Europaudvalget 2011-12
KOM (2012) 0011 Bilag 2
Offentligt
1117718_0001.png
Civil- og Politiafdelingen
Dato:
Kontor:
8. maj 2012
EU-
formandskabssekretaria-
tet
Sagsbeh: Christian Wiese
Svanberg
Sagsnr.: 2012-3756-0005
Dok.:
331847
GRUND- OG NÆRHEDSNOTAT
vedrørende Kommissionens forslag til
Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og den fri
udveksling af sådanne oplysninger (generel forordning om databe-
skyttelse)
KOM (2012) 11 endelig
Resumé
Forslaget til en generel forordning om databeskyttelse er ikke omfattet af
retsforbeholdet. Forslaget er på en række punkter en videreførelse af regu-
leringen i det gældende databeskyttelsesdirektiv, men forslaget indeholder
samtidig en række væsentlige ændringer og nyskabelser. Det er regerin-
gens helt foreløbige vurdering, at forslaget er i overensstemmelse med
nærhedsprincippet. Forslaget vurderes at have lovgivningsmæssige konse-
kvenser. Forslaget vurderes at have statsfinansielle konsekvenser. Kom-
missionens forslag vurderes at medføre såvel administrative lettelser som
administrative byrder for danske virksomheder. Der ses ikke at foreligge
offentlige tilkendegivelser om de øvrige medlemsstaters holdninger til for-
slaget. Fra dansk side er man overordnet set positiv over for forslaget. For-
slagets omfattende karakter og dets forventede indvirkning på store dele af
den offentlige og private sektor nødvendiggør dog, at der foretages en nø-
jere vurdering af forslagets indhold, inden en nærmere stillingtagen til for-
slaget kan finde sted.
1.
Baggrund
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
Den 4. november 2010 afgav Kommissionen en meddelelse med titlen:
”En global metode til beskyttelse af personoplysninger i Den Europæiske
Union” (KOM(2010) 609 endelig). Denne meddelelse beskriver hovedte-
maerne for den reform af EU’s databeskyttelsesregler, som Kommissionen
nu tilsigter at gennemføre bl.a. ved det foreliggende forordningsforslag.
PDF to HTML - Convert PDF files to HTML files
I forbindelse med fremsættelse af det foreliggende forordningsforslag af-
gav Kommissionen endvidere en meddelelse med titlen: ”Beskyttelse af
privatlivets fred i en forbundet verden: En europæisk databeskyttelses-
ramme til det 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen be-
skrives de overvejelser, der ligger til grund for Kommissionens forslag.
Det anføres i den forbindelse, at Kommissionen finder, at der er brug for
moderne, sammenhængende databeskyttelsesregler for hele EU, så oplys-
ninger kan flyde frit mellem medlemsstaterne. Virksomhederne har samti-
dig brug for klare og ensartede regler, der giver retssikkerhed og minime-
rer den administrative byrde. Dette er efter Kommissionens opfattelse vig-
tigt for at sikre, at det indre marked er velfungerende og i stand til at skabe
økonomisk vækst, nye job og innovation.
Herudover anfører Kommissionen bl.a., at artikel 16 i Traktaten om den
Europæiske Unions Funktionsmåde (TEUF) har skabt et nyt retsgrundlag,
der muliggør en moderniseret og global tilgang til databeskyttelse og fri
udveksling af personoplysninger, som også omfatter politimæssigt og ret-
ligt samarbejde i straffesager.
Kommissionen har afholdt flere offentlige høringer om databeskyttelse og
ført en tæt dialog med de relevante interessenter i de seneste år. På bag-
grund af de oplysninger, som Kommissionen har indsamlet i den forbin-
delse, konkluderes det i meddelelsen, at både borgere og virksomheder øn-
sker, at der gennemføres en altomfattende reform af EU's databeskyttelses-
regler.
Kommissionen ønsker derfor, at der skabes ”en stærk og konsekvent retlig
ramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.
styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-
livet.
Kommissionen foreslår, at denne nye retlige ramme skal bestå af
en databeskyttelsesforordning, der skal erstatte det gæl-
dende direktiv 95/46/EF om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger (databeskyttel-
sesdirektivet), og
et direktiv, der skal erstatte den gældende rammeafgørel-
se 2008/977/RIA om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager.
2
PDF to HTML - Convert PDF files to HTML files
Det bemærkes, at Kommissionens forslag til et direktiv om beskyttelse af
fysiske personer i forbindelse med de kompetente myndigheders behand-
ling af personoplysninger med henblik på at forebygge, efterforske, opda-
ge eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger (KOM (2012) 10
endelig) behandles i et selvstændigt grund- og nærhedsnotat.
2.
Indhold
2.1. Indledning
Forslaget til Europa-Parlamentets og Rådets forordning om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og den
fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) er
fremsat efter artikel 16, stk. 2, i TEUF, hvorefter der kan fastsættes regler
for beskyttelse af fysiske personer i forbindelse med behandling af person-
oplysninger, der foretages af bl.a. medlemsstaterne under udøvelse af akti-
viteter, der er omfattet af EU-retten.
Forslaget er endvidere fremsat under henvisning til EUF-traktatens artikel
114, stk. 1, hvorefter der, med henblik på virkeliggørelsen af de i artikel 26
fastsatte mål (oprettelsen af det indre marked), efter den almindelige lov-
givningsprocedure kan vedtages foranstaltninger med henblik på indbyrdes
tilnærmelse af medlemsstaternes love og administrative bestemmelser, der
vedrører det indre markeds oprettelse og funktion.
Det bemærkes, at forslaget i en række henseender tager udgangspunkt i
den regulering, der følger af det gældende databeskyttelsesdirektiv (direk-
tiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behand-
ling af personoplysninger (persondataloven). På den baggrund – og i lyset
af forslagets omfattende karakter – vil der i det følgende hovedsageligt
blive fokuseret på de væsentligste nyskabelser og ændringer, som forslaget
vil indebære.
2.2. Generelle bestemmelser (forordningens kapitel I)
I kapitel I fastsættes regler om forordningens genstand og formål og dens
materielle og territorielle anvendelsesområder. Endvidere defineres en
række udvalgte begreber.
Forslagets overordnede formål er at beskytte fysiske personers grundlæg-
gende rettigheder og frihedsrettigheder, især retten til beskyttelse af per-
sonoplysninger, og at sikre at den frie udveksling af personoplysninger i
3
PDF to HTML - Convert PDF files to HTML files
1117718_0004.png
EU hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger.
Forordningen vil ifølge forslaget finde anvendelse på behandling af per-
sonoplysninger, der helt eller delvis foretages automatisk, og på anden be-
handling end automatisk behandling af personoplysninger, som er eller vil
blive indeholdt i et register.
De følgende behandlinger af personoplysninger er undtaget fra forord-
ningsforslagets anvendelsesområde:
Behandlinger, som iværksættes med henblik på udøvelse af aktivi-
teter, der ikke er omfattet af EU-retten, navnlig for så vidt angår
national sikkerhed.
Behandlinger, som foretages af EU-institutioner,
-kontorer og -agenturer.
-organer,
Behandlinger, som foretages af medlemsstaterne ved udførelse af
aktiviteter, der falder inden for rammerne af kapitel 2 i traktaten
om Den Europæiske Union (fælles udenrigs- og sikkerhedspolitik).
Behandlinger, som uden vederlag foretages af en fysisk person som
led i rent personlige eller familiemæssige aktiviteter.
Behandlinger, som foretages af kompetente myndigheder med hen-
blik på forebyggelse, efterforskning, opdagelse eller retsforfølgning
af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sank-
tioner.
Forordningen vil ifølge forslaget finde anvendelse på behandling af per-
sonoplysninger i forbindelse med aktiviteter, der gennemføres af en regi-
steransvarligs eller registerførers virksomhed i EU.
Herudover vil forordningen finde anvendelse på behandling af personop-
lysninger om registrerede, der er bosiddende i EU, som foretages af en re-
gisteransvarlig, der ikke er etableret i EU, hvis behandlingsaktiviteterne
vedrører udbud af varer eller tjenester til sådanne registrerede i EU eller
overvågning af sådanne registreredes adfærd.
Endelig vil forordningen finde anvendelse på behandling af personoplys-
ninger, som foretages af en registeransvarlig, der ikke er etableret i Unio-
nen, men et sted, hvor en medlemsstats nationale lovgivning gælder i hen-
hold til folkeretten.
4
PDF to HTML - Convert PDF files to HTML files
I kapitlet defineres endvidere en række centrale begreber. Visse af disse
begreber er nyskabelser eller ændrede i forhold til, hvad der følger af det
gældende databeskyttelsesdirektiv. Blandt de nye begreber kan særligt
fremhæves definitionerne af ”brud på persondatasikkerheden”, ”genetiske
data”, ”biometriske data”, ”helbredsoplysninger”, ”hovedvirksomhed” og
”bindende virksomhedsregler”.
I forhold til definitionen af ”hovedvirksomhed” bemærkes det, at dette be-
greb anvendes til at fastlægge, hvilken national tilsynsmyndighed der er
kompetent i forhold til en registeransvarlig eller registerfører, som er etab-
leret i mere end én medlemsstat.
2.3. Principper (forordningens kapitel II)
Forordningsforslagets kapitel II indeholder en række generelle behand-
lingsprincipper, der altid skal efterleves i forbindelse med behandling af
personoplysninger, og dernæst en række specifikke regler for, hvornår op-
lysninger må behandles, såkaldte behandlingsregler. Forslaget følger i
denne henseende i vidt omfang strukturen i det gældende databeskyttelses-
direktiv.
De generelle behandlingsprincipper i forslaget viderefører i vidt omfang de
grundlæggende principper, der følger af det gældende databeskyttelsesdi-
rektiv. Det gælder f.eks. krav om, at oplysninger skal være korrekte og
ajourførte, og at oplysninger skal indsamles til udtrykkeligt angivne og le-
gitime formål og ikke senere må gøres til genstand for behandling, som er
uforenelig med disse formål (det såkaldte finalité-princip).
Derudover indeholder forslaget som nævnt en række behandlingsregler.
Disse regler regulerer, hvornår der må behandles oplysninger. Behand-
lingsreglernes indhold varierer alt efter, hvor følsomme oplysninger der er
tale om. Kapitel II indeholder herudover en række yderligere behandlings-
regler, der fastsætter de betingelser, som behandlingen af særlige kategori-
er af personoplysninger skal efterleve.
Forslaget opererer med en række særlige kategorier af personoplysninger
(som i dansk sammenhæng ofte betegnes som følsomme). Det drejer sig
om: Personoplysninger, der viser race og etnisk oprindelse, politisk, religi-
øs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold,
genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold,
straffedomme eller tilknyttede sikkerhedsforanstaltninger. I forhold til det
gældende databeskyttelsesdirektiv er det en nyskabelse, at oplysninger om
genetiske data og oplysninger om straffedomme og tilknyttede sikkerheds-
5
PDF to HTML - Convert PDF files to HTML files
1117718_0006.png
foranstaltninger er omfattet af opregningen af følsomme personoplysnin-
ger.
Det bemærkes, at sammenholdt med den engelske sprogversion indeholder
den danske sprogversion en ikke uvæsentlig afvigelse. Behandlingsgrund-
laget i artikel 9, stk. 2, litra f, omfatter således i den danske sprogversion
kun behandling, der er nødvendig for, at et retskrav kan fastslås, gøres
gældende eller forsvares ved en domstol. Den engelske sprogversion ses
ikke at indeholde den begrænsning, der følger af de tre sidste ord, idet be-
handlingsgrundlaget i denne version vedrører behandlinger, der er
”necessary for the establishment, exercise or defence of legal claims”.
Som en nyskabelse fastsættes der i forslaget endvidere en række særlige
betingelser, der skal efterleves, når der behandles personoplysninger om
børn.
Herudover fastsættes der bl.a. regler for, i hvilken udstrækning samtykke
kan anvendes, og hvilke krav der skal iagttages, når der indhentes samtyk-
ke fra den registrerede. Det bemærkes i den forbindelse, at ifølge forslaget
vil et samtykke ikke kunne tilvejebringe det fornødne retsgrundlag for en
behandling, hvis der er en ”klar skævhed mellem den registrerede og den
registeransvarlige”. Det fremgår af den relevante præambelbetragtning i
forslaget, at en sådan skævhed navnlig foreligger, når den registrerede be-
finder sig i et afhængighedsforhold til den registeransvarlige, herunder når
personoplysninger behandles af en arbejdsgiver som led i et ansættelses-
forhold.
2.4. Den registreredes rettigheder (forordningens kapitel III)
Forordningens kapitel III indeholder bl.a. regler om gennemsigtighed, den
registreredes ret til information og adgang til oplysninger, berigtigelse og
sletning samt om den registreredes ret til at gøre indsigelse.
Som en nyskabelse i forhold til det gældende databeskyttelsesdirektiv kan
bl.a. nævnes, at forslaget indeholder en ret til såkaldt dataportabilitet. Det
indebærer, at den registrerede under visse betingelser har ret til at få en
kopi af de oplysninger, som den registeransvarlige behandler om den på-
gældende ”i et almindeligt anvendt elektronisk og struktureret format, som
den registrerede kan anvende senere”. Denne rettighed skal bl.a. gøre det
muligt for registrerede at flytte deres personoplysninger mellem forskellige
udbydere af digitale ydelser.
6
PDF to HTML - Convert PDF files to HTML files
Kapitlet indeholder også en nyskabelse i form af indførelsen af den såkald-
te ret til at blive glemt. Retten til at blive glemt indebærer efter forslaget, at
den registrerede kan kræve, at den registeransvarlige sletter personoplys-
ninger vedrørende den registrerede og undlader yderligere udbredelse af
sådanne oplysninger, navnlig hvad angår personoplysninger, som den regi-
strerede har stillet til rådighed, da vedkommende var barn. Sletning skal
bl.a. finde sted, hvis personoplysningerne ikke længere er nødvendige til
opfyldelse af de formål, hvortil de blev indsamlet, eller hvis den registre-
rede tilbagekalder et samtykke, der er grundlaget for behandlingen.
Retten til at blive glemt er dog underlagt en række undtagelser, herunder at
den registeransvarlige skal bevare personoplysningerne for at opfylde en
retlig forpligtelse i henhold til EU-retten eller medlemsstatslovgivning.
Som en tredje nyskabelse kan nævnes, at forslaget indeholder en ret for
enhver fysisk person til ikke at være genstand for såkaldt profilering. Her-
ved forstås en foranstaltning, der har retsvirkninger for vedkommende eller
berører vedkommende i væsentlig grad, og alene er baseret på automatisk
databehandling, der har til formål at vurdere eller analysere bestemte per-
sonlige forhold vedrørende den registrerede f.eks. med det formål at forud-
sige vedkommendes erhvervsevne, økonomiske situation mv. Det må an-
tages, at dette f.eks. kan være gennemførelsen af en vurdering af en per-
sons kreditværdighed.
Ifølge forslaget kan en person kun gøres til genstand for foranstaltninger
baseret på profilering, hvis det sker som led i indgåelsen eller opfyldelsen
af en aftale, hvis foranstaltningen er mulig efter EU-retten eller efter med-
lemsstatens lovgivning, eller hvis den registrerede har givet samtykke her-
til.
2.5. Registeransvarlig og registerfører (forordningens kapitel IV)
Forordningens kapitel IV indeholder bl.a. regler om den registeransvarli-
ges og registerførerens generelle forpligtelser, regler om datasikkerhed og
regler om udarbejdelse af en konsekvensanalyse om databeskyttelse. End-
videre fastsættes regler om udpegning af en databeskyttelsesansvarlig og
regler om adfærdskodekser og certificering.
Generelt bemærkes det, at dette kapitel indeholder en række forpligtelser
for den registeransvarlige og registerføreren, der ikke følger af det gæl-
dende databeskyttelsesdirektiv. Det gælder bl.a. indførelsen af et krav om
såkaldt ”indbygget databeskyttelse”. Dette krav indebærer bl.a., at den re-
gisteransvarlige ved fastlæggelsen af behandlingen, metoderne til behand-
7
PDF to HTML - Convert PDF files to HTML files
lingen, og når selve behandlingen af personoplysninger foretages, skal
træffe passende tekniske og organisatoriske foranstaltninger med henblik
på, at behandlingen opfylder forslagets krav og sikrer beskyttelsen af den
registreredes rettigheder.
Som en nyskabelse stiller forslaget også krav om, at den registeransvarlige
og registerføreren skal opbevare dokumentation for enhver behandling af
personoplysninger, de gennemfører. Denne dokumentation skal stilles til
rådighed for tilsynsmyndigheden efter anmodning. Disse dokumentations-
krav finder dog ikke anvendelse for fysiske personer, der behandler per-
sonoplysninger uden kommerciel interesse, og for virksomheder og orga-
nisationer, der beskæftiger under 250 personer, og som udelukkende be-
handler personoplysninger som en aktivitet i tilknytning til deres hovedak-
tiviteter.
En yderlig nyskabelse er indførelsen af kravet om, at den registeransvarli-
ge skal anmelde brud på persondatasikkerheden til tilsynsmyndigheden.
Ifølge forslaget skal anmeldelsen ske uden unødig forsinkelse og om mu-
ligt senest 24 timer efter, at den registeransvarlige er blevet bekendt med et
persondatasikkerhedsbrud. Anmeldelsen skal bl.a. beskrive karakteren af
bruddet på persondatasikkerheden, herunder kategorierne og antallet af be-
rørte registrerede. Anmeldelsen skal endvidere indeholde en anbefaling af
foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på
persondatasikkerheden, og en beskrivelse af de foranstaltninger, som den
registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på per-
sondatasikkerheden.
Når sikkerhedsbruddet kan forventes at krænke beskyttelsen af personop-
lysninger eller privatlivets fred for en registreret person, skal den register-
ansvarlige ligeledes uden unødig forsinkelse underrette den registrerede
om sikkerhedsbruddet. Denne underretning skal omfatte karakteren af
bruddet på persondatasikkerheden og indeholde en række af de oplysning-
er og anbefalinger, der også skal afgives til tilsynsmyndigheden. Dog er
det ikke nødvendigt at underrette den registrerede om et brud på personda-
tasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den regi-
steransvarliges side, at denne har gennemført passende teknologiske be-
skyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på
de data, som sikkerhedsbruddet vedrørte. Ifølge forslaget tillægges Kom-
missionen beføjelse til at fastlægge formatet for den meddelelse, der skal
gives til den registrerede. Kommissionen tillægges ligeledes beføjelse til at
fastsætte procedurer for afgivelsen af denne meddelelse.
8
PDF to HTML - Convert PDF files to HTML files
Forslagets kapitel IV indeholder endvidere krav om, at registeransvarlige
eller registerførere, som udfører behandling af personoplysninger, der kan
indebære specifikke risici for den registreredes rettigheder og frihedsret-
tigheder som følge af behandlingens karakter, omfang eller formål, skal
gennemføre en såkaldt konsekvensanalyse af den planlagte behandling for
så vidt angår beskyttelsen af personoplysninger.
I forslaget anføres det, at behandlinger, der kan udløse en konsekvensana-
lyse, bl.a. er dem, hvor der indgår en systematisk og omfattende evaluering
af personlige aspekter vedrørende en fysisk person. En konsekvensanalyse
kan også være nødvendig, hvis en behandling sker med henblik på analyse
eller forudsigelse af en fysisk persons økonomiske situation, lokalitet (op-
holdssted), sundhed, personlige præferencer, pålidelighed eller adfærd ba-
seret på elektronisk databehandling, som kan resultere i foranstaltninger,
der har retsvirkning for vedkommende eller berører vedkommende i væ-
sentlig grad.
Herudover kan en konsekvensanalyse være nødvendig, hvis der finder en
omfattende videoovervågning sted af offentligt tilgængelige områder, eller
hvis der behandles personoplysninger i omfattende registre vedrørende
børn, genetiske data eller biometriske data.
Kapitel IV indeholder endvidere regler om udpegning af såkaldte databe-
skyttelsesansvarlige. Dette krav – der er en nyskabelse – finder anvendel-
se, når behandlingen foretages af en offentlig myndighed eller et offentligt
organ, eller når behandlingen foretages af en virksomhed, der beskæftiger
mindst 250 personer. Kravet finder endvidere anvendelse, når den register-
ansvarliges eller registerførerens kerneaktiviteter består af behandling, der
i medfør af dens karakter, omfang eller formål kræver regelmæssig og sy-
stematisk overvågning af registrerede. Det følger bl.a. af forslaget, at virk-
somhedskoncerner kan udpege en fælles databeskyttelsesansvarlig, og at
offentlige myndigheder eller organer kan udpege en databeskyttelsesan-
svarlig for flere enheder i overensstemmelse med myndighedens eller or-
ganets struktur.
Den databeskyttelsesansvarlige har bl.a. til opgave at underrette og rådgive
den registeransvarlige eller registerføreren om deres forpligtelser i henhold
til forordningen og at dokumentere denne aktivitet og de modtagne reakti-
oner.
Den databeskyttelsesansvarlige skal også kontrollere overholdelsen af kra-
vene om dokumentation, anmeldelser og meddelelser vedrørende brud på
9
PDF to HTML - Convert PDF files to HTML files
persondatasikkerheden samt gennemførelsen af konsekvensanalyser vedrø-
rende databeskyttelse.
Herudover skal den databeskyttelsesansvarlige bl.a. fungere som tilsyns-
myndighedens kontaktpunkt i spørgsmål vedrørende behandling af per-
sonoplysninger og på eget initiativ og efter behov rådføre sig med tilsyns-
myndigheden.
Ifølge forslaget skal den registeransvarlige eller registerføreren bl.a. sikre,
at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige
med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og
ikke medfører en interessekonflikt.
Kapitlet indeholder endvidere en bestemmelse om, at medlemsstaterne, til-
synsmyndighederne og Kommissionen skal tilskynde til udarbejdelsen af
adfærdskodekser, der – afhængigt af de særlige forhold i de forskellige be-
handlingssektorer – bidrager til en korrekt anvendelse af forordningen. Så-
danne adfærdskodekser kan bl.a. navnlig vedrøre information til offentlig-
heden og registrerede samt anmodninger fra registrerede i forbindelse med
udøvelsen af deres rettigheder.
2.6. Videregivelse af personoplysninger til tredjelande eller internati-
onale organisationer (forordningens kapitel V)
Forordningens kapitel V fastsætter reglerne for, hvornår der kan videregi-
ves personoplysninger til tredjelande eller internationale organisationer.
Overordnet set indeholder kapitlet fire forskellige videregivelsesgrundlag,
som registerføreren efter omstændighederne kan anvende, når der skal fin-
de en videregivelse sted. Kapitlet indeholder en række væsentlige ændrin-
ger og nyskabelser i forhold til de tilsvarende bestemmelser i det gældende
direktiv.
For det første kan en videregivelse finde sted, hvis Kommissionen har fast-
slået, at et tredjeland, et område eller en behandlingssektor (f.eks. sund-
hedssektoren) i tredjelandet eller en international organisation sikrer et til-
strækkeligt databeskyttelsesniveau. Ved udfærdigelsen af sådanne afgørel-
ser skal Kommissionen tage hensyn til en række nærmere opregnede for-
hold i tredjelandet mv., herunder retsstatsprincippet (”rule of law”), gæl-
dende lovgivning, regler for god forretningsskik og de sikkerhedsforan-
staltninger, der gælder. Kommissionen skal også tage hensyn til, om de re-
gistrerede tillægges effektive rettigheder, der kan håndhæves retsligt af re-
gistrerede, som er bosiddende i EU, og hvis personoplysninger videregi-
10
PDF to HTML - Convert PDF files to HTML files
1117718_0011.png
ves. Efter forslaget kan Kommissionen også træffe afgørelse om, at et tred-
jeland mv. ikke sikrer et tilstrækkeligt databeskyttelsesniveau.
En videregivelse til et tredjeland mv. kan endvidere finde sted, hvis en re-
gisteransvarlig eller registerfører finder, at der i en retligt bindende retsakt
er indført de fornødne garantier, som sikrer beskyttelsen af personoplys-
ninger. Konkret kan de fornødne garantier bl.a. sikres gennem såkaldte
bindende virksomhedsregler, der er nærmere omtalt nedenfor, gennem
standardbestemmelser om databeskyttelse vedtaget af Kommissionen,
gennem standardbestemmelser om databeskyttelse vedtaget af en tilsyns-
myndighed efter indhentelse af en udtalelse fra Det Europæiske Databe-
skyttelsesråd og Kommissionen eller gennem kontraktbestemmelser – som
en tilsynsmyndighed har godkendt – mellem den registeransvarlige eller
registerføreren og modtageren af personoplysningerne.
Som anført ovenfor kan videregivelse finde sted, hvis der foreligger så-
kaldte bindende virksomhedsregler. Det er en forudsætning, at disse regler
er godkendt af tilsynsmyndigheden. En sådan godkendelse kan finde sted,
hvis reglerne er retligt bindende, gælder for og anvendes af alle virksom-
heder i den registeransvarliges eller registerførerens koncern og omfatter
deres medarbejdere. Reglerne skal endvidere udtrykkeligt tillægge de re-
gistrerede rettigheder, der kan håndhæves retligt og opfylde en række ud-
førlige krav, der opregnes i forslaget.
Endvidere indeholder forslaget adgang til, at der kan ske videregivelse i en
række konkrete tilfælde. Videregivelse kan således bl.a. ske, hvis den regi-
strerede har givet sit samtykke hertil, hvis videregivelsen er nødvendig af
hensyn til opfyldelsen af en kontrakt mellem den registrerede og den regi-
steransvarlige, eller hvis videregivelsen er nødvendig af hensyn til vigtige
samfundsinteresser.
Det bemærkes, at i den danske sprogversion indeholder artikel 44, stk. 1,
litra e, en afvigelse i forhold til den engelske sprogversion. Denne afvigel-
se svarer til den, der er omtalt ovenfor under pkt. 2.3.
2.7. Uafhængige tilsynsmyndigheder (forordningens kapitel VI)
Forordningens kapitel VI indeholder regler om de nationale tilsynsmyn-
digheders uafhængige status og deres opgaver og beføjelser.
I forhold til de tilsvarende regler i det gældende databeskyttelsesdirektiv
opstiller kapitlet en række nye og uddybede krav til de nationale tilsyns-
myndigheders organisering og uafhængighed. Det følger således bl.a. ud-
11
PDF to HTML - Convert PDF files to HTML files
trykkeligt af forslaget, at medlemmer af tilsynsmyndigheden ved udøvel-
sen af deres opgaver hverken må søge eller modtage instrukser fra andre,
og at medlemmer efter embedsperiodens ophør skal udvise hæderlighed og
tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere
visse fordele. Samtidig skal hver medlemsstat sikre, at tilsynsmyndigheden
er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed.
Det fastsættes endvidere i forslaget, at hver medlemsstat skal sikre, at til-
synsmyndigheden råder over tilstrækkelige finansielle og menneskelige
ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver og
udøve sine beføjelser.
Ifølge forslaget skal medlemsstaterne vedtage bestemmelser om, at
medlemmer af tilsynsmyndigheden udpeges af parlamentet eller
regeringen i den pågældende medlemsstat.
I forhold til tilsynsmyndighedernes organisering og opgaver følger det af
forslaget, at hver medlemsstat ved lov bl.a. skal fastsætte regler om
tilsynsmyndighedens oprettelse og status, de kvalifikationer og den
erfaring og kompetence, der er nødvendig for at udøve hvervet som
medlem af tilsynsmyndigheden, reglerne og procedurerne for udnævnelsen
af medlemmerne af tilsynsmyndigheden, regler om handlinger og hverv,
der er uforenelige med hvervet som medlem af tilsynsmyndigheden, og
regler om de pligter, der påhviler tilsynsmyndighedens medlemmer og
personale.
Som en væsentlig nyskabelse i forhold til de gældende regler om tilsyns-
myndighedernes kompetence fastsættes der i forslaget særlige regler, når
personoplysninger behandles i forbindelse med aktiviteter, der gennemfø-
res af en registeransvarligs eller registerførers virksomhed i Unionen, og
den registeransvarlige eller registerføreren er etableret i mere end én med-
lemsstat. I disse tilfælde er tilsynsmyndigheden i den medlemsstat, hvor
den registeransvarliges eller registerførerens hovedvirksomhed er etable-
ret, ansvarlig for at kontrollere den registeransvarliges eller registerføre-
rens behandlingsaktiviteter i alle medlemsstater.
Dette indebærer, at det alene vil være tilsynsmyndigheden i den medlems-
stat, hvor den registeransvarliges hovedvirksomhed er etableret, der vil
være kompetent til at behandle klager mv. Dette vil være tilfældet, uanset
at der behandles personoplysninger om registrerede bosat i andre med-
lemsstater.
12
PDF to HTML - Convert PDF files to HTML files
Ifølge forslaget vil tilsynsmyndigheden bl.a. skulle varetage en række nye
opgaver, herunder godkendelse af bindende virksomhedsregler i henhold
til forordningen og deltagelse i Det Europæiske Databeskyttelsesråds akti-
viteter.
Herudover vil tilsynsmyndigheden skulle arbejde for at styrke offentlig-
hedens kendskab til risici, regler, garantier og rettigheder i forbindelse med
behandling af personoplysninger.
2.8. Samarbejde og sammenhæng (forordningens kapitel VII)
Forordningens kapitel VI indeholder bl.a. regler om samarbejde mellem
tilsynsmyndighederne, regler om en såkaldt ”sammenhængsmekanisme”,
som skal sikre en ensartet anvendelse af forordningen, og regler om Det
Europæiske Databeskyttelsesråd.
Set i forhold til det gældende databeskyttelsesdirektiv indeholder forslaget
i dette kapitel en væsentlig mere detaljeret beskrivelse af tilsynsmyndig-
hedernes indbyrdes samarbejde. Det følger således af forslaget, at hver til-
synsmyndighed skal træffe alle foranstaltninger, som er nødvendige for at
besvare anmodninger fra en anden tilsynsmyndighed uden forsinkelse og
senest en måned efter modtagelsen af anmodningen. Efter forslaget kan
sådanne foranstaltninger bl.a. omfatte videregivelse af relevante oplys-
ninger under undersøgelsen eller håndhævelsesforanstaltninger, der har til
formål at stoppe eller forbyde behandling, der er i strid med forslaget.
Herudover fastsættes det bl.a. i forslaget, at en tilsynsmyndighed, der mod-
tager en anmodning om bistand, ikke kan afvise at imødekomme denne,
medmindre den ikke har kompetence i forbindelse med anmodningen, eller
hvis imødekommelse af anmodningen er uforenelig med bestemmelserne i
forslaget.
Som en yderligere nyskabelse indeholder forslaget udtrykkelige regler om,
at tilsynsmyndigheder kan udføre fælles aktiviteter, der bl.a. kan omfatte
fælles undersøgelsesopgaver, fælles håndhævelsesforanstaltninger og an-
dre fælles aktiviteter. Endvidere indeholder forslaget regler om, at når re-
gistrerede i flere medlemsstater sandsynligvis berøres af en behandling,
har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i
fælles undersøgelsesopgaver eller fælles aktiviteter. Den kompetente til-
synsmyndighed skal i disse tilfælde indbyde tilsynsmyndigheden i hver af
de berørte medlemsstater til at deltage i de respektive fælles undersøgel-
sesopgaver eller fælles aktiviteter og skal straks besvare en tilsynsmyndig-
heds anmodning om deltagelse i aktiviteterne.
13
PDF to HTML - Convert PDF files to HTML files
Forslaget indeholder også regler om, at den såkaldte værtstilsynsmyndig-
hed i overensstemmelse med sin nationale lovgivning og med den udsend-
ende tilsynsmyndigheds godkendelse kan delegere forvaltningsbeføjelser,
herunder undersøgelsesopgaver, til den udsendende tilsynsmyndigheds
medlemmer eller medarbejdere, som deltager i fælles aktiviteter. For så
vidt værtstilsynsmyndighedens lovgivning giver mulighed herfor, kan
værtsmyndigheden endvidere tillade, at den udsendende tilsynsmyndig-
heds medlemmer eller medarbejdere udøver deres forvaltningsbeføjelser i
overensstemmelse med den udsendende tilsynsmyndigheds lovgivning.
Efter forslaget må sådanne forvaltningsbeføjelser dog kun udøves under
vejledning og i reglen også tilstedeværelse af værtstilsynsmyndighedens
medlemmer eller medarbejdere.
Som en anden væsentlig nyskabelse indeholder kapitlet regler om den
nævnte ”sammenhængsmekanisme”. Denne mekanisme har til formål at
sikre, at tilsynsmyndighederne anvender forordningens regler på en ensar-
tet og sammenhængende måde. Samlet set fremstår mekanismen som en
væsentlig udbygning af det gældende databeskyttelsesdirektivs regler om
samarbejde mellem tilsynsmyndighederne.
Mekanismen er forankret i Det Europæiske Databeskyttelsesråd, der er et
nyt organ, der efter forslaget skal oprettes til formålet, jf. nærmere herom
nedenfor.
Forslaget indebærer, at afgørelser truffet af de nationale tilsynsmyndig-
heder i en række tilfælde skal forelægges for Det Europæiske Databeskyt-
telsesråd, som afgiver en udtalelse om sagen. Blandt de typer af sager, som
skal forelægges for Det Europæiske Databeskyttelsesråd, er foranstalt-
ninger, der omfatter behandlingsaktiviteter, der vedrører udbud af varer el-
ler tjenester til registrerede i flere medlemsstater eller overvågning af deres
adfærd, foranstaltninger, der i væsentlig grad kan påvirke den frie udveks-
ling af personoplysninger i EU, og foranstaltninger, der har til formål at
godkende bindende virksomhedsregler.
Efter forslaget kan enhver tilsynsmyndighed, Det Europæiske Databeskyt-
telsesråd eller Kommissionen kræve, at en sag underlægges sammen-
hængsmekanismen.
Der er fastsat en bestemt procedure, der skal følges, når spørgsmål
forelægges for Det Europæiske Databeskyttelsesråd.
14
PDF to HTML - Convert PDF files to HTML files
Det bemærkes i den forbindelse, at såfremt en tilsynsmyndighed eksem-
pelvis afviser at efterkomme en udtalelse fra Databeskyttelsesrådet, kan
Kommissionen under visse betingelser vedtage en begrundet afgørelse,
som kræver, at tilsynsmyndigheden suspenderer vedtagelsen af den fore-
slåede foranstaltning.
Herudover indeholder forslaget bestemmelser om, at en særlig hasteproce-
dure kan iværksættes af en tilsynsmyndighed under ekstraordinære om-
stændigheder, hvis det er nødvendigt at handle omgående for at beskytte
registreredes interesser. I så fald skal Databeskyttelsesrådet træffe afgørel-
se i sagen ved simpelt flertal inden for to uger.
I kapitlet fastsættes endvidere de nærmere regler for oprettelsen af Det Eu-
ropæiske Databeskyttelsesråd. Efter forslaget skal Databeskyttelsesrådet
sammensættes af direktøren for tilsynsmyndigheden i hver medlemsstat og
Den Europæiske Tilsynsførende for Databeskyttelse. Herudover har
Kommissionen ret til at deltage i Det Europæiske Databeskyttelsesråds ak-
tiviteter og møder.
Det Europæiske Databeskyttelsesråd har til opgave at sikre, at forordnin-
gen anvendes på en ensartet måde. I den forbindelse skal rådet bl.a. rådgi-
ve Kommissionen om ethvert spørgsmål vedrørende beskyttelse af person-
oplysninger i EU og undersøge ethvert spørgsmål vedrørende anvendelsen
af forordningen. Rådet skal endvidere arbejde for at fremme samarbejde
og en effektiv udveksling af information mellem tilsynsmyndighederne.
Det Europæiske Databeskyttelsesråd skal vælge en formand og to næst-
formænd blandt sine medlemmer. Den ene næstformand er Den Europæi-
ske Tilsynsførende for Databeskyttelse, medmindre vedkommende vælges
som formand. Den Europæiske Tilsynsførende for Databeskyttelse er end-
videre ansvarlig for driften af Databeskyttelsesrådets sekretariat. Sekretari-
atet skal yde analytisk, administrativ og logistisk støtte til rådet under for-
mandens ledelse.
2.9. Klageadgang, ansvar og sanktioner (forordningens kapitel VIII)
Forslagets kapitel VIII indeholder bl.a. bestemmelser om registreredes ret
til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de
finder, at behandlingen af deres personoplysninger ikke er i overensstem-
melse med bestemmelserne i forslaget.
Herudover følger det som en nyskabelse af forslaget, at alle organer, orga-
nisationer eller sammenslutninger, der har til formål at beskytte registrere-
15
PDF to HTML - Convert PDF files to HTML files
des rettigheder og interesser i forbindelse med beskyttelsen af deres per-
sonoplysninger, og som er etableret i overensstemmelse med en medlems-
stats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i en-
hver medlemsstat på vegne af en eller flere registrerede. Det forudsættes,
at det vurderes, at den registreredes rettigheder i henhold til forslaget er
blevet krænket som følge af behandlingen af personoplysninger.
De samme organisationer mv. har efter forslaget ret til – uafhængigt af en
klage fra en registreret – at indgive klage til en tilsynsmyndighed i enhver
medlemsstat, hvis de vurderer, at et brud på persondatasikkerheden har
fundet sted.
Forslaget tillægger således enhver organisation – uanset dennes størrelse
og medlemskreds – en ret til at indgive klage til enhver tilsynsmyndighed,
alene på baggrund af organisationens vurdering af, om der har fundet et
brud på persondatasikkerheden sted.
Kapitel VIII indeholder endvidere som en nyskabelse regler om adgangen
til at søge retsmidler anvendt over for tilsynsmyndigheder. Det følger såle-
des bl.a. af forslaget, at en registreret, der berøres af en afgørelse, som er
truffet af en tilsynsmyndighed i en anden medlemsstat end den medlems-
stat, hvor den registrerede har sit sædvanlige opholdssted, kan anmode til-
synsmyndigheden i opholdsmedlemsstaten om på den registreredes vegne
at anlægge dennes sag mod den kompetente tilsynsmyndighed i den anden
medlemsstat.
Forslaget lægger hermed op til, at de nationale tilsynsmyndigheder, på
baggrund af en anmodning fra en registreret, skal kunne anlægge sager ved
domstolene mod andre nationale tilsynsmyndigheder eller i hvert fald tage
initiativ til, at sagen anlægges i en anden medlemsstat.
Som en væsentlig nyskabelse indeholder kapitel VIII forholdsvis udførlige
regler om, at de nationale tilsynsmyndigheder har beføjelse til at anvende
administrative sanktioner. Ifølge forslaget skal administrative sanktioner
pålægges ud fra en niveaumæssig graduering fastsat efter karakteren af de
overtrædelser, der er begået.
Første niveau indebærer, at tilsynsmyndigheden skal pålægge en bøde på
op til 250.000 euro, eller, hvis der drejer sig om en virksomhed, på op til
0,5 % af dens årlige globale omsætning.
16
PDF to HTML - Convert PDF files to HTML files
Andet niveau indebærer pålæggelsen af en bøde på op til 500.000 euro, el-
ler hvis det drejer sig om en virksomhed, på op til 1 % af dens årlige glo-
bale omsætning.
Tredje og sidste niveau indebærer pålæggelsen af en bøde på op til
1.000.000 euro, eller, hvis det drejer sig om en virksomhed, på op til 2 %
af dens årlige globale omsætning.
De administrative sanktioner kan efter forslaget pålægges for såvel forsæt-
lige som uagtsomme overtrædelser. Den konkrete administrative sanktion
skal efter forslaget være effektiv, stå i rimeligt forhold til overtrædelsen og
have afskrækkende virkning. Bødens størrelse skal fastlægges under hen-
syntagen til overtrædelsens karakter, alvor og varighed, overtrædelsens
forsætlige eller uagtsomme karakter, den fysiske eller juridiske persons
grad af ansvar, denne persons eventuelle tidligere overtrædelser, de tekni-
ske og organisatoriske foranstaltninger og procedurer, der er gennemført i
henhold til forordningens regler herom, og graden af samarbejde med til-
synsmyndigheden for at afhjælpe bruddet.
Efter forslaget kan der i tilfælde af en uforsætlig førstegangsovertrædelse
af forordningen gives en skriftlig advarsel uden pålæggelse af sanktioner i
tilfælde, hvor en fysisk person behandler personoplysninger uden kom-
merciel interesse, og i tilfælde, hvor en virksomhed eller organisation, der
beskæftiger under 250 personer, udelukkende behandler personoplysninger
som en aktivitet i tilknytning til dens hovedaktiviteter.
2.10. Bestemmelser vedrørende specifikke databehandlingssituationer
(forordningens kapitel IX)
Kapitlet indeholder en række bestemmelser om behandling af personop-
lysninger i særlige situationer, herunder i ansættelsesforhold og til brug for
historiske, statistiske eller videnskabelige forskningsformål.
I kapitlet fastsættes det bl.a., i hvilket omfang medlemsstaterne kan fast-
sætte fritagelser eller undtagelser fra bestemte bestemmelser i forordnin-
gen med henblik på at forene retten til beskyttelse af personoplysninger
med retten til ytringsfrihed.
Der fastsættes endvidere regler om behandling af personoplysninger om
helbredsforhold i en række situationer. Det fastsættes i den forbindelse, at
der under overholdelse af forordningen i øvrigt kan behandles personlige
helbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgiv-
ningen, som fastsætter tilstrækkelige og specifikke foranstaltninger til be-
17
PDF to HTML - Convert PDF files to HTML files
skyttelse af den registreredes legitime interesser, og som er nødvendig for
en række nærmere opregnede typer af behandlinger.
Bestemmelsen giver således medlemsstaterne adgang til under visse betin-
gelser f.eks. at fastsætte regler om behandling af personoplysninger om
helbredsforhold til brug for patientbehandling eller for historiske, statisti-
ske eller videnskabelige forskningsformål.
Kapitlet indeholder endvidere regler om medlemsstaternes adgang til –
under overholdelse af forordningen – at vedtage specifikke bestemmelser
om behandling af personoplysninger i forbindelse med ansættelsesforhold
og regler om behandling af personoplysninger til historiske, statistiske el-
ler videnskabelige forskningsformål.
Herudover indeholder kapitlet en bestemmelse om, at medlemsstaterne –
under overholdelse af forordningen – kan vedtage specifikke regler om
forholdet mellem tilsynsmyndighedernes undersøgelsesbeføjelser og nati-
onale tavshedspligtsregler.
Endvidere indeholder kapitlet en bestemmelse om kirkers og religiøse
sammenslutningers adgang til at opretholde gældende regler af omfattende
karakter om behandling af personoplysninger under forudsætning af, at
reglerne bringes i overensstemmelse med forslaget.
2.11. Delegerede retsakter og gennemførelsesforanstaltninger (forord-
ningens kapitel X)
Kapitlet indeholder en opregning af de bestemmelser i forslaget, hvorved
Kommissionen tillægges beføjelser til at vedtage delegerede retsakter, og
en regulering af, hvordan Kommissionen kan udøve disse beføjelser.
Forslaget indeholder herudover en række afsluttende bestemmelser, hvor
der bl.a. lægges op til at ophæve det gældende databeskyttelsesdirektiv
95/46/EF.
3.
Gældende dansk ret
3.1. Indledning
Henset til at forordningsforslaget berører forhold, der har relevans for en
række retsområder, er det alene et udvalg af de berørte love, der omtales i
dette afsnit.
18
PDF to HTML - Convert PDF files to HTML files
3.2. Persondataloven
I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-
nere ændringer (persondataloven) er der fastsat generelle regler om be-
handling af personoplysninger for offentlige myndigheder og den private
sektor.
Persondataloven indeholder således bl.a. regler om, hvornår behandling af
personoplysninger i almindelighed må finde sted, ligesom loven indehol-
der regler vedrørende behandling af særlige typer oplysninger (f.eks. regler
om personnumre) og vedrørende behandling af personoplysninger på sær-
lige områder (f.eks. regler om kreditoplysningsbureauer).
Loven indeholder desuden en række bestemmelser om rettigheder for de
personer, der behandles oplysninger om, f.eks. regler om den registreredes
ret til information, indsigelse, indsigt, berigtigelse og sletning af personop-
lysninger. Endvidere er fastsat regler om datasikkerhed i forbindelse med
behandling af personoplysninger.
Persondataloven indeholder også bestemmelser om Datatilsynets kontrol
med behandling af personoplysninger, der foretages for offentlige myn-
digheder og den private sektor, ligesom der i loven er fastsat regler om
pligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemte
typer behandling af personoplysninger.
Persondataloven er først og fremmest baseret på databeskyttelsesdirektivet.
3.3. Forvaltningsloven
I lov nr. 571 af 19. december 1985 med senere ændringer (forvaltningslo-
ven) fastsættes regler om en række forhold vedrørende den offentlige for-
valtning, herunder om udveksling af oplysninger mellem forvaltningsmyn-
digheder.
Det følger af lovens § 27, stk. 1, at reglerne i persondatalovens § 5, stk. 1-
3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 gælder for videregivelse af op-
lysninger om enkeltpersoner (personoplysninger) til en anden forvalt-
ningsmyndighed.
3.4. Sundhedslovgivningen
Den endelige vurdering af, i hvilket omfang forordningsforslaget vil berøre
reglerne på sundhedsområdet, er endnu ikke foretaget. Dog forventes for-
ordningsforslaget, herunder navnlig den foreslåede artikel 9, stk. 2, litra h,
19
PDF to HTML - Convert PDF files to HTML files
samt artikel 81 (om behandling af helbredsoplysninger), generelt at berøre
de gældende regler på sundhedsområdet.
Det bemærkes i den forbindelse, at lovbekendtgørelse nr. 913 af 13. juli
2010 med senere ændringer (sundhedsloven) bl.a. indeholder bestemmel-
ser, der regulerer sundhedspersoners tavshedspligt, videregivelse og ind-
hentning af helbredsoplysninger, herunder medicin- og vaccinationsoplys-
ninger, oplysninger om øvrige rent private forhold og andre fortrolige op-
lysninger, jf. lovens kapitel 9, herunder § 42 a, samt §§ 157 og 157 a. Dis-
se regler må forventes at blive berørt af forordningsforslagets regler.
Endvidere må forordningsforslagets artikel 83 om behandling af personop-
lysninger til historiske, statistiske eller videnskabelige formål forventes at
have betydning for forskningsarbejde på det sundhedsmæssige område,
idet sundhedslovens §§ 46-48 regulerer, i hvilket omfang der kan ske vide-
regivelse af helbredsoplysninger til særlige formål såsom forskning og sta-
tistik mv.
3.5. Andre love mv.
En række andre love og retsakter indeholder bestemmelser om behandling
af personoplysninger. Dette gælder f.eks. lovgivningen om behandling af
personoplysninger til forskningsformål, om tv-overvågning, om behand-
ling af personoplysninger i CPR-systemet samt i forbindelse med udøvel-
sen af offentlig og privat virksomhed inden for en række konkrete områ-
der.
4. Lovgivningsmæssige, administrative og statsfinansielle konse-
kvenser
Det følger af EUF-traktatens artikel 288, at en forordning er almengyldig,
samt at den binder i alle enkeltheder og gælder umiddelbart i hver med-
lemsstat. Hertil kommer, at forordningsforslaget efter sit indhold bl.a. har
til formål at ophæve og erstatte det gældende databeskyttelsesdirektiv (di-
rektiv 95/46/EF). En konsekvens af forslaget vil derfor bl.a. være, at den
regulering, der følger af lov nr. 429 af 31. maj 2000 om behandling af per-
sonoplysninger (persondataloven) – samt andre love, bekendtgørelser mv.,
der vedrører behandling af personoplysninger – efter omstændighederne
vil skulle ophæves eller ændres i overensstemmelse med ordlyden af den
endelige forordning.
Det bemærkes dog, at forordningsforslaget indeholder en række bestem-
melser, hvorved medlemsstaterne på konkrete områder overlades beføjelse
20
PDF to HTML - Convert PDF files to HTML files
til – under overholdelse af forordningen – at fastsætte nærmere regler om
behandling af personoplysninger, jf. bl.a. under pkt. 2.10 ovenfor.
Den endelige fastlæggelse af, hvilke love der vil være behov for at ophæve
eller ændre, vil finde sted i samarbejde med de berørte ressortministerier.
Forslaget vil indebære, at bestemmelserne i den gældende persondatalov i
al væsentlighed vil skulle erstattes af forordningens regulering, der som
nævnt vil gælde umiddelbart i hver medlemsstat. De behandlingsregler,
rettigheder for den registrerede, datasikkerhedsregler mv., der i dag følger
af persondataloven, vil – efter forslagets vedtagelse – således alene være at
finde i forordningen.
Det følger endvidere af forslaget, at forordningens regulering skal supple-
res af national lovgivning bl.a. om oprettelse af en national tilsynsmyndig-
hed.
Herudover bemærkes det, at for Danmarks vedkommende vil anvendelsen
af sanktioner som nævnt i forslagets artikel 79 i givet fald skulle ske i form
af udenretlige bødeforlæg. Datatilsynet har ikke en sådan adgang efter
gældende ret, og det vil således kræve en lovændring med henblik på at
etablere denne adgang i overensstemmelse med forslaget.
Forslaget vurderes at have statsfinansielle konsekvenser.
Efter et foreløbigt skøn baseret på de foreliggende forslag (forordning og
direktiv), vil reformpakken om databeskyttelse medføre øgede omkostnin-
ger. Det følger af budgetreglerne, at finansieringen af disse øgede omkost-
ninger skal holdes inden for Justitsministeriets ramme eller forelægges re-
geringens Ø-udvalg, hvis det skønnes, at dette ikke kan lade sige gøre.
Kommissionens forslag vurderes at medføre såvel administrative lettelser
som administrative byrder for danske virksomheder.
De administrative lettelser skyldes især harmoniseringen af databeskyt-
telseskrav og bestemmelsen om, at det alene er databeskyttelses-
myndigheden i det land, hvor selskabet har sit hovedkontor, der skal afgø-
re om selskabet handler lovligt. Lettelserne vil derfor især vedrøre virk-
somheder, der opererer i flere EU-lande.
Forslaget vil dog også medføre en række nye byrder for erhvervslivet som
følge af bl.a. bestemmelserne om dokumentation af databehandling, jf. ar-
tikel 28 og kravet om konsekvensanalyser vedrørende databeskyttelse, in-
den der foretages risikobehæftede databehandlinger, jf. artikel 33.
21
PDF to HTML - Convert PDF files to HTML files
De forventede administrative konsekvenser ved forslaget vil blive under-
søgt nærmere med henblik på dels at kvantificere konsekvenserne for dan-
ske virksomheder, dels at komme med anbefalinger til, hvordan de admini-
strative byrder i forslaget kan reduceres.
5.
Høring
Forslaget er sendt i høring hos følgende myndigheder og organisationer
mv.:
Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Præsi-
denten for Sø- og Handelsretten, Præsidenterne for byretterne, Advokatrå-
det, Advokatsamfundet, Akademikernes Centralorganisation, Amnesty In-
ternational, Arbejderbevægelsens Erhvervsråd, Arbejdsmarkedsstyrelsen,
Arbejdstilsynet, BAT-Kartellet (Bygge- Anlægs- og Trækartellet), BFID
(Brancheforeningen af Farmaceutiske Industrivirksomheder i Danmark),
Boligselskabernes Landsforening, Brancheforeningen for Sæbe, Parfume
og Teknisk/kemiske artikler, Bryggeriforeningen, Børnerådet, Danmarks
Apotekerforening, Danmarks Rederiforening, Danmarks Statistik, Dansk
Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomsmæglerforening,
Dansk Eksportforening, Dansk Erhverv, Dansk Industri, Dansk Inkasso-
Brancheforening, Dansk Metal, Dansk Metalarbejderforbund, Dansk Rej-
sebureau Forening, Dansk Retspolitisk Forening, Dansk Selskab for
Akutmedicin, Dansk Selskab for Retsmedicin, Dansk Standard, Dansk Sy-
geplejeråd, Dansk Told og Skatteforbund, Dansk Varefakta Nævn, Danske
Advokater, Danske Arkitektvirksomheder, Danske Dagblades Forening,
Danske Maritime (skibsværtforening), Danske Regioner, Danske Rekla-
mebureauers Branceforening, Danske Speditører, De Danske Patentagen-
ters Forening, De Videnskabsetiske Komiteer for Region Hovedstaden, De
Videnskabsetiske Komiteer for Region Midtjylland, De Videnskabsetiske
Komitéer for Region Sjælland, Den Centrale Videnskabsetiske Komité,
Den Videnskabsetiske Komité for Region Nordjylland, Den Videnskabs-
etiske Komité for Region Syddanmark, Det Etiske Råd, Det Frie Forsk-
ningsråd, Det Nordiske Cochrane Center, Det Strategiske Forskningsråd,
DI-Organisation for erhvervslivet, DJØF, Dommerforeningen, Dommer-
fuldmægtigforeningen, Domstolenes Tjenestemandsforening, Domstols-
styrelsen, DPU - Danmarks Pædagogiske Universitetsskole, DSI – Dansk
Sundhedsinstitut, Elektricitetsrådet, Fagligt Fælles Forbund, FDB, Finans
og Leasing, Finansrådet, Forbrugerombudsmanden, Forbrugerrådet, Fore-
byggelses- og Patientrådet, Foreningen af Advokater og Advokatfuldmæg-
tige, Foreningen af Danske Interaktive Medier, Foreningen af Offentlige
Anklagere, Foreningen af Registrerede Revisorer, Foreningen af Rådgi-
22
PDF to HTML - Convert PDF files to HTML files
vende Ingeniører, Foreningen af Statsautoriserede Revisorer, Foreningen
Danske Inkassoadvokater, Forsikring & Pension, Frederiksberg Kommu-
ne, FTF-Funktionærernes og Tjenestemændenes Fællesråd, Grundejernes
Landsorganisation, Grønlands Hjemmestyre, Handels- og Kontorfunktio-
nærernes Forbund, Handelshøjskolen i København (Juridisk Institut),
Handelshøjskolen i Århus (Juridisk Institut), HK Landsklubben Danmarks
Domstole, Horesta, Håndværksrådet, IDA (Ingeniørforeningen), Institut
for Menneskerettigheder, IT-Brancheforeningen, ITEK, Jordemoderfor-
eningen, Kommunernes Landsforening, Kooperationen, Kræftens Bekæm-
pelse, Københavns Kommune, Københavns Universitet, Københavns Uni-
versitetshospital, Landbrug og Fødevarer, Landsforeningen af Beskikkede
Advokater, Landsforeningen af Forsvarsadvokater, Ledernes Hovedorga-
nisation, Lejernes Landsorganisation, Liberale Erhvervs Råd, LIF – Læ-
gemiddelindustriforeningen, LO, Lægeforeningen, Lægemiddelindustri-
foreningen – LIF, MCI – Danmark, Medicoindustrien, Microsoft Dan-
mark, Motorola, NFA - Det Nationale Forskningscenter for Arbejdsmiljø,
Offentligt Ansattes Organisationer, Organisationen af Lægevidenskabelige
Selskaber, Parellelimportørforeningen af Lægemidler, Patientforsikringen,
Patientombuddet, Politiforbundet i Danmark, Praktiserende Lægers Orga-
nisation, Procesbevillingsnævnet, Professionshøjskolen Metropol, Profes-
sionshøjskolen UCC, Professionshøjskolen University College Nordjyl-
land, Realkreditrådet, Retspolitisk Forening, Retssikkerhedsfonden, RUC,
Sammenslutningen af Danske Småøer, SFI (Det Nationale Forskningscen-
ter for Velfærd), Skibsværftsforeningen, Sonofon, Statens Seruminstitut,
Syddansk Universitet, Syddansk Universitet (Juridisk Institut), Tele2 A/S,
Telekommunikationsindustrien, Telia, University College Lillebælt, Uni-
versity College Sjælland, University College Syddanmark, VIA University
College, Yngre Læger, Aalborg Universitet, Aarhus Universitet, Datatilsy-
net, Digitaliseringsstyrelsen, Direktoratet for Kriminalforsorgen, Erhvervs-
styrelsen, Finanstilsynet, Forsknings- og Innovationsstyrelsen, Konkurren-
ce- og Forbrugerstyrelsen, Lægemiddelstyrelsen, Miljøstyrelsen, Natursty-
relsen, Patent- og Varemærkestyrelsen, Rigsadvokaten, Rigspolitiet, Sik-
kerhedsstyrelsen, Styrelsen for Slotte og Kulturejendomme, Søfartsstyrel-
sen og Trafikstyrelsen.
Høringsfristen er fastsat til den 1. juli 2012.
6.
Nærhedsprincippet
Kommissionen har om nærhedsprincippet bl.a. anført, at retten til beskyt-
telse af personoplysninger, som er udtrykkeligt anerkendt i artikel 8 i Den
23
PDF to HTML - Convert PDF files to HTML files
Europæiske Unions Charter om Grundlæggende Rettigheder, kræver sam-
me databeskyttelsesniveau i hele EU. Hvis der ikke indføres fælles EU-
regler, opstår der ifølge Kommissionen risiko for forskellige databeskyttel-
sesniveauer i medlemsstaterne og begrænsninger for strømmen af person-
oplysninger på tværs af landegrænserne mellem medlemsstater med for-
skellige standarder.
Herudover har Kommissionen peget på, at personoplysninger videregives
stadig hurtigere på tværs af nationale grænser, og at der er en række prakti-
ske udfordringer i forbindelse med håndhævelsen af lovgivningen om da-
tabeskyttelse og et behov for samarbejde mellem medlemsstaterne og de-
res myndigheder, som bør organiseres på EU-plan for at sikre en ensartet
anvendelse af EU-retten. Kommissionen anser desuden EU som mest vel-
egnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fy-
siske personer, når deres personoplysninger videregives til tredjelande.
Kommissionen anfører også, at der er et specifikt behov for at skabe en
harmoniseret og sammenhængende ramme, som muliggør nem udveksling
af personoplysninger på tværs af EU's grænser, samtidig med at alle fysi-
ske personer i EU sikres en effektiv beskyttelse. Kommissionen mener ik-
ke, at medlemsstaterne selv kan mindske de aktuelle problemer, navnlig
ikke problemerne vedrørende de nationale lovgivningers fragmentering.
Kommissionen anfører herudover, at den foreslåede EU-lovgivning vil væ-
re mere effektiv end tilsvarende lovgivning på medlemsstatsniveau på
grund af problemernes karakter og omfang, som ikke kun gør sig gældende
for en eller flere medlemsstater.
Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres på
EU-niveau.
Regeringen er umiddelbart enig med Kommissionen i, at en manglende
ensartet udformning og anvendelse af databeskyttelsesregler på tværs af
medlemsstaterne skaber visse vanskeligheder navnlig for private virksom-
heder, der driver virksomhed i flere medlemsstater. Det er på den bag-
grund regeringens helt foreløbige vurdering, at forslaget er i overensstem-
melse med nærhedsprincippet. Det bemærkes i den forbindelse, at det gæl-
dende databeskyttelsesdirektiv bl.a. har til formål at sikre en indbyrdes til-
nærmelse af medlemsstaternes lovgivninger med henblik på at fjerne hin-
dringer for udveksling af personoplysninger.
24
PDF to HTML - Convert PDF files to HTML files
7.
Andre landes kendte holdninger
Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-
lemsstaters holdning til forslaget.
8.
Foreløbig generel dansk holdning
Fra dansk side er man overordnet set positiv over for Kommissionens for-
slag.
Den endelige stillingtagen til forslaget vil navnlig bero på en nærmere
vurdering af, om forslaget skaber den rette balance mellem hensynet til da-
tabeskyttelsen og en række andre væsentlige hensyn, herunder hensynet til
den fri bevægelighed i EU, til muligheden for at udøve forskning, til de be-
rørte virksomheders rammevilkår, til den offentlige sektors effektive op-
gaveløsning og til udnyttelsen af de muligheder, som moderne teknologi
medfører. Endvidere vil en stillingtagen bero på en vurdering af, om for-
slaget skaber den rette balance mellem merværdi og omkostninger, herun-
der i form af administrative konsekvenser. Skabelsen af den rette balance
vil efter regeringens opfattelse bl.a. indebære, at forslaget ikke unødigt
hindrer løsningen af væsentlige opgaver i såvel den offentlige som den
private sektor, og at forslaget ikke indebærer unødige omkostninger.
Fra dansk side vil man arbejde for, at omkostningerne ved forslaget redu-
ceres i forhold til Kommissionens forslag.
Samlet set finder regeringen, at forslagets forholdsvis omfattende karakter
og dets forventede indvirkning på store dele af den offentlige og private
sektor nødvendiggør, at der foretages en nærmere vurdering af forslagets
indhold, inden en endelig stillingtagen til forslaget kan finde sted. Denne
vurdering vil bl.a. finde sted på baggrund af resultatet af den iværksatte
høring over forslaget, jf. pkt. 5 ovenfor, samt en vurdering af de statsfinan-
sielle og administrative konsekvenser.
Regeringen finder endvidere, at forordningsforslagets administrative sank-
tioner, som i visse tilfælde indebærer et meget højt bødeniveau, må over-
vejes med henblik på at sikre, at de foreslåede administrative sanktionsni-
veauer er i overensstemmelse med proportionalitetsprincippet.
Herudover finder regeringen, at den nærmere rækkevidde og det nærmere
indhold af en række af forslagets bestemmelser må søges afklaret under de
kommende forhandlinger. Det gælder bl.a. i forhold til forslagets anven-
delse i forhold til registeransvarlige, der er etablerede i tredjelande, defini-
tionen af ”hovedvirksomhed”, Kommissionens adgang til at vedtage dele-
25
PDF to HTML - Convert PDF files to HTML files
gerede retsakter og de mange nyskabelser, der er indeholdt i forslaget. Det
gælder også i forhold til de nævnte uklarheder i den danske sprogversion.
9.
Orientering af andre af Folketingets udvalg
Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-
tingets Retsudvalg.
26