Fremsat den 25. oktober 2017 af justitsministeren (Søren Pape Poulsen)

Forslag

til

Lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love

(Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.)

Justitsministeriet

§ 1

I lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger foretages følgende ændringer:

1. § 27, stk. 3, affattes således:

»Stk. 3. Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, helt eller delvist alene må opbevares her i landet.«

2. I § 27, stk. 4, ændres »stk. 1-3« til »stk. 1 og 2«.

3. § 27, stk. 5, ophæves.

4. § 37, stk. 2-9, ophæves, og i stedet indsættes:

»Stk. 2. For Datatilsynet gælder reglerne i § 27, stk. 2-9, i databeskyttelsesloven.«

§ 2

I forvaltningsloven, jf. lovbekendtgørelse nr. 433 af 22. april 2014, foretages følgende ændringer:

1. I § 10, stk. 1, ændres »lov om behandling af personoplysninger« til »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.

2. § 28, stk. 1, affattes således:

»For manuel videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8, § 10 og § 11, stk. 1, samt Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysningers artikel 5, stk. 1, litra a-c, artikel 6, artikel 7, stk. 3, 1. og 2. pkt., artikel 9, artikel 10 og artikel 77, stk. 1, jf. databeskyttelseslovens § 2, stk. 1. For videregivelse af personoplysninger til en anden forvaltningsmyndighed, der helt eller delvis foretages ved hjælp af automatisk databehandling, finder reglerne i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven anvendelse, medmindre videregivelsen er reguleret af lov om retshåndhævende myndigheders behandling af personoplysninger.«

3. § 28, stk. 3, affattes således:

»Stk. 3. Ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den, oplysningen angår, ved erklæring eller klar bekræftelse indvilger i, at oplysningen videregives.«

4. I forvaltningslovens § 28, stk. 4, indsættes som 2. og 3. pkt.:

»Inden der gives samtykke, skal den, oplysningen angår, oplyses om, at et samtykke kan trækkes tilbage. Det skal være lige så let at trække samtykket tilbage som at give det.«

§ 3

I lov nr. 606 af 12. juni 2013 om offentlighed i forvaltningen, som ændret ved lov nr. 148 af 7. februar 2017, foretages følgende ændringer:

1. I § 11, stk. 2, ændres »§ 10 i lov om behandling af personoplysninger« til: »§ 10, stk. 1-4, i databeskyttelsesloven«.

2. I § 14, stk. 1, ændres »lov om behandling af personoplysninger« til »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.

§ 4

I lov om Politiets Efterretningstjeneste (PET), jf. lovbekendtgørelse nr. 231 af 7. marts 2017, foretages følgende ændringer:

1. Overalt i loven ændres »§ 7, stk. 2, og § 8, stk. 2,« til: »§ 7, stk. 1, og § 8, stk. 1«.

2. Efter § 6 indsættes i kapitel 5:

Ȥ 6 a. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2. Behandling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5. Oplysninger, som behandles, må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Stk. 6. Politiets Efterretningstjeneste kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 7. Oplysninger, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.«

3. § 7, stk. 1, ophæves.

Stk. 2 og 3 bliver herefter stk. 1 og 2.

4. § 8, stk. 1, ophæves.

Stk. 2 og 3 bliver herefter stk. 1 og 2.

5. I § 9 a, stk. 1, 1. pkt., ændres »§ 7, stk. 3, eller § 8, stk. 3,« til: »§ 7, stk. 2, eller § 8, stk. 2,«.

6. I § 9 a, stk. 2, ændres »§§ 7-9« til: »§§ 6 a-9«.

7. I § 10, stk. 2, 1. pkt., ændres »§ 7« til: »§§ 6 a og 7«.

8. I § 10, stk. 2, 2. pkt., ændres »lov om behandling af perso?noplysninger anvendelse, hvis den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger« til: »databeskyttelsesloven anvendelse, hvis den videregivelse, der er nævnt i 1. pkt., vedrører oplysninger om rent private forhold«.

9. I § 10, stk. 3, ændres »§ 8« til: »§ 6 a, stk. 1-5 og 7, og § 8«.

10. I § 14, stk. 1, 4. pkt., ændres »og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov om behandling af personoplysninger« til: », databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«.

11. I § 14, stk. 2, udgår »kapitel 8-10 i lov om behandling af personoplysninger og«.

12. I § 14, stk. 2, indsættes som 2. pkt.:

»Justitsministeren kan endvidere bestemme, at databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger helt eller delvis finder anvendelse for behandling af personoplysninger for Politiets Efterretningstjeneste vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager.«

13. I § 18, 1. pkt., ændres »7-11« til: »6 a-11«.

14. I § 21, stk. 2, ændres »og lov om behandling af perso?no?plysninger« til: », databeskyttelsesloven, Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og fra lov om retshåndhævende myndigheders behandling af personoplysninger«.

§ 5

I retsplejeloven, jf. lovbekendtgørelse nr. 1257 af 13. oktober 2016, som ændret senest ved § 1 i lov nr. 670 af 8. juni 2017, foretages følgende ændringer:

1. I § 41 h, stk. 1, 2. pkt., ændres »regler i lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og regler i databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger«.

2. I § 741 g, stk. 3, udgår », og at persondatalovens bestemmelser om oplysningspligt ikke finder anvendelse i forhold til den dømte«.

3. I § 1017 d, stk. 2, ændres »§ 9 i lov om behandling af personoplysninger« til: »databeskyttelseslovens § 9«.

§ 6

I straffeloven, jf. lovbekendtgørelse nr. 977 af 9. august 2017, foretages følgende ændring:

1. I § 263 a, stk. 3, nr. 2, ændres »§ 7, stk. 1, eller § 8, stk. 1, i lov om behandling af personoplysninger« til: »artikel 9, stk. 1, eller artikel 10 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

§ 7

I lov nr. 430 af 1. juni 1994 om massemediers informationsdatabaser, som ændret ved § 81 i lov nr. 429 af 31. maj 2000 og § 22 i lov nr. 433 af 31. maj 2000, foretages følgende ændringer:

1. § 6, stk. 2, ophæves.

2. To steder i § 12, stk. 2, ændres "4 uger" til: "12 uger".

Forsvarsministeriet

§ 8

I lov om Forsvarets Efterretningstjeneste (FE), jf. lovbekendtgørelse nr. 1 af 4. januar 2016, som ændret ved § 1 i lov nr. 462 af 15. maj 2017, foretages følgende ændringer:

1. Overalt i loven ændres »§ 4, stk. 2, og § 5, stk. 2,« til: »§ 4, stk. 1, og § 5, stk. 1,«.

2. Efter § 3 d indsættes i kapitel 3:

»§ 3 e. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal behandles i overensstemmelse med god databehandlingsskik.

Stk. 2. Behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed, anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet.

Stk. 3. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Stk. 4. Behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

Stk. 5. Personoplysninger, som behandles, om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Stk. 6. Forsvarets Efterretningstjeneste kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 7. Personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer, der er omfattet af denne lov, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.«

3. § 4, stk. 1, ophæves.

Stk. 2 og 3 bliver herefter stk. 1 og 2.

4. § 5, stk. 1, ophæves.

Stk. 2 og 3 bliver herefter stk. 1 og 2.

5. I § 6 a, stk. 2, ændres »§§ 4 og 5« til: »§§ 3 e, 4 og 5«.

6. I § 7, stk. 2, 1. pkt., ændres »vedrørende« til: »om«, og »§ 4« ændres til: »§§ 3 e og 4«.

7. I § 7, stk. 2, 2. pkt., ændres »lov om behandling af perso?noplysninger anvendelse, hvis den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger« til: »databeskyttelsesloven anvendelse, hvis den videregivelse, der er nævnt i 1. pkt., vedrører oplysninger om rent private forhold«.

8. I § 7, stk. 3, ændres »§ 5« til: »§ 3 e, stk. 1-5 og 7, og § 5«.

9. I § 11, stk. 1, 2. pkt., ændres »og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov om behandling af personoplysninger, medmindre andet følger af §§ 4, 5 og 7« til: », databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, og fra lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger«.

10. I § 11, stk. 2, udgår »kapitel 8-10 i lov om behandling af personoplysninger og«.

11. I § 11, stk. 2, indsættes som 2. pkt.:

»Forsvarsministeren kan endvidere bestemme, at databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger helt eller delvis finder anvendelse for behandling af personoplysninger for Forsvarets Efterretningstjeneste vedrørende tjenestens sikkerhedsgodkendelsessager og egne personalesager.«

12. I § 18, stk. 2, ændres »og fra lov om behandling af personoplysninger« til: », databeskyttelsesloven, Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og fra lov om retshåndhævende myndigheders behandling af personoplysninger«.

Beskæftigelsesministeriet

§ 9

I lov nr. 1482 af 23. december 2014 om organisering og understøttelse af beskæftigelsesindsatsen m.v., som ændret senest ved § 3 i lov nr. 625 af 8. juni 2016, foretages følgende ændringer:

1. I § 40, stk. 1, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

2. I § 41, stk. 1, ændres »§ 42 i lov om behandling af perso?noplysninger« til: »artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

§ 10

I lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion), jf. lovbekendtgørelse nr. 440 af 1. maj 2013, foretages følgende ændringer:

1. I § 4, stk. 1 og 2, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

2. I § 8, stk. 3, 1. pkt., ændres »efter instruks« til: »alene efter dokumenteret instruks«.

3. I § 8, stk. 3, 2. pkt., ændres »lov om behandling af perso?noplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

4. I § 8 indsættes som stk. 4:

»Stk. 4. Beskæftigelsesministeren fastsætter efter forhandling med KL nærmere regler om kommunernes opgaver og ansvar som dataansvarlige, jf. stk. 1, og om selskabets opgaver og ansvar som databehandler.«

§ 11

I lov nr. 994 af 30. august 2015 om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløsheds­kasserne, som ændret ved § 15 i lov nr. 1000 af 30. august 2015, § 3 i lov nr. 296 af 22. marts 2016, § 8 i lov nr. 628 af 8. juni 2016 og § 4 i lov nr. 288 af 29. marts 2017, jf. lovbekendtgørelse nr. 1086 af 19. september 2017, foretages følgende ændringer:

1. I § 10, stk. 3, indsættes efter »efter«: »dokumenteret«.

2. I § 14, stk. 2, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

3. I § 14 indsættes som stk. 3:

»Stk. 3. Beskæftigelsesministeren fastsætter efter forhand­ling med KL nærmere regler om kommunens opgaver og ansvar som dataansvarlig, jf. stk. 2, og om de opgaver og det ansvar som databehandler, som selskabet nævnt i § 10, stk. 1, har.«

4. I § 16, stk. 1, 1. pkt., ændres »persondataloven og regler fastsat i medfør heraf« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person­o?plysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

5. I § 19, stk. 2, 1. pkt., ændres »persondataloven og regler fastsat i medfør heraf« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person­oplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

6. I § 27, stk. 4, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

Undervisningsministeriet

§ 12

I lov om gennemsigtighed og åbenhed i uddannelserne m.v., jf. lovbekendtgørelse nr. 771 af 10. juni 2015, foretages følgende ændring:

1. I § 1, stk. 4, ændres: »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 13

I lov om godtgørelse og tilskud til befordring ved deltagelse i erhvervsrettet voksen- og efteruddannelse, jf. lovbekendtgørelse nr. 761 af 22. juni 2016, som ændret ved § 5 i lov nr. 706 af 8. juni 2017, foretages følgende ændring:

1. § 18, stk. 4, ophæves.

Stk. 5 bliver herefter stk. 4.

Erhvervsministeriet

§ 14

I selskabsloven, jf. lovbekendtgørelse nr. 1089 af 14. september 2015, som ændret ved § 1 i lov nr. 262 af 16. marts 2016, § 2 i lov nr. 631 af 8. juni 2016, § 1 i lov nr. 1547 af 13. december 2016 og § 10 i lov nr. 665 af 8. juni 2017, foretages følgende ændring:

1. I § 57 a, stk. 5, 2. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 15

I revisorloven, jf. lovbekendtgørelse nr. 1167 af 9. september 2016, som ændret ved § 13 i lov nr. 1549 af 13. december 2016, § 11 i lov nr. 285 af 29. marts 2017 og § 14 i lov nr. 665 af 8. juni 2017, foretages følgende ændring:

1. I § 48, stk. 5, nr. 5, og § 49, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 16

I lov om formidling af fast ejendom, jf. lov nr. 526 af 28. maj 2014, som ændret ved § 21 i lov nr. 1871 af 29. december 2015, foretages følgende ændring:

1. I § 58, stk. 3, 1. pkt., ændres »lov om behandling af perso?noplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 17

I lov om betalinger, jf. lov nr. 652 af 8. juni 2017, foretages følgende ændringer:

1. I § 124, stk. 1, ændres »Lov om behandling af person­o?plysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

2. I § 125, stk. 1, ændres »Lov om behandling af person­oplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

3. § 130, stk. 4, ophæves.

4. § 144, stk. 7, ophæves.

5. I § 154, stk. 12, ændres »§ 6, stk. 1, nr. 2, i lov om behandling af personoplysninger« til: »artikel 6, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

§ 18

I lov om forvaltere af alternative investeringsfonde, jf. lovbekendtgørelse nr. 1074 af 6. juli 2016, som senest ændret ved § 9 i lov nr. 262 af 16. marts 2016, § 4 i lov nr. 1549 af 13. december 2016 og § 5 i lov nr. 665 af 8. juni 2017, foretages følgende ændring:

1. § 170, stk. 10, nr. 4, affattes således:

»4) når de i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysningers kapitel II og databeskyttelseslovens kapitel 3 nævnte betingelser er opfyldt.«

Energi-, Forsynings- og Klimaministeriet

§ 19

I lov om elektroniske kommunikationsnet og -tjenester, jf. lovbekendtgørelse nr. 128 af 7. februar 2014, som ændret ved § 2 i lov nr. 741 af 1. juni 2015, § 16 i lov nr. 1567 af 15. december 2015 og § 3 i lov nr. 203 af 28. februar 2017, foretages følgende ændringer:

1. I § 31, stk. 6, ændres »retterne« til: »de enkelte retter, kriminalforsorgen«.

2. I § 45, stk. 2, og i § 72, stk. 3, ændres »og lov om behandling af personoplysninger« til: », Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

Sunheds- og Ældreministeriet

§ 20

I sundhedsloven, jf. lovbekendtgørelse nr. 1188 af 24. september 2016, som ændret senest ved § 2 i lov nr. 691 af 8. juni 2017, foretages følgende ændringer:

1. I § 37, stk. 1, 2. pkt., ændres: »patientjournalen« til: »manuelle patientjournaler«.

2. I § 41, stk. 5, indsættes efter »Såfremt der«: »manuelt«.

3. I § 43, stk. 4, indsættes efter »Såfremt der«: »manuelt«.

4. § 196, stk. 3, affattes således:

»Stk. 3. De rettigheder, som den, der er registreret i de kliniske kvalitetsdatabaser, der er nævnt i stk. 2, har efter Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, kan begrænses efter databeskyttelseslovens § 22, bortset fra § 22, stk. 5, der ikke finder anvendelse på kliniske kvalitetsdatabaser.«

§ 21

I vævsloven, jf. lovbekendtgørelse nr. 955 af 21. august 2014, som ændret ved § 3 i lov nr. 542 af 29. april 2015, § 17 i lov nr. 285 af 29. marts 2017 og § 2 i lov nr. 388 af 26. april 2017, foretages følgende ændringer:

1. I § 13, stk. 7, ændres »§ 7, stk. 1, i lov om behandling af personoplysninger« til: »artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

§ 22

I lov om videnskabsetisk behandling af sundheds­videnskabelige forskningsprojekter, jf. lovbekendtgørelse nr. 1083 af 15. september 2017, foretages følgende ændringer:

1. I § 20, stk. 1, nr. 4, 6 og 8, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person­oplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 23

I lov om lægemidler, jf. lovbekendtgørelse nr. 506 af 20. april 2013, som ændret bl.a. ved § 38 i lov nr. 620 af 8. juni 2016 og senest ved § 1 i lov nr. 388 af 26. april 2017, foretages følgende ændringer:

1. I § 89, stk. 3, ændres »persondataloven« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

Udlæninge- og Integrationsministeriet

§ 24

I udlændingeloven, jf. lovbekendtgørelse nr. 412 af 9. maj 2016, som ændret senest ved lov nr. 704 af 8. juni 2017, foretages følgende ændringer:

1. § 44 a, stk. 12, ophæves.

Økonomi- og Indenrigsministeriet

§ 25

I lov om Det Centrale Personregister, jf. lovbekendtgørelse nr. 646 af 2. juni 2017, foretages følgende ændringer:

1. I § 4, stk. 2, 1. pkt., ændres »§ 31, stk. 1, i lov om behandling af personoplysninger« til: »artikel 15, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

2. I § 29, stk. 2, 2. pkt., ændres »markedsføringslovens § 6« til: »markedsføringslovens § 10« og »§ 36 i lov om behandling af personoplysninger« ændres til: »artikel 21 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og § 13, stk. 4, i databeskyttelsesloven«.

3. I § 31, § 35, 2. pkt., § 36, 2. pkt., § 37, 2. pkt., § 38, stk. 6, og § 52, stk. 1, ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 26

I lov om kommunale og regionale valg, jf. lovbekendtgørelse nr. 1089 af 26. september 2017, foretages følgende ændring:

1. I § 106, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

§ 27

I lov om valg til Folketinget, jf. lovbekendtgørelse nr. 392 af 26. april 2017, som ændret ved lov nr. 493 af 22. maj 2017, lov nr. 708 af 8. juni 2017 og lov nr. 714 af 8. juni 2017, foretages følgende ændring:

1. I § 104, stk. 4, 1. pkt., ændres »lov om behandling af personoplysninger« til: »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

Finansministeriet

§ 28

I lov om Digital Post fra offentlige afsendere, jf. lovbekendtgørelse nr. 801 af 13. juni 2016, foretages følgende ændring:

1. § 2, stk. 3, affattes således:

»Stk. 3. Bestemmelsen i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person­oplysninger og om fri udveksling af sådanne oplysningers artikel 21 finder ikke anvendelse for behandling af personnumre i medfør af stk. 2.«

Kulturministeriet

§ 29

I lov om indhentelse af børneattest i forbindelse med ansættelse af personale m.v., jf. lovbekendtgørelse nr. 362 af 2. april 2014, som ændret ved § 4 i lov nr. 742 af 1. juni 2015, foretages følgende ændring:

1. § 4 ophæves.

§ 30

Stk. 1. Loven træder i kraft den 25. maj 2018, jf. dog stk. 2.

Stk. 2. § 7, nr. 2, finder ikke anvendelse på afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens ikrafttræden, eller på henvendelser inden lovens ikrafttræden om sletning eller genmæle. For sådanne afslag og henvendelser finder de hidtil gældende regler anvendelse.

Stk. 3. Beskæftigelsesministeren fastsætter tidspunktet for ikrafttræden af § 11, nr. 2 og 4-6.

§ 31

Stk. 1. Lovens §§ 4-25 og 28 gælder ikke for Færøerne, men lovens §§ 4, 8, 17, 18, § 20, nr. 1-3, og §§ 22 og 24 kan ved kongelig anordning sættes helt eller delvist i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.

Stk. 2. Lovens §§ 1, 4-25 og 28 gælder ikke for Grønland, men lovens §§ 1, 4, 8, 14, 17, 18, 24 og 25 kan ved kongelig anordning sættes helt eller delvis i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.

Stk. 3. Lovens § 1 gælder ikke for Færøerne, men kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysning med de ændringer, som de færøske forhold tilsiger.

Stk. 4. Lovens §§ 2 og 3 gælder ikke for sager om færøske og grønlandske anliggender. Loven kan ved kongelig anordning sættes i kraft for sådanne sager med de ændringer, som de færøske og grønlandske forhold tilsiger. Dette gælder dog kun sager, der er eller har været under behandling af rigsmyndigheder.

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Indledning

I januar 2012 fremsatte EU-Kommissionen et forslag til en databeskyttelsespakke. Pakken blev endeligt vedtaget den 14. april 2016.

Pakken består af den generelle forordning nr. 2016/679 om beskyttelse af personoplysninger, som skal gælde i både den private og offentlige sektor (databeskyttelsesforordningen). Forordningen anvendes fra den 25. maj 2018. Herudover består databeskyttelsespakken af et direktiv om beskyttelse af personoplysninger, som skal gælde for retshåndhævelsesområdet (retshåndhævelsesdirektivet). Retshåndhævelsesdirektivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger.

Databeskyttelsesforordningen afløser direktiv 95/46/EF (databeskyttelsesdirektivet), som i dansk ret er gennemført ved persondataloven, jf. lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som senest ændret ved lov nr. 410 af 27. april 2017.

Databeskyttelsesforordningen vil have direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen.

Danmark er således forpligtet til at indrette dansk lovgivning i overensstemmelse med forordningens bestemmelser med virkning fra den 25. maj 2018.

Databeskyttelsesforordningen giver inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.

Justitsministeriet har vurderet, at det er nødvendigt, at der fastsættes en generel lov (databeskyttelsesloven), som supplerer reglerne i databeskyttelsesforordningen. Forslag til databeskyttelsesloven fremsættes samtidig med nærværende lovforslag. Databeskyttelsesloven ophæver den gældende persondatalov den 25. maj 2018, dvs. samtidig med, at forordningen finder anvendelse.

Forslaget skal derfor ses i sammenhæng med forslaget til databeskyttelsesloven. En række danske love indeholder henvisninger til persondataloven, og disse henvisninger skal tilpasses til databeskyttelsesforordningen og den nye databeskyttelseslov. Der skal derfor foretages en række konsekvensændringer, som fremsættes i medfør af dette lovforslag.

Endvidere skal der ske en ændring af de danske regler, som regulerer behandling af personoplysninger, som fra den 25. maj 2018 vil være reguleret af databeskyttelsesforordningen, og hvor forordningen ikke overlader medlemslandene et nationalt råderum. Dette lovforslag indeholder også sådanne konsekvensændringer.

Sigtet med lovforslaget er således at bringe de heri omfattede love i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven.

De foreslåede ændringer består navnlig i sproglige og tekniske justeringer.

Derudover foreslås der enkelte ændringer med materielt indhold i lov om retshåndhævende myndigheders behandling af personoplysninger, som tilpasser loven til databeskyttelsesloven.

Med lovforslaget foretages endvidere en ændring af § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester med det formål at udvide retternes adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre i nummeroplysningsdatabasen ("118"), således at opslag ikke er begrænset til indhentelse i forbindelse med telefonforkyndelser, men også kan ske til brug for påmindelser pr. sms om tid og sted for et retsmøde, jf. retsplejelovens § 154 a, stk. 1, nr. 6. Samtidig foreslås det, at kriminalforsorgen ligeledes skal have adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre i nummeroplysningsdatabasen ("118") til brug for påmindelser om tid og sted for afsoning eller møde mv. i kriminalforsorgen.

Lovforslaget indeholder derudover ændringer af lov om massemediers informationsdatabaser med henblik på at skabe klarhed over forholdet mellem lov massemediers informationsdatabaser og medieansvarsloven og ensrette klagefristerne efter de to love.

Dernæst foreslås der en konsekvensændring i CPR-loven som følge af en ændring af markedsføringsloven, idet henvisningen ikke blev ændret i forbindelse med denne lovændring.

Endvidere foreslås der bl.a. i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) ud over konsekvensændringer visse mindre materielle ændringer.

Endelig sker der en ændring i lov om Digital Post fra offentlige afsendere med henblik på at sikre, at den gældende begrænsning i de registreredes indsigelsesret i forbindelse med behandling af personnumre ved tilslutning og drift af Digital Post løsningen, opretholdes efter den 25. maj 2018, hvor databeskyttelsesforordningen finder anvendelse.

2. Lovforslagets hovedpunkter

2.1. Konsekvensændringer i en række love, der henviser til persondataloven

Der foreslås en række konsekvensændringer i forskellige andre love som følge af, at databeskyttelsesforordningen og forslag til databeskyttelsesloven finder anvendelse fra den 25. maj 2018.

En række bestemmelser i andre love indeholder henvisninger til persondataloven, som foreslås ophævet ved det samtidigt fremsatte forslag til databeskyttelseslov. Disse henvisninger skal tilpasses databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Hvor særlovgivningen i dag henviser til persondataloven, vil der derfor fremover skulle henvises til de relevante regler i databeskyttelsesforordningen og/eller forslag til databeskyttelsesloven.

I de fleste tilfælde er henvisningen ændret fra »persondataloven« eller »lov om behandling af personoplysninger« til »Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven«.

I de tilfælde, hvor særlovgivningen henviser til en enkelt bestemmelse, er henvisningen så vidt muligt ændret til den tilsvarende bestemmelse i enten databeskyttelsesforordningen eller forslag til databeskyttelsesloven.

Der er endelig enkelte steder - hvor det er relevant - også henvist til »lov om retshåndhævende myndigheders behandling af personoplysninger«.

Der er således henvist til denne lov, når der er tale om bestemmelser i gældende ret, som tillige er omfattet af denne lovs anvendelsesområde. Lov om retshåndhævende myndigheders behandling af personoplysninger gælder som hovedregel for politiets, anklagemyndighedens, herunder den militære anklagemyndigheds, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed, jf. lovens § 1, stk. 1.

2.2. Ændringer i lov om retshåndhævende myndigheders behandling af personoplysninger

2.2.1. Gældende ret

I januar 2012 fremsatte EU-Kommissionen forslag til en databeskyttelsespakke. Pakken består navnlig af databeskyttelsesforordningen, som skal gælde i både den private og offentlige sektor. Forordningen anvendes fra den 25. maj 2018. Herudover består databeskyttelsespakken af et direktiv om beskyttelse af personoplysninger, som skal gælde for retshåndhævelsesområdet (retshåndhævelsesdirektivet). Retshåndhævelsesdirektivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger.

Databeskyttelsesforordningen udgør således sammen med retshåndhævelsesdirektivet en samlet databeskyttelsespakke. Forordningen og direktivet er sammenfaldende på visse områder, f.eks. hvad angår kravene til tilsynsmyndighederne.

Det var en forudsætning for dansk tilknytning til Europol, at gennemførelsen af retshåndhævelsesdirektivet i dansk ret skete inden 1. maj 2017, hvorfor Justitsministeriet fandt, at gennemførelsen af retshåndhævelsesdirektivet burde ske selvstændigt. Lov om retshåndhævende myndigheders behandling af personoplysninger blev derfor vedtaget, inden der blev fremsat forslag til en ny databeskyttelseslov.

Det følger af databeskyttelsesdirektivets artikel 2, stk. 3, litra a, at direktivet ikke gælder for behandling af person­oplysninger under udøvelsen af aktiviteter, der falder uden for EU-retten. Der er derfor af hensyn til statens sikkerhed fastsat den såkaldte særlige danske krigsregel i § 27, stk. 3, i lov om retshåndhævende myndigheders behandling af person­oplysninger, hvoraf det følger, at for oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold, jf. dog bestemmelsens stk. 5.

Det følger endvidere af § 27, stk. 4, at justitsministeren fastsætter nærmere regler om de i § 27, stk. 1-3, nævnte foranstaltninger.

Endelig følger det af § 27, stk. 5, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt.

Bestemmelsen ligner den næsten tilsvarende krigsregel i den gældende persondatalov, dog med en tilføjelse om, at justitsministeren kan fastsætte undtagelser til reglen.

Retshåndhævelsesdirektivets kapitel VI indeholder regler om oprettelsen af tilsynsmyndigheden og om tilsynsmyndighedens status, opgaver og beføjelser.

I lov om retshåndhævende myndigheders behandling af personoplysninger er der derfor i § 37, stk. 2-9, fastsat regler om Datatilsynet. Reglerne om Datatilsynet svarer i vidt omfang til gældende ret efter persondataloven, herunder i forhold til kravet om uafhængighed.

Det følger af lov om retshåndhævende myndigheders behandling af personoplysningers § 37, stk. 3, at justitsmini?steren nedsætter Datarådet, som består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelsesret.

2.2.2. Justitsministeriets overvejelser og lovforslagets udformning

2.2.2.1. Justitsministeriets overvejelser

Efter både retshåndhævelsesdirektivet og databeskyttelsesforordningen er der samme mulighed for at undtage aktiviteter, der falder uden for EU-retten, herunder af hensyn til statens sikkerhed.

Justitsministeriet vurderer derfor, at det er mest hensigtsmæssigt, at der er en identisk krigsregel i både lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven.

Reglerne om tilsynsmyndighederne i retshåndhævelsesdirektivets kapitel VI er sammenfaldende med reglerne om tilsynsmyndighederne i databeskyttelsesforordningens kapitel VI.

Justitsministeriet vurderer derfor, at det er mest hensigtsmæssigt, at der gælder den samme regulering for Datatilsynet, herunder Datarådet, efter både lov om retshåndhævende myndigheders behandling af personoplysninger, som er baseret på reglerne i retshåndhævelsesdirektivet, og efter forslag til databeskyttelsesloven, som er baseret på reglerne i databeskyttelsesforordningen.

En identisk regulering af tilsynet vil først og fremmest være hensigtsmæssig, så Datatilsynet ikke skal indrette sig forskelligt alt efter, om der føres tilsyn efter lov om retshåndhævende myndigheders behandling af personoplysninger eller efter forslag til databeskyttelsesloven. Endvidere er det hensigtsmæssigt, at der ikke gælder forskellige regler for opbevaring af bestemte IT-systemer alt efter, efter hvilket regelsæt opbevaringen sker.

Justitsministeriet vurderer endvidere, at det er hensigtsmæssigt, at reglerne om tilsyn og krigsreglen kun reguleres ét sted. Reglerne bør således kun fremgå af én af lovene, så det - også fremover - er mere smidigt at foretage justeringer heri, og så der undgås eventuel divergens i reglerne.

Forslag til databeskyttelsesloven finder anvendelse på alle livsområder og gælder for både den offentlige og private sektor. Modsat finder lov om retshåndhævende myndigheders behandling af personoplysninger kun anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

Forslag til databeskyttelsesloven har således et langt bredere anvendelsesområde end lov om retshåndhævende myndigheders behandling af personoplysninger, hvorfor Justitsministeriet vurderer, at det er mest hensigtsmæssigt, at reglerne om tilsyn og krigsreglen reguleres samlet i forslag til databeskyttelsesloven. Bestemmelserne herom i lov om retshåndhævende myndigheders behandling af personoplysninger bør derfor ophæves og herefter erstattes af en henvisning til de tilsvarende regler i forslag til databeskyttelsesloven.

2.2.2.2. Lovforslagets udformning

I forslag til databeskyttelsesloven foreslås det i § 3, stk. 9, at justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, helt eller delvist alene må opbevares her i landet.

Krigsreglens udformning er således forskellig i lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven.

Bestemmelsen herom i databeskyttelsesloven skal afløse den såkaldte krigsregel efter persondatalovens § 41, stk. 4, hvorefter der for oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Det foreslås, at § 27, stk. 3, herunder delvist bestemmelsens stk. 4 og hele stk. 5, i lov om retshåndhævende myndigheders behandling af personoplysninger, ophæves og erstattes med en bemyndigelsesbestemmelse, som er identisk med bemyndigelsen i databeskyttelseslovens § 3, stk. 9.

Bemyndigelserne skal fremgå af både lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven, idet lovene har forskelligt anvendelsesområde. Det er hensigten, at der skal udstedes en fælles bekendtgørelse for begge loves anvendelsesområde.

Det er endvidere hensigten med den nye udformning af krigsreglen, at IT-systemer - før de tages i brug - af justitsministeren og vedkommende minister kan sættes på en liste, der optages som bilag til bekendtgørelsen i medfør af stk. 9.

Det er også hensigten, at IT-systemer alene sættes på denne liste, hvis det er vurderet, at det er af hensyn til statens sikkerhed, at det pågældende system skal føres her i landet. I en sådan situation vil opbevaringen af de pågældende person­oplysninger falde uden for EU-retten og dermed databeskyttelsesforordningen og retshåndhævelsesdirektivet.

Justitsministeriet vurderer, at denne bekendtgørelsesmodel er mest hensigtsmæssig af hensyn til en smidig behandling af personoplysninger, som dog stadig tilgodeser hensynet til statens sikkerhed, hvorfor krigsreglen i lov om retshåndhævende myndigheders behandling af personoplysninger foreslås tilpasset forslag til databeskyttelseslovens regel herom. Endvidere foreslås ændringen også af hensyn til regelsammenhængen og muligheden for fleksibilitet, som nævnt ovenfor.

I forslag til databeskyttelsesloven foreslås det i § 27, stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der skal være landsdommer eller højesteretsdommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation udnævner hver ét af de 7 andre medlemmer omfattet af 1. pkt. Justitsministeren kan udpege stedfortrædere for de 5 medlemmer, og erhvervsministeren og ministeren for offentlig innovation udnævner hver én af stedfortræderne. Formanden, medlemmerne og stedfortræderne for disse udnævnes for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer.

Datarådets sammensætning er således forskellig i lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven. Som en konsekvens af forordningen har Justitsministeriet vurderet, at erhvervsministeren og ministeren for offentlig innovation tillige med justitsministeren skal udpege medlemmer til Datarådet, hvilket bl.a. er for at sikre, at det tilstræbes, at der udpeges et eller flere medlemmer med erfaring inden for informationssikkerhed og anvendelse af data i praksis. Endvidere har Justitsministeriet vurderet, at den faglige kvalifikation i Datarådet samtidig sikres yderligere ved, at der er 8 medlemmer i rådet.

Justitsministeriet foreslår på den baggrund, at reglerne i lov om retshåndhævende myndigheders behandling af person­oplysninger bliver tilpasset forslag til databeskyttelseslovens regler herom.

2.3. Ændringer i forvaltningsloven

2.3.1. Gældende ret

Forvaltningslovens § 28 regulerer spørgsmålet om, i hvilke tilfælde en forvaltningsmyndighed må videregive person­op?lysninger og andre oplysninger af fortrolig karakter til en anden forvaltningsmyndighed.

Forvaltningslovens § 28, stk. 1, henviser for så vidt angår reglerne om videregivelse af personoplysninger mellem forvaltningsmyndigheder til reglerne i persondataloven. Henvisningen til persondataloven indebærer, at videregivelse af personoplysninger mellem forvaltningsmyndigheder i Danmark er reguleret af persondataloven.

Det følger af forvaltningslovens § 28, stk. 2, at oplysninger af fortrolig karakter, der ikke er omfattet af forvaltningslovens § 28, stk. 1, kun må videregives til en anden forvaltningsmyndighed, hvis den, oplysningen angår, har givet samtykke, hvis det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, eller hvis det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. De oplysninger, som er omfattet af forvaltningslovens § 28, stk. 2, er fortrolige oplysninger om juridiske personer samt oplysninger, der - uden at være personoplysninger - af andre grunde er fortrolige. Eksemp?ler på fortrolige oplysninger, der er omfattet af forvaltningslovens § 28, stk. 2, er et selskabs forretningshemmeligheder og følsomme oplysninger om udenrigspolitiske forhold og sikkerhedsforhold.

Forvaltningslovens § 28, stk. 3, indeholder nærmere krav til et samtykke efter forvaltningslovens § 28, stk. 2, nr. 1. I forvaltningslovens § 28, stk. 3, defineres et samtykke som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den, oplysningen angår, indvilger i, at oplysningen videregives. Betingelserne i § 28, stk. 3, er gyldighedsbetingelser for samtykket. Et samtykke kan efter forvaltningslovens § 28, stk. 4, tilbagekaldes. Definitionen af et samtykke i forvaltningslovens § 28, stk. 3, svarer til definitionen af et samtykke i persondatalovens § 3, nr. 8, som bygger på databeskyttelsesdirektivets artikel 2, litra h. Det fremgår også af persondatalovens § 38, at et samtykke kan tilbagekaldes.

Samtykkekravet i forvaltningslovens § 28, stk. 3, blev ænd?ret ved lov nr. 503 af 12. juni 2009. Formålet hermed var, at samtykkekravet efter forvaltningslovens § 28, stk. 2, jf. stk. 3 og 4, skal være det samme som samtykkekravet efter persondataloven og forvaltningslovens § 28, stk. 1, jf. Folketingstidende 2008-09, tillæg A, side 4388-4390. Det var således vurderingen, at der ikke bør stilles strengere krav til et samtykke i forhold til videregivelse af fortrolige oplysninger om juridiske personer mv. end de krav, der gælder ved videregivelse af personoplysninger efter persondataloven.

Det nærmere indhold af kravet til et samtykke efter forvaltningslovens § 28, stk. 3, er beskrevet i forarbejderne til bestemmelsen, som fremgår af Folketingstidende 2008-09, tillæg A, side 4394.

Et samtykke til at videregive fortrolige oplysninger om en juridisk person mv. meddeles i form af en viljestilkendegivelse. Samtykket skal som udgangspunkt meddeles af den, oplysningen angår. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den, oplysningen angår, er meddelt fuldmagt hertil.

Der er ikke er noget formkrav til et samtykke efter bestemmelsen. Der kan således være tale om såvel skriftligt som mundtligt samtykke, ligesom samtykket også vil kunne meddeles digitalt. Bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den forvaltningsmyndighed, der videregiver oplysningen (den afgivende forvaltningsmyndighed). Det anbefales derfor, at et samtykke i videst muligt omfang afgives skriftligt.

Et samtykke skal være frivilligt. Det betyder, at samtykket ikke må være afgivet under tvang. Dette gælder, uanset om det er den afgivende forvaltningsmyndighed selv eller andre, der øver pression over for den pågældende.

Kravet efter forvaltningslovens § 28, stk. 3, om, at samtykket skal være specifikt, betyder, at det klart og utvetydigt skal fremgå, hvad der meddeles samtykke til. Det skal således fremgå af et meddelt samtykke, hvilke typer af oplysninger der må videregives, hvem der kan foretage videregivelsen af oplysninger om den samtykkende, og til hvilke formål videregivelsen kan ske.

Endelig skal samtykket efter forvaltningslovens § 28, stk. 3, være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den afgivende forvaltningsmyndighed må sikre sig, at der gives den samtykkende tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør medde?les.

Forvaltningslovens § 28, stk. 4, indebærer, at den, der har givet samtykke efter stk. 3, jf. stk. 2, nr. 1, på et hvilket som helst tidspunkt kan tilbagekalde samtykket. Virkningen af at tilbagekalde et samtykke er, at den videregivelse, som der tidligere er meddelt samtykke til, ikke længere må finde sted. Derimod kan samtykke ikke tilbagekaldes med tilbagevirkende kraft. Betydningen af, at et samtykke tilbagekaldes, er således alene, at videregivelse ikke må finde sted frem­over.

2.3.2. Justitsministeriets overvejelser og lovforslagets udformning

2.3.2.1. Justitsministeriets overvejelser

Baggrunden for det nuværende samtykkekrav i forvaltningslovens § 28, stk. 2-4, er, som nævnt under afsnit 2.3.1, et ønske om, at kravene til samtykke til videregivelse af fortrolige oplysninger om juridiske personer mv. mellem myndigheder er de samme som kravene til videregivelse af person­oplysninger mellem myndigheder.

Den nye databeskyttelsesforordning, som får virkning den 25. maj 2018, indebærer ændringer af samtykkekravet i forhold til det gældende samtykkekrav i persondataloven. Fra den 25. maj 2018 vil det nye samtykkekrav finde anvendelse i forhold til behandling, herunder videregivelse, af person­oplysninger mellem forvaltningsmyndigheder. Justitsministeriet finder det generelt hensigtsmæssigt, at kravene til et samtykke til videregivelse af fortrolige oplysninger om juridiske personer mv. mellem myndigheder fortsat er det samme som kravene til et samtykke til videregivelse af personoplysninger mellem myndigheder.

I forordningens definition i artikel 4, nr. 11, tilføjes i forhold den tilsvarende definition af et samtykke i persondataloven ordet "utvetydig", ligesom det præciseres, at samtykket skal afgives ved erklæring eller klar bekræftelse.

Som anført ovenfor i afsnit 2.3.1, fortolkes ordet "specifikt" i forvaltningslovens § 28, stk. 3, allerede i dag således, at det klart og utvetydigt skal fremgå, hvad et samtykke gives til. Endvidere gælder der i dag ingen formkrav til et samtykke. Et samtykke kan således meddeles ved erklæring eller gives på anden bekræftende måde.

Selvom tilføjelserne til definitionen af samtykke i forordningens artikel 4, nr. 11, således ikke indebærer, at der stilles nye, indholdsmæssige krav til et samtykke, der fraviger de krav, der følger af forvaltningslovens § 28, stk. 3, finder Justitsministeriet det hensigtsmæssigt, at kravene til et samtykke efter forvaltningslovens § 28, stk. 1, formuleres på samme måde som forordningens artikel 4, nr. 11. Herved undgås også eventuel fortolkningstvivl, som kunne opstå ved, at bestemmelserne indeholder forskellige definitioner af begrebet samtykke.

I forlængelse af forordningens artikel 4, nr. 11, opstilles der imidlertid i forordningens artikel 7 yderligere krav til et samtykke.

Af forordningens artikel 7, stk. 1, fremgår det, at den dataansvarlige har bevisbyrden for, at et samtykke er givet. Som anført ovenfor i afsnit 2.3.1, påhviler bevisbyrden for, at der foreligger et samtykke, som opfylder kravene i forvaltningslovens § 28, stk. 3, allerede i dag den forvaltningsmyndighed, som videregiver oplysningerne.

Det følger endvidere af forordningens artikel 7, stk. 2, at hvis et samtykke gives i en skriftlig erklæring, der også ve?drører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra andre forhold. Erklæringen skal være i en letforståelig og lettilgængelig form i et klart og enkelt sprog. Enhver del af erklæringen, der overtræder forordningen, er ikke bindende. Et samtykke efter forvaltningslovens § 28, stk. 3, skal allerede i dag være informeret. Dette indebærer, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Opfylder samtykket ikke dette krav, vil det ikke være bin?dende. Der henvises til det ovenfor anførte under afsnit 2.3.1.

Kravene i forordningens artikel 7, stk. 3, er delvist nye i forhold til gældende ret. Efter bestemmelsen skal den registrerede til enhver tid kunne trække sit samtykke tilbage. Herudover berører tilbagekaldelsen ikke lovligheden af behandlingen baseret på samtykket forinden, samtykket blev trukket tilbage. Det følger allerede af forvaltningslovens § 28, stk. 4, at et samtykke efter forvaltningslovens § 28, stk. 3, skal kunne trækkes tilbage. Som anført under afsnit 2.3.1, lægges der endvidere allerede i dag til grund, at et samtykke efter forvaltningslovens § 28, stk. 3, ikke kan tilbagekaldes med tilbagevirkende kraft. Betydningen af, at et samtykke tilbagekaldes, er således alene, at videregivelse ikke må finde sted fremover. Det fremgår yderligere af forordningens artikel 7, stk. 3, 3. pkt., at den, som oplysningerne angår, skal oplyses om, at samtykket kan trækkes tilbage. Artikel 7, stk. 3, 4. pkt., hjemler endvidere, at det skal være lige så let at trække sit samtykke tilbage som at give det. Disse to betingelser er nye i forhold til gældende ret.

Endelig indebærer forordningens artikel 7, stk. 4, at der ved vurderingen af, om et samtykke er givet frit, skal tages størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt. Dette krav til samtykke er nyt, og et lignende krav til samtykkets frivillighed gælder ikke efter forvaltningslovens § 28, stk. 3 og 4.

Justitsministeriet finder, det som allerede nævnt, generelt hensigtsmæssigt, at samtykkekravene for så vidt angår videregivelse af personoplysninger mellem forvaltningsmyndigheder og videregivelse af oplysninger om juridiske personer mv. mellem forvaltningsmyndigheder er de samme.

Justitsministeriet foreslår derfor som nævnt ovenfor, at kravene til et samtykke efter forvaltningslovens § 28, stk. 3, ændres, så de svarer til de grundlæggende krav til et samtykke efter forordningens artikel 4, nr. 11. Justitsministeriet finder imidlertid ikke, at det vil være hensigtsmæssigt at tilpasse reglen om et samtykke efter forvaltningslovens § 28, stk. 3 og 4, fuldt ud til forordningens artikel 7, som stiller yderligere krav til et samtykke til behandling af personoplysninger. Baggrunden herfor er hensynet til at undgå, at bestemmelserne i forvaltningslovens § 28, stk. 3 og 4, bliver unødigt omfangsrige og komplicerede.

Justitsministeriet har dog fundet det hensigtsmæssigt at indsætte de nye krav i forordningens artikel 7, stk. 3, 3. og 4. pkt., om, at samtykket skal kunne trækkes tilbage lige så let, som det er givet, og at en offentlig myndighed skal informere om, at samtykket kan trækkes tilbage, i forvaltningslovens § 28, stk. 4. Dermed vil disse krav også finde anvendelse, når eksempelvis en juridisk person afgiver samtykke efter forvaltningslovens § 28, stk. 2, nr. 1, til videregivelse af fortrolige oplysninger mellem offentlige myndigheder.

Særligt for så vidt angår forordningens artikel 7, stk. 4, der indeholder krav til vurderingen af et samtykkes frivillighed, finder Justitsministeriet ikke, at denne bestemmelse bør gælde for bl.a. juridiske personers samtykke til videregivelse af fortrolige oplysninger mellem forvaltningsmyndigheder. Det skyldes, at rækkevidden af bestemmelsen er usikker, jf. betænkning nr. 1565 om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning, side 180 f. Det bemærkes endvidere, at de forvaltningsretlige principper om proportionalitet og saglighed i vidt omfang vil udelukke, at en myndighed vil kunne anvende et samtykke til behandling af fortrolige oplysninger, der ikke er nødvendige for myndigheden.

2.3.2.2. Lovforslagets udformning

Den foreslåede ændring af forvaltningslovens § 28, stk. 1, er en konsekvensændring af, at persondataloven ophæves og erstattes af databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger. Den foreslåede ændring vil medføre, at videregivelse af personoplysninger mellem offentlige myndigheder skal ske i overensstemmelse med databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Herudover foreslås det, at definitionen af et samtykke i forvaltningslovens § 28, stk. 3 og 4, bringes i overensstemmelse med forordningens definition af samtykke. Det foreslås således, at ordet "utvetydig" tilføjes i definitionen af et samtykke i forvaltningslovens § 28, stk. 3. Endvidere præciseres det, at et samtykke kan gives ved erklæring eller ved en anden form for klar bekræftelse. De foreslåede tilføjelser vil ikke medføre reelle ændringer af gældende ret, jf. den ovenfor anførte under afsnit 2.3.2.1.

Det foreslås tillige, at der tilføjes et krav i forvaltningslovens § 28, stk. 4, om, at den myndighed, der indhenter et samtykke, skal oplyse den, som oplysningen angår, om, at det er muligt at trække samtykket tilbage. Denne information om tilbagekaldelse af samtykket bliver med ændringen en gyldighedsbetingelse for samtykket. Endelig foreslås det, at det tilføjes til forvaltningslovens § 28, stk. 4, at det skal være lige så nemt at trække et samtykke tilbage som at afgive det. De foreslåede tilføjelser vil udgøre en ændring af gældende ret, jf. det ovenfor under afsnit 2.3.2.1 anførte.

2.4. Konsekvensændringer i PET-loven

2.4.1. Gældende ret

2.4.1.1. Generelt om forholdet mellem PET-loven og persondataloven

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) indeholder dansk rets almindelige regler for behandling af personoplysninger. Det følger af lovens § 2, stk. 10, at persondataloven ikke finder anvendelse for behandlinger, der udføres for Politiets Efterretningstjeneste (PET), hvilket også er fastslået i § 14, stk. 1, 4. pkt., i lov om Politiets Efterretningstjeneste (PET), jf. lovbekendtgørelse nr. 231 af 7. marts 2017 (PET-loven).

Visse af persondatalovens bestemmelser er dog igennem PET-loven sat i kraft for PET for så vidt angår PET's behandling af personoplysninger og oplysninger om juridiske personer. Det var således en væsentlig forudsætning ved udarbejdelsen af PET-loven, at PET så vidt muligt burde være omfattet af reglerne i persondataloven - der har til formål at sikre et højt beskyttelsesniveau i forhold til den enkelte borger og danne rammen om en hensigtsmæssig udnyttelse af den stadig større mulighed for at gøre personoplysninger til genstand for elektronisk behandling - fordi PET behandler betydelige mængder af informationer ved anvendelse af moderne it-hjælpemidler, der til stadighed udvikles bl.a. med hensyn til metoder til registrering og behandling af person­oplysninger.

Samtidig blev der ved udformningen af PET-loven også lagt vægt på, at der for PET gør sig særlige forhold gældende, som kan begrunde, at tjenesten ikke i samme omfang som andre offentlige myndigheder bør være omfattet af den almindelige persondatalovgivning, navnlig fordi PET fuldt ud skal kunne varetage sine opgaver - herunder de opgaver, som kan begrunde et særligt behov for at behandle en række meget sensitive oplysninger og i den forbindelse også oplysninger, hvis pålidelighed måske ikke umiddelbart lader sig efterprøve. Endvidere knytter der sig et særligt fortrolighedshensyn til tjenestens virksomhed, ligesom efterretningsarbejde ofte har en sådan karakter, at det ikke på tidspunktet for indsamlingen af en oplysning er muligt fuldt ud at vurdere den betydning, som oplysningen kan have for eksempelvis terrorbekæmpelse, når den sammenkædes med andre oplysninger.

Om baggrunden for PET-lovens ordning om at sætte visse af persondatalovens bestemmelser i kraft for PET, kan nærmere henvises til afsnit 4.2.1 i de almindelige bemærkninger i forslaget til PET-loven, jf. Folketingstidende 2012-13, A, L 161 som fremsat, side 21.

2.4.1.2. Nærmere om indholdet i PET-loven

Det fremgår af PET-lovens § 7, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, og §§ 14, 41 og 42 finder anvendelse for PET's behandling af personoplysninger. Det fremgår endvidere af PET-lovens § 8, stk. 1, at persondatalovens §§ 3, 5, 14, 41 og 42 finder anvendelse for PET's behandling af oplysninger om juridiske personer.

Bestemmelserne indebærer for det første, at de almindelige dataretlige begreber (definitioner) i persondatalovens § 3 gælder for PET's databehandling. For det andet indebærer bestemmelserne, at PET er omfattet af de i persondatalovens § 5 fastsatte krav om saglighed og proportionalitet ved behandling af personoplysninger og oplysninger om juridiske personer. For det tredje indebærer bestemmelsen i § 7, stk. 1, at PET kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer, jf. persondatalovens § 11, stk. 1, ligesom tjenesten for det fjerde kan overføre oplysninger til opbevaring i arkiv efter reglerne i arkivlovgivningen, jf. persondatalovens § 14. PET er endelig for det femte omfattet af kravene til de overordnede rammer for sikkerheden i forbindelse med behandling af personoplysninger, jf. persondatalovens kapitel 11 (§§ 41 og 42), hvilket bl.a. indebærer, at PET skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. persondatalovens § 41, stk. 3.

I medfør af PET-lovens § 7, stk. 3, og § 8, stk. 3, er justitsministeren bemyndiget til at fastsætte nærmere regler om PET's behandling af personoplysninger og oplysninger om juridiske personer. Bemyndigelsen giver bl.a. mulighed for - inden for rammerne af bl.a. PET-lovens §§ 9-10 om sletning og videregivelse af personoplysninger og oplysninger om juridiske personer - administrativt at fastsætte regler for behandling af personoplysninger og oplysninger om juridiske personer, herunder om tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til behandling af oplysninger i PET's informationssystemer mv. og om tjenestens interne kontrol med behandling og opbevaring af personoplysninger og oplysninger om juridiske personer.

Bemyndigelserne er udmøntet ved bekendtgørelse nr. 763 af 20. juni 2014 om Politiets Efterretningstjenestes behandling af oplysninger om fysiske og juridiske personer mv., som ændret ved bekendtgørelse nr. 1455 af 1. december 2016 (PET-bekendtgørelsen), hvori der er fastsat nærmere regler om PET's behandling af oplysninger om fysiske og juridiske personer, herunder bl.a. om PET's journal, databaser mv., om indhentelse og videregivelse af oplysninger, intern kontrol og bevaring til Statens Arkiver.

I PET-lovens § 9 a er indsat en bestemmelse, som udtrykkeligt fastlægger omfanget af PET's forpligtelse til at slette oplysninger. Det fremgår bl.a. heraf, at hvis PET i forbindelse med sine aktiviteter bliver opmærksom på, at sager eller dokumenter mv. ikke længere opfylder betingelserne i PET-lovens § 7, stk. 2, og § 8, stk. 2, skal disse slettes, uanset om slettefristen i § 9 eller frister fastsat i medfør af § 7, stk. 3, eller § 8, stk. 3, er udløbet. Det fremgår endvidere, at PET ikke i øvrigt er forpligtet til løbende af egen drift at gennemgå tjenestens sager og dokumenter mv. med henblik på at vurdere, om betingelserne i § 7, stk. 2, og § 8, stk. 2, fortsat er opfyldt.

Det følger af PET-lovens § 10, stk. 2, 1. pkt., at PET kan videregive personoplysninger til andre danske forvaltningsmyndigheder (end Forsvarets Efterretningstjeneste (FE)), private, udenlandske myndigheder og internationale organisationer, hvis der foreligger et samtykke fra den registrerede, hvis videregivelsen må antages at have betydning for varetagelse af tjenestens opgaver vedrørende forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13, eller hvis videregivelsen er nødvendig for varetagelse af tjenestens øvrige opgaver.

Herudover fremgår det af PET-lovens § 10, stk. 2, 2. pkt., at persondatalovens § 8, stk. 2, finder anvendelse, hvis PET videregiver personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i persondataloven. Det indebærer, at oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige eller seksuelle forhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold kun må videregives, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Det følger endvidere af PET-lovens § 10, stk. 3, at PET kan videregive oplysninger om juridiske personer til andre danske forvaltningsmyndigheder (end FE), private, udenlandske myndigheder og internationale organisationer, hvis det sker med samtykke, hvis videregivelsen må antages at have betydning for varetagelsen af tjenestens opgaver vedrørende forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13, eller hvis videregivelsen er nødvendig for varetagelsen af tjenestens øvrige opgaver.

Det fremgår af PET-lovens § 14, stk. 2, at justitsministeren kan bestemme, at bl.a. kapitel 8-10 i persondataloven helt eller delvis finder anvendelse for behandling af personoplysninger for PET vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager. Bemyndigelsen er udnyttet ved § 5 i PET-bekendtgørelsen, hvoraf det fremgår, at persondatalovens kapitel 8-10 finder anvendelse for behandlingen af personoplysninger i sådanne sager.

Endelig fremgår det af PET-lovens § 21, stk. 2, at Tilsynet med Efterretningstjenesternes virksomhed er undtaget fra bl.a. persondataloven.

2.4.2. Justitsministeriets overvejelser og lovforslagets udformning

2.4.2.1. Justitsministeriets overvejelser

PET-loven henviser en række steder til persondataloven. I lyset af, at persondataloven foreslås ophævet og erstattet med en ny databeskyttelsesforordning, der suppleres af et forslag til en ny databeskyttelseslov, som skal finde anvendelse i Danmark den 25. maj 2018, er det nødvendigt at foretage en række konsekvensændringer i PET-loven.

Den nuværende regulering af PET's behandling af oplysninger - herunder afvejningen af hensynet til den særlige karakter af PET's arbejde på den ene side og hensynet til at sikre et højt beskyttelsesniveau i forhold til behandlingen af oplysninger om borgere og juridiske personer på den anden side - er resultatet af de grundige overvejelser om retstilstanden i forhold til PET's behandling af såvel personoplysninger som oplysninger om juridiske personer, som blev foretaget af Udvalget vedrørende Politiets og Forsvarets Efterretningstjenester i betænkning nr. 1529 fra 2012 forud for fremsættelsen af lovforslaget bag PET-loven. Justitsministeriet finder således, at gældende ret i PET-loven i videst muligt omfang bør opretholdes. De foreslåede ændringer af PET-loven tilsigter således i videst muligt omfang at videreføre gældende ret, og er udtryk for justeringer af lovteknisk karakter, der er nødvendiggjort af de ændringer af dansk persondatalovgivning, som følger af databeskyttelsesforordningen.

For så vidt angår det mere generelle spørgsmål om den nuværende regulering af PET's behandling af oplysninger mv. bemærkes det i øvrigt, at det fremgår af regeringsgrundlaget "For et friere, rigere og mere trygt Danmark", at regeringen ønsker, at der er klare og tidssvarende regler for PET's virksomhed, og at der er en ordentlig og balanceret kontrol med PET. Regeringen vil derfor med inddragelse af uafhængige efterretningseksperter, Tilsynet med Efterretningstjenesterne og PET udarbejde en rapport om erfaringerne med PET-loven. Rapporten skal bl.a. indeholde en evaluering af lovens betydning for kvaliteten og effektiviteten af PET's opgavevaretagelse, samt om tilsynet har den fornødne styrke og kompetence. Evalueringen vil desuden vurdere betydningen af de senere ændringer af PET-loven, herunder vedrørende adgang til at indhente PNR-oplysninger og ændringen af reglerne om PET's sletning af oplysninger. Evalueringen skal være færdig den 1. januar 2018.

Det bemærkes, at hverken databeskyttelsesforordningen eller den foreslåede nye databeskyttelseslov finder anvendelse på den behandling af personoplysninger, som udføres for eller af PET, jf. forordningens artikel 2, stk. 2, litra a og d, og § 3, stk. 2, i den foreslåede nye databeskyttelseslov.

2.4.2.2. Lovforslagets udformning

2.4.2.2.1. Det foreslås at indsætte en ny bestemmelse som § 6 a i PET-loven, der viderefører gældende ret fra persondatalovens §§ 5, 11, stk. 1, og 14, der i dag i medfør af PET-lovens § 7, stk. 1, og § 8, stk. 1, er sat i kraft for PET's interne behandling af personoplysninger og oplysninger om juridiske personer. Der vurderes ikke at være behov for udtrykkeligt i lovteksten at regulere de definitioner, som vil finde anvendelse for PET's behandling af oplysninger. De begreber og definitioner, som finder anvendelse for PET's behandling af oplysninger efter gældende ret, jf. § 3 i den gældende persondatalov, vil derfor fortsat skulle finde anvendelse.

Efter Justitsministeriets opfattelse vil det være mere hensigtsmæssigt at regulere spørgsmålet om behandlingssikkerhed i bekendtgørelsesform, således at der kan fastsættes mere målrettede og præcise regler herom. Det forudsættes derfor, at justitsministeren med hjemmel i de eksisterende bemyndigelser i PET-lovens § 7, stk. 3, og § 8, stk. 3 (der med lovforslaget bliver § 7, stk. 2, og § 8, stk. 2), udsteder administrative regler om behandlingssikkerhed hos PET, som vil træde i stedet for de nuværende henvisninger til persondatalovens §§ 41 og 42. Det forudsættes, at Justitsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at både Retsudvalget og Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til lovforslagets § 4, nr. 2-4, og bemærkningerne hertil.

2.4.2.2.2. PET's egne personalesager og sikkerhedsgodkendelsessager adskiller sig fra PET's operative sager, hvor der kan være et særligt behov for hemmeligholdelse, jf. herom under afsnit 2.4.1.1 ovenfor. For så vidt angår PET's egne personalesager og sikkerhedsgodkendelsessager vil der således kunne være et særligt behov for indsigt, ligesom hensynet til den pågældende vil kunne veje tungere end hensynet til at hemmeligholde oplysningerne. Persondatalovens kapitel 8-10 (om oplysningspligt over for den registrerede, om den registreredes indsigtsret og øvrige rettigheder) er derfor med hjemmel i PET-lovens § 14, stk. 2, sat administrativt i kraft for PET for så vidt angår tjenestens egne personalesager og sikkerhedsgodkendelsessager, jf. PET-bekendtgørelsens § 5.

Justitsministeriet finder på den baggrund, at det vil være naturligt at lade de kommende regler i forslag til databeskyttelsesloven og databeskyttelsesforordningen om oplysningspligt over for den registrerede, om den registreredes indsigtsret og om øvrige rettigheder kunne finde anvendelse på PET's egne personalesager og sikkerhedsgodkendelsessager. Det foreslås derfor, at bemyndigelsen i PET-lovens § 14, stk. 2, erstattes af en bemyndigelsesbestemmelse til, at justitsministeren kan fastsætte nærmere regler om, at forslag til databeskyttelsesloven (som supplerer reglerne i databeskyttelsesforordningen) og databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af person­oplysninger for PET vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager.

Der henvises til lovforslagets § 4, nr. 11-12, og bemærkningerne hertil.

2.4.2.2.3. Endelig foreslås der en række lovtekniske justeringer som følge af, at en række af henvisningerne i PET-loven, herunder til den nugældende persondatalov, ikke vil kunne opretholdes som følge af de øvrige ændringer i lovforslaget og forslaget til ny databeskyttelseslov.

Der henvises til lovforslagets § 4, nr. 1, 5-10 og 13-14, og bemærkningerne hertil.

2.5. Konsekvensændring i retsplejelovens § 741 g, stk. 3

2.5.1. Gældende ret

2.5.1.1. Retsplejelovens regler om underretning af forurettede i straffesager

Retsplejelovens § 741 g indeholder regler om underretning af forurettede i straffesager i forbindelse med, at gerningsmanden kommer på fri fod mv.

I forbindelse med behandlingen af den forurettedes anmodning om underretning er myndighederne efter persondataloven i nogle tilfælde forpligtet til at orientere den dømte om, at der behandles oplysninger om den pågældende, jf. herom nærmere nedenfor i afsnit 2.5.1.2.

Det følger af § 741 g, stk. 3, at justitsministeren kan fastsætte nærmere regler om underretningsordningen, herunder om at persondatalovens bestemmelser om oplysningspligt ikke skal finde anvendelse i forhold til den dømte.

Bemyndigelsen er aktuelt udmøntet ved bekendtgørelse nr. 823 af 26. juni 2013, hvoraf det bl.a. fremgår, at persondatalovens bestemmelser om oplysningspligt ikke finder anvendelse i forhold til den dømte, jf. bekendtgørelsens § 4.

Baggrunden for bestemmelsen i retsplejelovens § 741 g, stk. 3, er, at det vurderes, at oplysningen om, at et offer har anmodet om underretning, i sig selv vil kunne skabe eller forstærke et modsætningsforhold mellem offer og gerningsmand, jf. nærmere Folketingstidende 2010-11 (1. samling), A, L 134 som fremsat, side 15 og 18.

2.5.1.2. Persondatalovens og lov om retshåndhævende myndigheders behandling af personoplysningers regler om oplysningspligt over for den registrerede

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) indeholder dansk rets almindelige regler om behandling af personoplysninger.

Persondatalovens kapitel 8 indeholder regler om myndighedernes oplysningspligt over for den registrerede.

Det fremgår bl.a. af persondatalovens §§ 28 og 29, at den dataansvarlige eller dennes repræsentant skal give den registrerede en række oplysninger i forbindelse med indsamling af oplysninger hos den registrerede og ved videregivelse af oplysninger til tredjemand, medmindre der er grundlag for at undlade orientering som følge af modstående hensyn opregnet i lovens § 30.

Ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger er der gennemført nye regler om behandling af personoplysninger, herunder om oplysningspligten over for registrerede.

Det fremgår af § 1 i lov om retshåndhævende myndigheders behandling af personoplysninger, at loven gælder for de retshåndhævende myndigheders, herunder politiets og kriminalforsorgens, behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og for anden ikke automatisk behandling af person­oplysninger, der er eller vil blive indeholdt i et register, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner.

Det følger endvidere af § 55, stk. 1, i lov om retshåndhævende myndigheders behandling af personoplysninger, at persondataloven - bortset fra visse bestemmelser opregnet i § 55, stk. 2 - ikke gælder for behandling, som er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger. Reglerne om oplysningspligt er ikke omfattet af opregningen i § 55, stk. 2.

Lov om retshåndhævende myndigheders behandling af personoplysninger gennemfører Europaparlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (retshåndhævelsesdirektivet) i dansk ret.

Direktivet indeholder i artikel 13 regler om de retshåndhævende myndigheders oplysningspligt over for den registrerede.

Efter direktivets artikel 13, stk. 1, skal den dataansvarlige som minimum stille en række nærmere angivne oplysninger til rådighed for den registrerede, herunder identitet på og kontaktoplysninger for den dataansvarlige, kontaktoplysninger for en eventuel databeskyttelsesrådgiver og formålene med den behandling, som personoplysningerne skal bruges til. Det fremgår af direktivets præambelbetragtning nr. 42, at dette kan ske på den kompetente myndigheds websted.

Den dataansvarlige skal herudover i særlige tilfælde give den registrerede en række yderligere oplysninger, for at vedkommende kan udøve sine rettigheder, herunder oplysninger om retsgrundlaget for behandlingen og det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, jf. herved nærmere direktivets artikel 13, stk. 2.

Efter artikel 13, stk. 3, kan medlemsstaterne vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af de i stk. 2 nævnte oplysninger til den registrerede. Det kan bl.a. ske for at undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, beskytte den offentlige sikkerhed, beskytte statens sikkerhed eller beskytte andres rettigheder og frihedsrettigheder.

Efter artikel 13, stk. 4, kan der fastsættes nærmere regler om de kategorier af behandling, som helt eller delvis er omfattet af stk. 3.

Direktivets bestemmelser om oplysningspligt over for den registrerede er gennemført ved kapitel 4 (§§ 13-14) i lov om retshåndhævende myndigheders behandling af personoplysninger.

Det følger af § 13, stk. 1, i lov om retshåndhævende myndigheders behandling af personoplysninger, at den dataansvarlige skal stille en række oplysninger til rådighed for den registrerede. Oplysningerne svarer i hovedtræk til de oplysninger, der fremgår af retshåndhævelsesdirektivets artikel 13, stk. 1. Forpligtelsen til at stille oplysninger til rådighed kan f.eks. opfyldes ved at gøre oplysningerne tilgængelige på den kompetente myndigheds hjemmeside eller gennem trykt materiale, som er tilgængeligt for de registrerede.

Det følger endvidere af § 13, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, at den dataansvarlige, når det er nødvendigt for, at den registrerede kan varetage sine interesser, som minimum skal give den registrerede meddelelse om en række nærmere angivne yderligere oplysninger, som svarer til oplysningerne nævnt i retshåndhævelsesdirektivets artikel 13, stk. 2. Denne bestemmelse indebærer en pligt for den dataansvarlige myndighed til konkret at underrette den registrerede.

Efter § 14, stk. 1, i lov om retshåndhævende myndigheders behandling af personoplysninger, kan meddelelse efter § 13, stk. 2, udsættes, begrænses eller undlades, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for nærmere angivne modstående hensyn, herunder hensynet til at beskytte den registreredes eller andres rettigheder.

Efter § 14, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, kan justitsministeren bl.a. fastsætte nærmere regler om, hvilke kategorier af behandling der er omfattet af bestemmelsens stk. 1.

I forarbejderne til lov om retshåndhævende myndigheders behandling af personoplysninger er det lagt til grund, at begrænsninger i oplysningspligten, som følger af eksisterende lovgivning, herunder retsplejelovens regler, vil kunne opretholdes, såfremt begrænsningen sker af hensyn til en af de grunde, som er oplistet i § 14, jf. nærmere Folketingstidende 2016-17, A, L 168 som fremsat, side 71.

2.5.2. Justitsministeriets overvejelser og lovforslagets udformning

2.5.2.1. Justitsministeriets overvejelser

Retsplejelovens § 741 g, stk. 3, indeholder en bemyndigelse til justitsministeren til at fravige persondatalovens bestemmelser om oplysningspligt i forbindelse med underretning af forurettede i visse straffesager.

Reglerne om de retshåndhævende myndigheders oplysningspligt over for den registrerede findes i dag i lov om retshåndhævende myndigheders behandling af personoplysninger, som for disse myndigheders vedkommende har afløst bestemmelserne om oplysningspligt i persondataloven.

Herefter kan pligten til at orientere den registrerede ved konkret meddelelse bl.a. fraviges, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for hensynet til at beskytte andres rettigheder. Dette kan f.eks. være tilfældet, når den forurettede i en straffesag anmoder om underretning om gerningsmandens løsladelse mv., idet en orientering af gerningsmanden i en sådan situation vil kunne skabe eller forstærke et modsætningsforhold mellem parterne og dermed skade den forurettedes interesser.

I lov om retshåndhævende myndigheders behandling af personoplysninger findes tillige en bemyndigelsesbestemmelse, hvorved justitsministeren - inden for rammerne af retshåndhævelsesdirektivet - er tillagt kompetence til at fastsætte nærmere regler om de tilfælde, hvor oplysningspligten kan fraviges.

Som følge af de nye regler i retshåndhævelsesdirektivet og lov om retshåndhævende myndigheders behandling af personoplysninger er det nødvendigt at foretage en konsekvensændring af retsplejeloven, således at der ikke længere henvises til reglerne i persondataloven.

2.5.2.2. Lovforslagets udformning

Det foreslås, at retsplejelovens § 741 g, stk. 3, ændres, således at henvisningen til persondatalovens bestemmelser om oplysningspligt udgår.

Justitsministerens kompetence til at fastsætte nærmere regler om fravigelse af oplysningspligten vil herefter følge af reglerne i lov om retshåndhævende myndigheders behandling af personoplysninger.

Der henvises til lovforslagets § 5, nr. 2, og bemærkningerne hertil.

2.6. Ændringer i lov om massemediers informationsdatabaser

2.6.1. Gældende ret

2.6.1.1. Forholdet mellem medieansvarsloven og lov om massemediers informationsdatabaser

Offentligt tilgængelige informationsdatabaser kan anmelde sig efter såvel regler i lov om massemediers informationsdatabaser som medieansvarsloven. Derved vil de som udgangspunkt være omfattet af begge love.

For at blive omfattet af medieansvarsloven som medie skal informationsdatabasen opfylde definitionen i medieansvarslovens § 1, nr. 3 (dvs. tekster, billeder og lydprogrammer, der periodisk udbredes til offentligheden, såfremt de har karakter af en nyhedsformidling, som kan ligestilles med den formidling, der er omfattet af lovens § 1, nr. 1 og 2), og anmeldes til Pressenævnet, jf. lovens § 8, stk. 1.

For at blive omfattet af lov om massemediers informationsdatabaser skal informationsdatabasen - ud over at være tilgængelig for enhver på almindelige forretningsvilkår - være anmeldt til Pressenævnet og Datatilsynet med angivelse af, hvem der er ansvarlig for informationsdatabasen, jf. lovens § 6, stk. 1. Det fremgår af lovens § 6, stk. 2, at en offentligt tilgængelig informationsdatabase, som anmeldes efter stk. 1, ikke samtidig er omfattet af medieansvarsloven, når bortses fra reglerne om genmæle og visse regler om Pressenævnets sammensætning og kompetence.

Lov om massemediers informationsdatabaser bygger på betænkning nr. 1233/1992 om pressens informationsregistre afgivet af udvalget vedrørende pressens informationsregistre.

Bestemmelsen i § 6, stk. 2, var ny i forhold til udvalgsflertallets lovudkast. Udvalget lagde til grund i betænkningen, at en informationsdatabase efter omstændighederne selv ville kunne være et massemedie i overensstemmelse med definitionen i medieansvarslovens § 1, nr. 3. Udvalget pegede på POLTXT som et muligt eksempel på dette. Der henvises til betænkningen side 46. POLTXT var et fritekstsøgesystem, hvor det var muligt at søge på samtlige ord, herunder personnavne, som indgik i en artikel. I POLTXT var indlagt dels hele, tidligere offentliggjorte (trykte) artikler, referater og resumeer af trykte artikler, dels artikler, som ikke havde været trykt, men som var skrevet direkte til POLTXT. Der henvises til betænkningen side 37.

Det er anført i bemærkningerne til § 6, stk. 2, i lov om massemediers informationsdatabaser, jf. Folketingstidende 1992-93, tillæg A, spalte 8656, at hvis en sådan informationsdatabase anmeldes til Pressenævnet efter medieansvarslovens § 8, stk. 1, vil den efter udvalgsflertallets udkast være omfattet af såvel medieansvarslovens som udvalgsflertallets udkast, medmindre informationsdatabasen i flertalsudkastets enkelte bestemmelser er undtaget fra udkastet.

Det fremgår endvidere af bemærkningerne til bestemmelsen, at Justitsministeriet fandt det mindre hensigtsmæssigt, at en offentligt tilgængelig informationsdatabase ville kunne være omfattet af såvel medieansvarslovens som forslagets bestemmelser, da det ville kunne skabe unødvendige tvivls- og fortolkningsspørgsmål.

Der blev på den baggrund indsat en bestemmelse om, at en offentligt tilgængelig informationsdatabase ikke samtidig kan være omfattet af medieansvarsloven og reglerne om offentligt tilgængelige informationsdatabaser.

2.6.1.2. Forlængelse af klagefrister

Det følger af § 12, stk. 2, i lov om massemediers informationsdatabaser, at klage over, at den, der er ansvarlig for en offentligt tilgængelig informationsdatabase, afslår at slette informationer eller optage et genmæle, skal indbringes for Pressenævnet senest 4 uger efter, at afslaget er kommet frem. Det følger endvidere af bestemmelsen, at klage over, at en henvendelse om sletning eller genmæle ikke er besvaret inden 4 uger, skal indbringes for Pressenævnet 4 uger efter udløbet af den nævnte frist for at besvare henvendelsen.

2.6.2. Justitsministeriets overvejelser og lovforslagets udformning

2.6.2.1. Justitsministeriets overvejelser

Pressenævnet har rettet henvendelse til Justitsministeriet og oplyst, at en række medier i dag har hjemmesider, der er anmeldt som medie efter medieansvarslovens § 8, stk. 1, jf. § 1, nr. 3, og at nævnet har konstateret, at nogle af disse medier samtidig har anmeldt hjemmesiden efter § 6, stk. 2, i lov om massemediers informationsdatabaser. Pressenævnet har peget på, at det ikke er åbenbart, om tilmeldingen efter den ene eller den anden lov bør være afgørende for de pågældende mediers retsstilling.

Justitsministeriet er enig med Pressenævnet i, at det ikke er åbenbart, om tilmeldingen efter den ene eller den anden lov bør være afgørende for de pågældende mediers retsstilling. Det bemærkes i den forbindelse, at en række regler i anden lovgivning har retsvirkning for medier, der er omfattet af medieansvarsloven. Det drejer sig f.eks. om reglerne i retsplejeloven om journalisters særlige adgang til aktindsigt i retsdokumenter mv. (retsplejelovens kapitel 3 a), journalisters adgang til kildebeskyttelse i forbindelse med afgivelse af vidneforklaring (retsplejelovens § 172) og journalisters adgang til at kære kendelser om dørlukning (retsplejelovens § 393).

Det er på den baggrund Justitsministeriets opfattelse, at der er behov for at skabe klarhed om de pågældende hjemmesiders retsstilling.

Pressenævnet har endvidere foreslået, at der foretages en justering af klagefristerne i lov om massemediers informationsdatabaser, så fristerne bliver identiske med klagefristerne i medieansvarsloven. Pressenævnet har peget på, at klagefristerne i medieansvarsloven fra den 1. januar 2014 blev forlænget fra 4 uger til 12 uger, jf. lov nr. 1625 af 26. december 2013 om ændring af medieansvarsloven, og at det forekommer uhensigtsmæssigt - ikke mindst for klagerne - at fri?sterne for at klage til Pressenævnet efter de to love er forskellige.

Justitsministeriet er enig med Pressenævnet i, at det er uhensigtsmæssigt, at klagefristerne er forskellige. Det foreslås på den baggrund at forlænge klagefristerne i lov om massemediers informationsdatabaser til 12 uger.

2.6.2.2. Lovforslagets udformning

Det foreslås, at § 6, stk. 2, i lov om massemediers informationsdatabaser ophæves.

Forslaget indebærer, at en offentligt tilgængelig informationsdatabase ikke er udelukket fra at være omfattet af medieansvarsloven, selv om informationsdatabasen samtidig er anmeldt efter reglerne i lov om massemediers informationsdatabaser.

Det foreslås endvidere, at klagefristerne i lov om massemediers informationsdatabaser forlænges fra 4 uger til 12 uger.

Der henvises i øvrigt til lovforslagets § 7 og bemærkningerne hertil.

2.7. Konsekvensændringer i FE-loven

2.7.1. Gældende ret

2.7.1.1. Generelt om forholdet mellem FE-loven og persondataloven

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) indeholder dansk rets almindelige regler for behandling af personoplysninger. Det følger af lovens § 2, stk. 10, at persondataloven ikke finder anvendelse for behandlinger, der udføres for Forsvarets Efterretningstjeneste (FE), hvilket også er fastslået i § 11, stk. 1, 2. pkt., i lov om Forsvarets Efterretningstjeneste (FE) (FE-loven), jf. lovbekendtgørelse nr. 1 af 4. januar 2016, som ændret ved § 1 i lov nr. 462 af 15. maj 2017.

Det var således en forudsætning ved udarbejdelsen af FE-loven, at der for FE gør sig særlige forhold gældende, som kunne begrunde, at tjenesten ikke i samme omfang som andre offentlige myndigheder bør være omfattet af den almindelige persondatalovgivning. Visse af persondatalovens bestemmelser er dog igennem FE-loven sat i kraft for FE for så vidt angår FE's behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer. Ved udformningen af FE-loven blev der lagt vægt på, at FE fuldt ud skal kunne varetage sine opgaver - herunder de opgaver, som kan begrunde et særligt behov for at behandle en række meget sensitive oplysninger og i den forbindelse også oplysninger, hvis pålidelighed måske ikke umiddelbart lader sig efterprøve. Ligeledes blev der ved vurderingen af, hvorvidt FE bør undergives almindelige persondataretlige regler, lagt afgørende vægt på det særlige hensyn til fortrolighed, der knytter sig til tjenestens virksomhed. Endelig blev der taget hensyn til, at efterretningsarbejde ofte har en sådan karakter, at det ikke på tidspunktet for indsamlingen af en oplysning er muligt fuldt ud at vurdere den betydning, som oplysningen kan have for eksempelvis terrorbekæmpelse, før end den sammenkædes med andre oplysninger.

Om baggrunden for FE-lovens ordning om at sætte visse af persondatalovens bestemmelser i kraft for FE, kan der nærmere henvises til afsnit 5.2.1 i de almindelige bemærkninger til forslaget til FE-loven, jf. Folketingstidende 2012-13, A, L 163 som fremsat, side 18.

2.7.1.2. Nærmere om indholdet i FE-loven

Det fremgår af FE-lovens § 4, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, § 14, § 41, stk. 1-4, og § 42 finder anvendelse for FE's behandling af personoplysninger om en i Danmark hjemmehørende fysisk person. Det fremgår endvidere af FE-lovens § 5, stk. 1, at persondatalovens § 3, § 5, § 14, § 41, stk. 1-4, og § 42 finder anvendelse for FE's behandling af oplysninger om i Danmark hjemmehørende juridiske personer.

Bestemmelserne indebærer for det første, at de almindelige persondataretlige begreber (definitioner) i persondatalovens § 3 gælder for FE's behandling om i Danmark hjemmehørende fysiske og juridiske personer. For det andet indebærer bestemmelserne, at FE er omfattet af de i persondatalovens § 5 fastsatte krav om saglighed og proportionalitet ved behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer. For det tredje indebærer bestemmelsen i § 4, stk. 1, at FE kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer, jf. persondatalovens § 11, stk. 1, ligesom tjenesten for det fjerde kan overføre oplysninger til opbevaring i arkiv efter reglerne i arkivlovgivningen, jf. persondatalovens § 14.

FE er endelig for det femte omfattet af kravene til de overordnede rammer for sikkerheden i forbindelse med behandling af personoplysninger, jf. persondatalovens kapitel 11 (§ 41, stk. 1-4, og § 42), hvilket bl.a. indebærer, at FE skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. persondatalovens § 41, stk. 3. Bestemmelsen i persondatalovens § 41, stk. 5, hvorefter justitsministeren kan fastsætte nærmere regler om de i § 41, stk. 3, anførte sikkerhedsforanstaltninger, finder ikke anvendelse for FE. Det skyldes, at FE varetager funktionen som national sikkerhedsmyndighed inden for Forsvarsministeriets område og i den henseende bl.a. har til opgave at fastsætte regler som omtalt i persondatalovens § 41, stk. 3.

I medfør af FE-lovens § 4, stk. 3, og § 5, stk. 3, er forsvarsministeren bemyndiget til at fastsætte nærmere regler om FE's behandling af personoplysninger om i Danmark hjemmehørende fysiske personer og oplysninger om i Danmark hjemmehørende juridiske personer. Bemyndigelsen giver bl.a. mulighed for - inden for rammerne af bl.a. FE-lovens §§ 6 og 7 om sletning og videregivelse af personoplysninger og oplysninger om juridiske personer - administrativt at fastsætte regler for behandling af personoplysninger og oplysninger om juridiske personer, herunder om tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til behandling af oplysninger i FE's informationssystemer mv. og om tjenestens interne kontrol med behandling og opbevaring af personoplysninger og oplysninger om juridiske personer. Bemyndigelsen er på nuværende tidspunkt ikke anvendt.

I FE-lovens § 6 a er indsat en bestemmelse, som udtrykkeligt fastlægger omfanget af FE's forpligtelse til at slette oplysninger. Det fremgår bl.a. heraf, at hvis FE i forbindelse med sine aktiviteter bliver opmærksom på, at sager eller dokumenter mv. ikke længere opfylder betingelserne i FE-lovens § 4, stk. 2, og § 5, stk. 2, skal disse slettes. Det fremgår endvidere, at FE ikke i øvrigt er forpligtet til løbende af egen drift at gennemgå tjenestens sager og dokumenter mv. med henblik på at vurdere, om betingelserne i § 4, stk. 2, og § 5, stk. 2, fortsat er opfyldt.

Det følger af FE-lovens § 7, stk. 2, 1. pkt., at FE kan videregive personoplysninger om i Danmark hjemmehørende fysi?ske personer til andre danske forvaltningsmyndigheder (end Politiets Efterretningstjeneste (PET)), private, udenlandske myndigheder og internationale organisationer, hvis der foreligger et samtykke fra den registrerede, hvis videregivelsen må antages at have betydning for varetagelse af tjenestens opgaver efter FE-lovens § 1, stk. 1 og 4, eller hvis videregivelsen er nødvendig for varetagelse af tjenestens opgaver efter FE-lovens § 1, stk. 2.

Herudover fremgår det af FE-lovens § 7, stk. 2, 2. pkt., at persondatalovens § 8, stk. 2, finder anvendelse, hvis FE videregiver personoplysninger som nævnt i § 7, stk. 1, og § 8, stk. 1, i persondataloven. Det indebærer, at oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige eller seksuelle forhold, strafbare forhold, væsentlige sociale problemer og andre rent private forhold kun må videregives, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Det følger endvidere af FE-lovens § 7, stk. 3, at FE kan videregive oplysninger om i Danmark hjemmehørende juridiske personer til andre danske forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale organisationer, hvis det sker med samtykke, hvis videregivelsen må antages at have betydning for varetagelsen af tjenestens opgaver efter FE-lovens § 1, stk. 1 og 4, eller hvis videregivelsen er nødvendig for varetagelsen af tjenestens opgaver efter FE-lovens § 1, stk. 2.

Det fremgår af FE-lovens § 11, stk. 2, at forsvarsministeren kan bestemme, at bl.a. kapitel 8-10 i persondataloven helt eller delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens sikkerhedsgodkendelsessager og egne personalesager.

Endelig fremgår det af FE-lovens § 18, stk. 2, at Tilsynet med Efterretningstjenesternes virksomhed er undtaget fra persondataloven.

2.7.2. Forsvarsministeriets overvejelser og lovforslagets udformning

2.7.2.1. Forsvarsministeriets overvejelser

FE-loven henviser en række steder til persondataloven. I lyset af, at persondataloven foreslås ophævet og erstattet med en ny databeskyttelsesforordning, der suppleres af et forslag til en ny databeskyttelseslov, som skal finde anvendelse i Danmark den 25. maj 2018, er det nødvendigt at foretage en række konsekvensændringer i FE-loven.

Den nuværende regulering af FE's behandling af oplysninger - herunder afvejningen af hensynet til den særlige karakter af FE's arbejde på den ene side og hensynet til at sikre et højt beskyttelsesniveau i forhold til behandlingen af oplysninger om borgere og juridiske personer på den anden side - er resultatet af de grundige overvejelser, som blev foretaget af Udvalget vedrørende Politiets og Forsvarets Efterretningstjenester i betænkning nr. 1529 fra 2012. Forsvarsministeriet finder derfor, at gældende ret i FE-loven i videst muligt omfang bør opretholdes. De foreslåede ændringer af FE-loven tilsigter således i videst muligt omfang at videreføre gældende ret, og er udtryk for justeringer af lovteknisk karakter, der er nødvendiggjort af de ændringer af dansk persondatalovgivning, som følger af databeskyttelsesforordningen.

Det bemærkes, at hverken databeskyttelsesforordningen eller forslag til databeskyttelsesloven finder anvendelse på den behandling af personoplysninger, som udføres for eller af FE, jf. forordningens artikel 2, stk. 2, litra a og d, og § 3, stk. 2, i den foreslåede nye databeskyttelseslov.

2.7.2.2. Lovforslagets udformning

2.7.2.2.1. Det foreslås at indsætte en ny bestemmelse som § 3 e i FE-loven, der viderefører gældende ret fra persondatalovens § 5, § 11, stk. 1, og § 14, der i dag i medfør af FE-lovens § 4, stk. 1, er sat i kraft for FE's interne behandling af personoplysninger om i Danmark hjemmehørende fysiske personer. Tilsvarende gør sig gældende for FE-lovens § 5, stk. 1, bortset fra persondatalovens § 11, stk. 1, om behandling af oplysninger om personnummer. Der vurderes ikke at være behov for udtrykkeligt i lovteksten at regulere de definitioner, som vil finde anvendelse for FE's behandling af oplysninger. De begreber og definitioner, som finder anvendelse for FE's behandling af oplysninger efter gældende ret, jf. § 3 i den gældende persondatalov, vil derfor fortsat skulle finde anvendelse.

Efter Forsvarsministeriets opfattelse vil det være mere hensigtsmæssigt at regulere spørgsmålet om behandlingssikkerhed i bekendtgørelsesform, således at der kan fastsættes mere målrettede og præcise regler herom. Det forudsættes derfor, at forsvarsministeren med hjemmel i de eksisterende bemyndigelser i FE-lovens § 4, stk. 3, og § 5, stk. 3 (der med lovforslaget bliver § 4, stk. 2, og § 5, stk. 2), udsteder administrative regler om behandlingssikkerhed hos FE, som vil træde i stedet for de nuværende henvisninger til persondatalovens § 41, stk. 1-4, og § 42. Det forudsættes, at Forsvarsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til lovforslagets § 8, nr. 2-4, og bemærkningerne hertil.

2.7.2.2.2. FE's sikkerhedsgodkendelsessager og egne personalesager adskiller sig fra FE's operative sager, hvor der kan være et særligt behov for hemmeligholdelse, jf. herom under afsnit 2.4.1.2 ovenfor. For så vidt angår FE's sikkerhedsgodkendelsessager og egne personalesager, vil der således kunne være et særligt behov for indsigt, ligesom hensynet til den pågældende vil kunne veje tungere end hensynet til at hemmeligholde oplysningerne. Det foreslås derfor, at bemyndigelsen i FE-lovens § 11, stk. 2, erstattes af en bemyndigelsesbestemmelse til, at forsvarsministeren kan fastsætte nærmere regler om at forslag til databeskyttelsesloven (som supplerer reglerne i databeskyttelsesforordningen) og databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager.

Der henvises til lovforslagets § 8, nr. 10-11, og bemærkningerne hertil.

2.7.2.2.3. Endelig foreslås der en række lovtekniske justeringer som følge af, at en række af henvisningerne i FE-loven, herunder til den nugældende persondatalov, ikke vil kunne opretholdes som følge af de øvrige ændringer i lovforslaget og forslaget til ny databeskyttelseslov.

Der henvises til lovforslagets § 8, nr. 1 og 5-9, og bemærkningerne hertil.

2.8. Skærpede krav til databehandleraftaler

2.8.1. Gældende ret

Det er efter gældende regler i henholdsvis § 3 i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) og § 11 i lov om kommunernes finasiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne obligatorisk for kommunerne at anvende it-løsningerne Nemrefusion og Ydelsesrefusion, der etableres og drives af et af KL-ejet selskab. Der er i § 4 og § 8 i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud mv. (Nemrefusion) og i § 8, stk. 1, samt § 10, stk. 3 i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne fastsat regler om, at den enkelte kommune er dataansvarlig for behandlingen af oplysninger i henholdsvis Nemrefusion og i Ydelsesrefusion samt om, at selskabet, der som databehandler for kommunerne driver løsningerne, handler efter kommunens instruks.

Derved er det sikret, at de 98 kommuner ikke hver især skal indgå enslydende databehandleraftaler med selskabet, der driver Nemrefusion og Ydelsesrefusion.

2.8.2. Beskæftigelsesministeriets overvejelser og den foreslåede ordning

Databeskyttelsesforordningen indeholder i forhold til persondataloven skærpede krav til form og indhold af de databehandleraftaler, der skal indgås mellem den dataansvarlige og databehandleren. For nærmere herom henvises til betænkning nr. 1565 om databeskyttelsesforordningen, side 427-440.

Som udgangspunkt vil en databehandleraftale skulle indgås som en skriftlig aftale mellem parterne, jf. databeskyttelsesforordningens artikel 28, stk. 9.

I visse tilfælde kan kravet om databehandleraftale opfyldes ved at fastsætte de fornødne bestemmelser i et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, jf. databeskyttelsesforordningens artikel 28, stk. 3.

Det er således muligt f.eks. i bekendtgørelsesform at regulere dette.

De hensyn, der gælder i forhold til fastsættelse af bestemmelser om den dataansvarliges og databehandlernes forhold, opgaver og ansvar i et andet retligt dokument end en databehandleraftale, gælder også, når databeskyttelsesforordningen får virkning.

Det er Beskæftigelsesministeriets vurdering, at det fortsat ikke er hensigtsmæssigt, at de 98 kommuner vil skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningerne Nemrefusion og Ydelsesrefusion.

Det foreslås derfor, at beskæftigelsesministeren efter forhandling med KL bemyndiges til at fastsætte regler om kommunernes opgaver og ansvar som dataansvarlige og om selskabets opgaver og ansvar som databehandler vedrørende Nemrefusion, samt kommunens opgaver og ansvar som dataansvarlige og om selskabets opgaver og ansvar som databehandler vedrørende Ydelsesrefusion.

Det foreslås, at der fastsættes regler i en bekendtgørelse inden for rammerne af de krav til databehandleraftaler, der fremgår af forordningens artikel 28 som beskrevet ovenfor.

2.9. Retternes og kriminalforsorgens adgang til oplysninger om hemmelige telefonnumre til brug ved digital kommunikation

2.9.1. Gældende ret

§ 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester regulerer, til hvem forsyningspligtudbyderens landsdækkende nummeroply?sningstjeneste kan videregive oplysninger om hemmelige telefonnumre fra nummer­o?ply?sningsdatabasen ("118").

Det følger af § 31, stk. 6, at oplysninger som nævnt i § 31, stk. 5, nr. 2, jf. stk. 4 (dvs. oplysninger om hemmelige og udeladte numre), alene kan videregives af forsyningspligtudbyderens landsdækkende nummerop­­l?y??sningstjeneste til brug for offentlige alarmtjenester, politiet, statsadvokaterne, retterne eller restanceinddrivelsesmyndigheden.

2.9.1.1. Retternes adgang til oplysninger om hemmelige telefonnumre

Retterne og restanceinddrivelsesmyndighedens adgang til indsamling af oplysninger, herunder adgang til hemmelige telefonnumre i nummeroplysningsdatabasen ("118"), blev indsat ved lov nr. 1242 af 18. december 2012 om ændring af retsplejeloven, straffeloven og lov om elektroniske kommunikationsnet og -tjenester (Revision af reglerne om forkyndelse m.v.) i sammenhæng med indførelsen af § 156 a i retsplejeloven, der giver adgang til at foretage telefonforkyndelse.

Det fremgår om baggrunden herfor af forarbejderne til loven, at det er en forudsætning for effektivt at kunne gennemføre telefonforkyndelse, at den, der skal forkynde, har adgang til oplysninger om telefonnumre, herunder hemmelige telefonnumre.

Det fremgår endvidere, at det forudsættes, at adgangen til oplysninger kun anvendes i forbindelse med telefonforkyndelser, ligesom kun de personer ved retterne og restanceinddrivelsesmyndighederne, der beskikkes til at foretage telefonforkyndelser, får adgang til oplysningerne.

Det fremgår derudover af forarbejderne, at Justitsministeriet finder, at en behandling af personoplysninger om hemmelige telefonnumre, der sker i overensstemmelse med den foreslåede bestemmelse i lov om elektroniske kommunikationsnet og -tjenester, i forbindelse med telefonforkyndelse har et udtrykkeligt angivet og sagligt formål, jf. herved persondatalovens § 5, stk. 2, og at behandlingen ikke er i strid med kravet om proportionalitet i persondatalovens § 5, stk. 3. Den foreslåede bestemmelse kan derfor efter Justitsministeriets opfattelse anses for at være i overensstemmelse med databeskyttelsesdirektivet (direktiv 95/46/EF af 24. oktober 1995), jf. Folketingstidende 2012-13, A, L 12 som fremsat, side 17-18.

Der blev ved lov nr. 1242 af 18. december 2012 desuden indført hjemmel i retsplejelovens § 154 a, stk. 1, nr. 6, til, at der uden samtykke kan sendes påmindelser pr. sms eller e-mail til en person, der skal møde i retten.

Det følger således af retsplejelovens § 154 a, stk. 1, nr. 6, at anvendelse af digital kommunikation kan ske, hvis der er tale om en påmindelse til den, der skal give møde i retten om tid og sted for retsmødet.

Det fremgår af bemærkningerne, at hensynet bag bestemmelsen er, at påmindelser pr. sms eller e-mail vil være et egnet middel til at reducere antallet af udeblivelser fra retsmøder, navnlig i de sager, hvor der sker berammelse lang tid forud for retsmødet, jf. Folketingstidende 2012-13, A, L 12 som fremsat, side 16.

Der er ikke adgang til, at retterne kan indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118") til brug for påmindelser pr. sms om tid og sted for et retsmøde.

2.9.1.2. Kriminalforsorgens adgang til at anvende digital kommunikation

Ved lov nr. 1728 af 27. december 2016 om ændring af straffeloven, lov om fuldbyrdelse af straf m.v. og forskellige andre love (Øget respekt for det offentlige rum, offentlige myndigheder og personer i offentlig tjeneste m.v.) blev der i straffuldbyrdelseslovens § 89 a indført mulighed for, at kriminalforsorgen kan anvende digital kommunikation i forbindelse med fremsendelse af påmindelser til personer, der er tilsagt til afsoning eller møde mv. hos kriminalforsorgen, om tid og sted for fremmøde mv.

Det fremgår af bemærkningerne til lovforslaget, at formålet med bestemmelsen er at give kriminalforsorgen mulighed for at fremsende påmindelser pr. sms uden forudgående samtykke fra den dømte med henblik på at nedbringe antallet af udeblivelser, der skyldes en forglemmelse, jf. Folketingstidende 2016-17, A, L 73 som fremsat, side 19.

Kriminalforsorgen har ikke adgang til at indhente oplysninger om hemmelige telefonnumre i nummeroplysningsdatabasen, jf. modsætningsvist § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester.

2.9.2. Energi-, Forsynings- og Klimaministeriets og Justitsministeriets overvejelser og den foreslåede ordning

Som anført ovenfor under afsnit 2.9.1.1 er det en forudsætning for, at retterne effektivt kan gennemføre telefonforkyndelser, at den, der skal forkynde, har adgang til oplysninger om telefonnumre, herunder hemmelige telefonnumre.

Det er efter Energi-, Forsynings- og Klimaministeriets og Justitsministeriets opfattelse ligeledes en forudsætning for, at retterne og kriminalforsorgen effektivt kan fremsende påmindelser pr. sms om tid og sted for retsmøder, afsoning mv., at den, der skal fremsende påmindelsen pr. sms, har adgang til oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118").

For at gøre brugen af påmindelser pr. sms om tid og sted for et retsmøde, jf. retsplejelovens § 154 a, stk. 1, nr. 6, eller for afsoning mv., jf. straffuldbyrdelseslovens § 89 a, mere effektiv, foreslås der derfor en ændring af § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester, således at retternes adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118") som led i telefonforkyndelser, udvides til også at omfatte opslag til brug for påmindelser pr. sms om tid og sted for et retsmøde, når der er sket forkyndelse i overensstemmelse med retsplejeloven, og således at kriminalforsorgen får en lignende adgang til at indhente oplysninger i nummeroplysningsdatabasen til brug for påmindelser pr. sms om tid og sted for afsoning, møder i kriminalforsorgen mv. Kriminalforsorgens adgang til at indhente oplysninger forudsættes navnlig anvendt til at sende påmindelser om afsoning og påmindelser om tilsynssamtaler i forbindelse med betinget dom eller prøveløsladelse.

I forhold til retterne indebærer forslaget, at de personer, der ved retterne beskikkes til at foretage forkyndelser, og som i dag har adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118") til brug for telefonforkyndelser, også får adgang til at foretage opslag til brug for påmindelser pr. sms om tid og sted for et retsmøde i overensstemmelse med retsplejelovens § 154 a, stk. 1, nr. 6, når der indledningsvis er sket forkyndelse i overensstemmelse med retsplejeloven.

For så vidt angår kriminalforsorgen forudsættes det ligeledes, at det alene er de medarbejdere ved kriminalforsorgsområderne, der er udpeget til at foretage tilsigelse til afsoning og til fremmøde i afdelinger under Kriminalforsorgen i Frihed, og de medarbejdere i Direktoratet for Kriminalforsorgen, hvis ansvarsområde er afgørelser om valg af afsoningssted, der får adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummer­oplysningsdatabasen, når der indledningsvis er fremsendt tilsigelse på sædvanlig vis. Relevante medarbejdere i kriminalforsorgsområderne udpeges af områdedirektøren eller den, som områdedirektøren bemyndiger dertil, og relevante medarbejdere i Direktoratet for Kriminalforsorgen udpeges af direktøren for kriminalforsorgen eller den, som direktøren bemyndiger dertil.

Hemmelige telefonnumre udgør personoplysninger. Der er i databeskyttelsesforordningens artikel 5 og i lov om retshåndhævende myndigheders behandling af personoplysningers § 4 fastsat en række grundlæggende principper for den dataansvarliges behandling af personoplysninger. Det følger bl.a. af databeskyttelsesforordningens artikel 5, stk. 1, litra b, 1. pkt., og § 4, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og legitime formål. Det følger endvidere af databeskyttelsesforordningens artikel 5, stk. 1, litra c, og af § 4, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger, at oplysninger, som behandles, skal være relevante og tilstrækkelige og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Herudover indeholder databeskyttelsesforordningen og lov om retshåndhævende myndigheders behandling af personoplysninger bl.a. mere specifikke regler om, hvornår en dataansvarlig må behandle - herunder videregive - personoplysninger. Det afhænger af oplysningernes karakter og formålet med videregivelsen, hvilke regler den dataansvarlige skal følge i det enkelte tilfælde.

Det er Energi-, Forsynings- og Klimaministeriets og Justitsministeriets vurdering, at den foreslåede adgang til behandling af hemmelige telefonnumre i nummeroplysningsdatabasen ("118") til brug for påmindelser pr. sms om tid og sted for retsmøder efter retsplejelovens § 154 a, stk. 1, nr. 6, og om tid og sted for afsoning, møder i kriminalforsorgen mv., jf. straffuldbyrdelseslovens § 89 a, vil have et udtrykkeligt angivet og legitimt formål, jf. herved databeskyttelsesforordningens artikel 5, stk. 1, litra b, og § 4, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, og at behandlingen ikke vil være i strid med kravet om proportionalitet i databeskyttelsesforordningens artikel 5, stk. 1, litra c, og § 4, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger.

Det bemærkes i den forbindelse, at hensynet bag bestemmelsen i retsplejelovens § 154 a, stk. 1, nr. 6, som anført ovenfor under afsnit 2.9.1.1, er, at påmindelser pr. sms eller e-mail vil være et egnet middel til at reducere antallet af udeblivelser fra retsmøder, navnlig i de sager, hvor der sker berammelse lang tid forud for retsmødet. Tilsvarende er formålet med bestemmelsen i straffuldbyrdelseslovens § 89 a at nedbringe antallet af udeblivelser fra afsoning og fra møder i kriminalforsorgen mv., jf. nærmere afsnit 2.9.1.2. Den foreslåede udvidelse af adgangen til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118") vil efter Energi-, Forsynings- og Klimaministeriets og Justitsministeriets opfattelse være med til at understøtte hensynene bag de nævnte bestemmelser.

Det er en forudsætning, at behandlingen af de pågældende telefonnumre sker i overensstemmelse med databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Der henvises i øvrigt til lovforslagets § 19, nr. 1, og bemærkningerne hertil.

2.10. Konsekvensændring i CPR-loven i medfør af markedsføringsloven

2.10.1. Gældende ret

Det fremgår af CPR-lovens § 29, stk. 2, 1. pkt., at enhver ved henvendelse til sin bopælskommune har ret til at få indsat en markering i CPR om, at den pågældende frabeder sig henvendelser, der sker i markedsføringsøjemed.

Efter CPR-lovens § 29, stk. 2, 2. pkt., giver en sådan markering dels den beskyttelse mod markedsføring, der er fastsat i markedsføringslovens § 6 sammenholdt med CPR-lovens § 40, stk. 4 og 5, dels den beskyttelse mod videregivelse mv. til brug ved anden virksomheds markedsføring, der er fastsat i § 36 i lov om behandling af personoplysninger.

Bestemmelsen i CPR-lovens § 29, stk. 2, er en del af ordningen vedrørende markedsføringsbeskyttelse for forbrugere, der er reguleret i henholdsvis markedsføringsloven og i den gældende persondatalov.

2.10.2. Økonomi- og Indenrigsministeriets overvejelser og den foreslåede ordning

Økonomi- og Indenrigsministeriet foreslår, at henvisningen i CPR-lovens § 29, stk. 2, 2. pkt., til markedsføringslovens § 6 ændres til en henvisning til markedsføringslovens § 10.

Ved lov nr. 426 af 3. maj 2017 om markedsføring blev reguleringen af den beskyttelse mod markedsføring som tidligere var fastsat i markedsføringslovens § 6 videreført med få ju?steringer ved lovens § 10. Der henvises herom til bemærkningerne til forslaget til denne lov, jf. Folketingstidende 2016-17, A, L 40 som fremsat, side 59.

Der blev ikke i den forbindelse foretaget de nødvendige konsekvensændringer i CPR-lovens § 29, stk. 2, 2. pkt.

Økonomi- og Indenrigsministeriet vurderer det hensigtsmæssigt, at der i forbindelse med dette lovforslag foretages en ændring, der sikrer den rette henvisning til bestemmelsen i markedsføringsloven.

Den foreslåede ændring er af redaktionel karakter, og vedrører alene henvisningerne i CPR-lovens § 29, stk. 2, 2. pkt., til de ovennævnte regler i anden lovgivning, hvori selve beskyttelsen fremover vil være reguleret.

For nærmere herom henvises til de specielle bemærkninger til lovforslagets § 25.

2.11. Konsekvensændring i lov om Digital Post fra offentlige afsendere

2.11.1. Gældende ret

§ 2, stk. 3 i lov om Digital Post fra offentlige afsendere indeholder en fravigelse af persondatalovens § 35, efter hvilken den registrerede kan gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling.

Henvisningen til § 35 i lov om behandling af personoplysninger i § 2, stk. 3, i lov om Digital Post fra offentlige afsendere er indsat for at præcisere, at indsigelse fra en borger mod, at vedkommendes personnummer behandles i forbindelse med tilslutning til og drift af Digital Post løsningen, uden videre vil blive anset som uberettiget.

Tilslutning til og drift af Digital Post løsningen kræver således behandling af personnumre for fysiske personer, idet løsningen er knyttet op på borgernes personnummer. Anvendelsen af personnumre sker ud fra hensynet til at sikre, at myndigheder kan kommunikere sikkert til et specifikt personnummer for fysiske personer, for dermed at sikre identiteten af den borger, der kommunikeres med.

2.11.2. Finansministeriets overvejelser og den foreslåede ordning

Det foreslås, at den eksisterende begrænsning af de registreredes indsigelsesadgang i lov om Digital Post til offentlige afsendere opretholdes. Dette sker ved at opdatere bestemmelsen med en henvisning til databeskyttelsesforordningens artikel 21.

Databeskyttelsesforordningens artikel 23 giver mulighed for, at medlemsstaterne kan begrænse de rettigheder og forpligtelser, der er omhandlet i forordningens artikel 12-22, såfremt dette er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til bl.a. en medlemsstats generelle samfundsinteresser, jf. artikel 23, stk. 1, litra e.

Med lovforslaget foreslås det derfor præciseret, at behandlingen af personnumre i forbindelse med tilslutning til og drift af Digital Post løsningen ikke er omfattet af den registreredes indsigelsesret efter databeskyttelsesforordningens artikel 21. Baggrunden for dette er, at Digital Post løsningen er den primære digitale infrastruktur for sikker skriftlig kommunikation mellem det offentlige og borgerne. Det forhold, at det er obligatorisk for borgere at være tilsluttet Digital Post løsningen bevirker, at løsningen har en væsentlig samfundsmæssig betydning - herunder at sikre, at de mange millioner digitale breve, som de op mod 400 offentlige myndigheder udsender hvert år, kommer sikkert frem til den rette modtager. Digital Post løsningen skal ses i en sammenhæng med regeringens ønske om generel digitalisering i det offentlige udmøntet via Den fællesoffentlige Digitaliseringsstrategi, og Digital Post understøtter de øvrige digitaliseringstiltag, heriblandt digital selvbetjening. Det er en del af løsningen, at myndigheder kan kommunikere sikkert til et specifikt personnummer for fysiske personer, for dermed at sikre identiteten af den borger, der kommunikeres med. Tilslutningen til Digital Post løsningen er fastlagt ved lov. Finansministeriet vurderer således, at løsningen er i den generelle samfundsinteresse, jf. artikel 23, stk. 1, litra e.

I relation til databeskyttelsesforordningens artikel 23, stk. 2, bemærkes det, at forslaget omfatter behandling af personnumre med det formål at kunne tilslutte borgere til Digital Post løsningen og for at kunne varetage den løbende drift af Digital Post løsningen, så længe den pågældende borger er tilsluttet løsningen, se særligt artikel 23, stk. 2, litra a-c og f.

Begrænsningen af indsigelsesretten fremgår af lov om Digital Post fra offentlige afsendere. De enkelte registrerede underrettes ikke derudover direkte om begrænsningen, jf. artikel 23, stk. 2, litra h.

Behandlingen varetages af en af ministeren for offentlig innovation udpeget systemansvarlig, jf. artikel 23, stk. 2, litra e.

Finansministeriet vurderer således, at begrænsningen af indsigelsesretten efter databeskyttelsesforordningens artikel 21 er i overensstemmelse med forordningens artikel 23.

Med den opdaterede henvisning sikres det, at retstilstanden på området for afsendelse af digital post fra offentlige afsendere fastholdes uændret.

3. Økonomiske og administrative konsekvenser for det offentlige

Den foreslåede ændring af lov om elektroniske kommunikationsnet og -tjenester, der bl.a. indebærer, at de enkelte retter og kriminalforsorgen kan indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummerop­lysningsdatabasen til brug for påmindelser pr. sms om tid og sted for retsmøder og afsoning, vurderes ikke at medføre økonomiske eller administrative omkostninger for det offentlige af betydning. Indførelsen af muligheden for adgang til hemmelige telefonnumre kan dog være med til at understøtte, at færre retsmøder bliver aflyst, og at flere møder op til afsoning, og det vil derfor kunne bidrage til at lette administrationen hos domstolene og kriminalforsorgen. Det er ikke muligt nærmere at vurdere omfanget heraf, idet adgangen til hemmelige telefonnumre alene vil have betydning for en mindre del af effektiviseringsinitiativet om at sende påmindelser pr. sms.

Lovforslaget har for det offentlige i øvrigt ikke økonomiske og administrative konsekvenser af betydning.

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Forslaget om at forlænge klagefristen i lov om massemediers informationsdatabaser vil kunne medføre en forøgelse af antallet af klager til Pressenævnet. Udgifterne til Pressenævnets virksomhed, herunder udgifter til nævnets sekretariat, afholdes af massemedierne selv efter en fordelingsnøgle, som følger af § 16 i bekendtgørelse nr. 86 af 2. september 1998 om forretningsorden for Pressenævnet.

En forøgelse af antallet af klager over medierne til Pressenævnet vil kunne medføre øgede udgifter for massemedierne. Forslaget om forlængelse af klagefristerne vurderes dog alene at medføre økonomiske konsekvenser for massemedierne i begrænset omfang.

Lovforslaget har i øvrigt ikke økonomiske og administrative konsekvenser for erhvervslivet mv.

5. Administrative konsekvenser for borgerne

Forslaget om at forlænge klagefristerne i lov om massemediers informationsdatabaser indebærer en styrkelse af borgernes retssikkerhed.

Lovforslaget har i øvrigt ikke administrative konsekvenser for borgerne.

6. Miljømæssige konsekvenser

Lovforslaget har ikke miljømæssige konsekvenser.

7. Forholdet til EU-retten

Som konsekvens af databeskyttelsesforordningen, der anvendes fra den 25. maj 2018, foretages ændringer i en række love, som enten henviser til persondataloven eller indeholder bestemmelser, som regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen, og forordningen ikke overlader et nationalt råderum til at opretholde bestemmelserne.

Databeskyttelsesforordningen regulerer ikke videregivelse af fortrolige oplysninger om juridiske personer mv. Justitsministeriet finder det, som oven for nævnt, hensigtsmæssigt, at reglerne om samtykke til videregivelse af fortrolige oplysninger om juridiske personer mv. tilpasses forordningens definition af et samtykke samt delvist tilpasses forordningens krav hertil. Derfor foreslås en række ændringer til forvaltningslovens § 28, stk. 2-4, så kravene til samtykke i højere grad svarer til de krav, der stilles efter forordningen.

8. Hørte myndigheder og organisationer mv.

Et udkast til lovforslaget har i perioden fra den 18. august 2017 til den 14. september 2017 været sendt i høring hos følgende myndigheder og organisationer mv.:

Advokatrådet, Akademikernes Centralorganisation, Amnesty International, Andelsboligforeningernes Fællesrepræsentation, Arbejderbevægelsens Erhvervsråd, Arkitektforeningen, ATP, BL - Danmarks Almene Boliger, Boligselskabernes Landsforening, Copenhagen Business School (CBS), Dansk Fjernvarme, Danmarks Idræts Forbund, Danmarks Jurist- og Økonomforbund, Danmarks Lejerforeninger, Danmarks Radio, Danmarks Rederiforening, Danmarks Tekniske Universitet, Dansk Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomsmæglerforening, Dansk Erhverv, Dansk Industri, Dansk Inkassobrancheforening, Dansk IT, Dansk Journalistforbund, Dansk Ældreråd, Danske Advokater, Danske Bedemænd, Danske Forlag, Danske Handicaporganisationer, Danske Insolvensadvokater, Danske Medier, Danske Regioner, Danske Seniorer, Danske Udlejere, Datatilsynet, Lægeforeningen, Den Danske Dommerforening, Det Centrale Handicapråd, Det Danske Voldgiftsinstitut, Det Kriminalpræventive Råd, Direktoratet for Kriminalforsorgen, Dommerfuldmægtigforeningen, Domstolenes Tjenestemandsforening, Domstolsstyrelsen, Ejendomsforeningen Danmark, Erhvervslejernes Landsorganisation, Experian, FAB - Foreningen af byplanlæggere, Fagligt Fælles Forbund - 3F, Finans og Leasing, Finansrådet, FOA - Fag og Arbejde, Forbrugerombudsmanden, Forbrugerrådet, Foreningen af miljø-, plan- og naturmedarbejdere i det offentlige (EnviNa), Foreningen af Offentlige Anklagere, Foreningen af Statsadvokater, Foreningen af Statsforvaltningsjurister, Foreningen Industriel Retsbeskyttelse, Forsikring og Pension, Forsikringsmæglerforeningen, Forsvarets Efterretningstjeneste, FSR, Funktionærernes og Tjenestemændenes Fællesråd FTF, Færøernes Landsstyre, Grundejeren.dk, Grønlands Selvstyre, Handelshøjskolen - Århus Universitet, HK Kommunal, HK - Landsklubben Danmarks Domstole, HK Landsklubben for Politiet, Højesteret, Håndværksrådet, Indsamlingsorganisationernes Brancheorganisation, Ingeniørforeningen i Danmark, Institut for Menneskerettigheder, IT-Branchen, Justitia, KL, Kreativitet og Kommunikation, Kræftens bekæmpelse, Københavns Universitet, Landsforeningen af Forsvarsadvokater, Landsforeningen KRIM, Landsorganisationen i Danmark (LO), Lejernes Landsorganisation, Liberale Erhvervs Råd, Lægemiddelindustriforeningen (LIF), Natur- og Miljøklagenævnet, Parcelhusejernes Landsforening, Politidirektørforeningen, Politiets Efterretningstjeneste, Politiforbundet, Postnord AB, Pressenævnet, PROSA, Procesbevillingsnævnet, Realkreditforeningen, Realkreditrådet, Retspolitisk Forening, Rigsadvokaten, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færøerne, Rigspolitiet, Rådet for Digital Sikkerhed, Rådet for Etniske Minoriteter, samtlige byretter, samtlige kommuner, samtlige ministerier, samtlige regioner, Sammenslutningen af lokale Radio og Tv-stationer DFS, SikkerhedsBranchen, Syddansk Universitet, Sø- og Handelsretten, Tilsynet med Efterretningstjenesterne, Tinglysningsretten, TV2, Udbetaling Danmark, Udvalget til Beskyttelse af Videnskabeligt Arbejde, Vestre Landsret, Ældre Forum, Ældre Sagen, Østre Landsret, Aalborg Universitet, Aarhus Retshjælp og Aarhus Universitet.

9. Sammenfattende skema

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1-3

Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 27, stk. 3, at for oplysninger af særlig interesse for fremmede magter skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold.

Med bestemmelsen skete der en videreførelse af den såkaldte »krigsregel« i persondataloven, som indebærer, at der skal træffes særlige foranstaltninger i forhold til oplysninger med særlig interesse for fremmede magter bl.a. for dermed hurtigt og effektivt at kunne overtage den almindelige administration, jf. persondatalovens § 41, stk. 4.

Bestemmelsen indebærer, at ikke alle behandlinger vil kunne udføres af en databehandler i udlandet, hvis en sådan overladelse medfører, at krigsreglen ikke kan iagttages af den dataansvarlige.

Bestemmelsen varetager hensynet til den offentlige sikkerhed og skal fortolkes i lyset af Danmarks EU-retlige forpligtelser.

Det følger endvidere af § 27, stk. 4, at justitsministeren bemyndiges til at fastsætte nærmere regler om sikkerhedsforanstaltninger. Der er tale om en videreførelse af den gældende bestemmelse i persondatalovens § 41, stk. 5.

Bestemmelsen kan anvendes til at udstede en bekendtgørelse, som skal erstatte den gældende sikkerhedsbekendtgørelse og sikkerhedsbekendtgørelsen for domstolene i forhold til den behandling af personoplysninger, der er omfattet af loven.

Det følger endelig af § 27, stk. 5, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte regler om, at personoplysninger omfattet af stk. 3 ikke skal underlægges foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra en samlet vurdering må anses for forsvarligt. Ved fastsættelsen af sådanne regler vil der ske en inddragelse af de relevante myndigheder, herunder forsvarsministeren.

Med bestemmelsen sikres det, at justitsministeren efter indstilling fra en kompetent myndighed kan fastsætte nærmere regler om, at oplysninger, der er omfattet af den foreslåede stk. 3, ikke skal være underlagt et krav om, at det i tilfælde af krig eller lignende forhold skal være muligt at foretage bortskaffelse eller tilintetgørelse.

Krigsreglen indebærer som nævnt ovenfor, at visse registre - som følge af karakteren af de personoplysninger, som er indeholdt heri - skal føres i Danmark.

Bestemmelsen i § 27, stk. 5, gør det praktisk muligt for de kompetente myndigheder helt eller delvist at gøre brug af f.eks. cloud-tjenester, hvor opbevaringen af oplysninger sker på servere i udlandet.

Vurderingen af, om det kan anses for forsvarligt at opbevare de pågældende oplysninger i udlandet, vil navnlig inddrage de pågældende oplysningers karakter og de tekniske og organisatoriske foranstaltninger, jf. § 27, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, som træder i stedet for de foranstaltninger, som ellers skulle have været truffet i medfør af § 27, stk. 3. Det vil være op til den relevante kompetente myndighed at fremlægge en nærmere begrundelse for, at det er forsvarligt, at der ikke stilles krav om, at det pågældende register skal føres i Danmark.

Den foreslåede ændring vil medføre, at § 27, stk. 3 og 5, samt den del af bestemmelsens stk. 4, der henviser til stk. 3 i lov om retshåndhævende myndigheders behandling af personoplysninger, ophæves.

Dette er en konsekvens af, at det er mest hensigtsmæssigt, at der kun gælder én regel for opbevaring af særlige IT-systemer for både lov om retshåndhævende myndigheders behandling af personoplysninger og forslag til databeskyttelsesloven.

Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.

Den nye såkaldte »krigsregel« skal herefter fremadrettet findes i forslag til databeskyttelsesloven.

Det foreslås, at § 27, stk. 3, i lov om retshåndhævende myndigheders behandling af personoplysninger nyaffattes, således at det herefter fremgår af bestemmelsen, at justitsministeren efter forhandling med vedkommende minister kan fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte IT-systemer, og som føres af eller for den offentlige forvaltning, helt eller delvist alene må opbevares her i landet.

Bestemmelsen herom skal afløse krigsreglen efter persondatalovens § 41, stk. 4.

Det er hensigten med den nye udformning af krigsreglen, at IT-systemer - før de tages i brug - af justitsministeren og vedkommende minister kan sættes på en liste, der optages som bilag til bekendtgørelsen i medfør af stk. 9.

Det er også hensigten, at IT-systemer alene sættes på denne liste, hvis det er vurderet, at det er af hensyn til statens sikkerhed, at det pågældende system skal føres her i landet. I en sådan situation vil opbevaringen af de pågældende personoplysninger falde uden for EU-retten og dermed databeskyttelsesforordningen og databeskyttelsesdirektivet.

Det er ikke hensigten, at bestemmelsen skal anvendes for at imødekomme hensyn, der vedrører IT-sikkerheden, idet dette hensyn i tilstrækkelig grad må forventes tilgodeset i bestemmelserne i forordningen og lov om retshåndhævende myndigheders behandling af personoplysninger - uafhængigt af om det pågældende IT-system føres her i landet eller i et andet EU-land.

Til nr. 4

Det følger af den gældende bestemmelse i lov om retshåndhævende myndigheders behandling af personoplysningers § 37, stk. 2, at tilsynets daglige forretninger varetages af et sekretariat, der ledes af en direktør.

Det følger dernæst af stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 6 andre medlemmer. Der kan udpeges stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifika­tioner, herunder navnlig ekspertise inden for databeskyttelsesret.

Bemyndigelsen til, at Datarådet kan fastsætte sin forretningsorden og fordelingen af arbejdet mellem rådet og sekretariatet følger af stk. 4.

Det følger af stk. 5, at udpegelsen af formand, medlemmer og stedfortrædere for disse er betinget af, at de pågældende sikkerhedsgodkendes, og at godkendelsen opretholdes i hele embedsperioden.

Der skal som minimum ske en sikkerhedsgodkendelse til klassifikationsgraden HEMMELIGT i overensstemmelse med sikkerhedscirkulæret.

Med bestemmelsen sikres det, at Datarådet kan håndtere oplysninger om de kompetente myndigheders systemer på betryggende vis. Hvis et medlem mister sin sikkerhedsgodkendelse, vil den pågældende ikke længere kunne være medlem af rådet.

Det følger endvidere af stk. 6, at hvervet som formand, medlem eller stedfortræder ophører ved udgangen af embedsperioden eller ved frivillig fratræden.

Det følger dernæst af stk. 7, at formanden, medlemmer og stedfortrædere for disse alene kan afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis disse ikke længere opfylder betingelserne for at varetage hvervet.

Med bestemmelsen understreges det, at medlemmer af Datarådet skal kunne agere uafhængigt i hele embedsperioden. Der er således ikke mulighed for at afskedige et medlem som følge af generel utilfredshed med det pågældende medlems beslutninger i rådet.

Det følger endvidere af stk. 8, at sekretariatets personale samt Datarådets formand, medlemmer og stedfortrædere for disse kun kan have bibeskæftigelse, for så vidt og i det omfang det er foreneligt med udøvelsen af de pligter, der er knyttet til stillingen eller hvervet.

Bestemmelsen understreger, at tilsynets personale og Datarådets medlemmer skal være uafhængige.

Det følger endelig af stk. 9, at Datatilsynet repræsenterer tilsynsmyndighederne i Det Europæiske Databeskyttelsesråd.

Den foreslåede ændring vil medføre, at § 37, stk. 2-9, i lov om retshåndhævende myndigheders behandling af person­oplysninger nyaffattes.

Den foreslåede ændring medfører, at reglerne om Datatilsynets sammensætning, uafhængighed mv. fremover bliver reguleret af reglerne herom i forslag til databeskyttelseslovens § 27, stk. 2-9.

Dette er en konsekvens af, at det er mest hensigtsmæssigt, at reguleringen heraf kun fremgår af ét regelsæt.

Der henvises i øvrigt til afsnit 2.2 i lovforslagets almindelige bemærkninger.

Reglerne i forslag til databeskyttelsesloven er stort set identiske med reglerne i lov om retshåndhævende myndigheders behandling af personoplysninger.

Det følger dog som noget nyt af forslag til databeskyttelseslovens § 27, stk. 3, at justitsministeren nedsætter Datarådet, som består af en formand, der er dommer, og af 7 andre medlemmer. Erhvervsministeren og ministeren for offentlig innovation udnævner hver ét de 7 andre medlemmer omfattet af 1. pkt. Justitsministeren kan udpege stedfortrædere for medlemmerne. Formanden, medlemmerne og stedfortræderne for disse udpeges for 4 år. Der kan ske genudpegning to gange. Udpegelsen af formand, medlemmer og stedfortrædere for disse sker på baggrund af disses faglige kvalifikationer.

Datarådets sammensætning er således forskellig fra lov om retshåndhævende myndigheders behandling af personoplysninger til forslag til databeskyttelsesloven.

Som noget nyt skal erhvervsministeren og ministeren for offentlig innovation tillige med justitsministeren udpege medlemmer til Datarådet, hvilket bl.a. er for at sikre, at det tilstræbes, at der udpeges et eller flere medlemmer med erfaring inden for informationssikkerhed og anvendelse af data i praksis. Den faglige kvalifikation i Datarådet sikres samtidig yderligere ved, at der er 8 medlemmer i rådet.

Til § 2

Til nr. 1

Det følger af forvaltningslovens § 10, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes, om der kan gives aktindsigt i dokumenter og oplysninger i videre omfang, end hvad der følger af §§ 12-15 b. Der kan gives aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov om behandling af personoplysninger.

Det foreslås, at henvisningen til persondataloven i forvaltningslovens § 10, stk. 1, ændres som følge af, at persondataloven ophæves. Henvisningen skal således tilpasses databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Til nr. 2

Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 i lov om behandling af personoplysninger, jf. denne lovs § 1, stk. 3.

Bestemmelsen fastslår således, at persondatalovens videregivelsesregler også gælder for manuel videregivelse af personoplysninger til en anden forvaltningsmyndighed.

Det foreslås, at henvisningen til en række bestemmelser i persondataloven ændres til de nu tilsvarende bestemmelser, som både fremgår af databeskyttelsesforordningen og forslag til databeskyttelsesloven. Ændringen er en konsekvens af, at persondataloven ophæves og databeskyttelsesforordningen samt forslag til databeskyttelsesloven finder anvendelse den 25. maj 2018.

Der er med ændringerne ikke tilsigtet en ændring af retstilstanden. Således vil manuel videregivelse af personoplysninger skulle foretages inden for rammerne af de nævnte bestemmelser i lovforslaget, mens automatisk behandling af personoplysninger skal foretages inden for rammerne af databeskyttelsesforordningen og forslag til databeskyttelsesloven. Endelig skal automatisk behandling af personoplysninger foretages inden for rammerne af lov om retshåndhævende myndigheders behandling af personoplysninger, når behandlingen er inden for denne lovs anvendelsesområde, jf. lovens § 1, stk. 1.

Der er således tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Til nr. 3

Det følger af forvaltningslovens § 28, stk. 3, at ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den, oplysningen angår, indvilger i, at oplysningen videregives.

Efter forvaltningslovens § 28, stk. 2, nr. 1, jf. stk. 3, skal et samtykke til videregivelse af fortrolige oplysninger om f.eks. en juridisk person til en anden forvaltningsmyndighed således være en viljestilkendegivelse, der er frivillig, specifik og informeret. I ordet "specifik" indfortolkes et krav om utvetydighed. Samtykket skal gives af den, som oplysningen angår, eller på baggrund af en fuldmagt. Der er efter gældende ret ingen formkrav til et samtykke. Den offentlige myndighed har bevisbyrden for, at samtykket er givet, og det anbefales derfor, at det indhentede samtykke er skriftligt.

Det foreslås, at § 28, stk. 3, nyaffattes således, at ved samtykke efter stk. 2, nr. 1, forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den, oplysningen angår, ved erklæring eller klar bekræftelse indvilger i, at oplysningen videregives. Ordet "utvetydig" indsættes hermed i forvaltningslovens § 28, stk. 3. Dette indebærer ikke en reel ændring af gældende ret. Ordet "specifik" i forvaltningslovens § 28, stk. 3, fortolkes således allerede i dag sådan, at det skal være klart og utvetydigt, hvad der meddeles samtykke til.

Endvidere foreslås det, at ordene "ved erklæring eller klar bekræftelse" tilføjes til forvaltningslovens § 28, stk. 3. Efter gældende ret er der ikke formkrav til et samtykke efter forvaltningslovens § 28, stk. 3, hvorfor tilføjelsen ikke vil indebære en reel ændring af gældende ret.

Ændringen af forvaltningslovens § 28, stk. 3, foretages således alene for at bringe definitionen af et samtykke i forvaltningslovens § 28, stk. 3, i overensstemmelse med definitionen af samtykke i databeskyttelsesforordningen.

Der henvises i øvrigt til lovforslagets almindelige bemærkninger, afsnit 2.3.

Til nr. 4

Det følger af forvaltningslovens § 28, stk. 4, at et samtykke efter stk. 3 kan tilbagekaldes. Efter bestemmelsen kan et samtykke givet efter forvaltningslovens § 28, stk. 3, til videregivelse af eksempelvis fortrolige oplysninger om en jurid?isk person til en anden forvaltningsmyndighed således tilbagekaldes på ethvert tidspunkt. Tilbagekaldelsen af samtykket har kun virkning for fremtidig videregivelse af fortrolige oplysninger.

Det foreslås, at der indsættes to nye punktummer i forvaltningslovens § 28, stk. 4, for delvist at tilpasse bestemmelsen til de yderligere krav til et samtykke til behandling af person­oplysninger, der følger af databeskyttelsesforordningens artikel 7.

Det foreslåede nye 2. pkt. i § 28, stk. 4, indebærer, at den, som oplysningerne angår, inden der meddeles samtykke til videregivelse af oplysninger, skal oplyses om, at et samtykke kan trækkes tilbage. Den foreslåede tilføjelse bygger på artikel 7, stk. 3, 3. pkt. i databeskyttelsesforordningen. Justitsministeriet finder det hensigtsmæssigt, at kravet om, at en offentlig myndighed, forinden et samtykke gives, skal informere om, at samtykket kan trækkes tilbage, også finder anvendelse, hvor det eksempelvis er en juridisk person, som afgiver samtykket efter forvaltningslovens § 28, stk. 2, nr. 1. Ministeriet er således af den opfattelse, at dette krav om information også bør gælde i forhold til juridiske personer mv., som afgiver samtykke til en offentlig myndighed til at videregive oplysninger. Med ændringen af forvaltningslovens § 28, stk. 4, vil en myndighed skulle give denne information, for at et gyldigt samtykke kan anses for givet. Der er ikke i bestemmelsen indsat formkrav til informationen om, at et samtykke kan trækkes tilbage. Det må imidlertid være i den offentlige myndigheds interesse, at informationen gives på skrift, således at en eventuel senere bevisbyrde om samtykkets gyldighed kan løftes af myndigheden.

Det foreslåede nye 3. pkt. i forvaltningslovens § 28, stk. 4, vil medføre, at et samtykke skal kunne trækkes tilbage lige så let, som det er givet. Den foreslåede tilføjelse bygger på artikel 7, stk. 3, 4. pkt., i databeskyttelsesforordningen. Justitsministeriet finder det hensigtsmæssigt, at det præciseres i forvaltningslovens § 28, stk. 4, at et samtykke afgivet af eksempelvis en juridisk person til videregivelse af oplysninger til en anden forvaltningsmyndighed efter forvaltningslovens § 28, stk. 2, nr. 1, skal kunne trækkes tilbage ligeså let, som det er givet. Ministeriet er således af den opfattelse, at det også i forhold til juridiske personer mv., som afgiver samtykke til en offentlig myndighed til at videregive oplysninger, bør være ligeså let at trække et samtykke tilbage som at give det. Det nye 3. pkt. er ikke en gyldighedsbetingelse for samtykket, men opstiller alene begrænsninger for, hvilke formkrav der kan opstilles i forbindelse med meddelelse om tilbagekaldelse af et samtykke. Myndigheden vil således ikke kunne kræve, at et mundtligt samtykke kun kan tilbagekaldes ved en skriftlig erklæring.

Der henvises til afsnit 2.3.1 i lovforslagets almindelige bemærkninger.

Til § 3

Til nr. 1

Det følger af offentlighedslovens § 11, stk. 1, at enhver kan forlange, at en forvaltningsmyndighed foretager og udleverer en sammenstilling af foreliggende oplysninger i myndighedens databaser, hvis sammenstillingen kan foretages ved få og enkle kommandoer. Såfremt oplysningerne er omfattet af §§ 19-35, gælder sammenstillingsretten kun, hvis de hensyn, der er nævnt i disse bestemmelser, kan tilgodeses gennem anonymisering el.lign., der kan foretages ved få og enkle kommandoer. Retten til at få foretaget en sammenstilling gælder ikke, hvis oplysningerne allerede er offentliggjort i egnet form eller format.

Det følger endvidere af bestemmelsens stk. 2, at stk. 1 ikke finder anvendelse med hensyn til personoplysninger omfattet af § 10 i lov om behandling af personoplysninger.

Det følger af persondatalovens § 10, stk. 1, at oplysninger som nævnt i lovens § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

Efter persondatalovens § 7, stk. 1, må der ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

Efter persondatalovens § 8, må der for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver.

Det foreslås, at henvisningen til persondatalovens § 10 ændres til den nu næsten tilsvarende § 10, stk. 1-4, i forslag til databeskyttelsesloven. Ændringen er en konsekvens af, at persondataloven ophæves og databeskyttelsesforordningen samt databeskyttelsesloven finder anvendelse fra den 25. maj 2018.

Det følger af § 10 i forslag til databeskyttelsesloven, at oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

Der er tale om en justering af lovteknisk karakter, der som det klare udgangspunkt ikke ændrer på gældende ret.

Til nr. 2

Det fremgår af offentlighedslovens § 14, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes, om der kan gives aktindsigt i dokumenter og oplysninger i videre omfang, end hvad der følger af §§ 23-35. Der kan gives aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov om behandling af person­oplysninger.

Det foreslås, at henvisningen til persondataloven i offentlighedslovens § 14, stk. 1, ændres som følge af, at persondataloven ophæves. Henvisningen skal således tilpasses databeskyttelsesforordningen, forslag til databeskyttelsesloven samt lov om retshåndhævende myndigheders behandling af personoplysninger.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Til § 4

Til nr. 1

PET-lovens § 9 a, stk. 1 og 2, og § 13, stk. 2, indeholder en række henvisninger til PET-lovens § 7, stk. 2, og § 8, stk. 2.

Med lovforslagets § 4, nr. 3 og 4, foreslås det at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1. Det foreslås derfor, at henvisningerne til PET-lovens § 7, stk. 2, og § 8, stk. 2, overalt i loven ændres til henvisninger til PET-lovens § 7, stk. 1, og § 8, stk. 1. Der er tale om konsekvensændringer af lovteknisk karakter i lyset af lovforslagets § 4, nr. 3 og 4.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 2

Det fremgår af PET-lovens § 7, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om generelle behandlingsprincipper), § 11, stk. 1 (om at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på entydig dokumentation eller som journalnummer), § 14 (om at personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen) og §§ 41 og 42 (om behandlingssikkerhed) finder anvendelse for PET's behandling af personoplysninger. Det fremgår endvidere af PET-lovens § 8, stk. 1, at persondatalovens §§ 3, 5, 14, 41 og 42 finder anvendelse for PET's behandling af oplysninger om juridiske personer.

Det foreslås at fastsætte en samlet bestemmelse som nyt § 6 a i PET-loven, som indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i PET-loven, således at gældende ret fra disse bestemmelser videreføres. Ændringen skal ses i lyset af, at de gældende regler i persondatalovens § 3, § 5, § 11, stk. 1, og §§ 14, 41 og 42 enten ikke vil fremgå af den nye databeskyttelseslov eller vil have et mindre ændret indhold, når databeskyttelsesforordningen får virkning i dansk ret. Der vurderes ikke at være behov for at indsætte definitionerne i persondatalovens § 3 i lovteksten i PET-loven, da begreberne i PET-loven fortsat vil skulle forstås på samme måde som i den nuværende udformning af PET-loven.

Bestemmelsen vil både omfatte PET's behandling af person­oplysninger og PET's behandling af oplysninger om juridiske personer. Bestemmelsen vil i sin helhed skulle fortolkes i overensstemmelse med gældende ret efter den hidtil gældende persondatalov, og vil således ikke skulle fortolkes i lyset af bestemmelserne i den foreslåede nye databeskyttelseslov og databeskyttelsesforordningen og fremtidig praksis herom. Det bemærkes i den forbindelse, at Justitsministeriet af lovtekniske hensyn for at sikre overensstemmelse med terminologien i PET-loven har tilpasset ordlyden af de foreslåede bestemmelser i PET-lovens § 6 a, stk. 2 og 5 (som viderefører persondatalovens § 5, stk. 2 og 5), således at bestemmelserne i § 6 a, stk. 2 og 5, omfatter behandling af oplysninger. De foreslåede tilpasninger af ordlyden ændrer ikke på gældende ret, herunder på rækkevidden af PET's hjemmel til at indsamle og indhente (tilvejebringe) oplysninger i medfør af PET-lovens §§ 3 og 4.

Om PET-lovens § 7, stk. 1, og § 8, stk. 1, kan nærmere henvises til forarbejderne til lov nr. 604 af 12. juni 2013 om Politiets Efterretningstjeneste (PET), jf. Folketingstidende 2012-13, A, L 161 som fremsat, side 17-27. Om PET's behandling og sletning af oplysninger, herunder omfanget af persondatalovens § 5, stk. 5, der foreslås videreført som § 6 a, stk. 5, i PET-loven, kan endvidere henvises til forarbejderne til lov nr. 1727 af 27. december 2016 om ændring af lov om Politiets Efterretningstjeneste (PET), jf. Folketingstidende 2016-17, A, L 71 som fremsat, side 7 ff.

Det foreslås med lovforslagets § 4, nr. 3 og 4, samtidig at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1. Det forudsættes i forlængelse heraf, at justitsministeren med hjemmel i de eksisterende bemyndigelser i PET-lovens § 7, stk. 3, og § 8, stk. 3 (der med lovforslaget bliver § 7, stk. 2, og § 8, stk. 2), udsteder administrative regler om behandlingssikkerhed hos PET, som vil træde i stedet for PET-lovens nuværende henvisninger til persondatalovens §§ 41 og 42. Bemyndigelsen vil i første omgang kunne udmøntes med henblik på at fastsætte regler i PET-bekendtgørelsen, der viderefører indholdet i persondatalovens §§ 41 og 42, herunder relevante dele af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 (sikkerhedsbekendtgørelsen), der er udstedt i medfør af persondatalovens § 41, stk. 5, og som således ophæves samtidig med ophævelsen af persondataloven. Bemyndigelsen vil dog f.eks. også kunne udnyttes til - i lyset af erfaringerne med databeskyttelsesforordningen - at fastsætte, at bestemmelser i databeskyttelsesforordningen om behandlingssikkerhed finder helt eller delvis anvendelse for PET. Det forudsættes i den forbindelse, at de administrative regler om behandlingssikkerhed som minimum lever op til det sikkerhedsniveau, som gælder efter gældende ret.

Det forudsættes i den forbindelse, at Justitsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at både Retsudvalget og Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til afsnit 2.4.2.2.1 i lovforslagets almindelige bemærkninger.

Til nr. 3 og 4

Det fremgår af PET-lovens § 7, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, og §§ 14, 41 og 42 finder anvendelse for PET's behandling af personoplysninger. Det fremgår endvidere af PET-lovens § 8, stk. 1, at persondatalovens §§ 3, 5, 14, 41 og 42 finder anvendelse for PET's behandling af oplysninger om juridiske personer.

Som konsekvens af den foreslåede ophævelse af persondataloven i lyset af databeskyttelsesforordningen, foreslås det at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1.

Der henvises til afsnit 2.4.2.2.1 i lovforslagets almindelige bemærkninger. Der henvises herudover til den foreslåede bestemmelse i § 6 a i PET-loven, som indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i PET-loven, jf. lovforslagets § 4, nr. 2.

Til nr. 5 og 6

PET-lovens § 9 a, stk. 1, indeholder en henvisning til PET-lovens § 7, stk. 3, og § 8, stk. 3, ligesom bestemmelsen i § 9 a, stk. 2, henviser til bestemmelserne i lovens §§ 7-9.

I lyset af den foreslåede nye bestemmelse i PET-lovens § 6 a og den som følge heraf foreslåede ophævelse af PET-lovens § 7, stk. 1, og § 8, stk. 1, jf. lovforslagets § 4, nr. 2-4, er det nødvendigt at konsekvensrette henvisningerne i PET-lovens § 9 a, stk. 1 og 2. De foreslåede justeringer er således alene af lovteknisk karakter og ændrer ikke på gældende ret efter PET-lovens § 9 a.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 7-9

Reglerne om PET's videregivelse af personoplysninger og oplysninger om juridiske personer til andre forvaltningsmyndigheder (end FE), private, udenlandske myndigheder og internationale organisationer er i dag reguleret af PET-lovens § 10, stk. 2, hvorefter PET-lovens § 7 eller persondatalovens § 8, stk. 2, vil finde anvendelse på videregivelsen for så vidt angår videregivelse af personoplysninger, og PET-lovens § 10, stk. 3, hvorefter PET-lovens § 8 finder anvendelse på videregivelsen for så vidt angår videregivelse af oplysninger om juridiske personer.

Som det fremgår af lovforslagets § 4, nr. 2-4, foreslås det at ophæve PET-lovens § 7, stk. 1, og § 8, stk. 1, for i stedet at videreføre hovedparten af bestemmelsernes indhold i en ny bestemmelse i PET-lovens § 6 a.

Det foreslås som konsekvens heraf at justere PET-lovens § 10, stk. 2, 1. pkt., som i dag kun henviser til PET-lovens § 7, så bestemmelsen både henviser til PET-lovens §§ 6 a og 7.

Det foreslås endvidere at fastsætte i PET-lovens § 10, stk. 2, 2. pkt., at § 8, stk. 2, i den foreslåede nye databeskyttelseslov, der er en uændret videreførelse af persondatalovens § 8, stk. 2, finder anvendelse, hvis videregivelsen vedrører oplysninger om rent private forhold.

Bestemmelsen indebærer således - som det også er tilfældet efter gældende ret - at PET kan videregive personoplysninger om rent private forhold til andre danske forvaltningsmyndigheder (end FE), private, udenlandske myndigheder og internationale organisationer, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Med betegnelsen "rent private forhold" menes oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, dvs. de samme oplysninger som i dag er omfattet af ordlyden af persondatalovens § 7, stk. 1, og § 8, stk. 1.

Det foreslås endelig at justere PET-lovens § 10, stk. 3, om videregivelse af oplysninger om juridiske personer, så bestemmelsen både henviser til PET-lovens § 6 a, stk. 1-5 og 7, og til § 8. Det er ikke nødvendigt at henvise til den foreslåede § 6 a, stk. 6, i PET-loven, da den pågældende bestemmelse vedrører behandling af personnumre.

Der er tale om justeringer af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 10

Det fremgår af PET-lovens § 14, stk. 1, 4. pkt., at PET's virksomhed er undtaget fra persondataloven, jf. persondatalovens § 2, stk. 11 (nu § 2, stk. 10). Det fremgår af bemærkningerne til bestemmelsen, jf. Folketingstidende 2012-13, A, L 161 som fremsat, side 72, at det er fundet hensigtsmæssigt udtrykkeligt at nævne denne retstilstand i PET-lovens § 14, selvom retsstillingen allerede følger af persondataloven.

Med et samtidigt fremsat lovforslag foreslås det, at persondataloven ophæves og nyaffattes som en ny databeskyttelseslov, som tager højde for reglerne i databeskyttelsesforordningen. I den nye databeskyttelseslov flyttes bestemmelsen om, at loven (og fremover også databeskyttelsesforordningen) ikke finder anvendelser på den behandling af person­oplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester, fra § 2, stk. 10, til § 3, stk. 2. Som en konsekvens heraf, foreslås det at ændre henvisningen til persondataloven i PET-lovens § 14, stk. 1, 4. pkt., så der fremo?ver henvises til databeskyttelsesloven og databeskyttelsesforordningen, jf. § 3, stk. 2, i databeskyttelsesloven.

Det foreslås samtidig ud fra samme hensyn som nævnt i de føromtalte bemærkninger til PET-lovens § 14, stk. 1, 4. pkt., i lovteksten at præcisere, at PET's virksomhed ikke er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger. Det bemærkes, at lov om retshåndhævende myndigheders behandling af personoplysninger trådte i kraft den 30. april 2017.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 11 og 12

Det fremgår bl.a. af PET-lovens § 14, stk. 2, at justitsministeren kan bestemme, at kapitel 8-10 i persondataloven helt eller delvis finder anvendelse for behandling af personoplysninger for PET vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager.

Det foreslås, at henvisningen til kapitel 8-10 i lov om behandling af personoplysninger udgår af PET-lovens § 14, stk. 2. Forslaget skal ses i lyset af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen.

Det foreslås endvidere at indsætte en bemyndigelsesbestemmelse i PET-lovens § 14, stk. 2, 2. pkt., således at justitsministeren kan fastsætte nærmere regler om, at den foreslåede nye databeskyttelseslov (som supplerer reglerne i databeskyttelsesforordningen) og databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af person­oplysninger for PET vedrørende tjenestens egne personalesager og sikkerhedsgodkendelsessager. I disse sager vil der således kunne være et særligt behov for indsigt, og hensynet til den pågældende vil efter omstændighederne kunne veje tungere end hensynet til at hemmeligholde oplysningerne. De regler, som med hjemmel i den foreslåede bemyndigelsesbestemmelse vil kunne sættes i kraft for PET, vil navnlig være regler om indsigt som dem, der i dag er fastsat i persondatalovens kapitel 8-10.

Det forudsættes, at Justitsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at både Retsudvalget og Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til afsnit 2.4.2.2.2 i lovforslagets almindelige bemærkninger.

Til nr. 13

Det fremgår af PET-lovens § 18, 1. pkt., at Tilsynet med Efterretningstjenesterne efter klage eller af egen drift påser, at PET overholder reglerne i §§ 3, 4 og 7-11 og regler udstedt i medfør heraf. Tilsynet varetager endvidere de opgaver, der er nævnt i § 13.

Med lovforslagets § 4, nr. 2, foreslås det at indsætte en ny bestemmelse som § 6 a i PET-loven, som regulerer PET's behandling af oplysninger. Det foreslås som konsekvens heraf at justere PET-lovens § 18, 1. pkt., så der fremover også henvises til PET-lovens § 6 a. Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 14

Det fremgår bl.a. af PET-lovens § 21, stk. 2, at tilsynets virksomhed er undtaget fra persondataloven.

Som konsekvens af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen foreslås det, at henvisningen til persondataloven erstattes af en henvisning til den foreslåede nye databeskyttelseslov, databeskyttelsesforordningen og en henvisning til lov om retshåndhævende myndigheders behandling af personoplysninger, der trådte i kraft den 30. april 2017.

For så vidt angår lov om retshåndhævende myndigheders behandling af personoplysninger bemærkes det, at det fremgår af lovens § 1, stk. 1, at loven gælder for politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene. Justitsministeriet finder dog ud fra samme hensyn som dem, der ligger bag PET-lovens § 14, stk. 1, 4. pkt., jf. herom under bemærkningerne til lovforslagets § 4, nr. 10, ovenfor, at dette også bør fremgå direkte af lovteksten i PET-loven.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.4.2.2.3 i lovforslagets almindelige bemærkninger.

Til § 5

Til nr. 1

Det følger af retsplejelovens § 41 h, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes, om der kan gives aktindsigt i videre omfang end fastsat i §§ 41 a-41 g. Der kan gives aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov om behandling af personoplysninger.

Det foreslås, at henvisningen til lov om behandling af person­oplysninger i retsplejelovens § 41 h, stk. 1, 2. pkt., ændres, som følge af, at lov om behandling af personoplysninger ophæves, og databeskyttelsesforordningen samt forslag til databeskyttelsesloven finder anvendelse den 25. maj 2018.

Eftersom reglerne om aktindsigt i retsplejeloven også omfatter aktindsigt i sager af strafferetlig karakter, foreslås det desuden, at der i retsplejelovens § 41 h, stk. 1, 2. pkt., også henvises til lov om retshåndhævende myndigheders behandling af personoplysninger.

Der er alene tale om konsekvensændringer med henblik på at tilpasse henvisninger i retsplejeloven til databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Til nr. 2

Retsplejelovens § 741 g indeholder regler om underretning af forurettede i visse straffesager i forbindelse med, at gerningsmanden kommer på fri fod mv.

Det følger af § 741 g, stk. 3, at justitsministeren kan fastsætte nærmere regler om underretningsordningen, herunder om at persondatalovens bestemmelser om oplysningspligt ikke skal finde anvendelse i forhold til den dømte.

Reglerne om de retshåndhævende myndigheders, herunder politiets og kriminalforsorgens, behandling af personoplysninger findes i dag i lov om retshåndhævende myndigheders behandling af personoplysninger, som gennemfører EU's retshåndhævelsesdirektiv i dansk ret.

Kapitel 4 (§§ 13-14) i lov om retshåndhævende myndigheders behandling af personoplysninger indeholder regler om de retshåndhævende myndigheders oplysningspligt over for den registrerede. Disse regler har for de nævnte myndigheders vedkommende afløst bestemmelserne i persondatalovens kapitel 8.

Efter lov om retshåndhævende myndigheders behandling af personoplysninger kan myndighedernes pligt til at orientere den registrerede ved konkret meddelelse bl.a. fraviges, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for hensynet til at beskytte andres rettigheder. Dette kan f.eks. være tilfældet, når den forurettede i en straffesag anmoder om underretning om gerningsmandens løsladelse mv., idet en orientering af gerningsmanden i en sådan situation vil kunne skabe eller forstærke et modsætningsforhold mellem parterne og dermed skade den forurettedes interesser.

I lov om retshåndhævende myndigheders behandling af personoplysninger findes tillige en bemyndigelsesbestemmelse, hvorved justitsministeren er tillagt kompetence til at fastsætte nærmere regler om de tilfælde, hvor oplysningspligten kan fraviges.

Med lovforslaget vil retsplejelovens § 741 g, stk. 3, blive ændret, således at bemyndigelsen til justitsministeren ikke længere omfatter adgangen til at fastsætte nærmere regler om fravigelse af persondatalovens bestemmelser om oplysningspligt.

Justitsministerens kompetence til - inden for rammerne af retshåndhævelsesdirektivet - at fastsætte nærmere regler om, hvornår oplysningspligten kan fraviges, vil herefter følge af reglerne i lov om retshåndhævende myndigheders behandling af personoplysninger.

Der henvises til afsnit 2.5.2.2 i lovforslagets almindelige bemærkninger.

Til nr. 3

Efter retsplejelovens § 1017 d, stk. 1, må domme og kendelser i straffesager kun gengives offentligt, når de er anonymiseret, således at sigtedes, tiltaltes, forurettedes eller vidners identitet ikke fremgår. Overtrædelse straffes med bøde.

Efter § 1017 d, stk. 2, finder stk. 1 ikke anvendelse på ret?sinformationssystemer, der er omfattet af § 9 i lov om behandling af personoplysninger, eller på offentlig gengivelse, der bygger på et sådant retsinformationssystem.

Det foreslås at ændre § 1017 d, stk. 2, således at der henvises til forslag til databeskyttelseslovens § 9 i stedet for § 9 i lov om behandling af personoplysninger.

Ændringen er en konsekvens af, at persondataloven ophæves i forslag til databeskyttelsesloven. § 9 i forslaget til databeskyttelsesloven svarer til § 9 i persondataloven.

Den foreslåede ændring indebærer, at retsinformationssystemer, der er omfattet af § 9 i forslag til databeskyttelsesloven, fremover undtages fra reglerne i retsplejelovens § 1017 d, stk. 1, på samme måde som retsinformationssystemer, der i dag er omfattet af § 9 i lov om personoplysninger.

Der henvises i øvrigt til afsnit 2.1 i lovforslagets almindelige bemærkninger.

Til § 6

Til nr. 1

Efter straffelovens § 263 a, stk. 1, straffes med bøde eller fængsel indtil 1 år og 6 måneder den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning.

Efter § 263 a, stk. 2, straffes på samme måde den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i bestemmelsens stk. 1.

Efter § 263 a, stk. 3, straffes på samme måde den, der uretmæssigt skaffer sig eller videregiver en kode eller andet adgangsmiddel som nævnt i stk. 1 til et samfundsvigtigt informationssystem jf. straffelovens § 193, eller et informationssystem, der behandler følsomme oplysninger, som er omfattet af § 7, stk. 1, eller § 8, stk. 1, i lov om behandling af personoplysninger, om flere personers personlige forhold.

Det foreslås, at ændre § 263 a, stk. 3, nr. 2, således at der henvises til databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 i stedet for § 7, stk. 1, og § 8, stk. 1, i lov om behandling af personoplysninger.

Ændringen er en konsekvens af, at persondataloven ophæves i forslag til databeskyttelsesloven.

Databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10 angår ligesom § 7, stk. 1, og § 8, stk. 1, i lov om person­oplysninger følsomme personoplysninger.

Der er i vidt omfang tale om samme kategorier af oplysninger efter de to regelsæt.

Databeskyttelsesforordningens artikel 9, stk. 1, omfatter således ligesom § 7, stk. 1, i lov om personoplysninger oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, helbredsoplysninger og oplysninger om seksuelle forhold eller seksuel orientering. I modsætning til § 7, stk. 1, i lov om personoplysninger omfatter databeskyttelsesforordningens artikel 9, stk. 1, dog også biometriske data med det formål entydigt at identificere en fysisk person, og det er præciseret, at også genetiske data er følsomme personoplysninger.

Databeskyttelsesforordningens artikel 10 omfatter ligesom § 8 i lov om personoplysninger oplysninger om strafbare forhold. I modsætning til § 8 i lov om personoplysninger omfatter databeskyttelsesforordningens artikel 10 dog ikke oplysninger om væsentlige sociale problemer eller andre rent private forhold end dem, der er nævnt i § 7, stk. 1.

Samlet set indebærer den foreslåede ændring dermed, at straffelovens § 263, stk. 3, nr. 2, fremover som noget nyt også vil omfatte informationssystemer, der behandler oplysninger om biometriske data med det formål entydigt at identificere en fysisk person, at det præciseres, at bestemmelsen omfatter informationssystemer, der behandler oplysninger om genetiske data, og at bestemmelsen fremover ikke længere vil omfatte informationssystemer, der behandler oplysninger om væsentlige sociale problemer eller andre rent private forhold, som ikke er omfattet af databeskyttelsesforordningens artikel 9, stk. 1, eller artikel 10.

Herudover ændres anvendelsesområdet for § 263, stk. 3, nr. 2, ikke. Det er således uændret bl.a. en betingelse, at informationssystemet behandler følsomme oplysninger om flere personers personlige forhold.

Det bemærkes, at henvisningen til de pågældende bestemmelser i databeskyttelsesforordningen har til formål at afgrænse, hvilke oplysninger der i relation til straffelovens § 263 a, stk. 3, nr. 2, skal anses for følsomme. Det er efter forslaget tilfældet, når oplysningerne efter deres karakter er omfattet af ordlyden af artikel 9, stk. 1, eller artikel 10, i da?tabeskyttelsesforordningen, mens det eksempelvis er uden betydning, om behandling af personoplysninger i det pågældende informationssystem er omfattet af databeskyttelsesforordningens materielle anvendelsesområde.

Der henvises i øvrigt til afsnit 2.1 i lovforslagets almindelige bemærkninger.

Til § 7

Til nr. 1

En offentligt tilgængelig informationsdatabase skal for at blive omfattet af lov om massemediers informationsdatabaser ud over at være tilgængelig for enhver på almindelige forretningsvilkår være anmeldt til Pressenævnet og Datatilsynet med angivelse af, hvem der er ansvarlig for informati?onsdatabasen, jf. § 6, stk. 1. Efter lovens § 6, stk. 2, er en offentligt tilgængelig informationsdatabase, som anmeldes efter stk. 1, ikke samtidig omfattet af medieansvarsloven, når bortses fra reglerne om genmæle og visse regler om Pressenævnets sammensætning og kompetence.

Det foreslås, at lovens § 6, stk. 2, ophæves. Dette vil indebære, at en offentligt tilgængelig informationsdatabase vil kunne være omfattet af såvel reglerne i medieansvarsloven som reglerne i lov om massemediers informationsdatabaser.

Der henvises i øvrigt til afsnit 2.6 i lovforslagets almindelige bemærkninger.

Til nr. 2

Det fremgår af § 12, stk. 1, i lov om massemediers informationsdatabaser, at undlader den, der er ansvarlig for en offentligt tilgængelig informationsdatabase, efter anmodning at slette informationer, der strider mod god presseskik, jf. lovens § 8, stk. 2, eller som befinder sig i databasen i strid med tidsfristen i lovens § 8, stk. 3, jf. stk. 4, eller nægter den ansvarlige at optage et genmæle, eller har vedkommende ikke inden 4 uger besvaret en henvendelse om sletning eller genmæle, kan den, informationerne angår, eller efter dennes død de nærmeste pårørende, indbringe spørgsmålet for Pressenævnet. Sagen indbringes for Pressenævnet senest 4 uger efter, at afslaget er kommet frem, eller 4 uger efter udløbet af den i stk. 1 nævnte svarfrist, jf. lovens § 12, stk. 2.

Det foreslås, at fristerne i § 12, stk. 2, for at indbringe en sag for Pressenævnet ændres fra 4 uger til 12 uger således, at sagen indbringes for Pressenævnet senest 12 uger efter, at afslaget er kommet frem, eller 12 uger efter udløbet af den i stk. 1 nævnte svarfrist.

Det indebærer, at klage over afslag på at slette informationer eller optage et genmæle skal indbringes for Pressenævnet senest 12 uger efter, at afslaget er kommet frem.

Endvidere indebærer det, at en klage over, at en henvendelse om sletning eller genmæle ikke er besvaret inden 4 uger, skal indbringes for Pressenævnet 12 uger efter udløbet af den nævnte frist for at besvare henvendelsen.

Der henvises i øvrigt til afsnit 2.6 i lovforslagets almindelige bemærkninger.

Til § 8

Til nr. 1

FE-lovens § 6 a, stk. 1 og 2, og § 10, stk. 2, indeholder en række henvisninger til FE-lovens § 4, stk. 2, og § 5, stk. 2. Det foreslås, at henvisningerne til FE-lovens § 4, stk. 2, og § 5, stk. 2, overalt i loven ændres til henvisninger til FE-lovens § 4, stk. 1, og § 5, stk. 1. Der er tale om konsekvensændringer i lyset af lovforslagets § 9, nr. 3 og 4.

Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 2

Det fremgår af FE-lovens § 4, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om generelle behandlingsprincipper), § 11, stk. 1 (om at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på entydig dokumentation eller som journalnummer), § 14 (om at person­o??plysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen) og § 41, stk. 1-4, og § 42 (om behandlingssikkerhed) finder anvendelse for FE's behandling af personoplysninger om en i Danmark hjemmehørende fysisk person. Det fremgår endvidere af FE-lovens § 5, stk. 1, at persondatalovens § 3 (om definitioner), § 5 (om generelle behandlingsprincipper), § 14 (om at personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen) og § 41, stk. 1-4, og § 42 (om behandlingssikkerhed) finder anvendelse for FE's behandling af oplysninger om i Danmark hjemmehørende juridiske personer.

Det foreslås at fastsætte en samlet bestemmelse som ny § 3 e i FE-loven, som indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i FE-loven, således at gældende ret fra disse bestemmelser videreføres. Ændringen skal ses i lyset af, at de gældende regler i persondatalovens § 3, § 5, § 11, stk. 1, § 14, § 41, stk. 1-4, og § 42 enten ikke vil fremgå af den nye databeskyttelseslov eller vil have et mindre ændret indhold, når databeskyttelsesforordningen får virkning i dansk ret. Der vurderes ikke at være behov for at indsætte definitionerne i persondatalovens § 3 i lovteksten i FE-loven, da begreberne i FE-loven fortsat vil skulle forstås på samme måde som i den nuværende udformning af FE-loven.

Bestemmelsen vil både omfatte FE's behandling af person­oplysninger om i Danmark hjemmehørende fysiske personer og FE's behandling af oplysninger om i Danmark hjemmehørende juridiske personer. Bestemmelsen vil skulle fortolkes i overensstemmelse med gældende ret efter den hidtil gældende persondatalov og vil således ikke skulle fortolkes i lyset af bestemmelserne i forslag til databeskyttelsesloven og databeskyttelsesforordningen og fremtidig praksis herom. Det bemærkes i den forbindelse, at Forsvarsministeriet af lovtekniske hensyn for at sikre overensstemmelse med FE-lovens terminologi har justeret ordlyden af de foreslåede bestemmelser i FE-lovens § 3 e, stk. 2 og 5 (som viderefører persondatalovens § 5, stk. 2 og 5), således at bestemmelsen omfatter behandling af oplysninger. Den foreslåede justering ændrer ikke på gældende ret.

Om FE-lovens § 4, stk. 1, og § 5, stk. 1, kan nærmere henvises til forarbejderne til lov nr. 602 af 12. juni 2013 om Forsvarets Efterretningstjeneste (FE), jf. Folketingstidende 2012-13, A, L 163 som fremsat, side 13-24. Om FE's behandling og sletning af oplysninger, herunder omfanget af persondatalovens § 5, stk. 5, der foreslås videreført som § 3 e, stk. 5, i FE-loven, kan endvidere henvises til forarbejderne til lov nr. 462 af 15. maj 2017 om ændring af lov om Forsvarets Efterretningstjeneste (FE) og toldloven, jf. Folketingstidende 2016-17, A, L 146 som fremsat, side 8 ff.

Det foreslås med lovforslagets § 8, nr. 3 og 4, samtidig at ophæve FE-lovens § 4, stk. 1, og § 5, stk. 1. Det forudsættes i forlængelse heraf, at forsvarsministeren med hjemmel i de eksisterende bemyndigelser i FE-lovens § 4, stk. 3, og § 5, stk. 3 (der med lovforslaget bliver § 4, stk. 2, og § 5, stk. 2), bemyndiges til at udstede administrative regler om behandlingssikkerhed hos FE, som vil træde i stedet for FE-lovens nuværende henvisninger til persondatalovens § 41, stk. 1-4, og § 42. Bemyndigelsen vil dog f.eks. også kunne benyttes til - i lyset af erfaringerne med databeskyttelsesforordningen - at fastsætte, at bestemmelser i databeskyttelsesforordningen om behandlingssikkerhed finder helt eller delvis anvendelse for FE. Det forudsættes i den forbindelse, at de administrative regler om behandlingssikkerhed som minimum lever op til det sikkerhedsniveau, som gælder efter gældende ret.

Det forudsættes i den forbindelse, at Forsvarsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til afsnit 2.7.2.2.1 i lovforslagets almindelige bemærkninger.

Til nr. 3 og 4

Det fremgår af FE-lovens § 4, stk. 1, at persondatalovens § 3, § 5, § 11, stk. 1, § 14, § 41, stk. 1-4, og § 42 finder anvendelse for FE's behandling af personoplysninger om i Danmark hjemmehørende fysiske personer. Det fremgår endvidere af FE-lovens § 5, stk. 1, at persondatalovens § 3, § 5, § 14, § 41, stk. 1-4, og § 42 finder anvendelse for FE's behandling af oplysninger om i Danmark hjemmehørende juridiske personer.

Som konsekvens af den foreslåede ophævelse af persondataloven i lyset af databeskyttelsesforordningen, foreslås det at ophæve FE-lovens § 4, stk. 1, og § 5, stk. 1.

Der henvises til afsnit 2.4.2.2.1 i de almindelige bemærkninger. Der henvises herudover til den foreslåede § 3 e i FE-loven, som indsætter ordlyden fra persondatalovens § 5, § 11, stk. 1, og § 14 i FE-loven, jf. lovforslagets § 8, nr. 2.

Til nr. 5

FE-lovens § 6 a, stk. 2, indeholder en henvisning til FE-lovens §§ 4 og 5.

I lyset af den foreslåede nye bestemmelse i FE-lovens § 3 e og den som følge heraf foreslåede ophævelse af FE-lovens § 4, stk. 1, og § 5, stk. 1, jf. lovforslagets § 8, nr. 2-4, er det nødvendigt at konsekvensrette henvisningerne i FE-lovens § 6 a, stk. 2. De foreslåede konsekvensrettelser er således alene af lovteknisk karakter og ændrer ikke på gældende ret efter FE-lovens § 6 a.

Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 6-8

Reglerne for FE's videregivelse af personoplysninger om i Danmark hjemmehørende fysiske personer til andre danske forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale organisationer er i dag reguleret i FE-lovens § 7, stk. 2, hvorefter FE-lovens § 4 finder anvendelse. Herudover finder persondatalovens § 8, stk. 2, anvendelse, hvis den i 1. pkt. nævnte videregivelse vedrører personoplysninger som nævnt i persondatalovens § 7, stk. 1, og § 8, stk. 1. For videregivelse af oplysninger om i Danmark hjemmehørende juridiske personer til andre danske forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale organisationer finder § 5 anvendelse på videregivelsen.

Som det fremgår af lovforslagets § 8, nr. 2-4, foreslås det at ophæve FE-lovens § 4, stk. 1, og § 5, stk. 1, for i stedet at videreføre hovedparten af bestemmelsernes indhold i en ny bestemmelse i FE-lovens § 3 e.

Det foreslås som konsekvens heraf at justere FE-lovens § 7, stk. 2, 1. pkt., som i dag kun henviser til FE-lovens § 4, så bestemmelsen både henviser til FE-lovens §§ 3 e og 4. Herudover foreslås en mindre sproglig tilpasning, der er en konsekvens af formuleringen af den foreslåede § 3 e.

Det foreslås endvidere at fastsætte i FE-lovens § 7, stk. 2, 2. pkt., at forslag til databeskyttelseslovens § 8, stk. 2, der er en uændret videreførelse af persondatalovens § 8, stk. 2, finder anvendelse, hvis videregivelsen vedrører oplysninger om rent private forhold.

Bestemmelsen indebærer således - som det også er tilfældet efter gældende ret - at FE kan videregive personoplysninger om rent private forhold til andre danske forvaltningsmyndigheder (end PET), private, udenlandske myndigheder og internationale organisationer, hvis 1) den registrerede har givet sit udtrykkelige samtykke til videregivelsen, 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår, 3) videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller 4) videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Med betegnelsen "rent private forhold" menes oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, dvs. de samme oplysninger som i dag er omfattet af ordlyden af persondatalovens § 7, stk. 1, og § 8, stk. 1.

Det foreslås endelig at justere FE-lovens § 7, stk. 3, så bestemmelsen både henviser til FE-lovens § 3 e, stk. 1-5 og 7, og til § 5. Det er ikke nødvendigt at henvise til den foreslåede § 3 e, stk. 6, i FE-loven, da den pågældende bestemmelse vedrører behandling af personnumre.

Der er tale om konsekvensændringer af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 9

Det fremgår af FE-lovens § 11, stk. 1, 2. pkt., at FE's virksomhed er undtaget fra persondataloven, jf. persondatalovens § 2, stk. 11 (nu § 2, stk. 10).

Med et samtidigt fremsat lovforslag foreslås det, at persondataloven ophæves og nyaffattes som en ny databeskyttelseslov, som tager højde for reglerne i databeskyttelsesforordningen. I den nye databeskyttelseslov flyttes bestemmelsen om, at loven (og fremover også databeskyttelsesforordningen) ikke finder anvendelser på den behandling af person­oplysninger, som udføres for eller af politiets og forsvarets efterretningstjenester, fra § 2, stk. 10, til § 3, stk. 2. Som en konsekvens heraf, foreslås det at ændre henvisningen til persondataloven i FE-lovens § 11, stk. 1, 2. pkt., så der frem­o?ver henvises til databeskyttelsesloven og databeskyttelsesforordningen, jf. § 3, stk. 2, i databeskyttelsesloven.

Det foreslås samtidig ud fra samme hensyn som nævnt i de føromtalte bemærkninger til FE-lovens § 11, stk. 2, 2. pkt., i lovteksten at præcisere, at FE's virksomhed ikke er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger. Det bemærkes, at lov om retshåndhævende myndigheders behandling af personoplysninger trådte i kraft den 30. april 2017.

Der er tale om lovtekniske justeringer, som ikke ændrer gældende ret.

Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.

Til nr. 10 og 11

Det fremgår bl.a. af FE-lovens § 11, stk. 2, at forsvarsmini?steren kan bestemme, at kapitel 8-10 i persondataloven helt eller delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens sikkerhedsgodkendelsessager og egne personalesager.

Det foreslås, at henvisningen til kapitel 8-10 i lov om behandling af personoplysninger udgår af FE-lovens § 11, stk. 2. Forslaget skal ses i lyset af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen.

Det foreslås endvidere at indsætte en bemyndigelsesbestemmelse i FE-lovens § 11, stk. 2, 2. pkt., således at forsvarsministeren kan fastsætte nærmere regler om, at forslag til databeskyttelsesloven (som supplerer reglerne i databeskyttelsesforordningen) og databeskyttelsesforordningen helt eller delvis finder anvendelse for behandling af personoplysninger for FE vedrørende tjenestens egne sikkerhedsgodkendelsessager og personalesager. Det forudsættes, at Forsvarsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Der henvises til afsnit 2.7.2.2.2 i lovforslagets almindelige bemærkninger.

Til nr. 12

Det fremgår bl.a. af FE-lovens § 18, stk. 2, at tilsynets virksomhed er undtaget fra persondataloven.

Som konsekvens af det samtidigt fremsatte forslag til en ny databeskyttelseslov i lyset af databeskyttelsesforordningen foreslås det, at henvisningen til persondataloven erstattes af en henvisning til den foreslåede nye databeskyttelseslov, databeskyttelsesforordningen og en henvisning til lov om retshåndhævende myndigheders behandling af personoplysninger, der trådte i kraft den 30. april 2017.

For så vidt angår lov om retshåndhævende myndigheders behandling af personoplysninger bemærkes det, at det fremgår af lovens § 1, stk. 1, at loven gælder for politiet, anklagemyndigheden, herunder den militære anklagemyndighed, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene. Forsvarsministeriet finder dog ud fra samme hensyn som dem, der ligger bag FE-lovens § 11, stk. 1, at dette også bør fremgå direkte af lovteksten i FE-loven.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Der henvises til afsnit 2.7.2.2.3 i lovforslagets almindelige bemærkninger.

Til § 9

Til nr. 1

Efter gældende regler i § 40, stk. 1, i lov om organisering og understøttelse af beskæftigelsesindsatsen mv. er den enkelte offentlige myndighed og arbejdsløshedskasse, der indberetter data til det fælles it-baserede datagrundlag, dataansvarlig, jf. lov om behandling af personoplysninger, for indberetningen og brug af data lokalt samt for at orientere de registrerede om registreringer i det fælles it-baserede data­grund?lag.

Det foreslås, at henvisningen til lov om behandling af perso?n­oplysninger ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 2

Efter gældende regler i § 41, stk. 1, i lov om organisering og understøttelse af beskæftigelsesindsatsen mv. kan kommunen i henhold til en skriftlig databehandleraftale, jf. § 42 i lov om behandling af personoplysninger, overlade oplysninger til en anden aktør om en persons beskæftigelsesprofil og forløb, den hidtidige indsats og øvrige forhold, som er nødvendige, for at den anden aktør kan gennemføre den aftalte beskæftigelsesindsats efter arbejdsmarkedslovgivningen. Efter § 42, stk. 2, i lov om behandling af personoplysninger skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale imellem den dataansvarlige og databehandleren. Den enkelte kommune er dataansvarlig i relation til andre aktører som databehandlere for kommunen, og aktøren må alene behandle oplysninger efter kommunens instruks.

Det foreslås, at henvisningen til § 42 i lov om behandling af personoplysninger ændres til en henvisning til databeskyttelsesforordningens artikel 28, stk. 3. Efter artikel 28, stk. 3, skal en databehandlers behandling være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.

Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Det fremgår af databeskyttelsesforordningens artikel 28, stk. 9, at databehandleraftalen skal være skriftlig, herunder digital. Kravet om skriftlighed svarer til de gældende regler i persondatalovens § 42, stk. 2.

Det fremgår af databeskyttelsesforordningens artikel 29, at databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun behandler disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Det forhold, at databehandleren kun handler efter den dataansvarliges instruks, svarer til de hidtil gældende krav om, at det skal fremgå af databehandleraftaler, at databehandleren alene handler efter den dataansvarliges instruks, jf. persondatalovens § 42, stk. 2.

Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til § 10

Til nr. 1

Efter gældende regler i § 4, stk. 1, i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) er den enkelte kommune dataansvarlig efter persondataloven for de data i Nemrefusi?on, som skal anvendes i kommunens sagsbehandling.

Kommunerne behandler efter gældende regler bl.a. person­o?plysninger i tilknytning til arbejdsgiveres anmodninger om udbetalinger af sygedagpengerefusion efter sygedagpengeloven og anmodninger om udbetalinger af løntilskud efter lov om en aktiv beskæftigelsesindsats.

Efter gældende regler i § 4, stk. 2, er Udbetaling Danmark dataansvarlig efter persondataloven for de data i Nemrefusi?on, som skal anvendes i Udbetaling Danmarks behandling af en sag om dagpenge efter barselsloven.

Det foreslås, at henvisningerne i § 4, stk. 1 og 2, til persondataloven ændres til henvisninger til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring giver ikke anledning til ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 2

Efter gældende regler i § 8, stk. 3, 1. pkt., i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) handler selskabet, der etablerer og driver Nemrefusion, efter instruks fra kommunerne.

Datatilsynet har i forbindelse med høringer om anden lovgivning anbefalet, at det indarbejdes, at selskabet "alene" handler efter kommunernes instruks.

Efter databeskyttelsesforordningens artikel 28, stk. 3, litra a, skal det være reguleret i en kontrakt eller et andet retligt dokument, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.

Det foreslås på denne baggrund, at det indarbejdes i bestemmelsen, at selskabet alene handler efter kommunernes dokumenterede instruks. Dette vil medføre at kommunernes instruks til selskabet - der førhen har kunnet gives i mindre formelle former - fremover vil skulle foreligge i skriftlig form.

Til nr. 3

Efter gældende regler i § 8, stk. 3, 2. pkt., i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion), skal selskabet, der etablerer og driver Nemrefusion, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.

Det foreslås, at henvisningen i § 8, stk. 3, 2. pkt., til lov om behandling af personoplysninger ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring giver ikke anledning til ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 4

Det er efter gældende regler i lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v. (Nemrefusion) obligatorisk for kommunerne at anvende it-løsningen Nemrefusion, der er etableret og drives af et af KL-ejet selskab.

Der er i loven fastsat regler om, at den enkelte kommune er dataansvarlig for behandlingen af oplysninger i Nemrefusion samt om, at selskabet, der som databehandler for kommunerne driver løsningerne, handler efter kommunens instruks.

Derved er det sikret, at de 98 kommuner ikke hver især skal indgå enslydende databehandleraftaler med selskabet, der driver Nemrefusion.

Databeskyttelsesforordningen indeholder i artikel 28 skærpede krav til form og indhold af de databehandleraftaler, der skal indgås mellem den dataansvarlige og databehandleren. Der henvises til de almindelige bemærkninger i lovforslagets afsnit 2.8.2.

Det foreslås, at beskæftigelsesministeren bemyndiges til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver og ansvar som dataansvarlig efter lovens § 8, stk. 1, og om selskabets opgaver og ansvar som databehandler. Bemyndigelsen vil kunne anvendes til at udstede regler, der - i overensstemmelse med forordningens artikel 28, stk. 3 - regulerer kommunernes og selskabets ansvar som henholdsvis dataansvarlige og databehandler.

Forslaget er begrundet i, at de hensyn, der gælder i forhold til fastsættelse af bestemmelser om den dataansvarliges og databehandlerenes forhold, opgaver og ansvar, i et andet retligt dokument end en databehandleraftale, fortsat gælder, når databeskyttelsesforordningen træder i kraft. Det er således vurderingen, at det fortsat ikke er hensigtsmæssigt, at de 98 kommuner vil skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Nemrefusion.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der skal udgøre det "retlige dokument", som regulerer databehandlerens behandling af personoplysninger, jf. forordningens artikel 28, stk. 3. Udmøntningen vil skulle ske i overensstemmelse med de konkrete krav, som følger af forordningens artikel 28. At denne regulering sker i bekendtgørelsesform, giver mulighed for at ajourføre det "retlige dokument" i tilfælde af ændret praksis eller ændret fortolkning af databeskyttelsesforordningen, uden at dette medfører et krav om indgåelse af nye databehandleraftaler for alle 98 kommuner.

Til § 11

Til nr. 1

Det fremgår af § 10, stk. 1, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne, at et af KL 100 pct. ejet aktieselskab etablerer og driver it-løsningen Ydelsesrefusion, som opgør den kommunale refusion og medfinansiering af en lang række forsørgelsesydelser inden for Beskæftigelsesministeriets område.

Efter gældende regler i § 10, stk. 3, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne handler selskabet, der etablerer og driver Ydelsesrefusion, alene efter instruks fra kommunerne.

Efter databeskyttelsesforordningens artikel 28, stk. 3, litra a, skal det være reguleret i en kontrakt eller et andet retligt dokument, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.

Det foreslås på denne baggrund, at det indarbejdes i § 10, stk. 3, at selskabet alene handler efter kommunernes dokumenterede instruks. Dette vil medføre at kommunernes instruks til selskabet - der førhen har kunnet gives i mindre formelle former - fremover vil skulle foreligge i skriftlig form.

Til nr. 2

Efter gældende regler i § 14, stk. 2, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne er den enkelte kommune dataansvarlig efter persondataloven for behandlingen af oplysninger, der i Ydelsesrefusion anvendes ved opgørelse af kommunens refusion og medfinansiering, herunder for kommunens overladelse af oplysninger til brug herfor til selskabet nævnt i samme lovs § 10, stk. 1.

Det fremgår af § 10, stk. 1, at der er tale om et af KL 100 pct. ejet aktieselskab, der etablerer og driver it-løsningen Ydelsesrefusion, som opgør den kommunale refusion og medfinansiering af en lang række forsørgelsesydelser inden for Beskæftigelsesministeriets område.

Det foreslås, at henvisningerne i § 14, stk. 2, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring medfører ikke ændringer i retstilstanden, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 3

Det er efter gældende regler i § 11 i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne, obligatorisk for kommunerne at anvende it-løsningen Ydelsesrefusion, der etableres og drives af et af KL ejet selskab.

Der er i lovens § 14, stk. 2, fastsat regler om, at den enkelte kommune er dataansvarlig for behandlingen af oplysninger i Ydelsesrefusion. Det fremgår videre af lovens § 10, stk. 3, at selskabet, der som databehandler for kommunerne etablerer og driver Ydelsesrefusion, alene handler efter kommunens instruks.

Derved er det sikret, at de 98 kommuner ikke hver især skal indgå enslydende databehandleraftaler med selskabet, der driver Nemrefusion og Ydelsesrefusion.

Databeskyttelsesforordningen indeholder i artikel 28 skærpede krav til form og indhold af de databehandleraftaler, der skal indgås mellem den dataansvarlige og databehandleren. Der henvises til de almindelige bemærkninger til lovforslagets afsnit 2.8.2.

Det foreslås, at beskæftigelsesministeren bemyndiges til efter forhandling med KL at fastsætte nærmere regler om kommunens opgaver og ansvar som dataansvarlig efter lovens § 14, stk. 2, og om selskabets opgaver og ansvar som databehandler. Bemyndigelsen vil kunne anvendes til at udstede regler, der - i overensstemmelse med forordningens artikel 28, stk. 3 - regulerer kommunernes og selskabets ansvar som henholdsvis dataansvarlige og databehandler.

Forslaget er begrundet i, at de hensyn, der gælder i forhold til fastsættelse af bestemmelser om den dataansvarliges og databehandlerenes forhold, opgaver og ansvar, i et andet retligt dokument end en databehandleraftale, fortsat gælder, når databeskyttelsesforordningen træder i kraft. Det er således ministeriets vurdering, at det fortsat ikke er hensigtsmæssigt, at de 98 kommuner vil skulle indgå enslydende databehandleraftaler med selskabet, der etablerer og driver it-løsningen Ydelsesrefusion.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der skal udgøre det "retlige dokument", som regulerer databehandlerens behandling af personoplysninger, jf. forordningens artikel 28, stk. 3. Udmøntningen vil skulle ske i overensstemmelse med de konkrete krav, som følger af forordningens artikel 28. At denne regulering sker i bekendtgørelsesform, giver mulighed for at ajourføre det "retlige dokument" i tilfælde af ændret praksis eller ændret fortolkning af forordningen, uden at dette medfører et krav om indgåelse af nye databehandleraftaler for alle 98 kommuner.

Til nr. 4

Efter gældende regler i § 16 stk. 1, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne skal selskabet nævnt i § 10, stk. 1, som databehandler for kommunerne, jf. § 19, sikre, at der udarbejdes en uafhængig revisorerklæring om selskabets overholdelse af persondataloven og regler fastsat i medfør heraf. Revisorerklæringen skal udarbejdes hvert år.

Det foreslås, at henvisningerne i § 16, stk. 1, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring medfører ikke ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 5

Efter gældende regler i § 19, stk. 2, 1. pkt., i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne skal selskabet nævnt i § 10, stk. 1, som etablerer og driver it-løsningen Ydelsesrefusion, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven og regler fastsat i medfør heraf.

Det foreslås, at henvisningerne i § 19, stk. 2, 1. pkt., til persondataloven ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring medfører ikke ændringer i gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til nr. 6

Efter gældende regler i § 27, stk. 4, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne er Styrelsen for Arbejdsmarked og Rekruttering dataansvarlig efter persondataloven for behandlingen af de oplysninger, der anvendes til opgørelse af refusion og medfinansiering efter lovens § 27, stk. 2 og 3.

Bestemmelsen regulerer Styrelsen for Arbejdsmarked og Rekrutterings dataansvar for behandling af personoplysninger i den interimsløsning, der anvendes til opgørelse af kommunernes refusion og medfinansiering, indtil Ydelsesrefusi?on sættes i drift.

Det foreslås, at henvisningerne i § 27, stk. 4, til persondataloven ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven. Forslaget er en konsekvens af, at databeskyttelsesforordningen får virkning fra den 25. maj 2018.

Den foreslåede ændring medfører ikke ændringer i den gældende retstilstand, bortset fra henvisningen til persondatareglerne. Henvisningen til databeskyttelsesforordningen og forslag til databeskyttelsesloven i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

Til § 12

Til nr. 1

Efter § 1 i lov om gennemsigtighed og åbenhed i uddannelserne m.v. skal oplysninger om undervisning, uddannelser, skoler og uddannelsesinstitutioner efter bestemmelserne i loven være offentligt tilgængelige på internettet, så borgerne enkelt og hurtigt kan vurdere kvaliteten af undervisningen på de enkelte skoler og institutioner. Det følger af lovens § 1, stk. 4, at loven ikke gælder for oplysninger, der er omfattet af lov om behandling af personoplysninger. Det gælder således oplysninger om enkeltpersoner som fx lærere og ele?ver.

Foranlediget af databeskyttelsesforordningen, der har direkte virkning i Danmark fra den 25. maj 2018, foreslås en præcisering af bestemmelsen, så det står klart, at lov om gennemsigtighed og åbenhed i uddannelserne m.v. fortsat ikke gælder for oplysninger, der er omfattet databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til § 13

Til nr. 1

Efter § 18 i lov om godtgørelse og tilskud til befordring ved deltagelse i erhvervsrettet voksen- og efteruddannelse kan undervisningsministeren oprette et eller flere elektroniske registre, der indeholder oplysninger om godtgørelse og tilskud til befordring efter loven og regler fastsat i medfør heraf. Registrene danner grundlag for udarbejdelsen af statistik og det tilsyn, som staten skal fører med arbejdsløshedskassernes og uddannelsesstedernes administration af godtgørelse og tilskud til befordring. Det følger af lovens § 18, stk. 4, at § 35 i persondataloven ikke finder anvendelse i denne situation.

Efter persondatalovens § 35 kan den registrerede til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Hvis indsigelsen er berettiget, må behandlingen ikke længere omfatte de pågældende oplysninger.

Undtagelsesbestemmelsen til persondatalovens § 35 betyder således, at registrerede personer ikke kan gøre indsigelse mod, at oplysninger om de pågældende gøres til genstand for behandling i relation til godtgørelse og tilskud til befordring. Bestemmelsen blev indført på baggrund af digitaliseringen af VEU-administrationen.

Det foreslås, at undtagelsen til persondatalovens § 35 ikke videreføres.

Efter databeskyttelsesforordningen artikel 21, stk. 1, har den registrerede således til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger baseret på forordningens artikel 6, stk. 1, litra e eller f. Hvis den registrerede gør indsigelse, må den dataansvarlige ikke længere behandle oplysningerne. Forbuddet mod fortsat behandling gælder dog ikke, hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, sådan som det f.eks. vil være tilfældet i forhold til vurderingen af den registreredes adgang til at opnå godtgørelse eller tilskud til befordring. Da databeskyttelsesforordningen har umiddelbar virkning, er det derfor ikke nødvendigt at opretholde undtagelsesbestemmelsen i lovens § 18, stk. 4, til persondatalovens § 35.

Til § 14

Til nr. 1

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til § 15

Til nr. 1

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til § 16

Til nr. 1

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til § 17

Til nr. 1

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til nr. 2

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til nr. 3 og 4

Der er tale om konsekvensændringer som følge af databeskyttelsesforordningen og forslag til databeskyttelseslovens ikrafttræden og ophævelsen af persondataloven.

Den gældende tilsynsordning i Danmark bliver videreført i forslag til databeskyttelsesloven, således at Datatilsynet - ligesom efter persondataloven - fører det generelle tilsyn med behandling af personoplysninger efter forordningen og forslag til databeskyttelseslovens regler. Forordningen indebærer således, at Datatilsynet har tilsynskompetence på alle områder inden for dansk jurisdiktion omfattet af forordningens anvendelsesområde, herunder områder undergivet dansk særregulering fastsat i overensstemmelse med forordningen. Det gælder dog ikke behandling af oplysninger for domstolene, som er undergivet Domstolsstyrelsens tilsynskompetence.

Reglerne om Datatilsynets samarbejde med tilsynsmyndigheden i andre medlemsstater følger direkte af databeskyttelsesforordningens kapitel VII.

Datatilsynet kan indgå i dialog med Finanstilsynet og Forbrugerombudsmanden i forbindelse med Datatilsynets samarbejde med udenlandske myndigheder efter databeskyttelsesforordningen.

Til nr. 5

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningens artikel 6, stk. 1, litra b.

Til § 18

Til nr. 1

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningens ikrafttræden og ophævelsen af lov om behandling af personoplysninger. Der henvises i stedet til databeskyttelsesforordningens kapitel 2 og forslag til databeskyttelseslovens kapitel 3.

Til § 19

Til nr. 1

Efter de gældende regler i § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester kan oplysninger som nævnt i lovens § 31, stk. 5, nr. 2, jf. stk. 4 (dvs. oplysninger om hemmelige og udeladte numre), alene videregives af forsyningspligtudbyderens landsdækkende nummeroplysning?s­tjeneste til brug for offentlige alarmtjenester, politiet, statsadvokaterne, retterne eller restanceinddrivelsesmyndigheden.

De nævnte oplysninger kan ikke i dag videregives til kriminalforsorgen.

Det følger endvidere af bemærkningerne til bestemmelsen, at retterne og restanceinddrivelsesmyndighedens adgang til indhentelse af oplysninger om telefonnumre, herunder hemmelige telefonnumre i nummeroplysningsdatabasen ("118") er begrænset til indhentelse som led i telefonforkyndelser. Der er således ikke i dag adgang til at indhente disse oplysninger til brug for efterfølgende påmindelser pr. sms om tid og sted, hvis der ikke er foretaget telefonforkyndelse, for et retsmøde, jf. retsplejelovens § 154 a, stk. 1, nr. 6.

Det foreslås, at § 31, stk. 6, i lov om elektroniske kommunikationsnet og -tjenester ændres, således at kriminalforsorgen medtages i opregningen af de myndigheder, hvortil numme?roplysningsdata som nævnt i lovens § 31, stk. 5, nr. 2, kan videregives.

Det foreslås endvidere, at ordet "retterne" i § 31, stk. 6, ændres til "de enkelte retter".

De foreslåede ændringer vil indebære, at nummer­oplysningsdata som nævnt i lovens § 31, stk. 5, nr. 2, også vil kunne videregives til kriminalforsorgen til brug for påmindelser om afsoning, møder i kriminalforsorgen mv., når der indledningsvis er sendt tilsigelse på sædvanlig vis, samt at retternes adgang til at indhente oplysninger om telefonnumre, herunder hemmelige telefonnumre, i nummeroplysningsdatabasen ("118") udvides til også at omfatte opslag til brug for påmindelser pr. sms om tid og sted for et retsmøde, jf. retsplejelovens § 154 a, stk. 1, nr. 6, når der er sket forkyndelse i overensstemmelse med retsplejeloven.

Med forslaget forudsættes det, at kun de personer ved retterne, der beskikkes til at foretage forkyndelser, og de personer ved kriminalforsorgsområderne og i Direktoratet for Kriminalforsorgen, der udpeges til at foretagetilsigelser til afsoning og til fremmøde i afdelinger under Kriminalforsorgen i Frihed, får adgang til oplysninger om de hemmelige telefonnumre i nummeroplysningsdatabasen ("118"), og at behandlingen af de pågældende telefonnumre skal ske i overensstemmelse med databeskyttelsesforordningen, forslag til databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Der henvises i øvrigt til afsnit 2.9 i lovforslagets almindelige bemærkninger.

Til nr. 2

Lov om elektroniske kommunikationsnet og -tjenesters § 45, stk. 1, definerer, hvad en forpligtelse til regnskabsmæssig opsplitning i henhold til telelovens § 41, stk. 2, nr. 4, omfatter. Det fremgår af bestemmelsen, at der med en forpligtelse til en regnskabsmæssig opsplitning forstås en forpligtelse til, at udbydere med en stærk markedsposition skal udarbejde regnskaber for bestemte aktiviteter i forbindelse med netadgang. Det fremgår af § 45, stk. 2, der implementerer artikel 11, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/19/EF af 7. marts 2002 om adgang til og samtrafik mellem elektroniske kommunikationsnet og tilhørende faciliteter (adgangsdirektivet), at offentliggørelse af regnskabsoplysninger, herunder oplysninger om indtægter, skal ske under respekt af regler om tavshedspligt, herunder regler i forvaltningsloven og lov om behandling af personoplysninger.

Lov om elektroniske kommunikationsnet og -tjenesters § 72, stk. 1, implementerer artikel 15 i adgangsdirektivet og indebærer, at afgørelser, der træffes efter § 33, stk. 2, og §§ 38-41, og som omfatter afgørelser om generel regulering af telemarkedet, gøres offentligt tilgængelige. § 72, stk. 2, indebærer, at andre afgørelser end dem, der er omhandlet i stk. 1, hvilket omfatter afgørelser af almen interesse eller af betydning for forståelsen af denne lovs bestemmelser eller regler udstedt i medfør heraf, kan offentliggøres efter en konkret vurdering. Formålet med bestemmelsen er at skabe gennemsigtighed om den aktuelle regulering af telemarkedet. Det fremgår af § 72, stk. 3, at offentliggørelse skal ske inden for rammerne af regler om tavshedspligt, herunder reglerne i forvaltningsloven og lov om behandling af personoplysninger.

Persondataloven ophæves i forbindelse med, at databeskyttelsesforordningen finder anvendelse og vil blive erstattet dels af databeskyttelsesforordningen og dels af forslag til databeskyttelsesloven.

Det foreslås at ændre den gældende lov om elektroniske kommunikationsnet og -tjenesters § 45, stk. 2, og § 72, stk. 3, således at henvisningen til lov om behandling af personoplysninger ændres, som følge af, at persondataloven ophæves og databeskyttelsesforordningen samt forslag til databeskyttelsesloven finder anvendelse den 25. maj 2018. Henvisningen skal således tilpasses databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Der er tale om en justering af lovteknisk karakter, som ikke ændrer på gældende ret.

Til § 20

Til nr. 1

Efter den gældende bestemmelse i sundhedslovens § 37, stk. 1, 1. pkt., har den, om hvis helbredsforhold, der er udarbejdet patientjournaler mv., på anmodning ret til aktindsigt heri. Efter den gældende bestemmelse i sundhedslovens § 37, stk. 1, 2. pkt., har patienten endvidere på anmodning ret til på en letforståelig måde at få meddelelse om, hvilke oplysninger der behandles i patientjournalen mv., formålet hermed, kategorierne af modtagere af oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer. Bestemmelsen er formuleret som en indsigtsregel, der svarer til den ret til indsigt, den registrerede har efter § 31 i lov om behandling af personoplysninger.

Sundhedslovens § 37, stk. 1, 1. og 2. pkt. gælder både for manuelle og elektroniske patientjournaler.

Det foreslås at ændre bestemmelsen i § 37, stk. 1, 2. pkt., som en konsekvens af databeskyttelsesforordningen. Det følger således af EU-retlige regler, at en forordning er almengyldig og gælder umiddelbart i hver medlemsstat. Det indebærer, at forordningen ikke må gennemføres i national ret. Det bemærkes i den forbindelse, at sundhedslovens § 37, stk. 1, 2. pkt., giver patienten en mere begrænset ret til indsigt, end den ret til indsigt, som følger af databeskyttelsesforordningen. Patientens ret til indsigt bliver således med databeskyttelsesforordningen udvidet, idet den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens artikel 15, ud over de oplysninger der skal gives meddelelse om efter sundhedslovens § 37, stk. 1, 2. pkt., bl.a. skal oplyse den registrerede om opbevaringsperioden samt retten til berigtigelse, sletning og indgivelse af klager.

Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. databeskyttelsesforordningens artikel 2, stk. 1. Begrebet "automatisk databehandling" er sammenfaldende med begrebet "elektronisk databehandling".

Indsigtsretten efter databeskyttelsesforordningens artikel 15 omfatter således alene oplysninger i patientjournaler, der helt eller delvis behandles ved hjælp af elektronisk databehandling, eller som er eller vil blive indeholdt i et register.

Det betyder, at retten til indsigt efter databeskyttelsesforordningen vil gælde for patientoplysninger, der er registreret i elektroniske patientjournaler. Det bemærkes i den forbindelse, at langt de fleste patientjournaler efterhånden er overgået fra at være registreret i en manuel, papirbaseret journal til at være registreret i elektroniske systemer.

Manuelle patientjournaler vedrørende de enkelte patienter vil derimod sædvanligvis være af en sådan karakter, at de ikke kan antages at udgøre et register i databeskyttelsesforordningens forstand. Indsigtsretten efter databeskyttelsesforordningen vil derfor som udgangspunkt ikke gælde for patientoplysninger, der er registreret i manuelle patientjournaler.

Det foreslås på den baggrund at videreføre indsigtsretten i sundhedslovens § 37, stk. 1, 2. pkt., for så vidt angår manuelle patientjournaler. "Manuelle patientjournaler" skal i forlængelse heraf forstås som patientjournaler, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.

For så vidt angår patientjournaler, der er omfattet af databeskyttelsesforordningens anvendelsesområde, vil indsigtsretten følge direkte af databeskyttelsesforordningen artikel 15.

Sundhedslovens § 37, stk. 1, 1. pkt., hvoraf det fremgår, at den, om hvis helbredsforhold der er udarbejdet patientjournaler mv., på anmodning har ret til aktindsigt heri, vil fortsat gælde for både elektroniske og manuelle patientjournaler.

Til nr. 2

Efter den gældende bestemmelse i sundhedslovens § 41, stk. 5, skal en patient, når der sker videregivelse af helbredsoplysninger mv. efter sundhedslovens § 41, stk. 2, nr. 4, som udgangspunkt orienteres om videregivelsen, samt formålet med videregivelsen. Videregivelse efter sundhedslovens § 41, stk. 2, nr. 4, kan ske uden samtykke fra patienten, hvis videregivelsen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, sundhedspersonen eller andre. Orientering efter sundhedslovens § 41, stk. 5, kan dog udelades, hvis der er hjemmel hertil i anden lovgivning, eller hvis det sker af hensyn til offentlige eller private interesser svarende til dem, der beskyttes i denne lovgivning. Med anden lovgivning sigtes navnlig til persondatalovens regler om oplysningspligt. Pligten til at orientere efter § 41, stk. 5, kan således undlades i samme omfang, som den dataansvarlige kan undlade at opfylde sin oplysningspligt efter persondataloven.

Det foreslås som en konsekvens af databeskyttelsesforordningen at begrænse anvendelsesområdet for § 41, stk. 5, således at orienteringspligten alene gælder ved manuel videregivelse af helbredsoplysninger mv.

"Manuel videregivelse" skal forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.

Det bemærkes i den forbindelse, at den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens artikel 13 og artikel 14 vil have pligt til at give patienten en række oplysninger, når der indsamles oplysninger hos patienten, og når der indsamles oplysninger om den registrerede hos andre end patienten.

Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. databeskyttelsesforordningens artikel 2, stk. 1. Begrebet "automatisk databehandling" er sammenfaldende med begrebet "elektronisk databehandling".

Oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 gælder således alene i det omfang videregivelsen af personoplysningerne i medfør af sundhedslovens § 41, stk. 2, nr. 5, foretages helt eller delvis ved hjælp af elektronisk databehandling, eller er eller vil blive indeholdt i et manuelt register.

Det bemærkes i den forbindelse, at manuelle patientjournaler vedrørende de enkelte patienter sædvanligvis vil være af en sådan karakter, at de ikke kan antages at udgøre et manuelt register i databeskyttelsesforordningens forstand.

Oplysningspligten efter databeskyttelsesforordningen vil således gælde i forbindelse med videregivelse af helbredsoplysninger mv. fra elektroniske patientjournaler. Det gælder, uanset om videregivelsen sker elektronisk eller manuelt, jf. U 2011.2343 H, hvor en sagsbehandlers mundtlige videregivelse af personoplysninger, der var registreret elektronisk, blev anset for at være omfattet af persondatalovens almindelige anvendelsesområde, jf. persondatalovens § 1, stk. 1. Bestemmelsen i persondatalovens § 1, stk. 1, svarer i vidt omfang til databeskyttelsesforordningens artikel 2, stk. 1.

Oplysningspligten efter databeskyttelsesforordningen vil desuden gælde, når helbredsoplysninger mv. videregives fra manuelle patientjournaler, hvis oplysningerne videregives elektronisk, f.eks. ved at en sundhedsperson scanner helbredsoplysninger mv. fra en manuel patientjournal og sender oplysningerne med digital post, eller hvis de helbredsoplysninger mv., der videregives fra en manuel patientjournal, indgår i en elektronisk patientjournal hos modtageren af oplysningerne.

I det omfang videregivelsen af helbredsoplysninger mv. er omfattet af databeskyttelsesforordningens almindelige anvendelsesområde, jf. forordningens artikel 2, stk. 1, vil den foreslåede ændring således indebære, at den dataansvarlige region, privatpraktiserende læge m.fl. alene skal opfylde oplysningspligten efter databeskyttelsesforordningen. Det bemærkes i den forbindelse, at langt de fleste patientoplysninger efterhånden er overgået fra at være registreret i en manuel journal til at være registreret i elektroniske systemer.

Da der imidlertid fortsat i et vist omfang manuelt videregives helbredsoplysninger mv., foreslås det at bibeholde forpligtelsen til at orientere patienten, når helbredsoplysninger mv. videregives manuelt efter sundhedslovens § 41, stk. 2, nr. 4. "Manuel videregivelse" skal i forlængelse heraf forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.

Til nr. 3

Efter den gældende bestemmelse i sundhedslovens § 43, stk. 4, skal en patient, hvis der sker videregivelse af helbredsoplysninger mv. efter sundhedslovens § 43, stk. 2, nr. 2, som udgangspunkt orienteres om videregivelsen, samt formålet med videregivelsen. Videregivelse efter sundhedslovens § 43, stk. 2, nr. 3, kan ske uden samtykke fra patienten, hvis videregivelsen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, sundhedspersonen eller andre. Orientering kan dog udelades, hvis der er hjemmel hertil i anden lovgivning, eller hvis det sker af hensyn til offentlige eller private interesser svarende til dem, der beskyttes i denne lovgivning. Med anden lovgivning sigtes navnlig til persondatalovens regler om oplysningspligt. Pligten til at orientere efter § 41, stk. 5, kan således undlades i samme omfang, som den dataansvarlige kan undlade at opfylde sin oplysningspligt efter persondataloven.

Det foreslås som en konsekvens af databeskyttelsesforordningen at begrænse anvendelsesområdet for orienteringspligten i § 43, stk. 4, til at gælde ved manuel videregivelse af helbredsoplysninger mv.

"Manuel videregivelse" skal forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.

Det bemærkes i den forbindelse, at den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens artikel 13 og artikel 14 vil have pligt til at give patienten en række oplysninger, når der indsamles oplysninger hos patienten, og når der indsamles oplysninger om den registrerede hos andre end patienten.

Databeskyttelsesforordningen gælder for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. databeskyttelsesforordningens artikel 2, stk. 1. Begrebet "automatisk databehandling" er sammenfaldende med begrebet "elektronisk databehandling".

Oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 gælder således alene i det omfang videregivelsen af personoplysningerne i medfør af sundhedslovens § 43, stk. 4, foretages helt eller delvis ved hjælp af elektronisk databehandling, eller, hvis de omhandlede personoplysninger, der videregives, er eller vil blive indeholdt i et manuelt register.

Det bemærkes i den forbindelse, at manuelle patientjournaler vedrørende de enkelte patienter sædvanligvis vil være af en sådan karakter, at de ikke kan antages at udgøre et manuelt register i databeskyttelsesforordningens forstand.

Oplysningspligten efter databeskyttelsesforordningen vil således gælde i forbindelse med videregivelse af helbredsoplysninger mv. fra elektroniske patientjournaler. Det gælder uanset om videregivelsen sker elektronisk eller manuelt, jf. U 2011.2343 H, hvor en sagsbehandlers mundtlige videregivelse af personoplysninger, der var registreret elektronisk, blev anset for at være omfattet af persondatalovens almindelige anvendelsesområde, jf. persondatalovens § 1, stk. 1. Persondatalovens § 1, stk. 1, svarer i vidt omfang til databeskyttelsesforordningens artikel 2, stk. 1.

Oplysningspligten efter databeskyttelsesforordningen vil desuden gælde, når helbredsoplysninger mv. videregives fra manuelle patientjournaler, hvis oplysningerne videregives elektronisk, f.eks. ved at en sundhedsperson scanner helbredsoplysninger mv. fra en manuel patientjournal og sender oplysningerne med digital post, eller hvis de helbredsoplysninger mv., der videregives fra en manuel patientjournal indgår i en elektronisk patientjournal hos modtageren af oplysningerne.

I det omfang videregivelsen af helbredsoplysninger mv. er omfattet af databeskyttelsesforordningens almindelige anvendelsesområde, jf. forordningens artikel 2, stk. 1, vil den foreslåede ændring således indebære, at den dataansvarlige region, privatpraktiserende læge m.fl. alene skal opfylde oplysningspligten efter databeskyttelsesforordningen. Det bemærkes i den forbindelse, at langt de fleste patientoplysninger efterhånden er overgået fra at være registreret i en manuel journal til at være registreret i elektroniske systemer.

Da der imidlertid fortsat i et vist omfang manuelt videregives helbredsoplysninger mv., foreslås det at bibeholde forpligtelsen til at orientere patienten, når der manuelt videregives helbredsoplysninger mv. efter sundhedslovens § 43, stk. 4. "Manuel videregivelse" skal i forlængelse heraf forstås som videregivelse, der ikke er omfattet af forordningens almindelige anvendelsesområde, jf. databeskyttelsesforordningens artikel 2, stk. 1.

Til nr. 4

Efter den gældende bestemmelse i § 196, stk. 3, kan sundheds- og ældreministeren bestemme, at den registrerede skal have indsigtsret i oplysninger, der er registreret om vedkommende i de kliniske kvalitetsdatabaser, som er nævnt i § 196, stk. 2.

Bemyndigelsesbestemmelsen i § 196, stk. 3, er udmøntet ved § 5 i bekendtgørelse nr. 909 af 26. juni 2016 om indberetning til godkendte kliniske kvalitetsdatabaser og videregivelse af data til Sundhedsdatastyrelsen. Det fremgår af denne bestemmelse, at den, der er registreret i en klinisk kvalitetsdatabase, hos den dataansvarlige for kvalitetsdatabasen kan anmode om at få indsigt i de oplysninger, der behandles om vedkommende. Det fremgår desuden, at henvendelsen skal behandles efter reglerne i §§ 31-34 i persondataloven bortset fra § 32, stk. 4, der ikke finder anvendelse på kliniske kvalitetsdatabaser.

Den, der er registreret i en klinisk kvalitetsdatabase har efter gældende regler - ud over indsigtsretten - de øvrige rettigheder, der følger af persondataloven, herunder retten til indsigelse mod behandling af personoplysninger, jf. persondatalovens § 35, og retten til berigtigelse, sletning eller blokering af personoplysninger, jf. persondatalovens § 37. Den registreredes rettigheder, herunder den registreredes indsigtsret, vil med virkning fra den 25. maj 2018 følge direkte af databeskyttelsesforordningen.

Det foreslås på den baggrund at nyaffatte sundhedslovens § 196, stk. 3, således, at det fremgår af bestemmelsen, at de rettigheder, som den, der er registreret i en klinisk kvalitetsdatabase, har efter databeskyttelsesforordningen, kan begrænses efter den foreslåede bestemmelse i databeskyttelseslovens § 22, bortset fra denne bestemmelses stk. 5, der ikke finder anvendelse på kliniske kvalitetsdatabaser.

Det følger af forslag til databeskyttelseslovens § 22, stk. 5, at databeskyttelsesforordningens artikel 15, 16, 18 og 21, ikke finder anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt øjemed, eller til at udarbejde statistikker

Artikel 15 vedrører den registreredes indsigtsret, artikel 16 vedrører den registreredes ret til berigtigelse, artikel 18 ve?drører den registreredes ret til begrænsning af behandling og artikel 21 ve??d­­­rører den registreredes ret til indsigelse.

Med den foreslåede bestemmelse i sundhedslovens § 196, stk. 3, videreføres de rettigheder, som den, der er registreret i en klinisk kvalitetsbase, allerede har i dag med de konsekvensændringer, der er nødvendige som følge af databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Til § 21

Til nr. 1

Forslaget er en konsekvensændring som følge af databeskyttelsesforordningen.

Til § 22

Til nr. 1

Forslaget er en konsekvensændring som følge af databeskyttelsesordningen.

Til § 23

Til nr. 1

Forslaget er en konsekvensændring som følge af databeskyttelsesordningen.

Til § 24

Til nr. 1

I udlændingelovens § 44 a, stk. 12, 1. pkt., og § 44 a, stk. 12, 3. pkt., henvises til persondatalovens § 7, stk. 8.

Det foreslås, at udlændingelovens § 44 a ophæves som konsekvens af, at persondatalovens § 7, stk. 8, ophæves i forslag til databeskyttelsesloven. Det er ikke længere relevant at undtage visse behandlinger i udlændingeloven fra persondatalovens § 7, stk. 8, idet bestemmelsen ophæves, når forslag til databeskyttelsesloven og databeskyttelsesforordningen finder anvendelse den 25. maj 2018. Retstilstanden vil herefter være uændret.

Til § 25

Til nr. 1

Det følger af CPR-lovens § 4, stk. 2, 1. pkt., at en anmodning fra en person over 15 år om indsigt i oplysninger i CPR om vedkommende selv, jf. § 31, stk. 1, i lov om behandling af personoplysninger, skal fremsættes ved anvendelse af den digitale selvbetjeningsløsning, som Økonomi- og Indenrigsministeriet stiller til rådighed (digital selvbetjening).

Indsigtsretten følger af den nugældende persondatalovs § 31, stk. 1, mens reglerne om anmodning om registerindsigt i CPR, der er underlagt obligatorisk digital selvbetjening, findes i CPR-loven.

Det foreslås, at henvisningen i CPR-lovens § 4, stk. 2, 1. pkt., til reglen om indsigtsretten i den nugældende persondatalovs § 31, stk. 1, ændres til en henvisning til databeskyttelsesforordningens artikel 15, stk. 1, som bliver det fremtidige hjemmelsgrundlag.

Forslaget er en konsekvens af databeskyttelsesforordningens ikrafttræden og ophævelsen af den nugældende persondatalovs § 31, stk. 1.

Det er vurderet, at det inden for rammerne af databeskyttelsesforordningens artikel 15, stk. 3, der vedrører den dataansvarliges meddelelse af indsigten, herunder meddelelse i elektronisk form, er muligt at bevare den gældende ordning i CPR-lovens § 4, stk. 3, hvorefter en anmodning om registerindsigt alene besvares via den digitale selvbetjeningsløsning.

Til nr. 2

Det fremgår af CPR-lovens § 29, stk. 2, 1. pkt., at enhver ved henvendelse til sin bopælskommune har ret til at få indsat en markering i CPR om, at den pågældende frabeder sig henvendelser, der sker i markedsføringsøjemed.

Efter CPR-lovens § 29, stk. 2, 2. pkt., giver en sådan markering dels den beskyttelse mod markedsføring, der er fastsat i markedsføringslovens § 6 sammenholdt med CPR-lovens § 40, stk. 4 og 5, dels den beskyttelse mod videregivelse mv. til brug ved anden virksomheds markedsføring, der er fastsat i § 36 i lov om behandling af personoplysninger.

Bestemmelsen i CPR-lovens § 29, stk. 2, er en del af ordningen vedrørende markedsføringsbeskyttelse for forbrugere, der er reguleret i henholdsvis markedsføringsloven og i den nugældende persondatalov.

Det foreslås, at henvisningen i CPR-lovens § 29, stk. 2, 2. pkt., til markedsføringslovens § 6 ændres til en henvisning til markedsføringslovens § 10.

Ved lov nr. 426 af 3. maj 2017 om markedsføring blev reguleringen af den beskyttelse mod markedsføring som tidligere var fastsat i markedsføringslovens § 6 videreført med få justeringer ved lovens § 10. Der henvises herom til bemærkningerne til forslaget til denne lov, jf. Folketingstidende 2016-17, A, L 40 som fremsat, side 59.

Der blev ikke i den forbindelse foretaget de nødvendige konsekvensændringer i CPR-lovens § 29, stk. 2, 2. pkt.

Ved forslaget sikres henvisning til den rette bestemmelse i markedsføringsloven.

Den foreslåede ændring er af redaktionel karakter, og vedrører alene henvisningerne i CPR-lovens § 29, stk. 2, 2. pkt., til de ovennævnte regler i anden lovgivning, hvori selve beskyttelsen også fremover vil være reguleret.

Det foreslås endvidere, at henvisningen i CPR-lovens § 29, stk. 2, 2. pkt., til reglen i den nugældende persondatalovs § 36 om den registreredes ret til at gøre indsigelse mod, at en virksomhed videregiver oplysninger om den pågældende til andre virksomheder med henblik på markedsføring mv., ændres til artikel 21 i databeskyttelsesforordningen og § 13, stk. 4, i forslag til databeskyttelsesloven.

Ændringen er en konsekvens af databeskyttelsesforordningen og forslag til databeskyttelsesloven, og der foreslås ikke yderligere ændringer.

I artikel 21, stk. 2 og 3, i databeskyttelsesforordningen er der fastsat regler om den registreredes indsigelsesret i forbindelse med direkte markedsføring.

Databeskyttelsesforordningens artikel 21, stk. 2 og 3, er overordnet en videreførelse af gældende ret, men det bemærkes dog, at efter artikel 21, stk. 2 og 3, kan der kun gøres indsigelse i forbindelse med de situationer, hvor der er tale om direkte markedsføring. For nærmere herom se betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 355-370.

I persondatalovens § 36, stk. 2, 1. pkt., er fastsat regler om virksomheders pligtmæssige undersøgelse i CPR af, om en forbruger frabeder sig henvendelser i markedsføringsøjemed forinden videregivelse eller anvendelse af oplysningerne i markedsføringsøjemed.

I forslag til databeskyttelseslovens § 13, stk. 4, videreføres reglen om, at en virksomhed - hver gang den ønsker at videregive oplysninger om en forbruger til andre virksomheder til brug ved direkte markedsføring mv. - skal tjekke i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. I bekræftende fald må oplysningerne ikke videregives til dette formål, jf. databeskyttelsesforordningens artikel 21, stk. 3.

For så vidt angår den forbruger, der ikke i CPR har frabedt sig henvendelser i markedsføringsøjemed, skal virksomheden endvidere - senest på tidspunktet for den første kommunikation med forbrugeren (den registrerede) - efter databeskyttelsesforordningens artikel 21, stk. 4, udtrykkeligt gøre den registrerede opmærksom på retten til at gøre indsigelse efter forordningens artikel 21, stk. 2, mod behandling af personoplysninger til direkte markedsføring.

Reglerne gælder også i den situation, hvor oplysningerne anvendes på vegne af en anden virksomhed med henblik på direkte markedsføring.

Forslag til databeskyttelseslovens § 13, stk. 4, beskriver således den fremgangsmåde, som den dataansvarlige virksomhed skal følge for at sikre sig, at forbrugeren ikke har gjort indsigelse imod, at generelle kundeoplysninger om den pågældende videregives til en anden virksomhed med henblik på direkte markedsføring.

Fremgangsmåden skal også følges i tilfælde, hvor den dataansvarlige virksomhed ikke ønsker at videregive oplysningerne til en anden virksomhed, men derimod selv ønsker at anvende oplysningerne på vegne af en anden virksomhed med henblik på direkte markedsføring.

Til nr. 3

Der er i CPR-lovens § 31, § 35, 2. pkt., § 36, 2. pkt., § 37, 2. pkt., og § 38, stk. 6, ved enslydende formuleringer fastsat som betingelse for den af disse bestemmelser fastsatte videregivelse af oplysninger fra CPR henholdsvis ældre folkeregistreringsmateriale i kommunen, at modtageren af oplysningerne er berettiget til at behandle disse oplysninger efter den nugældende persondatalov.

Det fremgår således af CPR-lovens § 31, at oplysninger i CPR og ældre folkeregistermateriale kan videregives til anden offentlig myndighed efter reglerne i lov om behandling af personoplysninger.

Bestemmelserne i CPR-lovens § 35, 2. pkt., § 36, 2. pkt., og § 37, 2. pkt., fastsætter samme betingelse for så vidt angår Økonomi- og Indenrigsministeriets videregivelse af oplysninger i CPR til brug i statistisk eller videnskabeligt øjemed samt kommunernes videregivelse til samme formål af oplysninger, der ikke er registreret i CPR, men som findes i ældre folkeregistermateriale i kommunen.

Efter CPR-lovens § 38, stk. 6, er det en betingelse for Økonomi- og Indenrigsministeriets levering af oplysninger efter stk. 1-4, at modtageren efter lov om behandling af person­oplysninger er berettiget til at behandle oplysningerne.

Det fremgår af CPR-lovens § 52, stk. 1, at hvis en offentlig myndighed i overensstemmelse med lov om behandling af person­o?plysninger anvender personnummer som identifikation eller journalnummer, skal det være personnummeret for den person, sagen vedrører.

Det foreslås, at henvisningen til den nugældende persondatalov i ovennævnte bestemmelser i CPR-loven ændres til en henvisning til databeskyttelsesforordningen og forslag til databeskyttelsesloven, som bliver det fremtidige hjemmelsgrundlag.

Formålet med den foreslåede ændring er at foretage de nødvendige konsekvensændringer som følge af databeskyttelsesforordningens ikrafttræden og det samtidigt hermed fremsatte forslag til databeskyttelsesloven.

Til § 26

Til nr. 1

Efter den kommunale og regionale valglovs § 106, stk. 4, 1. pkt., kan valgmateriale omfattet af stk. 3, 1. pkt., efter kommunalbestyrelsens henholdsvis regionsrådets bestemmelse anvendes til forskning og statistik i overensstemmelse med reglerne i lov om behandling af personoplysninger. Bestemmelsen fastsætter således en undtagelse fra stk. 3, 1. pkt., hvorefter valglisterne, valgkortene og stemmesedlerne, herunder brevstemmemateriale, skal tilintetgøres, når klagefristen er udløbet, jf. § 93, og eventuelle klager over valget er endeligt afgjort.

Med den foreslåede ændring fastlægges, at den omhandlede behandling af personoplysninger fremover skal have hjemmel i reglerne i databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Det antages, at de omhandlede personoplysninger vil kunne behandles med henblik på forskning og statistik i samme omfang som efter den nugældende persondatalov.

Der tilsigtes med den foreslåede ændring ikke i øvrigt nogen ændring i forhold til den gældende retstilstand. Kompetencen til at beslutte at lade valgmateriale anvende til forskning og statistik ligger således fortsat hos kommunalbestyrelsen samt - for så vidt angår det valgmateriale, som regionsrådet opbevarer - hos regionsrådet, og der foreligger efter bestemmelsen ikke nogen pligt for kommunalbestyrelserne henholdsvis regionsrådene til at videregive valgmaterialet eller til at medvirke til forskningen.

Til § 27

Til nr. 1

Efter folketingsvalglovens § 104, stk. 4, 1. pkt., kan valgmateriale omfattet af stk. 3, 1. pkt., efter kommunalbestyrelsens bestemmelse anvendes til forskning og statistik i overensstemmelse med reglerne i lov om behandling af person­o?plysninger. Bestemmelsen fastsætter således en undtagelse fra stk. 3, 1. pkt., hvorefter valglisterne, valgkortene, stemmesedlerne samt brevstemmematerialet skal tilintetgøres, når klagefristen er udløbet, jf. §§ 88 og 103, og eventuelle klager over valget er endeligt afgjort.

Folketingsvalglovens § 104 gælder både for folketingsvalg, folkeafstemninger og - i kraft af henvisningen i Europa-Parlamentsvalglovens § 44 - for Europa-Parlamentsvalg.

Med den foreslåede ændring fastlægges, at den omhandlede behandling af personoplysninger fremover skal have hjemmel i reglerne i databeskyttelsesforordningen og forslag til databeskyttelsesloven.

Det antages, at de omhandlede personoplysninger vil kunne behandles med henblik på forskning og statistik i samme omfang som efter den nugældende persondatalov.

Der tilsigtes med den foreslåede ændring ikke i øvrigt nogen ændring i forhold til den gældende retstilstand. Kompetencen til at beslutte at lade valgmateriale anvende til forskning og statistik ligger således fortsat hos kommunalbestyrelsen, og der foreligger efter bestemmelsen ikke nogen pligt for kommunalbestyrelsen til at videregive valgmaterialet eller til at medvirke til forskningen.

Til § 28

Til nr. 1

§ 2, stk. 3, i lov om Digital Post fra offentlige afsendere indeholder en fravigelse af persondatalovens § 35. Det betyder, at indsigelse fra en borger mod at vedkommendes personnummer behandles i forbindelse med tilslutning, uden videre vil blive anset som uberettiget på grund hjemmelsbestemmelsen i stk. 2.

Med lov om Digital Post fra offentlige afsendere blev der skabt lovhjemmel for obligatorisk tilslutning til det offentlige digitale postsystem for fysiske personer og juridiske enheder og dermed for digital kommunikation fra det offentlige og til de pågældende.

Digital Post løsningen giver mulighed for sikker digital kommunikation mellem myndigheder og borgere/virksomheder, og det er en del af løsningen, at myndigheder kan kommunikere sikkert til et specifikt personnummer for fysiske personer, for dermed at sikre identiteten af den borger, der kommunikeres med. Tilslutningen til Digital Post løsningen er obligatorisk for borgere, dog er der mulighed for fritagelse i særlige tilfælde.

Digital Post løsningen er lovhjemlet i lov om Digital Post fra offentlige afsendere. Det følger af § 2, stk. 2, i denne lov, at ministeren udpeger en systemansvarlig, som har til opgave at varetage driften af Digital Post løsningen. Det fremgår endvidere, at den systemansvarlige kan behandle personnumre med det formål at kunne tilslutte borgere til løsningen og for at kunne varetage den løbende drift af løsningen. Det fremgår endvidere af § 2, stk. 3, at persondatalovens § 35, hvorefter en borger har ret til at modsætte sig behandlingen af en oplysning om dem, ikke finder anvendelse på denne behandling af personnumre. For Digital Post løsningen betyder denne begrænsning af de registreredes indsigelsesret, at man som borger ikke kan benytte denne ret til konkret at nægte behandlingen af personnummer i forbindelse med tilslutningen til og driften af Digital Post løsningen. Baggrunden for begrænsningen er, at personnummeret anvendes til at sikre identiteten af den borger, der kommunikeres med.

Idet databeskyttelsesforordningen finder anvendelse den 25. maj 2018, og persondataloven bliver ophævet, vil det fra denne dato være nødvendigt at ændre henvisningen til lov om behandling af personoplysninger i § 2, stk. 3 i lov om Digital Post fra offentlige afsendere.

Hensigten med lovforslaget er at sikre, at den gældende begrænsning i de registreredes indsigelsesret i forbindelse med behandling af personnumre ved tilslutning og drift af Digital Post-løsningen, opretholdes.

Databeskyttelsesforordningens artikel 23 giver mulighed for, at medlemsstaterne kan begrænse de rettigheder og forpligtelser, der er omhandlet i forordningens artikel 12-22, såfremt dette er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til bl.a. en medlemsstats generelle samfundsinteresser, jf. artikel 23, stk. 1, litra e, jf. bemærkningerne i afsnit 2.11.

Lovforslaget har ikke til hensigt at ændre på øvrige regler på området for lov om afsendelse af Digital Post fra offentlige afsendere.

Til § 29

Der er tale om en konsekvensændring som følge af databeskyttelsesforordningen og forslag til databeskyttelseslovens ikrafttræden og ophævelse af persondataloven.

I lov om indhentelse af børneattest i forbindelse med ansættelse af personale m.v. (herefter benævnt børneattestloven) henvises der i § 4 til persondatalovens kapitel 12 og 13.

Børneattestlovens § 4 fastslår, at myndigheder og private fysiske og juridiske personer, der indhenter børneattester i medfør af lovens regler, ikke af denne grund skal foretage anmeldelse til eller indhente udtalelse eller tilladelse fra Datatilsynet i henhold til persondatalovens kapitel 12 eller 13.

Persondatalovens regler i kapitel 12 og 13 videreføres som udgangspunkt ikke med det nye forslag til databeskyttelsesloven, og efter de nye reglers ikrafttræden gælder der således ikke et krav om forudgående anmeldelse og tilladelse mv. ved behandling af oplysninger om strafbare forhold. Der vil derfor ikke fremadrettet være behov for at fravige et sådant krav i børneattestloven.

På den baggrund foreslås det, at § 4 i børneattestloven ophæves.

Til § 30

Det foreslås i stk. 1, at loven træder i kraft den 25. maj 2018, hvor databeskyttelsesforordningen og forslag til databeskyttelsesloven ligeledes finder anvendelse.

For lovens § 2, nr. 3-4, gælder de nye krav til samtykke således fra den 25. maj 2018. Et samtykke, der er indhentet før den 25. maj 2018, og som opfylder kravene til et samtykke efter den gældende bestemmelse i forvaltningslovens § 28, stk. 3, vil fortsat være et gyldigt samtykke til videregivelse af fortrolige oplysninger efter forvaltningslovens § 28, stk. 2, nr. 1, selvom de nye krav til samtykket ikke var opfyldt ved indhentelsen af samtykket.

Det foreslås i stk. 2, at § 7, nr. 2, ikke finder anvendelse på afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens ikrafttræden, eller på henvendelser inden lovens ikrafttræden om sletning eller genmæle. For sådanne afslag og henvendelser finder de hidtil gældende regler anvendelse.

Det indebærer, at klage over afslag på at slette informationer eller optage et genmæle, som er meddelt inden lovens ikrafttræden, skal indbringes for Pressenævnet senest 4 uger efter, at afslaget er kommet frem.

Endvidere indebærer det, at klage over, at en henvendelse inden lovens ikrafttræden om sletning eller genmæle ikke er besvaret inden 4 uger, skal indbringes for Pressenævnet 4 uger efter udløbet af den nævnte frist for at besvare henvendelsen.

Det foreslås i stk. 3, at beskæftigelsesministeren bemyndiges til at fastsætte, hvornår reglerne i lovforslagets § 11, nr. 2 og 4-6, om henvisning til databeskyttelsesforordningens regler skal træde i kraft. Bemyndigelsen skal ses på baggrund af, at tidspunktet for, hvornår selskabet Ydelsesrefusion sættes i drift, endnu ikke er fastlagt.

Beskæftigelsesministeren er herefter forpligtet til at sikre, at lovforslagets § 11, nr. 2 og 4-6, bliver sat i kraft den 25. maj 2018, såfremt §§ 14, stk. 2, 16, stk. 1, 19, stk. 2, 1. pkt. og 27, stk. 4, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne bliver sat i kraft inden denne dato.

Beskæftigelsesministeren er endvidere forpligtet til at sikre, at lovforslagets § 11, nr. 2 og 4-6, bliver sat i kraft senest samtidig med §§ 14, stk. 2, 16, stk. 1, 19, stk. 2, 1. pkt. og 27, stk. 4, i lov om kommunernes finansiering af visse offentlige ydelser udbetalt af kommunerne, Udbetaling Danmark og arbejdsløshedskasserne, såfremt disse sættes i kraft efter den 25. maj 2018.

Til § 31

De foreslåede ændringer i bestemmelsens stk. 1 gælder ikke for Færøerne, men de foreslåede ændringer i lov om Politiets Efterretningstjeneste (PET), lov om Forsvarets Efterretningstjeneste (FE), lov om betalinger, lov om forvaltere af alternative investeringsfonde, sundhedsloven, lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter og udlændingeloven kan ved kongelig anordning helt eller delvist sættes i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger. Ændringerne af disse love har samme territoriale gyldighedsområde som hovedlovene.

De foreslåede ændringer i bestemmelsens stk. 2 gælder ikke for Grønland, men de foreslåede ændringer i lov om retshåndhævende myndigheders behandling af personoplysninger, lov om Politiets Efterretningstjeneste (PET), lov om Forsvarets Efterretningstjeneste (FE), selskabsloven, lov om betalinger, lov om forvaltere af alternative investeringsfonde, udlændingeloven og lov om Det Centrale Personregister kan ved kongelig anordning helt eller delvist sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger. Ændringerne af disse love har samme territoriale gyldighedsområde som hovedlovene.

Hvad angår de foreslåede ændringer af lov om kommunale og regionale valg og folketingsvalgloven, jf. lovforslagets §§ 26 og 27, finder disse anvendelse for hele riget. Dette skyldes, at de hovedlove, der ændres ved denne del af lovforslaget - uanset at der ikke afholdes valg efter disse hovedlove på Færøerne og i Grønland - på visse områder har retsvirkninger for Færøerne og Grønland, navnlig derved, at de pågældende hovedlove indeholder en bestemmelse om de færøske og grønlandske folkeregistres medvirken ved brev-stemmeafgivning til det danske folketingsvalg, Europa-Parlamentsvalg og kommunal- og regionalvalg uden for Færøerne og Grønland. Denne medvirken sker med de fornødne tilpasninger efter den fremgangsmåde, der er fastsat herom i folketingsvalglovene for henholdsvis Færøerne og Grønland og i disse rigsdeles særskilte egen lovgivning.

Ingen af de ved dette lovforslag foreslåede ændringer af valglovgivningen har retsvirkning for Færøerne eller Grønland.

De foreslåede ændringer i bestemmelsens stk. 3, som ændrer lov om retshåndhævende myndigheders behandling af personoplysninger, gælder ikke for Færøerne. Loven kan ved kongelig anordning kan sættes i kraft for rigsmyndighedernes behandling af oplysninger med de ændringer, som de færøske forhold tilsiger.

De foreslåede ændringer i bestemmelsens stk. 4 som ændrer forvaltningsloven og offentlighedsloven gælder ikke for sager om færøske og grønlandske anliggender. Lovene kan ved kongelig anordning sættes i kraft for sådanne sager med de ændringer, som de færøske og grønlandske forhold tilsiger. Dette gælder dog kun sager, der er eller har været under behandling af rigsmyndigheder.

Bilag 1

Lovforslaget sammenholdt med gældende lov