede en
række oplysninger om bl.a. den dataansvarliges identitet og
kontaktoplysninger, formålene med og retsgrundlaget for
behandlingen og eventuelle modtagere af oplysningerne. Efter en
konkret vurdering er den dataansvarlige desuden forpligtet til at
give den registrerede oplysninger om bl.a. tidsrummet for
opbevaring, den registreredes rettigheder efter
databeskyttelsesforordningen og retten til at indgive en klage til
en tilsynsmyndighed.
Når personoplysninger ikke er indsamlet hos den
registrerede selv, følger den dataansvarliges
oplysningspligt af databeskyttelsesforordningens artikel 14. Den
dataansvarlige giver herefter den registrerede de samme oplysninger
som efter artikel 13 samt oplysninger om de berørte
kategorier af personoplysninger og efter en konkret vurdering
oplysninger om, hvorfra oplysningerne stammer.
Efter databeskyttelsesforordningens artikel 15, stk. 1, har den
registrerede ret til at få den dataansvarliges
bekræftelse på, om personoplysninger vedrørende
den pågældende behandles, og i givet fald adgang til
personoplysningerne. Endvidere har den registrerede ret til at
modtage en række oplysninger, herunder bl.a. om
formålet med behandlingen af oplysningerne, hvilke kategorier
af personoplysninger, der er omfattet af behandlingen, og om muligt
det påtænkte tidsrum, hvor personoplysningerne vil
blive opbevaret.
Det følger af forordningens artikel 15, stk. 3, at den
dataansvarlige i forbindelse med en anmodning om indsigt efter
artikel 15, skal udlevere en kopi af de personoplysninger, der
behandles.
Formålet med retten til indsigt er bl.a. at give den
registrerede mulighed for at kontrollere, om de oplysninger den
dataansvarlige behandler om vedkommende er rigtige, og om
behandlingen er lovlig.
Efter databeskyttelseslovens § 22, stk. 3, kan oplysninger,
der behandles for den offentlige forvaltning som led i
administrativ sagsbehandling, undtages fra retten til indsigt efter
databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang
som efter reglerne i §§ 19-29 og 35 i offentlighedsloven.
Det forudsættes i bemærkningerne, at bestemmelsen
også kan anvendes på Procesbevillingsnævnet,
uanset at dette er et uafhængigt nævn, der virker i
nær tilknytning til domstolssystemet, jf. Folketingstidende
2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017,
side 193. Procesbevillingsnævnet kan således i
medfør af databeskyttelseslovens § 22, stk. 3,
sammenholdt med offentlighedslovens § 19 afvise
indsigtsanmodninger i straffesager.
Det følger af databeskyttelseslovens § 22, stk. 4,
at databeskyttelsesforordningens artikel 13-15 ikke finder
anvendelse på behandling af personoplysninger, der foretages
af domstolene, når disse handler i deres egenskab af
domstol.
Efter databeskyttelsesforordningens artikel 23, stk. 1, er der
mulighed for ved lovgivningsmæssige foranstaltninger i
EU-retten eller medlemsstaternes nationale ret at begrænse
rækkevidden af de forpligtelser og rettigheder, der er
omhandlet i bl.a. artikel 13-14 om den dataansvarsliges
oplysningspligt og artikel 15 om den registreredes ret til indsigt,
når begrænsningerne respekterer det væsentligste
indhold af de grundlæggende rettigheder og frihedsrettigheder
og er en nødvendig og forholdsmæssig foranstaltning i
et demokratisk samfund af hensyn til en række nærmere
oplistede hensyn.
Begrænsningerne kan bl.a. ske af hensyn til beskyttelse af
retsvæsenets uafhængighed og retssager.
Det fremgår endvidere af databeskyttelsesforordningens
artikel 23, stk. 2, at navnlig skal enhver lovgivningsmæssig
foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er
relevant, indeholde specifikke bestemmelser vedrørende:
Formålene med behandlingen eller kategorierne af behandling,
kategorierne af personoplysninger, rækkevidden af de
indførte begrænsninger, garantierne for at undgå
misbrug eller ulovlig adgang eller overførsel, specifikation
af den dataansvarlige eller kategorierne af dataansvarlige,
opbevaringsperioder og de gældende garantier under
hensyntagen til behandlingens karakter, omfang og formål
eller kategorier af behandling, risiciene for de registreredes
rettigheder og frihedsrettigheder og de registreredes ret til at
blive underrettet om begrænsningen, medmindre dette kan skade
formålet med begrænsningen.
For yderligere om mulighederne for begrænsning efter
databeskyttelsesforordningens artikel 23 henvises til
betænkning nr. 1565/2017, side 396-404.
Det følger af forarbejderne til databeskyttelseslovens
§ 22, stk. 4, at bestemmelsen ligger inden for rammerne af
databeskyttelsesforordningens artikel 23, og at bestemmelsen er
fastsat under hensyntagen til domstolenes særlige status og
den detaljerede procesregulering, der i forvejen findes i
retsplejeloven, hvorved de registreredes rettigheder i forbindelse
med retternes judicielle funktioner i tilstrækkelig grad
bliver iagttaget, jf. Folketingstidende 2017-18, tillæg A, L
68 som fremsat den 25. oktober 2017, side 193.
Procesbevillingsnævnet er ikke som domstolene undtaget fra
oplysningspligten og indsigtsretten.
Procesbevillingsnævnet er derfor efter
databeskyttelsesforordningens artikel 13 og 14 forpligtet til at
underrette registrerede. Det bemærkes, at
Procesbevillingsnævnet ved behandling af ansøgninger
om appeltilladelse som udgangspunkt indhenter sagens akter ved
retten og/eller anklagemyndigheden i straffesager og ved retten i
civile sager. Procesbevillingsnævnet indsamler i
sådanne tilfælde oplysninger fra andre end den
registrerede selv og skal derfor iagttage oplysningspligten efter
forordningens artikel 14. Oplysningspligten finder derved som
udgangspunkt anvendelse for alle personoplysninger, der måtte
være tilgået i forbindelse med retten og/eller
anklagemyndighedens behandling af sagen, hvilket ofte er
oplysninger om et større antal personer såsom
medtiltalte, forurettede, vidner, pårørende,
medtiltalte i ældre straffesager og andre personer, der ikke
er parter i sagen i Procesbevillingsnævnet og derfor heller
ikke bliver inddraget yderligere i sagen i nævnet. Disse
personer er ikke tidligere under sagens behandling i retten blevet
underrettet om behandling af personoplysninger om dem. Efter en
konkret vurdering kan Procesbevillingsnævnet dog undlade at
iagttage oplysningspligten, f.eks. hvis det vil kræve en
uforholdsmæssigt stor indsats at give oplysningerne, jf.
databeskyttelsesforordningens artikel 14, stk. 5, litra b.
Tilsvarende indtræder retten til indsigt efter
databeskyttelsesforordningens artikel 15, når en civil sag
behandles i Procesbevillingsnævnet, selv om der ikke
tidligere i sagens forløb ved retten har været ret til
indsigt efter databeskyttelsesreglerne.
Hvis Procesbevillingsnævnet meddeler bevilling, og sagen
dermed sendes tilbage til behandling i domstolssystemet, vil
oplysningerne igen blive behandlet i et system, der er undtaget fra
oplysningspligten og indsigtsretten.
2.3.2. Justitsministeriets overvejelser og den foreslåede
ordning
I afdelingen for appeltilladelser er
Procesbevillingsnævnets opgave at forholde sig til, hvorvidt
en sag skal behandles i endnu en instans, og reguleringen af
nævnets virksomhed i retsplejeloven afspejler denne helt
konkrete opgave.
Procesbevillingsnævnet er både organisatorisk og
forfatningsmæssigt en unik organisation. I forhold til
nævnets opgaver i afdelingen for appeltilladelser bliver
opgaven med at meddele appeltilladelse i andre lande typisk
varetaget af landets Højesteret eller den 2. instans, som
afgørelsen i givet fald skal indbringes for.
Det er Justitsministeriets vurdering, at det er
uhensigtsmæssigt, at oplysningspligten og indsigtsretten
finder anvendelse på Procesbevillingsnævnets behandling
af personoplysninger, når de samme sager er undtaget fra
reglerne ved behandling i retterne.
Som følge heraf foreslås det, at
databeskyttelsesforordningens artikel 13-15 ikke skal finde
anvendelse på behandling af personoplysninger, som foretages
af Procesbevillingsnævnet i henhold til retsplejelovens
§ 22, stk. 1.
Den foreslåede ordning vil medføre, at
Procesbevillingsnævnet i sager vedrørende
appeltilladelse ikke er forpligtet til at underrette den
registrerede efter databeskyttelsesforordningens artikel 13-14, og
at den registrerede ikke har ret til indsigt i nævnets
behandling af oplysninger om de pågældende.
Det er Justitsministeriets vurdering, at den foreslåede
ordning, der bl.a. bunder i sammenhængen mellem retternes
opgaver og Procesbevillingsnævnets opgaver, kan
fastsættes inden for rammerne af
databeskyttelsesforordningens artikel 23, stk. 1, litra f, der
giver mulighed for at begrænse de registreredes rettigheder
af hensyn til beskyttelse af retsvæsenets uafhængighed
og retssager.
Undtagelsen vil kun gælde for behandling af
personoplysninger, der foretages af Procesbevillingsnævnet i
sager vedrørende appeltilladelse i henhold til
retsplejelovens § 22, stk. 1. Procesbevillingsnævnets
behandling af personoplysninger i forbindelse med sager
vedrørende fri proces og retshjælp i henhold til
retsplejelovens § 22, stk. 2, og alle nævnets
administrative forhold, herunder enhver administrativ
sagsbehandling, vil fortsat være omfattet af de almindelige
regler om oplysningspligt og indsigtsret.
Herudover vil den registrerede fortsat kunne gøre sine
øvrige rettigheder efter databeskyttelsesforordningen
gældende over for Procesbevillingsnævnet.
Der henvises i øvrigt til bemærkningerne til
lovforslagets § 1, nr. 4.
2.4. Tilpasning af adgangen til indsigt hos Folketingets
Ombudsmand
2.4.1. Gældende ret
2.4.1.1. Forvaltningsloven og offentlighedsloven
Forvaltningsloven og offentlighedsloven gælder ikke for
Folketingets Ombudsmand. Det skyldes, at Folketingets Ombudsmand
ikke er en del af den offentlige forvaltning. I praksis bliver der
dog til parter givet indsigt efter principperne i forvaltningsloven
for så vidt angår breve til og fra Folketingets
Ombudsmand samt visse oplysninger i interne arbejdsdokumenter i
Folketingets Ombudsmands sager. Endvidere har Folketingets
Ombudsmand i praksis etableret en ordning, hvorefter pressen og
andre kan få indsigt i en (allerede foreliggende)
anonymiseret udgave af ombudsmandens afsluttende udtalelse i sager,
som er eller påtænkes offentliggjort af ombudsmanden,
ligesom enhver normalt også - efter principperne i
offentlighedsloven - kan få indsigt i sager, hvor
ombudsmandens afsluttende udtalelse ikke indeholder fortrolige
oplysninger. I andre sager henvises den, der søger indsigt,
som udgangspunkt til at rette henvendelse til den, der er part i
ombudsmandens sag, hvis den indsigtssøgende ved, hvem parten
er.
For så vidt angår anmodninger om aktindsigt efter
forvaltningsloven eller offentlighedsloven i sagsakter fra
myndigheder m.v., der er sendt til ombudsmanden som led i dennes
behandling af en sag, sender ombudsmanden som udgangspunkt disse
anmodninger videre til vedkommende myndighed m.v., ellers vejleder
ombudsmanden - efter en konkret vurdering - borgeren om muligheden
for selv at bede myndigheden m.v. om aktindsigt. Det sker med
henblik på, at myndigheden m.v. kan tage stilling til den
konkrete aktindsigtsanmodning. Det gælder uanset, om
sagsakterne fra myndigheden m.v. er sendt til ombudsmanden af
vedkommende myndighed m.v., eller ombudsmanden har modtaget dem fra
en klager eller andre, f.eks. som bilag til en henvendelse.
Denne fremgangsmåde skyldes flere forhold. Bl.a. kan
ombudsmanden efter omstændighederne have svært ved -
som første instans - at vurdere, om en eller flere af lovens
undtagelser vil kunne være relevante i en sag, ligesom
borgeren vil miste en klagemulighed til Folketingets Ombudsmand,
hvis ombudsmanden træffer afgørelse om aktindsigt i
første instans. Ombudsmandens tilsyn med forvaltningen vil
samtidig forsvinde på et både principielt og praktisk
centralt område.
Den anførte praksis er således begrundet i den
særlige karakter af Folketingets Ombudsmands opgaver og
kompetence efter ombudsmandsloven med henblik på at sikre
ombudsmandens prøvelsesmulighed på dette
område.
Der henvises til Folketingets Ombudsmands notat af 6. november
2020 om indsigt i oplysninger og sager hos Folketingets Ombudsmand,
der er tilgængeligt på ombudsmandens hjemmeside.
2.4.1.2. Databeskyttelsesforordningen og -loven
Databeskyttelsesforordningen og databeskyttelsesloven finder
anvendelse for Folketinget, dog ikke på behandling af
personoplysninger der foretages som led i Folketingets
parlamentariske arbejde, jf. databeskyttelseslovens § 3, stk.
3. Databeskyttelsesforordningen og databeskyttelsesloven finder
desuden anvendelse for institutioner under Folketinget, herunder
Folketingets Ombudsmand.
Hvis en anmodning om indsigt i sagsakter fra en myndighed m.v.,
der er sendt til Folketingets Ombudsmand, helt eller delvist
vedrører personoplysninger, der er omfattet af
indsigtsretten efter databeskyttelsesforordningen, vil ombudsmanden
i dag selv tage stilling til den del af anmodningen, der
vedrører indsigt efter databeskyttelsesforordningen -
eventuelt efter at have indhentet en udtalelse fra myndigheden
m.v.
Hvis en indsigtsanmodning derimod er sendt til myndigheden m.v.
og omfatter personoplysninger, der er omfattet af indsigtsretten
efter databeskyttelsesforordningen, vil myndigheden m.v. skulle
tage stilling til indsigtsanmodningen efter
databeskyttelsesforordningen.
I de tilfælde, hvor der er tvivl om, hvorvidt der anmodes
om indsigt efter forvaltningsrettens regler eller
databeskyttelsesreglerne, vil myndigheden m.v. skulle
håndtere borgerens anmodning efter det mest gunstige
regelsæt.
Det følger af databeskyttelsesforordningens artikel 15,
stk. 1, at den registrerede har ret til at få den
dataansvarliges bekræftelse på, om personoplysninger
vedrørende den pågældende behandles, og i givet
fald adgang til personoplysningerne. Endvidere har den registrerede
ret til at modtage en række oplysninger, herunder bl.a. om
formålet med behandlingen af oplysningerne, hvilke kategorier
af personoplysninger, der er omfattet af behandlingen, og om muligt
det påtænkte tidsrum, hvor personoplysningerne vil
blive opbevaret.
Det følger endvidere af forordningens artikel 15, stk. 3,
at den dataansvarlige i forbindelse med indsigtsanmodninger skal
udlevere en kopi af de personoplysninger, der behandles.
Det følger af databeskyttelsesforordningens artikel 77,
stk. 1, at den registrerede har ret til at indgive klage til en
tilsynsmyndighed, hvis den registrerede finder, at behandlingen af
personoplysninger vedrørende vedkommende overtræder
denne forordning. Den registrerede har således ret til at
klage til Datatilsynet over håndteringen af en
indsigtsanmodning efter databeskyttelsesforordningen.
Efter databeskyttelseslovens § 22, stk. 3, kan bl.a.
oplysninger, der behandles for den offentlige forvaltning som led i
administrativ sagsbehandling, undtages fra retten til indsigt efter
databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang
som efter reglerne i §§ 19-29 og 35 i lov om offentlighed
i forvaltningen. Bestemmelsen er indsat for at sikre, at
forvaltningsmyndigheders behandling af oplysninger kan undtages fra
den registreredes ret til indsigt i samme udstrækning som
efter offentlighedslovens regler om egenacces, jf.
offentlighedslovens § 8.
Databeskyttelseslovens § 22 er fastsat inden for rammerne
af databeskyttelsesforordningens artikel 23.
Efter databeskyttelsesforordningens artikel 23, stk. 1, er der
mulighed for ved lovgivningsmæssige foranstaltninger i
EU-retten eller medlemsstaternes nationale ret at begrænse
rækkevidden af de forpligtelser og rettigheder, der er
omhandlet i bl.a. artikel 15 om den registreredes indsigtsret,
når begrænsningerne respekterer det væsentligste
indhold af de grundlæggende rettigheder og frihedsrettigheder
og er en nødvendig og forholdsmæssig foranstaltning i
et demokratisk samfund af hensyn til en række nærmere
oplistede hensyn.
Begrænsningerne kan bl.a. ske af hensyn til statens
sikkerhed, forebyggelse, efterforskning, afsløring eller
retsforfølgning af strafbare handlinger eller fuldbyrdelse
af strafferetlige sanktioner, herunder beskyttelse mod og
forebyggelse af trusler mod den offentlige sikkerhed, andre vigtige
målsætninger i forbindelse med beskyttelse af Unionens
eller en medlemsstats generelle samfundsinteresser og
håndhævelse af civilretlige krav.
Det fremgår endvidere af databeskyttelsesforordningens
artikel 23, stk. 2, at navnlig skal enhver lovgivningsmæssig
foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er
relevant, indeholde specifikke bestemmelser vedrørende
formålene med behandlingen eller kategorierne af behandling,
kategorierne af personoplysninger, rækkevidden af de
indførte begrænsninger, garantierne for at undgå
misbrug eller ulovlig adgang eller overførsel, specifikation
af den dataansvarlige eller kategorierne af dataansvarlige,
opbevaringsperioder og de gældende garantier under
hensyntagen til behandlingens karakter, omfang og formål
eller kategorier af behandling, risiciene for de registreredes
rettigheder og frihedsrettigheder og de registreredes ret til at
blive underrettet om begrænsningen, medmindre dette kan skade
formålet med begrænsningen.
2.4.2. Justitsministeriets overvejelser og den foreslåede
ordning
Folketingets Ombudsmand har en fast praksis for håndtering
af anmodninger om aktindsigt efter principperne i forvaltningsloven
eller offentlighedsloven. For så vidt angår anmodninger
om aktindsigt i sagsakter fra myndigheder m.v., der er sendt til
ombudsmanden som led i behandlingen af en sag, sender ombudsmanden
som udgangspunkt anmodningerne videre til vedkommende myndighed
m.v. med henblik på, at myndigheden m.v. kan tage stilling
til anmodningen om aktindsigt. Denne praksis er bl.a. begrundet i
den særlige karakter af Folketingets Ombudsmands opgaver og
kompetence efter ombudsmandsloven med henblik på at sikre
ombudsmandens prøvelsesmulighed samt i, at myndigheden m.v.
har bedre forudsætninger for - som første instans - at
vurdere, om en eller flere af forvaltningslovens eller
offentlighedslovens undtagelser vil kunne være relevant i
forhold til myndighedens m.v. sagsakter i en sag. Der henvises til
pkt. 2.4.1 ovenfor.
Det vurderes, at de samme hensyn gør sig gældende i
forhold til Folketingets Ombudsmands behandling af anmodninger om
indsigt i sagsakter fra myndigheder m.v., hvor der i sagsakterne
indgår oplysninger, der er omfattet af indsigtsretten efter
databeskyttelsesforordningens artikel 15.
På den baggrund vurderes det, at der i forhold til
sagsakter fra myndigheder m.v. bør skabes sammenhæng
mellem Folketingets Ombudsmands behandling af anmodninger om
indsigt efter databeskyttelsesforordningens artikel 15 og
Folketingets Ombudsmands behandling af anmodninger om
aktindsigt.
Som følge heraf foreslås det, at artikel 15 i
databeskyttelsesforordningen ikke finder anvendelse på
Folketingets Ombudsmands behandling af personoplysninger i
sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som
led i behandlingen af en sag hos ombudsmanden. Sagsakterne kan
være sendt til ombudsmanden af myndigheden m.v. eller af en
klager eller andre, f.eks. som bilag til en henvendelse, herunder
som opfølgning på en anmodning fra ombudsmanden.
Det foreslås endvidere, at Folketingets Ombudsmand skal
videresende indsigtsanmodninger efter databeskyttelsesforordningens
artikel 15 til vedkommende myndighed m.v., der herefter vil skulle
tage stilling til og besvare anmodningen.
Med den foreslåede ordning vil der ske en
begrænsning i form af en ændring af
afgørelseskompetencen for så vidt angår den
registreredes ret til indsigt i personoplysninger i sagsakter fra
myndigheder m.v., der er sendt til Folketingets Ombudsmand. Den
registrerede vil fortsat have fuld adgang til at anmode om indsigt
i de pågældende personoplysninger, idet myndigheden
m.v. i stedet for ombudsmanden vil skulle behandle
indsigtsanmodningen. Samtidig bevarer den registrerede muligheden
for at klage til Folketingets Ombudsmand. En registreret vil i
øvrigt fortsat have adgang til at anmode om indsigt i
personoplysninger hos Folketingets Ombudsmand i andet end sagsakter
fra myndigheder m.v.
Det er Justitsministeriets vurdering, at den foreslåede
ordning, der bl.a. varetager hensynet til at sikre ombudsmandens
særlige opgaver og kompetence efter ombudsmandsloven, kan
fastsættes inden for rammerne af
databeskyttelsesforordningens artikel 23, stk. 1, litra e, der
bl.a. giver mulighed for at begrænse rettigheder af hensyn
til generelle samfundsinteresser.
Det vurderes, at den foreslåede ordning - uanset
begrænsningen i indsigtsretten hos Folketingets Ombudsmand -
i praksis ikke vil forringe borgerens retstilling, da Folketingets
Ombudsmand vil videresende en anmodning om indsigt i
personoplysninger i sagsakter fra en myndighed m.v. til vedkommende
myndighed m.v., hvorefter denne vil skulle behandle anmodningen.
Forskellen i forhold til i dag består i, at det vil
være vedkommende myndighed m.v. og ikke Folketingets
Ombudsmand, der vil skulle behandle og besvare
indsigtsanmodningen.
Den registrerede vil fortsat kunne gøre sine
øvrige rettigheder efter databeskyttelsesforordningen
gældende. Hvis den registrerede på baggrund af indsigt
i sagsakterne hos vedkommende myndighed m.v. eksempelvis
ønsker urigtige personoplysninger om sig selv berigtiget
(databeskyttelsesforordningens artikel 16) eller ønsker
oplysninger om sig selv slettet (databeskyttelsesforordningens
artikel 17), vil den registrerede således fortsat kunne
gøre dette gældende i forhold til Folketingets
Ombudsmand, der fortsat vil skulle håndtere en sådan
anmodning.
Der henvises i øvrigt til bemærkningerne til
lovforslagets § 1, nr. 4.
3. Økonomiske konsekvenser og
implementeringskonsekvenser for det offentlige
Lovforslaget vurderes ikke at have økonomiske
konsekvenser for staten af betydning.
Procesbevillingsnævnets undtagelse fra oplysningspligten
og indsigtsretten kan dog medføre en mindre tidsbesparelse
for Procesbevillingsnævnet.
Lovforslaget vurderes ikke at have implementeringskonsekvenser
for staten af betydning.
Lovforslaget vurderes ikke at have økonomiske
konsekvenser for regionerne af betydning.
Lovforslaget vurderes ikke at have implementeringskonsekvenser
for regionerne af betydning.
Lovforslaget vurderes ikke at have økonomiske
konsekvenser for kommunerne af betydning.
Lovforslaget vurderes ikke at have implementeringskonsekvenser
for kommunerne af betydning. For så vidt angår
lovforslagets del om tilpasning af indsigtsretten hos Folketingets
Ombudsmand vurderes denne del dog at have begrænsede
konsekvenser for det offentlige, herunder begrænsede
kommunaløkonomiske konsekvenser. Det vurderes imidlertid
ikke, at kommunerne eller regionerne skal kompenseres herfor gennem
Det Udvidede Totalbalanceprincip.
Principperne for digitaliseringsklar lovgivning vurderes ikke
relevante for lovforslaget.
4. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
Forslaget vurderes ikke at have økonomiske konsekvenser
for erhvervslivet af betydning.
Forslaget kan medføre begrænsede administrative
konsekvenser for erhvervslivet i forbindelse med en eventuel
tilpasning af informationssamfundstjenester, som baserer behandling
af personoplysninger på baggrund af et samtykke, og som har
indrettet sig således, at et samtykke er gyldigt, hvis barnet
er fyldt 13 år.
5. Administrative konsekvenser for borgerne
Lovforslaget har ikke administrative konsekvenser for
borgerne.
6. Klimamæssige konsekvenser
Lovforslaget har ikke klimamæssige konsekvenser.
7. Miljø- og naturmæssige
konsekvenser
Lovforslaget har ikke miljø- og naturmæssige
konsekvenser.
8. Forholdet
til EU-retten
Lovforslaget vil indebære, at aldersgrænsen for
samtykke til behandling af personoplysninger i forbindelse med
udbud af informationssamfundstjenester hæves fra 13 år
til 15 år. Den foreslåede ordning kan fastsættes
inden for rammerne af databeskyttelsesforordningens artikel 8, stk.
1. Der henvises til pkt. 2.1.1 ovenfor.
Lovforslaget bringer endvidere databeskyttelseslovens § 13
i overensstemmelse med det nationale råderum i
databeskyttelsesforordningens artikel 6, stk. 2 og 3.
Lovforslaget vil derudover indebære, at oplysningspligten
efter databeskyttelsesforordningens artikel 13 og artikel 14 og
retten til indsigt efter forordningens artikel 15 ikke finder
anvendelse på Procesbevillingsnævnets behandling af
personoplysninger i forbindelse med sager om ansøgninger om
appeltilladelse. Det er Justitsministeriets vurdering, at denne
begrænsning af de registreredes rettigheder kan
fastsættes inden for rammerne af forordningens artikel 23.
Der henvises til pkt. 2.3.2 ovenfor.
Lovforslaget vil endelig indebære en begrænsning af
retten til indsigt efter databeskyttelsesforordningens artikel 15 i
form af en ændring af afgørelseskompetencen for
så vidt angår retten til indsigt i personoplysninger i
sagsakter fra myndigheder m.v., der er sendt til Folketingets
Ombudsmand som led i behandlingen af en sag. Det er
Justitsministeriets vurdering, at den foreslåede ordning kan
fastsættes inden for rammerne af
databeskyttelsesforordningens artikel 23. Der henvises til pkt.
2.4.2 ovenfor.
9. Hørte myndigheder og organisationer
m.v.
Et udkast til lovforslag har i perioden fra den 21. september
2023 til den 19. oktober 2023 været sendt i høring hos
følgende myndigheder og organisationer m.v.:
Advokatrådet, Akademikernes - AC, Amnesty International,
Ankenævnet for Patienterstatningen, Ankestyrelsen, Berlingske
Media, BUPL, Børns Vilkår, Civilstyrelsen, Dagbladet
Information, Danmarks Jurist- og Økonomforbundet
(DJØF), Danmarks Lærerforening, Danmarks Medie- og
Journalisthøjskole, Danmarks Radio, Danmarks Tekniske
Universitet, Dansk Erhverv, Dansk Folkeoplysnings Samråd,
Dansk Industri, Dansk IT, Dansk Journalistforbund (DJ), Dansk
Markedsføring, Dansk Socialrådgiverforening, Dansk
Sygeplejeråd, Danske Advokater, Danske Medier, Danske
Regioner, Danske Patienter, Datatilsynet, Dataetisk Råd, Den
Danske Dommerforening, Den Uafhængige Politiklagemyndighed,
Det Juridiske Fakultet - Københavns Universitet, Digitalt
Ansvar, Direktoratet for Kriminalforsorgen, Domstolsstyrelsen,
Erhvervsstyrelsen, Fagbevægelsens Hovedorganisation (FH), Fag
og Arbejde (FOA), Finans Danmark, Folketingets Ombudsmand,
Forbrugerombudsmanden, Forbrugerrådet Tænk,
Forsvarsministeriets Auditørkorps, Fængselsforbundet,
Gymnasieskolernes Lærerforening (GL), Handelshøjskolen
- Aarhus Universitet, HK Danmark, Institut for Menneskerettigheder,
IT-Branchen, Ingeniørforeningen, IDA, Juridisk Institut -
Copenhagen Business School, Juridisk Institut - Syddansk
Universitet, Juridisk Institut - Aalborg Universitet, Juridisk
Institut - Aarhus Universitet, Justitia, Jyllands-Posten,
Kommunernes Landsforening (KL), Konkurrence- og Forbrugerstyrelsen,
Kreakom, Kristeligt Dagblad, Landsforeningen af Forsvarsadvokater,
Lægeforeningen, Manderådet, Patienterstatningen,
Patientforeningen, Politiforbundet, Politiken,
Procesbevillingsnævnet, Red Barnet, Retspolitisk Forening,
Rigsadvokaten, Rigspolitiet, Roskilde Universitet, Rådet for
Digital Sikkerhed, samtlige byretter, samtlige regioner,
Socialpædagogernes Landsforbund, Sø- og Handelsretten,
TV2 DANMARK A/S, Vestre Landsret og Østre Landsret.
10. Sammenfattende skema
| Positive konsekvenser/mindreudgifter (hvis
ja, angiv omfang/Hvis nej, anfør »Ingen«) | Negative konsekvenser/merudgifter (hvis
ja, angiv omfang/Hvis nej, anfør »Ingen«) | Økonomiske konsekvenser for stat,
kommuner og regioner | Ingen | For så vidt angår
lovforslagets del om tilpasning af indsigtsretten hos Folketingets
Ombudsmand vurderes denne del at have begrænsede konsekvenser
for det offentlige, herunder begrænsede
kommunaløkonomiske konsekvenser. Det vurderes ikke, at
kommunerne eller regionerne skal kompenseres herfor gennem Det
Udvidede Totalbalanceprincip. | Implementeringskonsekvenser for stat,
kommuner og regioner | Ingen | Ingen af betydning | Økonomiske konsekvenser for
erhvervslivet | Ingen | Ingen af betydning | Administrative konsekvenser for
erhvervslivet | Ingen | Forslaget kan medføre
begrænsede administrative konsekvenser for erhvervslivet i
forbindelse med en eventuel tilpasning af
informationssamfundstjenester, som baserer behandling af
personoplysninger på baggrund af et samtykke, og som har
indrettet sig således, at et samtykke er gyldigt, hvis barnet
er fyldt 13 år. | Administrative konsekvenser for
borgerne | Ingen | Ingen | Klimamæssige konsekvenser | Ingen | Ingen | Miljø- og naturmæssige
konsekvenser | Ingen | Ingen | Forholdet til EU-retten | Lovforslaget indebærer, at
aldersgrænsen for samtykke til behandling af persondata i
forbindelse med udbud af informationssamfundstjenester hæves
fra 13 år til 15 år. Den foreslåede ordning kan
fastsættes inden for rammerne af
databeskyttelsesforordningens artikel 8, stk. 1. Lovforslaget bringer endvidere
databeskyttelseslovens § 13 i overensstemmelse med det
nationale råderum i forordningens artikel 6, stk. 2 og
3. Lovforslagets dele om undtagelse for
Procesbevillingsnævnet fra oplysningspligten og
indsigtsretten og tilpasning af indsigtsretten hos Folketingets
Ombudsmand indebærer begrænsninger i de registreredes
rettigheder inden for rammerne af medlemsstaternes råderum i
medfør af databeskyttelsesforordningens artikel 23. | Er i strid med de fem principper for
implementering af erhvervsrettet EU-regulering/Overimplementering
af EU-retlige minimumsforpligtelser | JA | NEJ X |
|
Bemærkninger til lovforslagets
enkelte bestemmelser
Til §
1
Til nr. 1
I databeskyttelseslovens § 6, stk. 1-3, er der fastsat
nærmere betingelser for, hvornår behandling af
personoplysninger må finde sted.
Den gældende bestemmelse i databeskyttelseslovens §
6, stk. 2, medfører, at i det omfang samtykkereglen i
databeskyttelsesforordningens artikel 6, stk. 1, litra a, finder
anvendelse i forbindelse med udbud af informationssamfundstjenester
direkte til børn, er behandling af personoplysninger om et
barn lovlig, hvis barnet er mindst 13 år.
Den gældende bestemmelse i databeskyttelseslovens §
6, stk. 3, medfører, at hvis barnet er under 13 år, er
behandling af personoplysninger om barnet kun lovlig, hvis og i det
omfang samtykke gives eller godkendes af indehaveren af
forældremyndigheden over barnet.
For en nærmere beskrivelse af gældende ret henvises
til pkt. 2.1.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 6, stk.
2 og 3, at ændre »13
år« til: »15 år«.
Den foreslåede ændring vil medføre, at
aldersgrænsen for, hvornår man kan give samtykke til
behandling af personoplysninger i forbindelse med udbud af
informationssamfundstjenester, vil blive hævet fra 13
år til 15 år. Ændringen vil medføre, at
hvis et barn er under 15 år, er behandling af
personoplysninger om barnet kun lovlig, hvis og i det omfang
samtykke gives eller godkendes af indehaveren af
forældremyndigheden over barnet.
For en nærmere beskrivelse af formålet med at
hæve aldersgrænsen i databeskyttelseslovens § 6,
stk. 2 og 3, henvises til pkt. 2.1.3 i lovforslagets almindelige
bemærkninger.
Til nr. 2 og 3
I databeskyttelseslovens § 13, stk. 1-3, er der fastsat
nærmere betingelser for behandling af personoplysninger i
forbindelse med markedsføring. I databeskyttelseslovens
§ 13, stk. 5-7, er der endvidere fastsat
markedsføringsregler vedrørende adressering- og
kuverteringsbureauer. I databeskyttelseslovens § 13, stk. 8 og
9, bemyndiges justitsministeren til at fastsætte yderligere
begrænsninger ved behandling af oplysninger til brug ved
markedsføring. For en nærmere beskrivelse af
gældende ret henvises til pkt. 2.2.1 i de almindelige
bemærkninger til lovforslaget.
Det foreslås at ophæve §
13, stk. 1-3 og stk. 5-9.
Det foreslåede vil indebære, at man sikrer, at
databeskyttelsesloven er i overensstemmelse med det nationale
råderum i databeskyttelsesforordningen.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 1, ophæves, vil medføre, at der ikke
længere stilles krav om forbrugerens udtrykkelige samtykke,
når en virksomhed ønsker at videregive oplysninger om
en forbruger til en anden virksomhed ved direkte
markedsføring eller anvende oplysningerne på vegne af
en anden virksomhed i dette øjemed.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 2, ophæves, vil medføre, at
virksomheder ikke længere vil kunne basere en behandling af
personoplysninger på databeskyttelseslovens § 13, stk.
2, hvorefter videregivelse og anvendelse som nævnt i stk. 1
kan ske uden samtykke, hvis der er tale om generelle
kundeoplysninger, der danner grundlag for inddeling i
kundekategorier, og hvis betingelserne i
databeskyttelsesforordningens artikel 6, stk. 1, litra f, er
opfyldt. Den foreslåede ordning vil indebære, at hvis
en virksomhed fremadrettet ønsker at videregive oplysninger
om en forbruger til en anden virksomhed ved direkte
markedsføring eller anvende oplysningerne på vegne af
en anden virksomhed i dette øjemed, vil virksomheden skulle
vurdere, om behandlingen kan ske på baggrund af et af
behandlingsgrundlagene i databeskyttelsesforordningens artikel 6,
stk. 1, litra a-f.
Det beror på en konkret vurdering, om en virksomhed kan
videregive eller anvende personoplysninger til brug for direkte
markedsføring på baggrund af
databeskyttelsesforordningens artikel 6, stk. 1, litra f
(interesseafvejning). Der kan bl.a. findes fortolkningsbidrag i
forordningens præambelbetragtning nr. 47 og Datatilsynets
praksis. Datatilsynet har bl.a. udtalt, at oplysninger indhentet i
forbindelse med en konkurrence, hvor der bl.a. spørges til
konkurrencedeltagerens specifikke mobiludbyder og TV-udbyder,
hvilke specifikke streaming-tjenester konkurrencedeltageren
benytter, hvilken el-leverandør konkurrencedeltageren har,
hvilket realkreditinstitut konkurrencedeltageren er kunde hos, samt
hvilken timeantalsmæssig tilknytning konkurrencedeltageren
har til arbejdsmarkedet, er for detaljerede til med henblik
på direkte markedsføring at kunne videregives inden
for rammerne af forordningens artikel 6, stk. 1, litra f.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 1 og 6, ophæves, vil desuden medføre,
at der ikke længere stilles krav om, at et samtykke til
behandling af personoplysninger i forbindelse med
markedsføring skal indhentes i overensstemmelse med
markedsføringslovens § 10, der indeholder et forbud mod
at sende direkte markedsføring til nogen ved brug af
elektronisk post, et automatiseret opkaldssystem eller telefax,
medmindre den pågældende har givet sit
forudgående samtykke (det såkaldte spamforbud), som
virksomhederne forsat vil skulle overholde.
Den foreslåede ophævelse af databeskyttelseslovens
§ 13, stk. 3, hvorefter der efter stk. 2 ikke kan videregives
eller anvendes følsomme oplysninger eller oplysninger om
strafbare forhold, vurderes ikke at ville have konsekvenser for
retstilstanden, da behandling af følsomme personoplysninger
og oplysninger om strafbare forhold også er begrænset i
databeskyttelsesforordningens artikel 9 og databeskyttelseslovens
§ 8.
Den foreslåede ordning, hvorefter databeskyttelseslovens
§ 13, stk. 5, ophæves, vil medføre, at
dataansvarlige adresserings- og kuverteringsbureauer kan behandle
yderligere oplysninger end de nævnte i databeskyttelseslovens
§ 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et
behandlingsgrundlag i databeskyttelsesforordningens artikel 6.
Den foreslåede ordning vil endvidere medføre, at
der ikke længere vil gælde et forbud i
databeskyttelseslovens § 13, stk. 7, mod dataansvarlige
adresserings- og kuverteringsbureauers behandling af særlige
kategorier af personoplysninger efter databeskyttelsesforordningens
artikel 9 (følsomme oplysninger) og oplysninger om strafbare
forhold efter databeskyttelseslovens § 8 med henblik på
direkte markedsføring, uanset om der er givet samtykke
dertil. Det bemærkes, at følsomme personoplysninger
efter databeskyttelsesforordningens artikel 9, stk. 1, ikke
må behandles, medmindre en af undtagelserne i artikel 9, stk.
2, eller bestemmelser, der gennemfører artikel 9, gør
sig gældende, og der samtidig foreligger et lovligt grundlag
for behandling i forordningens artikel 6.
Herudover bemærkes, at reglerne i
databeskyttelsesforordningens artikel 21, stk. 2-4, om den
registreredes indsigelsesret over for behandling af oplysninger med
henblik på direkte markedsføring og den
dataansvarliges pligt til at meddele den registrerede om muligheden
til at gøre indsigelse, fortsat gælder. For
nærmere om forordningens artikel 21 henvises til pkt. 2.2.1 i
lovforslagets almindelige bemærkninger.
Den foreslåede ophævelse af databeskyttelseslovens
§ 13, stk. 8 og 9, vil medføre, at justitsministeren
ikke ved bekendtgørelse vil kunne begrænse adgangen
for behandling af bestemte typer af oplysninger med henblik
på direkte markedsføring i medfør af denne
bestemmelse.
Kravene til behandling af personoplysninger i
markedsføringsøjemed vil således som
følge af forslaget følge direkte af
databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.2 i lovforslagets
almindelige bemærkninger.
Til nr. 4
Til stk. 7
Procesbevillingsnævnet er i dag omfattet af
oplysningspligten i databeskyttelsesforordningens artikel 13-14 og
indsigtsretten efter forordningens artikel 15.
For en nærmere beskrivelse af gældende ret henvises
til pkt. 2.3.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 22, stk.
7, at databeskyttelsesforordningens artikel 13-15 ikke
finder anvendelse på behandling af personoplysninger, der
foretages af Procesbevillingsnævnet i henhold til
retsplejelovens § 22, stk. 1.
Det foreslåede vil medføre, at
Procesbevillingsnævnets behandling af personoplysninger i
nævnets afdeling for appeltilladelser og afdelingen for
appeltilladelser til landsretten vedrørende familierettens
afgørelser vil være undtaget fra
databeskyttelsesforordningens regler om oplysningspligt i artikel
13 og 14 og indsigtsret i artikel 15.
Oplysningspligten og indsigtsretten efter
databeskyttelsesforordningens artikel 13-15 vil fortsat i det hele
omfatte Procesbevillingsnævnets behandling af
personoplysninger i forbindelse med sager vedrørende fri
proces og retshjælp i henhold til retsplejelovens § 22,
stk. 2, og alle nævnets administrative forhold. Dette
indebærer bl.a., at administrativ sagsbehandling vil
være omfattet af oplysningspligten og indsigtsretten efter
databeskyttelsesforordningen.
Herudover vil den registrerede fortsat kunne gøre sine
øvrige rettigheder efter databeskyttelsesforordningen
gældende over for Procesbevillingsnævnet.
Undtagelsen vil finde anvendelse efter den 1. januar 2024, som
er det foreslåede tidspunkt for lovens
ikrafttræden.
Der henvises i øvrigt til afsnit 2.3 i lovforslagets
almindelige bemærkninger.
Til stk. 8
Hvis en anmodning om indsigt i sagsakter fra en myndighed m.v.
helt eller delvist vedrører personoplysninger, der er
omfattet af indsigtsretten efter databeskyttelsesforordningen, vil
Folketingets Ombudsmand i dag selv tage stilling til den del af
anmodningen, der vedrører indsigt efter
databeskyttelsesforordningen, eventuelt efter at have indhentet en
udtalelse fra myndigheden m.v. For en nærmere beskrivelse af
gældende ret henvises til pkt. 2.4.1 i lovforslagets
almindelige bemærkninger.
Det foreslås i § 22, stk. 8, 1.
pkt., at databeskyttelsesforordningens artikel 15 ikke
finder anvendelse på Folketingets Ombudsmands behandling af
personoplysninger i sagsakter fra myndigheder m.v., der er sendt
til ombudsmanden som led i behandlingen af en sag. Det
foreslås endvidere i § 22, stk. 8,
2. pkt., at Folketingets Ombudsmand videresender
sådanne indsigtsanmodninger efter artikel 15 til de relevante
myndigheder m.v.
Det foreslåede vil indebære en ændring af
afgørelseskompetencen for så vidt angår den
registreredes ret til indsigt i personoplysninger i sagsakter fra
myndigheder m.v., der er sendt til Folketingets Ombudsmand.
Der henvises til pkt. 2.4.2 i lovforslagets almindelige
bemærkninger.
Sagsakterne kan være sendt til ombudsmanden af vedkommende
myndighed m.v., af klageren eller af andre, f.eks. som bilag til en
henvendelse. Det er uden betydning, om sagsakterne er sendt til
ombudsmanden i forbindelse med en klagesag, en egen
drift-undersøgelse eller en tilsynssag, og om det er sket
på ombudsmandens eller afsenderens foranledning.
Med »myndigheder m.v.« i den foreslåede
bestemmelse forstås de myndigheder og private institutioner
m.v., som er omfattet af Folketingets Ombudsmands virksomhed efter
§ 7, stk. 1, i lov om Folketingets Ombudsmand
(ombudsmandsloven). Med »myndigheder m.v.«
forstås endvidere selskaber, institutioner, foreninger m.v.,
som helt eller delvist er inddraget under de regler og principper,
der gælder for den offentlige forvaltning, og som
ombudsmanden har besluttet at inddrage under sin virksomhed efter
§ 7, stk. 4, i ombudsmandsloven.
Vedkommende myndighed m.v. vil således skulle behandle og
besvare indsigtsanmodningen for så vidt angår sagsakter
fra myndigheden m.v. Folketingets Ombudsmand vil underrette den
registrerede om, at ombudsmanden har sendt indsigtsanmodningen til
vedkommende myndighed m.v. til videre foranstaltning.
I de tilfælde, hvor vedkommende myndighed m.v. har
fået videresendt en anmodning fra ombudsmanden, og hvor der
er tvivl om, hvorvidt der er tale om en anmodning om indsigt efter
forvaltningsrettens regler eller databeskyttelsesreglerne, vil
myndigheden m.v. - ligesom det er tilfældet i dag, hvis en
anmodning sendes direkte til myndigheden m.v. - skulle
håndtere borgerens anmodning efter det mest gunstige
regelsæt.
Den foreslåede bestemmelse vil alene regulere adgangen til
indsigt efter artikel 15 i databeskyttelsesforordningen i sagsakter
fra myndigheder m.v., der er sendt til Folketingets Ombudsmand som
led i behandlingen af en sag.
Folketingets Ombudsmand vil således fortsat skulle
behandle indsigtsanmodninger i andre personoplysninger, der
behandles af ombudsmanden. Det gælder f.eks. oplysninger i
ombudsmandens brevveksling med klagere eller myndigheder m.v., dvs.
oplysninger i ombudsmandens egne ind- og udgående sagsakter,
herunder breve fra eller til klagere og ombudsmandens breve til
myndigheder m.v. samt disses høringssvar. Eventuelle
vedlagte sagsakter fra myndighederne m.v. vil derimod skulle
behandles efter den foreslåede nye bestemmelse i § 22,
stk. 8. Bestemmelsen vil ikke indebære en begrænsning
af den registreredes øvrige rettigheder i
databeskyttelsesforordningen. Således vil Folketingets
Ombudsmand eksempelvis fortsat skulle behandle anmodninger om
berigtigelse af personoplysninger eller anmodninger om sletning af
personoplysninger m.v. i medfør af
databeskyttelsesforordningen i sagsakter fra myndigheder m.v., der
er sendt til ombudsmanden.
Undtagelsen vil finde anvendelse efter den 1. januar 2024, som
er det foreslåede tidspunkt for lovens
ikrafttræden.
Der henvises i øvrigt til afsnit 2.4 i lovforslagets
almindelige bemærkninger.
Til §
2
Det foreslås i lov om Det Centrale Personregister § 29, stk. 2, 2. pkt., at ændre
»§ 13, stk. 4, i databeskyttelsesloven« til:
»§ 13 i databeskyttelsesloven«.
Den foreslåede bestemmelse vil udgøre en
konsekvensændring som følge af den foreslåede
ændring af databeskyttelseslovens § 13.
Til §
3
Det foreslås i stk. 1, at
loven skal træde i kraft den 1. januar 2024.
Det foreslås i stk. 2, at
lovens § 1, nr. 1, ikke finder anvendelse på et samtykke
afgivet før lovens ikrafttræden. For et sådant
samtykke finder de hidtil gældende regler anvendelse.
Den foreslåede ordning vil indebære, at kravet om,
at man skal være 15 år, før man kan give
samtykke til behandling af personoplysninger i forbindelse med
udbud af informationssamfundstjenester, vil finde anvendelse i
forhold til et samtykke afgivet efter lovens ikrafttræden.
Hvis et barn på 13 eller 14 år for eksempel har afgivet
et samtykke før lovens ikrafttræden, vil samtykket
således fortsat være gyldigt efter lovens
ikrafttræden. Skal samtykket fornys, evt. som følge af
opdateringer hos informationssamfundstjenesten, eller bortfalder
det af anden grund efter lovens ikrafttræden, vil et nyt
samtykke være omfattet af de nye regler, hvorefter barnet
skal være fyldt 15 år for at kunne give et gyldigt
samtykke. Hvis barnet på dette tidspunkt endnu ikke er fyldt
15 år, er behandling af barnets personoplysninger i
forbindelse med udbud af informationssamfundstjenester kun lovlig,
hvis og i det omfang samtykke gives eller godkendes af
forældremyndighedsindehaveren.
Det foreslåede vil ikke gælde for
Færøerne og Grønland, da databeskyttelsesloven
ikke gælder for Færøerne og Grønland,
ligesom loven ikke indeholder en anordningshjemmel, jf. lovens
§ 48.
Bilag 1
Lovforslaget sammenholdt med gældende
lov
| | | | | | | | § 1 | | | | | | I databeskyttelsesloven, lov nr. 502 af 23.
maj 2018, foretages følgende ændringer: | | | | § 6.
--- | | 1. I § 6, stk.
2 og 3, ændres »13
år« til: »15 år«. | Stk. 2. Finder
databeskyttelsesforordningens artikel 6, stk. 1, litra a,
anvendelse i forbindelse med udbud af informationssamfundstjenester
direkte til børn, er behandling af personoplysninger om et
barn lovlig, hvis barnet er mindst 13 år. | | | Stk. 3. Er
barnet under 13 år, er behandling kun lovlig, hvis og i det
omfang samtykke gives eller godkendes af indehaveren af
forældremyndigheden over barnet. | | | | | | § 13. En
virksomhed må ikke videregive oplysninger om en forbruger til
en anden virksomhed til brug ved direkte markedsføring eller
anvende oplysningerne på vegne af en anden virksomhed i dette
øjemed, medmindre forbrugeren har givet sit udtrykkelige
samtykke hertil. Et samtykke skal indhentes i overensstemmelse med
reglerne i markedsføringslovens § 10. | | 2. § 13, stk. 1-3, ophæves. Stk. 4-9 bliver herefter til stk.
1-6. | Stk. 2.
Videregivelse og anvendelse som nævnt i stk. 1 kan dog ske
uden samtykke, hvis der er tale om generelle kundeoplysninger, der
danner grundlag for inddeling i kundekategorier, og hvis
betingelserne i databeskyttelsesforordningens artikel 6, stk. 1,
litra f, er opfyldt. | | | Stk. 3. Der kan
efter stk. 2 ikke videregives eller anvendes oplysninger som
nævnt i databeskyttelsesforordningens artikel 9, stk. 1,
eller denne lovs § 8. | | | Stk. 4-9.
--- | | | | | | § 13.
--- | | 3. § 13, stk. 5-9, der bliver til stk. 2-6,
ophæves. | Stk. 4. Inden en
virksomhed videregiver oplysninger om en forbruger til en anden
virksomhed med henblik på direkte markedsføring eller
anvender oplysningerne på vegne af en anden virksomhed i
dette øjemed, skal den undersøge i CPR, om
forbrugeren har frabedt sig henvendelser i
markedsføringsøjemed. | | | Stk. 5.
Dataansvarlige, der med henblik på direkte
markedsføring sælger fortegnelser over grupper af
personer, eller som for tredjemand foretager adressering eller
udsendelse af meddelelser til sådanne grupper, må kun
behandle | | | 1) oplysninger om
navn, adresse, stilling, erhverv, e-mailadresse, telefon- og
telefaxnummer, 2) oplysninger, der
indgår i erhvervsregistre, som i henhold til lov eller
bestemmelser fastsat i henhold til lov er beregnet til at informere
offentligheden, og 3) andre
oplysninger, hvis den registrerede har givet udtrykkeligt samtykke
dertil. | | | Stk. 6. Et
samtykke efter stk. 5 skal indhentes i overensstemmelse med
markedsføringslovens § 10. | | | Stk. 7.
Behandling af oplysninger som nævnt i stk. 5 må ikke
omfatte oplysninger som nævnt i databeskyttelsesforordningens
artikel 9, stk. 1, eller denne lovs § 8. | | | Stk. 8.
Justitsministeren kan fastsætte yderligere
begrænsninger i adgangen til at videregive eller anvende
bestemte typer af oplysninger efter stk. 2. | | | Stk. 9.
Justitsministeren kan fastsætte yderligere
begrænsninger end de i stk. 7 nævnte i adgangen til at
behandle bestemte typer af oplysninger. | | | | | | § 22.
--- | | 4. I § 22 indsættes som stk. 7 og 8: | Stk. 1-6.
--- | | »Stk. 7.
Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse
på behandling af personoplysninger, der foretages af
Procesbevillingsnævnet i henhold til retsplejelovens §
22, stk. 1. Stk. 8.
Databeskyttelsesforordningens artikel 15 finder ikke anvendelse
på Folketingets Ombudsmands behandling af personoplysninger i
sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som
led i behandlingen af en sag. Folketingets Ombudsmand videresender
de i 1. pkt. nævnte indsigtsanmodninger til de relevante
myndigheder m.v.« | | | | | | § 2 | | | | | | I lov om Det Centrale Personregister, jf.
lovbekendtgørelse nr. 1010 af 23. juni 2023, foretages
følgende ændring: | | | | § 29.
--- Stk. 2. Enhver
har ret til ved henvendelse til sin bopælskommune at få
indsat en markering i CPR om, at den pågældende
frabeder sig henvendelser, der sker i
markedsføringsøjemed. En sådan markering giver
dels den beskyttelse mod markedsføring, der er fastsat i
markedsføringslovens § 10 sammenholdt med denne lovs
§ 40, stk. 4 og 5, dels den beskyttelse mod videregivelse mv.
til brug ved anden virksomheds markedsføring, der er fastsat
i artikel 21 i Europa-Parlamentets og Rådets forordning nr.
2016/679 af 27. april 2016 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger og § 13, stk. 4, i
databeskyttelsesloven. | | 1. I § 29, stk. 2, 2. pkt., ændres
»§ 13, stk. 4, i databeskyttelsesloven« til:
»§ 13 i databeskyttelsesloven«. | |
|