L 68 Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

(databeskyttelsesloven).

Af: Justitsminister Søren Pape Poulsen (KF)

Udvalg: Retsudvalget

Samling: 2017-18

Status: Stadfæstet

Betænkning

Afgivet: 09-05-2018

Betænkning afgivet af Retsudvalget den 9. maj 2018 (omtryk)

20171_l68_betaenkning.pdf
Html-version

Læg i dokumentkurv

Betænkning afgivet af Retsudvalget den 9. maj 2018

1. Ændringsforslag

Det er stillet 8 ændringsforslag til lovforslag nr. L 68 og 10 ændringsforslag til lovforslag nr. L 69. Enhedslistens, Radikale Venstres, Alternativets og Socialistisk Folkepartis medlemmer af udvalget har stillet ændringsforslag nr. 1, 4 og 5, og justitsministeren har stillet ændringsforslag nr. 2, 3 og 6-8 til lovforslag nr. L 68. Justitsministeren har stillet ændringsforslag nr. 1-10 til lovforslag nr. L 69.

2. Udvalgsarbejdet

Lovforslagene blev fremsat den 25. oktober 2017 og var til 1. behandling den 16. november 2017. Lovforslagene blev efter 1. behandling henvist til behandling i Retsudvalget.

Møder

Udvalget har behandlet lovforslagene i 12 møder.

Høring

Udkast til lovforslagene har inden fremsættelsen været sendt i høring, og justitsministeren sendte den 7. juli 2017 og den 21. august 2017 disse udkast til udvalget, jf. REU alm. del - bilag 332 og 336, (folketingsåret 2016-17). Den 25. oktober 2017 og den 26. oktober 2017 sendte justitsministeren de indkomne høringssvar og notater herom til udvalget.

Teknisk gennemgang

Justitsministeren og medarbejdere fra Justitsministeriet foretog den 9. november 2017 en teknisk gennemgang af lovforslagene for udvalget.

Ekspertmøde

Udvalget afholdt den 1. marts 2018 et offentligt ekspertmøde om konsekvenserne af bestemmelserne i lovforslag nr. L 68 om offentlige myndigheders viderebehandling af personoplysninger (§ 5, stk. 3) og oplysningspligten i forbindelse hermed (§ 23).

Skriftlige henvendelser

Udvalget har i forbindelse med udvalgsarbejdet modtaget skriftlige henvendelser fra:

Copenhagen Business School,

Dansk Fjernvarme,

Finans og Leasing,

Forsikring & Pension,

Københavns Universitet,

N. N. og

Youth For Understanding Danmark.

Justitsministeren har over for udvalget kommenteret de skriftlige henvendelser til udvalget.

Samråd

Udvalget har stillet 5 spørgsmål til justitsministeren til mundtlig besvarelse, som denne har besvaret i 2 samråd med udvalget den 23. januar 2018 og den 5. april 2018. Ministeren har efterfølgende sendt udvalget de talepapirer, der lå til grund for besvarelse af spørgsmålene.

Spørgsmål

Udvalget har stillet 125 spørgsmål til justitsministeren til skriftlig besvarelse, som denne har besvaret. Nogle af udvalgets spørgsmål og justitsministerens svar herpå er optrykt som bilag 2 til betænkningen.

3. Præcisering fra justitsministeren

Justitsministeriet har anmodet om, at der medtages følgende præciseringer af bemærkningerne til lovforslag nr. L 69, § 19, stk. 1:

»Med § 19, stk. 1, i lovforslag nr. L 69 foreslås det, at § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester ændres, således at kriminalforsorgen medtages i opregningen af de myndigheder, hvortil nummeroplysningsdata som nævnt i lovens § 31, stk. 5, nr. 2 (dvs. oplysninger om hemmelige og udeladte numre), kan videregives. Endvidere foreslås det, at ordet »retterne« i § 31, stk. 6, ændres til »de enkelte retter«.

Det følger uddybende af pkt. 2.9.2 i de almindelige bemærkninger til lovforslaget og af bemærkningerne til lovforslagets § 19, stk. 1, at de foreslåede ændringer vil indebære, at retternes adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroply?sningsdatabasen (118) som led i telefonforkyndelser, udvides til også at omfatte opslag til brug for påmindelser pr. sms om tid og sted for et retsmøde, når der er sket forkyndelse i overensstemmelse med retsplejeloven, og at kriminalforsorgen får en lignende adgang til at indhente oplysninger i nummeroplysningsdatabasen til brug for påmindelser pr. sms om tid og sted for afsoning, møder i kriminalforsorgen m.v.

Direktoratet for Kriminalforsorgen har efter fremsættelsen af lovforslaget den 25. oktober 2017 meddelt Justitsministeriet, at direktoratet tillige ønsker at gøre brug af oplysninger fra nummeroplysningsdatabasen om hemmelige og udeladte numre i forbindelse med telefoniske påmindelser til dømte, der er i målgruppen for fodlænkeafsoning, men ikke har reageret på et informationsbrev om muligheden herfor. Justitsministeriet kan tilslutte sig, at muligheden for at benytte oplysninger om hemmelige og udeladte numre i forbindelse med telefoniske påmindelser til dømte af denne art vil kunne effektivisere kriminalforsorgens arbejde for at sikre, at fodlænkeordningen udnyttes i de tilfælde, hvor betingelserne herfor er opfyldt.

På den baggrund ønsker Justitsministeriet at præcisere i pkt. 2.9.2 i de almindelige bemærkninger til lovforslaget og de specielle bemærkninger til lovforslagets § 19, stk. 1, at kriminalforsorgen også skal have adgang til at indhente oplysninger om hemmelige og udeladte numre i nummeroply?sningsdatabasen til brug for telefoniske påmindelser til dømte, der er i målgruppen for fodlænkeafsoning, men ikke har reageret på et informationsbrev om denne afsoningsform.«

4. Indstillinger

Til L 68

Et flertal i udvalget (S, V, LA og KF) indstiller lovforslaget til vedtagelse med ændringsforslag nr. 2, 3 og 6-8.

Et mindretal i udvalget (EL, RV, ALT og SF) vil ved 3. behandling stemme hverken for eller imod lovforslaget. Mindretallet vil stemme for ændringsforslag nr. 1-3, 7 og 8. Hvis ændringsforslag nr. 1 ikke vedtages, vil mindretallet principalt stemme for ændringsforslag nr. 4 og subsidiært for ændringsforslag nr. 5. Hvis hverken ændringsforslag nr. 1, 4 eller 5 vedtages, vil mindretallet stemme for ændringsforslag nr. 6.

Et andet mindretal i udvalget (DF) vil ved 3. behandling stemme hverken for eller imod lovforslaget. Mindretallet vil stemme for ændringsforslag nr. 1 og 3-8.

Et tredje mindretal i udvalget (IA) vil stemme hverken for eller imod de stillede ændringsforslag og vil ved 3. behandling stemme hverken for eller imod lovforslaget.

Til L 69

Et flertal i udvalget (udvalget med undtagelse af IA) indstiller lovforslaget til vedtagelse med de stillede ændringsforslag.

Et mindretal i udvalget (IA) vil stemme hverken for eller imod de stillede ændringsforslag, og vil ved ved 3. behandling stemme hverken for eller imod lovforslaget.

5. Politiske bemærkninger

Socialdemokratiets, Venstres, Liberal Alliances og Det Konservative Folkepartis medlemmer af udvalget ønsker at styrke beskyttelsen af danskernes personoplysninger. Dette er databeskyttelsesforordningen og forslaget til en ny databeskyttelseslov et udtryk for. Det er således et hovedformål med både forordningen og llovforslaget at styrke beskyttelsen af borgernes personoplysninger. Der er da heller ikke tvivl om, at reglerne allerede har skabt meget opmærksomhed både i den offentlige og den private sektor. Partierne anser det for positivt, at man er blevet mere opmærksom på at overholde reglerne om databeskyttelse. Partierne er overbevist om og forventer, at de kommende regler - bl.a. om de højere bøder - vil sikre, at man både i det offentlige og i det private vil passe bedre på vores alle sammens oplysninger.

Partierne har noteret sig, at debatten om L 68 først og fremmest har drejet sig om forslagets § 5, stk. 3, og § 23. Partierne har også noteret sig, at justitsministeren den 9. februar 2018 har stillet et ændringsforslag (ændringsforslag nr. 6), hvorefter lovforslagets § 23 om undtagelse fra den såkaldte oplysningspligt i tilfælde, hvor der sker viderebehandling af personoplysninger på baggrund af regler fastsat efter forslagets § 5, stk. 3, ikke finder anvendelse, når formålet med viderebehandlingen er sammenstilling eller samkøring af personoplysninger i kontroløjemed.

For så vidt angår forslagets § 5, stk. 3, bemærker partierne, at offentlige myndigheder i dag i vidt omfang kan genbruge oplysninger til andre formål end det oprindelige. Det kræver en konkret vurdering i hver enkelt sag, og myndigheden må ikke genbruge data til »uforenelige« formål.

Erfaringsmæssigt kan man f.eks. i kommunerne ofte komme i tvivl om, hvorvidt personoplysninger på den baggrund lovligt senere må bruges til et andet formål. Den konkrete vurdering af, om et nyt formål er foreneligt eller ej, skaber således usikkerhed og tvivl i myndighedernes daglige sagsbehandling. Det har ført til en forskelligartet praksis. Lovforslagets § 5, stk. 3, og muligheden for at udstede en bekendtgørelse om videreanvendelse af oplysninger har til formål at komme denne tvivl til livs og skabe klarhed.

Det afgørende efter bemyndigelsesbestemmelsen i stk. 3 er ikke, om bekendtgørelsen medfører, at der i en databeskyttelsesretlig sammenhæng viderebehandles til »forenelige« formål eller ej. Formålet med bestemmelsen er netop at give mulighed for at undgå denne konkrete vurdering, der har vist sig at være vanskelig og ført til den beskrevne tvivl.

Datatilsynet skal i øvrigt som uafhængig tilsynsmyndighed på forhånd udtale sig om hver enkelt bekendtgørelse efter forslagets § 5, stk. 3, herunder om, hvorvidt bekendtgørelsen er i strid med EU-reglerne eller i øvrigt giver anledning til betænkeligheder.

Der er i lovforslaget opsat hegnspæle for bekendtgørelserne efter § 5, stk. 3. Det betyder, at der f.eks. ikke kan udstedes en bekendtgørelse, der strider mod en særlig lovbestemt tavshedspligt, f.eks. sundhedslovens § 40 om sundhedspersoners tavshedspligt. Det ville således kræve en lovændring at ændre på f.eks. praktiserende lægers tavshedspligt. Der henvises i øvrigt til lovforlagets bemærkninger om forslagets § 5, stk. 3.

Partierne ønsker på den baggrund med lovforslagets § 5, stk. 3, at bidrage til at skabe klarhed om videreanvendelsen af persono?plysninger i den offentlige sektor og gøre op med den tvivl, der har været om videreanvendelse af perso?no?plysninger.

Partierne mener, at der med lovforslaget - særlig efter justitsministerens ændringsforslag af 9. februar 2018 (ændringsforslag nr. 6) - er fundet den rette balance, der bl.a. sikrer, at borgernes rettigheder tilgodeses. Partierne ønsker at skabe klare rammer for, at myndighederne har alle relevante oplysninger til rådighed for at kunne træffe rigtige afgørelser og iværksætte rigtige tiltag. Og det sker vel at mærke inden for databeskyttelsesforordningens rammer.

Socialdemokratiets, Venstres, Liberal Alliances og Det Konservative Folkepartis medlemmer af udvalget ønsker samtidig at sikre den demokratiske kontrol med myndigheders behandling af personoplysninger, herunder videregivelse og samkøring af personoplysninger, og at markere, at borgernes personoplysninger er i centrum. Partierne ønsker derfor, at vedkommende minister, der påtænker at udstede en bekendtgørelse efter lovforslagets § 5, stk. 3, skal sende udkastet til bekendtgørelse til det relevante udvalg i Folketinget og til Retsudvalget, samtidig med at bekendtgørelsesudkastet sendes i høring hos Datatilsynet og organisationer m.v. Udvalgene skal således have en mulighed for at udtale sig om bekendtgørelsesudkastet, inden bekendtgørelsen udstedes. Partierne finder det i lyset af den debat, der har været om forslagets § 5, stk. 3, vigtigt, at der på den måde bliver mulighed for en politisk debat om de udkast til bekendtgørelser, ministerierne ønsker at udstede efter bemyndigelsesbestemmelsen.

Partierne er enige om, at det pågældende ministerium, der påtænker at udstede en bekendtgørelse efter forslagets § 5, stk. 3, vil sikre, at den ikke udstedes, hvis et flertal i udvalgene ikke finder, at den pågældende behandling af perso?noplysninger skal reguleres i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3. Et flertal i udvalgene har således mulighed for at hindre, at den pågældende bekendtgørelse udstedes. Partierne er samtidig enige om, at der er tale om en særlig konstruktion. Ordningen skal ses i lyset af, at der er tale om en tværgående bemyndigelsesbestemmelse, og af det stærke politiske ønske, der har været fremsat fra forskellig side, om et særligt politisk ophæng.

Samtidig har partierne noteret sig, at Justitsministeriet bl.a. i besvarelsen af spørgsmål nr. 102 til L 68 har tilkendegivet (1) at ville føre en liste over bekendtgørelser udstedt i medfør af bemyndigelsesbestemmelsen, (2) at ville redegøre årligt over for Folketinget for, hvilke bekendtgørelser der er blevet udstedt efter bestemmelsen, og (3) at ville sende en evaluering til Folketinget - et par år efter at den nye databeskyttelseslov er trådt i kraft - om, hvordan bemyndigelsen i § 5, stk. 3, er blevet brugt og har fungeret i praksis.

Partierne bemærker endvidere, at lovforslagets § 23 begrænser oplysningspligten for myndigheden, der allerede én gang har opfyldt sin oplysningspligt over for den registrerede. Den registrerede er i denne situation således allerede én gang blevet orienteret om de oplysninger, som følger af databeskyttelsesforordningen. Samtidig lægger partierne afgørende vægt på ændringsforslaget fremsendt af justitsministeren den 9. februar 2018, som partierne støtter, og som indebærer, at underretningspligten gælder, når formålet med bekendtgørelsen er sammenstilling eller samkøring af perso?no?plysninger i kontroløjemed. Når myndigheder kontrollerer borgerne, er der således tale om en indgribende behandlingssituation, og det er derfor vigtigt, at borgerne orienteres om en sådan behandling på forhånd.

Enhedslistens, Radikale Venstres, Alternativets og Socialistisk Folkepartis medlemmer af udvalget bemærker, at EU's databeskyttelsesforordning er på borgerens og frihedsrettighedernes side og går langt for at sikre borgerens ret til egne data og gennemsigtighed i registreringen af borgerne. Regeringens forslag til databeskyttelseslov følger de gode takter og har fokus på opstramninger på databeskyttelsesområdet. Desværre indeholder lovforslaget også elementer, som går stik imod intentionerne i databeskyttelsesloven. Partierne er således imod lovforslagets § 5, stk. 3, der indeholder muligheden for, at ministre alene gennem en bekendtgørelse og uden om Folketinget vil kunne tillade myndighederne at samkøre borgernes persondata på tværs, uanset om viderebehandlingen er forenelig eller ej med det oprindelige formål, som dataene var indsamlet til. Der åbnes derfor for meget vidtgående muligheder for at samkøre data på tværs af myndigheder om eksempelvis borgerens bopæl, nationalitet, udeblivelse fra lægebesøg, arbejdsløshed, psykisk sygdom og misbrugshistorik. Partierne er også imod lovforslagets § 23. Partierne mener nemlig, at oplysningspligten skal gælde i vidt muligt omfang, så borgerne ved, hvad deres data bruges til. I forsøget på at bevare retsstaten, må vi ikke afskaffe dens bærende principper. I stedet skal vi respektere borgernes frihedsrettigheder og udvise datadisciplin frem for datagrådighed.

Derfor finder partierne det positivt, at ministeren har lyttet delvis til den massive kritik fra organisationer, forskere og EL, RV, ALT og SF. Ministeren har således indgået en aftale sammen med Socialdemokratiets, Venstres, Liberal Alliances og Det Konservative Folkepartis medlemmer af udvalget, der i deres politiske bemærkninger til denne betænkning indfører en ordning, hvormed en minister ikke må udstede en bekendtgørelse, hvis et flertal i Folketingets pågældende ressortudvalg og Retsudvalget er imod det. Det er dermed positivt, at man har valgt at sikre, at der fortsat er en forankring i Folketinget, hvad angår spørgsmål om, hvordan og hvornår det offentlige må bruge borgernes persondata.

Partierne stiller sig dog uforstående over for den valgte ordning. Man har - med regeringspartiernes og Socialdemokratiets egne ord - valgt en ordning, der er en særlig konstruktion. Det virker til, at der mere er tale om et kompromis i form af en nødløsning, end at der er tale om, at man har valgt det, man mener er den ideelle løsning. Partierne finder det således ærgerligt, at aftalepartierne - Socialdemokratiet, Venstre, Liberal Alliance og Det Konservative Folkeparti - ikke bare vælger at stemme for ændringsforslag nr. 1 om at lade § 5, stk. 3, udgå af lovforslaget, hvormed spørgsmålene om det offentliges databrug fortsat havde været afgjort ved helt almindelige lovbehandlinger i Folketinget med de grundige processer, der hører til.

Endvidere påpeger partierne, at ministerens ændringsforslag nr. 6 vedrørende § 23 alene medfører, at sammenstilling eller samkøring i kontroløjemed underlægges oplysningspligt. Det er en forbedring, men sammenstilling eller samkøring med henblik på profilering og eventuelt andre tiltag, der udgør et indgreb i borgernes ret til privatliv, bliver ikke underlagt oplysningspligten som følge af ministerens ændringsforslag. Partierne noterer i den sammenhæng, at ministeren, jf. sit svar på spørgsmål nr. 69, ikke støtter ændringsforslag nr. 4 vedrørende § 23, der vil medføre, at § 23 udgår af lovforslaget, og, jf. sit svar på spørgsmål nr. 113, heller ikke støtter ændringsforslag nr. 5 vedrørende § 23, der vil medføre, at oplysningspligten finder anvendelse, ikke kun når sammenstilling og samkøring af personoplysninger sker i kontroløjemed, men også når det sker i profileringsøjemed, dvs. med henblik på profilering af den ene eller den anden slags. Dermed vil det fortsat være sådan, at når offentlige myndigheder samkører borgernes persondata for at foretage profilering, vil borgerne ikke blive oplyst om det. Når Gladsaxe Kommune således ønsker at profilere kommunens børnefamilier for at identificere udsatte børn, vil ingen af de profilerede borgere blive oplyst herom. Det mener partierne er i strid med forordningens ånd og formål, der netop forudsætter, at borgernes persondata tilhører netop borgerne selv, og at borgerne skal have så meget oplysning som muligt om, hvordan deres persondata bruges, videreanvendes og samkøres. Partierne opfordrer derfor ministeren og de resterende partier kraftigt til at støtte ændringsforslag nr. 4 og som minimum at støtte ændringsforslag nr. 5.

Foruden de overordnede politiske bemærkninger som beskrevet i de forrige afsnit har partierne følgende kommentarer til ministerens svar på en række spørgsmål fra udvalget:

- I Retsudvalgets betænkning over Forslag til lov om ændring af lov om offentlige myndigheders registre (Fritagelse af visse registertyper for forskriftskravet m.v.) fra 1991 læses følgende: »Flertallet forudsætter, at myndighederne i forbindelse med samkøring i kontroløjemed har et klart og utvetydigt retsgrundlag at arbejde på, og at myndighederne kun lader kontrolordningen tage sigte på fremtidige forhold, medmindre særlige forhold gør sig gældende. Flertallet lægger vægt på, at de borgere, som berøres af en kontrolordning, i almindelighed gøres opmærksom på myndighedernes adgang til at foretage samkøring i kontroløjemed, inden kontrollen iværksættes, og at samkøringen så vidt muligt kun finder sted, hvis de personer, der omfattes af kontrollen, har fået meddelelse om kontrolordningen, inden de afgiver oplysninger til myndigheden.« Partierne finder det iøjnefaldende, at Folketingets Retsudvalg tilbage i 1991, da det digitale samfunds datamuligheder og dataudfordringer befandt sig i sit spæde stadie, fastsatte en særdeles fornuftig linje for myndighedernes samkøring af data. I modsætning til dette ønsker den nuværende regering - i år 2018, hvor vi for alvor er på vej ind i det digitale samfunds tidsalder med alle de muligheder, udfordringer og farer, der tilhører - at tage et opgør med 1991-betænkningen og anlægge en ufornuftig linje, hvor myndighedernes videreanvendelse af data, herunder til samkøring af data i kontroløjemed, ikke længere vil kræve et klart og utvetydigt retsgrundlag (hvilket i praksis vil sige på grundlag af direkte lovhjemmel), men i stedet alene vil kræve en ministerbekendtgørelse.

- Partierne kritiserer skarpt, at ministeren i sit svar på spørgsmål nr. 79 afviser at komme med konkrete eksempler på situationer, hvor ministeren forventer at kravene lige akkurat er opfyldt, til at der vil kunne gøres undtagelse fra oplysningspligten som følge af § 22 og databeskyttelsesforordningens artikel 13, stk. 4, og artikel 14, stk. 5.

- Partierne kritiserer ligeledes skarpt, at ministeren i sit svar på spørgsmål nr. 80 kun kommer med ét konkret eksempel på, hvornår en behandling af personoplysninger er i kontroløjemed, og ét konkret eksempel på, hvornår den ikke er. Derudover henviser ministeren til ændringsforslag nr. 6 vedrørende § 23, hvori der nævnes tre eksempler på, hvornår § 5, stk. 3, kan tages i brug. Idet spørgeren i sit spørgsmål anmodede om ti konkrete eksempler på, hvornår noget er i kontroløjemed, og ti konkrete eksempler på, hvornår det ikke er, for således at få illustreret på en retvisende, fyldestgørende og bred vis, hvad begrebet kontroløjemed indebærer, og hvornår det kan tages i brug, er dette stærkt utilfredsstillende. Det er således fortsat er uklart, præcist hvad begrebet kontroløjemed indebærer, og hvornår det kan tages i brug.

- Partierne kritiserer endvidere skarpt, at ministeren i sit svar på spørgsmål nr. 112 ikke som anmodet fremsender tre fiktive og alsidige eksempler på bekendtgørelser, der kunne være udstedt med hjemmel i § 5, stk. 3, og som alle illustrerer, hvordan en bekendtgørelse efter lovforslagets vedtagelse vil kunne se ud, når den er mindst muligt konkret, detaljeret og uddybende. I stedet henviser ministeren alene til svar på spørgsmål nr. 80, som slet ikke forholder sig til det adspurgte i spørgsmål nr. 112. Partierne mener, at det fortsat er uklart, hvordan en bekendtgørelse efter § 5, stk. 3, vil kunne se ud, når den er så lidt konkret, detaljeret og uddybende som muligt.

- Partierne finder det på baggrund af de tre ovenstående skarpe kritikpunkter stærkt utilfredsstillende og aldeles utilstrækkeligt for det danske folkestyre, at ministeren ikke vil medvirke til skabe det fornødne videngrundlag i Folketinget og offentligheden til at forstå lovforslagets indhold, betydning og konsekvenser på et konkret niveau for derigennem at kunne vurdere og behandle lovforslaget på tilfredsstillende og fyldestgørende vis.

- Partierne finder det uacceptabelt, at ministeren gentagne gange nægter at svare på udvalgets spørgsmål om, hvor mange gange ministeren har afvist at give interview til den kritiske presse, navnlig Dagbladet Politiken, og om ministeren mener, at det er acceptabelt eller hensigtsmæssigt for en minister at afvise at give interview til den kritiske presse om et omdiskuteret lovforslag som i dette tilfælde, jf. svar på spørgsmål nr. 77 og 81.

- Partierne noterer, at ministeren i sit svar på spørgsmål nr. 86 oplyser, at »Det skal stå klart efter en bekendtgørelse efter lovforslagets § 5, stk. 3, hvilke personoplysninger bekendtgørelsen omfatter.« Partierne konkluderer således, at det er et krav, at bekendtgørelser efter lovforslagets § 5, stk. 3, redegør for, hvilke personoplysninger bekendtgørelsen omfatter. Partierne noterer endvidere, at ministeren i resten af sin besvarelse på spørgsmål nr. 86 benytter en formulering om, at det vil »være relevant« - det vil sige ikke et krav - at regulere specifikt i en bekendtgørelse, hvilke formål der kan ske videreanvendelse til, og hvilke formål der ikke kan ske videreanvendelse til, og at det ligeledes vil »være relevant« - det vil sige ikke et krav - at fastsætte bestemmelser om, hvor lang tid personoplysninger må opbevares. Partierne finder det uhensigtsmæssigt, at der ikke stilles direkte krav til, at en bekendtgørelse skal indeholde en specifik regulering af - og bestemmelser om - så grundlæggende spørgsmål som, hvilke formål der må videreanvendes til, og hvor lang tid personoplysningerne opbevares. Det bør efter partiernes opfattelse være et krav, at sådanne forhold er eksplicit, direkte og specifikt reguleret, uagtet om det sker ved bekendtgørelse eller ved lov.

- I spørgsmål nr. 90 bedes ministeren oplyse, om ministeren ikke mener, at det er meget vidtgående, at lovforslagets § 5, stk. 3, giver mulighed for i en bekendtgørelse at fravige udgangspunktet i forvaltningslovens § 29 om, at myndighederne i ansøgningssager om f.eks. sociale ydelser, ikke må indhente oplysninger om ansøgerens rent private forhold, som andre dele af den pågældende myndighed eller en anden forvaltningsmyndighed ligger inde med. Partierne finder det utilfredsstillende, at ministeren i sit svar på spørgsmål nr. 90 slet ikke forholder sig til spørgsmålet om, hvorvidt ministeren mener at dette er vidtgående, men alene henviser til lovforslagets specielle bemærkninger til § 5 og til pkt. 3 i bemærkningerne til ændringsforslag nr. 6, jf. L 68 bilag 20 i ændringsforslag nr. 6, der ingenlunde forholder sig til ministerens holdning som adspurgt.

- Partierne noterer, at ministeren i sit svar på spørgsmål nr. 109 om at redegøre for, hvilke ek?sperter der har udtalt sig positivt om de foreslåede bestemmelser i lovforslagets § 5, stk. 3, og § 23, ikke kan nævne en eneste ek?spert. Partierne finder det sigende, at selv initiativtageren til lovforslaget ikke kan identificere en eneste ek???spert, der udtaler sig positivt om bestemmelserne.

Dansk Folkepartis medlemmer af udvalget bemærker, at der er flere positive elementer i forslagene, henholdsvis nr. L 68 og nr. L 69. Dansk Folkeparti stiller sig dog skeptisk over for den mulighed, der lå i det oprindelige forslag, der ville sikre justitsministeren mulighed for på bekendtgørelsesniveau at fastsætte retningslinjer for deling af data mellem offentlige myndigheder, da dette ville medføre en svækkelse af Folketingets indflydelse. Dansk Folkeparti er derfor positivt stemt over for de ændringsforslag, der lægger op til at sikre Folketingets fortsatte muligheder for indflydelse. Dansk Folkeparti støtter derfor disse ændringsforslag. Dansk Folkeparti bemærker samtidig, at der af regeringspartierne og Socialdemokratiet er indleveret et betænkningsbidrag, der som en ny konstruktion forsøger at fastholde Folketingets indflydelse, ved at Retsudvalget og eventult andet/andre relevante fagudvalg i konkrete sager skal godkende regeringens udkast til bekendtgørelser om deling af data, før de træder i kraft. Regeringspartierne og Socialdemokratiet giver altså med forslaget en form for vetoret til Folketinget. Dansk Folkeparti hilser dette velkommen, men foretrækker, at dette blev klaret ved hjælp af ændringsforslag, men at betænkningsbidraget er et skridt i den rigtige retning.

Nunatta Qitornai, Tjóðveldi og Javnaðarflokkurin var på tidspunktet for betænkningens afgivelse ikke repræsenteret med medlemmer i udvalget og havde dermed ikke adgang til at komme med indstillinger eller politiske udtalelser i betænkningen.

En oversigt over Folketingets sammensætning er optrykt i betænkningen.

6. Ændringsforslag med bemærkninger

Ændringsforslag

til

I. Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)

Til § 5

Af et mindretal (EL, RV, ALT og SF), tiltrådt af et mindretal (DF):

1) Stk. 3 udgår.

[Bemyndigelsesbestemmelse om offentlige myndigheders viderebehandling af personsoplysninger til uforenelige formål udgår]

Til § 22

Af justitsministeren, tiltrådt af et flertal (udvalget med undtagelse af DF og IA):

2) I stk. 1 ændres »og artikel 15« til: »artikel 15 og artikel 34«.

[Mulighed for konkret at begrænse underretning om brud på persondatasikkerheden til den registrerede]

Af justitsministeren, tiltrådt af et flertal (udvalget med undtagelse af IA):

3) I stk. 2 ændres »artikel 13-15« til: »artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34«.

[Mulighed for konkret at begrænse underretning om brud på persondatasikkerheden til den registrerede og præcisering]

Til § 23

Principalt:

Af et mindretal (EL, RV, ALT og SF), tiltrådt af et mindretal (DF):

4) Paragraffen udgår.

[Bestemmelse om begrænsning af oplysningspligten i forbindelse med offentlige myndigheders viderebehandling af personoplysninger efter § 5, stk. 3, udgår]

Subsidiært:

5) Som 2. pkt. indsættes:

»1. pkt. finder ikke anvendelse, når formålet er sammenstilling eller samkøring af personoplysninger i kontroløjemed, eller hvis formålet er profilering.«

[Begrænsning af undtagelse fra den fornyede oplysningspligt i forbindelse med sammenstilling eller samkøring i kontroløjemed og i forbindelse med profilering]

Af justitsministeren, tiltrådt af et flertal (S, V, LA og KF):

6) Som 2. pkt. indsættes:

»1. pkt. finder ikke anvendelse, når formålet er sammenstilling eller samkøring af personoplysninger i kontroløjemed.«

[Begrænsning af undtagelse fra den fornyede oplysningspligt i forbindelse med sammenstilling eller samkøring i kontroløjemed]

Til § 41

Af justitsministeren, tiltrådt af et flertal (udvalget med undtagelse af IA):

7) I stk. 2, nr. 1, ændres »§ 20, stk. 1-4« til: »§ 20«.

[Præcisering]

Til § 47

8) Henvisningen »§ 26, stk. 1, nr. 1-3« ændres til: »§ 26, stk. 1«.

[Præcisering]

Bemærkninger

Til nr. 1

Det foreslås, at lovforslagets § 5, stk. 3, udgår af lovforslaget. Ændringsforslaget indebærer, at bemyndigelsesbestemmelsen i § 5, stk. 3, hvorefter en minister efter forhandling med justitsministeren kan fastsætte regler om offentlige myndigheders viderebehandling af personoplysninger til andre formål, end de oprindelig var indsamlet til, ikke skal være gældende. Derimod skal enhver deling, videreanvendelse og samkøring m.v. af personoplysninger kun kunne foretages på grundlag af direkte lovhjemmel.

Til nr. 2

Persondataloven indeholder ikke en specifik bestemmelse om underretning af den registrerede i tilfælde af brud på persondatasikkerheden. Der er derfor heller ikke en specifik bestemmelse, hvorefter en sådan underretning kan begrænses.

Det følger af databeskyttelsesforordningens artikel 34, som finder anvendelse fra den 25. maj 2018, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige som udgangspunkt uden unødig forsinkelse underrette den registrerede om bruddet.

Idet der nu indføres en specifik bestemmelse om underretning af den registrerede i forbindelse med brud på persondatasikkerheden foreslås det, at der indsættes en mulighed for i helt konkrete tilfælde at begrænse denne underretningspligt.

Det foreslås, at bestemmelsen i databeskyttelsesforordningens artikel 34 ikke gælder, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Justitsministeriet vurderer, at det er inden for rammerne af databeskyttelsesforordningens artikel 23 at indføre en mulighed for konkret at begrænse underretningen af den registrerede om brud på persondatasikkerheden.

Der bør således efter Justitsministeriets vurdering ikke påhvile den dataansvarlige en ubetinget pligt til at underrette den registrerede om brud på persondatasikkerheden, og Justitsministeriet vurderer, at det er nødvendigt at have mulighed for konkret at kunne begrænse denne underretningspligt. En ubetinget pligt til at underrette den registrerede om brud på persondatasikkerheden vil kunne være skadelig af hensyn til afgørende private interesser, herunder hensynet til vedkommende selv.

Indskrænkningen i underretningspligten efter forordningens artikel 34 kan kun ske på baggrund af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen.

Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte former for behandling af oplysninger fra underretningspligten efter artikel 34.

I den konkrete afvejning indgår som nævnt på den ene side den registreredes interesse i at få kendskab til, at der har været et brud på persondatasikkerheden. Heroverfor står på den anden side hensynet til private interesser, herunder til den pågældende selv. De private interesser, som kan beskyttes efter bestemmelsen, er såvel den dataansvarliges som tredjemands interesser.

Som private interesser, der bl.a. vil kunne begrunde hemmeligholdelse, kan nævnes afgørende hensyn til forretningshemmeligheder og afgørende hensyn til forebyggelse, efterforskning og forfølgning af lovovertrædelser samt beskyttelse af vidner.

Med anvendelsen af ordet afgørende i bestemmelsen er det tilkendegivet, at undtagelse fra forordningens artikel 34 kun kan gøres, hvis der er nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning.

Endvidere forudsætter begrænsningen af forordningens artikel 34, at hensynet til private interesser er aktuelt. Det vil sige, at når hensynet ikke længere er aktuelt, bør den registrerede underrettes om bruddet på persondatasikkerheden.

I overensstemmelse med forordningens artikel 23, stk. 2, skal den dataansvarlige i videst muligt og relevant omfang - når der konkret gøres undtagelse fra underretningspligten - forsøge at tage højde for de hensyn, som følger af artikel 23, stk. 2, inden for det livsområde, som den dataansvarlige vil begrænse.

Dette betyder eksempelvis, at den dataansvarlige er forpligtet til at overveje, hvilke risici der er forbundet med undtagelse fra forordningens artikel 34, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra g, f.eks. om der vil være en risiko for, at den manglende underretning vil kunne skade den registrerede.

Til nr. 3

Idet der nu indføres en specifik bestemmelse om underretning af den registrerede i forbindelse med brud på persondatasikkerheden, foreslås det, at der indsættes en mulighed for i helt konkrete tilfælde at begrænse denne underretningspligt.

Det foreslås således, at undtagelse fra databeskyttelsesforordningens artikel 34 kan gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed, beskyttelse af retsvæsenets uafhængighed og retssager, forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv, kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i nogle af de tilfælde, der er omhandlet ovenfor, beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og håndhævelse af civilretlige krav.

Begrænsningen af underretningspligten bør ske i det omfang, databeskyttelsesforordningens artikel 23 giver mulighed herfor, se betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 396-404, hvor mulighederne for begrænsning efter artikel 23 nærmere er gennemgået. Der lægges herved vægt på, at samtlige de undtagelsesmuligheder, som fremgår af disse bestemmelser, er udtryk for hensigtsmæssige begrænsninger af databeskyttelsesforordningens artikel 34.

Der bør efter Justitsministeriets vurdering ikke påhvile den dataansvarlige en ubetinget pligt til at underrette den registrerede om brud på persondatasikkerheden, og Justitsministeriet vurderer, at det er nødvendigt at have mulighed for konkret at kunne begrænse denne underretningspligt. En ubetinget pligt til at underrette den registrerede om brud på persondatasikkerheden vil kunne være skadelig af hensyn til afgørende hensyn til offentlige interesser.

Indskrænkningen i underretningspligten efter forordningens artikel 34 kan kun ske på baggrund af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen.

Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte former for behandling af oplysninger fra underretningspligten efter artikel 34.

I den konkrete afvejning vil undtagelse kun kunne gøres, hvis der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning. Manglende underretning af den registrerede om brud på persondatasikkerheden vil eksempelvis kunne ske af hensyn til den offentlige sikkerhed.

Med anvendelsen af ordet afgørende i bestemmelsen er det tilkendegivet, at undtagelse fra forordningens artikel 34 kun kan gøres, hvis der er nærliggende fare for, at offentlige interesser vil lide skade af væsentlig betydning.

Endvidere forudsætter begrænsningen af forordningens artikel 34, at hensynet til offentlige interesser er igangværende og aktuelt. Det vil sige, at når hensynet ikke længere foreligger, bør den registrerede underrettes om bruddet på persondatasikkerheden.

Det foreslås endelig, at henvisningen til artikel 13-15 i lovforslagets § 22, stk. 2, ændres til artikel 13, stk. 1-3, artikel 14, stk. 1-4, og artikel 15. Ændringen er alene en præcisering og medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Til nr. 4

Det foreslås, at lovforslagets § 23 udgår af lovforslaget. Ændringsforslaget skal ses i sammenhæng med ændringsforslag nr. 1. Ændringsforslaget indebærer, at bestemmelsens ophævelse af oplysningspligten efter databeskyttelsesforordningens artikel 13, stk. 3, og artikel 14, stk. 4, når offentlige myndigheder viderebehandler personoplysninger på baggrund af § 5, stk. 3, ikke skal være gældende.

Derimod skal den fornyede oplysningspligt efter databeskyttelsesforordningens artikel 13, stk. 3 og artikel 14, stk. 4, være gældende, også hvis offentlige myndigheder viderebehandler personoplysninger til et andet formål end det, hvortil de er indsamlet, og viderebehandlingen sker på baggrund af regler fastsat efter § 5, stk. 3.

Til nr. 5

Ændringsforslaget skal ses i sammenhæng med ændringsforslag nr. 4 og nr. 6. Forslagsstillerne ønsker primært, at lovforslagets § 23 (om undtagelse fra oplysningspligten) udgår som foreslået under ændringsforslag nr. 4. Hvis ændringsforslag nr. 4 ikke bliver vedtaget, foreslår forslagsstillerne subsidiært med dette ændringsforslag, at undtagelsen fra oplysningspligten i § 23 hverken skal gælde, når sammenstilling eller samkøring af personoplysninger sker i kontroløjemed eller i profileringsøjemed. Ændringsforslaget indebærer dermed en tilføjelse til ændringsforslag nr. 6, stillet af justitsministeren, som indebærer, at undtagelsen fra oplysningspligten i § 23 ikke skal gælde, når sammenstilling eller samkøring af personoplysninger sker i kontroløjemed.

Det foreslås dermed, at undtagelsen i § 23 ikke skal finde anvendelse, når den nye behandling, som en bekendtgørelse efter lovforslagets § 5, stk. 3, giver mulighed for, går ud på at sammenstille og samkøre personoplysninger i kontroløjemed, det vil sige med henblik på f.eks. at kontrollere, om borgere uretmæssigt modtager ydelser, fordi de ikke opfylder betingelserne dertil.

Samtidig foreslås det, at undtagelsen i § 23 ikke skal finde anvendelse, når den nye behandling, som en bekendtgørelse efter lovforslagets § 5, stk. 3, giver mulighed for, sker i profileringsøjemed.

Som det fremgår af spørgsmål nr. 113, forudsætter forslagsstillerne med dette ændringsforslag, at oplysningspligten, jf. § 23, ikke kun finder anvendelse, når sammenstilling og samkøring af personoplysninger sker i kontroløjemed, men også når det sker i profileringsøjemed, det vil sige med henblik på profilering af den ene eller anden slags, f.eks. som i den såkaldte Gladsaxemodel.

Justitsministeriet har bemærket - som anført i afsnit 2.1.3.1 i bemærkningerne til lovforslaget om databeskyttelsesloven - at databeskyttelsesforordningens definitioner finder anvendelse på hele forordningens anvendelsesområde, herunder også i forhold til lovforslaget til databeskyttelsesloven.

Justitsministeriet har endvidere bemærket, at begrebet profilering i ændringsforslaget derfor vil skulle forstås i overensstemmelse med definitionen i databeskyttelsesforordningens artikel 4, nr. 4, hvorefter profilering defineres som enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser.

Med dette ændringsforslag sikres det, at borgerne på forhånd bliver oplyst herom - inden for rammerne af reglerne om oplysningspligt i forordningens artikel 13 og 14 - når myndigheden, der oprindelig har indsamlet oplysninger om borgeren til ét formål, efterfølgende anvender en bekendtgørelse efter lovforslagets § 5, stk. 3, til at sammenstille eller samkøre de pågældende oplysninger med andre oplysninger for at kontrollere forhold vedrørende borgeren eller til at foretage profilering.

Til nr. 6

Efter lovforslagets § 23 finder oplysningspligten efter databeskyttelsesforordningens artikel 13, stk. 3, og artikel 14, stk. 4, ikke anvendelse, når offentlige myndigheder viderebehandler personoplysningerne til et andet formål end det, hvortil de er indsamlet, og viderebehandlingen sker på baggrund af regler fastsat efter bemyndigelsesbestemmelsen i lovforslagets § 5, stk. 3.

Det foreslås hermed, at der indsættes et nyt 2. pkt. i § 23, hvorefter undtagelsen i 1. pkt. ikke finder anvendelse, når det andet, nye formål, der forfølges med en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, er sammenstilling eller samkøring af personoplysninger i kontroløjemed.

I dag kan offentlige myndigheder efter persondataloven i vidt omfang genbruge oplysninger til andre formål end det oprindelige. Det kræver en konkret vurdering i hver enkelt sag, og myndigheden må ikke genbruge data til »uforenelige« formål. Denne mulighed for viderebehandling af oplysninger efter en konkret vurdering bevares, jf. lovforslagets § 5, stk. 1 og 2.

Lovforslagets § 5, stk. 3, har til formål at komme denne tvivl til livs og skabe klarhed. Bestemmelsen indeholder en bemyndigelse til, at vedkommende minister efter forhandling med justitsministeren og inden for rammerne af databeskyttelsesforordningens artikel 23 kan fastsætte nærmere regler om, at personoplysninger af offentlige myndigheder må viderebehandles til andre formål, end de oprindelig var indsamlet til, uafhængigt af formålenes forenelighed.

Det afgørende efter bemyndigelsesbestemmelsen i stk. 3 er således ikke, om bekendtgørelsen medfører, at der i en databeskyttelsesretlig sammenhæng viderebehandles til »forenelige« formål eller ej. Formålet med bestemmelsen er netop at give mulighed for at undgå denne konkrete vurdering, der i praksis i bl.a. kommunerne har vist sig at være vanskelig og har ført til forskelligartet praksis.

Med bemyndigelsesbestemmelsen kan der skabes klarhed, samtidig med at bekendtgørelserne skal leve op til databeskyttelsesforordningens artikel 23 og dermed ligge inden for databeskyttelsesforordningens rammer. Artikel 23 kræver til gengæld, at der i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, skal fastsættes garantier, der beskytter borgerne, såsom bestemmelser om, hvor lang tid perso?no?ply?sningerne må opbevares, ligesom der skal fastsættes regler, som sikrer, at oplysninger ikke kan misbruges eller tilgås ulovligt.

Formålet med bestemmelsen er således at rydde tvivl af vejen og en gang for alle på forhånd i en bekendtgørelse regulere, hvilke oplysninger der må viderebehandles, og hvilke oplysninger der ikke må viderebehandles. Formålet er at sikre, at det offentlige kan videreanvende og genbruge data på en effektiv, ensartet og åben måde.

Datatilsynet skal som uafhængig tilsynsmyndighed efter lovforslagets § 28 på forhånd udtale sig om hver enkelt bekendtgørelse, der udstedes med hjemmel i forslagets § 5, stk. 3, herunder om, hvorvidt bekendtgørelsen er i strid med EU-reglerne eller i øvrigt giver anledning til betænkeligheder.

Desuden er der fortsat en lang række garantier for at beskytte persondata, herunder skal borgeren partshøres efter forvaltningsloven, før f.eks. en kommune kan træffe afgørelse om at nedsætte en ydelse. Disse garantier vil fortsat og uændret gælde.

Endelig er der i lovforslaget opsat hegnspæle for bekendtgørelserne efter § 5, stk. 3. Det betyder, at der f.eks. ikke kan udstedes en bekendtgørelse, der strider mod en særlig lovbestemt tavshedspligt, f.eks. sundhedslovens § 40 om sundhedspersoners tavshedspligt og folkeskolelovens § 55 b om tavshedspligt om testresultater. Det vil således kræve en lovændring at ændre på f.eks. praktiserende lægers tavshedspligt.

Der henvises bl.a. til svar på spørgsmål 4 og den samtidige besvarelse af spørgsmål 52 til L 68 og L 69. Opmærksomheden henledes i den forbindelse på det anførte i den samtidige besvarelse af spørgsmål 52, hvorefter samkøring i kontroløjemed per definition vil være en indgribende behandlingssituation, hvilket vil skærpe kravene til overholdelse af bl.a. forordningens artikel 5 om de grundlæggende principper for behandling af personoplysninger, herunder ikke mindst proportionalitetsprincippet.

Som eksempel på anvendelsen af lovforslagets § 5, stk. 3, kan nævnes udarbejdelse af oversigter i en kommune over alle dens borgere, der modtager forskellige økonomiske ydelser, med henblik på at undersøge og kontrollere, om de får de rette økonomiske ydelser fra kommunen. Som et andet eksempel kan nævnes muligheden for i en bekendtgørelse at fravige udgangspunktet i forvaltningslovens § 29 om, at myndigheder i ansøgningssager, f.eks. i sager om ansøgning om en social ydelse, ikke må indhente oplysninger om ansøgerens rent private forhold, som andre dele af den pågældende myndighed eller en anden forvaltningsmyndighed ligger inde med.

Som et yderligere eksempel på brugen af bemyndigelsesbestemmelsen i lovforslagets § 5, stk. 3, kan peges på muligheden for i en bekendtgørelse at fastsætte nærmere regler om genanvendelse af de personoplysninger, som de forskellige grene i en kommune i forvejen ligger inde med, med henblik på bedst muligt at kunne hjælpe socialt udsatte børn med det mest optimale behandlingsforløb.

Der kan om de anførte eksempler henvises til de specielle bemærkninger til § 5, stk. 3, i lovforslaget.

Det følger af databeskyttelsesforordningens artikel 13, stk. 3, og artikel 14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante oplysninger. Der er således tale om en fornyet oplysningspligt i forhold til oplysningspligten, der i øvrigt følger af artikel 13, stk. 1 og 2, og artikel 14, stk. 1 og 2.

Lovforslagets § 23 lægger som nævnt op til at begrænse oplysningspligten for myndigheden, der allerede én gang har opfyldt sin oplysningspligt over for den registrerede. Den registrerede er i denne situation således allerede én gang blevet orienteret om de oplysninger, som fremgår af artikel 13, stk. 1 og 2, eller artikel 14, stk. 1 og 2, i forbindelse med myndighedens oprindelige indsamling og er i den anledning blevet orienteret om de formål med behandlingen af perso?noplysninger, der var aktuelle på indsamlingstidspunktet. Det kunne f.eks. være et formål og krav om en bestemt registersamkøring i kontroløjemed som krav for at modtage en bestemt ydelse.

Det betyder, at undtagelsen i lovforslagets § 23 alene går ud på, at myndigheden, som på baggrund af en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, ønsker at anvende lovligt indsamlede oplysninger til et andet formål end det oprindelige formål, ikke skal give underretning til den registrerede om dette nye formål.

Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden myndighed, skal sidstnævnte myndighed selv sikre sig, at myndigheden lever op til oplysningspligten i forordningens artikel 13-14.

Der er ved udarbejdelsen af undtagelsen i lovforslagets § 23 lagt vægt på, at det set fra den dataansvarliges synspunkt kan opleves som administrativt byrdefuldt at skulle foretage en ny underretning af den registrerede. Samtidig synes det tvivlsomt, om en fornyet underretning i denne situation reelt vil skabe større retssikkerhed for den registrerede. Der er i den forbindelse også lagt vægt på, at en bekendtgørelse efter § 5, stk. 3 - i overensstemmelse med forordningens artikel 23 - skal indeholde en række garantier, f.eks. garantier for at undgå misbrug eller ulovlig adgang.

Der henvises i øvrigt til svar på spørgsmål 4 og 20 til L 68 og L 69.

Der er efter førstebehandlingen af lovforslaget den 16. november 2017 blevet rejst kritik af bl.a. lovforslagets § 23. Kritikken af forslagets § 23 er særlig gået på, at undtagelsen er for vidtgående i situationer, hvor oplysninger viderebehandles af myndigheden med henblik på sammenstilling eller samkøring af registre i kontroløjemed rettet mod borgeren.

Justitsministeriet har noteret sig dette og har forståelse for denne del af kritikken.

På den baggrund foreslås det med dette ændringsforslag, at undtagelsen i § 23 ikke skal finde anvendelse, når den nye behandling, som en bekendtgørelse efter lovforslagets § 5, stk. 3, giver mulighed for, går ud på at sammenstille og samkøre personoplysninger i kontroløjemed, det vil sige med henblik på f.eks. at kontrollere, om borgere uretmæssigt modtager ydelser, fordi de ikke opfylder betingelserne dertil.

Herved sikres det, at borgerne på forhånd bliver oplyst herom - inden for rammerne af reglerne om oplysningspligt i forordningens artikel 13 og 14 - når myndigheden, der oprindelig har indsamlet oplysninger om borgeren til ét formål, efterfølgende anvender en bekendtgørelse efter forslagets § 5, stk. 3, til at sammenstille eller samkøre de pågældende oplysninger med andre oplysninger for at kontrollere forhold vedrørende borgeren.

Til nr. 7

Det foreslås, at henvisningen til § 20, stk. 1-4, i lovforslagets § 41, stk. 2, ændres til § 20. Der er alene tale om en præcisering af henvisningen, og ændringen medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Til nr. 8

Det foreslås, at henvisningen til § 26, stk. 1, nr. 1-3, i lovforslagets § 47, ændres til § 26. Der er alene tale om en præcisering af henvisningen, og ændringen medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Ændringsforslag

til

II. Forslag til lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.)

Til § 1

Af justitsministeren, tiltrådt af et flertal (udvalget med undtagelse af IA):

1) I den under nr. 1 foreslåede affattelse af § 27, stk. 3, udgår »af eller«.

[Præcisering]

Til § 8

2) Efter nr. 3 indsættes som nyt nummer:

»01. I § 4, stk. 3, der bliver stk. 2, udgår »og 2«.«

[Konsekvensrettelse]

3) Efter nr. 4 indsættes som nyt nummer:

»02. I § 5, stk. 3, der bliver stk. 2, udgår »og 2«.«

[Konsekvensrettelse]

Til § 10

4) Nr. 4 udgår.

[Bestemmelsen udgår, da hjemmel ikke er nødvendig]

Til § 11

5) Nr. 3 udgår.

[Bestemmelsen udgår, da hjemmel ikke er nødvendig]

Ny paragraf

6) Efter § 27 før overskriften før § 28 indsættes som ny paragraf:

»§ 01

I lov om kommunernes styrelse, jf. lovbekendtgørelse nr. 2 af 4. januar 2018, som ændret senest ved § 3 i lov nr. 242 af 24. marts 2018, foretages følgende ændring:

1. I § 8 b ændres »Lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.«

[Konsekvensændring af ny lovgivning om beskyttelse af kommunalbestyrelses- og regionsrådsmedlemmers behandling af oplysninger som led i varetagelsen af deres hverv]

Ny paragraf

7) Efter § 29 indsættes som ny paragraf:

»§ 02

I arkivloven, jf. lovbekendtgørelse nr. 1201 af 28. september 2016, foretages følgende ændringer:

1. I § 9, § 21, stk. 1, § 23, stk. 2, § 41, stk. 1, § 42, stk. 3, § 44, § 46, stk. 2, og § 47 ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af perso?no?plysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.

2. § 34 affattes således:

»§ 34. Tilladelse efter §§ 31 og 32 kræver samtykke fra Datatilsynet, hvis arkivenheden er afleveret fra en myndighed inden for den offentlige forvaltning og indeholder oplysninger om enkeltpersoners rent private forhold og

1) tidligere behandling af oplysningerne har været omfattet af lov om behandling af personoplysninger, Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven eller lov om retshåndhævende myndigheders behandling af personoplysninger eller

2) oplysningerne stammer fra et edb-register, der har været ført for den offentlige forvaltning.«

3. § 35 affattes således:

»§ 35. Tilladelse efter § 31 kræver samtykke fra Domstolsstyrelsen, hvis arkivenheden er afleveret fra retterne og indeholder oplysninger om enkeltpersoners rent private forhold og tidligere behandling af oplysningerne har været omfattet af lov om behandling af personoplysninger, Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven eller lov om retshåndhævende myndigheders behandling af personoplysninger.«

4. § 42, stk. 1, affattes således:

»En person kan over for et offentligt arkiv fremsætte begæring om indsigt efter artikel 15 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og § 15 i lov om retshåndhævende myndigheders behandling af personoplysninger i oplysninger, som er overført til opbevaring i det pågældende offentlige arkiv.«

5. I § 42, stk. 4, 1. pkt., ændres »lov om behandling af perso?noplysninger, træffer det pågældende arkiv afgørelse efter bestemmelserne i den nævnte lov« til: »Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger, træffer det pågældende arkiv afgørelse efter bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og de nævnte love«.«

[Konsekvensændringer med henblik på at tilpasse henvisninger til persondataloven i arkivloven til databeskyttelsesforordningen, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger]

Til § 30

8) I stk. 1 ændres »stk. 2« til: »stk. 3«.

[Berigtigelse af henvisning]

Til § 31

9) I stk. 4, 2. pkt., ændres »Loven« til: »Lovens §§ 2 og 3«.

[Præcisering]

10) Som stk. 5 indsættes:

»Stk. 5. Lovens § 02 gælder ikke for Færøerne og Grønland. Lovens § 02 kan med de ændringer, som de færøske og grønlandske forhold tilsiger, ved kongelig anordning sættes i kraft for sager, der er eller har været under behandling af rigsmyndighederne.«

[Konsekvensændring af ændringsforslag nr. 5]

Bemærkninger

Til nr. 1

Det foreslås, at »af eller« udgår af § 27, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger. Bestemmelsen er oprindelig foreslået af hensyn til en ensretning af den såkaldte krigsregel i forslag til databeskyttelsesloven og dette lovforslag. Da »af eller« ikke fremgår af forslag til databeskyttelsesloven, foreslås det, at ordene heller ikke fremgår af lov om retshåndhævende myndigheders behandling af personoplysninger. Ændringen medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Til nr. 2

FE-lovens § 4, stk. 3, indeholder en henvisning til FE-lovens § 4, stk. 1 og 2. Med det fremsatte lovforslags § 8, nr. 3, foreslås FE-lovens § 4, stk. 1, ophævet, hvorefter § 4, stk. 2 og 3, bliver stk. 1 og 2. Med forslaget konsekvensrettes henvisningen i § 4, stk. 3. Forslaget indebærer således ikke nogen indholdsmæssig ændring i forhold til det fremsatte lovforslag.

Til nr. 3

FE-lovens § 5, stk. 3, indeholder en henvisning til FE-lovens § 5, stk. 1 og 2. Med det fremsatte lovforslags § 8, nr. 4, foreslås FE-lovens § 5, stk. 1, ophævet, hvorefter § 5, stk. 2 og 3, bliver stk. 1 og 2. Med forslaget konsekvensrettes henvisningen i § 5, stk. 3. Forslaget indebærer således ikke nogen indholdsmæssig ændring i forhold til det fremsatte lovforslag.

Til nr. 4

Det er efter gældende regler i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) obligatorisk for kommunerne at anvende it-løsningen Nemrefusion, der etableres og drives af et af KL-ejet selskab.

Det i nr. 4 foreslåede § 8, stk. 4, skulle bemyndige beskæftigelsesministeren til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver og ansvar som dataansvarlig efter lovens § 8, stk. 1, og om selskabets opgaver og ansvar som databehandler. Formålet var at undgå, at alle 98 kommuner skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Nemrefusion.

Kommunerne og selskabet, der etablerer og driver it-løsningen Nemrefusion, har imidlertid efter lovforslagets fremsættelse indgået databehandleraftaler med samtlige 98 kommuner.

Det følger allerede af databeskyttelsesforordningen, at det er kommunens ansvar som dataansvarlig, at kommunens databehandleraftaler lever op til kravene i forordningen. Det er ikke hensigtsmæssigt at foretage en regulering af kommunernes opgaver og ansvar som dataansvarlige og selskabets opgaver og ansvar som databehandler både i en bekendtgørelse og i 98 individuelle databehandleraftaler. Fastsættelse af indholdet af databehandleraftaler i bekendtgørelsesform vil endvidere kunne indskrænke kommunernes adgang til smidigt at kunne foretage sikkerhedsmæssige tiltag ud fra en risikobaseret tilgang.

Beskæftigelsesministeriet finder det derfor ikke nødvendigt, at beskæftigelsesministeren får bemyndigelse til at fastsætte indholdet af databehandleraftalerne i bekendtgørelsesform.

Det foreslås derfor, at det foreslåede § 8, stk. 4, udgår af lovforslaget.

Til nr. 5

Det er efter gældende regler i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne obligatorisk for kommunerne at anvende it-løsningen Ydelsesrefusion, der etableres og drives af et af KL-ejet selskab.

Det i nr. 3 foreslåede § 14, stk. 3, skulle bemyndige beskæftigelsesministeren til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver og ansvar som dataansvarlig efter lovens § 14, stk. 2, og om selskabets opgaver og ansvar som databehandler. Formålet var at undgå, at alle 98 kommuner skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Ydelsesrefusion.

Kommunerne og selskabet, der etablerer og driver it-løsningen Ydelsesrefusion, har imidlertid efter lovforslagets fremsættelse indgået databehandleraftaler med samtlige 98 kommuner.

Beskæftigelsesministeriet finder det derfor ikke nødvendigt, at beskæftigelsesministeren får bemyndigelse til at fastsætte indholdet af databehandleraftalerne i bekendtgørelsesform.

Det foreslås derfor, at det foreslåede § 14, stk. 3, udgår af lovforslaget.

Til nr. 6

Folketinget vedtog den 14. december 2017 lov nr. 1571 af 19. december 2017 om ændring af lov om kommunernes styrelse og regionsloven (Beskyttelse af kommunalbestyrelses- og regionsrådsmedlemmers behandling af oplysninger som led i varetagelsen af deres hverv), der trådte i kraft den 1. januar 2018. Lov om kommunernes styrelse og regionsloven hører under økonomi- og indenrigsministerens område.

Med loven blev § 8 b indsat som en ny bestemmelse i lov om kommunernes styrelse. § 8 b fastsætter, at lov om behandling af personoplysninger ikke finder anvendelse på behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv. Loven indførte videre en tilsvarende ændring for regionsrådsmedlemmer ved en indsættelse i regionslovens § 12, stk. 1, af en henvisning til § 8 b i lov om kommunernes styrelse.

Formålet med ændringen er at beskytte et kommunalbestyrelses- eller regionsrådsmedlems kommunikation som led i varetagelsen af medlemmets hverv som medlem af kommunalbestyrelsen eller regionsrådet. Ændringen retter sig mod oplysninger, der behandles som led i varetagelsen af medlemmets kommunale eller regionale hverv, når medlemmet anvender kommunikationstjenester som f.eks. en mailkonto eller en mobiltelefon, som medlemmet har fået stillet til rådighed af kommunen eller regionen.

Ændringen indebærer, at sådan behandling af oplysninger undtages fra persondataloven.

Ændringen skal på den måde sikre, at kommunalbestyrelses- og regionsrådsmedlemmer også ved brug af de kommunikationstjenester, som de får stillet til rådighed af kommunen eller regionen, har et fortroligt rum til at kommunikere om kommunal- og regionalpolitiske emner, som kommunen og regionen - herunder andre medlemmer af kommunalbestyrelsen eller regionsrådet - ikke skal kunne være berettiget til at tilgå.

Der henvises i øvrigt til bemærkningerne til lov nr. 1571 af 19. december 2017, jf. Folketingstidende 2017-18, A, L 92 som fremsat.

Som det bl.a. fremgår af de almindelige bemærkninger til loven, jf. Folketingstidende 2017-18, A, L 92 som fremsat, side 2 og 6, var Økonomi- og Indenrigsministeriet ved fremsættelsen af lovforslaget opmærksom på, at justitsministeren som led i den lovgivningsmæssige opfølgning på Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), der finder anvendelse fra den 25. maj 2018 og fra denne dato erstatter og ophæver databeskyttelsesdirektivet, har fremsat et lovforslag om en databeskyttelseslov, der med virkning fra den 25. maj 2018 supplerer og gennemfører databeskyttelsesforordningen og med virkning fra samme dato ophæver persondataloven, jf. lovforslagets § 46.

Det fremgår på den baggrund videre af bemærkningerne til lov nr. 1571 af 19. december 2017, at Økonomi- og Indenrigsministeriet derfor efter lovens vedtagelse ved en ændring i Folketingssamlingen 2017-18 af den ved loven indførte § 8 b i lov om kommunernes styrelse vil sikre, at kommunalbestyrelses- og regionsrådsmedlemmer også efter den 24. maj 2018 vil have samme beskyttelse som blev indført ved lov nr. 1571 af 19. december 2017.

Dette ændringsforslag følger op herpå. Det foreslås, at den ved lov nr. 1571 af 19. december 2017 fastsatte indsættelse af § 8 b i lov om kommunernes styrelse ændres, således at det i bestemmelsen fastslås, at databeskyttelsesforordningen og databeskyttelsesloven ikke finder anvendelse på behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv.

I kraft af den ved lov nr. 1571 af 19. december 2017 fastsatte indsættelse i regionslovens § 12, stk. 1, af en henvisning til § 8 b i lov om kommunernes styrelse vil den foreslåede ændring af § 8 b i lov om kommunernes styrelse dermed få virkning for regionsrådsmedlemmer.

Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse fra og med den 25. maj 2018 og vil have direkte virkning i Danmark.

Forordningens regulering svarer i vidt omfang til den gældende retstilstand efter persondataloven og databeskyttelsesdirektivet med tilhørende praksis fra bl.a. Datatilsynet m.v.

Databeskyttelsesforordningen gælder ifølge forordningens artikel 2, stk. 1, for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Gennemgang af e-mails er en behandling i forordningens forstand, jf. artikel 2, stk. 1, og artikel 4, nr. 2.

Databeskyttelsesforordningen finder derfor anvendelse for den behandling af personoplysninger, der foretages ved gennemgang af et kommunalbestyrelsesmedlems kommunale mailkonto.

Databeskyttelsesforordningen giver bl.a. mulighed for, at en behandling kan finde sted, hvis det er nødvendigt af hensyn til udførelsen af en opgave, der i samfundets interesser, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. artikel 6, stk. 1, litra e. Bestemmelsen i forordningen svarer efter ordlyden som udgangspunkt til bestemmelserne i persondatalovens § 6, stk. 1, nr. 5 og 6.

Efter Datatilsynets praksis i forhold til persondataloven og databeskyttelsesdirektivet er det en forudsætning for den dataansvarliges gennemgang af behandlede oplysninger, at de registrerede på forhånd på en klar og utvetydig måde er blevet informeret herom, jf. nu reglerne om oplysningspligt i databeskyttelsesforordningens artikel 13 og 14 og principperne for behandling af personoplysninger i databeskyttelsesforordningens artikel 5.

Gennemgang af oplysninger, der indgår på en mobiltelefon, der er udleveret af en arbejdsgiver til en medarbejder til arbejdsmæssig og eventuel privat anvendelse i forbindelse med et ansættelsesforhold, må antages at være underlagt tilsvarende rammer.

Den dataansvarlige må ikke læse indholdet af en e-mail eller en tekstmeddelelse, når denne er identificeret som privat. Såfremt der ved en gennemgang af eksempelvis en kommunes e-post findes private e-mails uden relation til kommunens virksomhed, må de pågældende e-mails ikke læses af andre end den retmæssige modtager. Tilsvarende gør sig gældende i forhold til tekstbeskeder, der er afsendt via en mobiltelefon, som medlemmet har fået udleveret af kommunen. En krænkelse heraf kan efter omstændighederne være strafbar i medfør af straffelovens § 263.

En kommune og region vil således inden for databeskyttelsesforordningens rammer - ligesom efter persondataloven - under visse betingelser umiddelbart have adgang til at tilgå et eller flere kommunalbestyrelses- og regionsrådsmedlemmers oplysninger, der behandles som led i varetagelsen af medlemmets kommunale eller regionale hverv, når medlemmet anvender kommunikationstjenester som f.eks. en mailkonto eller en mobiltelefon, som medlemmet har fået stillet til rådighed af kommunen eller regionen, hvis det i forbindelse med mistanke om misbrug er nødvendigt for udførelsen af en opgave, der er i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. forordningens artikel 6, stk. 1, litra e.

Efter forordningens artikel 85, stk. 1, forener medlemsstaterne ved lov retten til beskyttelse af personoplysninger i henhold til forordningen med retten til ytrings- og informati?onsfrihed, herunder behandling i journalistisk øjemed og med henblik på akademisk, kunstnerisk eller litterær virksomhed. Efter forordningens artikel 85, stk. 2, fastsætter medlemsstaterne undtagelser eller fravigelser fra forordningens kapitel II om principper, kapitel III om den registreredes rettigheder, kapitel IV om den dataansvarlige og databehandleren, kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer, kapitel VI om uafhængige tilsynsmyndigheder, kapitel VII om samarbejde og sammenhæng og kapitel IX om specifikke behandlingssituationer til behandling i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, hvis de er nødvendige for at forene retten til beskyttelse af personoplysninger med ytringsfriheden.

Hver medlemsstat skal på baggrund af artikel 85, stk. 2, foretage en konkret afvejning af, hvilke fritagelser eller undtagelser fra reglerne i de angivne kapitler i forordningen som anses for nødvendige for at forene retten til beskyttelse af personoplysninger med den grundlæggende ret til ytrings- og informationsfrihed.

Der skal derfor foretages en afvejning af på den ene side hensynet til beskyttelse af personoplysninger og på den anden side hensynet til informations- og ytringsfrihed med henblik på at sikre, at forordningens regler ikke unødigt medfører indskrænkninger i disse rettigheder.

Der henvises til betænkning nr. 1565/2017 om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning side 955 ff.

Efter Økonomi- og Indenrigsministeriets opfattelse er det ikke hensigtsmæssigt, at en kommune - eventuelt på foranledning af borgmesteren - under visse betingelser kan være berettiget til at tilgå et kommunalbestyrelsesmedlems kommunikation som led i varetagelsen af sit hverv, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen for at kunne varetage sit hverv.

Kommunalbestyrelsesmedlemmer skal ikke kunne risikere, at andre end de involverede i kommunikationen får adgang til overvejelser om f.eks. et nyt politisk initiativ, afklaring af partiets, listens eller medlemmets holdning til et fremsat forslag eller medlemmets kommunikation med borgere, interesseorganisationer, virksomheder m.fl. Navnlig gør beskyttelsesbehovet sig gældende i forhold til andre medlemmer af kommunalbestyrelsen, herunder fra andre kandidatlister.

Der kan her videre henvises til de almindelige bemærkninger til lov nr. 1571 af 19. december 2017, jf. Folketingstidende 2017-18, A, L 92 som fremsat, side 4f.

Det er Økonomi- og Indenrigsministeriets vurdering, at der på den baggrund kan fastsættes en undtagelse, der af hensyn til kommunalbestyrelsesmedlemmers ret til ytrings- og informationsfrihed undtager behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv, fra databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen.

Muligheden for at fastsætte en national undtagelse og fravigelse som følge af hensynet til ytrings- og informationsfrihed indebærer, at det alene er den behandling af perso?no?plysninger, der foretages som led i kommunalbestyrelsesmedlemmers politiske arbejde, der kan undtages på baggrund af forordningens artikel 85, stk. 2.

Økonomi- og Indenrigsministeriet foreslår på den baggrund og under henvisning til de ovenfor anførte grunde for at fastsætte en sådan fravigelse, at der ved persondatalovens ophævelse indføres en undtagelse fra databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, for så vidt angår behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv. Undtagelsen vil omfatte behandling af sådanne oplysninger, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen.

De samme forhold gør sig efter Økonomi- og Indenrigsministeriets opfattelse gældende for regionsrådsmedlemmer i regioner. Det er derfor efter ministeriets opfattelse hensigtsmæssigt, at ændringen også finder anvendelse for regionsrådsmedlemmer. Dette kræver ikke ændring af region?sloven, da der i regionslovens § 12, stk. 1, som ændret ved lov nr. 1571 af 19. december 2017, henvises til § 8 b i lov om kommunernes styrelse. Den foreslåede ændring af lov om kommunernes styrelse finder således uden ændring af regionsloven anvendelse også for regionsrådsmedlemmer.

Økonomi- og Indenrigsministeriet har i forbindelse med vurderingen af behovet for særlige rammer for kommunalbestyrelses- og regionsrådsmedlemmers behandling af oplysninger som led i deres kommunale og regionale hverv inddraget, at justitsministeren i det fremsatte forslag til databeskyttelseslov, jf. Folketingstidende 2017-18, A, L 68 som fremsat, har foreslået, at loven og databeskyttelsesforordningen ikke finder anvendelse på behandling af oplysninger, der foretages som led i Folketingets parlamentariske arbejde, jf. lovforslagets § 3, stk. 3.

Med den foreslåede ændring vil medlemmerne af de tre politiske niveauer - Folketinget, regionsråd og kommunalbestyrelser - således også efter ophævelsen af persondataloven, databeskyttelseslovens ikrafttræden og databeskyttelsesforordningens anvendelsestidspunkt alle være underlagt særlige rammer i forhold til behandlingen af oplysninger som led i deres politiske hverv.

Bemærkningerne tager i det følgende for at lette læsningen heraf udgangspunkt i kommuner og kommunalbestyrelsen. Tilsvarende regler og overvejelser finder anvendelse for regioner og regionsrådsmedlemmer, medmindre andet er udtrykkeligt angivet.

En kommune vil med lovforslaget i det hele være afskåret fra at få indsigt i e-mails m.v. vedrørende kommunalbestyrelsesmedlemmets varetagelse af sit hverv som medlem af kommunalbestyrelsen, som medlemmet har håndteret via en kommunikationstjeneste, som kommunen har stillet til rådighed for medlemmet.

Formålet med at afskære en kommune muligheden for at tilgå oplysninger, der behandles som led i et kommunalbestyrelsesmedlems hverv, er således at skabe et fortroligt rum for kommunalbestyrelsesmedlemmer til at kommunikere, uden at kommunen - herunder eventuelt som følge af et udtalt ønske fra politiske modstandere - under visse betingelser måtte være berettiget til at foretage kontrol heraf.

Ud over at afskære en kommunes adgang til at foretage kontrol af f.eks. e-mails, som et kommunalbestyrelsesmedlem har udvekslet via sin kommunale mailkonto som led i sit hverv, medfører den foreslåede undtagelse endvidere bl.a., at databeskyttelsesforordningens bestemmelse om indsigtsret, hvorefter den dataansvarlige efter begæring fra en person skal give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende, jf. forordningens artikel 15, forordningens bestemmelse om muligheden for at gøre indsigelse mod at oplysninger om vedkommende gøres til genstand for behandling, jf. databeskyttelsesforordningen artikel 21 og databeskyttelsesforordningens bestemmelse om berigtigelse af oplysninger, jf. databeskyttelsesforordningens artikel 16, ikke finder anvendelse på disse oplysninger.

Med undtagelsen vil det dermed bl.a. ikke via indsigtsretten være muligt at få meddelelse om, hvorvidt der behandles oplysninger om vedkommende som led i varetagelsen af et kommunalbestyrelsesmedlems hverv via en kommunikati?onstjeneste, som kommunen har stillet til rådighed for medlemmet, ligesom der ikke vil være pligt til at orientere den registrerede om registreringen.

Behandlingen af oplysninger som led i varetagelsen af et kommunalbestyrelsesmedlems hverv via en kommunikati?onstjeneste, som kommunen har stillet til rådighed for medlemmet, vil endvidere som følge af undtagelsen fra databeskyttelsesforordningen og databeskyttelsesloven som helhed bl.a. ikke være undergivet Datatilsynets tilsyn med behandlinger efter databeskyttelsesforordningen og databeskyttelsesloven.

Økonomi- og Indenrigsministeriet er opmærksom på, at hvervet som kommunalbestyrelsesmedlem adskiller sig fra hvervet som folketingsmedlem, idet det som led i hvervet som kommunalbestyrelsesmedlem i videre omfang kan være aktuelt at tage stilling til konkrete sager inden for de områder, som kommunerne varetager, herunder konkrete sager, der indeholder personhenførbare oplysninger.

Efter Økonomi- og Indenrigsministeriets opfattelse kan dette forhold dog ikke i sig selv medføre, at et kommunalbestyrelsesmedlems behandling af oplysninger som led i varetagelsen af sit hverv som medlem af kommunalbestyrelsen via en kommunikationstjeneste, som kommunen har stillet til rådighed for medlemmet, ikke undtages fra databeskyttelsesforordningen og databeskyttelsesloven.

Økonomi- og Indenrigsministeriet har i den forbindelse lagt vægt på hensynet til at understøtte, at kommunalbestyrelsesmedlemmer har et fortroligt rum til at kommunikere om forhold vedrørende deres politiske hverv.

I de tilfælde, hvor oplysningerne også er tilgået den kommunale forvaltning, vil kommunens behandling af disse oplysninger fortsat være omfattet af databeskyttelsesforordningen og databeskyttelsesloven. Den registrerede vil f.eks. kunne anvende sin indsigtsret til at få meddelelse om, hvorvidt der behandles oplysninger om vedkommende i kommunen, ved at gøre denne ret gældende over for kommunen. Det samme vil gøre sig gældende i forhold til oplysningspligten over for den registrerede.

Økonomi- og Indenrigsministeriet har i den forbindelse også tillagt det vægt, at et kommunalbestyrelsesmedlem fortsat vil være omfattet af reglerne om tavshedspligt, for så vidt angår de oplysninger, som medlemmet modtager i forbindelse med sit hverv.

Det følger bl.a. af forvaltningslovens § 27, stk. 1, at den, der virker inden for den offentlige forvaltning, har tavshedspligt, jf. straffelovens § 152 og §§ 152 c-152 f, med hensyn til oplysninger om enkeltpersoners private, herunder økonomiske, forhold og tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningerne angår, at oplysningerne ikke videregives.

Efter straffelovens § 152 straffes de, som virker eller har virket i offentlig tjeneste eller hverv, og som uberettiget videregiver eller udnytter fortrolige oplysninger, hvortil den pågældende i den forbindelse har fået kendskab, med bøde eller fængsel indtil 6 måneder.

Efter den foreslåede ændring af § 8 b i lov om kommunernes styrelse finder databeskyttelsesforordningen og databeskyttelsesloven ikke anvendelse på behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv. Den foreslåede undtagelse finder anvendelse på behandling af oplysninger, som kommunalbestyrelsesmedlemmet foretager som led i varetagelsen af sit hverv som medlem af kommunalbestyrelsen, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen.

Den foreslåede undtagelse omfatter hermed de samme oplysninger og den samme behandling af oplysninger, som er omfattet af undtagelsen fra persondataloven i medfør af lov nr. 1571 af 19. december 2017.

Undtagelsen indebærer, at der ikke efter databeskyttelsesforordningen og databeskyttelsesloven vil være et grundlag for at behandle oplysninger, der indgår i kommunikationstjenester, som er stillet til rådighed for et kommunalbestyrelsesmedlem, i det omfang oplysningerne behandles som led i varetagelsen af kommunalbestyrelsesmedlemmets hverv.

Dermed vil en kommune ikke i medfør af databeskyttelsesforordningen og databeskyttelsesloven kunne træffe beslutning om at tilgå et kommunalbestyrelsesmedlems kommunikation som led i varetagelse af sit hverv, når medlemmet anvender en kommunikationstjeneste - typisk en mailkonto eller en mobiltelefon - som medlemmet har fået stillet til rådighed af kommunen.

Et kommunalbestyrelsesmedlems behandling af perso?no?plysninger vil herefter - i det omfang det sker som led i medlemmets hverv som kommunalbestyrelsesmedlem via en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen - kunne ske, uanset om der er hjemmel i databeskyttelsesforordningen og databeskyttelsesloven til den pågældende behandling.

Undtagelsen vil herudover medføre, at databeskyttelsesforordningens og databeskyttelseslovens øvrige bestemmelser ikke finder anvendelse på behandling af oplysninger, som kommunalbestyrelsesmedlemmet foretager som led i varetagelsen af sit hverv, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen.

Det indebærer bl.a., at databeskyttelseslovens og databeskyttelsesforordningens regler om behandling og videregivelse af oplysninger, jf. databeskyttelsesforordningens kapitel II og databeskyttelseslovens kapitel 3, ikke finder anvendelse, for så vidt angår disse oplysninger, at de registreredes rettigheder ikke finder anvendelse, herunder indsigtsretten og oplysningspligten, jf. databeskyttelsesforordningens kapitel III, at reglerne om behandlingssikkerhed, jf. databeskyttelsesforordningens artikel 32, ikke finder anvendelse i forhold til disse oplysninger, og at behandlingen ikke vil være undergivet Datatilsynets tilsyn efter databeskyttelsesforordningen og databeskyttelsesloven.

Det vil f.eks. medføre, at et kommunalbestyrelsesmedlems behandling af oplysninger, herunder om enkelte borgere, ikke vil være omfattet af indsigtsretten efter databeskyttelsesforordningens artikel 15, hvorefter den dataansvarlige efter begæring fra en person skal give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende.

Hvis oplysningerne også er tilgået den kommunale forvaltning, vil kommunens behandling af oplysningerne være omfattet af databeskyttelsesforordningen og databeskyttelsesloven. I sådanne tilfælde vil en borger f.eks. kunne anvende sin indsigtsret, jf. forordningens artikel 15, til at få oplysning om, hvorvidt der behandles oplysninger om vedkommende i kommunen, ved at gøre denne ret gældende over for kommunen. Det samme vil gøre sig gældende i forhold til oplysningspligten over for den registrerede, jf. forordningens artikel 13 og 14.

Et kommunalbestyrelsesmedlem vil fortsat være omfattet af reglerne om tavshedspligt, for så vidt angår de oplysninger, som medlemmet modtager i forbindelse med sit hverv.

I det omfang et kommunalbestyrelsesmedlem modtager oplysninger af denne karakter ved anvendelse af en kommunikationstjeneste, som er stillet til rådighed for medlemmet af kommunen til brug for varetagelsen af medlemmets hverv, vil medlemmet, ligesom hvis medlemmet havde modtaget oplysningerne i papirform, skulle sikre sig, at oplysningerne bortskaffes på forsvarlig vis, således at fortroligheden ikke unødigt kompromitteres.

Det forudsættes i den forbindelse, at kommunalbestyrelsesmedlemmer generelt bliver gjort bekendt med, hvornår en oplysning kan være eller er omfattet af reglerne om tavshedspligt, betydningen heraf og de mulige konsekvenser ved uberettiget videregivelse af sådanne oplysninger.

En kommune vil som følge af undtagelsen af disse oplysninger fra databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde ikke være dataansvarlig i forhold til disse oplysninger med de deraf følgende pligter vedrørende bl.a. behandlingssikkerhed m.v.

Kommunen vil dog uanset dette have pligt til at sikre, at transmissionen af oplysninger til kommunalbestyrelsesmedlemmet ved anvendelse af en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen, sker på en forsvarlig og sikker måde, og at systemet i øvrigt er forsvarligt og sikkert i forhold til den behandling af oplysninger, som foretages, herunder af oplysninger, som tilgår medlemmet fra kommunen som led i medlemmets varetagelse af sit hverv. Dette vil efter ministeriets opfattelse være en parallel til kommunens pligter til at sikre forsvarlig håndtering af oplysninger, herunder navnlig oplysninger af fortrolig karakter, som tilgår medlemmet fra kommunen på anden vis f.eks. i papirform.

Den foreslåede undtagelse fra databeskyttelsesforordningen og databeskyttelsesloven finder alene anvendelse på et kommunalbestyrelsesmedlems behandling af oplysninger, der foretages som led i varetagelsen af kommunalbestyrelsesmedlemmets hverv.

Udtrykket behandling skal forstås i overensstemmelse med definitionen heraf i databeskyttelsesforordningens artikel 4, nr. 2.

Det følger af forordningens artikel 4, nr. 2, at der med behandling forstås enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som perso?noplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Det følger af § 1, stk. 2, i forslaget til databeskyttelsesloven, at loven og databeskyttelsesforordningen gælder for al behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Ordet oplysninger skal forstås i overensstemmelse med anvendelsesområdet for databeskyttelsesforordningen og databeskyttelsesloven. Anvendelsesområdet for forordningen er fastlagt i forordningens artikel 2, mens anvendelsesområdet for databeskyttelsesloven er fastlagt i lovens kapitel 1 og nærmere beskrevet i bemærkningerne til lovforslaget, jf. Folketingstidende 2017-18, A, L 68 som fremsat, side 169 ff.

Udtrykket »som led i varetagelsen af et kommunalbestyrelsesmedlems hverv« omfatter alle oplysninger, som har tilknytning til medlemmets varetagelse af det hverv som medlem af kommunalbestyrelsen, som medlemmet har modtaget i medfør af lov om kommunale og regionale valg.

Det vil således omfatte behandling af alle oplysninger, som medlemmet modtager eller afsender som følge af medlemmets varetagelse af hvervet som kommunalbestyrelsesmedlem. Oplysningerne behøver ikke isoleret set at vedrøre en sag, der kan indbringes for kommunalbestyrelsen, men oplysningerne modtages eller afsendes af medlemmet i medlemmets egenskab af medlem af kommunalbestyrelsen.

Behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv, kan vedrøre enhver type oplysning, som medlemmet modtager som led i sit hverv, i det omfang oplysningen modtages via en kommunikationstjeneste, som kommunen har stillet til rådighed for medlemmet. Det vil således også omfatte de oplysninger, som kommunens forvaltning måtte sende til medlemmet via kommunikationstjenesten, herunder f.eks. materiale til et udvalgs- eller kommunalbestyrelsesmøde i form af udkast til dagsorden, bilag med indstillinger m.v.

Undtagelsen omfatter oplysninger, som medlemmet modtager vedrørende hvervet som medlem af kommunalbestyrelsen eller andre hverv, som medlemmet modtager i kraft af dette hverv, og som reguleres af lov om kommunernes styrelse. Det vil navnlig være hvervene som kommunalbestyrelsesmedlem og som medlem af økonomiudvalg, stående udvalg, særlige udvalg og underudvalg. Herudover vil medlemmets eventuelle hverv som medlem af styrelsesorganet i et kommunalt fællesskab efter § 60 i lov om kommunernes styrelse også være omfattet, da sådanne hverv også er reguleret af lov om kommunernes styrelse, medmindre andet er fastsat i vedtægterne for det kommunale fællesskab.

Modsat følger det heraf, at undtagelsen ikke omfatter andre hverv, som et medlem af kommunalbestyrelsen varetager efter valg eller forslag af kommunen, end medlemskab af kommunalbestyrelsens udvalg eller underudvalg, jf. § 16 e i lov om kommunernes styrelse. Undtagelsen omfatter f.eks. ikke hverv i bestyrelsen for selskaber, herunder aktieselskaber, som et medlem vælges eller udpeges til af kommunalbestyrelsen.

Undtagelsen omfatter heller ikke hvervet som øverste daglig leder af kommunens forvaltning, som borgmesteren varetager, jf. § 31, stk. 3, i lov om kommunernes styrelse, hvervet som øverste daglige leder af en del af forvaltningen, der i kommuner med delt administrativ ledelse varetages af formændene for de stående udvalg, jf. § 64 a i lov om kommunernes styrelse, og hvervet som øverste daglige leder af forvaltningen, som i kommuner med magistratsstyre varetages af borgmesteren og de øvrige medlemmer af magistraten, jf. § 64 i lov om kommunernes styrelse.

Det bemærkes i den forbindelse, at den foreslåede undtagelse fra databeskyttelsesforordningens og databeskyttelseslovens regler udelukkende finder anvendelse, når et kommunalbestyrelsesmedlem som led i sit kommunale hverv behandler oplysninger i form af korrespondance via en kommunikationstjeneste, som kommunen har stillet til rådighed for medlemmet til medlemmets varetagelse af hvervet. Den virksomhed, et politisk parti måtte udføre, er ikke undtaget fra databeskyttelsesforordningens og databeskyttelseslovens regler. Politiske partier skal således naturligvis fortsat overholde de almindelige regler om behandling af personoplysninger, der følger af databeskyttelsesforordningen og databeskyttelsesloven.

Det bemærkes endvidere, at undtagelsen ikke omfatter når et kommunalbestyrelsesmedlem, der er ansat i den kommune, den pågældende også er valgt i, anvender den pågældende kommunikationstjeneste, typisk mailkonto eller mobiltelefon, arbejdsmæssigt eller privat. Denne behandling af personoplysninger vil være fuldt ud omfattet af reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Undtagelsen omfatter dermed ikke den behandling af oplysninger, der sker, når et kommunalbestyrelsesmedlem anvender den pågældende kommunikationstjeneste, typisk mailkonto eller mobiltelefon, arbejdsmæssigt, dvs. i forbindelse med medlemmets civile erhverv. Det gælder også tilfælde, hvor medlemmet er ansat i den kommune, den pågældende også er valgt i. Denne behandling af personoplysninger vil være fuldt ud omfattet af reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

At et kommunalbestyrelsesmedlem eventuelt har anvendt f.eks. sin kommunale mailkonto i forbindelse med sit civile erhverv, medfører dermed ikke, at en kommune i medfør af databeskyttelsesforordningen og databeskyttelsesloven vil kunne have adgang til at tilgå den samlede kommunikation, som medlemmet har ført via sin kommunale mailkonto. Medlemmets kommunikation som led i varetagelsen af sit hverv som kommunalbestyrelsesmedlem vil fortsat være omfattet af den foreslåede beskyttelse. En kommune vil således også i forhold til kommunalbestyrelsesmedlemmer, der er ansat i kommunen, i kraft af sin eventuelle arbejdsgiverrolle alene være berettiget til at få indsigt i e-mails m.v. af arbejdsmæssig karakter for kommunen, som medlemmet har håndteret via en kommunal kommunikationstjeneste.

Behandling af oplysninger, der foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv, men hvor medlemmet ikke anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen, er ikke omfattet af lovforslaget.

Hvorvidt en behandling af oplysninger foretages som led i varetagelsen af et kommunalbestyrelsesmedlems hverv, beror på en konkret vurdering.

Af hensyn til at understøtte formålet med ændringen, som er at beskytte et kommunalbestyrelsesmedlems kommunikation som led i varetagelsen af sit hverv som medlem af kommunalbestyrelsen, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen, forudsættes der at gælde en formodning for, at den behandling af oplysninger, som sker, når kommunalbestyrelsesmedlemmet anvender denne tjeneste, sker som led i varetagelsen af kommunalbestyrelsesmedlemmets hverv.

Formodningen vil f.eks. kunne afkræftes, hvis det ud fra en e-mails emnefelt er oplagt at lægge til grund, at der er tale om kommunikation vedrørende medlemmets civile erhverv eller private kommunikation uden relation til medlemmets varetagelse af sit hverv som kommunalbestyrelsesmedlem.

Det vil i praksis være betydeligt vanskeligere at afkræfte formodningen ved medlemmets anvendelse af tekstbeskeder.

Af hensyn til en hensigtsmæssig håndtering af disse vanskeligheder for kommunalbestyrelsesmedlemmer, der er ansat i den kommune, den pågældende også er valgt i, kan det overvejes at stille forskellige kommunikationstjenester til rådighed for medlemmets varetagelse af henholdsvis sit hverv som kommunalbestyrelsesmedlem og sit ansættelsesforhold ved kommunen. Det vil kunne imødegå den større risiko for en sammenblanding af de forskellige funktioner i disse tilfælde.

Kommunalbestyrelsesmedlemmets eventuelle øvrige anvendelse af kommunikationstjenesten - dvs. behandling af oplysninger, der ikke sker som led i medlemmets varetagelse af sit hverv - vil ikke være omfattet af den særlige beskyttelse, som indføres med dette lovforslag, men vil være underlagt de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven. Det vil f.eks. være tilfældet, hvis et kommunalbestyrelsesmedlem, der er ansat i den kommune, som den pågældende er valgt i, som led i sit ansættelsesforhold foretager konkret sagsbehandling via sin kommunale mailkonto.

Hvis et kommunalbestyrelsesmedlem, der er ansat i den kommune, den pågældende også er valgt i, anvender den pågældende kommunikationstjeneste i forbindelse med sit civile erhverv, vil det således ikke være omfattet af undtagelsen. Denne behandling af personoplysninger vil være fuldt ud omfattet af reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Det forhold, at et kommunalbestyrelsesmedlem eventuelt i større eller mindre omfang har anvendt f.eks. sin kommunale mailkonto i forbindelse med sit civile erhverv, medfører ikke, at en kommune vil have adgang til at tilgå den samlede kommunikation, som medlemmet har ført via sin kommunale mailkonto. Kommunalbestyrelsesmedlemmets kommunikation som led i varetagelsen af sit hverv vil fortsat være omfattet af den foreslåede beskyttelse.

Det gælder også i forhold til kommunalbestyrelsesmedlemmer, der er ansat i kommunen. Kommunen vil i kraft af sin eventuelle arbejdsgiverrolle i sådanne tilfælde alene være berettiget til at få indsigt i e-mails m.v. af arbejdsmæssig karakter for kommunen, som medlemmet har håndteret via sin kommunale kommunikationstjeneste.

Der vil også i sådanne tilfælde gælde en formodning om, at behandlingen af oplysninger, som sker, når kommunalbestyrelsesmedlemmet anvender denne tjeneste, sker som led i varetagelsen af kommunalbestyrelsesmedlemmets hverv, som eventuelt kan afkræftes ud fra e-mailens emnefelt, jf. ovenfor.

En kommune vil således i det hele være afskåret fra at få indsigt i e-mails m.v. vedrørende kommunalbestyrelsesmedlemmets varetagelse af sit hverv, som medlemmet har håndteret via en kommunikationstjeneste, som kommunen har stillet til rådighed for medlemmet.

Det bemærkes, at der med den foreslåede særregel for kommunalbestyrelsesmedlemmer alene vil ske fravigelse og undtagelse fra reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Det betyder, at anden regulering fortsat vil finde anvendelse på kommunalbestyrelsesmedlemmers benyttelse af de kommunikationstjenester, de har fået stillet til rådighed af kommunen.

Sådan anden regulering vil navnlig være retsplejelovens almindelige regler om politiets adgang til oplysninger i forbindelse med efterforskning af formodede strafbare forhold, hvilket som udgangspunkt forudsætter forudgående indhentelse af en dommerkendelse.

En kommune vil endvidere som led i kommunens almindelige beføjelser som offentlig myndighed ved afværgning af kritiske angreb på kommunens it-system være berettiget til at tilgå alle dele af kommunens it-systemer, hvis dette er påkrævet af it-faglige grunde. Kommunen vil i den forbindelse undtagelsesvis, hvis det er påkrævet af it-faglige grunde for at afværge et kritisk angreb på kommunens it-system og en overhængende fare for et systemnedbrud, være berettiget til at tilgå et kommunalbestyrelsesmedlems kommunale mailkonto.

Kommunen vil i sådanne tilfælde ikke være berettiget til at foretage gennemlæsning af en eller flere e-mails, men kommunens it-afdeling eller ekstern it-bistand vil alene være berettiget til systemteknisk at tilgå en mailkonto, herunder eventuelt enkelte e-mails, der som følge af vira eller andet udgør (en del af) angrebet på kommunens system, for at sikre, at der ikke sker et komplet systemnedbrud.

Det forudsættes, at kommunen i givet fald giver det pågældende kommunalbestyrelsesmedlem en orientering om kommunens dispositioner.

Kommunens it-afdeling eller ekstern it-bistand vil i forhold til de oplysninger, som de måtte komme i besiddelse af i den forbindelse, bl.a. være underlagt de bindinger, der følger af almindelige forvaltningsretlige regler, som bl.a. indeholder et krav om saglighed og proportionalitet.

Det forvaltningsretlige princip om saglighed indebærer, at offentlige myndigheder ikke må forfølge hensyn, der i sammenhængen er usaglige eller uvedkommende, mens proportionalitetsprincippet indebærer, at et indgreb ikke må være mere vidtgående, end formålet tilsiger.

Det følger endvidere bl.a. af databeskyttelsesforordningens artikel 5, stk. 1, litra b, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål.

Videregivelse til borgmesteren eller andre i den kommunale forvaltning af konkrete oplysninger om, hvilke e-mails til og fra et kommunalbestyrelsesmedlem en sådan it-mæssig håndtering har fremfundet, vil ikke være saglig.

Det samme vil gøre sig gældende i forbindelse med håndteringen af et eventuelt hackerangreb på en mobiltelefon eller en anden kommunikationstjeneste, som medlemmet har fået stillet til rådighed af kommunen.

Det kommunale og regionale tilsyn vil kunne påse, om kommunens beslutning om at tilgå et kommunalbestyrelsesmedlems kommunikationstjeneste, som er stillet til rådighed af kommunen, har været lovlig.

Som omtalt ovenfor gør de samme forhold sig efter Økonomi- og Indenrigsministeriets opfattelse gældende for regionsrådsmedlemmer, hvorfor det efter ministeriets opfattelse er hensigtsmæssigt, at ændringen også finder anvendelse for regioner og regionsrådsmedlemmer. Dette kræver ikke ændring af regionsloven, da der i regionsloven henvises til § 8 b i lov om kommunernes styrelse.

Regionsrådsmedlemmer vil dermed være undergivet en tilsvarende undtagelse, for så vidt angår behandling af oplysninger, som et regionsrådsmedlem foretager som led i varetagelsen af sit hverv som medlem af regionsrådet, når medlemmet anvender en kommunikationstjeneste, som medlemmet har fået stillet til rådighed af regionen.

Den foreslåede ændring indebærer ikke administrative eller økonomiske konsekvenser for staten, regioner, kommuner eller erhvervslivet m.v. Lovforslaget har ingen administrative konsekvenser for borgerne og har ingen miljømæssige konsekvenser.

Lov om kommunernes styrelse og regionsloven gælder ikke for Færøerne og Grønland.

Det bemærkes, at det følger af databeskyttelsesforordningens artikel 85, stk. 3, at hver medlemsstat skal give Kommissionen meddelelse om de lovbestemmelser, som den har vedtaget i henhold til stk. 2, og straks underrette om alle senere ændringslove eller ændringer, der berører dem.

Økonomi- og Indenrigsministeriet vil sørge for, at der gives Kommissionen meddelelse om den foreslåede undtagelse.

Til nr. 7

Der foreslås en række konsekvensændringer med henblik på at tilpasse henvisninger til persondataloven i arkivloven til databeskyttelsesforordningen, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Til nr. 8

Det foreslås, at det præciseres, at henvisningen i lovforslagets § 30, stk. 1, bør være til stk. 3 om at beskæftigelsesministeren fastsætter tidspunkter for ikrafttræden af § 11, nr. 2 og 4-6, og ikke stk. 2. Ændringen medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Til nr. 9

Det foreslås, at det præciseres, at det kun er lovforslagets §§ 2 og 3, der ved kongelig anordning kan sættes i kraft for sager om færøske og grønlandske anliggender. Ændringen medfører ikke indholdsmæssige ændringer i forhold til det fremsatte lovforslag.

Til nr. 10

De foreslåede ændringer i arkivloven gælder ikke for Færøerne og Grønland. Ændringerne kan med de ændringer, som de færøske og grønlandske forhold tilsiger, ved kongelig anordning sættes i kraft for sager, der er eller har været under behandling af rigsmyndighederne.

Peter Skaarup (DF) fmd. Peter Kofod Poulsen (DF) Susanne Eilersen (DF) Hans Kristian Skibby (DF) Per Nørhave (DF) Lise Bech (DF) Preben Bang Henriksen (V) Jan E. Jørgensen (V) Britt Bager (V) Mads Fuglede (V) Carl Holst (V) Michael Aastrup Jensen (V) Henrik Dahl (LA) Christina Egelund (LA) Naser Khader (KF) Simon Kollerup (S) Lars Aslan Rasmussen (S) Mette Reissmann (S) Mogens Jensen (S) nfmd. Rasmus Prehn (S) Morten Bødskov (S) Kaare Dybvad (S) Rosa Lund (EL) Eva Flyvholm (EL) Josephine Fock (ALT) Sofie Carsten Nielsen (RV) Zenia Stampe (RV) Karsten Hønge (SF) Aaja Chemnitz Larsen (IA)

Nunatta Qitornai, Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.

Socialdemokratiet (S)	46
Dansk Folkeparti (DF)	37
Venstre, Danmarks Liberale Parti (V)	34
Enhedslisten (EL)	14
Liberal Alliance (LA)	13
Alternativet (ALT)	10
Radikale Venstre (RV)	? 8
Socialistisk Folkeparti (SF)	7
Det Konservative Folkeparti (KF)	6
Inuit Ataqatigiit (IA)	1
Nunatta Qitornai (NQ)	1
Tjóðveldi (T)	1
Javnaðarflokkurin (JF)	1

Bilag 1

Oversigt over bilag vedrørende L 68

Bilagsnr.	Titel
1	Høringsoversigt og høringssvar vedr. L 68, fra justitsministeren
2	Høringsnotat og høringssvar vedr. L 69, fra justitsministeren
3	Handout til teknisk gennemgang om databeskyttelsesloven
4	EU-note om nye databeskyttelsesregler for virksomheder
5	Udkast til tidsplan for udvalgets behandling af lovforslaget
6	Henvendelse af 20/11-17 fra Finans og Leasing
7	Henvendelse af 21/11-17 fra N. N.
8	Supplerende oplysninger til EU-noten om nye databeskyttelsesregler for virksomheder
9	Tidsplan for udvalgets behandling af lovforslaget
10	Henvendelse af 23/11-17 fra Forsikring & Pension
11	Henvendelse af 7/12-17 fra Copenhagen Business School, Frederiksberg
12	Henvendelse af 8/12-17 fra Københavns Universitet
13	Henvendelse af 8/12-17 fra Youth For Understanding Danmark
14	Henvendelse af 8/12-17 fra Dansk Fjernvarme
15	Ændringsforslag vedr. L 68, fra justitsministeren
16	Ændringsforslag vedr. L 69, fra justitsministeren
17	1. udkast til betænkning
18	Udkast til revideret tidsplan for udvalgets behandling af lovforslagene
19	Revideret tidsplan for udvalgets behandling af lovforslagene
20	Ændringsforslag vedr. L 68, fra justitsministeren
21	Program for ekspertmøde om databeskyttelseslovforslaget den 1/3-18
22	Præsentationer fra Retsudvalgets ekspertmøde om databeskyttelseslovforslaget den 1/3-18
23	2. udkast til betænkning
24	3. udkast til betænkning
25	Ændringsforslag vedr. L 69, fra justitsministeren
26	4. udkast til betænkning
27	5. udkast til betænkning
28	6. udkast til betænkning

Oversigt over spørgsmål og svar vedrørende L 68 og L 69

Spm.nr.	Titel
1	Spm. om ministerens talepapir fra den 9/11-17 vedr. teknisk gennemgang af L 68 (om databeskyttelsesloven) og L 69 (om konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen), til justitsministeren, og ministerens svar herpå
2	Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren, og ministerens svar herpå
3	Spm. om ministerens kommentar til henvendelsen af 20. november 2017 fra Finans og Leasing, til justitsministeren, og ministerens svar herpå
4	Spm. om regler for oplysningspligt m.v., til justitsministeren, og ministerens svar herpå
5	Spm. om at medtage muligheden for at tillade gruppesøgsmål, til justitsministeren, og ministerens svar herpå
6	Spm. om ministerens kommentar til henvendelsen af 21/11-17 fra N. N., til justitsministeren, og ministerens svar herpå
7	Spm. om ministerens kommentar til henvendelsen af 23/11-17 fra Forsikring & Pension, til justitsministeren, og ministerens svar herpå
8	Spm., om ministeren er opmærksom på, at Institut for Menneskerettigheder, Forbrugerrådet Tænk og Rådet for Digital Sikkerhed påpeger, at det er helt afgørende for at etablere en højere grad af databeskyttelse og it-sikkerhed, at begrebet Privacy by Design fortolkes i overensstemmelse med de canadiske principper, til justitsministeren, og ministerens svar herpå
9	Spm., om ministeren og regeringen ikke gør virksomhederne en bjørnetjeneste ved i betænkningen at nedtone nyskabelserne Privacy by Design/indbygget databeskyttelse og databeskyttelse gennem standardindstillinger (artikel 25) og brug af konsekvensanalyse vedrørende databeskyttelse (artikel 35) , til justitsministeren, og ministerens svar herpå
10	Spm. om, hvordan vil ministeren sikre den af Europa-Kommissionen ønskede styrkelse af retten til privatliv og forbedring af it-sikkerheden, til justitsministeren, og ministerens svar herpå
11	Spm. om, hvilke initiativer regeringen sætter i værk, til justitsministeren, og ministerens svar herpå
12	Spm., om ministeren mener, at Privacy by Design bør være en konkurrenceparameter, til justitsministeren, og ministerens svar herpå
13	Spm., om den danske implementering af persondataforordningen vil medføre begrænsninger for myndigheders aktive information på nettet af afgørelser, til justitsministeren, og ministerens svar herpå
14	Spm., om nye lovinitiativer er nødvendige for at fastholde den offentlighed, som praktiseres i en række kommuner og regioner med frivillige postlister, til justitsministeren, og ministerens svar herpå
15	Spm., om ministeren kan redegøre for, om offentlighedslovens § 17 er tilstrækkeligt lovgrundlag for myndigheders offentliggørelse af dokumenter med ikkefortrolige personoplysninger, til justitsministeren, og ministerens svar herpå
16	Spm. om ministerens kommentar til henvendelsen af 7/12-17 fra Copenhagen Business School, Frederiksberg, til justitsministeren, og ministerens svar herpå
17	Spm. om ministerens kommentar til henvendelsen af 8/12-17 fra Københavns Universitet, til justitsministeren, og ministerens svar herpå
18	Spm. om ministerens kommentar til henvendelsen af 8/12-17 fra Youth For Understanding Danmark, til justitsministeren, og ministerens svar herpå
19	Spm. om kommentar til udtalelse fra lektor Hanne Marie Motzfeldt i artiklen »Lovforslag giver adgang til hemmelig overvågning af den danske befolkning« fra Politiken den 6/12-17, til justitsministeren, og ministerens svar herpå
20	Spm. om betegnelsen »lovtidendeillusionen«, til justitsministeren, og ministerens svar herpå
21	Spm. om, hvorvidt Lovtidende alene er en fyldestgørende informati?onskanal til borgerne om statens udnyttelse af personoplysninger, til justitsministeren, og ministerens svar herpå
22	Spm. om, hvor mange borgere der ud fra ministerens og ministeriets viden løbende følger med i Lovtidende, til justitsministeren, og ministerens svar herpå
23	Spm. om forslag til en tilføjelse om, at ministeren skal give en redegørelse til Folketinget om, hvordan den foreslåede regel om, at bemyndigelse til videreanvendelse fastsættes på bekendtgørelsesniveau, er blevet brugt, til justitsministeren, og ministerens svar herpå
24	Spm. om, hvordan bestemmelserne i lovforslaget om viderebehandling af oplysninger til andre formål respekterer de principper, som et enigt Retsudvalg vedtog i en beretning fra januar 2015, til justitsministeren, og ministerens svar herpå
25	Spm. om, hvorvidt regeringens forslag om øget mulighed for registersamkøring uden information til borgerne ikke er i direkte modstrid med de udmærkede principper i Retsudvalgets beretning om datasikkerhed fra 2015, til justitsministeren, og ministerens svar herpå
26	Spm. om, hvorvidt en lempelse af brugen af cpr-numre for private virksomheder er forsvarligt, til justitsministeren, og ministerens svar herpå
27	Spm., om man bør afvente private virksomheders brug af cpr-numre, til vi har sikkerhed for, at cpr-numre ikke kan udgøre validiteten af en persons identitet, til justitsministeren, og ministerens svar herpå
28	Spm., om der ikke er en risiko for, at Danmark arbejder imod det nye gennemsigtighedsprincip, hvis Danmark tillader det offentlige at fravige formålsprincippet, til justitsministeren, og ministerens svar herpå
29	Spm., om databeskyttelsesforordningen ikke bør begrænses til kun at gælde i undtagelsestilfælde, til justitsministeren, og ministerens svar herpå
30	Spm. om, hvorvidt databeskyttelse by design og databeskyttelse som standard er to nye regler i databeskyttelsesforordningen, til justitsministeren, og ministerens svar herpå
31	Spm. om, hvordan det er muligt at fremme databeskyttelse og it-sikkerheden i Danmark, til justitsministeren, og ministerens svar herpå
32	Spm. om garanti for, at lovforslagets § 5, stk. 3, og § 23 lever op til betingelserne i artikel 23 i persondataforordningen, til justitsministeren, og ministerens svar herpå
33	Spm. om, hvorvidt lovforslagets § 5, stk. 3, og navnlig § 23 er i overensstemmelse med betingelsen i artikel 23, stk. 2, litra h, i forordningen, til justitsministeren, og ministerens svar herpå
34	Spm., om det kan skade selve formålet med myndighedernes datadeling, hvis de registrerede skal underrettes om, at deres personoplysninger nu anvendes til et andet formål end det oprindelige, til justitsministeren, og ministerens svar herpå
35	Spm. om, hvad problemet overordnet er i at inddrage Folketinget og oplyse borgerne om, at personoplysninger nu skal anvendes af andre myndigheder til nye formål, til justitsministeren, og ministerens svar herpå
36	Spm. om ministerens kommentar til henvendelsen af 8/12-17 fra Dansk Fjernvarme, til justitsministeren, og ministerens svar herpå
37	Spm., om ministeriet i forbindelse med overvågningen af bemyndigelsen ud over at føre en liste med bekendtgørelser, der er udstedt i medfør af bestemmelsen, også fører en indholdsmæssig overvågning af brugen af bemyndigelsen, til justitsministeren, og ministerens svar herpå
38	Spm. om, hvordan bemyndigelsen er udmøntet i praksis i de pågældende bekendtgørelser, til justitsministeren, og ministerens svar herpå
39	Spm., om ministeren i forlængelse af svar på spørgsmål 15 kan bekræfte, at myndigheder med hjemmel i offentlighedslovens § 17 kan fastsætte generelle retningslinjer, der giver ret og pligt til aktiv offentliggørelse af ikkefortrolige personoplysninger i forbindelse med postlister, til justitsministeren, og ministerens svar herpå
40	Spm., om ministeren i forlængelse af svar på spørgsmål 15 vil sikre, at myndigheder bliver informeret om muligheden for at fastsætte retningslinjer efter offentlighedslovens § 17, til justitsministeren, og ministerens svar herpå
41	Spm. om, hvilken betydning lovforslagets § 5, stk. 3, overordnet har for politiets og PET's adgang til data eller mulighed for at opnå adgang til data uden Folketingets samtykke, til justitsministeren, og ministerens svar herpå
42	Spm. om, hvorledes lovforslagets § 5, stk. 3, giver politiet mulighed for at få adgang til anvendelse af yderligere data, som kan bruges til at foretage brede databaserede analyser, til justitsministeren, og ministerens svar herpå
43	Spm., om ministeren eller regeringen har planer om at benytte bemyndigelsen i lovforslagets § 5, stk. 3, til at sikre politiet yderligere adgang til data, til justitsministeren, og ministerens svar herpå
44	Spm. om ministerens syn på, hvorledes lovforslagets § 5, stk. 3, i kombination med politiets analysesystem, POL-Intel, medfører risiko for masseovervågning, til justitsministeren, og ministerens svar herpå
45	Spm. om ministeren kan garantere, at § 5, stk. 3, i kombination med POL-Intel ikke fører til, at politiet har mulighed for at foretage masseovervågning, til justitsministeren, og ministerens svar herpå
46	Spm. om ministerens kommentar til artiklen »Med politisk vilje: Borgernes retssikkerhed og statens deling af data kan gå hånd i hånd«, politiken.dk den 15. december 2017, til justitsministeren, og ministerens svar herpå
47	Spm. om, hvorledes ministerens svar til Folketinget om oplysning til borgerne om registreringen fra den datamodtagende myndighed efter videregivelse af data hænger sammen med de nye anbefalinger fra EU's kommende dataråd, til justitsministeren, og ministerens svar herpå
48	Spm. om kommentar til problematikkerne i artiklen »Dansk lov går stik imod udmelding fra europæisk datavagthund« fra version2.dk den 15/12-17 rejst af jurist Catrine Søndergaard Byrne, til justitsministeren, og ministerens svar herpå
49	Spm. om argumentet om, at privatlivets beskyttelse er en grundrettighed og en del af grundloven, til justitsministeren, og ministerens svar herpå
50	Spm. om teknisk bistand til at udarbejde et ændringsforslag, til justitsministeren, og ministerens svar herpå
51	Spm. om teknisk bistand til at udarbejde et ændringsforslag, til justitsministeren, og ministerens svar herpå
52	Spm., om det er korrekt forstået, at det databeskyttelsesretlige formålsbestemthedsprincip (finalité-princippet) meget sjældent sætter grænser for myndighedernes genbrug af borgernes persondata, til justitsministeren, og ministerens svar herpå
53	Spm., om det er korrekt forstået, at ingen af de databeskyttelsesretlige principper, herunder princippet om proportionalitet, i realiteten sætter grænser for myndighedernes genbrug af data, til justitsministeren, og ministerens svar herpå
54	Spm. om, hvornår genbrug af borgernes data er uforenelig med indsamlingsformålet, til justitsministeren, og ministerens svar herpå
55	Spm. om, i hvilket omfang en borgers sundhedsdata kan genbruges i andre sammenhænge end vedkommendes egen patientbehandling, uden at borgeren informeres, til justitsministeren, og ministerens svar herpå
56	Spm., om en borger fremover skal informeres om videregivelse af vedkommendes sundhedsdata til behandling inden for beskæftigelsesområdet, til justitsministeren, og ministerens svar herpå
57	Spm., om en borger fremover skal oplyses om videregivelse af vedkommendes sundhedsdata til brug for behandling af sociale sager henholdsvis kontrol med retmæssigheden af ydelser, til justitsministeren, og ministerens svar herpå
58	Spm., om en borger fremover skal oplyses om videregivelse af vedkommendes sundhedsdata til brug for behandling af sager om udbetalinger til privatpraktiserende læger efter den offentlige sygesikringsordning, til justitsministeren, og ministerens svar herpå
59	Spm. om ministerens talepapir fra samrådet den 23/1-18 om databeskyttelseslovforslagets bestemmelser om viderebehandling af perso?no?plysninger og oplysningspligt, til justitsministeren, og ministerens svar herpå
60	Spm. om redegørelse for størrelsen af Datatilsynsmyndighedernes budgetter i andre europæiske lande, som Danmark normalt sammenlignes med, til justitsministeren, og ministerens svar herpå
61	Spm. om, hvor meget andre europæiske lande, som Danmark normalt sammenlignes med, har hævet eller har planlagt at hæve deres budgetter for deres respektive Datatilsynsmyndigheder, til justitsministeren, og ministerens svar herpå
62	Spm. om, hvordan lovforslaget og ministerens udtalelser til Folketinget under samrådet den 23/1-18 forholder sig til, hænger sammen med og er i overensstemmelse med Folketingets beretning om datasikkerhed fra 2015 (Beretning af almen art nr. 4 (2014-15, 1. samling)), til justitsministeren, og ministerens svar herpå
63	Spm. om, hvordan lovforslaget og ministerens udtalelser til Folketinget forholder sig til, hænger sammen med og er i overensstemmelse med, at forordningens artikel 13 og 14 fastslår, at ved videreanvendelse af oplysninger til andre formål end det oprindelige skal borgeren oplyses forud for den videreanvendte databehandling, til justitsministeren, og ministerens svar herpå
64	Spm. om, hvordan lovforslaget og ministerens udtalelser til Folketinget forholder sig til, hænger sammen med og er i overensstemmelse med artikel 29-gruppens fastslåede position i forhold til gruppens vejledning fra december 2017, til justitsministeren, og ministerens svar herpå
65	Spm., om de retssikkerhedsgarantier for borgerne, der af Datatilsynet i Libanonsagen blev beskrevet, stadig gælder efter lovforslaget, til justitsministeren, og ministerens svar herpå
66	Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamlede persondata til nye formål, til justitsministeren, og ministerens svar herpå
67	Spm. om, hvilke signaler lovgivningens foreslåede regler for offentlige myndigheder sender om betydningen af gennemsigtighed og kontrol med data, til justitsministeren, og ministerens svar herpå
68	Spm. om teknisk bistand til at udarbejde et ændringsforslag, der medfører, at § 5, stk. 3, udgår af lovforslaget, til justitsministeren, og ministerens svar herpå
69	Spm. om teknisk bistand til at udarbejde et ændringsforslag til § 23, til justitsministeren, og ministerens svar herpå
70	Spm., om alle kommuner - uanset ghetto eller ej - vil få samme adgang til profilering af borgere, til justitsministeren, og ministerens svar herpå
71	Spm. om, det bliver op til den enkelte kommune at beslutte, hvilke familier der skal profileres, til justitsministeren, og ministerens svar herpå
72	Spm. om, hvordan det sikres, at kommunerne ikke samkører data til alle mulige andre formål end indsatser overfor udsatte børn, til justitsministeren, og ministerens svar herpå
73	Spm., om der skal være opfyldt nogle særlige kriterier hos familierne, for at samkøringen kan tillades, til justitsministeren, og ministerens svar herpå
74	Spm., om der i forbindelse med vedtagelsen af lovforslaget vil blive lavet en ekstra indsats for at uddanne ansatte i kommunerne, regionerne og staten i, hvordan de fremadrettet skal behandle og videregive persondata, til justitsministeren, og ministerens svar herpå
75	Spm. om, hvem der har ansvaret for deling af persondata og datasikkerhed i kommunerne, til justitsministeren, og ministerens svar herpå
76	Spm. om, hvornår en databehandling m.v. er i kontroløjemed, og hvornår den ikke er, til justitsministeren, og ministerens svar herpå
77	Spm. om, at justitsminister Søren Pape Poulsen ikke har villet give interview om de udskældte elementer i lovforslaget, til justitsministeren, og ministerens svar herpå
78	Spm., om ministerens ændringsforslag til § 23 sikrer, at de omfattede borgere i alle tilfælde skal underrettes forud for en viderebehandling af personoplysninger i kontroløjemed, til justitsministeren, og ministerens svar herpå
79	Spm. om uddybning af svaret på spm. 78, til justitsministeren, og ministerens svar herpå
80	Spm. om 10 konkrete eksempler på, hvornår en behandling af perso?noplysninger er i kontroløjemed m.m., til justitsministeren, og ministerens svar herpå
81	Spm., om det er acceptabelt eller hensigtsmæssigt for en minister at afvise at give interview om et omdiskuteret lovforslag, til justitsministeren, og ministerens svar herpå
82	Spm. om liste over politiske initiativer - kommende love og bekendtgørelser - som er undervejs, og som refererer til lovforslaget, til justitsministeren, og ministerens svar herpå
83	Spm., om oplysninger vedrørende viderebehandling af data skal fremlægges forud for den videre behandling m.m., til justitsministeren, og ministerens svar herpå
84	Spm. om sikring af en rimelig frist mellem underretningen og det tidspunkt, hvor databehandlingen starter m.m., til justitsministeren, og ministerens svar herpå
85	Spm., om ministeren vil bekræfte, at offentlige myndigheder med de foreslåede regler fortsat skal foretage en konkret vurdering i hver enkelt sag om genbrug af personoplysninger til andre formål end det oprindelige, til justitsministeren, og ministerens svar herpå
86	Spm. om, hvilke konkrete personoplysninger der må viderebehandles til andre formål end det oprindelige, til justitsministeren, og ministerens svar herpå
87	Spm., om kommunernes praksis har ført til, at personoplysninger er blevet genanvendt for lidt eller for meget i forhold til de gældende regler, til justitsministeren, og ministerens svar herpå
88	Spm. om, hvornår der er tale om samkøring og samstilling af perso?no?plysninger i »kontroløjemed«, eller om myndighederne skal foretage en konkret vurdering af dette, til justitsministeren, og ministerens svar herpå
89	Spm., om den samme klarhed for bl.a. kommunerne ville kunne opnås ved en lovændring, til justitsministeren, og ministerens svar herpå
90	Spm. om, at myndighederne i ansøgningssager om f.eks. sociale ydelser ikke må indhente oplysninger om ansøgerens rent private forhold, som andre dele at den pågældende myndighed eller en anden forvaltningsmyndighed ligger inde med, til justitsministeren, og ministerens svar herpå
91	Spm. om, hvordan ministeren kan være sikker på, at offentlige myndigheders viderebehandling af personoplysninger ikke strider imod de grundlæggende principper i databeskyttelsesforordningen, til justitsministeren, og ministerens svar herpå
92	Spm. om regeringens initiativ til tidlig opsporing af udsatte børn, der indgår i regeringens såkaldte ghettoudspil, til justitsministeren, og ministerens svar herpå
93	Spm., om der kan sondres mellem samkøring i kontroløjemed og samkøring som en forebyggende indsats i regeringens initiativ til tidlig opsporing af udsatte børn, til justitsministeren, og ministerens svar herpå
94	Spm. om, hvilke personoplysninger der skal kunne viderebehandles af andre offentlige myndigheder, for at regeringens initiativ til tidlig opsporing af udsatte børn kan gennemføres, til justitsministeren, og ministerens svar herpå
95	Spm. om, hvilke personoplysninger der er nødvendige for gennemførelse af regeringens initiativ til tidlig opsporing af udsatte børn, til justitsministeren, og ministerens svar herpå
96	Spm. om ministerens talepapir fra samrådet den 5/4-18 om databeskyttelseslovforslaget, til justitsministeren , og ministerens svar herpå
97	Spm. om, hvad begrundelsen er for § 27, stk. 3, hvorefter innovationsministeren og erhvervsministeren som en ny ting hver skal udpege 1 af de 7 medlemmer af Datarådet, til justitsministeren, og ministerens svar herpå
98	Spm., om borgeres dialog med byrådsmedlemmer via e-mail (officiel kommunal mail) vil blive ændret, såfremt den nye databeskyttelseslov vedtages i dens nuværende udformning, til justitsministeren, og ministerens svar herpå
99	Spm., om det er korrekt, at bemyndigelsen i lovforslagets § 5, stk. 3, kan anvendes bredt på samtlige ministerområder og ikke kun i forhold til at opspore udsatte børn, til justitsministeren , og ministerens svar herpå
100	Spm. om, hvordan de øvrige EU-lande har valgt at implementere databeskyttelsesforordningen, til justitsministeren, og ministerens svar herpå
101	Spm. om, hvilke data der må viderebehandles til andre formål, og til hvilke konkrete formål de må viderebehandles, til justitsministeren, og ministerens svar herpå
102	Spm. om, hvordan man vil sikre et overblik over, hvilke data der tilgår de forskellige myndigheder - også på tværs af ministerområder, til justitsministeren, og ministerens svar herpå
103	Spm., om det kræver hjemmel i en bekendtgørelse efter § 5, stk. 3, at viderebehandle oplysninger til andet formål, til justitsministeren, og ministerens svar herpå
104	Spm., om lovforslaget er i overensstemmelse med Tallinn-erklæringen, som Danmark og de øvrige EU-lande har underskrevet, til justitsministeren, og ministerens svar herpå
105	Spm. om, hvilken status Datatilsynets udtalelser, anbefalinger og indstillinger vil få, til justitsministeren, og ministerens svar herpå
106	Spm., om Datatilsynet tilføres yderligere ressourcer til at løfte opgaven med at føre kontrol med bekendtgørelser, der forventes udstedt i medfør af lovforslagets § 5, stk. 3, til justitsministeren, og ministerens svar herpå
107	Spm. om, hvad ministeren mener med, at flere partier tegner et skræmmebillede af den foreslåede retsstilling, til justitsministeren, og ministerens svar herpå
108	Spm. om, hvorfor ministeren modsætter sig, at reglerne om offentlige myndigheders viderebehandling af personoplysninger til andre formål end det oprindelige skal fastsættes ved lov, til justitsministeren, og ministerens svar herpå
109	Spm. om, hvilke eksperter der har udtalt sig positivt om de foreslåede bestemmelser i lovforslagets § 5, stk. 3, og § 23, til justitsministeren, og ministerens svar herpå
110	Spm., om ministeren kan bekræfte, at der i Betænkning nr. 1565 alene er foretaget en vurdering af den retlige praksis vedrørende Databeskyttelsesdirektivet og Persondataloven og det nationale råderum i denne sammenhæng, til justitsministeren, og ministerens svar herpå
111	Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren, og ministerens svar herpå
112	Spm. om at fremsende tre fiktive og alsidige eksempler på bekendtgørelser, der kunne være udstedt med hjemmel i § 5, stk. 3, til justitsministeren, og ministerens svar herpå

113	Spm., om ministeren vil yde teknisk bistand til udarbejdelse af et ændringsforslag, til justitsministeren, og ministerens svar herpå

114	Spm. om ministeren kan bekræfte, at sammenstilling og samkøring af personoplysninger i profileringsøjemed, dvs. med henblik på profilering af den ene eller den anden slags, til justitsministeren, og ministerens svar herpå

115	Spm., om det er korrekt forstået, at flertallet i udvalget således har en vetoret, som den pågældende minister skal respektere for at overholde ordningen som fremsat i betænkningsbidraget, til justitsministeren, og ministerens svar herpå
116	Spm., om ministeren kan redegøre for, hvilke(t) flertal der henvises til, og derved hvilke(t) flertal der påkræves for at opnå denne mulighed, til justitsministeren, og ministerens svar herpå
117	Spm., om ministeren kan bekræfte, at muligheden for, at et flertal i udvalgene kan hindre udstedelsen af en bekendtgørelse, alene sker i kraft af den politiske aftale, der er indgået i betænkningsbidraget fra Socialdemokratiet og regeringspartierne herom, til justitsministeren, og ministerens svar herpå
118	Spm., om det pågældende ministerium som følge af denne sætning har juridisk pligt til at sikre, at bekendtgørelsen ikke udstedes, hvis et flertal i udvalgene ikke ønsker dette, til justitsministeren, og ministerens svar herpå
119	Spm. om, hvad den juridiske konsekvens vil være for en minister og et ministerium, der ikke efterkommer et flertal i udvalgene, til justitsministeren, og ministerens svar herpå
120	Spm. om, hvorledes man vil sikre, at det relevante udvalg i Folketinget og Retsudvalget får tid til at læse høringssvarene afgivet fra Datatilsynet og organisationer m.v., inden udvalgene behandler bekendtgørelsesudkastet, således at behandlingen sker i lyset af høringssvarene, til justitsministeren, og ministerens svar herpå
121	Spm. om det er korrekt forstået, at stemmeafgivelsen i Folketingets ressortudvalg og Retsudvalg som benævnt i den pågældende aftale fra Socialdemokratiets og regeringspartiernes betænkningsbidrag er et spejl af stemmeafgivelsen i Folketingssalen, til justitsministeren, og ministerens svar herpå
122	Spm. om, hvordan vil ministeren i så fald vil sikre, at der er samme grad af gennemsigtighed som i Europaudvalget, til justitsministeren, og ministerens svar herpå
123	Spm., om det som følge af Socialdemokratiets og regeringspartiernes betænkningsbidrag betyder, at det både er Retsudvalget og det andet relevante fagudvalg der vil kunne stoppe en bekendtgørelse, til justitsministeren, og ministerens svar herpå
124	Spm., om det som følge af Socialdemokratiets og regeringspartiernes betænkningsbidrag vil være et almindeligt flertal der afgør, om en bekendtgørelse skal udstedes eller ej, til justitsministeren, og ministerens svar herpå
125	Spm., om ministeren i forlængelse af svar på spørgsmål 113 kan bekræfte, at sammenstilling og samkøring af personoplysninger i profileringsøjemed, det vil sige med henblik på profilering af den ene eller anden slags, vil være omfattet af det udformede ændringsforslag i svar på spørgsmål 113, til justitsministeren, og ministerens svar herpå

Oversigt over samrådsspørgsmål vedrørende L 68 og L 69

Samråds-spm.nr.	Titel
A	Samrådsspm. om ministerens kommentar til kritikken i høringssvar og i artiklerne i Politiken fra december 2017 og januar 2018 vedrørende § 5, stk. 3, og § 23, til justitsministeren
B	Samrådsspm. om, hvilke indtryk eksperthøringen har givet ministeren, og hvilke ændringer man vil foretage i lovforslaget i lyset af de kritikpunkter, der blev fremført af oplægsholderne til høringen, til justitsministeren
C	Samrådsspm. om, hvorvidt mulighederne for bemyndigelse på bekendtgørelsesniveau er omfattende, og om § 5, stk. 3, vil have afgørende betydning for myndighedernes muligheder for fremtidig brug af persondata, til justitsministeren
D	Samrådsspm. om, hvorfor ministeren ønsker at undgå den demokratiske kontrol af og den offentlige debat om myndighedernes brug af persondata, til justitsministeren
E	Samrådsspm. om eventuel bekymring for de mulige konsekvenser af myndighedernes indsamling, videreanvendelse, samkøring, sammenstilling og generelle brug af data i fremtiden som følge af lovforslagets § 5, stk. 3, til justitsministeren

Bilag 2

Nogle af udvalgets spørgsmål til justitsministeren og dennes svar herpå

Spørgsmål 115-125 og justitsministerens svar herpå er optrykt efter ønske fra EL og ALT.

Spørgsmål 115:

I betænkningsbidraget fra Socialdemokratiet og regeringspartierne formuleres det, at hvis et flertal i udvalget er imod en bekendtgørelse, har de »således mulighed for at hindre, at den pågældende bekendtgørelse udstedes«. Ministeren bedes oplyse, om det er korrekt forstået, at flertallet i udvalget således har en vetoret, som den pågældende minister skal respektere for at overholde ordningen som fremsat i betænkningsbidraget?

Svar:

Socialdemokratiets og regeringens betænkningsbidrag skal efter sin ordlyd netop forstås således, at både det relevante udvalg i Folketinget og Retsudvalget får en vetoret. Et flertal i blot ét af udvalgene har således mulighed for at hindre, at et udkast til bekendtgørelse efter lovforslagets § 5, stk. 3, udstedes.

Retsudvalgets betænkning vil indgå som en del af lovforarbejderne til databeskyttelsesloven. Tilkendegivelsen i betænkningsbidraget, hvorefter et flertal i de to folketingsudvalg har mulighed for at hindre, at de pågældende bekendtgørelser udstedes, vil være en juridisk bindende forudsætning for brugen af bemyndigelsesbestemmelsen i lovforslagets § 5, stk. 3. Der vil således ikke være hjemmel i bestemmelsen til at udstede en bekendtgørelse, hvis et flertal i ét af udvalgene har udtalt sig herimod. En bekendtgørelse udstedt i strid med denne juridisk bindende forudsætning kan således ikke danne grundlag for viderebehandling af personoplysninger.

Som det fremgår af betænkningsbidraget, skal vedkommende minister, der påtænker at udstede en bekendtgørelse efter lovforslagets § 5, stk. 3, sende udkastet til bekendtgørelse til det relevante udvalg i Folketinget og til Retsudvalget samtidigt med, at bekendtgørelsesudkastet sendes i høring hos Datatilsynet og organisationer mv. Høringssvar fra Datatilsynet og organisationer mv. vil således ikke foreligge på det tidspunkt, hvor folketingsudvalgene får bekendtgørelsesudkast i høring.

Udvalgenes nærmere behandling af bekendtgørelsesudkast i høringsperioden, herunder om behandlingen sker på åbne møder i udvalgene, må som andet folketingsarbejde afgøres inden for rammerne af Folketingets forretningsorden, som Folketinget efter grundlovens § 48 selv fastsætter. Efter forretningsordenen vælges udvalgenes medlemmer ved forholdstalsvalg, jf. § 36. Hvis et udvalg vil udtale sig imod et konkret bekendtgørelsesudkast efter lovforslagets § 5, stk. 3, kan udvalget overveje at udnytte muligheden i § 8 a, stk. 6, i Folketingets forretningsorden, hvorefter et udvalg kan afgive en beretning over sin virksomhed. Afgørelse træffes ved almindeligt flertal, jf. forretningsordenens § 8, stk. 4.

Spørgsmål 116:

I betænkningsbidraget formuleres det, at »Et flertal i udvalgene har således mulighed for at hindre, at den pågældende bekendtgørelse udstedes«. Ministeren bedes redegøre for, hvilke(t) flertal der henvises til, og derved hvilke(t) flertal der påkræves for at opnå denne mulighed: Er det et flertal i ressortudvalget, et flertal i Retsudvalget, et flertal i begge udvalg på samme tid, eller et samlet flertal når de relevante udvalgs medlemmer tælles sammen? Og hvis det ene udvalgs flertal er for og det andet udvalgs flertal er imod, hvilket udvalg trumfer så?

Svar: