Europaudvalget 2020-21
EUU Alm.del Bilag 685
Offentligt
2425672_0001.png
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
30. juni 2021
Databeskyttelseskontoret
Abulfaz Melikov
2020-790-0757
2050364
Delrapport II
om
national evaluering af databeskyttelsesreglerne
1. Indledning og baggrund
Justitsministeriet igangsatte i februar 2020 en national evaluering af databe-
skyttelsesreglerne.
Evalueringsarbejdet er foregået i to parallelle spor. Det ene spor omfatter en
erfaringsindsamling bestående af en bred høring af interessenter med hen-
blik på at belyse, i hvilke situationer i praksis der opleves tvivl om databe-
skyttelsesreglerne. Det andet spor omfatter en række juridiske undersøgelser
med henblik på at belyse følgende:
Generelle muligheder for at begrænse databeskyttelsesforordnin-
gens anvendelse på mindre aktører, herunder frivillige foreninger.
Muligheder for at indføre en påbudsordning, hvor tilsynsmyndighe-
den i videre omfang end i dag skal meddele påbud, før der kan ind-
stilles til bøde for overtrædelse af reglerne, eller før der udstedes et
administrativt bødeforelæg.
Muligheder for at indføre en ordning, hvor tilsynsmyndigheden på
anmodning kan afgive udtalelse om sin vurdering af lovligheden af
en påtænkt aktivitet, der indebærer en behandling af personoplysnin-
ger (forhåndstilkendegivelsesordning).
Muligheder for at forenkle reglerne i databeskyttelsesloven.
Justitsministeriet afgav den 29. januar 2021 en delrapport (delrapport I) om
national evaluering af databeskyttelsesreglerne (EUU Alm. del, bilag 269,
Side 1/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0002.png
2020-21). Delrapport I konkluderer på 1) mulighederne for at indføre en
påbudsordning, 2) mulighederne for at indføre en forhåndstilkendegivels es-
ordning og 3) muligheder for at videregive personoplysninger til politiet i
forbindelse med politiets efterforskning af lovovertrædelser.
Nærværende delrapport (delrapport II) omhandler de øvrige dele af den na-
tionale evaluering.
Det drejer sig for det første om den del af evalueringens juridiske spor, der
vedrører spørgsmålet om generelle muligheder for at begrænse databeskyt-
telsesforordningens anvendelse på mindre aktører (afsnit 5.1 nedenfor). For
det andet drejer det sig om den del af evalueringens juridiske spor, der ved-
rører muligheder for at forenkle reglerne i databeskyttelsesloven (afsnit 5.2
nedenfor). For det tredje drejer det sig om erfaringsindsamlingen, hvor der
er indhentet bidrag fra en bred kreds af interessenter med henblik på at
kunne kaste nærmere lys over de konkrete situationer, der ifølge interessen-
terne er uklare, når databeskyttelsesreglerne skal efterleves i praksis (afsnit
6 nedenfor og bilag 1 med Datatilsynets bidrag til erfaringsindsamlingen).
2. Sammenfatning
2.1. Juridiske undersøgelser
2.1.1. Generelle muligheder for at begrænse databeskyttelsesforordningens
anvendelse på mindre aktører, herunder frivillige foreninger
Justitsministeriet har undersøgt de generelle muligheder for at begrænse for-
ordningens anvendelse på mindre aktører, herunder frivillige foreninger, og
det er vurderingen, at det ikke efter EU-retten generelt er muligt at undtage
mindre aktører, herunder frivillige foreninger, fra at skulle overholde reg-
lerne i forordningen.
I databeskyttelsesforordningen er der dog visse muligheder for at begrænse
anvendelsen af forordningen. Justitsministeriet har i lyset heraf overvejet,
om der kan indføres begrænsninger i anvendelsen af databeskyttelsesforo rd-
ningen for mindre aktører, herunder frivillige foreninger, inden for det rå-
derum, der er til at fastsætte begrænsninger i forordningens artikel 6, stk. 4,
artikel 23, artikel 85 og artikel 89.
Det er samlet Justitsministeriets vurdering, at det råderum, som de nævnte
bestemmelser efterlader, ikke kan udnyttes i væsentligt videre omfang, end
det er tilfældet i dag, til at begrænse anvendelsen af forordningen på mindre
aktører, herunder frivillige foreninger.
Side 2/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
I databeskyttelsesforordningens artikel 23 er der under nærmere betingelser
mulighed for at begrænse rækkevidden af forpligtelserne og rettighederne i
forordningens artikel 12-22 og 34 samt tilsvarende regler i artikel 5. Det er
Justitsministeriets vurdering, at råderummet i artikel 23 f.eks. kan anvendes
til at fastsætte, at den dataansvarlige efter en konkret vurdering kan gøre
visse undtagelser fra disse regler af hensyn til en eller flere af de interesser,
der er oplistet i artikel 23, stk. 1, litra a-j. Denne mulighed er for så vidt
angår artikel 13-14 (om oplysningspligt) og artikel 15 (om indsigtsret) samt
artikel 34 (om underretningspligt ved sikkerhedsbrud) allerede udnyttet i
databeskyttelseslovens § 22, stk. 1 og 2. Blandt andet på baggrund af EU-
Domstolens praksis vil det efter Justitsministeriets vurdering omvendt ikke
være foreneligt med forordningen at fastsætte en generel undtagelse for
visse kategorier af dataansvarlige som f.eks. frivillige foreninger eller andre
mindre private aktører fra helt at skulle iagttage reglerne i forordninge ns
artikel 12-22 og 34 samt tilsvarende regler i artikel 5. Endvidere vil det ikke
være foreneligt med forordningen at fastsætte en generel undtagelse fra at
skulle iagttage disse regler ved specifikke behandlingsaktiviteter i forhold
til alle registrerede. I øvrigt er det Justitsministeriets vurdering, at en be-
grænsning af rettigheder alene på baggrund af, at de enkelte aktører eller
foreninger ikke har tilstrækkelige ressourcer til at overholde reglerne, ikke
vil kunne gennemføres inden for rammerne af artikel 23. Efter Justitsmini-
steriets vurdering gælder dette også, selvom det i forhold til visse foreninger
samtidig vil kunne anses for at varetage et hensyn til et stærkt forenings liv
båret af frivillige.
I artikel 6, stk. 4, er der mulighed for at gøre undtagelse fra formålsbegræ ns-
ningsprincippet efter tilsvarende betingelser som i artikel 23.
For så vidt angår artikel 85, som fastsætter en forpligtelse til at begrænse
forordningens anvendelse helt eller delvis, hvis det er nødvendigt for at
forene retten til beskyttelse af personoplysninger med retten til ytrings- og
informationsfrihed, er råderummet yderst begrænset, da bestemmelsen alle-
rede vurderes at være udmøntet. Det samme gælder råderummet i databe-
skyttelsesforordningens artikel 89, hvorefter der kan fastsættes begrænsnin-
ger fra visse af de registreredes rettigheder ved behandlinger af personop-
lysninger til videnskabelige eller historiske forskningsformål, statistiske for-
mål og arkivformål, da disse muligheder i det væsentligste vurderes udtømt
i databeskyttelsesloven, idet mulighederne for at fastsætte begrænsninger af
hensyn til arkivformål dog ikke er udnyttet i loven.
Side 3/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0004.png
2.1.2. Muligheder for at forenkle reglerne i databeskyttelsesloven
Justitsministeriet har gennemgået reglerne i databeskyttelsesloven, hvor der
inden for rammerne databeskyttelsesforordningens nationale råderum er
fastsat bestemmelser, der supplerer forordningens regler.
I databeskyttelsesloven findes der både bestemmelser, der
kan
fastsættes in-
den for forordningens anvendelsesområde, og bestemmelser, der
skal
fast-
sættes efter forordningen. Herudover indeholder databeskyttelsesloven be-
stemmelser, der udvider anvendelsen af databeskyttelsesforordningens reg-
ler til også at gælde på visse områder, som falder uden for forordninge ns
harmonisering.
Indholdet af databeskyttelseslovens regler er
bortset fra de obligator iske
regler, der skal gennemføres efter forordningen
bl.a. udtryk for en videre-
førelse af visse regler fra den dagældende persondatalov med henblik på at
varetage særlige hensyn på bestemte områder.
2.2. Anbefalinger fra Erhvervslivets EU- og Regelforum
Justitsministeriet har fundet det hensigtsmæssigt at inddrage to anbefalinger
fra Erhvervslivets EU- og Regelforum (Regelforum) i evalueringen.
Regelforum har for det første anbefalet, at det undersøges, om der med
hjemmel i databeskyttelsesforordningens artikel 23 kan indføres en national
undtagelse til oplysningspligten, som følger af forordningens artikel 13, i
tilfælde, hvor den registrerede selv henvender sig til den dataansvarlige. Re-
gelforum har i den forbindelse henvist til, at dataansvarlige påføres store
omkostninger, der i mange tilfælde ikke står mål med udbyttet for den regi-
strerede. Hvis det ikke er muligt at indføre en sådan undtagelse har Regel-
forum anbefalet, at regeringen arbejder for, at oplysningspligten i databe-
skyttelsesforordningens artikel 13 lempes. Regelforum har subsidiært anbe-
falet, at de danske myndigheder tilkendegiver, at det i almindelighed kan
lægges til grund, at den registrerede, der selv
eventuelt uopfordret
hen-
vender sig, allerede er bekendt med de oplysninger, der efter databeskyttel-
sesforordningens artikel 13, stk. 1-3, skal gives til den pågældende, således
at oplysningspligten ikke skal opfyldes i medfør af forordningens artikel 13,
stk. 4.
Side 4/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0005.png
Det er Justitsministeriets vurdering, at en begrænsning af oplysningspligte n
som anbefalet af Regelforum ikke vil kunne gennemføres inden for databe-
skyttelsesforordningens rammer. Der er i den forbindelse lagt vægt på, at en
begrænsning alene på baggrund af et hensyn til ressourcer efter Justitsmini-
steriets vurdering ikke kan gennemføres inden for råderummet i forordnin-
gens artikel 23. Justitsministeriet har noteret sig Regelforums anbefaling
om, at regeringen arbejder for, at oplysningspligten i forordningens artikel
13 lempes.
Det er endvidere Justitsministeriets vurdering, at det ikke vil være i over-
ensstemmelse med forordningen at imødekomme Regelforums subsidiære
anbefaling. Efter Justitsministeriets opfattelse vil det i almindelighed ikke
kunne lægges til grund, at en registreret, der selv henvender sig, allerede er
bekendt med de oplysninger, der efter forordningens artikel 13, stk. 1 og 2,
skal gives til den pågældende.
For det andet har Regelforum anbefalet, at der indføres en minimumsgræ nse
for anmeldelse af brud på persondatasikkerheden til Datatilsynet efter data-
beskyttelsesforordningens artikel 33. Det er Justitsministeriets vurdering, at
forordningen ikke giver mulighed for at ændre den minimumsgrænse, der i
forvejen følger af artikel 33.
2.3. Erfaringsindsamlingen
Justitsministeriet har under inddragelse af Datatilsynet kommenteret de ind-
komne høringssvar fra interessenter i forbindelse med erfaringsindsamlin-
gen.
Høringssvarene viser bl.a., at der er problemstillinger, som går igen på tværs
af interessenter, og at det særligt er den juridiske fortolkning af databeskyt-
telsesreglerne, der giver udfordringer i praksis. F.eks. tegner høringssvare ne
et billede af, at det kan være vanskeligt i praksis at vurdere, hvorvidt man er
dataansvarlig eller databehandler i forbindelse med en behandling af per-
sonoplysninger. Sammenfattende lægger høringssvarene i langt de fleste til-
fælde op til, at en løsning på de rejste problemstillinger bør ske gennem
mere konkret vejledning fra særligt Datatilsynet.
I bilaget til delrapporten er der et omfattende bidrag til erfaringsindsamlin-
gen fra Datatilsynet med vejledning om anvendelsen af databeskyttelsesre g-
Side 5/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
lerne i forhold til de rejste problemstillinger. I forbindelse med erfaringsind-
samlingen er der endvidere rejst nogle spørgsmål af bl.a. lovgivningsmæss ig
karakter, som Justitsministeriet forholder sig til sidst i delrapporten.
3. Databeskyttelsesforordningen
3.1. Databeskyttelsesforordningens anvendelsesområde og regulering
Databeskyttelsesforordningen gælder umiddelbart i medlemsstaterne. For-
ordningen virker som en lov i medlemsstaterne i den form, som den er ved-
taget, og må som udgangspunkt ikke gennemføres eller fraviges i national
ret, medmindre andet følger af forordningen.
Databeskyttelsesforordningen fastsætter efter forordningens artikel 1 regler
om beskyttelse af fysiske personer i forbindelse med behandling af person-
oplysninger og regler om fri udveksling af personoplysninger. Som det end-
videre fremgår af bestemmelsen, må den frie udveksling af personoplysnin-
ger i Unionen
ud over hvad der følger af forordningen
hverken indskræn-
kes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger.
Databeskyttelsesforordningens materielle anvendelsesområde følger af for-
ordningens artikel 2, hvorefter forordningen finder anvendelse på behand-
ling af personoplysninger, der helt eller delvis foretages ved hjælp af auto-
matisk databehandling, og på anden ikkeautomatisk behandling af person-
oplysninger, der er eller vil blive indeholdt i et register. Forordningen gæl-
der dog ikke for behandling af personoplysninger:
- under udøvelse af aktiviteter, der falder uden for EU-retten, dvs. ak-
tiviteter vedrørende statens sikkerhed
- som foretages af medlemsstaterne, når de udfører aktiviteter, der fal-
der inden for rammerne af afsnit V, kapitel 2, i TEU om fælles uden-
rigs- og sikkerhedspolitik
- som foretages af en fysisk person som led i rent personlige eller fa-
miliemæssige aktiviteter
- som foretages af kompetente (retshåndhævende) myndigheder med
henblik på at forebygge, efterforske, afsløre eller retsforfølge straf-
bare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed.
Databeskyttelsesforordningens regler gælder således bl.a. for private, når de
behandler personoplysninger på f.eks. en computer, medmindre der er tale
Side 6/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0007.png
om rent personlige eller familiemæssige aktiviteter. Reglerne, der skal iagt-
tages, omfatter bl.a. grundlæggende principper for behandling af personop-
lysninger og betingelser for, hvornår personoplysninger må behandles (arti-
kel 5-10), regler om registreredes rettigheder (artikel 12-22), regler om da-
taansvarlige og databehandlere, herunder regler om behandlingssikker hed
og håndtering af brud på persondatasikkerheden (artikel 24-43) samt regler
om overførsler af personoplysninger til tredjelande mv. (artikel 44-50).
3.2. Nationalt råderum
Databeskyttelsesforordningen indeholder bestemmelser, hvorefter med-
lemsstaterne inden for nærmere bestemte områder er overladt et nationa lt
råderum, hvor de enten kan eller skal fastsætte nationale regler. Bestemme l-
serne herom kan opdeles i fire forskellige kategorier.
I den ene kategori er der navnlig en række bestemmelser i forordninge ns
artikel 6, stk. 2 og 3, artikel 9, stk. 2-4, artikel 10, artikel 86, artikel 87,
artikel 88 og artikel 90, der bemyndiger medlemsstaterne til at fastsætte
mere specifikke bestemmelser inden for rammerne af forordningens harmo-
nisering. Medlemsstaterne
kan
udnytte dette nationale råderum, men er ikke
forpligtede hertil.
Databeskyttelsesforordningens artikel 6, stk. 2 og 3, efterlader mulighed for
at præcisere forordningens regler for, hvornår almindelige personoplysnin-
ger må behandles med henblik på at tilpasse reglerne til specifikke situatio-
ner. Efter artikel 9, stk. 2-4, kan der inden for nogle nærmere angivne og
forholdsvis snævre rammer fastsættes yderligere undtagelser
end dem der
i forvejen gælder
til forbuddet i artikel 9, stk. 1, mod behandling af føl-
somme personoplysninger. Efter artikel 10 kan det fastsættes i national ret,
at oplysninger om strafbare forhold
der ellers kun må behandles under
kontrol af en offentlig myndighed
må behandles af private, hvis der sam-
tidig gives passende garantier for registreredes rettigheder og frihedsre t-
tigheder. Efter artikel 86 kan det fastsættes i national ret, at personoplysnin-
ger i officielle dokumenter, som en offentlig myndighed eller et offentligt
eller privat organ er i besiddelse af med henblik på udførelse af en opgave i
samfundets interesse, må videregives for at forene regler om aktindsigt i
officielle dokumenter med retten til beskyttelse af personoplysninger. Efter
artikel 87 er der mulighed for at fastsætte specifikke betingelser for behand-
ling af et nationalt identifikationsnummer. Artikel 88 giver mulighed for at
fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettighe-
der og frihedsrettigheder i forbindelse med behandling af arbejdstageres
Side 7/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0008.png
personoplysninger i ansættelsesforhold. Endelig giver artikel 90 mulighed
for at vedtage specifikke regler om tilsynsmyndighedernes beføjelser ved-
rørende dataansvarlige eller databehandlere, som er underlagt faglig eller
anden tilsvarende tavshedspligt.
I en anden kategori er der navnlig bestemmelserne i forordningens artikel 8,
stk. 1, artikel 36, stk. 5, artikel 37, stk. 4, artikel 49, stk. 5, artikel 80, stk. 2,
samt artikel 83, stk. 7 og 9, der giver muligheder for ved lov eller i henhold
til lov at foretage nogle nærmere specificerede valg.
Databeskyttelsesforordningens artikel 8, stk. 1, giver mulighed for at vælge
en lavere aldersgrænse end 16 år for, hvornår et barn kan give samtykke til
behandling af personoplysninger i forbindelse med udbud af informatio ns-
samfundstjenester direkte til børn. Efter artikel 36, stk. 5, kan det fastsættes,
at det kræver forudgående høring og tilladelse fra tilsynsmyndigheden at
behandle personoplysninger under udførelsen af en opgave i samfundets in-
teresse. Efter artikel 37, stk. 4, kan det fastsættes, at der skal udpeges en
databeskyttelsesrådgiver i videre omfang end det, der kræves efter forord-
ningen. Efter artikel 49, stk. 5, kan der af hensyn til vigtige samfundsinte-
resser fastsættes grænser for overførsel af følsomme personoplysninger til
usikre tredjelande. Efter artikel 80, stk. 2, kan der fastsættes en adgang til at
klage til tilsynsmyndigheden for f.eks. interesseorganisationer. Artikel 83,
stk. 7, giver mulighed for at fastsætte, at bøder for overtrædelse af forord-
ningen kan pålægges offentlige myndigheder. Endelig fremgår det af artikel
83, stk. 9, at hvis en medlemsstats retssystem ikke giver mulighed for at
pålægge administrative bøder, kan det fastsættes i national ret, at den kom-
petente tilsynsmyndighed tager skridt til bøder, og at de kompetente natio-
nale domstole pålægger dem.
I en tredje kategori er der bestemmelser i forordningens artikel 6, stk. 4,
artikel 23 og artikel 89, stk. 2 og 3, hvorefter medlemsstaterne
kan
fastsætte
regler om visse begrænsninger og undtagelser til nærmere afgrænsede for-
pligtelser, rettigheder og principper.
Artikel 6, stk. 4, giver medlemsstaterne mulighed for inden for visse nær-
mere betingelser at fravige princippet i databeskyttelsesforordningens arti-
kel 5 om forbud mod viderebehandling af personoplysninger til uforene lige
formål. Artikel 23 giver mulighed for at fastsætte begrænsninger i række-
vidden af reglerne om registreredes rettigheder i artikel 12-22, reglerne ved-
rørende underretning om brud på persondatasikkerheden i artikel 34 samt
Side 8/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0009.png
de grundlæggende principper i artikel 5, for så vidt bestemmelserne heri
svarer til rettighederne og forpligtelserne i artikel 12-22. Ved forordninge ns
artikel 89, stk. 2 og 3, er der tale om en adgang til at fastsætte nødvendige
undtagelser fra reglerne om registreredes rettigheder i artikel 15, 16, 18, 19,
20 og 21, når personoplysninger behandles til videnskabelige eller historiske
forskningsformål, statistiske formål eller arkivformål.
For nærmere herom henvises til afsnit 3.3 nedenfor.
I en sidste og fjerde kategori er der navnlig bestemmelser i forordninge ns
artikel 43, stk. 1, artikel 51, stk. 1 og 3, artikel 52, stk. 4-6, artikel 53, stk.
1, artikel 54, stk. 1, artikel 84 og artikel 85, som
skal
gennemføres ved lov
af medlemsstaterne.
Efter artikel 43, stk. 1, skal medlemsstaterne sikre, at organer, der kan ud-
stede certificeringer, som kan bruges til at påvise overholdelse af forordnin-
gen, akkrediteres af tilsynsmyndigheden og/eller et nationalt akkrediterings-
organ. Efter bestemmelserne i artikel 51, stk. 1 og 3, artikel 52, stk. 4-6,
artikel 53, stk. 1, og artikel 54, stk. 1, pålægges det medlemsstaterne at op-
rette en eller flere uafhængige tilsynsmyndigheder, der har tilstrække lige
ressourcer, og med medlemmer, der er udnævnt efter en gennemsigtig pro-
cedure. Efter artikel 84 skal der fastsættes regler om andre sanktioner, der
skal anvendes i tilfælde af overtrædelser af forordningen, navnlig overtræ-
delser, som ikke er underlagt bøder i henhold til artikel 83. Efter artikel 85
skal medlemsstaterne fastsætte undtagelser fra forordningens bestemmelser,
hvis det er nødvendigt for at forene retten til beskyttelse af personoplysnin-
ger med ytrings- og informationsfriheden. For nærmere om artikel 85 hen-
vises til afsnit 3.3.3 nedenfor.
3.3. Nærmere om mulighederne for at begrænse af databeskyttelsesforord-
ningen
Databeskyttelsesforordningen skal som anført ovenfor under afsnit 3.1 både
sikre retten til beskyttelse af personoplysninger og den frie udveksling af
personoplysninger i Unionen. Ifølge databeskyttelsesforordningens præam-
belbetragtning nr. 4 er retten til beskyttelse af personoplysninger, der skal
ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til an-
dre grundlæggende rettigheder, ikke en absolut ret.
Som det endvidere fremgår ovenfor under afsnit 3.2, er der inden for det
nationale råderum i databeskyttelsesforordningens artikel 6, stk. 4, artikel
Side 9/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0010.png
23, stk. 1, artikel 85 og artikel 89, stk. 1 og 2, et vist råderum for at fastsætte
begrænsninger til forordningens regler.
3.3.1. Undtagelser til formålsbegrænsningsprincippet
Det fremgår bl.a. af artikel 6, stk. 4, sammenholdt med præambelbetragtning
nr. 50, at det kan fastsættes i national ret, at behandling af personoplysninger
kan ske til et andet formål, der er uforeneligt med det oprindelige formål,
som oplysningerne er indsamlet til, hvis det udgør en nødvendig og for-
holdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål,
der er omhandlet i artikel 23, stk. 1, jf. nærmere om disse hensyn under af-
snit 3.3.2 nedenfor.
Bestemmelsen giver således i et vist omfang mulighed for at fastsætte und-
tagelser til princippet om ”formålsbegrænsning” i databeskyttelsesforo rd-
ningens artikel 5, stk. 1, litra b, hvorefter personoplysninger skal indsamles
til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på
en måde, der er uforenelig med disse formål.
3.3.2. Undtagelser til de registreredes rettigheder mv.
Databeskyttelsesforordningens artikel 23, stk. 1, fastsætter, at der ved lov-
givningsmæssige foranstaltninger i bl.a. medlemsstaternes nationale ret er
mulighed for at begrænse rækkevidden af de forpligtelser og rettigheder, der
følger af artikel 12-22 og 34. På samme måde er der mulighed for at be-
grænse rækkevidden af artikel 5 om grundlæggende behandlingsprincipper,
for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i
artikel 12-22.
Rettighederne og forpligtelserne, der kan begrænses efter artikel 23, drejer
sig om krav til fremgangsmåden i forbindelse med iagttagelsen af de regi-
streredes rettigheder (artikel 12), oplysningspligt over for den registrerede
(artikel 13 og 14), den registreredes ret til indsigt (artikel 15), ret til berigti-
gelse (artikel 16), ret til sletning (artikel 17), ret til begrænsning af behand-
ling (artikel 18), underretningspligt til modtagere af personoplysninger i for-
bindelse med berigtigelse eller sletning af personoplysning eller begræns-
ning af behandling (artikel 19), den registreredes ret til dataportabilitet (ar-
tikel 20), ret til indsigelse (artikel 21) og ret til ikke at være genstand for
automatiske individuelle afgørelser (artikel 22) samt kravet om underretning
til den registrerede om brud på persondatasikkerheden (artikel 34). Be-
grænsningen af de grundlæggende principper i artikel 5 kan som anført kun
Side 10/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
ske for så vidt bestemmelserne heri svarer til ovennævnte rettigheder og for-
pligtelser i artikel 12-22.
Fastsættelse af begrænsninger i disse rettigheder og forpligtelser efter artikel
23, stk. 1, skal som anført ske ved lovgivningsmæssig foranstaltning. Det
indebærer ifølge præambelbetragtning nr. 41 ikke nødvendigvis en lov, der
er vedtaget af et parlament, men retsgrundlaget bør imidlertid være klart og
præcist, og anvendelse heraf bør være forudsigelig for personer, der er om-
fattet af dets anvendelsesområde. Endvidere skal begrænsninger efter artikel
23, stk. 1, respektere det væsentligste indhold af de grundlæggende rettighe-
der og frihedsrettigheder og være en nødvendig og forholdsmæssig foran-
staltning i et demokratisk samfund af hensyn til:
a) statens sikkerhed,
b) forsvaret,
c) den offentlige sikkerhed,
d) forebyggelse, efterforskning, afsløring eller retsforfølgning af straf-
bare, handlinger eller fuldbyrdelse af strafferetlige sanktioner, her-
under beskyttelse mod og forebyggelse af trusler mod den offent-
lige sikkerhed,
e) andre vigtige målsætninger i forbindelse med beskyttelse af Unio-
nens eller en medlemsstats generelle samfundsinteresser, navnlig
Unionens eller en medlemsstats væsentlige økonomiske eller finan-
sielle interesser, herunder valuta-, budget- og skatteanliggender,
folkesundhed og social sikkerhed,
f) beskyttelse af retsvæsenets uafhængighed og retssager,
g) forebyggelse, efterforskning, afsløring og retsforfølgning i forbin-
delse med brud på etiske regler for lovregulerede erhverv,
h) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af
midlertidig karakter, der er forbundet med offentlig myndigheds-
udøvelse i nogle af de tilfælde, der er omhandlet ovenfor i litra a)-
e) og g),
i) beskyttelse af den registrerede eller andres rettigheder og friheds-
rettigheder, eller
j) håndhævelse af civilretlige krav.
Fastsættelse af begrænsninger i forhold til de registreredes rettigheder kan
således efter artikel 23, stk. 1, alene ske af hensyn til de offentlige og private
interesser, der er udtømmende oplistet ovenfor.
Side 11/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0012.png
Herudover stilles der som følge af betingelserne i artikel 23, stk. 1, strenge
krav til, hvornår rækkevidden af forpligtelserne og rettighederne kan be-
grænses, jf. herom i Justitsministeriets betænkning nr. 1565 om databeskyt-
telsesforordningen, side 401.
I forhold til mulighederne efter artikel 23, stk. 1, har EU-Domstolen i de
forenede sager C-511/18, C-512/18 og C-520/18, La Quadrature du Net, ge-
nerelt udtalt, at kravet om, at begrænsninger skal være ”nødvendige”, inde-
bærer, at undtagelserne fra og begrænsningerne af beskyttelsen af person-
oplysninger skal holdes inden for det
strengt nødvendige
(præmis 210).
Endvidere fremgår det af Det Europæiske Databeskyttelsesråds (EDPB’s)
foreløbige vejledning 10/2020 om begrænsninger efter artikel 23, at be-
grænsninger efter bestemmelsen ikke må være så omfattende og indgri-
bende, at de fratager grundlæggende rettigheder deres kerneindhold, og at
det f.eks. ikke vil være tilladt generelt at begrænse alle registreredes ret-
tigheder efter artikel 12-22 i forhold til en specifik databehandlingssitua tio n
eller specifikke dataansvarlige (punkt 14).
Det fremgår af forordningens artikel 89, stk. 2, at der for personoplysninger,
der behandles til videnskabelige eller historiske forskningsformål eller til
statistiske formål, kan fastsættes undtagelser i national ret fra de rettigheder,
der er omhandlet i forordningens artikel 15, 16, 18 og 21.
For personoplysninger, der behandles til arkivformål i samfundets interesse,
kan der ifølge artikel 89, stk. 3, fastsættes undtagelser i national ret fra de
rettigheder, der er omhandlet i artikel 15, 16, 18, 19, 20 og 21.
Fastsættelse af undtagelser efter artikel 89, stk. 2 og 3, skal ske under iagt-
tagelse af de betingelser og garantier, der er omhandlet i artikel 89, stk. 1.
Det følger heraf, at behandling af personoplysninger til de pågældende for-
mål skal være underlagt fornødne garantier for registreredes rettigheder og
frihedsrettigheder, der skal sikre, at der er truffet tekniske og organisator iske
foranstaltninger, især for at sikre overholdelse af princippet om datamini-
mering. Fastsættelse af undtagelser efter stk. 2 og 3 kan endvidere kun ske,
såfremt overholdelse af rettighederne sandsynligvis vil gøre det umuligt el-
ler i alvorlig grad hindre opfyldelse af de specifikke formål, og hvis undta-
gelserne er nødvendige for at opfylde formålene.
Side 12/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0013.png
3.3.3. Fravigelser af hensyn til ytrings- og informationsfrihed
Det fremgår af databeskyttelsesforordningens artikel 85, stk. 1, at medlems-
staterne ved lov forener retten til beskyttelse af personoplysninger i henhold
til forordningen med retten til ytrings- og informationsfrihed, herunder be-
handling i journalistisk øjemed og med henblik på akademisk, kunstner isk
eller litterær virksomhed. Efter artikel 85, stk. 2, fastsætter medlemsstater ne
undtagelser eller fravigelser fra forordningens kapitel II (principper), kapitel
III (den registreredes rettigheder), kapitel IV (dataansvarlig og databehand-
ler), kapitel V (overførsel af personoplysninger til tredjelande eller interna-
tionale organisationer), kapitel VI (uafhængige tilsynsmyndigheder), kapi-
tel VII (samarbejde og sammenhæng) og kapitel IX (specifikke databehand-
lingssituationer), til behandling i journalistisk øjemed eller med henblik på
akademisk, kunstnerisk eller litterær virksomhed, hvis de er nødvendige for
at forene retten til beskyttelse af personoplysninger med ytrings- og infor-
mationsfriheden.
Af forordningens præambelbetragtning nr. 153 fremgår det bl.a., at undta-
gelser efter artikel 85 navnlig bør gælde for behandlingen af personoplys-
ninger på det audiovisuelle område og i nyhedsarkiver og pressebiblioteker,
og at det for at tage hensyn til betydningen af retten til ytringsfrihed i ethvert
demokratisk samfund er nødvendigt at tolke begreber vedrørende denne fri-
hed, f.eks. journalistik, bredt.
4. Databeskyttelseslovens supplerende regler
I databeskyttelsesloven er der inden for rammerne af det nationale råderum
fastsat bestemmelser, der supplerer databeskyttelsesforordningens regler.
Det gælder således både bestemmelser, der
kan
fastsættes inden for forord-
ningens anvendelsesområde, og bestemmelser, der
skal
fastsættes efter for-
ordningen. Herudover indeholder databeskyttelsesloven bestemmelser, der
udvider anvendelsen af databeskyttelsesforordningens regler til også at
gælde på visse områder, som falder uden for databeskyttelsesforordninge ns
harmonisering.
4.1. Reglernes materielle anvendelsesområde
I databeskyttelseslovens kapitel 1 (§§ 1-3), der omhandler det materielle an-
vendelsesområde for reglerne i loven og databeskyttelsesforordningen, er
der i § 2 fastsat bestemmelser, som udvider anvendelsesområdet for reglerne
i databeskyttelsesforordningen til områder uden for forordningens harmoni-
sering, mens der i § 3 er fastsat regler, som begrænser anvendelsesområdet.
Side 13/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
I forhold til
udvidelserne
er det bl.a. i databeskyttelseslovens § 2, stk. 1,
fastsat, at lovens og forordningens behandlingsregler og -principper også
gælder for manuel videregivelse af personoplysninger, der ellers ikke er om-
fattet af forordningen, når det sker fra en forvaltningsmyndighed til en anden
forvaltningsmyndighed. Det fremgår af forarbejderne til databeskyttelses lo-
ven, at bestemmelsen viderefører en tilsvarende regel i den dagældende per-
sondatalov, som ifølge forarbejderne blev indført for at skabe klarhed om
forholdet til forvaltningslovens regler om videregivelse af personoplysnin-
ger til andre forvaltningsmyndigheder. Der henvises til Folketingstide nde
2017-18, tillæg A, L 68 som fremsat, side 121 og 170, og Folketingstide nde
2008-09, tillæg A, side 4381 ff.
Efter databeskyttelseslovens § 2, stk. 2, er der fastsat regler om, at lovens
og databeskyttelsesforordningens regler
der ellers kun gælder for behand-
ling af personoplysninger
også gælder for behandling af oplysninger om
virksomheder mv., hvis behandlingen udføres for kreditoplysningsburea uer
eller sker som led i et advarselsregister eller et retsinformationssystem. Des-
uden fremgår det af § 2, stk. 3, at lovens kapitel 4, også gælder for oplys-
ninger om virksomheder mv. I lovens kapitel 4 er der inden for forordnin-
gens rammer fastsat særlige regler om videregivelse til kreditoplysningsb u-
reauer af oplysninger om gæld til det offentlige. Det fremgår af forarbej-
derne til databeskyttelsesloven, at reglerne i stk. 2 og 3, der er en viderefø-
relse fra den dagældende persondatalov, er fastsat af hensyn til den meget
væsentlige betydning, det også har for virksomheder, at behandling af op-
lysninger i kreditoplysningsøjemed sker på en saglig og lovlig måde, efter-
som ulovlige behandlinger på området vil kunne medføre meget alvorlige
skadevirkninger for de involverede. I lovens § 2, stk. 7 og 8, er det endvidere
fastsat, at der i tilfælde, som falder uden for § 2, stk. 2 og 3, kan fastsættes
regler, hvorefter loven helt eller delvis skal finde anvendelse på behandling
af oplysninger om virksomheder, som udføres for henholdsvis private eller
for den offentlige forvaltning. Ifølge forarbejderne til bestemmelserne sikres
det herved, at de nævnte behandlinger kan omfattes af loven, hvis der findes
at være behov herfor. Der henvises til Folketingstidende 2017-18, tillæg A,
L 68 som fremsat, side 140 ff. og side 170 f.
I databeskyttelseslovens § 2, stk. 4, er der fastsat regler om, at loven og da-
tabeskyttelsesforordningen gælder for enhver form for tv-overvågning, her-
under analog tv-overvågning, der ellers ville falde uden for reglernes anven-
delsesområde. Ifølge forarbejderne til databeskyttelsesloven er der tale om
Side 14/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
en videreførelse fra den dagældende persondatalov, hvor anvendelsesområ-
det ifølge forarbejderne til bestemmelsen var blevet udvidet til al tv-over-
vågning af hensyn til en mere sammenhængende regulering af behandling
af personoplysninger i forbindelse med tv-overvågning, hvor det kunne
være vanskeligt at skelne mellem, hvornår man var inden for og uden for
loven. Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som frem-
sat, side 121, og Folketingstidende 2006-07, tillæg A, side 5396 f.
I databeskyttelseslovens § 2, stk. 5 og 6, er der fastsat regler om, at loven og
databeskyttelsesforordningen også finder anvendelse på oplysninger om af-
døde personer i 10 år efter vedkommendes død, og en bemyndigelse til ved
bekendtgørelse helt eller delvis at forlænge eller forkorte denne periode. Det
fremgår af forarbejderne til databeskyttelsesloven, at reglerne i § 2, stk. 5
og 6, er fastsat ud fra hensynet til, at oplysninger om afdøde personer kan
være af væsentlig betydning for de afdødes eftermæle og dermed også for
de nulevende pårørende, hvilket begrunder, at sådanne oplysninger beskyt-
tes i en vis periode. Det fremgår endvidere, at perioden på 10 år vurderes at
være passende, og at den præcise angivelse af perioden gør reglerne nem-
mere at administrere i praksis. Der henvises til Folketingstidende 2017-18,
tillæg A, L 68 som fremsat, side 120 f.
I forhold til
begrænsninger
i anvendelsesområdet er det i databeskyttelses-
lovens § 3, stk. 1, fastsat, at loven og databeskyttelsesforordningen ikke fin-
der anvendelse, hvis det vil være i strid med ytrings- og informationsfrihe-
den. I lovens § 3, stk. 3, er det fastsat, at loven og forordningen ikke finder
anvendelse på behandling af oplysninger, der foretages som led i Folketin-
gets parlamentariske arbejde. I databeskyttelseslovens § 3, stk. 4-8, er der
fastsat begrænsninger for anvendelsen af store dele af forordningens regler
i forhold til behandling af personoplysninger i journalistisk øjemed eller
som led i kunstnerisk eller litterær virksomhed. Ifølge forarbejderne til da-
tabeskyttelsesloven er der tale om bestemmelser, som er fastsat på grundla g
af kravet i forordningens artikel 85 til ved lov at forene retten til beskyttelse
af personoplysninger med retten til ytrings- og informationsfrihed. Der hen-
vises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side 121.
I databeskyttelseslovens § 3, stk. 2, 9 og 10, er der af hensyn til statens sik-
kerhed fastsat bestemmelser, som begrænser databeskyttelsesforordninge ns
anvendelsesområde. Efter § 3, stk. 2, finder loven og databeskyttelsesfo r-
ordningen ikke anvendelse på den behandling af personoplysninger, som
Side 15/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0016.png
udføres for eller af politiets og forsvares efterretningstjenester. Bestemme l-
sen er ifølge forarbejderne en præcisering af undtagelsen i forordninge ns
artikel 2, stk. 2, litra a. Det følger af lovens § 3, stk. 9, at der kan fastsættes
regler om, at personoplysninger, der behandles i nærmere bestemte it-syste-
mer, og som føres for den offentlige forvaltning, helt eller delvis alene må
opbevares her i landet, hvilket indebærer, at opbevaringen af oplysninger ne
ikke er omfattet af loven og forordningen. Af lovens § 3, stk. 10, følger det,
at der kan fastsættes regler om, at loven og databeskyttelsesforordninge n
helt eller delvis ikke finder anvendelse på forsvarets behandling af person-
oplysninger i forbindelse med forsvarets internationale operative virke. Der
henvises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side 120
ff. og side 171 ff.
Ud over bestemmelser om lovens og databeskyttelsesforordningens anven-
delsesområde, er der i loven fastsat øvrige bestemmelser, der supplerer for-
ordningens regler. Bestemmelserne kan opdeles i fire kategorier.
4.2. Specifikke bestemmelser om behandling af personoplysninger
I en første kategori findes specifikke bestemmelser om, hvornår personop-
lysninger må behandles inden for forordningens rammer.
I databeskyttelsesloven er der bl.a. fastsat en række specifikke bestemmelser
i lovens §§ 7-21 om, hvornår der må ske behandling af almindelige og føl-
somme personoplysninger. Reglerne, der ifølge forarbejderne til databe-
skyttelsesloven i vidt omfang er en videreførelse af tilsvarende regler i den
dagældende persondatalov, er fastsat inden for rammerne af databeskyttel-
sesforordningens artikel 6, stk. 2 og 3, og artikel 9, stk. 2-4, artikel 10 samt
artikel 87 og 88 (jf. nærmere herom nedenfor).
I databeskyttelseslovens § 7 er det nationale råderum i databeskyttelsesfo r-
ordningens artikel 9, stk. 2-4, om undtagelser til forordningens forbud mod
behandling af følsomme personoplysninger blevet udnyttet ved at aktivere
de dele heri, der kræver national lovgivning for at finde anvendelse. Da det
ifølge forarbejderne til databeskyttelsesloven kan være vanskeligt på for-
hånd fuldstændigt at forudse behovet for at kunne behandle følsomme per-
sonoplysninger, er der i databeskyttelseslovens § 7, stk. 5, givet vedkom-
mende minister bemyndigelse til efter forhandling med justitsministeren at
fastsætte yderligere regler om behandling af følsomme personoplysninger
inden for rammerne af råderummet i databeskyttelsesforordningens artikel
Side 16/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
9. Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat,
side 130 ff. og 176 f.
I databeskyttelseslovens § 8 er der fastsat specifikke regler om, hvornår hen-
holdsvis offentlige myndigheder og private må behandle personoplysninger
om strafbare forhold. Bestemmelsen udnytter ifølge forarbejderne til data-
beskyttelsesloven råderummet i databeskyttelsesforordningens artikel 6,
stk. 2 og 3, til at videreføre den dagældende regulering i persondatalove n
for så vidt angår behandling af oplysninger om strafbare forhold. Baggrun-
den herfor var, at der vurderedes også fremover at være et særligt beskyttel-
seshensyn i forhold til behandling af sådanne oplysninger. Bestemme lse n
aktiverer samtidig muligheden i forordningens artikel 10 for, at private kan
behandle sådanne oplysninger, der ellers alene må behandles under kontrol
af en offentlig myndighed. Der henvises til Folketingstidende 2017-18, til-
læg A, L 68 som fremsat, side 133 f. og 177 ff.
I databeskyttelseslovens § 9 er råderummet i forordningens artikel 6, stk. 2
og 3, og artikel 9 samt artikel 10 udnyttet til at fastsætte en særlige bestem-
melse om behandling af følsomme personoplysninger og oplysninger om
straffedomme og lovovertrædelser i retsinformationssystemer. Det fremgår
af forarbejderne til databeskyttelsesloven, at retsinformationssystemer i
mange tilfælde vil indeholde personoplysninger, herunder følsomme per-
sonoplysninger. Derfor blev det fundet hensigtsmæssigt at indføre en ud-
trykkelig bestemmelse i lovgivningen, hvorefter følsomme oplysninger og
oplysninger om strafbare forhold kan behandles, såfremt dette alene sker
med henblik på at føre retsinformationssystemer af væsentlig samfunds-
mæssig betydning, og behandlingen er nødvendig herfor. Det fremgår end-
videre, at der med bestemmelsen etableres tilstrækkelige garantier mod mis-
brug af oplysninger i retsinformationssystemer. Der henvises til Folketings-
tidende 2017-18, tillæg A, L 68 som fremsat, side 134 f. og 179.
I databeskyttelseslovens § 10 er der fastsat særlige betingelser for behand-
ling af personoplysninger, der alene sker med henblik på at udføre statistiske
eller videnskabelige undersøgelser af væsentlig samfundsmæssig betyd-
ning. Det fremgår af forarbejderne til databeskyttelsesloven, at bestemme l-
sen, der udnytter råderummet i databeskyttelsesforordningens artikel 9, stk.
2, litra j, viderefører en tilsvarende bestemmelse fra den dagældende per-
sondatalov, som skal skabe en fornuftig balance mellem hensynet til forsk-
Side 17/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
ning og statistik og hensynet til beskyttelsen af personoplysninger. Der hen-
vises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side 135 ff.
og 179 ff.
I databeskyttelseslovens § 11 er der fastsat en specifik bestemmelse om be-
handling af oplysninger om personnummer for henholdsvis offentlige myn-
digheder og private. Det fremgår af forarbejderne til databeskyttelseslo ve n,
at bestemmelsen, der udnytter råderummet i databeskyttelsesforordninge ns
artikel 87, viderefører den dagældende persondatalovs regulering af behand-
ling af oplysninger om personnumre, da der fortsat bør gælde særlige betin-
gelser for behandling af oplysninger om personnumre. Der henvises til Fol-
ketingstidende 2017-18, tillæg A, L 68 som fremsat, side 137 og 181.
I databeskyttelseslovens § 12 er der fastsat en specifik bestemmelse om be-
handling af både almindelige og følsomme personoplysninger i forbinde lse
med ansættelsesforhold. Bestemmelsen udnytter ifølge forarbejderne til da-
tabeskyttelsesloven råderummet i databeskyttelsesforordningens artikel 88
og er fastsat af hensyn til at sikre et klart grundlag for at behandle nødven-
dige personoplysninger på baggrund af kollektive overenskomster og afta-
ler, da forordningens regler kunne give anledning til tvivl på dette område.
Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side
137 ff. og 182 f.
I databeskyttelseslovens § 13 er der fastsat en specifik bestemmelse om krav
til samtykke ved anvendelse af personoplysninger til brug for markedsfø-
ring. Bestemmelsen udnytter ifølge databeskyttelseslovens forarbejder rå-
derummet i databeskyttelsesforordningens artikel 6, stk. 2 og 3, og er fastsat
af hensyn til beskyttelse af de registrerede i forbindelse med markedsføring,
da de registrerede bør have afgørende indflydelse på, i hvilket omfang der
behandles personoplysninger om de pågældende med henblik på markeds-
føring. Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som frem-
sat, side 139 f. og 183 ff.
I databeskyttelseslovens § 14 er der fastsat en specifik bestemmelse om mu-
lighederne for at opbevare personoplysninger i arkiv efter arkivloven. Be-
stemmelsen udnytter ifølge forarbejderne til databeskyttelsesloven råderum-
met i databeskyttelsesforordningens artikel 9, stk. 2, litra j, og er fastsat for
at skabe klarhed om forholdet til reglerne om arkivering af personoplysnin-
ger mv. Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som
fremsat, side 140 og 185.
Side 18/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0019.png
I databeskyttelseslovens §§ 15-21 er der fastsat specifikke bestemmelser om
videregivelse af oplysninger om gæld til det offentlige til kreditoplysnings-
bureauer og om drift af kreditoplysningsbureauer. Bestemmelserne udnytter
ifølge forarbejderne til databeskyttelsesloven råderummet i databeskyttel-
sesforordningens artikel 6, stk. 2 og 3. Bestemmelserne er fastsat for at sikre
beskyttelsen af fysiske personer og virksomheder i kreditoplysningsøje med
på grund af den meget væsentlige betydning, det har for enkeltpersoner (og
virksomheder), at behandling af oplysninger i kreditoplysningsøjemed sker
på en saglig og lovlig måde. Ulovlige behandlinger på dette område vil
kunne medføre meget alvorlige skadevirkninger for de involverede parter.
Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side
140 ff. og 185 ff.
4.3. Bestemmelser om specifikke valg
I en anden kategori findes bestemmelser, hvorved der er truffet nogle valg
inden for forordningens rammer.
I databeskyttelseslovens § 6, stk. 2 og 3, er der fastsat en aldersgrænse på
13 år for, hvornår et barn kan give samtykke til behandling af personoplys-
ninger i forbindelse med udbud af informationssamfundstjenester direkte til
børn. Grænsen er lavere end forordningens udgangspunkt på 16 år. Bestem-
melsen udnytter ifølge forarbejderne til databeskyttelsesloven råderummet i
databeskyttelsesforordningens artikel 8, stk. 1. I bemærkningerne til lov-
forslaget blev der bl.a. lagt vægt på, at børn i Danmark i høj grad er medie-
vante, og at adgang til information via søgemaskiner og deltagelse i online
aktiviteter har stor samfundsmæssig og social betydning for børn og unge.
Endvidere blev der lagt vægt på, at en høj aldersgrænse kan føre til, at børn
og unge udelukkes fra informationssamfundstjenester, og at det er tvivl-
somt, om en høj aldersgrænse medfører en øget integritetsbeskyttelse. Der
henvises til Folketingstidende 2017-18, tillæg A, L 68 som fremsat, side 127
og 175 f.
I databeskyttelseslovens § 26 er det fastsat, at der i nogle tilfælde kræves
tilladelse fra Datatilsynet, inden en behandling iværksættes. Kravet gælder
for private dataansvarlige,
når
behandlingen af personoplysningerne sker
med henblik på at advare andre mod forretningsforbindelser med eller an-
sættelsesforhold til en registreret,
når
behandlingen sker med henblik på er-
hvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk
soliditet og kreditværdighed,
eller når
behandlingen udelukkende finder
Side 19/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0020.png
sted med henblik på at føre retsinformationssystemer. Det fremgår af forar-
bejderne til databeskyttelsesloven, at bestemmelsen, der udnytter råderum-
met i databeskyttelsesforordningens artikel 36, stk. 5, er fastsat ud fra et
hensyn til, at det er af meget væsentlig betydning for såvel enkeltpersoner
som virksomheder, at registrering i et advarselsregister og behandling i et
kreditoplysningsbureau sker på en saglig og lovlig måde. Ulovlig behand-
ling på disse områder vil kunne medføre meget alvorlige skadevirkninger
for de involverede parter. I forhold til retsinformationssystemer er reglerne
fastsat under hensyntagen til, at der i sådanne systemer foretages en særligt
indgribende behandling af personoplysninger. Der henvises til Folketingsti-
dende 2017-18, tillæg A, L 68 som fremsat, side 147 ff.
I databeskyttelseslovens § 41, stk. 6, 2. pkt., er det i medfør af databeskyt-
telsesforordningens artikel 83, stk. 7, fastsat, at offentlige myndigheder og
institutioner mv. kan pålægges strafansvar for overtrædelse af databeskyt-
telsesreglerne, selvom overtrædelsen sker som led i myndighedsudøve lse.
Der er herved tale om en fravigelse af det generelle princip i straffelovens §
27, stk. 2, om at staten, regioner og kommuner alene kan straffes i anledning
af overtrædelser, der begås ved udøvelse af virksomhed, der svarer til eller
kan sidestilles med virksomhed udøvet af private. Det følger dog af forar-
bejderne til databeskyttelsesloven, at der forudsættes lavere bødelofter for
offentlige myndigheders overtrædelser end dem, der fremgår af forordnin-
gens artikel 83, stk. 4-6, idet råderummet i artikel 83, stk. 7, som nævnt
tillader, at medlemsstaterne kan bestemme, ”i hvilket omfang” offentlige
myndigheder kan pålægges bøder. Der henvises til Folketingstidende 2017-
18, tillæg A, L 68 som fremsat, side 164 f.
4.4. Bestemmelser om undtagelser fra forpligtelser og rettigheder
I en tredje kategori er der bestemmelser, som fastsætter undtagelser og be-
grænsninger fra en række forpligtelser og rettigheder i forordningen.
I databeskyttelseslovens §§ 22 og 23 er der inden for rammerne af databe-
skyttelsesforordningens artikel 23 og 89 fastsat visse undtagelser og be-
grænsninger fra databeskyttelsesforordningens artikel 13 og 14 om oplys-
ningspligt over for den registrerede, artikel 15 om den registreredes indsigts-
ret, artikel 16 om den registreredes ret til berigtigelse, artikel 18 om den
registreredes ret til at opnå begrænsning af den dataansvarliges behandling,
artikel 21 om den registreredes ret til indsigelse og artikel 34 om underret-
ningspligt ved sikkerhedsbrud.
Side 20/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
Efter databeskyttelseslovens § 22, stk. 1, kan der efter en konkret vurdering
gøres undtagelse fra oplysningspligten, indsigtsretten og underretningsplig-
ten, når der foreligger afgørende hensyn til private interesser, herunder hen-
synet til den registrerede selv. Efter lovens § 22, stk. 2, kan der endvidere
gøres undtagelse fra disse rettigheder, når der foreligger afgørende hensyn
til en række nærmere angivne offentlige interesser svarende til de interesser,
der er oplistet i databeskyttelsesforordningens artikel 23, stk. 1, litra a-j.
Ifølge forarbejderne til databeskyttelsesloven er undtagelsesmuligheder ne
fastsat inden for rammerne af forordningens artikel 23 af hensyn til, at en
ubetinget oplysningspligt, indsigtsret og pligt til at underrette den registre-
rede om brud på persondatasikkerheden ville kunne være skadelig af hensyn
til afgørende private eller offentlige interesser. Der henvises til Folketings-
tidende 2017-18, tillæg A, L 68 som fremsat, side 144 f. og Folketingsti-
dende 2017-18, tillæg B, betænkning over L 68 (omtryk), side 6 ff.
I databeskyttelseslovens § 22, stk. 3, er der fastsat undtagelser fra indsigts-
retten svarende til undtagelserne
for retten til ”egenacces” i dokumenter hos
offentlige myndigheder efter offentlighedsloven. Det fremgår af forarbej-
derne til databeskyttelsesloven, at undtagelsen er fastsat inden for rammerne
af forordningens artikel 23 og artikel 86 for at sikre, at der
i lighed med
retstilstanden efter den dagældende persondatalov
er overensstemme lse
mellem regler i databeskyttelsesforordningen, databeskyttelsesloven og of-
fentlighedslovens regler om egenacces. Der henvises til Folketingstide nde
2017-18, tillæg A, L 68 som fremsat, side 145.
I databeskyttelseslovens § 22, stk. 4, er det fastsat, at oplysningspligten og
indsigtsretten ikke finder anvendelse for domstolene, når disse handler i de-
res egenskab af domstol. Det fremgår af forarbejderne til databeskyttelses-
loven, at undtagelsen er fastsat inden for rammerne af forordningens artikel
23 og præambelbetragtning nr. 20 af hensyn til domstolenes særlige status
og den detaljerede procesregulering, der i forvejen findes i retsplejelo ve n,
og som beskytter den registrerede i tilstrækkelig grad. Der henvises til Fol-
ketingstidende 2017-18, tillæg A, L 68 som fremsat, side 145 og 193.
Efter databeskyttelseslovens § 22, stk. 5, finder forordningens artikel 15, 16,
18 og 21 ikke anvendelse, hvis oplysningerne udelukkende behandles i vi-
denskabeligt eller statistisk øjemed. Det fremgår af forarbejderne til databe-
skyttelsesloven, at undtagelsen er fastsat inden for rammerne af forordnin-
gens artikel 89, stk. 2, for at skabe en rimelig balance mellem på den ene
side hensynet til den registrerede og på den anden side hensynet til andre
Side 21/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0022.png
beskyttelsesværdige interesser, herunder bl.a. til, at der ikke pålægges de
dataansvarlige for vidtgående byrder i forbindelse med behandlingen af op-
lysninger til videnskabelige eller statistiske formål. Der henvises til Folke-
tingstidende 2017-18, tillæg A, L 68 som fremsat, side 145 og 193.
Databeskyttelseslovens § 22, stk. 6, fastsætter inden for rammerne af for-
ordningens artikel 23 en undtagelse til underretningspligten ved sikkerheds-
brud, hvis det konkret må antages at vanskeliggøre efterforskningen af straf-
bare forhold. Ifølge forarbejderne til databeskyttelsesloven er undtagelse n
fastsat ud fra de samme hensyn som § 22, stk. 5. Der henvises til Folketings-
tidende 2017-18, tillæg A, L 68 som fremsat, side 145 og 193 f.
Efter databeskyttelseslovens § 23 er der inden for rammerne af forordnin-
gens artikel 23 fastsat en undtagelse fra reglerne om fornyet oplysningsp ligt
i situationer, hvor offentlige myndigheder viderebehandler personoplysnin-
ger på baggrund af regler fastsat i henhold til lovens § 5, stk. 3, til et andet
formål end det, hvortil de er indsamlet, dog ikke når formålet er sammen-
stilling eller samkøring af personoplysninger i kontroløjemed. Ifølge forar-
bejderne til databeskyttelsesloven er bestemmelsen fastsat inden for ram-
merne af forordningens artikel 23 af hensyn til, at fornyet oplysningsp ligt
kan opleves som administrativt byrdefuldt, og at det synes tvivlsomt, om en
fornyet oplysningspligt i den omhandlede situation reelt vil skabe større
retssikkerhed for den registrerede. Der henvises til Folketingstidende 2017-
18, tillæg A, L 68 som fremsat, side 145 f. og Folketingstidende 2017-18,
tillæg B, betænkning over L 68 (omtryk), side 8 ff.
4.5. Obligatoriske bestemmelser
I en sidste og fjerde kategori er der fastsat regler, der gennemfører bestem-
melser i databeskyttelsesforordningen, som
skal
gennemføres ved lov af
medlemsstaterne.
Disse obligatoriske bestemmelser er
ud over databeskyttelseslovens § 3,
stk. 1 og 3-8, der er omtalt ovenfor under afsnit 4.1
udmøntet i en række
bestemmelser i databeskyttelseslovens afsnit IV, VI og VII.
I databeskyttelseslovens § 25, der gennemfører databeskyttelsesforordnin-
gens artikel 43, er det fastsat, at Datatilsynet og et særligt nationalt akkredi-
teringsorgan er bemyndiget til at akkreditere certificeringsorganer, der kan
udstede certificeringer, som kan bruges til at påvise overholdelse af forord-
ningen.
Side 22/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
I databeskyttelseslovens §§ 27 og 37 er der bl.a. fastsat regler, der gennem-
fører forordningens artikel 51, stk. 1 og 3, artikel 52, stk. 4-6, artikel 53, stk.
1, og artikel 54, stk. 1, hvorefter medlemsstaterne skal oprette en eller flere
uafhængige tilsynsmyndigheder med tilstrækkelige ressourcer og med med-
lemmer, der er udnævnt efter en gennemsigtig procedure. Den danske ord-
ning er udformet således, at Datatilsynet som uafhængig tilsynsmyndighed
består af et råd og et sekretariat, der ledes af en direktør. Datatilsynet har
tilsynskompetence på alle områder inden for dansk jurisdiktion omfattet af
forordningen og databeskyttelsesloven. Tilsynet med domstolene, når disse
ikke handler i deres egenskab af domstol, varetages af Domstolsstyrelse n.
Det fremgår af forarbejderne til databeskyttelsesloven, at der er tale om en
videreførelse af den organisering, som også gjaldt under den dagældende
persondatalov, idet denne, herunder opdelingen mellem Datatilsynet og
Domstolsstyrelsen af hensyn til domstolene særlige funktion, blev fundet
hensigtsmæssig. Der henvises til Folketingstidende 2017-18, tillæg A, L 68
som fremsat, side 149 ff.
I databeskyttelseslovens §§ 41 og 43 er der i medfør af databeskyttelsesfo r-
ordningens artikel 84 bl.a. fastsat regler om andre sanktioner end de mulig-
heder for bødestraffe, der følger direkte af forordningen. Ifølge forarbej-
derne til databeskyttelsesloven drejer det sig bl.a. om muligheden for fast-
sættelse af bødestraffe for overtrædelser, som ikke følger af forordninge ns
artikel 83, stk. 4-6. Endvidere drejer det sig om fastsættelse af mulighed for
at idømme fængselsstraf for overtrædelse af forordningen samt mulighed
for frakendelse af retten til at drive eller beskæftige sig med kreditoplys-
ningsbureauvirksomhed, advarselsregistre eller det at føre retsinformatio ns-
systemer. Der henvises til Folketingstidende 2017-18, tillæg A, L 68 som
fremsat, side 157 ff. og 203 ff.
5. Justitsministeriets overvejelser og vurdering
5.1. Generelle muligheder for at begrænse databeskyttelsesforordningen
Som anført ovenfor under afsnit 3 er der inden for forordningens rammer
visse muligheder for at begrænse anvendelsen af forordningen.
I databeskyttelsesforordningens artikel 85 er der som anført en forpligte lse
for medlemsstaterne til at begrænse forordningens anvendelse helt eller del-
vis, hvis det er nødvendigt for at forene retten til beskyttelse af personop-
lysninger med retten til ytrings- og informationsfrihed. Forpligtelsen er ud-
Side 23/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
møntet i databeskyttelseslovens § 3, stk. 1 og 3-8, der fastsætter de nødven-
dige regler. Efter Justitsministeriets vurdering er dette råderum herefter
yderst begrænset.
Herudover er der efter databeskyttelsesforordningens artikel 23 under visse
betingelser mulighed for at begrænse rækkevidden af forpligtelserne og ret-
tighederne i forordningens artikel 12-22 og 34 samt tilsvarende forpligte lser
og rettigheder i artikel 5.
Råderummet i artikel 23, stk. 1, kan efter Justitsministeriets vurdering f.eks.
anvendes til at fastsætte, at den dataansvarlige efter en konkret vurdering
kan gøre visse undtagelser fra disse regler af hensyn til en eller flere af de
interesser, der er oplistet i artikel 23, stk. 1, litra a-j. Denne mulighed er for
så vidt angår artikel 13 og 14 (om oplysningspligt) og artikel 15 (om ind-
sigtsret) samt artikel 34 (om underretningspligt ved sikkerhedsbrud) udnyt-
tet i databeskyttelseslovens § 22, stk. 1 og 2.
Endvidere kan råderummet anvendes til at gøre undtagelse fra enkelte be-
stemmelser som f.eks. indsigtsretten i tilfælde, hvor der er tungtvejende hen-
syn til en eller flere af de nævnte interesser i artikel 23, stk. 1, litra a-j. Denne
mulighed er som anført ovenfor under afsnit 4.4 udnyttet i databeskyttelses-
lovens § 22, stk. 3, hvor der med henvisningen til offentlighedslovens § 35
gøres undtagelse fra indsigtsretten hos offentlige myndigheder på områder,
hvor der gælder særlige tavshedspligtsbestemmelser.
Blandt andet på baggrund af EU-Domstolens praksis
og EDPB’s foreløbige
retningslinjer om artikel 23 vil det efter Justitsministeriets vurdering om-
vendt ikke være foreneligt med forordningen at fastsætte en generel undta-
gelse for visse kategorier af dataansvarlige som f.eks. frivillige foreninger
eller andre mindre private aktører fra at skulle iagttage reglerne i forordnin-
gens artikel 12-22 og 34 samt artikel 5. Endvidere vil det ikke være forene-
ligt med forordningen at fastsætte en generel undtagelse fra at skulle iagt-
tage disse regler ved specifikke behandlingsaktiviteter i forhold til alle regi-
strerede.
Justitsministeriet har overvejet, om der inden for dette råderum kan fastsæt-
tes undtagelser fra at skulle iagttage enkelte rettigheder som f.eks. oplys-
ningspligten eller indsigtsretten for mindre aktører, herunder frivillige for-
eninger, af hensyn til deres størrelse eller af hensyn til et stærkt forenings liv
båret af frivillige.
Side 24/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
Efter Justitsministeriets vurdering vil en begrænsning af rettigheder på bag-
grund af, at mindre aktører, herunder frivillige foreninger, ikke har tilstræk-
kelige ressourcer til at overholde reglerne, ikke kunne gennemføres inden
for rammerne af artikel 23. Efter Justitsministeriets vurdering gælder dette
også, selvom det i forhold til visse foreninger samtidig vil kunne anses for
at varetage et hensyn til et stærkt foreningsliv båret af frivillige.
For så vidt angår mulighederne for at fastsætte begrænsninger efter databe-
skyttelsesforordningens artikel 89 for behandlinger af personoplysninger til
videnskabelige eller statistiske formål er disse efter Justitsministeriets vur-
dering i vidt omfang blevet udtømt i databeskyttelseslovens § 22, stk. 5.
Mulighederne for at fastsætte yderligere undtagelser efter denne bestem-
melse må herefter anses for at være meget begrænsede. Hertil kommer, at
Justitsministeriet ikke som led i evalueringsarbejdet, herunder erfaringsind-
samlingen, har fundet grundlag for at overveje yderligere undtagelser i for-
hold til mindre aktørers behandling af personoplysninger til videnskabe lige
eller statistiske formål mv.
Det bemærkes, at der i visse dele af databeskyttelsesforordningens regler er
taget hensyn til mindre aktører.
Det fremgår således bl.a. af databeskyttelsesforordningens præambelbe-
tragtning nr. 13, at EU-institutionerne og -organerne samt medlemsstater ne
og deres tilsynsmyndigheder opfordres til at tage hensyn til mikrovirkso m-
heders og små og mellemstore virksomheders særlige behov i forbinde lse
med anvendelsen af forordningen.
Endvidere er der i forordningens artikel 30, stk. 5, for mindre aktører, der
beskæftiger under 250 personer, indsat en undtagelse fra pligten til at føre
fortegnelser over behandlingsaktiviteter, medmindre behandlingsaktivitete n
sandsynligvis vil medføre en risiko for registreredes rettigheder og friheds-
rettigheder, ikke er lejlighedsvis eller omfatter følsomme personoplysninger
mv. Den såkaldte Artikel 29-gruppe, som er afløst af EDPB efter ikrafttræ-
delsen af forordningen, har udgivet en vejledning om forståelsen af bestem-
melsen.
Endvidere er der især for at hjælpe mindre aktører
eksempelvis foreninger
inden for et specifikt område
med overholdelsen af databeskyttelsesfo r-
Side 25/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
ordningen indført regler om såkaldte adfærdskodekser i forordningens arti-
kel 40 og 41. En adfærdskodeks er et sæt retningslinjer, som med inddra-
gelse af Datatilsynet skal bidrage til at sikre, at de dataansvarlige, der har
tilsluttet sig kodeksen, anvender reglerne i databeskyttelsesforordninge n
korrekt. En kodeks vil bl.a. kunne angive, hvordan man i specifikke typetil-
fælde skal håndtere behandlingen af personoplysninger og f.eks. hjælpe for-
eninger med at påvise, at foreningen lever op til sine forpligtelser efter for-
ordningen. En adfærdskodeks kan udarbejdes af en sammenslutning og an-
dre organer, der repræsenterer kategorier af dataansvarlige. Det vil eksem-
pelvis på foreningsområdet være oplagt, at større lands- eller hovedforenin-
ger
der typisk har et indgående kendskab til sædvanlige behandlinger af
personoplysninger inden for det pågældende område
med flere underlig-
gende foreninger tager initiativ til at udarbejde en adfærdskodeks. Justits-
ministeriet og Datatilsynet har i januar 2018 udgivet en vejledning om ad-
færdskodekser og certificeringsordninger.
I forhold til mindre aktørers overholdelse af databeskyttelsesforordninge ns
og databeskyttelseslovens regler er der herudover udgivet en vejledning fra
Justitsministeriet i december 2018 målrettet frivillige foreningers behand-
ling af personoplysninger. Vejledningen, der giver svar på en række ofte
stillede spørgsmål, er udarbejdet i samarbejde med Datatilsynet som et sup-
plement til Datatilsynets vejledningsindsats over for bl.a. foreninger og min-
dre aktører. Desuden har Datatilsynet og Erhvervsstyrelsen i samarbejde ud-
viklet værktøjet, ”PrivacyKompasset”, der skal hjælpe særligt mindre aktø-
rer med at få styr på overholdelsen af reglerne. Det kan endvidere bemærkes,
at Datatilsynet i 2020 har forholdt sig til en række anbefalinger fra Erhvervs-
livets EU- og Regelforum, som relaterer sig til databeskyttelsesreglerne. I
den forbindelse har Datatilsynet bl.a. oplyst, at tilsynet vil påbegynde udar-
bejdelse af et særligt koncept for små og mellemstore virksomheders efter-
levelse af databeskyttelsesreglerne, og at det er tilsynets hensigt at inddrage
erhvervslivet i dette arbejde.
5.2. Muligheder for at forenkle reglerne i databeskyttelsesloven
Som anført ovenfor under afsnit 4 er der inden for databeskyttelsesforo rd-
ningens nationale råderum fastsat regler i databeskyttelsesloven, der supple-
rer databeskyttelsesforordningens regler. Det omfatter både bestemmelser,
der
kan
fastsættes inden for forordningens anvendelsesområde, og bestem-
melser, der
skal
fastsættes efter forordningen. Herudover indeholder data-
Side 26/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
beskyttelsesloven bestemmelser, der fastsætter, at databeskyttelsesforo rd-
ningens regler også gælder på visse områder, som falder uden for databe-
skyttelsesforordningens harmonisering.
Indholdet af databeskyttelseslovens regler er
bortset fra de obligator iske
regler, der skal gennemføres efter forordningen
bl.a. udtryk for en videre-
førelse af visse regler fra den dagældende persondatalov med henblik på at
varetage særlige hensyn på bestemte områder.
Som det fremgår under afsnit 4 ovenfor, er der overordnet tale om
hensyn
til:
- klarhed om forholdet til regler i anden lovgivning,
- afdøde personers eftermæle og hensynet til de pårørende til afdøde,
- klarhed om, hvornår der må ske behandling af personoplysninger,
- at sikre muligheder for nødvendig behandling af personoplysninger,
herunder følsomme personoplysninger og oplysninger om strafbare
forhold,
- at sikre børn og unge adgang til information via søgemaskiner og
deltagelse i online aktiviteter,
- beskyttelse af enkeltpersoner og virksomheder mod risiko for alvor-
lige skadevirkninger i forbindelse med indgribende behandlingsak-
tiviteter som f.eks. kreditoplysning,
- at sikre muligheden for udførelsen af statistiske eller videnskabe lige
undersøgelser af væsentlig samfundsmæssig betydning,
- beskyttelse af de registrerede i forbindelse med markedsføring,
- at sikre muligheden for at pålægge offentlige myndigheder og insti-
tutioner mv. bødestraf, og
- at sikre muligheden for nødvendige undtagelser fra reglerne om op-
lysningspligt, indsigtsret og pligt til at underrette den registrerede
om brud på persondatasikkerheden.
5.3. Anbefalinger fra Erhvervslivets EU- og Regelforum
Erhvervslivets EU- og Regelforum (Regelforum) er et uafhængigt organ,
der rådgiver regeringen om, hvilke regler der gør det unødvendigt kompli-
ceret at være virksomhed.
Regelforum afgav i juni 2020 bl.a. to anbefalinger til regeringen om at un-
dersøge mulighederne for at:
1) lempe oplysningspligten efter databeskyttelsesforordninge ns artikel
13 og
Side 27/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2) fastsætte en minimumsgrænse for anmeldelse af brud på personda-
tasikkerheden til Datatilsynet.
Justitsministeriet har som svar på anbefalingerne oplyst, at disse vil blive
behandlet som led i den nationale evaluering af databeskyttelsesreglerne.
5.3.1. Lempelse af oplysningspligten
Det fremgår af databeskyttelsesforordningens artikel 13, stk. 1, at der ved
indsamling af personoplysninger hos den registrerede skal gives oplysninger
til den registrerede vedrørende:
- identitet og kontaktoplysninger på dataansvarlige mv.,
- kontaktoplysninger på en eventuel databeskyttelsesrådgiver,
- formålet med behandlingen af personoplysningerne,
- retsgrundlaget for behandlingen af personoplysningerne,
- eventuelle modtagere eller kategorier af modtagere af personoplys-
ningerne,
- om den dataansvarlige agter at overføre personoplysninger til et
tredjeland eller en international organisation, og om det i givet fald
er et sikkert tredjeland eller henvisning til de fornødne eller pas-
sende garantier herfor mv.
Endvidere skal der efter artikel 13, stk. 2, gives oplysninger, der er nødven-
dige for at sikre en rimelig og gennemsigtig behandling, herunder oplysnin-
ger om tidsrummet for oplysningernes opbevaring og retten til at anmode
om indsigt, berigtigelse eller sletning af personoplysninger samt ret til at
gøre indsigelse mod behandling.
Efter forordningens artikel 13, stk. 3, skal den dataansvarlige, hvor denne
agter at viderebehandle personoplysningerne til et andet formål end det, op-
lysningerne er indsamlet til, forud herfor give den registrerede oplysninger
om dette andet formål og andre relevante yderligere oplysninger efter stk. 2.
Det følger af artikel 13, stk. 4, at de ovennævnte oplysninger ikke skal gives,
hvis og i det omfang den registrerede allerede er bekendt med oplysnin-
gerne. Der findes desuden
som nævnt under afsnit 4.4 ovenfor
i databe-
skyttelseslovens § 22 mulighed for efter omstændighederne at gøre undta-
gelse fra oplysningspligten i artikel 13, når der foreligger afgørende hensyn
til nærmere bestemte private eller offentlige interesser.
Side 28/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
Regelforum har anbefalet, at det undersøges, om der med hjemmel i databe-
skyttelsesforordningens artikel 23 kan indføres en national undtagelse til
oplysningspligten i tilfælde, hvor den registrerede selv henvender sig til den
dataansvarlige. Regelforum har i den forbindelse henvist til, at dataansvar-
lige påføres store omkostninger, og at omkostningerne i mange tilfælde ikke
står mål med udbyttet for den registrerede.
De generelle muligheder for at begrænse bl.a. oplysningspligten efter for-
ordningens artikel 13 er behandlet ovenfor under afsnit 5.1. Som det fremgår
heraf vil en begrænsning af rettigheder, herunder eksempelvis oplysnings-
pligten, alene på baggrund af hensyn til ressourcer efter Justitsminister ie ts
vurdering ikke kunne gennemføres inden for rammerne af forordningens ar-
tikel 23. Det er på den baggrund Justitsministeriets vurdering, at oplysnings-
pligten ikke kan begrænses inden for rammerne af forordningen som anbe-
falet af Regelforum.
Justitsministeriet har noteret sig, at Regelforum har anbefalet, at regeringe n
hvis det ikke er muligt at indføre en sådan undtagelse
arbejder for, at
oplysningspligten i databeskyttelsesforordningens artikel 13 lempes.
Regelforum har subsidiært anbefalet, at de danske myndigheder tilkendegi-
ver, at det i almindelighed kan lægges til grund, at den registrerede, der selv
eventuelt uopfordret
henvender sig, allerede er bekendt med de oplys-
ninger, der efter databeskyttelsesforordningens artikel 13, stk. 1-3, skal gi-
ves til den pågældende, således at oplysningspligten ikke skal opfyldes i
medfør af forordningens artikel 13, stk. 4.
Efter Justitsministeriets vurdering vil det ikke i almindelighed kunne lægges
til grund, at en registreret, der selv henvender sig til en dataansvarlig, er
bekendt med samtlige af de oplysninger, der skal meddeles til den registre-
rede efter artikel 13, stk. 1 og 2. Det vil således efter Justitsministeriets vur-
dering ikke være i overensstemmelse med databeskyttelsesforordningens ar-
tikel 13 at følge Regelforums subsidiære anbefaling.
Det bemærkes, at Datatilsynet i juli 2018 har udgivet en vejledning om de
registreredes rettigheder, hvor det bl.a. fremgår, hvordan oplysningspligte n
kan opfyldes, herunder eksempelvis ved anvendelse af skabeloner (der er
vedlagt tilsynets vejledning) til meddelelser til de registrerede. Oplysnings-
pligten vil eksempelvis kunne opfyldes ved, at en forud udfyldt skabelon fra
Side 29/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
den nævnte vejledning udleveres samtidig med modtagelsen af oplysnin-
gerne, f.eks. som en del af et autosvar på en e-mail. Som det endvidere frem-
går af vejledningen, skal oplysningspligten som udgangspunkt kun iagttages
én gang over for den registrerede, medmindre den dataansvarlige på et se-
nere tidspunkt vil behandle oplysningerne til andre formål.
Det bemærkes desuden, at der i flere høringssvar til erfaringsindsamlinge n
efterspørges mere vejledning om oplysningspligten. Som det bl.a. fremgår
af bilag 1 med Datatilsynets bidrag til erfaringsindsamlingen, vil tilsynet
løbende offentliggøre afgørelser, som kan belyse omfanget af oplysnings-
pligten, ligesom tilsynet arbejder på en opdatering af sin vejledning om de
registreredes rettigheder (afsnit 10 i bilag 1).
5.3.2. Minimumsgrænse for anmeldelse af brud på persondatasikkerheden
Det fremgår af databeskyttelsesforordningens artikel 33, stk. 1, at der ved
brud på persondatasikkerheden skal ske anmeldelse heraf til tilsynsmynd ig-
heden uden unødig forsinkelse og om muligt senest 72 timer, efter at man
er blevet bekendt hermed. Brud på persondatasikkerhed er f.eks. uautorise-
ret videregivelse af eller adgang til personoplysninger. I anmeldelsen skal
der bl.a. meddeles oplysninger om karakteren af bruddet, sandsynlige kon-
sekvenser heraf og foranstaltninger, der er eller foreslås truffet for at hånd-
tere bruddet. Det fremgår endvidere af artikel 33, stk. 1, at en anmelde lse
skal ske,
medmindre
det er usandsynligt, at bruddet indebærer en risiko for
fysiske personers rettigheder eller frihedsrettigheder.
Regelforum har anbefalet, at der indføres en minimumsgrænse, således at
simple og klart afgrænsede databrud ikke længere skal anmeldes til Datatil-
synet. Alternativt har Regelforum anbefalet, at anmeldelser om simple og
klart afgrænsede databrud kan puljes og samles i en fælles anmeldelse med
et vist interval.
Mulighederne for at begrænse databeskyttelsesforordningens regler er be-
handlet ovenfor under afsnit 3 og 5.1. Som det fremgår under afsnit 3.2 og
3.3, er medlemsstaterne ikke efterladt mulighed for at fastsætte begrænsnin-
ger i forhold til forordningens artikel 33. På den baggrund vil der efter
Justitsministeriets vurdering ikke kunne fastsættes en anden minimums-
grænse eller frist for, hvornår der skal ske anmeldelse til Datatilsynet om
brud på persondatasikkerheden, end den, der allerede følger af artikel 33.
Side 30/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
Det bemærkes, at Datatilsynet og Justitsministeriet i januar 2018 har udgivet
en vejledning om håndtering af brud på persondatasikkerheden, hvor der
fremgår nærmere information om, hvornår der skal ske anmeldelse til Data-
tilsynet.
Det bemærkes, at der i flere høringssvar til erfaringsindsamlingen efterspør-
ges mere vejledning om forståelsen af pligten til at anmelde brud på person-
datasikkerheden. Som det bl.a. fremgår af Datatilsynets bidrag til erfarings-
indsamlingen, vil tilsynet se på en mulig revision af vejledningen om hånd-
tering af brud på persondatasikkerheden med henblik på at supplere med
flere konkrete eksempler (afsnit 5 i bilag 1).
6. Erfaringsindsamlingen
I forbindelse med den nationale evaluering af databeskyttelsesreglerne har
Justitsministeriet gennemført en erfaringsindsamling for at belyse, i hvilke
konkrete situationer der opleves uklarhed, når databeskyttelsesreglerne skal
efterleves i praksis, og for at formidle mulige løsninger og eventuel vejled-
ning om konkrete problemstillinger.
6.1. Høringen
Erfaringsindsamlingen er både gennemført som en høring af relevante inte-
ressenter og en offentlig høring, således at enhver har haft mulighed for at
bidrage. Høringsperioden har varet fra den 10. juni til og med den 10. okto-
ber 2020, men Justitsministeriet har modtaget høringssvar frem til den 27.
november 2020.
Justitsministeriet har modtaget høringssvar fra:
3F, Akademikerne, Danmarks DPO-forening, Danmarks Idrætsforbund,
Dansk Arbejdsgiverforening, Dansk Erhverv og IT-Branchen (fælles),
Dansk Industri, Dansk Ungdoms Fællesråd, Danske Advokater, Danske Ar-
kiver, Danske Handicaporganisationer, Danske Medier, Danske Regioner,
Danske Universiteter, DGI, EjendomDanmark, Erhvervslivets EU- og Re-
gelforum, Fagbevægelsens Hovedorganisation, Finans Danmark, Finans og
Leasing, FOA, Folkeoplysningens Brancheorganisation, Forbrugerrådet
Tænk, Danske Revisorer, HK, KL, Kræftens Bekæmpelse, Miljø- og Føde-
vareministeriet, MyData Denmark, Henrik Stougaard, PriWay, PROSA,
Rigsarkivet, Rigspolitiet, Rådet for Digital Sikkerhed, Sikkerhedsbranc he n,
SMVdanmark.
Side 31/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0032.png
6.2. Høringssvarene
Da hovedparten af høringssvarerne omhandler problemstillinger, der giver
anledning til vejledning om anvendelsen af regler i databeskyttelsesforo rd-
ningen og databeskyttelsesloven, har Datatilsynet bistået Justitsminister iet
med gennemgangen af høringssvarene og udarbejdelse af kommentarer her-
til.
Behandlingen af hovedparten af høringssvarerne findes i bilag 1 med Data-
tilsynets bidrag til erfaringssamlingen.
Justitsministeriets har nedenfor forholdt sig til de dele af høringssvarer ne,
der bl.a. omhandler spørgsmål af lovgivningsmæssig karakter. Justitsmini-
steriets kommentarer til høringssvarene er anført i
kursiv.
6.2.1. Om dataansvar og databehandleraftaler
KL
og
Danske Regioner
oplyser bl.a., at der opleves uklarhed om forde-
lingen af rollerne som dataansvarlig og databehandler, når en myndighed
stiller systemer til rådighed for andre myndigheder. Det foreslås, at der sø-
ges opnået en afklaring ved brug af lovgivning eller anden central regule-
ring.
Det fremgår af databeskyttelsesforordningens artikel 26, stk. 1, at der fore-
ligger et fælles dataansvar, hvis to eller flere dataansvarlige i fællesskab
fastlægger formålene med og hjælpemidlerne til behandling af personoplys-
ninger. De fastlægger på en gennemsigtig måde bl.a. deres respektive an-
svar i en ordning mellem dem, medmindre og i det omfang deres respektive
ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret. Det følger
heraf, at det i situationer med to eller flere fælles dataansvarlige vil være
muligt at regulere ansvaret i f.eks. en lov eller en bekendtgørelse.
Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, at en data-
behandlers behandling skal være reguleret af en kontrakt eller et andet ret-
ligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret.
Kontrakten eller det retlige dokument skal som minimum regulere en række
nærmere angivne forhold, der omfatter f.eks. genstanden for og varigheden
af behandlingen. Det følger således heraf, at det vil være muligt at regulere
en databehandlers behandling i f.eks. en lov eller en bekendtgørelse.
Side 32/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0033.png
I forhold til efterspørgslen på en mere ”central” regulering af
fastlæggelsen
af rollefordelingen mellem dataansvarlig og databehandler mellem offent-
lige myndigheder, er Justitsministeriet indstillet på sammen med relev ante
ressortministerier at se nærmere på mulighederne og behovet for regulering
heraf inden for rammerne af databeskyttelsesforordningen.
6.2.2. Om samspillet mellem lovgivning på databeskyttelsesområdet
Danske Regioner, Danske Arkiver, Danske Medier, Danske Universite-
ter, Finans Danmark, KL
og
Rigsarkivet
har oplyst, at der opleves tvivl
om samspillet mellem databeskyttelsesreglerne og en række love, herunder
f.eks. sundhedslovgivningen og arkivlovgivningen.
Der findes et stort antal regler på tværs af ministeriernes områder, som re-
gulerer behandling af personoplysninger. Til illustration indeholder del II
af Justitsministeriets betænkning nr. 1565 en oversigt fra 2017 over regler
i anden lovgivning, som bl.a. kan siges at tilpasse anvendelsen af databe-
skyttelsesforordningen.
De indkomne høringssvar vidner om, at erfaringerne siden ikrafttrædelsen
af de nye databeskyttelsesregler har vist, at der på visse områder er behov
for at skabe klarhed om samspillet mellem databeskyttelsesreglerne og an-
den lovgivning. Justitsministeriet vil i indeværende år tage initiativ til ned-
sættelse af et tværministerielt arbejde, som kan se på lovgivningen på tværs
af områderne med inddragelse af bl.a. Datatilsynet. Det er målsætningen,
at lovgivningen skal være sammenhængende, og det skal sikres, at det er let
at forstå og anvende for borgere og virksomheder.
6.2.3. Om tredjelandsoverførsler
Dansk Industri, Dansk Erhverv og IT-branchen, Danske Medier, Dan-
ske Regioner, Danske Revisorer, Dansk Ungdoms Fællesråd, DGI, Fi-
nans Danmark, KL
og
Kræftens Bekæmpelse
har oplyst, at der i kølvan-
det på Schrems II-afgørelsen fra EU-Domstolen opleves stor usikkerhed
med hensyn til adgangen til at overføre personoplysninger til tredjelande.
Der er opstået udfordringer i forhold til tredjelandsoverførsler som følge af
Schrems II-afgørelsen. Ministeriet følger udviklingen tæt og kan oplyse, at
der kort tid efter domsafsigelsen i EU-regi blev iværksat konkrete arbejds-
strømme for at finde løsninger på de udfordringer, som afgørelsen har af-
født. F.eks. har EU-Kommissionen og relevante amerikanske myndigheder
meddelt, at man kort tid efter domsafsigelsen indgik i dialog for at vende
Side 33/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
mulighederne for en afløser for den overførselsmekanisme (Privacy Shield),
som EU-Domstolen erklærede ugyldig.
Senest har EU-kommissær for retlige anliggender Didier Reynders og
USA’s handelsminister Gina Raimondo
den 25. marts 2021 offentliggjort en
fælles pressemeddelelse, hvoraf det fremgår, at EU og USA vil intensivere
forhandlingerne om at finde en ny løsning.
Som det bl.a. fremgår af Datatilsynets bidrag til erfaringsindsamlingen (af-
snit 4 i bilag 1), er Datatilsynet i gang med at opdatere sin vejledning om
tredjelandsoverførsler. Vejledningen vil ifølge Datatilsynet indeholde en
række praktiske eksempler, herunder om anvendelse af cloud-baserede løs-
ninger. Vejledningen forventes offentliggjort i juli 2021. Det fremgår endvi-
dere, at EU-tilsynsmyndighederne, herunder Datatilsynet, i regi af det Eu-
ropæiske Databeskyttelsesråd (”EDPB”), har udarbejdet to anbefalinger
(dels om foranstaltninger, der supplerer overførselsværktøjer for at sikre
overholdelse af EU-niveauet for beskyttelse af personoplysninger, dels om
de europæiske væsentlige garantier for overvågningsforanstaltninger), der
har til formål at hjælpe offentlige myndigheder og private med i praksis at
vurdere, hvornår overførsler til bl.a. USA kan finde sted.
Herudover har EU-Kommissionen den 4. juni 2021 vedtaget nye standard-
kontraktbestemmelser om overførsel af personoplysninger til tredjelande,
hvor der bl.a. er taget højde for Schrems II-afgørelsen. Standardkontrakt-
bestemmelserne, som bl.a. indeholder en kontraktskabelon til udfyldning,
kan efter omstændighederne bruges som et overførselsgrundlag, når per-
sonoplysninger skal overføres til tredjelande, der ikke er omfattet af en så-
kaldt tilstrækkelighedsafgørelse fra EU-Kommissionen.
6.3. Særligt om bedemænds adgang til oplysninger om nære pårørende
Det fremgår af Justitsministeriets besvarelse af 15. april 2021 af spørgsmål
nr. S 1255-1257, at problemstillingen vedrørende bedemænds adgang til op-
lysninger om nære pårørende til afdøde personer vil blive medtaget i den
nationale evaluering af databeskyttelsesreglerne.
I spørgsmålene er der henvist til
artiklen ”Dataloven får i nogle tilfælde be-
demænd til at søge pårørende til afdøde personer over Facebook” bragt i
Jyllands-Posten den 4. april 2021. Det fremgår af artiklen, at bedemænd bl.a.
har oplevet udfordringer med at finde pårørende til afdøde, når afdøde ikke
har haft pårørende beslægtet med vedkommende i lige linje. Det fremgår
Side 34/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
2425672_0035.png
endvidere, at udfordringerne skyldes, at bl.a. kirkemyndighederne muligvis
lægger en for restriktiv fortolkning af databeskyttelsesreglerne til grund, og
at bedemænd ikke oplevede lignende problemer før indførelsen af de nyeste
databeskyttelsesregler fra 2018.
Justitsministeriet har til brug for behandlingen af problemstillingen indhen-
tet følgende en udtalelse fra Datatilsynet, som ministeriet kan henholde sig
til:
”Artiklen omhandler overordnet, at bedemænd kan have svært
ved at få oplyst, om der er pårørende til afdøde, fordi det vurde-
res at være i strid med databeskyttelsesreglerne, hvis dataan-
svarlige, som er i besiddelse af oplysninger herom, videregiver
oplysningerne til bedemænd.
Datatilsynet har i den pågældende artikel forholdt sig til spørgs-
målet om bedemænds adgang til oplysninger om pårørende til
afdøde personer.
Datatilsynet har i den forbindelse udtalt, at databeskyttelsesre g-
lerne ikke umiddelbart er til hinder for, at bedemænd kan bistå
med at opspore pårørende til afdøde. Der er dog ikke noget for-
kert i, at man tænker over at behandle oplysningerne forsvarligt.
Dette indebærer bl.a., at man sikrer sig, at man ikke udleverer
personoplysninger til uvedkommende.
Det omtalte forhold er imidlertid ikke som sådan en databeskyt-
telsesretlig problemstilling. Dette skyldes, at databeskyttelses-
reglerne, herunder reglerne i databeskyttelsesforordningen og
databeskyttelsesloven, kun fastlægger, hvornår offentlige myn-
digheder, private virksomheder mv. kan og må behandle person-
oplysninger. Reglerne siger ikke noget om, hvornår offentlige
myndigheder, private virksomheder mv.
skal
behandle person-
oplysninger.
Der er således ingen regler i den nævnte lovgivning, som for-
pligter dataansvarlige til at behandle, herunder videregive, per-
sonoplysninger, ligesom man heller ikke kan klage til Datatils y-
net, hvis en dataansvarlig ikke ønsker at videregive personop-
lysninger.
Side 35/36
 EUU, Alm.del - 2020-21 - Bilag 685: Brev samt delrapport 2 om national evaluering af databeskyttelsesreglerne
Det er imidlertid ikke hensigtsmæssigt, herunder også med
tanke på databeskyttelsesreglernes effektivitet, hvis reglerne
fortolkes så snævert, at helt almindelige og fornuftige hverdags-
situationer i praksis besværliggøres helt unødigt.
Datatilsynet forholder sig derfor også løbende, herunder på til-
synets LinkedIn-profil, til situationer som den omhandlede,
hvor noget kunne tyde på, at reglerne fortolkes for snævert.
Dette var også tilfældet med det forhold, som omtales i den på-
gældende artikel.”
Side 36/36