L 79 Forslag til lov om ændring af databeskyttelsesloven og lov om Det Centrale Personregister.

(Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester m.v.).

Af: Justitsminister Peter Hummelgaard (S)
Udvalg: Udvalget for Digitalisering og It
Samling: 2023-24
Status: Delt

Lovforslag som fremsat

Fremsat: 14-11-2023

Fremsat: 14-11-2023

Fremsat den 14. november 2023 af justitsministeren (Peter Hummelgaard)

20231_l79_som_fremsat.pdf
Html-version

Fremsat den 14. november 2023 af justitsministeren (Peter Hummelgaard)

Forslag

til

Lov om ændring af databeskyttelsesloven og lov om Det Centrale Personregister

(Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester m.v.)

§ 1

I databeskyttelsesloven, lov nr. 502 af 23. maj 2018, foretages følgende ændringer:

1. I § 6, stk. 2 og 3, ændres »13 år« til: »15 år«.

2. § 13, stk. 1-3, ophæves.

Stk. 4-9 bliver herefter stk. 1-6.

3. § 13, stk. 5-9, der bliver til stk. 2-6, ophæves.

4. I § 22 indsættes som stk. 7 og 8:

»Stk. 7. Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse på behandling af personoplysninger, der foretages af Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.

Stk. 8. Databeskyttelsesforordningens artikel 15 finder ikke anvendelse på Folketingets Ombudsmands behandling af personoplysninger i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag. Folketingets Ombudsmand videresender sådanne indsigtsanmodninger efter artikel 15 til de relevante myndigheder m.v.«

§ 2

I lov om Det Centrale Personregister, jf. lovbekendtgørelse nr. 1010 af 23. juni 2023, foretages følgende ændring:

1. I § 29, stk. 2., 2. pkt., ændres »§ 13, stk. 4, i databeskyttelsesloven« til: »§ 13 i databeskyttelsesloven«.

§ 3

Stk. 1. Loven træder i kraft den 1. januar 2024.

Stk. 2. Lovens § 1, nr. 1, finder ikke anvendelse på et samtykke afgivet før lovens ikrafttræden. For et sådant samtykke finder de hidtil gældende regler anvendelse

Bemærkninger til lovforslaget

Almindelige bemærkninger
Indholdsfortegnelse
 
1.
Indledning
2.
Lovforslagets hovedpunkter
 
2.1.
Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester
  
2.1.1.
Gældende ret
  
2.1.2.
Anbefalinger fra regeringens ekspertgruppe om tech-giganter
  
2.1.3.
Justitsministeriets overvejelser og den foreslåede ordning
 
2.2.
Behandling af personoplysninger i forbindelse med markedsføring
  
2.2.1.
Gældende ret
  
2.2.2.
Justitsministeriets overvejelser
  
2.2.3.
Den foreslåede ordning
 
2.3.
Procesbevillingsnævnet undtages fra oplysningspligten og indsigtsretten i sager vedrørende appeltilladelse
  
2.3.1.
Gældende ret
  
2.3.2.
Justitsministeriets overvejelser og den foreslåede ordning
 
2.4.
Tilpasning af adgangen til indsigt hos Folketingets Ombudsmand
  
2.4.1.
Gældende ret
   
2.4.1.1.
Forvaltningsloven og offentlighedsloven
   
2.4.1.2.
Databeskyttelsesforordningen og -loven
  
2.4.2.
Justitsministeriets overvejelser og den foreslåede ordning
3.
Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
4.
Økonomiske og administrative konsekvenser for erhvervslivet mv.
5.
Administrative konsekvenser for borgerne
6.
Klimamæssige konsekvenser
7.
Miljø- og naturmæssige konsekvenser
8.
Forholdet til EU-retten
9.
Hørte myndigheder og organisationer m.v.
10.
Sammenfattende skema
 


1. Indledning

Med lovforslaget lægges der op til at foretage visse ændringer af databeskyttelsesloven på områder, hvor der siden lovens ikrafttræden har vist sig behov for justeringer.

Justitsministeriet vurderede i forbindelse med fremsættelsen af lovforslaget til databeskyttelsesloven i 2017, at det var nødvendigt, at der blev udarbejdet en generel lov, som supplerer reglerne i databeskyttelsesforordningen, bl.a. for at den dagældende retstilstand i persondataloven kunne opretholdes, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 116. Databeskyttelsesloven fastsætter således supplerende nationale bestemmelser om behandling af personoplysninger inden for det nationale råderum, som databeskyttelsesforordningen giver mulighed for. Databeskyttelsesloven trådte i kraft den 25. maj 2018, hvorved den dagældende persondatalov blev ophævet.

Lovforslaget indeholder for det første et forslag om at hæve aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester fra 13 år til 15 år.

Lovforslaget indeholder for det andet et forslag om at ophæve lovens § 13, stk. 1-3 og stk. 5-9, der vedrører behandling af personoplysninger i forbindelse med markedsføring. Justitsministeriet vurderede i forbindelse med udarbejdelsen af databeskyttelsesloven, at lovens § 13 lå inden for rammerne af det såkaldte nationale råderum i databeskyttelsesforordningen, hvorefter medlemsstaterne inden for nærmere bestemte områder kan eller skal fastsætte nationale regler. På baggrund af en konkret henvendelse fra Datatilsynet, hvor tilsynet finder det tvivlsomt, om bestemmelsen ligger inden for medlemsstaternes nationale råderum, har Justitsministeriet genovervejet denne vurdering.

Lovforslaget indeholder for det tredje et forslag om at undtage Procesbevillingsnævnet fra oplysningspligten og indsigtsretten efter databeskyttelsesforordningen på samme måde, som domstolene er i dag. Undtagelsen vil alene gælde ved Procesbevillingsnævnets behandling af personoplysninger i sager vedrørende appeltilladelse.

Lovforslaget indeholder for det fjerde et forslag om at tilpasse adgangen til indsigt efter databeskyttelsesforordningen hos Folketingets Ombudsmand, således at retten til indsigt efter databeskyttelsesforordningen ikke finder anvendelse på Folketingets Ombudsmands behandling af personoplysninger i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag hos ombudsmanden. Med forslaget vil Folketingets Ombudsmand i stedet skulle videresende en anmodning om indsigt til vedkommende myndighed m.v., der herefter vil skulle tage stilling til og besvare anmodningen.

2. Lovforslagets hovedpunkter

2.1. Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester

2.1.1. Gældende ret

Databeskyttelseslovens § 6, stk. 1, fastsætter, at behandling af personoplysninger er lovlig, hvis mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt.

Personoplysninger kan ifølge forordningens artikel 6, stk. 1, litra a, behandles på betingelse af, at den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

Der gælder særlige betingelser for et barns samtykke i forbindelse med udbud af informationssamfundstjenester. Det fremgår således af artikel 8, stk. 1, at hvis artikel 6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 16 år. Hvis barnet er under 16 år, er behandlingen kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet. Medlemsstaterne har efter artikel 8, stk. 1, sidste pkt., mulighed for ved lov at fastsætte en lavere aldersgrænse end 16 år, forudsat at en sådan aldersgrænse ikke er under 13 år.

Databeskyttelseslovens § 6, stk. 2 og 3, udmønter databeskyttelsesforordningens artikel 8, stk. 1, og fastsætter aldersgrænsen i Danmark til 13 år.

Det følger af databeskyttelseslovens § 6, stk. 2, at hvis artikel 6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Når barnet er fyldt 13 år, kan barnet således selv give samtykke til informationssamfundstjenesternes behandling af barnets personoplysninger.

Det følger af databeskyttelseslovens § 6, stk. 3, at hvis barnet er under 13 år, er behandling af personoplysninger om barnet kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet. I visse tilfælde er samtykke fra forældremyndighedsindehaveren imidlertid ikke nødvendig. Det følger således af præambelbetragtning nr. 38, at samtykke fra indehaveren af forældremyndigheden ikke er nødvendigt, når det drejer sig om forebyggende eller rådgivende tjenester, der tilbydes direkte til et barn. I en dansk kontekst kunne det f.eks. dreje sig om BørneTelefonen.

I forbindelse med fastsættelsen af aldersgrænsen til 13 år blev der bl.a. lagt vægt på, at børn i Danmark i høj grad er medievante, at adgang til information via søgemaskiner og deltagelse i online aktiviteter har stor samfundsmæssig og social betydning for børn og unge, og at aktiviteter i denne sammenhæng er med til at skabe og fastholde kontakt med kammerater, ligesom børn og unge får mulighed for at deltage i forskellige diskussionsfora, søge information til skolearbejde, spille spil, se film og lytte til musik. Der blev derudover lagt vægt på, at en høj aldersgrænse for, hvornår et barn gyldigt kan give samtykke til behandling af personoplysninger, kan føre til, at børn og unge udelukkes fra informationssamfundstjenester, hvis forældremyndighedsindehaveren ikke vil give samtykke til behandling af personoplysninger, ligesom det blev påpeget, at en høj aldersgrænse eventuelt vil kunne medføre, at børn og unge ved brug af informationssamfundstjenester vil udgive sig for at være ældre, end de rent faktisk er. Endelig blev der lagt vægt på, at børn og unge gennem databeskyttelsesforordningen og gennem de øvrige bestemmelser i den dengang foreslåede databeskyttelseslov - uanset et krav om samtykke fra forældremyndighedsindehaverne - ydes en integritetsbeskyttelse, hvorfor det ansås for tvivlsomt, om en høj aldersgrænse for samtykke medfører en øget integritetsbeskyttelse, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 127.

Det fremgår af databeskyttelsesforordningens artikel 4, stk. 25, at en informationssamfundstjeneste er en tjeneste som defineret i artikel 1, stk. 1, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535. Ifølge denne bestemmelse omfattes enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager. Det er ikke et krav, at tjenesten ydes mod betaling. Omfattet af definitionen er eksempelvis tjenester som udbyder e-handel og online spil, søgemaskiner, musiktjenester og sociale medier, herunder Facebook, TikTok, Instagram, Snapchat m.v.

2.1.2. Anbefalinger fra regeringens ekspertgruppe om tech-giganter

Den daværende regering nedsatte den 29. juni 2022 en ekspertgruppe om tech-giganter, som har til formål at understøtte regeringens arbejde med at håndtere problemstillinger, som er forbundet med tech-gigant-dagsordenen i et nationalt og internationalt perspektiv, herunder hvor tech-giganternes forretningsmodeller udfordrer vores samfund, kultur, økonomi, trivsel m.v.

Ekspertgruppen lancerede den 12. juni 2023 den første delafrapportering: "Demokratisk kontrol med tech-giganternes forretningsmodeller". Afrapporteringen indeholder bl.a. anbefalinger i forhold til tech-giganternes ansvar over for børn og unge.

Ekspertgruppen anbefaler som et blandt flere tiltag i forhold til beskyttelse af børn og unge på internettet, at aldersgrænsen for et barns samtykke i forbindelse med udbud af informationssamfundstjenester hæves fra 13 år til 16 år. Gruppen peger på, at tech-giganterne i så fald vil skulle indhente samtykke fra forældre for at kunne behandle børns personoplysninger, indtil barnet er 16 år, og at flere mindreårige på den måde vil nyde godt af den særlige beskyttelse, som databeskyttelsesforordningen giver.

Ekspertgruppen henviser til, at den nugældende aldersgrænse på 13 år flugter med amerikansk lovgivning fra 1996 om børns online beskyttelse (Children's Online Privacy Protection Act, COPPA), som forsøges hævet til 16 år, ligesom ekspertgruppen henviser til, at en række EU-lande, herunder Tyskland, Holland og Irland, har en aldersgrænse på 16 år. Ekspertgruppen henviser desuden til, at EU anbefaler en aldersgrænse på 16 år.

Ekspertgruppen lægger vægt på, at en stadig større del af børn og unges liv foregår online, og henviser i den sammenhæng til, at flere danske undersøgelser viser, at fysisk samvær blandt 11-15-årige har været markant faldende gennem de sidste 30 år, mens online kontakt er steget. Ekspertgruppen lægger endvidere vægt på, at visse former for indhold på internettet kan være både ulovligt og direkte skadeligt for børn, hvilket kan have konsekvenser for både trivsel, ensomhed, kropsopfattelse, identitets- og kulturdannelse m.v.

2.1.3. Justitsministeriets overvejelser og den foreslåede ordning

Under henvisning til, at en stadig større del af børn og unges liv foregår online, at børn og unge ofte er mindre bevidste om de risici og konsekvenser, der kan være ved at give samtykke til behandling af personoplysninger, og at børn og unge som udgangspunkt har ringere kendskab til deres rettigheder i forbindelse med behandling af deres personoplysninger, er der behov for at finde løsninger på, hvordan børn og unge beskyttes bedre på internettet. Børn og unge har et særligt behov for beskyttelse, herunder navnlig i forhold til ikke alderssvarende indhold, fejlagtigt indhold og for de indbyggede funktioner i tech-giganternes tjenester, som anvendes til at forudsige og påvirke adfærd.

En del af løsningen er at hæve aldersgrænsen for, hvornår et barn kan give samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester. En højere aldersgrænse vil indebære, at forældremyndighedsindehaveren skal godkende barnets samtykke eller selv samtykke til informationssamfundstjenesternes behandling af barnets personoplysninger, frem til barnet når aldersgrænsen. Formålet med at hæve aldersgrænsen er dels at øge bevidstheden hos både børnene, de unge og forældremyndighedsindehaverne i forhold til, at der kan være visse risici ved at give adgang for informationssamfundstjenester til at behandle personoplysninger, dels at øge eftertænksomheden i samme forbindelse.

Aldersgrænsen for et barns samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester foreslås hævet til 15 år. Det er Justitsministeriets vurdering, at en aldersgrænse på 15 år vil harmonere bedst med de øvrige aldersgrænser, der gælder i Danmark, herunder bl.a. henset til at aldersgrænsen for samtykke til behandling i sundhedsvæsenet samt den kriminelle og seksuelle lavalder er på 15 år.

2.2. Behandling af personoplysninger i forbindelse med markedsføring

2.2.1. Gældende ret

Efter databeskyttelsesforordningens artikel 6, stk. 2, kan medlemsstaterne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og e, ved at fastsætte mere specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling.

Efter databeskyttelsesforordningens artikel 6, stk. 3, skal grundlaget for behandling i henhold til artikel 6, stk. 1, litra c og e, fremgå af enten EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i forordningen. Efter stk. 3 kan medlemsstaterne således bl.a. fastsætte generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles og formålsbegrænsninger m.v. Databeskyttelsesforordningens artikel 6, stk. 3, skal ses i sammenhæng med stk. 2, idet bestemmelsen er en uddybning af, hvordan de bestemmelser, som indføres efter stk. 2, skal udformes.

I databeskyttelseslovens § 13, stk. 1-3, er der fastsat nærmere betingelser for behandling af personoplysninger i forbindelse med direkte markedsføring. Direkte markedsføring er markedsføring, der er rettet mod en eller flere bestemte modtagere.

Efter databeskyttelseslovens § 13, stk. 1, må en virksomhed ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil.

Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 10.

Efter databeskyttelseslovens § 13, stk. 2, kan videregivelse og anvendelse som nævnt i stk. 1 dog finde sted uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er opfyldt.

Det følger af bestemmelsens forarbejder, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 183, at stk. 2 angiver de tilfælde, hvor der gøres undtagelse fra kravet om samtykke i stk. 1, og at to betingelser skal være opfyldt. For det første skal der være tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier. Er denne betingelse opfyldt, skal videregivelsen for det andet følge af den interesseafvejning, som er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Efter denne bestemmelse kan videregivelse ske, hvis videregivelse er nødvendig for, at »den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.« Med dette supplerende krav sikres det, at videregivelse af generelle kundeoplysninger i markedsføringsøjemed ikke kan ske, hvis interesseafvejningen undtagelsesvis måtte tale herimod. Som eksempel herpå kan nævnes den situation, at en virksomhed har orienteret sine kunder om, at den ikke vil videregive oplysninger om kunderne til andre virksomheder til brug for markedsføring. Hvis virksomheden på trods heraf alligevel skulle beslutte sig for at videregive oplysningerne, vil hensynet til kunderne, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f, efter omstændighederne kunne tale imod, at en sådan videregivelse kan ske uden kundernes forudgående samtykke.

Det følger videre af bestemmelsens forarbejder, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 183, at som eksempler på oplysninger, der herefter vil kunne videregives uden samtykke efter den foreslåede bestemmelse, nævnes oplysninger om kundens navn, adresse, køn og alder. Det samme gælder generelle oplysninger om f.eks., at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og småbørnsartikler, til økologiske varer, til vin- og spiritus eller andre generelt afgrænsede varegrupper. Derimod vil det efter den foreslåede bestemmelse ikke være muligt uden samtykke at videregive oplysninger, som afslører følsomme oplysninger om kunden. Det vil heller ikke være muligt at videregive mere detaljerede kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der må således f.eks. ikke videregives oplysninger om, hvorvidt kundens bil er købt på kredit og i givet fald oplysninger om vilkårene for kreditten. Der må heller ikke videregives oplysninger om, hvilken mængde vin kunden køber. Det gælder, selv om dette ikke i sig selv afslører, at kunden har et spiritusmisbrug. Der må heller ikke videregives mere detaljerede oplysninger om, hvilken slags vin kunden køber.

Det følger af databeskyttelseslovens § 13, stk. 3, at der efter stk. 2 ikke må videregives eller anvendes oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller databeskyttelseslovens § 8. Bestemmelsen tager sigte på at gøre det klart, at der ikke uden forbrugerens samtykke må videregives følsomme oplysninger, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 183.

Det følger af databeskyttelseslovens § 13, stk. 4, at inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. I bekræftende fald må oplysningerne ikke videregives til dette formål, jf. databeskyttelsesforordningen artikel 21, stk. 3.

I databeskyttelseslovens § 13, stk. 5-7, er der fastsat regler om adresserings- og kuverteringsbureauer. Adresserings- og kuverteringsbureauer sælger adresser over grupper af personer eller virksomheder - f.eks. alle bagere, alle tandlæger eller alle dommere - eller foretager kuvertering og udsendelse af meddelelser for en andens regning til sådanne grupper, jf. delbetænkning nr. 687/1973 om private registre side 33.

Det følger af databeskyttelseslovens § 13, stk. 5, at dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, kun må behandle 1) oplysninger om navn, adresse, stilling, erhverv, e-mailadresse, telefon- og telefaxnummer, 2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, og 3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.

Efter bestemmelsens stk. 6 skal et samtykke efter stk. 5 indhentes i overensstemmelse med markedsføringslovens § 10.

Det bemærkes i forarbejderne til bestemmelsen, at den registrerede altid vil kunne fremsætte indsigelse mod, at et dataansvarligt adresserings- og kuverteringsbureau behandler oplysninger om den pågældende med henblik på direkte markedsføring, herunder salg, kuvertering eller udsendelse, jf. databeskyttelsesforordningens artikel 21, stk. 2, ligesom adresserings- og kuverteringsbureauet skal følge proceduren i forordningens artikel 21, stk. 3, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.

Det følger af databeskyttelseslovens § 13, stk. 7, at behandling af oplysninger, som nævnt i stk. 5 ikke må omfatte oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller databeskyttelseslovens § 8. Bestemmelsen er indsat for at undgå enhver tvivl i forhold til, at behandling af oplysninger omfattet af stk. 5 ikke må omfatte følsomme oplysninger. Dette gælder uanset, om der er givet samtykke dertil, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.

Herudover følger det af databeskyttelseslovens § 13, stk. 8, at justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 2. Baggrunden for bestemmelsen er, at det ikke på forhånd kan udelukkes, at der vil kunne vise sig et behov for, at visse typer oplysninger ikke skal kunne videregives uden forbrugerens udtrykkelige samtykke, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.

Endvidere følger det af databeskyttelseslovens § 13, stk. 9, at justitsministeren kan fastsætte yderligere begrænsninger end de i stk. 7 nævnte i adgangen til at behandle bestemte typer af oplysninger. Baggrunden for bestemmelsen er, at det ikke på forhånd kan udelukkes, at der vil kunne vise sig et behov for, at visse typer oplysninger ikke skal kunne behandles, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.

Databeskyttelseslovens § 13 er en videreførelse af § 6, stk. 2-4, § 12 og § 36, stk. 2, 1. pkt., i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven).

Det fremgår af bemærkningerne til databeskyttelsesloven, at for så vidt angår persondatalovens behandlingsregler vedrørende markedsføring i lovens § 6, stk. 2-4, § 12 og § 36, stk. 2, 1. pkt., var det Justitsministeriets vurdering, at disse regler kunne og burde opretholdes, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 140.

Det følger endvidere af bemærkningerne til databeskyttelsesloven, at den registrerede burde have afgørende indflydelse på, i hvilket omfang der behandles personoplysninger om den pågældende med henblik på markedsføring, og at der derfor i databeskyttelsesloven burde fastsættes snævre grænser for, i hvilke tilfælde en virksomhed - uden den enkelte forbrugers samtykke - måtte videregive oplysninger om en forbruger til andre virksomheder til brug for markedsføring, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 140.

Justitsministeriet vurderede endvidere, at databeskyttelseslovens § 13 var inden for rammerne af det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2 og 3.

Databeskyttelsesforordningens artikel 21, stk. 2 og 3, regulerer den registreredes indsigelsesret over for behandling af oplysninger med henblik på direkte markedsføring.

Det følger af databeskyttelsesforordningens artikel 21, stk. 2, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine personoplysninger, hvis oplysningerne behandles med henblik på direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring.

Efter forordningens artikel 21, stk. 3, må personoplysningerne ikke længere behandles med henblik på direkte markedsføring, hvis den registrerede gør indsigelse mod behandling til dette formål. Af forarbejderne til databeskyttelseslovens § 13, stk. 2, fremgår, at i det omfang videregivelse kan ske uden kundens samtykke, indebærer forordningens artikel 21, stk. 3, at videregivelse ikke må finde sted med henblik på direkte markedsføring, hvis kunden har gjort indsigelse imod det, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 183.

Herudover fastsætter forordningens artikel 21, stk. 4, bl.a. krav om meddelelse til den registrerede om muligheden for at gøre indsigelse efter stk. 2.

For nærmere om forordningens artikel 21, stk. 2-4, henvises til betænkning nr. 1565/2017, side 366 ff.

2.2.2. Justitsministeriets overvejelser

Justitsministeriet har ved udarbejdelsen af databeskyttelsesloven vurderet, at § 13 kunne fastsættes inden for rammerne af det nationale råderum.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. I forbindelse med den praktiske udmøntning af databeskyttelseslovens § 13 er der opstået usikkerhed om bestemmelsens forenelighed med det nationale råderum.

Justitsministeriet har på den baggrund fundet anledning til at genbesøge vurderingen af, om databeskyttelseslovens § 13 ligger inden for det nationale råderum, jf. afsnit 2.2.1 om databeskyttelsesforordningens artikel 6, stk. 2 og 3.

Det følger af artikel 6, stk. 1, litra c, at en behandling er lovlig, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

Det følger af artikel 6, stk. 1, litra e, at en behandling er lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

I forarbejderne til persondataloven er udtrykket "opgave i samfundets interesse" nærmere beskrevet, og det fremgår heraf, at der skal være tale om opgaver af almen interesse, dvs. opgaver, som er af betydning for en bredere kreds af personer. Dette vil bl.a. være tilfældet for så vidt angår behandling i statistisk, historisk eller videnskabeligt øjemed. Det forhold, at behandlingen sker i et kommercielt øjemed, udelukker ikke, at behandlingen kan anses for at ske til varetagelse af almene interesser. Der henvises til lovforslag nr. L 147 som fremsat den 9. december 1999 (Folketingstidende 1999-2000, tillæg A, de specielle bemærkninger til § 6, stk. 1, nr. 5).

Det fremgår bl.a. af præambelbetragtning nr. 10 til databeskyttelsesforordningen, at i forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af forordningens bestemmelser. Det fremgår endvidere af præambelbetragtning nr. 10, at forordningen således ikke udelukker, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.

Af betænkning nr. 1565/2017 fremgår det, at det må antages, at når EU-lovgiver i præambelbetragtning nr. 10 har anført, at medlemsstaterne bør kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af forordningens bestemmelser, vil det være sådan, at medlemsstaternes lovgivning, som ses at være i overensstemmelse med gældende ret, også efter forordningens ikrafttrædelse som udgangspunkt vil kunne opretholdes, jf. betænkningen side 150.

Databeskyttelsesforordningens generelle formål, ordlyden i forordningens artikel 6, stk. 2, samt præambelbetragtning nr. 10 indikerer endvidere, at det ikke har været hensigten, at der med forordningen er tiltænkt et andet rum - end efter databeskyttelsesdirektivet - for at fastsætte mere specifikke nationale krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og e, hvorfor det nationale råderum på dette område er i overensstemmelse med databeskyttelsesdirektivet og en videreførelse af gældende ret, jf. betænkning nr. 1565/2017 side 150.

Videre følger det af betænkningen, at der dog er den forskel i forhold til dagældende ret, at det eksplicit i forordningens artikel 6, stk. 2, nævnes, at muligheden for, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser, er med henblik på at overholde artikel 6, stk. 1, litra c og e.

Da det eksplicit anføres, at artikel 6, stk. 2, kun vedrører artikel 6, stk. 1, litra c og e, sammenholdt med præambelbetragtning nr. 10, har medlemsstaterne ikke mulighed for mere præcist at fastsætte specifikke krav til behandling og andre foranstaltninger for så vidt angår artikel 6, stk. 1, litra a, b, d og f, jf. betænkning nr. 1565/2017 side 151.

Det fremgår endvidere af betænkning nr. 1565/2017 side 162, at der må antages at være adgang til at opretholde eller indføre konkrete lovregler - inden for rammerne af forordningens artikel 6, stk. 2 og 3 - om f.eks. behandling af oplysninger i den finansielle sektor, såsom reglerne i kapitel 9 i lov om finansiel virksomhed om videregivelse af fortrolige oplysninger og betalingstjenestelovens § 85, eller i sundhedssektoren. Der kan således også for behandling i den private sektor, ligesom i forhold til behandling i den offentlige sektor, ske behandling af personoplysninger, hvis det sker for at overholde en "retlig forpligtelse", som påhviler den dataansvarlige (artikel 6, stk. 1, litra c), eller hvis lovgiver i øvrigt har udnyttet sin mulighed for nationalt at fastlægge, hvornår det skal være - og ikke skal være - muligt at behandle personoplysninger af hensyn til "samfundets interesse" (artikel 6, stk. 1, litra e).

Om det nationale råderum henvises i øvrigt til betænkning nr. 1565/2017 side 141-163.

Det er Justitsministeriets vurdering, at databeskyttelseslovens § 13 ikke er fastsat med hjemmel i artikel 6, stk. 1, litra c, da behandling af personoplysninger i forbindelse med markedsføring ikke sker for at overholde en retlig forpligtelse.

Det lægges endvidere til grund, at der ikke er tale om offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

Det er Justitsministeriets vurdering, at behandling af personoplysninger i forbindelse med markedsføring ikke er nødvendigt af hensyn til udførelse af en opgave i samfundets interesse. Det bemærkes i den forbindelse som nævnt ovenfor, at der ved vurderingen af, om behandling af personoplysninger er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, skal være tale om opgaver af almen interesse, dvs. opgaver, som er af betydning for en bredere kreds af personer.

Umiddelbart vil en behandling, hvor en virksomhed videregiver personoplysninger til en anden virksomhed med henblik på direkte markedsføring ske på grundlag af enten databeskyttelsesforordningens artikel 6, stk. 1, litra a (samtykke), eller artikel 6, stk. 1, litra f (interesseafvejning). Justitsministeriet har foretaget en høring af en række relevante lande om deres eventuelle nationale regler om behandling af personoplysninger i forbindelse med direkte markedsføring. Tilbagemeldingen var generelt, at der ikke i de adspurgte lande er fastlagt sådanne regler. Et enkelt land gjorde endvidere gældende, at det ikke er muligt inden for databeskyttelsesforordningen at fastsætte nationale regler herom.

Det er herefter Justitsministeriets vurdering, at det er tvivlsomt om databeskyttelseslovens § 13, stk. 1-3 og stk. 5-9, ligger inden for rammerne af det nationale råderum i forordningens artikel 6, stk. 2.

Det er derimod Justitsministeriets vurdering, at behandling af personoplysninger i forbindelse med, at en virksomhed undersøger i CPR, om en forbruger har frabedt sig henvendelser i markedsføringsøjemed - som en virksomhed i medfør af databeskyttelseslovens § 13, stk. 4, har pligt til at tjekke hver gang den ønsker at videregive kundeoplysninger til en anden virksomhed med henblik på direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed - sker på baggrund af en retlig forpligtelse, som påhviler den dataansvarlige, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c. Det er derfor Justitsministeriets vurdering, at databeskyttelseslovens § 13, stk. 4, ligger inden for rammerne af det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2.

2.2.3. Den foreslåede ordning

For at sikre overensstemmelse med EU-retten foreslås det at ophæve databeskyttelseslovens § 13, stk. 1-3 og stk. 5-9.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1-2, ophæves, vil medføre, at der ikke længere fastsættes særregler for, i hvilke tilfælde en virksomhed - uden den enkelte forbrugers samtykke - må videregive oplysninger om en forbruger til andre virksomheder til brug for markedsføring.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1 og 6, ophæves, vil desuden medføre, at der ikke længere stilles krav om, at et samtykke til behandling af personoplysninger i forbindelse med markedsføring skal indhentes i overensstemmelse med markedsføringslovens § 10.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 5, ophæves, vil medføre, at dataansvarlige adresserings- og kuverteringsbureauers kan behandle yderligere oplysninger end de nævnte i databeskyttelseslovens § 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et behandlingsgrundlag i databeskyttelsesforordningens artikel 6.

Der henvises til bemærkningerne til lovforslagets § 1, nr. 2 og 3.

2.3. Procesbevillingsnævnet undtages fra oplysningspligten og indsigtsretten i sager vedrørende appeltilladelse

2.3.1. Gældende ret

Procesbevillingsnævnet behandler ansøgninger om meddelelse af anden- og tredjeinstansbevilling, jf. retsplejelovens § 22, stk. 1. Procesbevillingsnævnet behandler endvidere klager over afslag på ansøgninger om fri proces og retshjælp, jf. retsplejelovens § 22, stk. 2.

Procesbevillingsnævnet er et uafhængigt og uvildigt organ, som virker i nær tilknytning til de almindelige domstole uden at være en del af disse, jf. Folketingstidende 1994-95, tillæg A, L 217 som fremsat den 6. april 1995, side 2954. Nævnet er endvidere ikke en del af den offentlige forvaltning, hvilket bl.a. indebærer, at nævnet ikke er omfattet af offentlighedsloven, forvaltningsloven og ombudsmandsloven, jf. Folketingstidende 1994-95, tillæg A, L 217 som fremsat den 6. april 1995 side 2959.

Procesbevillingsnævnets forretningsorden er fastsat i bekendtgørelse nr. 294 af 25. marts 2019 i medfør af retsplejelovens § 25.

Det følger af forretningsordenens § 20, stk. 1, at aktindsigt meddeles af nævnets formand eller afdelingsformanden i overensstemmelse med bestemmelserne i retsplejelovens §§ 41-41 h, 255 a og 729 a-729 d med de fornødne tillempninger.

Det fremgår af § 20, stk. 2, i forretningsordenen, at begæring om indsigtsret fra den registrerede i medfør af databeskyttelsesforordningen behandles efter reglerne i forordningens artikel 12 og artikel 15, jf. dog databeskyttelseslovens § 22.

Det følger endvidere af forretningsordenens § 4, stk. 2, 3. pkt., at der i sager vedrørende appeltilladelse og sager vedrørende fri proces og retshjælp sker underretning af den registrerede i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 12-14, jf. dog databeskyttelseslovens §§ 22 og 23.

Det følger af databeskyttelsesforordningens artikel 13, at den dataansvarlige - ved indsamling af personoplysninger hos den registrerede selv - har pligt til at give den registrerede en række oplysninger om bl.a. den dataansvarliges identitet og kontaktoplysninger, formålene med og retsgrundlaget for behandlingen og eventuelle modtagere af oplysningerne. Efter en konkret vurdering er den dataansvarlige desuden forpligtet til at give den registrerede oplysninger om bl.a. tidsrummet for opbevaring, den registreredes rettigheder efter databeskyttelsesforordningen og retten til at indgive en klage til en tilsynsmyndighed.

Når personoplysninger ikke er indsamlet hos den registrerede selv, følger den dataansvarliges oplysningspligt af databeskyttelsesforordningens artikel 14. Den dataansvarlige giver herefter den registrerede de samme oplysninger som efter artikel 13 samt oplysninger om de berørte kategorier af personoplysninger og efter en konkret vurdering oplysninger om, hvorfra oplysningerne stammer.

Efter databeskyttelsesforordningens artikel 15, stk. 1, har den registrerede ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne. Endvidere har den registrerede ret til at modtage en række oplysninger, herunder bl.a. om formålet med behandlingen af oplysningerne, hvilke kategorier af personoplysninger, der er omfattet af behandlingen, og om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret.

Det følger af forordningens artikel 15, stk. 3, at den dataansvarlige i forbindelse med en anmodning om indsigt efter artikel 15, skal udlevere en kopi af de personoplysninger, der behandles.

Formålet med retten til indsigt er bl.a. at give den registrerede mulighed for at kontrollere, om de oplysninger den dataansvarlige behandler om vedkommende er rigtige, og om behandlingen er lovlig.

Efter databeskyttelseslovens § 22, stk. 3, kan oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i offentlighedsloven. Det forudsættes i bemærkningerne, at bestemmelsen også kan anvendes på Procesbevillingsnævnet, uanset at dette er et uafhængigt nævn, der virker i nær tilknytning til domstolssystemet, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 193. Procesbevillingsnævnet kan således i medfør af databeskyttelseslovens § 22, stk. 3, sammenholdt med offentlighedslovens § 19 afvise indsigtsanmodninger i straffesager.

Det følger af databeskyttelseslovens § 22, stk. 4, at databeskyttelsesforordningens artikel 13-15 ikke finder anvendelse på behandling af personoplysninger, der foretages af domstolene, når disse handler i deres egenskab af domstol.

Efter databeskyttelsesforordningens artikel 23, stk. 1, er der mulighed for ved lovgivningsmæssige foranstaltninger i EU-retten eller medlemsstaternes nationale ret at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i bl.a. artikel 13-14 om den dataansvarsliges oplysningspligt og artikel 15 om den registreredes ret til indsigt, når begrænsningerne respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til en række nærmere oplistede hensyn.

Begrænsningerne kan bl.a. ske af hensyn til beskyttelse af retsvæsenets uafhængighed og retssager.

Det fremgår endvidere af databeskyttelsesforordningens artikel 23, stk. 2, at navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende: Formålene med behandlingen eller kategorierne af behandling, kategorierne af personoplysninger, rækkevidden af de indførte begrænsninger, garantierne for at undgå misbrug eller ulovlig adgang eller overførsel, specifikation af den dataansvarlige eller kategorierne af dataansvarlige, opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling, risiciene for de registreredes rettigheder og frihedsrettigheder og de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.

For yderligere om mulighederne for begrænsning efter databeskyttelsesforordningens artikel 23 henvises til betænkning nr. 1565/2017, side 396-404.

Det følger af forarbejderne til databeskyttelseslovens § 22, stk. 4, at bestemmelsen ligger inden for rammerne af databeskyttelsesforordningens artikel 23, og at bestemmelsen er fastsat under hensyntagen til domstolenes særlige status og den detaljerede procesregulering, der i forvejen findes i retsplejeloven, hvorved de registreredes rettigheder i forbindelse med retternes judicielle funktioner i tilstrækkelig grad bliver iagttaget, jf. Folketingstidende 2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 193.

Procesbevillingsnævnet er ikke som domstolene undtaget fra oplysningspligten og indsigtsretten.

Procesbevillingsnævnet er derfor efter databeskyttelsesforordningens artikel 13 og 14 forpligtet til at underrette registrerede. Det bemærkes, at Procesbevillingsnævnet ved behandling af ansøgninger om appeltilladelse som udgangspunkt indhenter sagens akter ved retten og/eller anklagemyndigheden i straffesager og ved retten i civile sager. Procesbevillingsnævnet indsamler i sådanne tilfælde oplysninger fra andre end den registrerede selv og skal derfor iagttage oplysningspligten efter forordningens artikel 14. Oplysningspligten finder derved som udgangspunkt anvendelse for alle personoplysninger, der måtte være tilgået i forbindelse med retten og/eller anklagemyndighedens behandling af sagen, hvilket ofte er oplysninger om et større antal personer såsom medtiltalte, forurettede, vidner, pårørende, medtiltalte i ældre straffesager og andre personer, der ikke er parter i sagen i Procesbevillingsnævnet og derfor heller ikke bliver inddraget yderligere i sagen i nævnet. Disse personer er ikke tidligere under sagens behandling i retten blevet underrettet om behandling af personoplysninger om dem. Efter en konkret vurdering kan Procesbevillingsnævnet dog undlade at iagttage oplysningspligten, f.eks. hvis det vil kræve en uforholdsmæssigt stor indsats at give oplysningerne, jf. databeskyttelsesforordningens artikel 14, stk. 5, litra b.

Tilsvarende indtræder retten til indsigt efter databeskyttelsesforordningens artikel 15, når en civil sag behandles i Procesbevillingsnævnet, selv om der ikke tidligere i sagens forløb ved retten har været ret til indsigt efter databeskyttelsesreglerne.

Hvis Procesbevillingsnævnet meddeler bevilling, og sagen dermed sendes tilbage til behandling i domstolssystemet, vil oplysningerne igen blive behandlet i et system, der er undtaget fra oplysningspligten og indsigtsretten.

2.3.2. Justitsministeriets overvejelser og den foreslåede ordning

I afdelingen for appeltilladelser er Procesbevillingsnævnets opgave at forholde sig til, hvorvidt en sag skal behandles i endnu en instans, og reguleringen af nævnets virksomhed i retsplejeloven afspejler denne helt konkrete opgave.

Procesbevillingsnævnet er både organisatorisk og forfatningsmæssigt en unik organisation. I forhold til nævnets opgaver i afdelingen for appeltilladelser bliver opgaven med at meddele appeltilladelse i andre lande typisk varetaget af landets Højesteret eller den 2. instans, som afgørelsen i givet fald skal indbringes for.

Det er Justitsministeriets vurdering, at det er uhensigtsmæssigt, at oplysningspligten og indsigtsretten finder anvendelse på Procesbevillingsnævnets behandling af personoplysninger, når de samme sager er undtaget fra reglerne ved behandling i retterne.

Som følge heraf foreslås det, at databeskyttelsesforordningens artikel 13-15 ikke skal finde anvendelse på behandling af personoplysninger, som foretages af Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.

Den foreslåede ordning vil medføre, at Procesbevillingsnævnet i sager vedrørende appeltilladelse ikke er forpligtet til at underrette den registrerede efter databeskyttelsesforordningens artikel 13-14, og at den registrerede ikke har ret til indsigt i nævnets behandling af oplysninger om de pågældende.

Det er Justitsministeriets vurdering, at den foreslåede ordning, der bl.a. bunder i sammenhængen mellem retternes opgaver og Procesbevillingsnævnets opgaver, kan fastsættes inden for rammerne af databeskyttelsesforordningens artikel 23, stk. 1, litra f, der giver mulighed for at begrænse de registreredes rettigheder af hensyn til beskyttelse af retsvæsenets uafhængighed og retssager.

Undtagelsen vil kun gælde for behandling af personoplysninger, der foretages af Procesbevillingsnævnet i sager vedrørende appeltilladelse i henhold til retsplejelovens § 22, stk. 1. Procesbevillingsnævnets behandling af personoplysninger i forbindelse med sager vedrørende fri proces og retshjælp i henhold til retsplejelovens § 22, stk. 2, og alle nævnets administrative forhold, herunder enhver administrativ sagsbehandling, vil fortsat være omfattet af de almindelige regler om oplysningspligt og indsigtsret.

Herudover vil den registrerede fortsat kunne gøre sine øvrige rettigheder efter databeskyttelsesforordningen gældende over for Procesbevillingsnævnet.

Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 4.

2.4. Tilpasning af adgangen til indsigt hos Folketingets Ombudsmand

2.4.1. Gældende ret

2.4.1.1. Forvaltningsloven og offentlighedsloven

Forvaltningsloven og offentlighedsloven gælder ikke for Folketingets Ombudsmand. Det skyldes, at Folketingets Ombudsmand ikke er en del af den offentlige forvaltning. I praksis bliver der dog til parter givet indsigt efter principperne i forvaltningsloven for så vidt angår breve til og fra Folketingets Ombudsmand samt visse oplysninger i interne arbejdsdokumenter i Folketingets Ombudsmands sager. Endvidere har Folketingets Ombudsmand i praksis etableret en ordning, hvorefter pressen og andre kan få indsigt i en (allerede foreliggende) anonymiseret udgave af ombudsmandens afsluttende udtalelse i sager, som er eller påtænkes offentliggjort af ombudsmanden, ligesom enhver normalt også - efter principperne i offentlighedsloven - kan få indsigt i sager, hvor ombudsmandens afsluttende udtalelse ikke indeholder fortrolige oplysninger. I andre sager henvises den, der søger indsigt, som udgangspunkt til at rette henvendelse til den, der er part i ombudsmandens sag, hvis den indsigtssøgende ved, hvem parten er.

For så vidt angår anmodninger om aktindsigt efter forvaltningsloven eller offentlighedsloven i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i dennes behandling af en sag, sender ombudsmanden som udgangspunkt disse anmodninger videre til vedkommende myndighed m.v., ellers vejleder ombudsmanden - efter en konkret vurdering - borgeren om muligheden for selv at bede myndigheden m.v. om aktindsigt. Det sker med henblik på, at myndigheden m.v. kan tage stilling til den konkrete aktindsigtsanmodning. Det gælder uanset, om sagsakterne fra myndigheden m.v. er sendt til ombudsmanden af vedkommende myndighed m.v., eller ombudsmanden har modtaget dem fra en klager eller andre, f.eks. som bilag til en henvendelse.

Denne fremgangsmåde skyldes flere forhold. Bl.a. kan ombudsmanden efter omstændighederne have svært ved - som første instans - at vurdere, om en eller flere af lovens undtagelser vil kunne være relevante i en sag, ligesom borgeren vil miste en klagemulighed til Folketingets Ombudsmand, hvis ombudsmanden træffer afgørelse om aktindsigt i første instans. Ombudsmandens tilsyn med forvaltningen vil samtidig forsvinde på et både principielt og praktisk centralt område.

Den anførte praksis er således begrundet i den særlige karakter af Folketingets Ombudsmands opgaver og kompetence efter ombudsmandsloven med henblik på at sikre ombudsmandens prøvelsesmulighed på dette område.

Der henvises til Folketingets Ombudsmands notat af 6. november 2020 om indsigt i oplysninger og sager hos Folketingets Ombudsmand, der er tilgængeligt på ombudsmandens hjemmeside.

2.4.1.2. Databeskyttelsesforordningen og -loven

Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse for Folketinget, dog ikke på behandling af personoplysninger der foretages som led i Folketingets parlamentariske arbejde, jf. databeskyttelseslovens § 3, stk. 3. Databeskyttelsesforordningen og databeskyttelsesloven finder desuden anvendelse for institutioner under Folketinget, herunder Folketingets Ombudsmand.

Hvis en anmodning om indsigt i sagsakter fra en myndighed m.v., der er sendt til Folketingets Ombudsmand, helt eller delvist vedrører personoplysninger, der er omfattet af indsigtsretten efter databeskyttelsesforordningen, vil ombudsmanden i dag selv tage stilling til den del af anmodningen, der vedrører indsigt efter databeskyttelsesforordningen - eventuelt efter at have indhentet en udtalelse fra myndigheden m.v.

Hvis en indsigtsanmodning derimod er sendt til myndigheden m.v. og omfatter personoplysninger, der er omfattet af indsigtsretten efter databeskyttelsesforordningen, vil myndigheden m.v. skulle tage stilling til indsigtsanmodningen efter databeskyttelsesforordningen.

I de tilfælde, hvor der er tvivl om, hvorvidt der anmodes om indsigt efter forvaltningsrettens regler eller databeskyttelsesreglerne, vil myndigheden m.v. skulle håndtere borgerens anmodning efter det mest gunstige regelsæt.

Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne. Endvidere har den registrerede ret til at modtage en række oplysninger, herunder bl.a. om formålet med behandlingen af oplysningerne, hvilke kategorier af personoplysninger, der er omfattet af behandlingen, og om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret.

Det følger endvidere af forordningens artikel 15, stk. 3, at den dataansvarlige i forbindelse med indsigtsanmodninger skal udlevere en kopi af de personoplysninger, der behandles.

Det følger af databeskyttelsesforordningens artikel 77, stk. 1, at den registrerede har ret til at indgive klage til en tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning. Den registrerede har således ret til at klage til Datatilsynet over håndteringen af en indsigtsanmodning efter databeskyttelsesforordningen.

Efter databeskyttelseslovens § 22, stk. 3, kan bl.a. oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed i forvaltningen. Bestemmelsen er indsat for at sikre, at forvaltningsmyndigheders behandling af oplysninger kan undtages fra den registreredes ret til indsigt i samme udstrækning som efter offentlighedslovens regler om egenacces, jf. offentlighedslovens § 8.

Databeskyttelseslovens § 22 er fastsat inden for rammerne af databeskyttelsesforordningens artikel 23.

Efter databeskyttelsesforordningens artikel 23, stk. 1, er der mulighed for ved lovgivningsmæssige foranstaltninger i EU-retten eller medlemsstaternes nationale ret at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i bl.a. artikel 15 om den registreredes indsigtsret, når begrænsningerne respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til en række nærmere oplistede hensyn.

Begrænsningerne kan bl.a. ske af hensyn til statens sikkerhed, forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser og håndhævelse af civilretlige krav.

Det fremgår endvidere af databeskyttelsesforordningens artikel 23, stk. 2, at navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende formålene med behandlingen eller kategorierne af behandling, kategorierne af personoplysninger, rækkevidden af de indførte begrænsninger, garantierne for at undgå misbrug eller ulovlig adgang eller overførsel, specifikation af den dataansvarlige eller kategorierne af dataansvarlige, opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling, risiciene for de registreredes rettigheder og frihedsrettigheder og de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.

2.4.2. Justitsministeriets overvejelser og den foreslåede ordning

Folketingets Ombudsmand har en fast praksis for håndtering af anmodninger om aktindsigt efter principperne i forvaltningsloven eller offentlighedsloven. For så vidt angår anmodninger om aktindsigt i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag, sender ombudsmanden som udgangspunkt anmodningerne videre til vedkommende myndighed m.v. med henblik på, at myndigheden m.v. kan tage stilling til anmodningen om aktindsigt. Denne praksis er bl.a. begrundet i den særlige karakter af Folketingets Ombudsmands opgaver og kompetence efter ombudsmandsloven med henblik på at sikre ombudsmandens prøvelsesmulighed samt i, at myndigheden m.v. har bedre forudsætninger for - som første instans - at vurdere, om en eller flere af forvaltningslovens eller offentlighedslovens undtagelser vil kunne være relevant i forhold til myndighedens m.v. sagsakter i en sag. Der henvises til pkt. 2.4.1 ovenfor.

Det vurderes, at de samme hensyn gør sig gældende i forhold til Folketingets Ombudsmands behandling af anmodninger om indsigt i sagsakter fra myndigheder m.v., hvor der i sagsakterne indgår oplysninger, der er omfattet af indsigtsretten efter databeskyttelsesforordningens artikel 15.

På den baggrund vurderes det, at der i forhold til sagsakter fra myndigheder m.v. bør skabes sammenhæng mellem Folketingets Ombudsmands behandling af anmodninger om indsigt efter databeskyttelsesforordningens artikel 15 og Folketingets Ombudsmands behandling af anmodninger om aktindsigt.

Som følge heraf foreslås det, at artikel 15 i databeskyttelsesforordningen ikke finder anvendelse på Folketingets Ombudsmands behandling af personoplysninger i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag hos ombudsmanden. Sagsakterne kan være sendt til ombudsmanden af myndigheden m.v. eller af en klager eller andre, f.eks. som bilag til en henvendelse, herunder som opfølgning på en anmodning fra ombudsmanden.

Det foreslås endvidere, at Folketingets Ombudsmand skal videresende indsigtsanmodninger efter databeskyttelsesforordningens artikel 15 til vedkommende myndighed m.v., der herefter vil skulle tage stilling til og besvare anmodningen.

Med den foreslåede ordning vil der ske en begrænsning i form af en ændring af afgørelseskompetencen for så vidt angår den registreredes ret til indsigt i personoplysninger i sagsakter fra myndigheder m.v., der er sendt til Folketingets Ombudsmand. Den registrerede vil fortsat have fuld adgang til at anmode om indsigt i de pågældende personoplysninger, idet myndigheden m.v. i stedet for ombudsmanden vil skulle behandle indsigtsanmodningen. Samtidig bevarer den registrerede muligheden for at klage til Folketingets Ombudsmand. En registreret vil i øvrigt fortsat have adgang til at anmode om indsigt i personoplysninger hos Folketingets Ombudsmand i andet end sagsakter fra myndigheder m.v.

Det er Justitsministeriets vurdering, at den foreslåede ordning, der bl.a. varetager hensynet til at sikre ombudsmandens særlige opgaver og kompetence efter ombudsmandsloven, kan fastsættes inden for rammerne af databeskyttelsesforordningens artikel 23, stk. 1, litra e, der bl.a. giver mulighed for at begrænse rettigheder af hensyn til generelle samfundsinteresser.

Det vurderes, at den foreslåede ordning - uanset begrænsningen i indsigtsretten hos Folketingets Ombudsmand - i praksis ikke vil forringe borgerens retstilling, da Folketingets Ombudsmand vil videresende en anmodning om indsigt i personoplysninger i sagsakter fra en myndighed m.v. til vedkommende myndighed m.v., hvorefter denne vil skulle behandle anmodningen. Forskellen i forhold til i dag består i, at det vil være vedkommende myndighed m.v. og ikke Folketingets Ombudsmand, der vil skulle behandle og besvare indsigtsanmodningen.

Den registrerede vil fortsat kunne gøre sine øvrige rettigheder efter databeskyttelsesforordningen gældende. Hvis den registrerede på baggrund af indsigt i sagsakterne hos vedkommende myndighed m.v. eksempelvis ønsker urigtige personoplysninger om sig selv berigtiget (databeskyttelsesforordningens artikel 16) eller ønsker oplysninger om sig selv slettet (databeskyttelsesforordningens artikel 17), vil den registrerede således fortsat kunne gøre dette gældende i forhold til Folketingets Ombudsmand, der fortsat vil skulle håndtere en sådan anmodning.

Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 4.

3. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Lovforslaget vurderes ikke at have økonomiske konsekvenser for staten af betydning.

Procesbevillingsnævnets undtagelse fra oplysningspligten og indsigtsretten kan dog medføre en mindre tidsbesparelse for Procesbevillingsnævnet.

Lovforslaget vurderes ikke at have implementeringskonsekvenser for staten af betydning.

Lovforslaget vurderes ikke at have økonomiske konsekvenser for regionerne af betydning.

Lovforslaget vurderes ikke at have implementeringskonsekvenser for regionerne af betydning.

Lovforslaget vurderes ikke at have økonomiske konsekvenser for kommunerne af betydning.

Lovforslaget vurderes ikke at have implementeringskonsekvenser for kommunerne af betydning. For så vidt angår lovforslagets del om tilpasning af indsigtsretten hos Folketingets Ombudsmand vurderes denne del dog at have begrænsede konsekvenser for det offentlige, herunder begrænsede kommunaløkonomiske konsekvenser. Det vurderes imidlertid ikke, at kommunerne eller regionerne skal kompenseres herfor gennem Det Udvidede Totalbalanceprincip.

Principperne for digitaliseringsklar lovgivning vurderes ikke relevante for lovforslaget.

4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Forslaget vurderes ikke at have økonomiske konsekvenser for erhvervslivet af betydning.

Forslaget kan medføre begrænsede administrative konsekvenser for erhvervslivet i forbindelse med en eventuel tilpasning af informationssamfundstjenester, som baserer behandling af personoplysninger på baggrund af et samtykke, og som har indrettet sig således, at et samtykke er gyldigt, hvis barnet er fyldt 13 år.

5. Administrative konsekvenser for borgerne

Lovforslaget har ikke administrative konsekvenser for borgerne.

6. Klimamæssige konsekvenser

Lovforslaget har ikke klimamæssige konsekvenser.

7. Miljø- og naturmæssige konsekvenser

Lovforslaget har ikke miljø- og naturmæssige konsekvenser.

8. Forholdet til EU-retten

Lovforslaget vil indebære, at aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester hæves fra 13 år til 15 år. Den foreslåede ordning kan fastsættes inden for rammerne af databeskyttelsesforordningens artikel 8, stk. 1. Der henvises til pkt. 2.1.1 ovenfor.

Lovforslaget bringer endvidere databeskyttelseslovens § 13 i overensstemmelse med det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2 og 3.

Lovforslaget vil derudover indebære, at oplysningspligten efter databeskyttelsesforordningens artikel 13 og artikel 14 og retten til indsigt efter forordningens artikel 15 ikke finder anvendelse på Procesbevillingsnævnets behandling af personoplysninger i forbindelse med sager om ansøgninger om appeltilladelse. Det er Justitsministeriets vurdering, at denne begrænsning af de registreredes rettigheder kan fastsættes inden for rammerne af forordningens artikel 23. Der henvises til pkt. 2.3.2 ovenfor.

Lovforslaget vil endelig indebære en begrænsning af retten til indsigt efter databeskyttelsesforordningens artikel 15 i form af en ændring af afgørelseskompetencen for så vidt angår retten til indsigt i personoplysninger i sagsakter fra myndigheder m.v., der er sendt til Folketingets Ombudsmand som led i behandlingen af en sag. Det er Justitsministeriets vurdering, at den foreslåede ordning kan fastsættes inden for rammerne af databeskyttelsesforordningens artikel 23. Der henvises til pkt. 2.4.2 ovenfor.

9. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 21. september 2023 til den 19. oktober 2023 været sendt i høring hos følgende myndigheder og organisationer m.v.:

Advokatrådet, Akademikernes - AC, Amnesty International, Ankenævnet for Patienterstatningen, Ankestyrelsen, Berlingske Media, BUPL, Børns Vilkår, Civilstyrelsen, Dagbladet Information, Danmarks Jurist- og Økonomforbundet (DJØF), Danmarks Lærerforening, Danmarks Medie- og Journalisthøjskole, Danmarks Radio, Danmarks Tekniske Universitet, Dansk Erhverv, Dansk Folkeoplysnings Samråd, Dansk Industri, Dansk IT, Dansk Journalistforbund (DJ), Dansk Markedsføring, Dansk Socialrådgiverforening, Dansk Sygeplejeråd, Danske Advokater, Danske Medier, Danske Regioner, Danske Patienter, Datatilsynet, Dataetisk Råd, Den Danske Dommerforening, Den Uafhængige Politiklagemyndighed, Det Juridiske Fakultet - Københavns Universitet, Digitalt Ansvar, Direktoratet for Kriminalforsorgen, Domstolsstyrelsen, Erhvervsstyrelsen, Fagbevægelsens Hovedorganisation (FH), Fag og Arbejde (FOA), Finans Danmark, Folketingets Ombudsmand, Forbrugerombudsmanden, Forbrugerrådet Tænk, Forsvarsministeriets Auditørkorps, Fængselsforbundet, Gymnasieskolernes Lærerforening (GL), Handelshøjskolen - Aarhus Universitet, HK Danmark, Institut for Menneskerettigheder, IT-Branchen, Ingeniørforeningen, IDA, Juridisk Institut - Copenhagen Business School, Juridisk Institut - Syddansk Universitet, Juridisk Institut - Aalborg Universitet, Juridisk Institut - Aarhus Universitet, Justitia, Jyllands-Posten, Kommunernes Landsforening (KL), Konkurrence- og Forbrugerstyrelsen, Kreakom, Kristeligt Dagblad, Landsforeningen af Forsvarsadvokater, Lægeforeningen, Manderådet, Patienterstatningen, Patientforeningen, Politiforbundet, Politiken, Procesbevillingsnævnet, Red Barnet, Retspolitisk Forening, Rigsadvokaten, Rigspolitiet, Roskilde Universitet, Rådet for Digital Sikkerhed, samtlige byretter, samtlige regioner, Socialpædagogernes Landsforbund, Sø- og Handelsretten, TV2 DANMARK A/S, Vestre Landsret og Østre Landsret.

 


10. Sammenfattende skema

 
Positive konsekvenser/mindreudgifter (hvis ja, angiv omfang/Hvis nej, anfør »Ingen«)
Negative konsekvenser/merudgifter (hvis ja, angiv omfang/Hvis nej, anfør »Ingen«)
Økonomiske konsekvenser for stat, kommuner og regioner
Ingen
For så vidt angår lovforslagets del om tilpasning af indsigtsretten hos Folketingets Ombudsmand vurderes denne del at have begrænsede konsekvenser for det offentlige, herunder begrænsede kommunaløkonomiske konsekvenser. Det vurderes ikke, at kommunerne eller regionerne skal kompenseres herfor gennem Det Udvidede Totalbalanceprincip.
Implementeringskonsekvenser for stat, kommuner og regioner
Ingen
Ingen af betydning
Økonomiske konsekvenser for erhvervslivet
Ingen
Ingen af betydning
Administrative konsekvenser for erhvervslivet
Ingen
Forslaget kan medføre begrænsede administrative konsekvenser for erhvervslivet i forbindelse med en eventuel tilpasning af informationssamfundstjenester, som baserer behandling af personoplysninger på baggrund af et samtykke, og som har indrettet sig således, at et samtykke er gyldigt, hvis barnet er fyldt 13 år.
Administrative konsekvenser for borgerne
Ingen
Ingen
Klimamæssige konsekvenser
Ingen
Ingen
Miljø- og naturmæssige konsekvenser
Ingen
Ingen
Forholdet til EU-retten
Lovforslaget indebærer, at aldersgrænsen for samtykke til behandling af persondata i forbindelse med udbud af informationssamfundstjenester hæves fra 13 år til 15 år. Den foreslåede ordning kan fastsættes inden for rammerne af databeskyttelsesforordningens artikel 8, stk. 1.
Lovforslaget bringer endvidere databeskyttelseslovens § 13 i overensstemmelse med det nationale råderum i forordningens artikel 6, stk. 2 og 3.
Lovforslagets dele om undtagelse for Procesbevillingsnævnet fra oplysningspligten og indsigtsretten og tilpasning af indsigtsretten hos Folketingets Ombudsmand indebærer begrænsninger i de registreredes rettigheder inden for rammerne af medlemsstaternes råderum i medfør af databeskyttelsesforordningens artikel 23.
Er i strid med de fem principper for implementering af erhvervsrettet EU-regulering/Overimplementering af EU-retlige minimumsforpligtelser
JA
NEJ
X


 


Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1

I databeskyttelseslovens § 6, stk. 1-3, er der fastsat nærmere betingelser for, hvornår behandling af personoplysninger må finde sted.

Den gældende bestemmelse i databeskyttelseslovens § 6, stk. 2, medfører, at i det omfang samtykkereglen i databeskyttelsesforordningens artikel 6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år.

Den gældende bestemmelse i databeskyttelseslovens § 6, stk. 3, medfører, at hvis barnet er under 13 år, er behandling af personoplysninger om barnet kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

For en nærmere beskrivelse af gældende ret henvises til pkt. 2.1.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 6, stk. 2 og 3, at ændre »13 år« til: »15 år«.

Den foreslåede ændring vil medføre, at aldersgrænsen for, hvornår man kan give samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester, vil blive hævet fra 13 år til 15 år. Ændringen vil medføre, at hvis et barn er under 15 år, er behandling af personoplysninger om barnet kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

For en nærmere beskrivelse af formålet med at hæve aldersgrænsen i databeskyttelseslovens § 6, stk. 2 og 3, henvises til pkt. 2.1.3 i lovforslagets almindelige bemærkninger.

Til nr. 2 og 3

I databeskyttelseslovens § 13, stk. 1-3, er der fastsat nærmere betingelser for behandling af personoplysninger i forbindelse med markedsføring. I databeskyttelseslovens § 13, stk. 5-7, er der endvidere fastsat markedsføringsregler vedrørende adressering- og kuverteringsbureauer. I databeskyttelseslovens § 13, stk. 8 og 9, bemyndiges justitsministeren til at fastsætte yderligere begrænsninger ved behandling af oplysninger til brug ved markedsføring. For en nærmere beskrivelse af gældende ret henvises til pkt. 2.2.1 i de almindelige bemærkninger til lovforslaget.

Det foreslås at ophæve § 13, stk. 1-3 og stk. 5-9.

Det foreslåede vil indebære, at man sikrer, at databeskyttelsesloven er i overensstemmelse med det nationale råderum i databeskyttelsesforordningen.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1, ophæves, vil medføre, at der ikke længere stilles krav om forbrugerens udtrykkelige samtykke, når en virksomhed ønsker at videregive oplysninger om en forbruger til en anden virksomhed ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 2, ophæves, vil medføre, at virksomheder ikke længere vil kunne basere en behandling af personoplysninger på databeskyttelseslovens § 13, stk. 2, hvorefter videregivelse og anvendelse som nævnt i stk. 1 kan ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er opfyldt. Den foreslåede ordning vil indebære, at hvis en virksomhed fremadrettet ønsker at videregive oplysninger om en forbruger til en anden virksomhed ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, vil virksomheden skulle vurdere, om behandlingen kan ske på baggrund af et af behandlingsgrundlagene i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f.

Det beror på en konkret vurdering, om en virksomhed kan videregive eller anvende personoplysninger til brug for direkte markedsføring på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f (interesseafvejning). Der kan bl.a. findes fortolkningsbidrag i forordningens præambelbetragtning nr. 47 og Datatilsynets praksis. Datatilsynet har bl.a. udtalt, at oplysninger indhentet i forbindelse med en konkurrence, hvor der bl.a. spørges til konkurrencedeltagerens specifikke mobiludbyder og TV-udbyder, hvilke specifikke streaming-tjenester konkurrencedeltageren benytter, hvilken el-leverandør konkurrencedeltageren har, hvilket realkreditinstitut konkurrencedeltageren er kunde hos, samt hvilken timeantalsmæssig tilknytning konkurrencedeltageren har til arbejdsmarkedet, er for detaljerede til med henblik på direkte markedsføring at kunne videregives inden for rammerne af forordningens artikel 6, stk. 1, litra f.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1 og 6, ophæves, vil desuden medføre, at der ikke længere stilles krav om, at et samtykke til behandling af personoplysninger i forbindelse med markedsføring skal indhentes i overensstemmelse med markedsføringslovens § 10, der indeholder et forbud mod at sende direkte markedsføring til nogen ved brug af elektronisk post, et automatiseret opkaldssystem eller telefax, medmindre den pågældende har givet sit forudgående samtykke (det såkaldte spamforbud), som virksomhederne forsat vil skulle overholde.

Den foreslåede ophævelse af databeskyttelseslovens § 13, stk. 3, hvorefter der efter stk. 2 ikke kan videregives eller anvendes følsomme oplysninger eller oplysninger om strafbare forhold, vurderes ikke at ville have konsekvenser for retstilstanden, da behandling af følsomme personoplysninger og oplysninger om strafbare forhold også er begrænset i databeskyttelsesforordningens artikel 9 og databeskyttelseslovens § 8.

Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 5, ophæves, vil medføre, at dataansvarlige adresserings- og kuverteringsbureauer kan behandle yderligere oplysninger end de nævnte i databeskyttelseslovens § 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et behandlingsgrundlag i databeskyttelsesforordningens artikel 6.

Den foreslåede ordning vil endvidere medføre, at der ikke længere vil gælde et forbud i databeskyttelseslovens § 13, stk. 7, mod dataansvarlige adresserings- og kuverteringsbureauers behandling af særlige kategorier af personoplysninger efter databeskyttelsesforordningens artikel 9 (følsomme oplysninger) og oplysninger om strafbare forhold efter databeskyttelseslovens § 8 med henblik på direkte markedsføring, uanset om der er givet samtykke dertil. Det bemærkes, at følsomme personoplysninger efter databeskyttelsesforordningens artikel 9, stk. 1, ikke må behandles, medmindre en af undtagelserne i artikel 9, stk. 2, eller bestemmelser, der gennemfører artikel 9, gør sig gældende, og der samtidig foreligger et lovligt grundlag for behandling i forordningens artikel 6.

Herudover bemærkes, at reglerne i databeskyttelsesforordningens artikel 21, stk. 2-4, om den registreredes indsigelsesret over for behandling af oplysninger med henblik på direkte markedsføring og den dataansvarliges pligt til at meddele den registrerede om muligheden til at gøre indsigelse, fortsat gælder. For nærmere om forordningens artikel 21 henvises til pkt. 2.2.1 i lovforslagets almindelige bemærkninger.

Den foreslåede ophævelse af databeskyttelseslovens § 13, stk. 8 og 9, vil medføre, at justitsministeren ikke ved bekendtgørelse vil kunne begrænse adgangen for behandling af bestemte typer af oplysninger med henblik på direkte markedsføring i medfør af denne bestemmelse.

Kravene til behandling af personoplysninger i markedsføringsøjemed vil således som følge af forslaget følge direkte af databeskyttelsesforordningen.

Der henvises i øvrigt til pkt. 2.2 i lovforslagets almindelige bemærkninger.

Til nr. 4

Til stk. 7

Procesbevillingsnævnet er i dag omfattet af oplysningspligten i databeskyttelsesforordningens artikel 13-14 og indsigtsretten efter forordningens artikel 15.

For en nærmere beskrivelse af gældende ret henvises til pkt. 2.3.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 22, stk. 7, at databeskyttelsesforordningens artikel 13-15 ikke finder anvendelse på behandling af personoplysninger, der foretages af Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.

Det foreslåede vil medføre, at Procesbevillingsnævnets behandling af personoplysninger i nævnets afdeling for appeltilladelser og afdelingen for appeltilladelser til landsretten vedrørende familierettens afgørelser vil være undtaget fra databeskyttelsesforordningens regler om oplysningspligt i artikel 13 og 14 og indsigtsret i artikel 15.

Oplysningspligten og indsigtsretten efter databeskyttelsesforordningens artikel 13-15 vil fortsat i det hele omfatte Procesbevillingsnævnets behandling af personoplysninger i forbindelse med sager vedrørende fri proces og retshjælp i henhold til retsplejelovens § 22, stk. 2, og alle nævnets administrative forhold. Dette indebærer bl.a., at administrativ sagsbehandling vil være omfattet af oplysningspligten og indsigtsretten efter databeskyttelsesforordningen.

Herudover vil den registrerede fortsat kunne gøre sine øvrige rettigheder efter databeskyttelsesforordningen gældende over for Procesbevillingsnævnet.

Undtagelsen vil finde anvendelse efter den 1. januar 2024, som er det foreslåede tidspunkt for lovens ikrafttræden.

Der henvises i øvrigt til afsnit 2.3 i lovforslagets almindelige bemærkninger.

Til stk. 8

Hvis en anmodning om indsigt i sagsakter fra en myndighed m.v. helt eller delvist vedrører personoplysninger, der er omfattet af indsigtsretten efter databeskyttelsesforordningen, vil Folketingets Ombudsmand i dag selv tage stilling til den del af anmodningen, der vedrører indsigt efter databeskyttelsesforordningen, eventuelt efter at have indhentet en udtalelse fra myndigheden m.v. For en nærmere beskrivelse af gældende ret henvises til pkt. 2.4.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 22, stk. 8, 1. pkt., at databeskyttelsesforordningens artikel 15 ikke finder anvendelse på Folketingets Ombudsmands behandling af personoplysninger i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag. Det foreslås endvidere i § 22, stk. 8, 2. pkt., at Folketingets Ombudsmand videresender sådanne indsigtsanmodninger efter artikel 15 til de relevante myndigheder m.v.

Det foreslåede vil indebære en ændring af afgørelseskompetencen for så vidt angår den registreredes ret til indsigt i personoplysninger i sagsakter fra myndigheder m.v., der er sendt til Folketingets Ombudsmand.

Der henvises til pkt. 2.4.2 i lovforslagets almindelige bemærkninger.

Sagsakterne kan være sendt til ombudsmanden af vedkommende myndighed m.v., af klageren eller af andre, f.eks. som bilag til en henvendelse. Det er uden betydning, om sagsakterne er sendt til ombudsmanden i forbindelse med en klagesag, en egen drift-undersøgelse eller en tilsynssag, og om det er sket på ombudsmandens eller afsenderens foranledning.

Med »myndigheder m.v.« i den foreslåede bestemmelse forstås de myndigheder og private institutioner m.v., som er omfattet af Folketingets Ombudsmands virksomhed efter § 7, stk. 1, i lov om Folketingets Ombudsmand (ombudsmandsloven). Med »myndigheder m.v.« forstås endvidere selskaber, institutioner, foreninger m.v., som helt eller delvist er inddraget under de regler og principper, der gælder for den offentlige forvaltning, og som ombudsmanden har besluttet at inddrage under sin virksomhed efter § 7, stk. 4, i ombudsmandsloven.

Vedkommende myndighed m.v. vil således skulle behandle og besvare indsigtsanmodningen for så vidt angår sagsakter fra myndigheden m.v. Folketingets Ombudsmand vil underrette den registrerede om, at ombudsmanden har sendt indsigtsanmodningen til vedkommende myndighed m.v. til videre foranstaltning.

I de tilfælde, hvor vedkommende myndighed m.v. har fået videresendt en anmodning fra ombudsmanden, og hvor der er tvivl om, hvorvidt der er tale om en anmodning om indsigt efter forvaltningsrettens regler eller databeskyttelsesreglerne, vil myndigheden m.v. - ligesom det er tilfældet i dag, hvis en anmodning sendes direkte til myndigheden m.v. - skulle håndtere borgerens anmodning efter det mest gunstige regelsæt.

Den foreslåede bestemmelse vil alene regulere adgangen til indsigt efter artikel 15 i databeskyttelsesforordningen i sagsakter fra myndigheder m.v., der er sendt til Folketingets Ombudsmand som led i behandlingen af en sag.

Folketingets Ombudsmand vil således fortsat skulle behandle indsigtsanmodninger i andre personoplysninger, der behandles af ombudsmanden. Det gælder f.eks. oplysninger i ombudsmandens brevveksling med klagere eller myndigheder m.v., dvs. oplysninger i ombudsmandens egne ind- og udgående sagsakter, herunder breve fra eller til klagere og ombudsmandens breve til myndigheder m.v. samt disses høringssvar. Eventuelle vedlagte sagsakter fra myndighederne m.v. vil derimod skulle behandles efter den foreslåede nye bestemmelse i § 22, stk. 8. Bestemmelsen vil ikke indebære en begrænsning af den registreredes øvrige rettigheder i databeskyttelsesforordningen. Således vil Folketingets Ombudsmand eksempelvis fortsat skulle behandle anmodninger om berigtigelse af personoplysninger eller anmodninger om sletning af personoplysninger m.v. i medfør af databeskyttelsesforordningen i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden.

Undtagelsen vil finde anvendelse efter den 1. januar 2024, som er det foreslåede tidspunkt for lovens ikrafttræden.

Der henvises i øvrigt til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Til § 2

Det foreslås i lov om Det Centrale Personregister § 29, stk. 2, 2. pkt., at ændre »§ 13, stk. 4, i databeskyttelsesloven« til: »§ 13 i databeskyttelsesloven«.

Den foreslåede bestemmelse vil udgøre en konsekvensændring som følge af den foreslåede ændring af databeskyttelseslovens § 13.

Til § 3

Det foreslås i stk. 1, at loven skal træde i kraft den 1. januar 2024.

Det foreslås i stk. 2, at lovens § 1, nr. 1, ikke finder anvendelse på et samtykke afgivet før lovens ikrafttræden. For et sådant samtykke finder de hidtil gældende regler anvendelse.

Den foreslåede ordning vil indebære, at kravet om, at man skal være 15 år, før man kan give samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester, vil finde anvendelse i forhold til et samtykke afgivet efter lovens ikrafttræden. Hvis et barn på 13 eller 14 år for eksempel har afgivet et samtykke før lovens ikrafttræden, vil samtykket således fortsat være gyldigt efter lovens ikrafttræden. Skal samtykket fornys, evt. som følge af opdateringer hos informationssamfundstjenesten, eller bortfalder det af anden grund efter lovens ikrafttræden, vil et nyt samtykke være omfattet af de nye regler, hvorefter barnet skal være fyldt 15 år for at kunne give et gyldigt samtykke. Hvis barnet på dette tidspunkt endnu ikke er fyldt 15 år, er behandling af barnets personoplysninger i forbindelse med udbud af informationssamfundstjenester kun lovlig, hvis og i det omfang samtykke gives eller godkendes af forældremyndighedsindehaveren.

Det foreslåede vil ikke gælde for Færøerne og Grønland, da databeskyttelsesloven ikke gælder for Færøerne og Grønland, ligesom loven ikke indeholder en anordningshjemmel, jf. lovens § 48.


Bilag 1

Lovforslaget sammenholdt med gældende lov

Gældende formulering
 
Lovforslaget
   
  
§ 1
   
  
I databeskyttelsesloven, lov nr. 502 af 23. maj 2018, foretages følgende ændringer:
   
§ 6. ---
 
1. I § 6, stk. 2 og 3, ændres »13 år« til: »15 år«.
Stk. 2. Finder databeskyttelsesforordningens artikel 6, stk. 1, litra a, anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år.
  
Stk. 3. Er barnet under 13 år, er behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.
  
   
§ 13. En virksomhed må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 10.
 
2. § 13, stk. 1-3, ophæves.
Stk. 4-9 bliver herefter til stk. 1-6.
Stk. 2. Videregivelse og anvendelse som nævnt i stk. 1 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er opfyldt.
  
Stk. 3. Der kan efter stk. 2 ikke videregives eller anvendes oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.
  
Stk. 4-9. ---
  
   
§ 13. ---
 
3. § 13, stk. 5-9, der bliver til stk. 2-6, ophæves.
Stk. 4. Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.
  
Stk. 5. Dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for tredjemand foretager adressering eller udsendelse af meddelelser til sådanne grupper, må kun behandle
  

1) oplysninger om navn, adresse, stilling, erhverv, e-mailadresse, telefon- og telefaxnummer,

2) oplysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere offentligheden, og

3) andre oplysninger, hvis den registrerede har givet udtrykkeligt samtykke dertil.

  
Stk. 6. Et samtykke efter stk. 5 skal indhentes i overensstemmelse med markedsføringslovens § 10.
  
Stk. 7. Behandling af oplysninger som nævnt i stk. 5 må ikke omfatte oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, eller denne lovs § 8.
  
Stk. 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 2.
  
Stk. 9. Justitsministeren kan fastsætte yderligere begrænsninger end de i stk. 7 nævnte i adgangen til at behandle bestemte typer af oplysninger.
  
   
§ 22. ---
 
4. I § 22 indsættes som stk. 7 og 8:
Stk. 1-6. ---
 
»Stk. 7. Databeskyttelsesforordningens artikel 13-15 finder ikke anvendelse på behandling af personoplysninger, der foretages af Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.
Stk. 8. Databeskyttelsesforordningens artikel 15 finder ikke anvendelse på Folketingets Ombudsmands behandling af personoplysninger i sagsakter fra myndigheder m.v., der er sendt til ombudsmanden som led i behandlingen af en sag. Folketingets Ombudsmand videresender de i 1. pkt. nævnte indsigtsanmodninger til de relevante myndigheder m.v.«
   
  
§ 2
   
  
I lov om Det Centrale Personregister, jf. lovbekendtgørelse nr. 1010 af 23. juni 2023, foretages følgende ændring:
   
§ 29. ---
Stk. 2. Enhver har ret til ved henvendelse til sin bopælskommune at få indsat en markering i CPR om, at den pågældende frabeder sig henvendelser, der sker i markedsføringsøjemed. En sådan markering giver dels den beskyttelse mod markedsføring, der er fastsat i markedsføringslovens § 10 sammenholdt med denne lovs § 40, stk. 4 og 5, dels den beskyttelse mod videregivelse mv. til brug ved anden virksomheds markedsføring, der er fastsat i artikel 21 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og § 13, stk. 4, i databeskyttelsesloven.
 
1. I § 29, stk. 2, 2. pkt., ændres »§ 13, stk. 4, i databeskyttelsesloven« til: »§ 13 i databeskyttelsesloven«.