Dette er ikke selve loven, men et folketingsdokument
Dette dokument er en del af lovens tilblivelsesproces i Folketinget og ikke den gældende lovtekst.
Forslag til Lov om behandling af personoplysninger
Lovtekst
Kilde: www.retsinformation.dk
LOV nr 199912L00147 af 9.12.1999
Kapitel: Lovtekst
Fremsat den 9. december 1999 af justitsministeren (Frank
Jensen)
Forslag
til
Lov om behandling af personoplysninger1)
Afsnit I
Indledende bestemmelser
Kapitel 1
Lovens område
§ 1. Loven gælder for behandling af personoplysninger,
som helt eller delvis foretages ved hjælp af elektronisk
databehandling, og for ikke-elektronisk behandling af personoplysninger, der
er eller vil blive indeholdt i et register.
Stk. 2. Loven gælder tillige for anden ikke- elektronisk
systematisk behandling, som udføres for private, og som omfatter
oplysninger om personers private eller økonomiske forhold eller i
øvrigt oplysninger om personlige forhold, som med rimelighed kan
forlanges unddraget offentligheden. Dette gælder dog ikke reglerne i
lovens kapitel 8 og 9.
Stk. 3. Loven gælder endvidere for behandling af
oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling
udføres for kreditoplysningsbureauer. Tilsvarende gælder for
så vidt angår behandlinger, som er omfattet af § 50,
stk. 1, nr. 2.
Stk. 4. Kapitel 5 gælder også for behandling af
oplysninger om virksomheder m.v. , jf. stk. 1.
Stk. 5. Uden for de i stk. 3 nævnte tilfælde
kan justitsministeren bestemme, at lovens regler helt eller delvis skal finde
anvendelse på behandling af oplysninger om virksomheder m.v., som
udføres for private.
Stk. 6. Uden for de i stk. 4 nævnte tilfælde
kan vedkommende minister bestemme, at lovens regler helt eller delvis skal
finde anvendelse på behandling af oplysninger om virksomheder m.v., som
udføres for den offentlige forvaltning.
§ 2. Regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling, går forud
for reglerne i denne lov.
Stk. 2. Loven finder ikke anvendelse, hvis det vil
være i strid med informations- og ytringsfriheden, jf. Den
Europæiske Menneskerettighedskonventions artikel 10.
Stk. 3. Loven gælder ikke for behandlinger, som en
fysisk person foretager med henblik på udøvelse af aktiviteter
af rent privat karakter.
Stk. 4. Bestemmelserne i lovens kapitel 8-9 og §§ 35-37 og §
39 finder ikke anvendelse på behandlinger, der foretages for domstolene
inden for det strafferetlige område. Bestemmelserne i lovens kapitel 8
og §§ 35-37 og § 39 finder heller ikke anvendelse på behandlinger, der
foretages for politi og anklagemyndighed inden for det strafferetlige
område.
Stk. 5. Loven finder ikke anvendelse på behandling af
oplysninger, der foretages for Folketinget og institutioner med tilknytning
dertil.
Stk. 6. Loven finder ikke anvendelse på behandlinger,
der er omfattet af lov om massemediers informationsdatabaser.
Stk. 7. Loven finder ikke anvendelse på
informationsdatabaser, hvori der udelukkende er indlagt allerede
offentliggjorte periodiske skrifter eller lyd- og billedprogrammer, der er
omfattet af medieansvarslovens § 1, nr. 1 eller 2, eller dele heraf,
når indlæggelsen i informationsdatabasen er sket uændret i
forhold til offentliggørelsen. Dog gælder bestemmelserne i
lovens §§ 41-42 og § 69.
Stk. 8. Loven gælder endvidere ikke for
informationsdatabaser, hvori der udelukkende er indlagt allerede
offentliggjorte tekster, billeder og lydprogrammer, der omfattes af
medieansvarslovens § 1, nr. 3, eller dele heraf, når
indlæggelsen i informationsdatabasen er sket uændret i forhold
til offentliggørelsen. Dog gælder bestemmelserne i lovens
§§ 41-42 og § 69.
Stk. 9. Loven finder ikke anvendelse på manuelle arkiver
over udklip fra offentliggjorte, trykte artikler, som udelukkende behandles i
journalistisk øjemed. Dog gælder bestemmelserne i lovens
§§ 41-42 og § 69.
Stk. 10. For behandling af oplysninger, som i øvrigt
udelukkende finder sted i journalistisk øjemed, gælder alene
bestemmelserne i lovens §§ 41-42 og § 69. Det samme gælder
for behandling af oplysninger, som udelukkende sker med henblik på
kunstnerisk eller litterær virksomhed.
Stk. 11. Loven gælder ikke for behandlinger, der
udføres for politiets og forsvarets efterretningstjenester.
Kapitel 2
Definitioner
§ 3. I denne lov forstås ved:
1) Personoplysninger:
Enhver form for information om en identificeret eller identificerbar fysisk
person (den registrerede).
2) Behandling:
Enhver operation eller række af operationer med eller uden brug af
elektronisk databehandling, som oplysninger gøres til genstand
for.
3) Register med personoplysninger (register):
Enhver struktureret samling af personoplysninger, der er tilgængelige
efter bestemte kriterier, hvad enten denne samling er placeret centralt,
decentralt eller er fordelt på et funktionsbestemt eller geografisk
grundlag.
4) Den dataansvarlige:
Den fysiske eller juridiske person, offentlige myndighed, institution eller
ethvert andet organ, der alene eller sammen med andre afgør, til
hvilket formål og med hvilke hjælpemidler der må foretages
behandling af oplysninger.
5) Databehandleren:
Den fysiske eller juridiske person, offentlige myndighed, institution eller
ethvert andet organ, der behandler oplysninger på den dataansvarliges
vegne.
6) Tredjemand:
Enhver anden fysisk eller juridisk person, offentlig myndighed, institution
eller ethvert andet organ end den registrerede, den dataansvarlige,
databehandleren og de personer under den dataansvarliges eller
databehandlerens direkte myndighed, der er beføjet til at behandle
oplysninger.
7) Modtager:
Den fysiske eller juridiske person, offentlige myndighed, institution eller
ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om
en tredjemand. Myndigheder, som vil kunne få meddelt oplysninger som
led i en isoleret forespørgsel, betragtes ikke som modtagere.
8) Den registreredes samtykke:
Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den
registrerede indvilger i, at oplysninger, der vedrører den
pågældende selv, gøres til genstand for behandling.
9) Tredjeland:
En stat, som ikke indgår i Det Europæiske Fællesskab, og
som ikke har gennemført aftaler, der er indgået med Det
Europæiske Fællesskab, og som indeholder regler svarende til
direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger.
Kapitel 3
Lovens geografiske område
§ 4. Loven gælder for behandling af oplysninger, som
udføres for en dataansvarlig, der er etableret i Danmark, hvis
aktiviteterne finder sted inden for Det Europæiske Fællesskabs
område.
Stk. 2. Loven gælder endvidere for den behandling, som
udføres for danske diplomatiske repræsentationer.
Stk. 3. Loven gælder også for en dataansvarlig,
som er etableret i et tredjeland, hvis
1) behandlingen af oplysninger sker under benyttelse af
hjælpemidler, der befinder sig i Danmark, medmindre
hjælpemidlerne kun benyttes med henblik på forsendelse af
oplysninger gennem Det Europæiske Fællesskabs område,
eller
2) indsamling af oplysninger i Danmark sker med henblik på
behandling i et tredjeland.
Stk. 4. Dataansvarlige, som i henhold til stk. 3, nr. 1,
er omfattet af denne lov, skal udpege en repræsentant, som er etableret
i Danmark. Den registreredes mulighed for at foretage retslige skridt mod
vedkommende dataansvarlige berøres ikke heraf.
Stk. 5. Den dataansvarlige skal skriftligt underrette
Datatilsynet om, hvem der er udpeget som repræsentant, jf.
stk. 4.
Stk. 6. Loven gælder, hvis der for en
dataansvarlig, der er etableret i et andet medlemsland, behandles oplysninger
i Danmark, og behandlingen ikke er omfattet af direktiv 95/46/EF af 24.
oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplysninger. Loven
gælder også, hvis der for en dataansvarlig, der er etableret i en
stat, som har gennemført en aftale med Det Europæiske
Fællesskab, der indeholder regler svarende til det i 1. pkt.
nævnte direktiv, behandles oplysninger i Danmark, og behandlingen ikke
er omfattet af de nævnte regler.
Afsnit II
Behandlingsregler
Kapitel 4
Behandling af oplysninger
§ 5. Oplysninger skal behandles i overensstemmelse med god
databehandlingsskik.
Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt
angivne og saglige formål, og senere behandling må ikke
være uforenelig med disse formål. Senere behandling af
oplysninger, der alene sker i historisk, statistisk eller videnskabeligt
øjemed, anses ikke for uforenelig med de formål, hvortil
oplysningerne er indsamlet.
Stk. 3. Oplysninger, som behandles, skal være relevante
og tilstrækkelige og ikke omfatte mere, end hvad der kræves til
opfyldelse af de formål, hvortil oplysningerne indsamles, og de
formål, hvortil oplysningerne senere behandles.
Stk. 4. Behandling af oplysninger skal tilrettelægges
således, at der foretages fornøden ajourføring af
oplysningerne. Der skal endvidere foretages den fornødne kontrol for
at sikre, at der ikke behandles urigtige eller vildledende oplysninger.
Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt
slettes eller berigtiges.
Stk. 5. Indsamlede oplysninger må ikke opbevares
på en måde, der giver mulighed for at identificere den
registrerede i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles.
§ 6. Behandling af oplysninger må kun finde sted,
hvis
1) den registrerede har givet sit udtrykkelige samtykke hertil,
2) behandlingen er nødvendig af hensyn til opfyldelsen af en
aftale, som den registrerede er part i, eller af hensyn til
gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelsen af en sådan
aftale,
3) behandlingen er nødvendig for at overholde en retlig
forpligtelse, som påhviler den dataansvarlige,
4) behandlingen er nødvendig for at beskytte den registreredes
vitale interesser,
5) behandlingen er nødvendig af hensyn til udførelsen af
en opgave i samfundets interesse,
6) behandlingen er nødvendig af hensyn til udførelsen af
en opgave, der henhører under offentlig myndighedsudøvelse, som
den dataansvarlige eller en tredjemand, til hvem oplysningerne videregives,
har fået pålagt, eller
7) behandlingen er nødvendig for, at den dataansvarlige eller
den tredjemand, til hvem oplysningerne videregives, kan forfølge en
berettiget interesse, og hensynet til den registrerede ikke overstiger denne
interesse.
Stk. 2. En virksomhed må ikke videregive
oplysninger om en forbruger til en anden virksomhed til brug ved
markedsføring eller anvende oplysningerne på vegne af en anden
virksomhed i dette øjemed, medmindre forbrugeren har givet sit
udtrykkelige samtykke hertil. Et samtykke skal indhentes i overensstemmelse
med reglerne i markedsføringslovens § 6 a.
Stk. 3. Videregivelse og anvendelse som nævnt i
stk. 2 kan dog ske uden samtykke, hvis der er tale om generelle
kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og
hvis betingelserne i stk. 1, nr. 7, er opfyldt.
Stk. 4. Der kan efter stk. 3 ikke videregives eller
anvendes oplysninger som nævnt i §§ 7-8. Justitsministeren kan
fastsætte yderligere begrænsninger i adgangen til at videregive
eller anvende bestemte typer af oplysninger efter stk. 3.
§ 7. Der må ikke behandles oplysninger om
racemæssig eller etnisk baggrund, politisk, religiøs eller
filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og
oplysninger om helbredsmæssige og seksuelle forhold.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse,
hvis
1) den registrerede har givet sit udtrykkelige samtykke til en
sådan behandling,
2) behandlingen er nødvendig for at beskytte den registreredes
eller en anden persons vitale interesser i tilfælde, hvor den
pågældende ikke fysisk eller juridisk er i stand til at give sit
samtykke,
3) behandlingen vedrører oplysninger, som er blevet
offentliggjort af den registrerede, eller
4) behandlingen er nødvendig for, at et retskrav kan
fastlægges, gøres gældende eller forsvares.
Stk. 3. Behandling af oplysninger om fagforeningsmæssige
tilhørsforhold kan endvidere ske, hvis behandlingen er
nødvendig for overholdelsen af den dataansvarliges arbejdsretlige
forpligtelser eller specifikke rettigheder.
Stk. 4. En stiftelse, en forening eller en anden almennyttig
organisation, hvis sigte er af politisk, filosofisk, religiøs eller
faglig art, kan inden for rammerne af sin virksomhed foretage behandling af
de i stk. 1 nævnte oplysninger om organisationens medlemmer eller
personer, der på grund af organisationens formål er i
regelmæssig kontakt med denne. Videregivelse af sådanne
oplysninger kan dog kun finde sted, hvis den registrerede har meddelt sit
udtrykkelige samtykke hertil, eller behandlingen er omfattet af stk. 2,
nr. 2-4, eller stk. 3.
Stk. 5. Bestemmelsen i stk. 1 finder ikke anvendelse,
hvis behandlingen af oplysninger er nødvendig med henblik på
forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller
patientbehandling, eller forvaltning af læge- og sundhedstjenester, og
behandlingen af oplysningerne foretages af en person inden for
sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.
Stk. 6. Behandling af de i stk. 1 anførte
oplysninger kan ske, hvis behandlingen er nødvendig af hensyn til en
offentlig myndigheds varetagelse af sine opgaver på det strafferetlige
område.
Stk. 7. Undtagelse fra bestemmelsen i stk. 1 kan
endvidere gøres, hvis behandlingen af oplysninger sker af grunde, der
vedrører hensynet til vigtige samfundsmæssige interesser.
Tilsynsmyndigheden giver tilladelse hertil. Der kan fastsættes
nærmere vilkår for behandlingen. Hvor tilladelse meddeles, giver
tilsynsmyndigheden underretning herom til Europa-Kommissionen.
Stk. 8. For den offentlige forvaltning må der ikke
føres edb-registre med oplysninger om politiske forhold, som ikke er
offentligt tilgængelige.
§ 8. For den offentlige forvaltning må der ikke
behandles oplysninger om strafbare forhold, væsentlige sociale
problemer og andre rent private forhold end de i § 7, stk. 1, nævnte,
medmindre det er nødvendigt for varetagelsen af myndighedens
opgaver.
Stk. 2. De i stk. 1 nævnte oplysninger må ikke
videregives. Videregivelse kan dog ske, hvis
1) den registrerede har givet sit udtrykkelige samtykke til
videregivelsen,
2) videregivelsen sker til varetagelse af private eller offentlige
interesser, der klart overstiger hensynet til de interesser, der begrunder
hemmeligholdelse, herunder hensynet til den, oplysningen angår,
3) videregivelsen er nødvendig for udførelsen af en
myndigheds virksomhed eller påkrævet for en afgørelse, som
myndigheden skal træffe, eller
4) videregivelsen er nødvendig for udførelsen af en
persons eller virksomheds opgaver for det offentlige.
Stk. 3. Forvaltningsmyndigheder, der udfører opgaver
inden for det sociale område, må kun videregive de i stk. 1
nævnte oplysninger og de oplysninger, der er nævnt i § 7, stk. 1,
hvis betingelserne i stk. 2, nr. 1 eller 2, er opfyldt, eller hvis
videregivelsen er et nødvendigt led i sagens behandling eller
nødvendig for, at en myndighed kan gennemføre tilsyns- eller
kontrolopgaver.
Stk. 4. Private må behandle oplysninger om strafbare
forhold, væsentlige sociale problemer og andre rent private forhold end
de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit
udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er
nødvendigt til varetagelse af en berettiget interesse, og denne
interesse klart overstiger hensynet til den registrerede.
Stk. 5. De i stk. 4 nævnte oplysninger må
ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse
kan dog ske uden samtykke, når det sker til varetagelse af offentlige
eller private interesser, herunder hensynet til den pågældende
selv, der klart overstiger hensynet til de interesser, der begrunder
hemmeligholdelse.
Stk. 6. Et fuldstændigt register over straffedomme
må kun føres for en offentlig myndighed.
§ 9. Oplysninger som nævnt i § 7, stk. 1,
eller § 8 må behandles, hvis dette alene sker med henblik på
at føre retsinformationssystemer af væsentlig
samfundsmæssig betydning, og hvis behandlingen er nødvendig for
førelsen af systemerne.
Stk. 2. De af stk. 1 omfattede oplysninger må ikke
senere behandles i andet øjemed. Det samme gælder behandling af
andre oplysninger, som alene foretages med henblik på at føre
retsinformationssystemer, jf. § 6.
Stk. 3. Tilsynsmyndigheden kan meddele nærmere
vilkår for de i stk. 1 nævnte behandlinger. Tilsvarende
gælder for de i § 6 nævnte oplysninger, som alene behandles
i forbindelse med førelsen af retsinformationssystemer.
§ 10. Oplysninger som nævnt i § 7, stk. 1,
eller § 8 må behandles, hvis dette alene sker med henblik på
at udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning, og hvis behandlingen er
nødvendig for udførelsen af undersøgelserne.
Stk. 2. De af stk. 1 omfattede oplysninger må ikke
senere behandles i andet end statistisk eller videnskabeligt øjemed.
Det samme gælder behandling af andre oplysninger, som alene foretages i
statistisk eller videnskabeligt øjemed, jf. § 6.
Stk. 3. De af stk. 1 og 2 omfattede oplysninger må
kun videregives til tredjemand efter forudgående tilladelse fra
tilsynsmyndigheden. Tilsynsmyndigheden kan stille nærmere vilkår
for videregivelsen.
§ 11. Offentlige myndigheder kan behandle oplysninger om
personnummer med henblik på en entydig identifikation eller som
journalnummer.
Stk. 2. Private må behandle oplysninger om personnummer,
når
1) det følger af lov eller bestemmelser fastsat i henhold til
lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil,
eller
3) behandlingen alene finder sted til videnskabelige eller statistiske
formål, eller hvis der er tale om videregivelse af oplysninger om
personnummer, når videregivelsen er et naturligt led i den normale
drift af virksomheder m.v. af den pågældende art, og når
videregivelsen er af afgørende betydning for at sikre en entydig
identifikation af den registrerede, eller videregivelsen kræves af en
offentlig myndighed.
Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der
ikke ske offentliggørelse af personnummer uden udtrykkeligt
samtykke.
§ 12. Dataansvarlige, der med henblik på
markedsføring sælger fortegnelser over grupper af personer,
eller som for tredjemand foretager adressering eller udsendelse af
meddelelser til sådanne grupper, må kun behandle
1) oplysninger om navn, adresse, stilling, erhverv, e-postadresse,
telefon- og telefaxnummer,
2) oplysninger, der indgår i erhvervsregistre, som i henhold til
lov eller bestemmelser fastsat i henhold til lov er beregnet til at informere
offentligheden, samt
3) andre oplysninger, hvis den registrerede har givet udtrykkeligt
samtykke dertil. Et samtykke skal indhentes i overensstemmelse med
markedsføringslovens § 6 a.
Stk. 2. Oplysninger som nævnt i § 7, stk. 1,
eller § 8, må dog ikke behandles. Justitsministeren kan
fastsætte yderligere begrænsninger i adgangen til at behandle
bestemte typer af oplysninger.
§ 13. Offentlige myndigheder og private virksomheder m.v.
må ikke foretage automatisk registrering af, hvilke telefonnumre der er
foretaget opkald til fra deres telefoner. Registrering må dog ske efter
forudgående tilladelse fra tilsynsmyndigheden i tilfælde, hvor
afgørende hensyn til private eller offentlige interesser taler herfor.
Tilsynsmyndigheden kan fastsætte nærmere vilkår for
registreringen.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis
andet følger af lov eller for så vidt angår udbydere af
telenet og teletjenesters registrering af, til hvilke telefonnumre der er
foretaget opkald, enten til eget brug eller til brug ved teknisk kontrol.
§ 14. Oplysninger, der er omfattet af denne lov, kan
overføres til opbevaring i arkiv efter reglerne i
arkivlovgivningen.
Kapitel 5
Videregivelse til kreditoplysningsbureauer af
oplysninger om gæld til det offentlige
§ 15. Oplysninger om gæld til det offentlige kan efter
bestemmelserne i dette kapitel videregives til kreditoplysningsbureauer.
Stk. 2. Oplysninger som nævnt i § 7, stk. 1,
eller § 8, stk. 1, må ikke videregives.
Stk. 3. Fortrolige oplysninger videregivet efter reglerne i
dette kapitel anses ikke af den grund for offentligt tilgængelige i
øvrigt.
§ 16. Oplysninger om gæld til det offentlige kan
videregives til et kreditoplysningsbureau, hvis
1) det følger af lov eller bestemmelser fastsat i henhold til
lov, eller
2) den samlede gæld er forfalden og overstiger 7.500 kr., idet
der dog ikke heri må indgå gældsposter, der er omfattet af
en overholdt aftale om henstand eller afdragsvis betaling.
Stk. 2. Det er en betingelse, at den samlede gæld, jf.
stk. 1, nr. 2, administreres af samme inddrivelsesmyndighed.
Stk. 3. Det er endvidere en betingelse for videregivelse efter
stk. 1, nr. 2, at
1) gælden kan inddrives ved udpantning, og der er fremsendt 2
rykkere til skyldneren,
2) der er foretaget eller forsøgt foretaget udlæg for
kravet,
3) kravet er fastslået ved endelig dom, eller
4) det offentlige har erhvervet skyldnerens skriftlige erkendelse af
den forfaldne gæld.
§ 17. Myndigheden skal give skyldneren skriftlig meddelelse
herom, forinden videregivelse finder sted. Videregivelse må tidligst
ske 4 uger efter, at denne meddelelse er givet.
Stk. 2. Den i stk. 1 nævnte meddelelse skal
indeholde oplysninger om,
1) hvilke oplysninger der vil blive videregivet,
2) til hvilket kreditoplysningsbureau videregivelsen vil ske,
3) hvornår videregivelse vil finde sted, og
4) at videregivelse ikke vil ske, hvis betaling af gælden sker
inden videregivelsen, eller der indrømmes henstand eller indgås
og overholdes en aftale om afdragsvis betaling.
§ 18. Vedkommende minister kan fastsætte nærmere
regler om fremgangsmåden ved videregivelse til kreditoplysningsbureauer
af oplysninger om gæld til det offentlige. Det kan i den forbindelse
bestemmes, at oplysninger om visse former for gæld til det offentlige
ikke må videregives eller kun må videregives, hvis yderligere
betingelser end de i § 16 nævnte er opfyldt.
Kapitel 6
Kreditoplysningsbureauer
§ 19. Den, som ønsker at drive virksomhed med
behandling af oplysninger til bedømmelse af økonomisk soliditet
og kreditværdighed med henblik på videregivelse
(kreditoplysningsbureau), skal indhente tilladelse hertil fra Datatilsynet,
inden behandlingen påbegyndes, jf. § 50, stk. 1, nr. 3.
§ 20. Kreditoplysningsbureauer må kun behandle
oplysninger, som efter deres art er af betydning for bedømmelse af
økonomisk soliditet og kreditværdighed.
Stk. 2. Oplysninger som nævnt i § 7, stk. 1,
og § 8, stk. 4, må ikke behandles.
Stk. 3. Oplysninger om forhold, der taler imod
kreditværdighed, og som er mere end 5 år gamle, må ikke
behandles, medmindre det i det enkelte tilfælde er åbenbart, at
forholdet er af afgørende betydning for bedømmelsen af den
pågældendes økonomiske soliditet og
kreditværdighed.
§ 21. Kreditoplysningsbureauer skal i overensstemmelse med
§ 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger,
der er nævnt i disse bestemmelser, til den, der behandles oplysninger
om.
§ 22. Kreditoplysningsbureauer skal til enhver tid på
begæring af den registrerede inden 4 uger på en let
forståelig måde meddele denne indholdet af de oplysninger og
bedømmelser, som bureauet har videregivet om den
pågældende inden for de sidste 6 måneder, samt af de
øvrige oplysninger, som bureauet på tidspunktet for
begæringens fremsættelse opbevarer om den pågældende
i bearbejdet form eller på digitalt medium, herunder foreliggende
bedømmelser.
Stk. 2. Er bureauet i besiddelse af yderligere materiale om
den registrerede, skal dette samtidig meddeles den pågældende med
oplysning om materialets art samt om, at den registrerede kan få adgang
til at gennemgå det ved personlig henvendelse til bureauet.
Stk. 3. Bureauer skal endvidere give oplysning om kategorien
af modtagere af oplysningerne samt tilgængelig information om, hvorfra
de i stk. 1 og 2 nævnte oplysninger stammer.
Stk. 4. Den registrerede kan forlange, at bureauet giver
meddelelse som nævnt i stk. 1-3 skriftligt. Justitsministeren
fastsætter regler om betaling for skriftlige meddelelser.
§ 23. Oplysninger om økonomisk soliditet og
kreditværdighed må kun meddeles skriftligt, jf. dog § 22,
stk. 1-3. Bureauet kan dog til abonnenter meddele summariske oplysninger
mundtligt eller på lignende måde, såfremt spørgerens
navn og adresse noteres og opbevares i mindst 6 måneder.
Stk. 2. Kreditoplysningsbureauers publikationer må kun
indeholde oplysninger i summarisk form og kun udsendes til personer eller
virksomheder, der abonnerer på meddelelser fra bureauet.
Publikationerne må ikke indeholde oplysninger om de registreredes
personnummer.
Stk. 3. Summariske oplysninger om skyldforhold må kun
videregives, hvis oplysningerne hidrører fra Statstidende, er
indberettet af en offentlig myndighed efter reglerne i kapitel 5, eller hvis
oplysningerne vedrører skyldforhold til samme kreditor på mere
end 1.000 kr., og kreditor enten har erhvervet den registreredes skriftlige
erkendelse af en forfalden gæld, eller hvis der er foretaget retslige
skridt mod den pågældende. Oplysninger om endeligt godkendt
gældssanering må dog ikke videregives. De i 1. og 2. pkt.
nævnte regler gælder tillige for videregivelse af summariske
oplysninger om skyldforhold i forbindelse med udarbejdelse af bredere
kreditbedømmelser.
Stk. 4. Videregivelse af summariske oplysninger om
enkeltpersoners skyldforhold må kun ske på en sådan
måde, at oplysningerne ikke kan danne grundlag for vurderingen af
økonomisk soliditet og kreditværdighed for andre end de
pågældende enkeltpersoner.
§ 24. Oplysninger eller bedømmelser, der viser sig
urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
§ 25. Er en oplysning eller bedømmelse, der viser sig
urigtig eller vildledende, forinden blevet videregivet, skal bureauet straks
give skriftlig underretning om berigtigelsen til den registrerede og til
alle, der har modtaget oplysningen eller bedømmelsen inden for de
sidste 6 måneder, før bureauet er blevet bekendt med forholdet.
Den registrerede skal tillige have meddelelse om, hvem der har modtaget
underretning efter 1. pkt., og hvorfra oplysningen eller bedømmelsen
stammer.
§ 26. Henvendelser fra en registreret om sletning,
berigtigelse eller blokering af oplysninger eller bedømmelser, der
angives at være urigtige eller vildledende, eller om sletning af
oplysninger, der ikke må behandles, jf. § 37, stk. 1, skal snarest
og inden 4 uger efter modtagelsen besvares skriftligt af bureauet.
Stk. 2. Nægter bureauet at foretage den begærede
sletning, berigtigelse eller blokering, kan den registrerede inden 4 uger
efter modtagelsen af bureauets svar eller efter udløbet af den i
stk. 1 nævnte svarfrist indbringe spørgsmålet for
Datatilsynet, der træffer afgørelse om, hvorvidt der skal
foretages sletning, berigtigelse eller blokering. Bestemmelsen i § 25
gælder tilsvarende.
Stk. 3. Bureauets svar skal i de i stk. 2 nævnte
tilfælde indeholde oplysning om adgangen til at indbringe
spørgsmålet for Datatilsynet og om fristen herfor.
Kapitel 7
Overførsel af oplysninger til tredjelande
§ 27. Der må kun overføres oplysninger til et
tredjeland, såfremt dette land sikrer et tilstrækkeligt
beskyttelsesniveau, jf. dog stk. 3.
Stk. 2. Vurderingen af, om beskyttelsesniveauet i et
tredjeland er tilstrækkeligt, sker på grundlag af samtlige de
forhold, der har indflydelse på en overførsel, herunder navnlig
oplysningernes art, behandlingens formål og varighed, oprindelseslandet
og det endelige bestemmelsesland, samt de retsregler, regler for god
forretningsskik og sikkerhedsforanstaltninger, som gælder i
tredjelandet.
Stk. 3. Udover de i stk. 1 nævnte tilfælde
kan der overføres oplysninger til et tredjeland,
såfremt
1) den registrerede har givet udtrykkeligt samtykke,
2) overførsel er nødvendig af hensyn til opfyldelsen af
en aftale mellem den registrerede og den dataansvarlige eller af hensyn til
gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelse af en sådan
aftale,
3) overførsel er nødvendig af hensyn til indgåelsen
eller udførelsen af en aftale, der i den registreredes interesse er
indgået mellem den dataansvarlige og tredjemand,
4) overførsel er nødvendig eller følger af lov
eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig
samfundsmæssig interesse eller for, at et retskrav kan
fastlægges, gøres gældende eller forsvares,
5) overførsel er nødvendig for at beskytte den
registreredes vitale interesser,
6) overførsel finder sted fra et register, der ifølge lov
eller bestemmelser fastsat i henhold til lov er tilgængeligt for
offentligheden eller for personer, der kan godtgøre at have en
berettiget interesse heri, i det omfang de i lovgivningen fastsatte
betingelser for offentlig tilgængelighed er opfyldt i det specifikke
tilfælde,
7) overførsel er nødvendig af hensyn til forebyggelse,
efterforskning og forfølgning af strafbare forhold samt
straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om
strafferetlig forfølgning, eller
8) overførsel er nødvendig af hensyn til den offentlige
sikkerhed, rigets forsvar eller statens sikkerhed.
Stk. 4. Uden for de i stk. 3 nævnte tilfælde
kan tilsynsmyndigheden give tilladelse til, at der overføres
oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den
dataansvarlige yder tilstrækkelige garantier for beskyttelse af de
registreredes rettigheder. Der kan fastsættes nærmere
vilkår for overførslen. Tilsynsmyndigheden underretter
Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt
i henhold til denne bestemmelse.
Stk. 5. Reglerne i denne lov finder i øvrigt anvendelse
ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og
4.
Afsnit III
Registreredes rettigheder
Kapitel 8
Oplysningspligt over for den registrerede
§ 28. Ved indsamling af oplysninger hos den registrerede skal
den dataansvarlige eller dennes repræsentant give den registrerede
meddelelse om følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er
bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige
omstændigheder, hvorunder oplysningerne er indsamlet, er
nødvendige for, at den registrerede kan varetage sine interesser, som
f.eks.:
a) Kategorierne af modtagere.
b) Om det er obligatorisk eller frivilligt at besvare stillede
spørgsmål samt mulige følger af ikke at svare.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der
vedrører den registrerede.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den
registrerede allerede er bekendt med de i nr. 1-3 nævnte
oplysninger.
§ 29. Hvor oplysninger ikke er indsamlet hos den registrerede,
påhviler det den dataansvarlige eller dennes repræsentant ved
registreringen, eller hvor de indsamlede oplysninger er bestemt til
videregivelse til tredjemand, senest når videregivelsen af
oplysningerne finder sted, at give den registrerede meddelelse om
følgende:
1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er
bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige
omstændigheder, hvorunder oplysningerne er indsamlet, er
nødvendige for, at den registrerede kan varetage sine interesser, som
f.eks.:
a) Hvilken type oplysninger det drejer sig om.
b) Kategorierne af modtagere.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der
vedrører den registrerede.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke, hvis den
registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger,
eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved
lov eller bestemmelser fastsat i henhold til lov.
Stk. 3. Bestemmelsen i stk. 1 gælder heller ikke,
hvis underretning af den registrerede viser sig umulig eller er
uforholdsmæssigt vanskelig.
§ 30. Bestemmelserne i §§ 28, stk. 1, og 29,
stk. 1, gælder ikke, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for afgørende
hensyn til private interesser, herunder hensynet til den
pågældende selv.
Stk. 2. Undtagelse fra bestemmelserne i §§ 28,
stk. 1, og 29, stk. 1, kan tillige gøres, hvis den
registreredes interesse i at få kendskab til oplysningerne findes at
burde vige for afgørende hensyn til offentlige interesser, herunder
navnlig til
1) statens sikkerhed,
2) forsvaret,
3) den offentlige sikkerhed,
4) forebyggelse, efterforskning, afsløring og
retsforfølgning i straffesager eller i forbindelse med brud på
etiske regler for lovregulerede erhverv,
5) væsentlige økonomiske eller finansielle interesser hos
en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og
skatteanliggender, og
6) kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af
midlertidig karakter, der er et led i den offentlige
myndighedsudøvelse på de i nr. 3-5 nævnte
områder.
Kapitel 9
Den registreredes indsigtsret
§ 31. Fremsætter en person begæring herom, skal
den dataansvarlige give den pågældende meddelelse om, hvorvidt
der behandles oplysninger om vedkommende. Behandles sådanne
oplysninger, skal der på en let forståelig måde gives den
registrerede meddelelse om
1) hvilke oplysninger der behandles,
2) behandlingens formål,
3) kategorierne af modtagere af oplysningerne, og
4) tilgængelig information om, hvorfra disse oplysninger
stammer.
Stk. 2. Den dataansvarlige skal snarest besvare
begæringer som nævnt i stk. 1. Er begæringen ikke
besvaret inden 4 uger efter modtagelsen, skal den dataansvarlige underrette
den pågældende om grunden hertil, samt om hvornår
afgørelsen kan forventes at foreligge.
§ 32. Bestemmelserne i § 30 finder tilsvarende
anvendelse.
Stk. 2. Oplysninger, der behandles for den offentlige
forvaltning som led i administrativ sagsbehandling, kan undtages fra
indsigtsretten i samme omfang som efter reglerne i offentlighedslovens
§ 2 samt §§ 7-11 og 14.
Stk. 3. Der er ikke ret til indsigt i oplysninger, der
behandles for domstolene, hvis oplysningerne indgår i tekst, som ikke
foreligger i endelig form. Dette gælder dog ikke, hvis oplysningerne er
videregivet til en tredjemand. Der er ikke ret til indsigt i
voteringsprotokoller og andre referater af domstolenes rådslagning samt
materiale udarbejdet af domstolene til brug for rådslagningen.
Stk. 4. Bestemmelsen i § 31, stk. 1, finder ikke
anvendelse, hvis oplysningerne udelukkende behandles i videnskabeligt
øjemed, eller hvor oplysningerne kun opbevares i form af
personoplysninger i det tidsrum, som kræves for at udarbejde
statistikker.
Stk. 5. For behandling af oplysninger på det
strafferetlige område, der foretages for den offentlige forvaltning,
kan justitsministeren fastsætte undtagelser fra retten til at få
oplysninger efter § 31, stk. 1, for så vidt bestemmelsen i
§ 32, stk. 1, jf. herved § 30, må antages at
medføre, at begæringer om ret til indsigt i almindelighed
må afslås.
§ 33. En registreret person, der har fået meddelelse
efter § 31, stk. 1, har ikke krav på ny meddelelse før
6 måneder efter sidste meddelelse, medmindre der godtgøres en
særlig interesse heri.
§ 34. Meddelelser i henhold til § 31, stk. 1, skal
på begæring gives skriftligt. I tilfælde, hvor hensynet til
den registrerede taler derfor, kan meddelelse dog gives i form af en mundtlig
underretning om indholdet af oplysningerne.
Stk. 2. Justitsministeren kan fastsætte regler om
betaling for meddelelser, som gives skriftligt af private virksomheder
m.v.
Kapitel 10
Øvrige rettigheder
§ 35. Den registrerede kan til enhver tid over for den
dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende
gøres til genstand for behandling.
Stk. 2. Hvis indsigelsen efter stk. 1 er berettiget, må
behandlingen ikke længere omfatte de pågældende
oplysninger.
§ 36. Fremsætter en forbruger indsigelse herimod,
må en virksomhed ikke videregive oplysninger om den
pågældende til en anden virksomhed med henblik på
markedsføring eller anvende oplysningerne på vegne af en anden
virksomhed i dette øjemed.
Stk. 2. Inden virksomheden videregiver oplysninger om en
forbruger til en anden virksomhed med henblik på markedsføring
eller anvender oplysningerne på vegne af en anden virksomhed i dette
øjemed, skal den undersøge i CPR, om forbrugeren har frabedt
sig henvendelser i markedsføringsøjemed. Inden oplysninger om
en forbruger, der ikke i CPR har frabedt sig sådanne henvendelser,
videregives eller anvendes som nævnt i 1. pkt., skal virksomheden
tydeligt og på en forståelig måde oplyse om retten til at
gøre indsigelse efter stk. 1. Forbrugeren skal samtidig gives adgang
til på en nem måde inden for to uger at gøre sådan
indsigelse. Oplysningerne må ikke videregives, inden fristen til at
gøre indsigelse er udløbet.
Stk. 3. Er virksomheden alene bekendt med forbrugerens
e-post adresse, finder bestemmelsen i stk. 2, 2.-4. pkt., tilsvarende
anvendelse.
Stk. 4. Henvendelse til forbrugeren efter stk. 2 og 3
skal i øvrigt ske i overensstemmelse med reglerne i
markedsføringslovens § 6 a og regler udstedt i medfør af
markedsføringslovens § 6 a, stk. 7.
Stk. 5. Virksomheden kan ikke kræve betaling for
behandlingen af en indsigelse.
§ 37. Den dataansvarlige skal berigtige, slette eller blokere
oplysninger, der viser sig urigtige eller vildledende eller på lignende
måde er behandlet i strid med lov eller bestemmelser udstedt i
medfør af lov, hvis en registreret person fremsætter anmodning
herom.
Stk. 2. Den dataansvarlige skal underrette den tredjemand,
hvortil oplysningerne er videregivet, om at de videregivne oplysninger er
berigtiget, slettet eller blokeret i henhold til stk. 1, hvis en registreret
person fremsætter anmodning herom. Dette gælder dog ikke, hvis
underretningen viser sig umulig eller er uforholdsmæssigt
vanskelig.
§ 38. Den registrerede kan tilbagekalde et samtykke.
§ 39. Fremsætter en registreret person indsigelse
herimod, kan den dataansvarlige ikke foranstalte, at den registrerede
undergives afgørelser, der har retsvirkninger for eller i
øvrigt berører den pågældende i væsentlig
grad, og som alene er truffet på grundlag af elektronisk databehandling
af oplysninger, der er bestemt til at vurdere bestemte personlige
forhold.
Stk. 2. Bestemmelsen i stk. 1 gælder ikke,
hvis
1) den pågældende afgørelse træffes som led i
indgåelsen eller opfyldelsen af en aftale, såfremt den
registreredes anmodning om indgåelse eller opfyldelse af aftalen er
blevet efterkommet, eller der findes passende foranstaltninger til at
beskytte den registreredes berettigede interesser, eller
2) den pågældende afgørelse er hjemlet i en lov, der
indeholder bestemmelser til beskyttelse af den registreredes berettigede
interesser.
Stk. 3. Den registrerede har ret til hos den dataansvarlige
snarest muligt og uden ugrundet ophold at få at vide, hvilke
beslutningsregler der ligger bag en afgørelse som nævnt i
stk. 1. § 30 finder tilsvarende anvendelse.
§ 40. Den registrerede kan klage til vedkommende tilsynsmyndighed
over behandling af oplysninger vedrørende den
pågældende.
Afsnit IV
Sikkerhed
Kapitel 11
Behandlingssikkerhed
§ 41. Personer, virksomheder m.v., der udfører arbejde
under den dataansvarlige eller databehandleren, og som får adgang til
oplysninger, må kun behandle disse efter instruks fra den
dataansvarlige, medmindre andet følger af lov eller bestemmelser
fastsat i henhold til lov.
Stk. 2. Den i stk. 1 nævnte instruks må ikke
begrænse den journalistiske frihed eller være til hinder for
tilvejebringelsen af et kunstnerisk eller litterært produkt.
Stk. 3. Den dataansvarlige skal træffe de
fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod,
at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Tilsvarende gælder
for databehandlere.
Stk. 4. For oplysninger, som behandles for den offentlige
forvaltning, og som er af særlig interesse for fremmede magter, skal
der træffes foranstaltninger, der muliggør bortskaffelse eller
tilintetgørelse i tilfælde af krig eller lignende forhold.
Stk. 5. Justitsministeren kan fastsætte nærmere
regler om de i stk. 3 anførte sikkerhedsforanstaltninger.
§ 42. Når en dataansvarlig overlader en behandling af
oplysninger til en databehandler, skal den dataansvarlige sikre sig, at
databehandleren kan træffe de i § 41, stk. 3-5, nævnte
tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at
dette sker.
Stk. 2. Gennemførelse af en behandling ved en
databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af
aftalen skal det fremgå, at databehandleren alene handler efter
instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5,
ligeledes gælder for behandlingen ved databehandleren. Hvis
databehandleren er etableret i en anden medlemsstat, skal det fremgå af
aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i
lovgivningen i den medlemsstat, hvor databehandleren er etableret,
gælder for denne.
Afsnit V
Anmeldelse
Kapitel 12
Anmeldelse af behandlinger, der foretages for den
offentlige forvaltning
§ 43. Forinden iværksættelse af en behandling af
oplysninger, som foretages for den offentlige forvaltning, skal der af den
dataansvarlige eller dennes repræsentant foretages anmeldelse til
Datatilsynet, jf. dog § 44. Den dataansvarlige kan bemyndige andre
myndigheder eller private til at foretage anmeldelse på dennes
vegne.
Stk. 2. Anmeldelsen skal indeholde oplysninger om
følgende:
1) Navn og adresse på den dataansvarlige, dennes eventuelle
repræsentant og på en eventuel databehandler.
2) Behandlingens betegnelse og formål.
3) En generel beskrivelse af behandlingen.
4) En beskrivelse af kategorierne af registrerede og af de typer af
oplysninger, der vedrører dem.
5) Modtagere eller kategorier af modtagere, som oplysningerne kan
overføres til.
6) Påtænkte overførsler af oplysninger til
tredjelande.
7) En generel beskrivelse af de foranstaltninger, der
iværksættes af hensyn til behandlingssikkerheden.
8) Tidspunktet for påbegyndelsen af behandlingen.
9) Tidspunktet for sletning af oplysningerne.
§ 44. Behandling, som ikke omfatter oplysninger af fortrolig
karakter, er undtaget fra reglerne i § 43, jf. dog stk. 2. En
sådan behandling kan uden anmeldelse endvidere omfatte
identifikationsoplysninger, herunder personnummer, og oplysninger om betaling
til og fra en offentlig myndighed, medmindre der er tale om en behandling som
nævnt i § 45, stk. 1.
Stk. 2. Justitsministeren fastsætter nærmere
regler om de i stk. 1 nævnte behandlinger.
Stk. 3. Behandlinger, hvis eneste formål er at
føre et register, der i henhold til lov eller regler udstedt i
medfør af lov er beregnet til at informere offentligheden, og som er
tilgængeligt for offentligheden, er ligeledes undtaget fra reglerne i
§ 43.
Stk. 4. Justitsministeren kan fastsætte regler om, at
bestemte typer af behandlinger af oplysninger undtages fra bestemmelsen i
§ 43. Det gælder dog ikke behandlinger som nævnt i
§ 45, stk. 1.
§ 45. Forinden behandling, som er omfattet af
anmeldelsespligten i § 43, iværksættes, skal Datatilsynets
udtalelse indhentes, når
1) behandlingen omfatter oplysninger, der er omfattet af § 7,
stk. 1, og § 8, stk. 1,
2) behandlingen udelukkende finder sted med henblik på at
føre retsinformationssystemer,
3) behandlingen udelukkende finder sted i videnskabeligt eller
statistisk øjemed, eller
4) behandlingen omfatter sammenstilling eller samkøring af
oplysninger i kontroløjemed.
Stk. 2. Justitsministeren kan fastsætte regler om, at
tilsynets udtalelse skal indhentes inden iværksættelsen af andre
end de i stk. 1 nævnte behandlinger.
§ 46. Ændringer i de i § 43, stk. 2,
nævnte oplysninger skal forud for iværksættelsen anmeldes
til tilsynet. Ændringer af mindre væsentlig betydning kan
anmeldes efterfølgende, dog senest 4 uger efter
iværksættelsen.
Stk. 2. Forinden iværksættelse af ændringer
i de i § 43, stk. 2, nævnte oplysninger i anmeldelser af
behandlinger, som er omfattet af § 45, stk. 1 eller 2, skal
tilsynets udtalelse indhentes. Ændringer af mindre væsentlig
betydning skal alene anmeldes. Anmeldelse kan ske efterfølgende, dog
senest 4 uger efter iværksættelsen.
§ 47. I tilfælde, hvor dataansvaret er henlagt til en
underordnet myndighed, og tilsynet ikke kan tiltræde udførelsen
af en behandling, forelægges sagen for vedkommende minister, der
træffer afgørelse i sagen.
Stk. 2. Kan tilsynet ikke tiltræde udførelsen af
en behandling, som foretages for en kommunal myndighed, forelægges
sagen for indenrigsministeren, der træffer afgørelse i
sagen.
Kapitel 13
Anmeldelse af behandlinger, der foretages for en privat
dataansvarlig
§ 48. Forinden iværksættelse af en behandling af
oplysninger, som foretages for en privat dataansvarlig, skal der af den
dataansvarlige eller dennes repræsentant foretages anmeldelse til
Datatilsynet, jf. dog § 49.
Stk. 2. Anmeldelsen skal indeholde de oplysninger, som
fremgår af § 43, stk. 2.
§ 49. Behandling af oplysninger er, bortset fra de i
§ 50, stk. 2, angivne tilfælde, undtaget fra reglerne i
§ 48, når
1) behandlingen omfatter oplysninger om ansatte i det omfang,
behandlingen ikke omfatter oplysninger som nævnt i § 7,
stk. 1, og § 8, stk. 4,
2) behandlingen omfatter oplysninger om ansattes helbredsforhold i det
omfang, behandlingen af helbredsoplysningerne er nødvendig til
opfyldelse af bestemmelser i lov eller forskrifter fastsat i henhold til
lov,
3) behandlingen omfatter oplysninger om ansatte, hvis registrering er
nødvendig som følge af kollektiv overenskomst eller kollektiv
aftale på arbejdsmarkedet,
4) behandlingen omfatter oplysninger om kunder, leverandører
eller andre forretningsforbindelser i det omfang, behandlingen ikke omfatter
oplysninger som nævnt i § 7, stk. 1, og § 8,
stk. 4, eller i det omfang, der ikke er tale om behandlinger som omtalt
i § 50, stk. 1, nr. 4,
5) behandlingen foretages med henblik på udførelsen af
markedsundersøgelser i det omfang, behandlingen ikke omfatter
oplysninger som nævnt i § 7, stk. 1, og § 8,
stk. 4,
6) behandlingen foretages af en forening eller lignende i det omfang,
der alene behandles oplysninger om foreningens medlemmer,
7) behandlingen foretages af advokater eller revisorer som led i deres
virksomhed i det omfang, der alene behandles oplysninger vedrørende
klientforhold,
8) behandlingen foretages af læger, sygeplejersker,
tandlæger, kliniske tandteknikere, apotekere, terapiassistenter,
kiropraktorer og lignende personer med autorisation til at udøve
virksomhed inden for sundheds- og sygeplejen i det omfang, oplysningerne
alene anvendes til brug ved denne virksomhed, og behandlingen af
oplysningerne ikke sker for et privat sygehus, eller
9) behandlingen foretages til brug ved en
bedriftssundhedstjeneste.
Stk. 2. Justitsministeren fastsætter nærmere
regler om de i stk. 1 nævnte behandlinger.
Stk. 3. Justitsministeren kan fastsætte regler om, at
andre typer af behandlinger undtages fra bestemmelsen i § 48. Det
gælder dog ikke behandlinger, der er omfattet af § 50,
stk. 1, medmindre behandlingerne undtages efter § 50, stk. 3.
§ 50. Forinden iværksættelse af en behandling, som
er omfattet af anmeldelsespligten i § 48, skal Datatilsynets tilladelse
indhentes, når
1) behandlingen omfatter oplysninger som nævnt i § 7,
stk. 1, og § 8, stk. 4,
2) behandlingen af oplysningerne sker med henblik på at advare
andre mod forretningsforbindelser med eller ansættelsesforhold til en
registreret,
3) behandlingen sker med henblik på erhvervsmæssig
videregivelse af oplysninger til bedømmelse af økonomisk
soliditet og kreditværdighed,
4) behandlingen sker med henblik på erhvervsmæssig bistand
ved stillingsbesættelse, eller
5) behandlingen udelukkende finder sted med henblik på at
føre retsinformationssystemer.
Stk. 2. Ved overførsel af oplysninger som nævnt i
stk. 1 til tredjelande i medfør af § 27, stk. 1, og
stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til
overførslen, uanset at behandlingen i øvrigt er undtaget fra
anmeldelse i medfør af § 49, stk. 1.
Stk. 3. Justitsministeren kan fastsætte undtagelser fra
bestemmelserne i stk. 1, nr. 1, og stk. 2.
Stk. 4. Justitsministeren kan fastsætte regler om, at
der forinden iværksættelse af andre anmeldelsespligtige
behandlinger end de i stk. 1 eller 2 nævnte skal indhentes
tilladelse fra tilsynet.
Stk. 5. Tilsynet kan i forbindelse med meddelelse af
tilladelse efter stk. 1, 2 eller 4 fastsætte nærmere
vilkår for udførelsen af behandlingerne til beskyttelse af de
registreredes privatliv.
§ 51. Ændringer i de i § 48, stk. 2, jf.
§ 43, stk. 2, nævnte oplysninger skal forud for
iværksættelsen anmeldes til tilsynet. Ændringer af mindre
væsentlig betydning kan anmeldes efterfølgende, dog senest 4
uger efter iværksættelsen.
Stk. 2. Forinden iværksættelse af ændringer
i de i § 48, stk. 2, jf. § 43, stk. 2, nævnte
oplysninger i anmeldelser af behandlinger, som er omfattet af § 50,
stk. 1, 2 eller 4, skal Datatilsynets tilladelse indhentes.
Ændringer af mindre væsentlig betydning skal alene anmeldes.
Anmeldelse kan ske efterfølgende, dog senest 4 uger efter
iværksættelsen.
Kapitel 14
Anmeldelse af behandlinger, der foretages for
domstolene
§ 52. Reglerne i §§ 43-46 gælder for anmeldelse til
Domstolsstyrelsen af behandling af oplysninger, der foretages for
domstolene.
Kapitel 15
Øvrige bestemmelser
§ 53. Databehandlere, der er etableret i Danmark, og som
udøver edb-servicevirksomhed, skal forinden påbegyndelsen af
behandlingen foretage anmeldelse til Datatilsynet.
§ 54. Tilsynsmyndigheden skal føre en fortegnelse over
de behandlinger, der er anmeldt efter §§ 43, 48 og 52. Fortegnelsen, som
mindst skal indeholde de oplysninger, som er anført i § 43,
stk. 2, skal være tilgængelig for offentligheden.
Stk. 2. En dataansvarlig skal stille de i § 43,
stk. 2, nr. 1, 2, og 4-6, nævnte oplysninger om alle de
behandlinger, som udføres for vedkommende, til rådighed for
enhver, som anmoder derom.
Stk. 3. Offentlighedens adgang til indsigt i den fortegnelse,
der er nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2,
kan begrænses, i det omfang det er nødvendigt til forebyggelse,
opklaring og forfølgning af lovovertrædelser, eller
afgørende hensyn til private interesser gør det
påkrævet.
Afsnit VI
Tilsyn og afsluttende bestemmelser
Kapitel 16
Datatilsynet
§ 55. Datatilsynet, der består af et råd og et
sekretariat, fører tilsyn med enhver behandling, der omfattes af
loven, jf. dog kapitel 17.
Stk. 2. Tilsynets daglige forretninger varetages af
sekretariatet, der ledes af en direktør.
Stk. 3. Rådet, der nedsættes af justitsministeren,
består af en formand, der er dommer, og af 6 andre medlemmer. Der kan
udnævnes stedfortrædere for medlemmerne. Medlemmerne og
stedfortræderne for disse udnævnes for 4 år.
Stk. 4. Rådet fastsætter sin forretningsorden og
de nærmere regler om arbejdets fordeling mellem råd og
sekretariat.
§ 56. Datatilsynet udøver sine funktioner i fuld
uafhængighed.
§ 57. Ved udarbejdelse af bekendtgørelser,
cirkulærer eller lignende generelle retsforskrifter, der har betydning
for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger,
skal der indhentes en udtalelse fra Datatilsynet.
§ 58. Datatilsynet påser af egen drift eller efter klage
fra en registreret, at behandlingen finder sted i overensstemmelse med loven
og regler udstedt i medfør af loven.
Stk. 2. Tilsynet kan til enhver tid tilbagekalde en
afgørelse truffet i henhold til § 27, stk. 4, eller § 50, stk. 2,
jf. § 27, stk. 1, eller stk. 3, nr. 2-4, såfremt Europa-Kommissionen
træffer afgørelse om, at der ikke må ske overførsel
af oplysninger til bestemte tredjelande, eller om at der lovligt kan ske en
sådan overførsel. Dette gælder dog kun, såfremt
tilbagekaldelsen er nødvendig for at efterleve Kommissionens
afgørelse.
§ 59. Datatilsynet kan påbyde en privat dataansvarlig at
ophøre med en behandling, der ikke må finde sted efter denne
lov, og at berigtige, slette eller blokere bestemte oplysninger, som er
omfattet af en sådan behandling.
Stk. 2. Tilsynet kan forbyde en privat dataansvarlig at
anvende en nærmere angiven fremgangsmåde i forbindelse med
behandlingen af oplysninger, hvis tilsynet finder, at den
pågældende fremgangsmåde medfører en væsentlig
risiko for, at der behandles oplysninger i strid med loven.
Stk. 3. Tilsynet kan påbyde en privat dataansvarlig at
træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger
mod, at der behandles oplysninger, som ikke må behandles, at
oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven.
Stk. 4. Tilsynet kan i særlige tilfælde meddele
databehandlere påbud eller forbud, jf. stk. 1-3.
§ 60. Datatilsynet træffer over for vedkommende
myndighed afgørelse i sager vedrørende § 7, stk. 7,
§ 9, stk. 3, § 10, stk. 3, § 13, stk. 1,
§ 27, stk. 4, §§ 28-31, § 32, stk. 1, 2 og 4,
§§ 33-37, § 39 samt § 58, stk. 2.
Stk. 2. I andre tilfælde afgiver tilsynet udtalelser
over for den dataansvarlige myndighed.
§ 61. Datatilsynets afgørelser efter denne lov kan ikke
indbringes for anden administrativ myndighed.
§ 62. Datatilsynet kan kræve enhver oplysning, der er af
betydning for dets virksomhed, herunder til afgørelse af, om et
forhold falder ind under lovens bestemmelser.
Stk. 2. Tilsynets medlemmer og personale har til enhver tid
mod behørig legitimation uden retskendelse adgang til alle lokaler,
hvorfra en behandling, som foretages for den offentlige forvaltning,
administreres, eller hvorfra der er adgang til de oplysninger, som behandles,
samt til lokaler, hvor oplysningerne eller tekniske hjælpemidler
opbevares eller anvendes.
Stk. 3. Bestemmelsen i stk. 2 gælder tilsvarende
for behandlinger, som foretages for private dataansvarlige i det omfang,
behandlingen er omfattet af § 50.
Stk. 4. Bestemmelsen i stk. 2 gælder også for
så vidt angår den behandling, der udføres af
databehandlere som nævnt i § 53.
§ 63. Datatilsynet kan bestemme, at anmeldelser og
ansøgninger om tilladelse efter denne lov og ændringer heri kan
eller skal indgives på nærmere angiven måde.
Stk. 2. For indgivelse af følgende anmeldelser og
ansøgninger om tilladelser i henhold til denne lov betales 1.000
kr.:
1) Anmeldelse i henhold til § 48.
2) Tilladelse i henhold til § 50.
3) Anmeldelse i henhold til § 53.
Stk. 3. En anmeldelse som nævnt i stk. 2, nr. 1 og 2,
anses først for indgivet, når betaling er sket. Datatilsynet kan
bestemme, at en tilladelse som nævnt i stk. 2, nr. 3, ikke meddeles,
før betaling er sket.
Stk. 4. Bestemmelserne i stk. 2, nr. 1 og 2, gælder
ikke for behandlinger, der udelukkende finder sted i videnskabeligt eller
statistisk øjemed.
Stk. 5. Såfremt en behandling både skal anmeldes
efter § 48 og tillades efter § 50, betales kun ét gebyr.
§ 64. Datatilsynet kan af egen drift eller efter anmodning fra
en anden medlemsstat påse, at en behandling af oplysninger, som finder
sted i Danmark, er lovlig, uanset at den pågældende behandling er
undergivet en anden medlemsstats lovgivning. Bestemmelserne i §§ 59 og
62 finder tilsvarende anvendelse.
Stk. 2. Datatilsynet kan videregive oplysninger til
tilsynsmyndigheder i andre medlemsstater i det omfang, det er
nødvendigt for at påse overholdelsen af bestemmelserne i denne
lov eller af den pågældende medlemsstats
databeskyttelseslovgivning.
§ 65. Datatilsynet afgiver en årlig beretning om sin
virksomhed til Folketinget. Beretningen offentliggøres. Tilsynet kan i
øvrigt offentliggøre sine udtalelser. Bestemmelsen i § 30
finder tilsvarende anvendelse.
§ 66. Datatilsynet og Domstolsstyrelsen samarbejder i det
omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at
udveksle alle relevante oplysninger.
Kapitel 17
Tilsyn med domstolene
§ 67. Domstolsstyrelsen fører tilsyn med behandling af
oplysninger, der foretages for domstolene.
Stk. 2. Tilsynet omfatter behandling af oplysninger med hensyn
til domstolenes administrative forhold.
Stk. 3. For anden behandling af oplysninger træffes
afgørelse af vedkommende ret. Afgørelsen kan kæres til
højere ret. For særlige domstole, hvis afgørelser ikke
kan indbringes for højere ret, kan den i 1. pkt. nævnte
afgørelse kæres til den landsret, i hvis kreds retten er
beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er
meddelt den pågældende.
§ 68. For Domstolsstyrelsens udøvelse af tilsyn i
henhold til § 67 gælder bestemmelserne i §§ 56, 58, 62,
stk. 1, 2 og 4, 63, stk. 1, og 66. Domstolsstyrelsens
afgørelser er endelige.
Stk. 2. Ved udarbejdelse af bekendtgørelser eller
lignende generelle retsforskrifter, der har betydning for beskyttelsen af
privatlivet i forbindelse med behandling af oplysninger, der foretages for
domstolene, skal der indhentes en udtalelse fra Domstolsstyrelsen.
Stk. 3. Domstolsstyrelsen offentliggør en årlig
beretning om dens virksomhed.
Kapitel 18
Erstatnings- og strafansvar
§ 69. Den dataansvarlige skal erstatte skade, der er forvoldt
ved behandling i strid med bestemmelserne i denne lov, medmindre det
godtgøres, at skaden ikke kunne have været afværget ved
den agtpågivenhed og omhu, der må kræves i forbindelse med
behandling af oplysninger.
§ 70. Medmindre højere straf er forskyldt efter den
øvrige lovgivning, straffes med bøde eller hæfte den, der
i forbindelse med en behandling, som udføres for private,
1) overtræder § 4, stk. 5, § 5, stk. 2-5,
§ 6, § 7, stk. 1, § 8, stk. 4-6, § 9,
stk. 2, § 10, stk. 2 og 3, 1. pkt., § 11, stk. 2 og
3, § 12, stk. 1 og stk. 2, 1. pkt., § 13, stk. 1, 1.
pkt., §§ 20-25, § 26, stk. 1, stk. 2, 2. pkt. og
stk. 3, § 27, stk. 1, § 28, stk. 1, § 29,
stk. 1, § 31, §§ 33 og 34, § 35, stk. 2,
§§ 36-37, § 39, stk. 1 og 3, § 41, stk. 1 og 3,
§ 42, § 48, § 50, stk. 1 og 2, § 51, § 53 eller
§ 54, stk. 2,
2) undlader at efterkomme Datatilsynets afgørelse efter
§ 5, stk. 1, § 7, stk. 7, § 13, stk. 1, 2.
pkt., § 26, stk. 2, 1. pkt., § 27, stk. 4, §§ 28 og
29, § 30, stk. 1, § 31, § 32, stk. 1 og 4,
§§ 33-37, § 39, § 50, stk. 2, eller § 58,
stk. 2,
3) undlader at efterkomme Datatilsynets krav efter § 62,
stk. 1,
4) hindrer Datatilsynet i at få adgang efter § 62,
stk. 3 og 4,
5) tilsidesætter vilkår som nævnt i § 7,
stk. 7, § 9, stk. 3, § 10, stk. 3, § 13,
stk. 1, § 27, stk. 4, § 50, stk. 5, eller en
betingelse eller et vilkår for en tilladelse i henhold til regler
udstedt i medfør af loven, eller
6) undlader at efterkomme forbud eller påbud, der er meddelt i
henhold til § 59 eller i henhold til regler udstedt i medfør af
loven.
Stk. 2. Medmindre højere straf er forskyldt efter den
øvrige lovgivning, straffes med bøde eller hæfte den, der
i forbindelse med en behandling, som udføres for offentlige
myndigheder, overtræder § 41, stk. 3, eller § 53 eller
tilsidesætter vilkår som nævnt i § 7, stk. 7,
§ 9, stk. 3, § 10, stk. 3, § 13, stk. 1,
§ 27, stk. 4, eller en betingelse eller et vilkår for en
tilladelse i henhold til regler udstedt i medfør af loven.
Stk. 3. Medmindre højere straf er forskyldt efter den
øvrige lovgivning, straffes med bøde eller hæfte den, der
i forbindelse med en behandling, som er undergivet en anden medlemsstats
lovgivning, undlader at efterkomme Datatilsynets afgørelser efter
§ 59 eller at opfylde Datatilsynets krav efter § 62, stk. 1,
eller hindrer Datatilsynet i at få adgang efter § 62, stk. 3
og 4.
Stk. 4. I regler, der udstedes i medfør af loven, kan
der fastsættes straf af bøde eller hæfte.
Stk. 5. Der kan pålægges selskaber m.v. (juridiske
personer) strafansvar efter reglerne i straffelovens 5. kapitel.
§ 71. Den, der driver eller er beskæftiget med
virksomhed som nævnt i § 50, stk. 1, nr. 2-5, eller
§ 53, kan ved dom for strafbart forhold frakendes retten hertil,
såfremt det udviste forhold begrunder en nærliggende fare for
misbrug. I øvrigt finder straffelovens § 79, stk. 3 og 4,
anvendelse.
Kapitel 19
Afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser m.v.
§ 72. Vedkommende minister kan i særlige tilfælde
fastsætte nærmere regler for behandlinger, som udføres for
den offentlige forvaltning.
§ 73. Justitsministeren kan fastsætte nærmere
regler for bestemte typer af behandlinger, som udføres for private
dataansvarlige, herunder at bestemte typer oplysninger ikke må
behandles.
§ 74. Brancheforeninger eller andre organer, som
repræsenterer andre kategorier af private dataansvarlige, kan i
samarbejde med Datatilsynet udarbejde adfærdskodekser, der skal bidrage
til en korrekt anvendelse af reglerne i denne lov.
§ 75. Justitsministeren kan fastsætte regler, som er
nødvendige for at gennemføre de af Det Europæiske
Fællesskab udstedte beslutninger, som træffes med henblik
på gennemførelse af direktivet om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger, eller regler, som er
nødvendige for at anvende de af Fællesskabet udstedte retsakter
på direktivets område.
§ 76. Loven træder i kraft dagen efter
bekendtgørelsen i Lovtidende.
Stk. 2. Lov om offentlige myndigheders registre, jf.
lovbekendtgørelse nr. 654 af 20. september 1991, og lov om private
registre m.v., jf. lovbekendtgørelse nr. 622 af 2. oktober 1987,
ophæves.
Stk. 3. Registerrådets medlemmer indtræder
som medlemmer af Datarådet, indtil justitsministeren har udnævnt
Datarådets medlemmer.
Stk. 4. Bekendtgørelse nr. 160 af 20. april 1979
om forretningsorden for registerrådet m.v. gælder for
Datatilsynets virksomhed, indtil den ophæves eller erstattes af regler
udstedt i medfør af denne lov.
Stk. 5. Anordning nr. 73 af 5. marts 1979 om, at
forskrifter for registre m.v., der udfærdiges i medfør af loven
om offentlige myndigheders registre, ikke indføres i Lovtidende,
ophæves.
Stk. 6. Klage- eller tilsynssager, der er oprettet
før den 24. oktober 1998, færdigbehandles efter de hidtil
gældende regler. Datatilsynet udøver den kompetence, som efter
disse regler tilkommer Registertilsynet.
Stk. 7. Datatilsynet udfører i øvrigt de
opgaver, som efter lovgivningen udføres af Registertilsynet.
§ 77. For behandlinger, der foretages for private, og som er
iværksat før den 24. oktober 1998, skal reglerne i kapitel 13
være opfyldt senest den 1. oktober 2000.
Stk. 2. For behandlinger, der foretages for offentlige
myndigheder, og som er iværksat før den 24. oktober 1998, skal
reglerne i kapitel 12 og 14 være opfyldt senest den 1. april 2001.
Stk. 3. Behandlinger, der er iværksat før
den 24. oktober 1998, kan fortsætte uden tilladelse i 16 uger efter
lovens ikrafttræden, hvis der skal indhentes tilladelse hertil efter
reglerne i lovens afsnit II eller bestemmelsen i stk. 7.
Stk. 4. Behandlinger, der er iværksat den 24.
oktober 1998 eller senere, men inden lovens ikrafttræden, kan
fortsætte uden forudgående anmeldelse, udtalelse eller tilladelse
i 16 uger efter lovens ikrafttræden.
Stk. 5. Der skal senest 16 uger efter lovens
ikrafttræden foretages anmeldelse efter bestemmelsen i § 53.
Stk. 6. Justitsministeren kan fastsætte regler om,
at den i stk. 1 og 2 nævnte frist forlænges.
Stk. 7. Tilsynsmyndigheden kan i ganske særlige
tilfælde efter ansøgning bestemme, at behandlinger, der er
iværksat før lovens ikrafttræden, kan fortsætte
uanset behandlingsreglerne i afsnit II.
§ 78. Behandlinger, som før lovens ikrafttræden
er anmeldt efter § 2, stk. 3, 2. pkt., i lov om private registre m.v., kan
fortsætte efter de hidtil gældende regler indtil den 1. oktober
2001. Datatilsynet udøver den kompetence, som efter disse regler
tilkommer Registertilsynet.
Stk. 2. Behandlinger som nævnt i stk. 1 skal
overholde lovens § 5 og §§ 41-42. For disse behandlinger kan den registrerede
kræve berigtigelse, sletning eller blokering af oplysninger, der er
urigtige eller vildledende, eller som opbevares på en måde, der
er uforenelig med de legitime formål, som den dataansvarlige
forfølger. Datatilsynet fører tilsyn efter reglerne i lovens
kapitel 16.
§ 79. Et samtykke, som er givet i overensstemmelse med de
hidtil gældende regler, gælder for behandlinger, der foretages
efter lovens ikrafttræden, såfremt samtykket opfylder kravene i
denne lovs § 3, nr. 8, sammenholdt med § 6, nr. 1, § 7,
stk. 2, nr. 1, § 8, stk. 2-5, § 11, stk. 2, nr. 2, eller
stk. 3, eller § 27, stk. 3, nr. 1.
§ 80. I lov nr. 572 af 19. december 1985 om offentlighed i
forvaltningen som senest ændret ved lov nr. 276 af 13. maj 1998
foretages følgende ændring:
1. § 5, stk. 3, affattes således:
»Stk. 3. Vedkommende minister kan fastsætte regler om
offentlighedens adgang til at blive gjort bekendt med fortegnelser som
nævnt i stk. 2, der ikke er omfattet af lov om behandling af
personoplysninger. Der kan herunder fastsættes regler om betaling.«
§ 81. I lov nr. 430 af 1. juni 1994 om massemediers
informationsdatabaser foretages følgende ændringer:
1. I § 3, stk. 1 og 3, og § 6,
stk. 1, ændres »Registertilsynet« til: »Datatilsynet«.
2. § 17 affattes således:
Ȥ 17. Et massemedie skal erstatte skade, der er forvoldt ved
behandling i strid med bestemmelserne i denne lov, medmindre det
godtgøres, at skaden ikke kunne have været afværget ved
den agtpågivenhed og omhu, der må kræves i forbindelse med
behandling af oplysninger. Lovgivningens almindelige erstatningsregler finder
i øvrigt anvendelse.
Stk. 2. Lovgivningens almindelige regler om straf finder
anvendelse på sager omfattet af denne lov.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske
personer) strafansvar efter reglerne i straffelovens 5. kapitel.«
3. Som ny § 11 a indsættes
følgende bestemmelse:
»§ 11 a. Der skal træffes de fornødne
sikkerhedsforanstaltninger mod, at informationer i offentligt
tilgængelige informationsdatabaser ændres af uvedkommende.«
4. § 16, stk. 1, nr. 1, affattes på følgende
måde:
»1) overtræder § 4, § 5, § 7, § 8, stk. 1, § 9, nr. 2 og 3, § 11,
stk. 1 og 3, eller § 11 a.«
§ 82. I tinglysningsloven, jf. lovbekendtgørelse nr.
622 af 15. september 1986, som senest ændret ved lov nr. 1018 af 23.
december 1998, foretages følgende ændringer:
1. I § 50 d, stk. 1, indsættes i stedet for
»Registertilsynet«: »Domstolsstyrelsen«.
2. § 50 d, stk. 2 og 3, affattes således:
»Stk. 2. Domstolsstyrelsen fører tilsyn med
tinglysningsregistrene. Domstolsstyrelsens afgørelser er endelige.
Stk. 3. Justitsministeren fastsætter nærmere
regler om dette tilsyn efter forhandling med Domstolsstyrelsen. «
§ 83. Loven gælder ikke for Færøerne, men
kan ved kongelig anordning sættes i kraft for rigsmyndighedernes
behandling af oplysninger med de afvigelser, som de særlige
færøske forhold tilsiger. Loven gælder heller ikke for
Grønland, men kan ved kongelig anordning sættes i kraft med de
afvigelser, som de særlige grønlandske forhold tilsiger.
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1.
Lovforslagets formål
20
2.
EF-direktivet om behandling af personoplysninger
20
3.
Nedsættelsen af Justitsministeriets udvalg om
registerlovgivningen
21
4.
Lovforslagets systematik og indhold
21
4.1.
En eller flere love?
23
4.1.1.
Den gældende ordning
23
4.1.2.
Udvalgets overvejelser
24
4.1.3.
Justitsministeriets forslag
24
4.2.
Lovforslagets hovedpunkter
24
4.2.1.
Anvendelsesområde
24
4.2.1.1.
Gældende ret
24
A.
Lov om offentlige myndigheders registre
24
B.
Lov om private registre
25
4.2.1.2.
Udvalgets overvejelser
25
4.2.1.3.
Justitsministeriets forslag
27
4.2.2.
Definitioner
27
4.2.2.1.
Gældende ret
27
4.2.2.2.
Udvalgets overvejelser
28
4.2.2.3.
Justitsministeriets forslag
28
4.2.3.
Geografisk område
29
4.2.3.1.
Gældende ret
29
4.2.3.2.
Udvalgets overvejelser
29
4.2.3.3.
Justitsministeriets forslag
29
4.2.4.
Krav til selve behandlingen af oplysninger
30
4.2.4.1.
Gældende ret
30
A.
Lov om offentlige myndigheders registre
30
B.
Lov om private registre
32
4.2.4.2.
Udvalgets overvejelser
36
A.
Almindelige regler om behandling af oplysninger
36
B.
Særlige regler om behandling af oplysninger
38
4.2.4.3.
Justitsministeriets forslag
42
4.2.5.
Registreredes rettigheder
44
4.2.5.1.
Gældende ret
44
A.
Lov om offentlige myndigheders registre
44
B.
Lov om private registre
46
4.2.5.2.
Udvalgets overvejelser
47
4.2.5.3.
Justitsministeriets forslag
50
4.2.6.
Behandlingssikkerhed
52
4.2.6.1.
Gældende ret
52
A.
Lov om offentlige myndigheders registre
52
B.
Lov om private registre
53
4.2.6.2.
Udvalgets overvejelser
54
4.2.6.3.
Justitsministeriets forslag
54
4.2.7.
Anmeldelse af behandlinger
55
4.2.7.1.
Gældende ret
55
A.
Lov om offentlige myndigheders registre
55
B.
Lov om private registre
56
4.2.7.2.
Udvalgets overvejelser
56
A.
Behandlinger, der udføres for den offentlige forvaltning
57
B.
Behandlinger, der udføres for private dataansvarlige
60
C.
Behandlinger, der udføres for domstolene
61
D.
Særligt om edb-servicebureauer (databehandlere)
62
4.2.7.3.
Justitsministeriets forslag
62
4.2.8.
Tilsyn
63
4.2.8.1.
Gældende ret
63
A.
Lov om offentlige myndigheders registre
63
B.
Lov om private registre
65
4.2.8.2.
Udvalgets overvejelser
66
A.
Det almindelige tilsyn (Datatilsynet)
66
B.
Tilsynet med domstolene
71
4.2.8.3.
Justitsministeriets forslag
72
4.2.9.
Retsmidler, erstatning og sanktioner
72
4.2.9.1.
Gældende ret
72
A.
Lov om offentlige myndigheders registre
72
B.
Lov om private registre
73
4.2.9.2.
Udvalgets overvejelser
73
4.2.9.3.
Justitsministeriets forslag
74
4.2.10.
Mediernes forhold
74
4.2.10.1.
Gældende ret
74
4.2.10.2.
Udvalgets overvejelser
76
4.2.10.3.
Justitsministeriets forslag
77
4.2.11.
Forholdet mellem lovforslaget og anden forvaltningsretlig
lovgivning
78
4.2.11.1.
Gældende ret
78
A.
Forholdet mellem lov om offentlige myndigheders registre og
forvaltningsloven
78
B.
Forholdet mellem lov om offentlige myndigheders registre og
offentlighedsloven
79
C.
Forholdet mellem registerlovgivningen og arkivlovgivningen
79
4.2.11.2.
Udvalgets overvejelser
79
4.2.11.3.
Justitsministeriets forslag
80
4.2.12.
Særligt om ny informationsteknologi
82
4.2.12.1.
Gældende ret
82
4.2.12.2.
Udvalgets overvejelser
82
4.2.12.3.
Justitsministeriets forslag
83
5.
Økonomiske og administrative konsekvenser m.v.
83
6.
Høring
85
1. Lovforslagets formål
Formålet med lovforslaget er at gennemføre en
mere tidssvarende generel lovgivning om behandling af personoplysninger til
afløsning af den gældende registerlovgivning.
Med lovforslaget tilsigtes det at sikre et fortsat
højt beskyttelsesniveau i forhold til den enkelte borger. Samtidig er
det hensigten at skabe en fleksibel ordning, som kan danne rammen om en
hensigtsmæssig udnyttelse af den stadig større mulighed for -
på baggrund af den teknologiske udvikling - at gøre
personoplysninger til genstand for elektronisk behandling.
Det er endvidere et væsentligt formål med
lovforslaget at gennemføre et EF-direktiv fra 1995 om behandling af
personoplysninger, jf. nærmere nedenfor under pkt. 2.
De foreslåede regler skal gælde for behandling
af personoplysninger, som helt eller delvis foretages ved hjælp af
elektronisk databehandling, og for ikke- elektronisk behandling af
personoplysninger, der er eller vil blive indeholdt i et register (manuelle
registre), jf. lovforslagets § 1, stk. 1. Lovforslaget
medfører dermed et langt bredere anvendelsesområde end den
gældende registerlovgivning, der er begrænset til at omfatte
oplysninger, der indgår i registre (navnlig edb-registre).
Også andre former for behandling af oplysninger,
herunder i et vist omfang oplysninger om juridiske personer, omfattes af
lovforslagets regulering, jf. nærmere lovforslagets § 1,
stk. 2-6.
Lovforslagets regler vedrører i det
væsentlige databeskyttelsesretlige forhold, som også er reguleret
i den gældende registerlovgivning. Der fastsættes således
bl.a. regler om, i hvilket omfang behandling af oplysninger lovligt kan finde
sted, hvilke rettigheder der skal tillægges registrerede personer i
forhold til de dataansvarlige, hvilke krav der skal stilles til
behandlingssikkerheden, samt hvorledes tilsynet med behandlingen af
oplysninger skal organiseres og udføres.
Som følge af direktivet foreslås der dog
på enkelte punkter også regler, som ikke har deres modstykke i
den gældende registerlovgivning. Nyskabelsen i forhold til den
gældende retstilstand kommer bl.a. til udtryk ved, at der
foreslås udtrykkelige regler om lovens geografiske område.
Fremhæves skal endvidere styrkelsen af den registreredes retsstilling
ved, at der fastsættes regler om den dataansvarliges pligt til at
underrette den registrerede om, at der indsamles oplysninger om denne, samt
regler om, at den registrerede skal have en videregående indsigtsret
end i dag. Udover meddelelse om, hvorvidt der behandles oplysninger om den
registrerede, og i givet fald hvilke oplysninger der behandles, skal den
registrerede - som noget nyt - have meddelelse om behandlingens formål,
om kategorierne af modtagere af oplysningerne, og tilgængelig
information om, hvorfra disse oplysninger stammer.
Udover de foreslåede generelle regler om behandling
af personoplysninger er der i lovforslaget medtaget bestemmelser, hvorved der
foretages enkelte (mindre) ændringer af henholdsvis lov om massemediers
informationsdatabaser, lov om offentlighed i forvaltningen
(offentlighedsloven) og lov om tinglysning (tinglysningsloven).
Formålet hermed er at tilpasse reglerne i de tre love til de
foreslåede generelle regler om behandling af personoplysninger.
Lovforslaget er med en række ændringer en
genfremsættelse af det lovforslag, der har været fremsat for
Folketinget to gange (L 82 fremsat den 30. april 1998 og 1. behandlet i
Folketinget den 3. juni 1998, jf. Folketingets forhandlinger for den
nævnte dato, side 1450 ff., samt L 44, fremsat den 8. oktober 1998 og
1. behandlet i Folketinget den 20. oktober 1998, jf. Folketingets
forhandlinger for den nævnte dato, side 266 ff). Der henvises
nærmere til pkt. 4 nedenfor.
2. EF-direktivet om behandling af personoplysninger
EF-direktivet om behandling af personoplysninger blev
vedtaget den 24. oktober 1995 (EF-Tidende 1995 L 281, s. 31 ff). Dets danske
titel er: »Europa-Parlamentet og Rådets direktiv af 24. oktober 1995 om
beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger«.
Direktivet er medtaget som bilag til lovforslaget.
Direktivet er vedtaget med det sigte at beskytte fysiske
personers grundlæggende rettigheder og frihedsrettigheder, især
retten til privatlivets fred, i forbindelse med behandling af
personoplysninger. Sigtet er endvidere at fjerne hindringerne for udveksling
af personoplysninger inden for Fællesskabets område, jf.
direktivets artikel 1, stk. 1 og 2, samt præamblens betragtning
1-11. Der er således tale om et direktiv, der vedrører det indre
marked.
Direktivet åbner i et vist omfang mulighed for at
fastsætte eller opretholde regler, der giver registrerede personer en
videre beskyttelse end efter direktivets bestemmelser. På andre punkter
må det antages, at direktivet indeholder bestemmelser, som
medlemsstaterne ikke kan fravige. Der henvises nærmere til den
betænkning om behandling af personoplysninger (side 32-34), som er
afgivet af det nedenfor under pkt. 3 omtalte udvalg om
registerlovgivningen.
I betænkningen er i øvrigt i kapitel 3
givet en kortfattet beskrivelse af direktivet.
Direktivet skulle have været gennemført i
medlemsstaterne senest den 24. oktober 1998.
3. Nedsættelsen af Justitsministeriets udvalg om
registerlovgivningen
Efter vedtagelsen af EF-direktivet nedsatte
Justitsministeriet i april 1996 et udvalg om registerlovgivningen. Udvalget,
der bestod af repræsentanter fra en række berørte
myndigheder, organisationer m.v., fik til opgave at udarbejde et udkast til
ny lovgivning på registerområdet. I den forbindelse var det
udvalgets opgave at overveje og vurdere, hvorledes en fremtidig lovgivning om
behandling af personoplysninger m.v. bør udformes, således at
der opnås den rette balance mellem på den ene side hensynet til
at sikre borgernes privatliv og personlige integritet og på den anden
side hensynet til at bevare og til stadighed udbygge en effektiv offentlig
administration og et privat erhvervsliv, som ikke pålægges
unødige byrder.
I overvejelserne skulle bl.a. indgå, om den
fremtidige lovgivning mest hensigtsmæssigt kan udformes som én
eller flere love, om en sådan lovgivning skal omfatte alle
former for behandling af personoplysninger, uanset om behandlingen foretages
manuelt eller ved hjælp af edb, om - og i hvilket omfang - man
skal inddrage grænsefladerne til forvaltningsloven, offentlighedsloven
og arkivloven, herunder om det må anses for mest hensigtsmæssigt
at etablere én ny samlet lovgivning om behandling af personoplysninger
i den offentlige sektor, om oplysninger om juridiske personer skal
være omfattet, og om - og i hvilket omfang - vedkommende
lovgivning skal omfatte nye informationsteknologiske fænomener
såsom netværk og elektroniske opslagstavler m.v.
Udvalget afgav i december 1997 betænkning om
behandling af personoplysninger (betænkning nr. 1345/1997).
Betænkningen indeholder et udkast til lov om behandling af
personoplysninger m.v. samt udvalgets bemærkninger hertil, jf. kapitel
6. I samme kapitel er endvidere medtaget et udkast til lov om ændring
af offentlighedsloven og lov om massemediers informationsdatabaser samt
udvalgets bemærkninger hertil.
I udvalget var der i det væsentlige enighed om de
udarbejdede lovudkast.
4. Lovforslagets systematik og indhold
Som nævnt i pkt. 1 er lovforslaget med en
række ændringer en genfremsættelse af det lovforslag, der
har været fremsat for Folketinget to gange (L 82 af 30. april 1998 og L
44 af 8. oktober 1998).
Lovforslaget bygger ligesom L 82 og L 44 på
Registerlovsudvalgets betænkning om behandling af personoplysninger,
jf. ovenfor under pkt. 3. Lovforslaget svarer i det væsentlige til
lovudkastet i betænkningens kapitel 6. Der er dog foretaget
visse ændringer i forhold til lovudkastet om behandling af
personoplysninger og i forhold til de foreslåede ændringer i lov
om massemediers informationsdatabaser, ligesom der er foretaget visse
præciseringer i bemærkningerne til lovforslaget, jf. herom
nærmere i det følgende.
Hovedformålet med ændringerne og
præciseringerne er at klargøre og forbedre den beskyttelse, som
den registrerede person sikres gennem reglerne i lovforslaget. Der er i den
forbindelse grund til at fremhæve følgende om forholdet mellem
udvalgsbetænkningen og L 82:
Den gældende - restriktive - retstilstand om, i hvilke
tilfælde offentlige myndigheder uden samtykke kan videregive
oplysninger til private om enkeltpersoners rent private forhold,
forudsættes opretholdt.
Vedkommende tilsynsmyndighed skal ikke kun foretage forudgående
kontrol med hensyn til behandling af nærmere bestemte oplysninger om
enkeltpersoners rent private forhold, herunder bl.a. væsentlige sociale
problemer. Tilsynsmyndigheden skal derimod generelt forudgående
kontrollere lovligheden af behandling af oplysninger om enkeltpersoners rent
private forhold.
Også i forbindelse med lovforslagets
genfremsættelse den 8. oktober 1998 (L 44) blev der i selve lovteksten
foretaget enkelte ændringer og præciseringer. Herudover blev der
i lovforslagets bemærkninger foretaget justeringer bl.a. med henblik
på at indarbejde fortolkningsbidrag, der er indeholdt i
Justitsministeriets besvarelse af en række spørgsmål fra
Folketingets Retsudvalg i forbindelse med behandlingen af L 82.
Hovedformålet hermed var - ligesom med hensyn til de
ovennævnte ændringer og præciseringer i L 82 - at
klargøre og forbedre den beskyttelse, som den registrerede person
sikres gennem reglerne i lovforslaget. Der er i den forbindelse navnlig grund
til at fremhæve følgende forhold:
Oplysninger om afdøde personer skal i samme udstrækning
som efter den gældende registerlovgivning anses for
personoplysninger. Der henvises til pkt. 4.2.2.3.
De almindelige behandlingsregler i lovforslagets §§ 6-7
forudsættes i videst muligt omfang administreret på den
måde, at der ikke - uden samtykke - registreres og videregives
personoplysninger i videre udstrækning end efter den gældende
registerlovgivning. En sådan administration må antages at falde
inden for rammerne af direktivet.
Med lovforslaget lægges der således ikke op til ændringer i
den gældende retstilstand om, i hvilke tilfælde der må
foretages samkøring i den offentlige forvaltning. Der henvises i
øvrigt til pkt. 4.2.4.3.
Det er i bemærkningerne til lovforslagets § 7, stk. 7,
præciseret, at reglen har karakter af en opsamlingsbestemmelse og
derfor forudsættes at have et snævert
anvendelsesområde.
I øvrigt er der grund til at nævne
følgende forhold:
I loven om massemediers informationsdatabaser indsættes der en
udtrykkelig bestemmelse om behandlingssikkerhed i forbindelse med behandling
af oplysninger i massemediers offentligt tilgængelige
informationsdatabaser, jf. lovforslagets § 81, nr. 3. Der henvises til pkt.
4.2.10.3.
Med lovforslaget lægges der op til, at spørgsmålet
om, i hvilket omfang tilsynsmyndighederne (Datatilsynet) skal inddrages i
forbindelse med beslutning om arkivering af oplysninger, skal reguleres i
arkivlovgivningen. Den foreslåede regel i § 14, 2. pkt., i L 82 er
derfor ikke medtaget i lovforslaget. Om baggrunden herfor henvises til pkt.
4.2.11.3.
Det foreslås, at Domstolsstyrelsen fra den 1. juli 1999, hvor
loven om Domstolsstyrelsen trådte i kraft, skal føre tilsyn med
domstolenes behandling af personoplysninger vedrørende domstolenes
administrative forhold.
Også med det fremsatte lovforslag er der som
nævnt foretaget en række ændringer og præciseringer
i forhold til L 44.
Hovedformålet med ændringerne er ligesom med
hensyn til de ovennævnte ændringer og præciseringer i L 82
og L 44 at klargøre og forbedre den beskyttelse, som den
registrerede sikres gennem reglerne i lovforslaget.
Der er i den forbindelse navnlig grund til at
fremhæve følgende forhold:
Reglerne om behandling af personoplysninger i anden lovgivning, som
giver den registerede en bedre retsstilling, går forud for reglerne i
lovforslaget, jf. lovforslagets § 2, stk. 1. Der henvises endvidere til pkt.
4.2.1.3.
Der sættes snævre grænser for, i hvilke
tilfælde en virksomhed uden den enkelte forbrugers samtykke
må videregive oplysninger om en forbruger til andre virksomheder til
brug for markedsføring, jf. lovforslagets § 6, stk. 2-4.
Der indføres en pligt for en virksomhed, inden den uden
samtykke videregiver oplysninger om en forbruger til andre virksomheder til
brug for markedsføring, til at undersøge i CPR, om forbrugeren
har frabedt sig henvendelser i markedsføringsøjemed. Er det
ikke tilfældet, skal virksomheden oplyse forbrugeren om retten til at
gøre indsigelse imod videregivelsen og give forbrugeren en frist
på to uger til at gøre sådan indsigelse, jf. lovforslagets
§ 36.
Lovforslaget indeholder ikke længere regler om adgangen til at
foretage direkte uanmodet markedsføring, idet reglerne herom i stedet
foreslås indsat i markedsføringsloven.
Inden for det sociale område begrænses adgangen til at
videregivere personoplysninger, jf. lovforslagets § 8, stk. 3.
Det præciseres i lovforslagets § 7, stk. 8, at der for den
offentlige forvaltning ikke må føres edb-registre med
oplysninger om politiske forhold, som ikke er offentligt tilgængelige.
Dette svarer til, hvad der gælder efter loven om offentlige
myndigheders registre § 9, stk. 2, 1. pkt.
Det præciseres i selve lovteksten, at andre oplysninger om rent
private forhold end de i lovforslagets § 7, stk. 1, nævnte ikke uden
samtykke kan registreres eller videregives i videre udstrækning end
efter den gældende registerlovgivning. Der henvises til lovforslagets §
8.
Der lægges op til en mindre vidtgående adgang for private
dataansvarlige til at behandle oplysninger om personnumre (lovforslagets §
11, stk. 2, nr. 2-3). Uden samtykke vil private kun kunne behandle
oplysninger om personnumre, hvis behandlingen alene sker til videnskabelige
eller statistiske formål, ligesom private alene vil kunne videregive
sådanne oplysninger uden samtykke under de samme strenge
betingelser som efter den gældende retstilstand.
Det fastsættes udtrykkeligt i lovteksten, at den registrerede
til enhver tid kan gøre indsigelse mod, at oplysninger om vedkommende
gøres til genstand for behandling, jf. lovforslagets § 35.
Det præciseres, at et samtykke kan tilbagekaldes, jf.
lovforslagets § 38.
Det fastsættes i kapitlet om den registreredes rettigheder, at
den registrerede kan klage til Datatilsynet over, at der behandles
personoplysninger om den pågældende, jf. lovforslagets §
40.
Herudover er der grund til at nævne følgende
ændringer:
Loven finder ikke anvendelse, hvis det vil være i strid med
informations- og ytringsfriheden, jf. lovforslagets § 2, stk. 2.
Loven skal gælde, hvis der for en dataansvarlig, der er
etableret i et andet medlemsland m.v., behandles oplysninger i Danmark, og
behandlingen ikke er omfattet af direktivet om behandling af
personoplysninger, jf. lovforslagets § 4, stk. 6.
Reglerne i lovforslaget skal administreres på den måde,
at de personoplysninger, som offentlige myndigheder og private virksomheder
efter de gældende regler i registerlovgivningen kan
offentliggøre uden samtykke, også kan offentliggøres uden
samtykke efter lovens ikrafttræden. Det gælder, selv om
oplysningerne offentliggøres gennem Internettet og dermed bliver
offentligt tilgængelige i tredjelande. Der henvises til
bemærkningerne til lovforslagets § 27.
Der indsættes en bestemmelse, hvorefter der ikke er ret til
indsigt i voteringsprotokoller og andre referater af domstolenes
rådslagning samt materiale udarbejdet af domstolene til brug for
rådslagningen, jf. lovforslagets § 32, stk. 3, sidste pkt.
Adgangen til administrativt at fastsætte bestemmelser om
betaling for skriftlige meddelelser om indsigt begrænses til private
virksomheder m.v., jf. lovforslagets § 34, stk. 2.
Det fastsættes, at den instruks, som den dataansvarlige skal
have efter lovforslagets § 41, ikke må begrænse den
journalistiske frihed eller være til hinder for tilvejebringelsen af et
kunstnerisk eller litterært produkt.
Behandlinger af personoplysninger, som foretages på private
sygehuse, undtages i lighed med behandlinger på offentlige sygehuse
ikke fra anmeldelsespligten, jf. lovforslagets § 49, stk. 1, nr. 8.
Det præciseres, at adgangen til at få indsigt i den
fortegnelse over anmeldte behandlinger, som tilsynsmyndighederne
fører, alene kan begrænses i det omfang, det er
nødvendigt til forebyggelse, opklaring og forfølgning af
lovovertrædelser, eller afgørende hensyn til private interesser
gør det påkrævet, jf. lovforslagets § 54, stk. 3.
Der kræves ikke betaling for anmeldelse til/indhentning af
tilladelse hos Datatilsynet til behandlinger, der udelukkende finder sted i
videnskabeligt eller statistisk øjemed. Endvidere fastslås det,
at betalingsforpligtelsen indtræder ved indgivelse af anmeldelse eller
ansøgning om tilladelse, og at anmeldelse ikke anses for indgivet,
før betaling har fundet sted, ligesom Datatilsynet kan bestemme, at
tilladelse ikke skal meddeles, før betaling er sket. Der henvises til
lovforslagets § 63.
Der ændres i overgangsreglerne for de behandlinger til
videnskabelige eller statistiske formål, som er anmeldt før
lovens ikrafttræden, således at disse behandlinger med visse
skærpelser kan fortsætte efter de hidtil gældende regler
indtil den 1. oktober år 2001.
Der foretages ændringer i tinglysningsloven med henblik
på at tilpasse denne lovs tilsynsordning til lovforslagets ordning,
hvorefter det er Domstolsstyrelsen, der udfører tilsynet med
domstolenes administrative funktioner. Der henvises til lovforslagets §
82.
4.1. En eller flere love?
4.1.1. Den gældende ordning
Den generelle retlige regulering af spørgsmål
om adgang til at registrere og videregive oplysninger om personer,
virksomheder, foreninger m.v. er i dag indeholdt i lov om offentlige
myndigheders registre og lov om private registre m.v., der begge blev
vedtaget i deres oprindelige form i 1979 på baggrund af et
udvalgsarbejde. Lovene er siden blevet revideret på en række
områder i 1988, 1991, 1994 og 1996. Der har dog udelukkende været
tale om justeringer, der ikke har medført afgørende
ændringer i lovenes grundlæggende struktur. Registerlovgivningens
tilblivelse er beskrevet nærmere i betænkningen, side 47
f.
Ved siden af den nævnte generelle retlige regulering
af registerspørgsmål er der i lovgivningen fastsat særlige
regler for nærmere bestemte retsområder. Dette gælder bl.a.
på medieområdet, hvor der med vedtagelsen af lov nr. 430 af 1.
juni 1994 blev indført regler for massemediers informationsdatabaser.
En opregning af en række af de forskellige retsområder, hvor der
er gennemført en særlig registerretlig regulering, er indeholdt
i betænkningen, side 153.
4.1.2. Udvalgets overvejelser
I betænkningen, side 152, anføres det,
at det af betragtning 23 i direktivets præambel fremgår, at
medlemsstaterne er bemyndigede til at gennemføre beskyttelsen af
personer såvel ved en generel lov om beskyttelse af personer i
forbindelse med behandling af personoplysninger som ved særlove, f.eks.
for statistik. Under hensyn hertil finder udvalget, at det står
lovgiver frit at bestemme, om den fremtidige lovgivning om behandling af
personoplysninger bør udformes som en eller flere love.
Efter en samlet vurdering anbefaler udvalget ud fra
lovtekniske hensyn, at den fremtidige generelle lovgivning om behandling af
personoplysninger udformes som en samlet lov, der omfatter al form for
behandling, herunder også den behandling, der foretages for private og
offentlige myndigheder. Ved sit valg af lovmodel lægger udvalget
vægt på, at hensynet til at sikre en korrekt implementering af
det vedtagne direktiv taler for, at den overvejende del af bestemmelserne i
den fremtidige lovgivning om behandling af personoplysninger affattes
på samme måde, uanset om bestemmelserne tager sigte på
offentlige myndigheder eller private. Det er endvidere tillagt betydning, at
en samlet lovgivning på området må antages at skabe en
højere grad af overskuelighed for dem, som skal anvende
lovgivningen.
Udvalget bemærker i den forbindelse, at man
naturligvis er opmærksom på, at der ved siden af den generelle
lovgivning vil kunne vise sig at være behov for - inden for rammerne af
direktivet - at fastsætte særlige regler for enkelte
retsområder. I givet fald bør dette spørgsmål efter
udvalgets opfattelse reguleres i særlovgivningen.
4.1.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets synspunkter
vedrørende valg af lovmodel og har på den baggrund udarbejdet et
samlet forslag til lov om behandling af personoplysninger til
afløsning af den nuværende generelle registerlovgivning.
I den forbindelse er det også tillagt betydning, at
der i høringssvarene over betænkningen peges på, at
der bør gennemføres en samlet lov om behandling af
personoplysninger.
Det forhold, at der gennemføres en samlet lov
på området, ændrer naturligvis ikke ved, at der på
nærmere bestemte retsområder kan fastsættes (eller
opretholdes) særlige databeskyttelsesretlige regler. Justitsministeriet
finder - ligesom udvalget - at en sådan regulering i givet fald
bør ske i særlovgivningen. I overensstemmelse hermed
indebærer den foreslåede bestemmelse om ændring af lov om
massemediernes informationsdatabaser ikke ændringer i den
nuværende lovsystematik, jf. herom nedenfor under pkt. 4.2.10.3.
Om forholdet mellem lovforslaget og særlovgivningen
henvises i øvrigt til lovforslagets § 2, stk. 1.
4.2. Lovforslagets hovedpunkter
4.2.1. Anvendelsesområde
4.2.1.1. Gældende ret
A. Lov om offentlige myndigheders registre
Lov om offentlige myndigheders registres
anvendelsesområde fremgår af lovens kapitel 1, §§ 1-3.
Loven gælder for edb-registre, der føres for
den offentlige forvaltning, og som indeholder personoplysninger, jf. lovens
§ 1, stk. 1.
Det fremgår af forarbejderne til loven, at begrebet
»offentlige forvaltning« har samme indhold som det tilsvarende begreb i lov
om offentlighed i forvaltningen. Uden for lovens område falder dermed
bl.a. domstolene samt Folketinget og institutioner med tilknytning
dertil.
Med hensyn til, hvad der nærmere skal forstås
ved begreberne »edb-registre« og »personoplysninger«, henvises til pkt.
4.2.2.1. nedenfor.
Efter lovens § 1, stk. 4, gælder lovens
kapitel 5 a, hvori der er fastsat regler om videregivelse til
kreditoplysningsbureauer af oplysninger om gæld til det offentlige,
også for edb-registre, som indeholder oplysninger om virksomheder m.v.
Oplysninger i forvaltningsmyndigheders edb-registre om juridiske personer er
således også i et vist omfang umiddelbart omfattet af lovens
område.
I § 1, stk. 5-9, er fastsat visse undtagelser
fra lovens almindelige anvendelsesområde, således som dette
fremgår af § 1, stk. 1. Undtaget er efter bestemmelserne
behandling af personoplysninger i henholdsvis retsinformationssystemer og -
under nærmere angivne betingelser - mediernes informationsdatabaser. Se
nærmere herom i betænkningen, side 54 f.
Lovens §§ 2 og 3 indeholder bemyndigelse for
vedkommende minister til at inddrage visse registre under loven, uanset disse
som udgangspunkt ikke er omfattet. § 2 tager sigte på at
muliggøre, at selskaber, institutioner, foreninger m.v., der ikke er
en del af den offentlige forvaltning, under nærmere angivne betingelser
kan inddrages under lovens område. Der er endvidere efter § 3
mulighed for at inddrage visse manuelle registre med personoplysninger samt
visse edb-registre med oplysninger om juridiske personer under lovens
område. Der henvises nærmere til betænkningen, side
50-54.
Endelig skal det fremhæves, at det følger af
lovens § 31, at registre, der føres for politiets eller
forsvarets efterretningstjenester, ikke er omfattet af loven, jf.
nærmere herom betænkningen, side 49.
B. Lov om private registre
Lov om private registres anvendelsesområde
fremgår af lovens §§ 1 og 2.
Lovens organisatoriske område er negativt
afgrænset i § 2, stk. 1, hvorefter loven ikke omfatter
registrering, der foretages for en offentlig myndighed, eller som i
øvrigt omfattes af lov om offentlige myndigheders registre, jf. dog
kapitel 5 om edb- servicebureauer.
Af lovens § 1, stk. 1, følger, at loven
gælder for registrering, der omfatter personoplysninger, og hvor der
gøres brug af elektronisk databehandling. Endvidere er systematisk
registrering, der omfatter oplysninger om personers, institutioners,
foreningers eller virksomheders private eller økonomiske forhold eller
i øvrigt oplysninger om personlige forhold, som med rimelighed kan
forlanges unddraget offentligheden, omfattet af lovens almindelige
anvendelsesområde. Sådan registrering må dog kun finde sted
i det omfang, det er tilladt efter lovens kapitel 2, 2 a, 2 b og 3. Loven
indeholder således et generelt forbud mod, at privatpersoner i videre
omfang foretager systematisk registrering af sådanne oplysninger. I
betænkningen, side 89-91, er der redegjort nærmere for
lovens almindelige anvendelsesområde.
I § 2, stk. 2-9, er fastsat en række
undtagelser fra lovens almindelige anvendelsesområde.
Det gælder således med hensyn til registrering
af oplysninger til brug for personalhistoriske undersøgelser eller
udgivelse af almindelige opslagsværker, jf. stk. 2.
Også registre oprettet i statistisk eller
videnskabeligt øjemed falder uden for lovens område, jf.
stk. 3. For sådanne registre gælder dog, at de i det omfang,
de indeholder følsomme oplysninger, forudgående skal anmeldes
til Registertilsynet med henblik på fastsættelse af vilkår
for registeret til beskyttelse af de registreredes privatliv, jf.
nærmere betænkningen, side 92-94.
Endelig er behandling af oplysninger i massemediers
informationsdatabaser, i manuelle arkiver over udklip fra offentliggjorte
publikationer samt i retsinformationssystemer undtaget fra lovens
område, jf. stk. 4-9. Disse undtagelsesbestemmelser er beskrevet i
betænkningen, side 94 f.
4.2.1.2. Udvalgets overvejelser
Udvalget har overvejet, om direktivet, herunder navnlig
artikel 3, er til hinder for, at den gældende afgrænsning af
anvendelsesområdet for registerlovgivningen opretholdes.
Lovens almindelige anvendelsesområde
På baggrund af sine overvejelser, herunder navnlig
efter høring af Justitsministeriet, finder udvalget at måtte
lægge til grund, at det ikke vil være foreneligt med direktivets
artikel 3 at opretholde den gældende afgrænsning af
anvendelsesområdet for registerlovgivningen.
I stedet må det almindelige
anvendelsesområde for den kommende lov om behandling af
personoplysninger fastlægges således, at det omfatter al
behandling af personoplysninger, der foretages elektronisk, samt
ikke-elektronisk behandling af personoplysninger, der er eller vil blive
indeholdt i et register. Også domstolenes forhold må
således efter udvalgets opfattelse omfattes af lovens område, jf.
herom nærmere betænkningen, side 177-179. Derimod finder
udvalget ikke anledning til at tage nærmere stilling til direktivets
betydning for Folketinget eller institutioner med tilknytning dertil. Om
baggrunden herfor henvises til betænkningen, side 153 og 181
f.
Lovens område i øvrigt
Udvalget finder, at fastlæggelsen af lovens
anvendelsesområde - medmindre gode grunde kan anføres til
støtte herfor - ikke bør ske på en sådan
måde, at der sker en forringelse af den beskyttelse, som er indeholdt i
den gældende registerlovgivning.
Udvalget anbefaler derfor, at den kommende lovs
anvendelsesområde - ligesom lov om private registre - skal omfatte
anden ikke-elektronisk systematisk behandling, som udføres for
private, og som omfatter oplysninger om fysiske personers private eller
økonomiske forhold eller i øvrigt oplysninger om personlige
forhold, som med rimelighed kan forlanges unddraget offentligheden. Dette er
ikke påkrævet efter direktivet. Forslaget om en udvidelse af
lovens anvendelsesområde på dette punkt skal således alene
ses på baggrund af det beskyttelsesniveau, som følger af lov om
private registre (§ 1, stk. 1). I forhold til denne lov
foreslås dog visse modifikationer.
Ud fra databeskyttelsesretlige synspunkter finder
udvalget, at der som udgangspunkt ikke er behov for, at oplysninger om
juridiske personer omfattes af den kommende lovs område i samme
udstrækning som efter lov om private registre m.v. Umiddelbart omfattet
af lovens område bør således kun være behandling af
oplysninger om juridiske personer, som foretages for kreditoplysnings- og
advarselsbureauer, samt offentlige myndigheders videregivelse til
kreditoplysningsbureauer af oplysninger om juridiske personers gæld til
det offentlige. Uden for disse tilfælde bør der i stedet
indsættes en bestemmelse i lovgivningen, hvorefter der administrativt
kan træffes bestemmelse om helt eller delvis at lade lovens regler
gælde for behandling af oplysninger om juridiske personer. Der henvises
nærmere til betænkningen, side 167 f og 185 f.
I tilknytning til det foreslåede udvidede
anvendelsesområde foreslår udvalget endvidere - ud fra
ressourcemæssige overvejelser - at der gøres undtagelse med
hensyn til reglerne om den dataansvarliges oplysningspligt over for den
registrerede samt om den registreredes indsigtsret. Se nærmere om
baggrunden herfor betænkningen, side 186 f.
Udvalget finder i øvrigt ikke behov for at
opretholde bestemmelserne i lov om offentlige myndigheders registre § 2
og § 3, stk. 1, (administrativ udvidelse af lovens område i
forhold til selskaber m.v. og manuelle registre). Dette skyldes dels, at
lovforslaget umiddelbart omfatter forvaltningsmyndigheders manuelle registre,
dels at der i det væsentlige foreslås samme regler for
henholdsvis forvaltningsmyndigheder og erhvervsvirksomheder, foreninger m.v.
Der henvises til betænkningen, side 183 f.
Undtagelser fra lovens område
Udvalget har endelig taget stilling til, i hvilket omfang
der - inden for rammerne af direktivet - bør gøres undtagelse
fra lovens område. Der foreslås undtagelser på
følgende områder:
På baggrund af direktivets artikel 3, stk. 2,
2. pind., anbefales det, at behandlinger, der foretages for privatpersoner
med henblik på udøvelse af aktiviteter af rent privat karakter,
undtages fra den kommende lovs anvendelsesområde. I det omfang, der
ikke er tale om udøvelse af aktiviteter af rent privat karakter,
finder udvalget endvidere, at der - i modsætning til i dag - bør
være adgang for privatpersoner til at foretage behandling af
oplysninger på lige fod med erhvervsvirksomheder, foreninger m.v. Der
henvises nærmere til betænkningen, side 189 f.
Også i relation til domstolenes behandling af
oplysninger foreslås det, at der i et vist omfang gøres
undtagelse fra lovens regulering. Udvalget finder således ikke, at
reglerne om den registreredes rettigheder bør finde anvendelse
på behandlinger, der foretages for domstolene inden for det
strafferetlige område. Om baggrunden herfor henvises nærmere til
pkt. 4.2.5.2. nedenfor.
Endvidere anbefales det, at behandling af oplysninger, der
foretages for Folketinget eller institutioner med tilknytning dertil, ikke
omfattes af lovens område. Dette skyldes som nævnt ovenfor, at
udvalget ikke finder anledning til at tage nærmere stilling til
direktivets betydning for de nævnte organer.
Herudover finder udvalget, at der - ligesom efter den
gældende registerlovgivning - bør fastsættes undtagelser
fra lovens område med hensyn til massemediers informationsdatabaser,
jf. nærmere herom nedenfor under pkt. 4.2.10.2. I tilknytning hertil
anbefales det ligeledes, at der - i lyset af direktivets artikel 9 - på
en række punkter gøres undtagelse fra lovens regulering med
hensyn til behandling af oplysninger, som udelukkende sker med henblik
på kunstnerisk eller litterær virksomhed. Herom henvises til
betænkningen, side 206-208.
Det helt overvejende flertal i udvalget (17 medlemmer)
anbefaler, at behandlinger, der foretages for politiets eller forsvarets
efterretningstjenester, heller ikke bør være omfattet af den
kommende lovgivnings område. Et enkelt medlem anbefaler, at
efterretningstjenesterne inddrages under lovgivningens område, dog
således at der gøres undtagelse med hensyn til reglerne om den
registreredes rettigheder, herunder reglerne om oplysningspligt og
indsigtsret. Samtidig peger dette medlem på, at det i lovgivningen
tillige bør bestemmes, at sager vedrørende
efterretningstjenesterne skal behandles af tilsynsmyndighedens
direktør, og at direktøren i alle henseender er underlagt
tavshedspligt.
Udvalget anfører endelig, at en række af
undtagelsesbestemmelserne i registerlovgivningen - som følge af
direktivets artikel 3 - ikke vil kunne opretholdes. Det gælder
således undtagelsesbestemmelsen i lov om private registre m.v.
§ 2, stk. 2, hvorefter registrering af oplysninger til brug for
personalhistoriske undersøgelser eller udgivelse af almindelige
opslagsværker, ikke er omfattet af lov om private registre. Tilsvarende
gælder med hensyn til undtagelsesbestemmelsen i lov om private registre
m.v. § 2, stk. 3, hvorefter registre oprettet i statistisk eller
videnskabeligt øjemed falder uden for lovens område. Heller ikke
de særlige undtagelsesbestemmelser vedrørende
retsinformationssystemer vurderes at kunne opretholdes, jf. lov om private
registre § 2, stk. 8 og 9, og lov om offentlige myndigheders
registre § 1, stk. 5 og 6.
Om den nærmere baggrund for, at de nævnte
undtagelsesbestemmelser ikke kan opretholdes, henvises til
betænkningen, side 189-191 og 208 f.
4.2.1.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets forslag til
fastlæggelse af anvendelsesområdet for den kommende lov om
behandling af personoplysninger.
Justitsministeriet finder således, at lovens
almindelige anvendelsesområde - som følge af direktivets artikel
3 - må fastlægges således, at det omfatter al behandling af
personoplysninger, der foretages elektronisk, og ikke-elektronisk behandling
af personoplysninger, der er eller vil blive indeholdt i et register, jf.
lovforslagets § 1, stk. 1.
I bl.a. Den Danske Dommerforenings høringssvar
anføres det, at spørgsmålet om, hvorvidt domstolene skal
være omfattet af den kommende lovgivning, bør overvejes
yderligere, herunder i lyset af, hvorledes man i de øvrige EU-lande
har løst eller agter at løse dette spørgsmål. Der
henvises i den forbindelse til betænkningen, side 178, hvor det
anføres, at spørgsmålet giver anledning til tvivl.
Justitsministeriet har på denne baggrund indhentet
oplysninger om spørgsmålet i en række medlemsstater
(Sverige, Finland, England, Tyskland og Holland). Justitsministeriet har
endvidere forhørt sig om spørgsmålet i Norge, der som
EØS-land også skal gennemføre direktivet. Ifølge
de indhentede oplysninger vil domstolene i alle disse lande blive omfattet af
en kommende lovgivning om behandling af personoplysninger. Dette gælder
såvel domstolenes administrative som judicielle funktioner. Det er dog
oplyst, at der i visse af landene vil blive fastsat regler, som særligt
tager sigte på domstolenes forhold.
I lyset heraf kan Justitsministeriet ikke anbefale, at
domstolenes virksomhed i sin helhed eller domstolenes judicielle funktioner
undtages fra anvendelsesområdet for den kommende lovgivning om
behandling af personoplysninger. Det må således - ligesom det
også anføres i betænkningen (side 179) - antages,
at domstolenes behandling af personoplysninger skal omfattes af lovgivningen
i det omfang, domstolene behandler sager, der falder ind under
fællesskabsrettens område. Der er ikke fra domstolenes side
fremsat indvending imod udvalgets anbefaling af, at loven ikke bør
begrænses til at omfatte den del af domstolenes virksomhed, som falder
inden for fællesskabsrettens område. Herefter finder
Justitsministeriet, at den kommende lovgivning som udgangspunkt bør
gælde for al virksomhed (såvel administrativ som judiciel), som
udøves af domstolene.
Også udvalgets forslag til udvidelser og
begrænsninger i lovens anvendelsesområde kan Justitsministeriet
tiltræde, jf. lovforslagets § 1, stk. 2-6, og § 2.
Herudover finder Justitsministeriet, at der bør indsætttes en
bestemmelse i lovforslagets § 2, hvoraf det udtrykkeligt fremgår, at
regler om behandling af personoplysninger i anden lovgivning, som giver den
registrerede en bedre retsstilling, går forud for reglerne i loven (se
hertil lovforslagets § 2, stk. 1). Justitsministeriet finder endvidere, at
det for at fjerne enhver tvivl herom bør præciseres i selve
lovteksten, at loven ikke finder anvendelse, hvis det vil være i strid
med informations- og ytringsfriheden, jf. Den Europæiske
Menneskerettighedskonventions artikel 10 (se hertil lovforslagets § 2, stk.
2). Hvad særligt angår undtagelsesbestemmelsen i lovforslagets
§ 2, stk. 4 (behandling af oplysninger inden for det strafferetlige
område), henvises nærmere til det, som er anført nedenfor
under pkt. 4.2.5.3.
I overensstemmelse med indstillingen fra 17 af udvalgets
18 medlemmer stilles der ikke forslag om, at forsvarets og politiets
efterretningstjeneste skal omfattes af den kommende - generelle - lov om
personoplysninger. Principperne for efterretningstjenesternes registrering
m.v. vil blive behandlet i det udvalgsarbejde, der er igangsat.
Ligesom udvalget finder Justitsministeriet af principielle
grunde ikke at burde tage stilling til spørgsmålet om, hvorvidt
den behandling, der foretages for Folketinget og institutioner med
tilknytning dertil, bør omfattes af lovens regulering. Dette er
baggrunden for den foreslåede bestemmelse i lovforslagets § 2,
stk. 5. Det bemærkes i den forbindelse, at der under Folketinget
er nedsat et udvalg, der har til opgave at undersøge direktivets
betydning for Folketinget og institutioner med tilknytning dertil.
4.2.2. Definitioner
4.2.2.1. Gældende ret
Den gældende registerlovgivning indeholder kun i
begrænset omfang legale definitioner på registerretlige begreber.
I lovgivningen er således kun givet definitioner på begreberne
»edb-registre« og »personoplysninger«.
Ifølge lov om offentlige myndigheders registre
§ 1, stk. 2, skal der ved begrebet »edb-registre« forstås
registre eller andre systematiserede fortegnelser, hvor der gøres brug
af elektronisk databehandling. I lovens forarbejder er det forudsat, at de
systematiserede oplysninger skal have en vis selvstændig
tilværelse for at kunne anses for et register. Der henvises til
betænkningen, side 51 f.
Ved begrebet »personoplysninger« skal efter
registerlovgivningen forstås oplysninger, som kan henføres til
bestemte personer, selv om det forudsætter kendskab til personnummer,
registreringsnummer eller lignende særlige identifikationer, jf. lov om
offentlige myndigheders registre § 1, stk. 3, og lov om private
registre § 1, stk. 2. Af forarbejderne til lovene fremgår, at
det er tilstrækkeligt, at det er muligt at henføre bestemte
oplysninger til bestemte personer, uanset om sammenhængen kun kendes af
få indviede eller eventuelt kun én person. Der henvises
nærmere til betænkningen, side 52 f og 91.
4.2.2.2. Udvalgets overvejelser
I modsætning til den gældende
registerlovgivning indeholder direktivet definitioner af en række
databeskyttelsesretlige begreber, jf. herved direktivets artikel 2, litra
a-h. Direktivet indeholder således legale definitioner af begreberne
»personoplysninger«, »behandling«, »register«, »den registeransvarlige«,
»registerfører«, »tredjemand«, »modtager« og »samtykke«.
Ud fra EU-lovtekniske hensyn finder udvalget, at samtlige
disse definitioner bør indføjes i lovgivningen, og at dette
bør ske ved, at ordlyden af definitionerne i lovgivningen knyttes
tæt op ad direktivteksten. Herved sikres det, at der ikke kan rejses
tvivl omkring implementeringen af bestemmelserne i artikel 2, litra a-h.
Udvalget foreslår dog, at en række af
definitionerne gøres kortere og mere præcise end, hvad der
følger af direktivet. De eksempler, som er indeholdt i flere af
direktivets definitioner, foreslås således ikke indføjet i
lovteksten, idet dette mindsker overskueligheden. I stedet finder udvalget,
at der bør tages højde for eksemplerne i bemærkningerne
til lovforslaget.
Herudover foreslår udvalget, at der med hensyn til
enkelte definitioner anvendes en anden terminologi, end hvad der
følger af direktivet. I stedet for begreberne »den registeransvarlige«
og »registerføreren« bør der tales om »den dataansvarlige« og
»databehandleren«. Der tilsigtes naturligvis ikke herved ændringer i
forhold til indholdet af definitionerne i direktivet.
Foruden de i direktivet indeholdte definitioner finder
udvalget, at der - for at skabe klarhed omkring rækkevidden af den
kommende lov om behandling af personoplysninger - bør gives en legal
definition på begrebet »tredjeland«. Der lægges herved vægt
på, at dette begreb - som en konsekvens af direktivet - vil skulle
indarbejdes i visse af bestemmelserne i loven. Det gælder således
både i relation til reglerne om lovens geografiske område, og for
så vidt angår reglerne om overførsel af oplysninger til
tredjelande.
Om udvalgets overvejelser vedrørende
fastlæggelsen af legale definitioner på databeskyttelsesretlige
begreber henvises i øvrigt til betænkningen, side
210-217.
4.2.2.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets synspunkter
vedrørende implementeringen af de i direktivets artikel 2 indeholdte
definitioner i dansk ret.
Justitsministeriet finder således, at EU-lovtekniske
hensyn taler for, at samtlige direktivets definitioner indføjes i den
kommende lov om behandling af personoplysninger, og at dette sker ved, at
ordlyden af definitionerne i loven knyttes tæt op ad
direktivteksten.
Justitsministeriet finder endvidere, at der i loven
bør medtages en legal definition af begrebet »tredjeland«. Dette
begreb er af central betydning i forhold til reglerne om henholdsvis lovens
geografiske område og overførsel af oplysninger til tredjelande,
jf. lovforslagets § 4 og § 27.
Registertilsynet har over for Justitsministeriet givet
udtryk for, at den afgrænsning af begrebet »personoplysninger« i
forhold til afdøde, som Registerlovsudvalget har foreslået, og
som også er lagt til grund i L 82, er for snæver. Efter denne
afgrænsning skal en oplysning om en afdød person kun være
omfattet af loven, hvis den er knyttet til en nulevende person.
Det er Registertilsynets opfattelse, at loven bør
give mulighed for, at tilsynets hidtidige praksis på dette område
kan opretholdes. Dette vil indebære, at allerede behandlede
oplysninger, f.eks. registrerede oplysninger, efter personens død
fortsat vil være omfattet af loven - i hvert fald i en vis tid. Det vil
også indebære, at indsamling og efterfølgende behandling
af oplysninger om afdøde skal opfylde lovens betingelser, hvis der
foreligger et særligt beskyttelsesbehov, hvilket i praksis navnlig vil
få betydning for behandling af følsomme oplysninger om
afdøde personer.
Samtidig anfører Registertilsynet, at det er klart,
at en række af lovforslagets regler i sagens natur ikke kan finde
anvendelse i forbindelse med behandling af oplysninger om afdøde
personer. Det gælder f.eks. regler, der forudsætter den
registreredes personlige samtykke og reglerne om oplysningspligt over for den
registrerede i lovforslagets kapitel 8. Disse problemer kan efter tilsynets
opfattelse løses i forbindelse med den praktiske anvendelse af den nye
lov.
Efter Registertilsynets opfattelse bør det
overlades til Datatilsynet gennem sin praksis at fastlægge de
nærmere grænser for lovens anvendelse på oplysninger om
afdøde personer. Dette vil svare til den ordning, som har været
gældende under registerlovene siden 1. januar 1979, og denne ordning
har ikke givet anledning til væsentlige problemer.
Justitsministeriet kan tilslutte sig det, som
Registertilsynet har anført. Med lovforslagets definition af begrebet
personoplysninger lægges der således op til, at oplysninger om
afdøde personer - i samme udstrækning som efter den
gældende retstilstand - skal anses for personoplysninger og
dermed være omfattet af lovforslagets regulering.
Bestemmelserne i lovforslagets § 3, nr. 1-9, skal ses
på denne baggrund.
4.2.3. Geografisk område
4.2.3.1. Gældende ret
Den gældende registerlovgivning indeholder ikke
udtrykkelige regler om den territoriale afgrænsning. Det synes derfor
ikke ganske klart, hvorledes den nuværende retsstilling er på
dette område.
Formentlig må det antages, at hverken lov om
offentlige myndigheders registre eller lov om private registre er
tiltænkt at skulle have virkning for dataansvarlige, som er etableret
uden for dansk område. Der er ikke i lovene eller forarbejderne
holdepunkter for at antage, at den regulering, som er indeholdt i lovene,
skal udstrækkes til at gælde for sådanne
dataansvarlige.
4.2.3.2. Udvalgets overvejelser
I direktivets artikel 4 er der fastsat udtrykkelige regler
om det geografiske gyldighedsområde for den nationale lovgivning, som
gennemfører direktivet.
Bestemmelsen, som har karakter af en lovvalgsregel,
må efter udvalgets opfattelse antages at være tiltænkt
samme fællesskabsretlige betydning i de enkelte medlemsstater. Der
henvises herved til, at formålet med bestemmelsen dels er at
undgå, at personer unddrages beskyttelse ved omgåelse af
lovgivningen, dels er at undgå kumulativ anvendelse af flere
forskellige lovgivninger.
Under hensyn hertil foreslår udvalget, at der
fastsættes udtrykkelige regler om den kommende lovs geografiske
område, og at affattelsen af reglerne søges tilpasset
direktivteksten. I så fald vil lovgivningen lettere kunne tilpasses
EF-domstolens praksis på området. Se nærmere
betænkningen, side 218.
På baggrund af sin fortolkning af direktivets
artikel 4 foreslår udvalget, at loven skal gælde for behandling
af oplysninger, som udføres for en dataansvarlig, der er etableret i
Danmark, såfremt aktiviteterne finder sted inden for Det
Europæiske Fællesskabs område.
Herudover foreslås det, at loven skal gælde
for den behandling, som udføres for danske diplomatiske
repræsentationer.
Også behandlinger, der foretages for dataansvarlige,
som er etableret i et tredjeland, foreslås i et vist omfang omfattet af
lovens geografiske gyldighedsområde. Det gælder, hvis
behandlingen af oplysninger sker under benyttelse af hjælpemidler, der
befinder sig her i landet, medmindre hjælpemidlerne kun benyttes med
henblik på forsendelse af oplysninger gennem Det Europæiske
Fællesskabs område.
Reglerne i direktivets artikel 4 berører ikke
spørgsmålet om strafferetlig jurisdiktionskompetence. Dette
spørgsmål bør efter udvalgets opfattelse - ligesom i dag
- afgøres efter reglerne i straffelovens kapitel 2.
I betænkningen, side 218-224, er der
redegjort nærmere for direktivets geografiske
gyldighedsområde.
4.2.3.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets
anbefalinger med hensyn til fastlæggelsen af det geografiske
gyldighedsområde for den kommende lov om behandling af
personoplysninger.
Registertilsynet peger i sit høringssvar over
betænkningen på, at de af udvalget foreslåede regler
om lovens geografiske område giver anledning til et problem, som
bør overvejes nærmere. Det anføres, at der i den
gældende lov om private registre § 21, stk. 1, er indsat
regler om indsamling af oplysninger i Danmark med henblik på
registrering i udlandet. Efter denne bestemmelse må oplysninger, der
efter lovens § 3, stk. 2, ikke må registreres her i landet,
ikke indsamles med henblik på registrering i udlandet. Systematisk
indsamling af oplysninger i øvrigt med henblik på registrering i
udlandet må endvidere kun ske med Registertilsynets tilladelse, for
så vidt registreringen her i landet ville kræve anmeldelse til
Registertilsynet eller tilladelse efter loven. Registertilsynet har i sin
praksis antaget, at denne bestemmelse finder anvendelse med hensyn til
registrering, som foretages af udenlandske virksomheder m.v., jf.
betænkningen, side 120.
Registertilsynet finder ikke, at den af udvalget
foreslåede bestemmelse om lovens geografiske gyldighed i helt samme
udstrækning som den nævnte bestemmelse i lov om private registre
giver mulighed for at gribe ind over for en dataansvarlig, som er etableret i
et tredjeland, og som indsamler personoplysninger her i landet. Det skyldes,
at bestemmelsen i lovudkastet alene gælder, hvis der benyttes
hjælpemidler, der befinder sig i Danmark. Bestemmelsen vil
således efter tilsynets opfattelse næppe omfatte den indsamling,
der sker ved, at den dataansvarlige, som er etableret i et tredjeland,
opkøber oplysninger i Danmark, f.eks. i form af indsamling af
oplysninger fra offentligt tilgængelige registre, fra private og fra
Statstidende, med henblik på registrering til brug for kreditvurdering.
Bestemmelsen vil efter tilsynets opfattelse næppe heller omfatte den
situation, hvor indsamlingen sker på den måde, at den
registrerede eller andre med posten sender oplysninger direkte til den
dataansvarlige i tredjelandet. Herudover er det efter tilsynets opfattelse
ikke afklaret, om en indberetning til den dataansvarlige, som den
registrerede foretager direkte ved hjælp af sin egen pc, med opkobling
til f.eks. Internettet, er omfattet af bestemmelsen.
Registertilsynet anbefaler derfor, at det
præciseres, at lovens geografiske område også omfatter »al
indsamling af oplysninger i Danmark, som sker med henblik på behandling
i et tredjeland«.
Justitsministeriet kan tilslutte sig Registertilsynets
forslag.
Herudover finder Justitsministeriet, at der i lovforslaget
bør indsættes en bestemmelse, hvorefter loven gælder, hvis
der for en dataansvarlig, der er etableret i et andet medlemsland (eller et
EØS-land), behandles oplysninger i Danmark, og behandlingen ikke er
omfattet af direktivet om behandling af personoplysninger (eller regler
svarende hertil).
Lovforslagets § 4 svarer med de nævnte
præciseringer til bestemmelsen i § 4 i udvalgets lovudkast, jf.
nærmere betænkningens kapitel 6.
Der foreslås ikke særlige regler om den
strafferetlige jurisdiktionskompetence, idet dette spørgsmål
bør afgøres efter straffelovens almindelige regler herom, jf.
straffelovens kapitel 2.
4.2.4. Krav til selve behandlingen af oplysninger
4.2.4.1. Gældende ret
I betænkningen, side 55-72 og 95-123, er der
givet en grundig redegørelse for registerlovgivningens regler om
registrering, opbevaring, videregivelse m.v. af oplysninger.
Der redegøres derfor i det følgende kun for
hovedtrækkene i disse regler.
A. Lov om offentlige myndigheders registre
For offentlige myndigheders vedkommende følger
reglerne om registrering, opbevaring, videregivelse m.v. af oplysninger af
lov om offentlige myndigheders registre kapitel 3, 5, 5 a og 6.
Registrering, ajourføring, sletning og arkivering
Reglerne i lov om offentlige myndigheders registre kapitel
3 om registrering og opbevaring af oplysninger har til formål at yde
registrerede personer en sikkerhed i vid forstand. Hertil hører bl.a.
reglen, der forhindrer unødig dataophobning (§ 9), reglen om
kontrol med, at der ikke registreres urigtige eller vildledende oplysninger,
og reglen om sletning af forkerte eller forældede oplysninger
(§ 9, stk. 3, og § 11).
Adgangen for offentlige myndigheder til at registrere
oplysninger fremgår af § 9. Af stk. 1 fremgår
betingelserne for registrering af oplysninger af ikke-følsom karakter.
Af stk. 2 fremgår betingelserne for registrering af oplysninger om
enkeltpersoners rent private forhold (følsomme oplysninger).
Efter § 9, stk. 1, 1. pkt., må der kun
registreres oplysninger, der klart er af betydning for varetagelsen af
vedkommende myndigheds opgaver. Der må endvidere, jf. stk. 1, 2.
pkt., registreres oplysninger, der klart er af betydning for varetagelsen af
en anden myndigheds opgaver, såfremt registeret indrettes
således, at oplysningerne kun kan benyttes af den anden myndighed.
Denne bestemmelse skal være med til at forhindre unødig
dataophobning.
Efter § 9, stk. 2, 1. pkt., må der ikke
registreres oplysninger om politiske forhold, som ikke er offentligt
tilgængelige.
Andre oplysninger om enkeltpersoners rent private forhold,
herunder oplysninger om race, religion og hudfarve, om
foreningsmæssige, seksuelle og strafbare forhold samt oplysninger om
helbredsforhold, væsentlige sociale problemer og misbrug af
nydelsesmidler og lignende, må ikke registreres, medmindre dette er
nødvendigt for varetagelse af registerets opgaver, jf.
stk. 2, 2. pkt. Formuleringen indebærer, at registrering af
sådanne (følsomme) oplysninger ikke må finde sted,
medmindre det er nødvendigt for den registeransvarlige myndighed ikke
blot at være i besiddelse af de pågældende oplysninger, men
også at lade dem indgå i et register.
Af lovens § 9, stk. 3, 1. pkt., følger,
at registrerede oplysninger, der på grund af alder eller af andre
grunde har mistet deres betydning for varetagelsen af registerets opgaver,
skal slettes. Bestemmelsen skal sikre, at registeret til stadighed har de
aktuelt gældende oplysninger og kun disse. For registre, der
ajourføres efter en bestemt tidsplan, vil de gamle oplysninger blive
slettet, samtidig med at de nye oplysninger registreres. Det følger
endvidere af samme bestemmelse, jf. stk. 3, 2. pkt., at registre, der
anvendes løbende, skal indrettes således, at der foretages
fornøden ajourføring. Denne bestemmelse skal sikre, at
administrative afgørelser ikke træffes på grundlag af
forkerte (forældede) oplysninger.
Af forarbejderne til bestemmelsen i § 9, stk. 3,
fremgår, at det i visse tilfælde kan være nødvendigt
for en forsvarlig administration af vedkommende myndigheds opgaver at kunne
gå tilbage i tiden og fremfinde oplysninger, der var gældende
på et tidligere tidspunkt. Det vil i sådanne tilfælde ikke
være i strid med reglerne om sletning og ajourføring at opbevare
tidligere registereksemplarer eller at overføre oplysningerne til et
passivt register. Når forældede oplysninger ikke længere
har betydning for varetagelsen af vedkommende myndigheds opgaver, skal de
derimod som udgangspunkt slettes, hvilket er nødvendigt for at
forhindre en unødig ophobning af data om den enkelte.
Som alternativ til sletningen kan der dog ske arkivering,
jf. lovens § 9, stk. 4. Af bestemmelsen fremgår, at
Registertilsynet kan tillade, at registre, der føres for kommunale
myndigheder, overføres til opbevaring i arkiv på nærmere
angivne vilkår. Registre, der føres for statslige myndigheder,
overføres efter bestemmelsen til opbevaring i statens arkiver efter
reglerne i lov om offentlige arkiver m.v.
Bestemmelserne i § 9, stk. 3 og 4, skal i
øvrigt ses i sammenhæng med reglen i lovens § 11, hvorefter
der skal foretages fornøden kontrol til sikring af, at der ikke
registreres urigtige eller vildledende oplysninger. Oplysninger, der viser
sig urigtige eller vildledende, skal efter bestemmelsen snarest muligt
slettes eller berigtiges.
Almindelige regler for videregivelse
De almindelige bestemmelser om offentlige myndigheders
videregivelse af oplysninger fremgår af lovens §§ 16 og 17 i
kapitel 5 om videregivelse af oplysninger til private og i § 21 i
kapitel 6 om videregivelse af oplysninger til offentlige myndigheder.
Disse regler omhandler alene spørgsmålet om,
hvornår der kan ske videregivelse af oplysninger, og altså
ikke hvornår der eventuelt skal ske videregivelse.
Videregivelse til private
Lovens § 16, stk. 1, indeholder som udgangspunkt
et forbud imod, at oplysninger som nævnt i § 9, stk. 2,
videregives til private personer og virksomheder m.v.
Dog vil der efter § 16, stk. 2, kunne ske
videregivelse, såfremt den, oplysningerne angår, har givet
samtykke, jf. nr. 1, det følger af lov eller bestemmelser fastsat i
henhold til lov, at oplysningen skal videregives, jf. nr. 2, videregivelsen
sker til varetagelse af private eller offentlige interesser, der klart
overstiger hensynet til de interesser, der begrunder hemmeligholdelse,
herunder hensynet til den, oplysningerne angår, jf. nr. 3,
videregivelsen er nødvendig for udførelsen af en persons eller
virksomheds opgaver for det offentlige, jf. nr. 4, eller videregivelsen er
nødvendig for udførelsen af videnskabelige eller statistiske
undersøgelser af væsentlig samfundsmæssig betydning, jf.
nr. 5.
Det fremgår af § 16, stk. 3, at samtykke
som nævnt i stk. 2, nr. 1, skal meddeles skriftligt og skal
indeholde oplysning om, hvilke typer oplysninger der må videregives,
hvem oplysningerne må videregives til, og hvorledes oplysningerne
må anvendes af den angivne modtager, jf. nr. 1-3. Samtykke bortfalder
senest efter 1 års forløb, jf. stk. 4.
Andre oplysninger end dem, der er nævnt i § 9,
stk. 2, må som udgangspunkt ikke videregives til private personer
eller virksomheder m.v., jf. § 17, stk. 1.
Videregivelse kan dog efter § 17, stk. 2, ske i
det omfang, der er nævnt i § 16, eller når oplysningerne i
forvejen er offentligt tilgængelige.
Herudover følger det af § 17, stk. 3, at
der til brug i konkrete retsforhold kan videregives enkeltstående
oplysninger til private personer og virksomheder m.v., som kan
godtgøre at have en retlig interesse i at få de
pågældende oplysninger, der klart overstiger hensynet til
oplysningernes hemmeligholdelse. Dette gælder dog ikke oplysninger, om
hvilke der ved lov er fastsat særlige tavshedsforskrifter. Der vil ikke
kunne ske videregivelse af masseoplysninger efter bestemmelsen, jf. ordet
»enkeltstående«.
Efter § 17, stk. 4, kan der desuden videregives
oplysninger til brug for forskning. I denne bestemmelse er der ikke noget
krav om, at videregivelsen skal være nødvendig for
udførelsen af undersøgelser af væsentlig
samfundsmæssig betydning.
Endelig er der i § 17, stk. 5, en adgang for
Registertilsynet til i særlige tilfælde at give tilladelse til
videregivelse, når dette på grund af oplysningernes karakter,
mængde og formålet med videregivelsen skønnes
ubetænkeligt. Tilsynet kan i så fald fastsætte
nærmere vilkår for tilladelsen.
Til udfyldning af reglerne i §§ 16 og 17 kan
offentlige myndigheder fastsætte vilkår for videregivelse til
private, jf. § 19, 1. pkt., herunder om, at oplysningerne kun må
benyttes til bestemte formål. Hvorvidt en privat, som har modtaget
oplysninger fra en myndighed, må foretage en egentlig registrering af
oplysningerne, afhænger af om registreringsbetingelserne efter lov om
private registre er opfyldt, jf. nærmere herom nedenfor under pkt.
B.
Vedkommende minister kan efter lovens § 20
fastsætte regler om betaling for udlevering af oplysninger.
Finansministeriet har fastsat regler herom ved bekendtgørelse nr. 367
af 10. juli 1981 om betaling for udlevering af oplysninger til private fra
edb-registre, der føres for en kommunal myndighed (enkeltkommunale
registre).
Videregivelse til andre forvaltningsmyndigheder
Bestemmelserne i lovens § 21 regulerer videregivelse
af oplysninger til andre forvaltningsmyndigheder.
Efter lovens § 21, stk. 1, må der som
udgangspunkt ikke ske videregivelse af oplysninger om enkeltpersoners rent
private forhold (følsomme oplysninger) til anden myndighed. Dog kan
der efter stk. 2 ske videregivelse, når den, oplysningen
angår, har givet samtykke, jf. nr. 1, det følger af lov eller
bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, jf.
nr. 2, videregivelsen sker til varetagelse af private eller offentlige
interesser, der klart overstiger hensynet til de interesser, der begrunder
hemmeligholdelse, herunder hensynet til den, oplysningen angår, jf. nr.
3, videregivelse er nødvendig for udførelsen af en myndigheds
virksomhed, eller påkrævet for en afgørelse, som
myndigheden skal træffe, jf. nr. 4, eller videregivelse er
nødvendig for udførelsen af videnskabelige eller statistiske
undersøgelser af væsentlig samfundsmæssig betydning, jf.
nr. 5.
Samtykke efter nr. 1 skal opfylde betingelserne i
§ 16, stk. 3, jf. § 21, stk. 4. Samtykket bortfalder
senest efter 1 års forløb.
Andre oplysninger end de, som er nævnt i § 9,
stk. 2, må efter § 21, stk. 3, kun videregives, hvis det
følger af § 21, stk. 2, eller når oplysningerne i
forvejen er offentligt tilgængelige, eller når det må
antages, at oplysningen vil være af væsentlig betydning for
myndighedens virksomhed eller for en afgørelse, myndigheden skal
træffe, jf. dog § 9, stk. 1, 2. pkt.
Det forhold, at § 21 kun regulerer videregivelse af
oplysninger til andre forvaltningsmyndigheder, indebærer i
øvrigt, at videregivelse til andre offentlige myndigheder, såsom
domstolene, Folketinget m.v., skal afgøres efter lovgivningens
almindelige tavshedspligtsbestemmelser. Tilsvarende gælder med hensyn
til videregivelse til udenlandske myndigheder. Der henvises nærmere til
betænkningen, side 139 f.
Særlige regler for videregivelse
Udover de ovennævnte almindelige
videregivelsesregler er der i kapitel 5 og 6 indsat særlige
bestemmelser om videregivelse fra sygehusregistre og andre patient- eller
sygdomsregistre til private, jf. § 16 a, og om videregivelse fra
registre, som er oparbejdet udelukkende med henblik på forskning og
statistik, jf. §§ 18 og 21, stk. 5.
I et særligt kapitel 5 a findes endvidere regler om
videregivelse til kreditoplysningsbureauer af oplysninger om gæld til
det offentlige.
Disse særlige videregivelsesregler er nærmere
beskrevet i betænkningen, side 61-67.
Samkøring
Hvad særligt angår samkøring af
registre, gælder en række materielle betingelser for, i hvilket
omfang dette kan finde sted. Endvidere indeholder loven procedureregler for
samkøring. Det fremgår således af lovens § 4,
stk. 3, § 6, stk. 4, og § 7, stk. 3, at kravet om
forskriftsfastsættelse gælder tilsvarende ved samkøring af
registre, som er oparbejdet med henblik på varetagelsen af forskellige
opgaver, medmindre samkøringen udelukkende foretages med henblik
på uddrag i statistisk eller videnskabeligt øjemed.
Der henvises nærmere til betænkningen,
side 67-70, hvor gældende ret vedrørende offentlige myndigheders
samkøring af registre er beskrevet.
B. Lov om private registre
For private registeransvarliges vedkommende er reglerne om
registrering, opbevaring, videregivelse m.v. af oplysninger indeholdt i lov
om private registre kapitel 2, 2 b og 3-6.
Almindelige regler for registrering
Adgangen for erhvervsvirksomheder, erhvervsdrivende,
institutioner, foreninger og lignende til at foretage registrering af
oplysninger fremgår af lovens § 3.
Ifølge § 3, stk. 1, må der kun
foretages registrering som nævnt i § 1 i det omfang,
registreringen er et naturligt led i den normale drift af virksomheder m.v.
af den pågældende art. Bestemmelsen har karakter af en retlig
standard, og det må derfor vurderes konkret i hvert enkelt
tilfælde, om der bl.a. på baggrund af den pågældende
virksomheds særlige behov og virkeområde kan ske registrering. I
betænkningen, side 96, er givet en række eksempler
på typiske registre, der efter bestemmelsen kan oprettes og
føres.
Registrering af følsomme oplysninger er reguleret i
§ 3, stk. 2, hvoraf det fremgår, at oplysninger om
enkeltpersoners rent private forhold, herunder oplysninger om race, religion
og hudfarve, om politiske, seksuelle og strafbare forhold samt oplysninger om
helbredsforhold, væsentlige sociale problemer og misbrug af
nydelsesmidler og lign., ikke må registreres, medmindre dette
følger af anden lovgivning. Registrering må dog ske,
såfremt oplysningen er afgivet af den pågældende selv eller
indhentet med hans samtykke, og der foreligger omstændigheder, hvor han
må vide, at oplysningen vil blive registreret. Det er endvidere en
betingelse, at det er nødvendigt for virksomheden m.v. at være i
besiddelse af den pågældende oplysning for at muliggøre en
berettiget varetagelse af virksomhedens eller andres tarv. I
betænkningen, side 96 f, hvortil der henvises, er redegjort for
Registertilsynets praksis vedrørende bestemmelsen.
Hvis betingelserne i § 3, stk. 2, ikke er
opfyldt, kan Registertilsynet tillade, at oplysninger alligevel registreres,
jf. § 3, stk. 3. Dette gælder dog kun, hvis det er
nødvendigt for virksomheden m.v. at være i besiddelse af den
pågældende oplysning for at muliggøre en berettiget
varetagelse af offentlige eller private interesser, herunder hensynet til den
pågældende selv, der klart overstiger hensynet til de interesser,
der taler imod registrering. Bestemmelsen er indsat med henblik på, at
Registertilsynet efter en konkret vurdering kan tillade, at bl.a.
humanitære organisationer registrerer oplysninger om rent private
forhold, når den pågældendes samtykke ikke kan
indhentes.
Ajourføring, sletning og arkivering
I lovens kapitel 2 er endvidere indeholdt regler om
ajourføring, sletning og arkivering.
I § 5 er fastsat en regel, der har til formål
at sikre, at registrerede oplysninger så vidt muligt er korrekte.
Bestemmelsen gælder som udgangspunkt både manuelle registre og
registre, der føres på edb. Oplysningerne kan enten være
objektivt urigtige eller vildledende i den sammenhæng, de
indgår.
Nægter virksomheden m.v. efter anmodning fra den
registrerede at slette eller berigtige oplysninger, der angives at være
urigtige eller vildledende, eller at slette oplysninger, der ikke må
registreres, eller har virksomheden ikke inden 4 uger besvaret en henvendelse
herom fra den registrerede, kan den registrerede indbringe
spørgsmålet for Registertilsynet, jf. § 5, stk. 1.
Tilsynet træffer herefter afgørelse om, hvorvidt der skal
foretages sletning eller berigtigelse.
Ifølge § 5, stk. 2, kan Registertilsynet
pålægge virksomheden at give skriftlig underretning om
berigtigelsen til alle, der har modtaget oplysningen inden for de sidste 6
måneder, før den registrerede fremsatte sin anmodning over for
virksomheden. Virksomheden skal samtidig give den registrerede meddelelse om,
hvem der har modtaget en sådan underretning. Såfremt
Registertilsynet træffer afgørelse om, at en virksomhed m.v. har
registreret urigtige eller vildledende oplysninger, vil det indgå i
vurderingen af, om der skal berigtiges i forhold til tredjemand, hvorvidt de
registrerede oplysninger medfører risiko for gene for den
registrerede.
§ 5 suppleres af reglen i § 6, som alene
gælder for edb-registre.
Formålet med reglen i § 6 er bl.a. at modvirke
unødig dataophobning. Anvendelse af edb muliggør, at der
ubesværet kan lagres mange oplysninger på ét sted, og
dermed opstår risikoen for, at der lagres flere oplysninger end
nødvendigt.
Det følger derfor af § 6, stk. 1, at i
edb-registre skal en oplysning slettes, når den på grund af alder
eller af andre grunde har mistet sin betydning for varetagelsen af
registerets opgaver.
Endvidere skal edb-registre, der anvendes løbende,
indrettes således, at der kan foretages fornøden
ajourføring af oplysningerne, jf. § 6, stk. 2.
Registertilsynet stiller som oftest i praksis ikke krav
om, at sletning skal ske efter et bestemt antal år, men anmoder i
stedet virksomheder m.v. om at tage deres ajourførings- og
sletningsprocedurer op til overvejelse. Såfremt virksomheden ikke har
procedurer herfor, henstilles det, at sådanne bliver fastsat.
Der er ikke en tilsvarende bestemmelse for manuelle
registre. Dog har Registertilsynet i henhold til § 23, stk. 4,
mulighed for i særlige tilfælde at pålægge en
virksomhed m.v. at slette oplysninger, der på grund af alder eller af
andre grunde har mistet deres betydning for varetagelsen af registerets
opgaver.
§ 6, stk. 3, vedrører indførelsen
af oplysninger i et edb-register. Efter bestemmelsen skal virksomheder m.v.
foretage den fornødne kontrol til sikring af, at der ikke
indføres urigtige eller vildledende oplysninger i et edb-register.
Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt
slettes eller berigtiges.
Registertilsynet har efter § 23, stk. 6,
mulighed for at pålægge virksomheden m.v. at foretage
nærmere angivne kontrolforanstaltninger til sikring af, at der ikke er
eller bliver registreret eller videregivet oplysninger, som er urigtige eller
vildledende.
Endvidere kan tilsynet efter § 23, stk. 2,
pålægge en virksomhed m.v. at foretage sletning eller
berigtigelse af en oplysning, som ikke må registreres, eller som
tilsynet finder urigtig eller vildledende.
Det bemærkes endelig, at loven - i modsætning
til lov om offentlige myndigheders registre - ikke indeholder regler
vedrørende overførsel af oplysninger til arkiv.
Registertilsynet har imidlertid antaget, at dette ikke i sig selv
indebærer, at der ikke vil kunne ske arkivering af registre, som er
omfattet af loven. Se nærmere herom i betænkningen, side
149.
Almindelige regler for videregivelse
Videregivelse af oplysninger fra de i § 3,
stk. 1 og 2, nævnte registre er reguleret i lovens § 4,
stk. 1-3.
Ligesom for lov om offentlige myndigheders registres
vedkommende regulerer lov om private registre alene, hvornår der
kan ske videregivelse, ikke hvornår der eventuelt skal
ske videregivelse.
Der gælder de samme regler, uanset om videregivelsen
sker til en anden privat virksomhed m.v. eller til en offentlig
myndighed.
Efter § 4, stk. 1, 1. pkt., må
registrerede oplysninger om enkeltpersoners rent private forhold
(følsomme oplysninger), herunder oplysninger om race, religion og
hudfarve, om politiske, seksuelle og strafbare forhold samt oplysninger om
helbredsforhold, væsentlige sociale problemer og misbrug af
nydelsesmidler og lignende, ikke videregives uden samtykke fra den
registrerede eller den, der handler på dennes vegne, medmindre dette
følger af anden lovgivning. Registertilsynet kan dog tillade, at
oplysninger som nævnt i 1. pkt. videregives, når videregivelsen
sker til varetagelse af offentlige eller private interesser, herunder
hensynet til den pågældende selv, der klart overstiger hensynet
til de interesser, der begrunder hemmeligholdelse, jf. stk. 1, 2.
pkt.
Andre registrerede oplysninger (ikke-følsomme
oplysninger) må kun videregives uden den registreredes samtykke i det
omfang, videregivelse uden sådant samtykke er et naturligt led i den
normale drift af virksomheder m.v. af den pågældende art, jf.
§ 4, stk. 2. Oplysninger om forhold, der ligger mere end 5 år
tilbage, må dog ikke videregives uden samtykke, medmindre det er
åbenbart, at det er af afgørende betydning for
bedømmelsen af det forhold, som søges belyst, at oplysningen
videregives, eller adgangen til videregivelse følger af anden
lovgivning. Bestemmelsen i § 4, stk. 2, har karakter af en retlig
standard, og det kan derfor ikke på forhånd angives
udtømmende, hvornår videregivelse er et naturligt led. Med
hensyn til den nærmere fortolkning af bestemmelsen i § 4,
stk. 2, henvises til betænkningen, side 99 f.
Af § 4, stk. 3, følger, at bestemmelsen i
stk. 2 ikke gælder for videregivelse, der alene finder sted til
brug i videnskabeligt eller statistisk øjemed. I samme øjemed
må der uanset bestemmelsen i stk. 1 ske videregivelse af
oplysninger om helbredsforhold.
Samkøring
Særlige regler om samkøring af private
registre er indeholdt i lovens § 4, stk. 4 og 5.
Af reglerne følger, at samkøring af
forskellige virksomheders registre, hvor der gøres brug af elektronisk
databehandling, som udgangspunkt ikke må finde sted, jf. stk. 4,
1. pkt. Bestemmelsen, der kun finder anvendelse, hvis samkøringen
vedrører forskellige virksomheders registre, er ikke til hinder for
samkøring af navne, adresser og lignende, jf. stk. 4, 2. pkt.
Registertilsynet kan ifølge § 4, stk. 5,
give tilladelse til samkøring som nævnt i stk. 4, 1. pkt.,
når videregivelsesbetingelserne i § 4, stk. 1-3, er opfyldt,
og hensynet til de interesser, som samkøringen skal varetage, klart
overstiger hensynet til de registrerede personer. Det er endvidere en
betingelse, at der er givet meddelelse om, at samkøring kan finde
sted. I forbindelse med meddelelse af tilladelse kan Registertilsynet
fastsætte nærmere vilkår for anvendelsen af de oplysninger,
der fremkommer ved samkøringen. Med hensyn til den praktiske
anvendelse af bestemmelsen henvises til betænkningen, side
104.
Særlige regler for registrering og videregivelse
Lovens almindelige regler om registrering og videregivelse
suppleres på en række punkter af særlige regler.
I lovens § 3, stk. 6 og 7, er således
fastsat regler om, at oprettelse af registre med henblik på at advare
andre mod forretningsforbindelser med eller ansættelsesforhold til en
registreret kun må finde sted efter forudgående tilladelse fra
Registertilsynet. Reglerne er nærmere omtalt i
betænkningen, side 118 f.
Endvidere fremgår det af lovens § 3,
stk. 8, at justitsministeren efter indhentet udtalelse fra
Registertilsynet kan fastsætte, at nærmere angivne registre helt
eller delvis undergives reglerne i kapitel 3 (om kreditoplysningsbureauer),
og at bestemte typer oplysninger ikke må indgå i de
pågældende registre. Justitsministeriet har i medfør af
denne bestemmelse fastsat bekendtgørelse nr. 122 af 11. marts 1988 om
pengeinstitutters videregivelse af kreditoplysninger. Se herom
betænkningen, side 100. Der er endvidere i medfør af
§ 3, stk. 8, udstedt bekendtgørelse nr. 523 af 11. august
1986 om virksomheder, der erhvervsmæssigt yder bistand ved
stillingsbesættelse. Der henvises nærmere til
betænkningen, side 119 f, hvor reglerne i bekendtgørelsen
er gennemgået.
I loven er der tillige fastsat særlige regler om
registrering og videregivelse af oplysninger om personnummer, jf. lovens
§ 4 a. Ifølge bestemmelsens stk. 1 må oplysninger om
personnummer kun registreres, når betingelserne i § 3,
stk. 2, er opfyldt. Efter stk. 2, må registrerede oplysninger
om personnummer kun videregives, når betingelserne i § 4,
stk. 2, er opfyldt, og når videregivelsen er af afgørende
betydning for at sikre en entydig identifikation af den registrerede eller
videregivelsen kræves af en offentlig myndighed. Udover at
videregivelse af oplysningerne skal være et naturligt led, stilles
således yderligere det krav, at videregivelsen skal sikre en entydig
identifikation. I betænkningen, side 100 f er redegjort
nærmere for bestemmelserne i § 4 a, herunder for Registertilsynets
praksis.
I loven er desuden indeholdt særlige regler om
videregivelse af oplysninger til brug ved markedsføring, jf. lovens
§ 4 b. Efter bestemmelsen må virksomheder ikke videregive
registrerede oplysninger om forbrugere til andre virksomheder til brug ved
markedsføring, jf. stk. 1. Videregivelse kan dog ske,
såfremt betingelserne i § 4 er opfyldt, og den virksomhed, som
ønsker at videregive oplysningerne, ved kundeforholdets begyndelse
eller på et senere tidspunkt har givet den registrerede tydelig
skriftlig meddelelse om, at videregivelse kan finde sted, og den registrerede
har givet sit udtrykkelige samtykke til videregivelsen, jf. stk. 2.
Efter stk. 3 skal meddelelsen som nævnt i stk. 2 indeholde
oplysning om, til hvilken type virksomhed oplysningerne agtes givet. Der er
redegjort nærmere for rækkevidden af lovens § 4 b i
betænkningen, side 104 f.
Også særlige regler om registrering af
telefonnumre er indeholdt i lov om private registre, jf. lov om private
registre § 7 f. Af bestemmelsens stk. 1, 1. pkt., følger, at
virksomheder m.v. som udgangspunkt ikke må foretage automatisk
registrering af, til hvilke telefonnumre der er foretaget opkald fra
virksomhedens telefoner. Dette gælder, uanset om opkaldet foretages fra
en virksomheds fast installerede telefoner eller virksomhedens mobile
telefoner. Registrering kan dog uanset bestemmelsen i stk. 1, 1. pkt.,
ske, såfremt Registertilsynets forudgående tilladelse indhentes i
tilfælde, hvor afgørende hensyn til private eller offentlige
interesser taler herfor, jf. stk. 1, 2. pkt.
Efter stk. 2 gælder bestemmelserne i
stk. 1 dog ikke, hvis andet følger af lov eller for så vidt
angår de koncessionerede telefonselskabers registrering af, til hvilke
telefonnumre der er foretaget opkald, enten til eget brug med henblik
på opkrævning af betaling eller til brug ved teknisk kontrol.
Forbudet gælder således ikke, hvor adgangen til registrering af
telefonnumre følger af f.eks. retsplejelovens bestemmelser om
efterforskningsskridt i straffesager.
For en nærmere beskrivelse af reglerne i lovens
§ 7 f, herunder anvendelsen i praksis af bestemmelsen i stk. 1, 2.
pkt., henvises til betænkningen, side 101- 103.
Herudover er der i lovens kapitel 3 fastsat en række
særlige regler om kreditoplysningsbureauer.
I kapitlet er således indeholdt særlige regler
om anmeldelse til Registertilsynet af kreditoplysningsvirksomhed (§ 8),
om betingelserne for behandling af oplysninger, herunder hvilke oplysninger
der må behandles (§§ 9 og 12), om underretning af de personer, der
optages i kreditoplysningsbureauers registre samt om disses ret til
registerindsigt (§§ 10 og 11), og om berigtigelse og sletning af
urigtige eller vildledende oplysninger (§§ 13-15). Endelig er der
fastsat særlige regler om overdragelse eller overgivelse i
øvrigt af kreditoplysningsbureauers registre (§ 16).
De ganske omfattende regler er beskrevet i
betænkningen, side 105-118.
Lovens kapitel 4 indeholder særlige regler om
adresserings- og kuverteringsbureauer.
Det fremgår af lovens § 17, stk. 1, hvilke
oplysninger sådanne bureauer må registrere. Der må kun
registreres oplysninger om navn, adresse, stilling, erhverv samt oplysninger,
der frit kan indhentes fra erhvervsregisteret.
Oplysninger om enkeltpersoners rent private forhold,
herunder oplysninger om race, religion og hudfarve, om politiske, seksuelle
og strafbare forhold samt oplysninger om helbredsforhold, væsentlige
sociale problemer og misbrug af nydelsesmidler og lignende må ikke
registreres, jf. lovens § 17, stk. 2, 1. pkt. Bestemmelsen
præciserer blot, at oplysninger af den karakter under ingen
omstændigheder må registreres af et adresserings- eller
kuverteringsbureau.
Justitsministeren kan efter stk. 2, 2. pkt.,
fastsætte yderligere begrænsninger i adgangen til at registrere
bestemte typer af oplysninger. Dette er ikke sket.
Efter § 18, stk. 1, skal bureauet i sine
registre slette enhver, der fremsætter skriftlig begæring herom.
Bestemmelsen sikrer, at personer, virksomheder m.v., der ikke ønsker
at modtage reklamemateriale, der er stilet til dem, efter skriftlig
begæring herom kan forlange at blive slettet.
Fremsættes begæringen over for den, der
fremtræder som afsender, skal denne videresende begæringen til
bureauet, jf. stk. 2. Det vil ikke altid fremgå af udsendt
reklamemateriale eller lignende, at det er et adresserings- eller
kuverteringsbureau, der har forestået udsendelsen, og for ikke at
gøre muligheden for sletning illusorisk, skal en begæring om
sletning derfor videreformidles.
Hvis foreninger og lignende overlader medlemsfortegnelser
til et bureau med henblik på udsendelse af meddelelser for foreningen
m.v., må bureauet ikke uden foreningens samtykke videregive
medlemsfortegnelsen til tredjemand eller benytte den til udsendelser for
tredjemand, jf. § 19.
De særlige regler om registrering og elektronisk
databehandling i udlandet, som fremgår af lovens kapitel 6, er
nærmere omtalt i betænkningen, side 120 f.
4.2.4.2. Udvalgets overvejelser
Udvalget anbefaler, at der - ligesom i den gældende
registerlovgivning - dels fastsættes almindelige regler om behandling
af oplysninger, dels særlige regler for behandling af oplysninger
på nærmere bestemte retsområder.
Udvalget anfører i den forbindelse, at en
sådan ordning må antages at være forenelig med direktivet,
jf. nærmere betænkningen, side 225.
A. Almindelige regler om behandling af oplysninger
I betænkningen, side 224-240, er redegjort
for udvalgets overvejelser vedrørende udformningen af de generelle
regler om behandling af oplysninger, herunder for, hvilke krav direktivet
må antages at stille hertil.
Udformningen af reglerne om behandling af oplysninger
Udvalget foreslår, at bestemmelserne i direktivets
artikel 6-8 implementeres i dansk ret ved, at der i lovgivningen
indsættes en række almindelige regler om behandling af
personoplysninger.
Reglerne bør som følge af direktivets
artikel 2, litra b, hvori der er givet en definition på begrebet
»behandling«, udstrækkes til at gælde enhver form for behandling
af oplysninger, hvad enten der er tale om indsamling, registrering,
samkøring, videregivelse m.v.
Rent lovsystematisk anbefaler udvalget, at de almindelige
behandlingsregler skal bygge på en ordning, hvorefter der dels
fastsættes en række grundlæggende principper for den
dataansvarliges behandling af oplysninger, dels fastsættes
nærmere regler om, hvornår behandling lovligt kan finde sted.
Ved den nærmere udformning af reglerne bør
der tages hensyn til, hvorledes bestemmelserne i direktivets artikel 6-8 er
affattet. Udvalget foreslår således, at affattelsen af reglerne
lægges tæt op ad direktivteksten, idet hensynet til at sikre, at
der ikke kan rejses tvivl omkring gennemførelsen af disse centrale
bestemmelser i dansk ret, findes at tale herfor.
Grundlæggende principper for behandling af oplysninger
På baggrund af ovennævnte overvejelser
foreslår udvalget, at det i den kommende lov om behandling af
personoplysninger fastsættes, at behandling af oplysninger skal
være lovlig og rimelig, det vil sige skal være i overensstemmelse
med god databehandlingsskik, at princippet om formålsbestemthed
(finalité-princippet) skal gælde for behandling af oplysninger,
at oplysninger, som behandles, skal være relevante og
tilstrækkelige samt skal være undergivet et
proportionalitetsprincip, at der skal ske fornøden kontrol af
behandlede oplysningers rigtighed, og at opbevaring af identificerbare
oplysninger skal være nødvendig.
Der henvises nærmere til betænkningen,
side 230, hvor udvalgets overvejelser vedrørende fastlæggelsen
af de grundlæggende principper for behandling af oplysninger er
beskrevet. Anførte sted fremgår bl.a., at de principper, som
på baggrund af artikel 6 foreslås indsat i lovgivningen, i vid
udstrækning må antages at svare til, hvad der gælder efter
den nuværende registerlovgivning.
Nærmere betingelser for behandlingers lovlighed
Udvalget foreslår endvidere, at der - i tilknytning
til de foreslåede grundlæggende behandlingsprincipper -
fastsættes nærmere regler for, hvornår behandling af
oplysninger lovligt kan finde sted.
Udvalget anbefaler, at reglerne - ligesom
registerlovgivningen - skal bygge på en opdeling af personoplysninger i
to kategorier, nemlig hvad man på den ene side kan kalde almindelige
personoplysninger og på den anden side særlige kategorier af
personoplysninger. I den forbindelse anbefales det, at fastlæggelsen
af, hvilke typer af oplysninger som skal anses for at være almindelige
oplysninger henholdsvis særlige kategorier af oplysninger, sker ud fra
bestemmelserne i direktivets artikel 7 og 8.
Idet udvalget lægger til grund, at opregningen i
artikel 8 af særlige kategorier af oplysninger er udtømmende,
finder udvalget ikke, at det kan antages at være muligt - inden for
rammerne af direktivet - at opretholde den opregning af almindelige
henholdsvis følsomme oplysninger, som er indeholdt i den
gældende registerlovgivning.
Dette indebærer, når der bortses fra artikel
8, stk. 5 og 7, som indeholder helt særlige regler for oplysninger
om strafbare forhold samt oplysninger om et nationalt identifikationsnummer,
at kun oplysninger om racemæssig eller etnisk baggrund, politisk,
religiøs eller filosofisk overbevisning, fagforeningsmæssigt
tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold
skal anses for at være en særlig kategori af oplysninger, jf.
herved direktivets artikel 8, stk. 1. I den forbindelse bemærker
udvalget, at udtrykket helbredsmæssige forhold skal
forstås således, at det omfatter oplysninger om en persons
tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt
oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende
nydelsesmidler, jf. herved betænkningen, side 231.
På denne baggrund anbefaler udvalget, at
fastlæggelsen i den fremtidige lovgivning af almindelige henholdsvis
særlige kategorier af oplysninger sker på en anden måde,
end hvad der efter registerlovgivningen gælder med hensyn til
afgrænsningen af begrebet »følsomme personoplysninger«. Bl.a.
vil oplysninger om væsentlige sociale problemer ikke kunne anses for at
være en særlig kategori af oplysninger, ligesom også andre
oplysninger om enkeltpersoners rent private forhold, såsom oplysninger
om interne familieforhold, herunder om separations- og
skilsmissebegæringer, familiestridigheder, opdragelsesmåde,
adoption og ulykkestilfælde, som i dag efter omstændighederne vil
være af følsom karakter, ikke vil kunne anses for en
særlig kategori af oplysninger.
Der henvises i den forbindelse nærmere til
betænkningen, side 232 f, hvor det fra udvalgets side
fremhæves, at betydningen af, at enkelte »følsomme oplysninger«
ikke kan henregnes til de særlige kategorier af oplysninger, ikke skal
overvurderes.
Udvalget foreslår - på baggrund af direktivets
artikel 7 og 8 - forskellige kriterier for, hvornår almindelige
henholdsvis særlige kategorier af oplysninger lovligt skal kunne
behandles.
For de særlige kategorier af oplysninger
foreslås det, at behandling skal kunne ske på betingelse af,
at den registrerede har givet sit udtrykkelige samtykke til en
sådan behandling, at behandlingen er nødvendig for at
beskytte den registreredes eller en anden persons vitale interesser i
tilfælde, hvor den pågældende ikke fysisk eller juridisk er
i stand til at give sit samtykke, at behandlingen vedrører
oplysninger, som er blevet offentliggjort af den registrerede, eller
at behandlingen er nødvendig for, at et retskrav kan
fastlægges, gøres gældende eller forsvares.
Endvidere foreslås det, at behandling af oplysninger
om fagforeningsmæssige tilhørsforhold skal kunne ske, hvis
behandlingen er nødvendig for overholdelsen af den dataansvarliges
arbejdsretlige forpligtelser eller specifikke rettigheder.
Herudover anbefales det, at en stiftelse, en forening
eller en anden almennyttig organisation, hvis sigte er af politisk,
filosofisk, religiøs eller faglig art, inden for rammerne af sin
virksomhed skal kunne foretage behandling af særlige kategorier af
oplysninger om organisationens medlemmer eller personer, der på grund
af organisationens formål er i regelmæssig kontakt med denne.
Er der tale om behandling af særlige kategorier af
oplysninger, der er nødvendig med henblik på forebyggende
sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller
patientbehandling, eller forvaltning af læge- og sundhedstjenester,
bør dette efter udvalgets opfattelse også kunne ske, hvis
behandlingen af oplysningerne foretages af en person, der efter lovgivningen
er undergivet tavshedspligt. Om den nærmere baggrund for dette forslag
henvises til betænkningen, side 246-251.
Desuden foreslås det, at de særlige kategorier
af oplysninger skal kunne behandles, hvis dette er nødvendigt af
hensyn til en offentlig myndigheds varetagelse af sine opgaver på det
strafferetlige område.
Endelig finder udvalget, at det bør være
muligt for tilsynsmyndigheden at meddele tilladelse til behandling af
særlige kategorier af oplysninger af grunde, der vedrører
hensynet til vigtige samfundsmæssige interesser. I givet fald må
det overlades til tilsynsmyndigheden at fastsætte nærmere
vilkår for behandlingen.
Med hensyn til spørgsmålet om, hvornår
behandling af almindelige oplysninger (andre typer af oplysninger end
de særlige kategorier af oplysninger) skal kunne ske, foreslår
udvalget - på baggrund af direktivets artikel 7 - at betingelserne
herfor skal være, at den registrerede har givet sit samtykke
hertil, at behandlingen er nødvendig af hensyn til opfyldelsen
af en aftale, som den registrerede er part i, eller af hensyn til
gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelsen af en sådan aftale,
at behandlingen er nødvendig for at overholde en retlig
forpligtelse, som påhviler den dataansvarlige, at behandlingen
er nødvendig for at beskytte den registreredes vitale interesser,
at behandlingen er nødvendig af hensyn til udførelsen af
en opgave i samfundets interesse, at behandlingen er nødvendig
af hensyn til udførelsen af en opgave, der henhører under
offentlig myndighedsudøvelse, som den dataansvarlige eller en
tredjemand, til hvem oplysningerne videregives, har fået pålagt,
eller at behandlingen er nødvendig for, at den dataansvarlige
eller den tredjemand, til hvem oplysningerne videregives, kan forfølge
en berettiget interesse, og hensynet til den registrerede ikke overstiger
denne interesse.
Efter disse forslag vil det - anfører udvalget - i
vid udstrækning blive afgørende, om behandling af oplysninger er
nødvendig til varetagelse af de opregnede interesser. I hvilket
omfang, dette er tilfældet, vil bero på den konkrete situation.
Der vil således med kravet om nødvendighed være overladt
den dataansvarlige et vist skøn, som dog altid vil kunne
efterprøves af tilsynsmyndigheden.
Udvalget anfører i den forbindelse, at der med
hensyn til selve vurderingen af, om behandling af oplysninger er
nødvendig af hensyn til de angivne interesser, skal tages udgangspunkt
i, hvilken behandlingsform der er tale om. Det skal således vurderes
separat, om det er nødvendigt, at oplysninger indsamles, registreres,
videregives, samkøres m.v. I den forbindelse forudsætter
udvalget, at vurderingen foretages ud fra synspunktet om, at jo mere
indgribende en behandlingsform der er tale om, desto større krav
stilles til nødvendigheden af, at behandling finder sted. Der skal
dermed f.eks. stilles større krav til nødvendigheden af, at
videregivelse eller samkøring af oplysninger finder sted, end til
nødvendigheden af, at der sker indsamling og registrering af
oplysninger med henblik på den dataansvarliges eget brug.
Det forhold, at lovgivningen - som følge af
direktivets artikel 2, litra b - udstrækkes til at gælde for alle
behandlingsformer, vil således ifølge udvalget ikke føre
til, at vurderingen af, om behandling kan finde sted, er den samme for hver
enkelt form for behandling. Med hensyn til samkøring af registre
anfører udvalget bl.a., at der fortsat kan være behov for at
være særligt opmærksom på, om en sådan
behandling bør finde sted. Det er imidlertid udvalgets opfattelse, at
de hensyn, som ligger bag den særlige regulering af
registersamkøring, også vil kunne varetages fremover, uden at
der i lovudkastet fastsættes særlige materielle regler for,
hvornår samkøring må finde sted. Udvalget
forudsætter i den forbindelse, at Datatilsynet i forbindelse med
anmeldelsesordningen og i andre sammenhænge vil være
særligt opmærksom på de situationer, hvor der foretages
samkøring af registre. Der henvises til betænkningen,
side 227-229.
For så vidt angår udvalgets overvejelser med
hensyn til det nærmere indhold af de foreslåede
behandlingskriterier for behandling af henholdsvis almindelige og
særlige kategorier af oplysninger, henvises i øvrigt til
betænkningen, side 230-240.
B. Særlige regler om behandling af oplysninger
Som tidligere anført finder udvalget, at det
må antages, at der - inden for rammerne af direktivet - i et vist
omfang kan fastsættes særlige regler om behandling af
personoplysninger på nærmere bestemte områder.
Under hensyn hertil, og idet udvalget vurderer, at der -
ligesom efter den gældende registerlovgivning - er behov for
særlige behandlingsregler, foreslås det, at sådanne regler
indsættes på følgende områder:
Behandling af oplysninger om strafbare forhold
Det foreslås, at der - i lyset af direktivets
artikel 8, stk. 5 - fastsættes særlige regler for behandling
af oplysninger om strafbare forhold. Der henvises til
betænkningen, side 240-246.
Ved udformningen af de særlige regler om behandling
af oplysninger om strafbare forhold finder udvalget, at der - ligesom i dag -
må sondres mellem behandling, som udføres for henholdsvis
offentlige myndigheder og private. I den forbindelse anføres det, at
det grundlæggende er udvalgets opfattelse, at offentlige myndigheder i
videre udstrækning end private bør kunne behandle oplysninger om
strafbare forhold. Samtidig anføres det, at der bør tages
hensyn til, at selv om der bør gælde forholdsvis snævre
grænser for, hvornår behandling af oplysninger om enkeltpersoners
strafbare forhold kan finde sted, så bør reglerne ikke
medføre indskrænkninger i den gældende retstilstand
vedrørende offentlige myndigheders og privates adgang til at behandle
oplysninger om strafbare forhold. Der bør således efter
udvalgets opfattelse være mulighed for, at private og offentlige
dataansvarlige kan behandle sådanne oplysninger i samme
udstrækning som i dag.
Udvalgets forslag til bestemmelser om henholdsvis
offentlige myndigheders og privates behandling, herunder registrering og
videregivelse, af oplysninger om strafbare forhold skal ses på denne
baggrund.
Retsinformationssystemer
Udvalget vurderer endvidere, at der er behov for at
fastsætte særlige regler om behandling af oplysninger i
forbindelse med førelse af retsinformationssystemer.
Som beskrevet i betænkningen, side 251-253,
vil retsinformationssystemer være omfattet af anvendelsesområdet
for den kommende lovgivning i det omfang, der behandles personoplysninger
heri, jf. herved også pkt. 4.2.1.2. ovenfor. Dette vil bl.a. være
tilfældet, hvis systemet indeholder journalnumre vedrørende
konkrete afgørelser, som sætter den indlæggende myndighed
i stand til at identificere en bestemt person.
Retsinformationssystemer vil i mange tilfælde
indeholde personoplysninger, herunder også oplysninger om
racemæssig eller etnisk baggrund, politisk, religiøs eller
filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og
oplysninger om helbredsforhold og seksuelle forhold. Udvalget finder det
derfor hensigtsmæssigt, at der indsættes en udtrykkelig
bestemmelse i lovgivningen, hvorefter de nævnte særlige
kategorier af oplysninger samt oplysninger om strafbare forhold kan
behandles, såfremt dette alene sker med henblik på at føre
retsinformationssystemer af væsentlig samfundsmæssig betydning,
og behandlingen er nødvendig for førelsen af systemerne.
Herudover foreslås det, at oplysninger, som
indgår i et retsinformationssystem, ikke senere må behandles i
andet øjemed. Udvalget er af den opfattelse, at den udtrykkelige
begrænsning i den videre behandling af oplysningerne bidrager til
etableringen af tilstrækkelige garantier mod misbrug af oplysninger i
retsinformationssystemer. Udvalgets forslag om, at tilsynsmyndigheden skal
kunne meddele vilkår for behandlingen af oplysninger i
retsinformationssystemer, skal også ses som en garanti mod misbrug.
Behandling af oplysninger i statistisk og videnskabeligt
øjemed
Udvalget foreslår herudover, at der - ligesom efter
den gældende ordning - fastsættes særlige regler om
behandling af oplysninger i statistisk og videnskabeligt øjemed.
Det foreslås, at oplysninger om racemæssig
eller etnisk baggrund, politisk, religiøs eller filosofisk
overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger
om helbredsforhold og seksuelle forhold samt oplysninger om strafbare forhold
skal kunne behandles, hvis dette alene sker med henblik på at
udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning, og behandlingen er
nødvendig for udførelsen af undersøgelserne.
Endvidere foreslås det, at oplysninger, som alene
behandles i statistisk eller videnskabeligt øjemed, ikke senere
må behandles i andet øjemed. Dette indebærer bl.a., at der
ikke efterfølgende kan ske videregivelse til andre formål. Heri
ligger også, at en undersøgelse ikke må
offentliggøres på en sådan måde, at det er muligt at
identificere den enkelte registrerede. Reglen indebærer således
ingen ændring i forhold til den nugældende retstilstand, bortset
fra i relation til almindelige oplysninger, der behandles i private
projekter, jf. nedenfor.
Endelig foreslås det, at der kun kan videregives
oplysninger til tredjemand efter forudgående tilladelse fra
tilsynsmyndigheden, hvilket i det væsentlige svarer til den
gældende ordning for såvel offentlige som private dataansvarlige.
Det foreslås i den forbindelse, at det overlades til tilsynsmyndigheden
at stille nærmere vilkår.
I øvrigt finder udvalget, at det bør
være de almindelige behandlingsregler, som finder anvendelse på
behandling af oplysninger i statistisk eller videnskabeligt øjemed.
Dette udgør en nyskabelse i relation til privates behandling af
almindelige oplysninger i statistisk eller videnskabeligt øjemed, idet
sådanne oplysninger som tidligere nævnt i dag er undtaget fra lov
om private registre.
Der henvises i øvrigt til
betænkningen, side 252- 259.
Behandling af oplysninger om personnumre
Udvalget foreslår også, at der med hensyn til
behandling af oplysninger om personnummer, der i dag er særskilt
reguleret i lov om private registre, fastsættes særlige regler. I
den forbindelse anføres det, at Danmark efter direktivet står
frit med hensyn til at bestemme, under hvilke betingelser behandling af
oplysninger om personnummer bør kunne finde sted, jf. herved artikel
8, stk. 7. Der henvises til betænkningen, side
259-267.
Et enigt udvalg anbefaler, at offentlige myndigheder skal
kunne behandle oplysninger om personnummer under samme betingelser som i
dag.
Derimod er der ikke enighed i udvalget med hensyn til, i
hvilket omfang der bør være adgang til at behandle sådanne
oplysninger i den private sektor.
Et flertal (16 medlemmer) anbefaler, at oplysninger
om personnumre i videre udstrækning end i dag skal kunne gøres
til genstand for behandling hos private dataansvarlige. Flertallet
foreslår således, at private skal kunne behandle oplysninger om
personnummer, hvis det følger af lov eller bestemmelser fastsat
i henhold til lov, hvis den registrerede har givet samtykke hertil,
eller hvis behandlingen er sagligt begrundet og af betydning for en
entydig identifikation i forbindelse med varetagelsen af den dataansvarliges,
tredjemands eller den registreredes interesser.
Flertallets forslag er baseret på følgende
synspunkter:
Generelt må adgangen til at registrere personnumre
anses for at indebære fordele for såvel virksomhederne som de
pågældende enkeltpersoner. En privat virksomhed, forening m.v.,
der som led i sine aktiviteter behandler personoplysninger, f.eks. i
forbindelse med kunde- eller medlemsadministration, kan opnå klare
fordele ved at være i besiddelse af de pågældendes
personnumre. Der opnås en entydig identifikation, såvel internt i
virksomhedens eller foreningens administration som ved udveksling af
oplysninger med omverdenen. I sidste ende er dette også til gavn for de
registrerede, der vil opnå den samme sikre identifikation her som hos
det offentlige - og dermed undgår forveksling med andre - ligesom de
registrerede vil kunne få hurtigere og billigere ydelser.
Samtidig er det flertallets opfattelse, at ingen
væsentlige databeskyttelsesmæssige hensyn taler imod, at der
fastsættes mindre restriktive regler for private virksomheders m.v.
behandling af personnumre, end tilfældet er i dag.
Flertallet peger herved først og fremmest på,
at det enkelte personnummer - bestående af 10 cifre, bygget op efter et
bestemt system - ikke i sig selv afslører følsomme oplysninger
om den pågældende person. Et personnummer fortæller kun to
oplysninger om indehaveren : Alder (og fødselsdato) samt
køn.
Hvad angår alder (og fødselsdato) anses denne
oplysning i registermæssig henseende hverken for at være et
(ufuldstændigt) personnummer eller for at være en oplysning om
rent private forhold omfattet af lov om private registre § 3,
stk. 2. De første 6 cifre i et personnummer betragtes i
registermæssig henseende som en almindelig personoplysning, der
omfattes af den almindelige regel i lov om private registre § 3,
stk. 1, dvs. at registrering heraf kan finde sted, hvis registreringen
er et naturligt led i den normale drift af en sådan virksomhed.
Flertallet anfører i den forbindelse, at Registertilsynet har oplyst,
at private virksomheders, foreningers m.v. registrering af de første 6
cifre af personnummeret i praksis ikke giver anledning til problemer i form
af klagesager og lignende.
Oplysningen om køn kan i meget sjældne
tilfælde udgøre en oplysning om den pågældendes rent
private forhold. Der er imidlertid tale om et helt marginalt problem.
Flertallet bemærker herved også, at en person, der har
gennemgået en kønsskifteoperation, får tildelt et nyt
personnummer.
Flertallet anfører endvidere, at den
nuværende ordning, hvor private virksomheder i mange tilfælde er
afskåret fra at registrere personnumre, samtidig med at lovgivningen i
betydeligt omfang gennem særbestemmelser herom påbyder private
virksomheder at registrere personnumre, f.eks. af hensyn til
skattekontrollen, har den efter flertallets opfattelse uheldige konsekvens,
at nogle virksomheder i kraft af adgangen til at registrere personnumre
stilles bedre end andre. Flertallet peger i den forbindelse på, at en
virksomheds interne anvendelse af lovligt registrerede oplysninger som
udgangspunkt ikke er reguleret af registerlovgivningen. Dette
indebærer, at en privat virksomhed, der lovligt har registreret sine
kunders personnumre p.gr.a. en indberetningspligt til skattemyndighederne,
internt kan anvende personnumrene også til andre formål, f.eks. i
administrative sammenhænge. Flertallet anser det for urealistisk at
tro, at man i praksis skulle kunne begrænse private virksomheders
interne anvendelse af personnumre til netop det eller de formål, som
oprindeligt begrundede registreringen.
Endelig peger flertallet på, at flere og flere
vigtige samfundsmæssige aktiviteter, som tidligere blev varetaget af
offentlige myndigheder, i dag udføres i privat regi. En privatisering
af en offentlig virksomhed kan efter omstændighederne have den
konsekvens, at virksomheden ikke længere kan registrere personnumre i
samme omfang som tidligere. Dette forhold taler efter flertallets opfattelse
også for, at reglerne for private virksomheders registrering af
personnumre bringes i bedre overensstemmelse med reglerne for den offentlige
sektor, uden at reglerne nødvendigvis skal være ens.
Et mindretal (2 medlemmer) er af den opfattelse, at
den gældende regel i § 4 a i lov om private registre bør
opretholdes.
Mindretallet lægger i den forbindelse vægt
på, at personnummeret udgør nøglen til mange
forskelligartede edb-systemer og dermed er adgangsnøgle til at samle
store mængder information om den enkelte borger.
Personnummeret er et meget stærkt
identifikationsmiddel, og der er mange følelser knyttet til
personnummeret. Mange mennesker nærer stor betænkelighed ved
registrering og videregivelse af deres personnummer, som af mange opfattes
som en fortrolig oplysning, idet det fungerer som en nøgle, der
muliggør, at den, der er i besiddelse af nummeret, kan få
udleveret en lang række private oplysninger om den
pågældende.
Mindretallet anfører, at det må erkendes, at
personnummeret er optimalt ved identifikation af den enkelte person, men
risikoen for, at en tredjemand uretmæssigt får udleveret
registrerede personoplysninger, blot fordi han anmoder herom ved oplysning af
den registreredes personnummer, vil stige i takt med en lempelse af reglerne
på området. Mindretallet frygter, at oplysninger derved vil blive
anvendt på en krænkende måde. Mange privatpersoner vil
føle sig mere eller mindre presset til at give samtykke til
registrering af deres personnummer, f.eks. i forbindelse med indkøb i
detailhandlen og indgåelse af lejemål. Mindretallet finder det
derfor uacceptabelt, hvis der åbnes mulighed for, at et
videoudlejningsfirma eksempelvis kan registrere personnummeret, fordi der
foreligger et konkret kontraktforhold mellem kunden og forretningen.
På den baggrund kan mindretallet ikke tilslutte sig,
at der sker en udvidelse af anvendelsen af personnummeret i den private
sektor.
Adresserings- og kuverteringsbureauer
Også med hensyn til den virksomhed, som
udøves af adresserings- og kuverteringsbureauer, foreslår
udvalget, at der fastsættes særlige regler.
Det helt overvejende flertal (17 medlemmer)
foreslår, at reglerne i det væsentlige udformes på samme
måde som de nuværende regler. Dog bør det efter
flertallets opfattelse i begrænset omfang overlades til adresserings-
og kuverteringsbureauer i videre udstrækning end i dag at behandle
oplysninger.
Det foreslås således, at det - som noget nyt -
bør være muligt for bureauerne at behandle oplysninger om
e-postadresse samt oplysninger om telefon- og telefaxnummer.
Ligeledes findes der at burde være adgang for
bureauerne til at benytte oplysninger, der indgår i erhvervsregistre,
som i henhold til lov eller bestemmelser fastsat i henhold til lov er
beregnet til at informere offentligheden. I dag kan oplysninger kun indhentes
fra Erhvervsregisteret.
Endelig foreslås det, at andre oplysninger skal
kunne behandles, hvis den registrerede samtykker heri. Der lægges
herved bl.a. vægt på, at der ikke ses at være noget
nævneværdigt beskyttelsesbehov i disse tilfælde, idet det
bør være op til den enkelte selv at vurdere, om vedkommende
ønsker at blive registreret hos et adresserings- og kuverteringsbureau
med henblik på udsendelse af reklamemateriale vedrørende
nærmere bestemte produkter.
Dog finder flertallet - ligesom det også er
tilfældet i dag - at oplysninger om racemæssig eller etnisk
baggrund, politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssigt tilhørsforhold og oplysninger om
helbredsforhold og seksuelle forhold samt oplysninger om strafbare forhold og
væsentlige sociale problemer ikke bør kunne behandles af
bureauerne. Endvidere vurderes det, at der fortsat er behov for en
bestemmelse, hvorefter justitsministeren kan fastsætte yderligere
begrænsninger i adgangen til at behandle bestemte typer af
oplysninger.
Et mindretal (1 medlem) kan ikke tiltræde
flertallets forslag om en øget adgang for adresserings- og
kuverteringsbureauer til at behandle oplysninger. Mindretallet foreslår
i stedet, at den nuværende retstilstand opretholdes, jf. ovenfor under
pkt. 4.2.4.1. (pkt. B).
Om baggrunden for henholdsvis flertallets og mindretallets
forslag henvises nærmere til betænkningen, side 270 f.
Registrering af oplysninger om telefonnumre
Hvad særligt angår den nuværende
telefonregel i lov om private registre § 7 f, er der heller ikke enighed
i udvalget.
Et flertal (12 medlemmer) foreslår, at reglen
opretholdes. Ligeledes foreslår flertallet, at reglen skal udvides til
også at gælde for offentlige myndigheder, hvilket dog i det
væsentlige vil svare til den praksis, der er udviklet i relation til
lov om offentlige myndigheders registre § 9, stk. 1.
Den overvejende opfattelse blandt flertallet er i
øvrigt, at der ikke »på nuværende tidspunkt bør
tages stilling til, om reglerne om registrering af telefonnumre bør
udvides til også at gælde for indgående opkald, idet
det synes naturligt, at spørgsmålet ses i sammenhæng med
gennemførelsen af det ISDN-direktiv, som forventes vedtaget inden for
den nærmeste fremtid« ( betænkningen, side 276).
Et mindretal (6 medlemmer) finder ikke, at der er
grund til at opretholde reglen i lov om private registre § 7 f.
Mindretallet finder derfor heller ikke, at reglen bør udvides til
også at gælde for offentlige myndigheder.
Om baggrunden for henholdsvis flertallets og mindretallets
forslag henvises i øvrigt til betænkningen, side
275-277.
Kreditoplysningsområdet
Udvalget foreslår yderligere, at der - ligesom i dag
- fastsættes særlige regler inden for
kreditoplysningsområdet.
De gældende regler foreslås kun i ganske
begrænset omfang ændret. Udvalget peger herved bl.a. på, at
Europa-Kommissionen har iværksat et udredningsarbejde vedrørende
kreditoplysningsområdet, hvilket må forventes at munde ud i et
initiativ til fællesskabsretlig regulering inden for dette
område, jf. nærmere betænkningen, side 277-282.
I lyset heraf foreslår udvalget kun mindre -
terminologiske og indholdsmæssige - ændringer i den
gældende ordning med henblik på at tilpasse reglerne til den nye
generelle regulering af behandling af oplysninger.
Dog foreslås det - uafhængigt af direktivet -
at der sker en præcisering af rækkevidden af den nuværende
regel i lov om private registre § 12, stk. 4 (videregivelse af
summariske oplysninger), idet denne bestemmelse efter udvalgets opfattelse i
et vist omfang giver anledning til ulig konkurrence mellem
landsdækkende kreditoplysningsbureauer og lokalt etablerede
kreditoplysningsbureauer.
Overførsel af oplysninger til tredjelande
Som en konsekvens af direktivets artikel 25 og 26
foreslår udvalget tillige særlige regler om overførsel af
oplysninger til tredjelande.
I betænkningen, side 282-291, er givet en
omfattende beskrivelse af, hvorledes reglerne bør udformes, herunder
hvordan de nævnte bestemmelser i direktivet må antages at skulle
fortolkes.
Det foreslås, at overførsel af oplysninger
til tredjelande alene bør kunne finde sted, hvis de almindelige
betingelser for behandling af oplysninger er opfyldt.
Endvidere anbefales det, at der som udgangspunkt kun
må overføres oplysninger til et tredjeland, såfremt dette
land sikrer et tilstrækkeligt beskyttelsesniveau. Vurderingen heraf
skal ske på grundlag af samtlige de forhold, der har indflydelse
på en overførsel, herunder navnlig oplysningernes art,
behandlingens formål og varighed, oprindelseslandet og det endelige
bestemmelsesland, samt de retsregler, regler for god forretningsskik og
sikkerhedsforanstaltninger, som gælder i tredjelandet.
Også i de tilfælde, hvor et tredjeland ikke
kan anses for at sikre et tilstrækkeligt beskyttelsesniveau,
foreslås det, at der i et vist omfang kan ske overførsel af
oplysninger. Således foreslås det, at overførsel kan ske
på betingelse af, at den registrerede har givet samtykke,
at overførsel er nødvendig af hensyn til opfyldelsen af
en aftale mellem den registrerede og den dataansvarlige eller af hensyn til
gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelse af en sådan aftale,
at overførsel er nødvendig af hensyn til
indgåelsen eller udførelsen af en aftale, der i den
registreredes interesse er indgået mellem den dataansvarlige og
tredjemand, at overførsel er nødvendig eller
følger af lov eller bestemmelser fastsat i henhold til lov for at
beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav
kan fastlægges, gøres gældende eller forsvares, at
overførsel er nødvendig for at beskytte den registreredes
vitale interesser, at overførsel finder sted fra et register,
der ifølge lov eller bestemmelser, fastsat i henhold til lov, er
tilgængeligt for offentligheden eller for personer, der kan
godtgøre at have en berettiget interesse heri i det omfang, de i
lovgivningen fastsatte betingelser for offentlig tilgængelighed er
opfyldt i det specifikke tilfælde, at overførsel er
nødvendig af hensyn til forebyggelse, efterforskning og
forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse
af sigtede, vidner eller andre i sager om strafferetlig forfølgning,
eller at overførsel er nødvendig af hensyn til den
offentlige sikkerhed, rigets forsvar eller statens sikkerhed.
Endvidere finder udvalget, at det bør overlades til
tilsynsmyndigheden på området at give tilladelse til, at der
overføres oplysninger til tredjelande, som ikke sikrer et
tilstrækkeligt beskyttelsesniveau. En betingelse herfor må dog
være, at den dataansvarlige yder tilstrækkelige garantier for
beskyttelsen af de registreredes rettigheder. I den forbindelse
foreslås det, at det overlades til tilsynsmyndigheden at
fastsættes nærmere vilkår for overførslen.
Behandling af oplysninger i markedsføringsøjemed
Udvalget foreslår endelig, at det skal være
muligt at behandle oplysninger i markedsføringsøjemed i det
omfang, de almindelige behandlingsregler tillader det.
Om betydningen heraf og om udvalgets nærmere forslag
til beskyttelse af registrerede personer i forbindelse med behandling af
oplysninger om dem i markedsføringsøjemed, henvises til pkt.
4.2.5.2. nedenfor.
4.2.4.3. Justitsministeriets forslag
Almindelige regler om behandling af oplysninger
Justitsministeriet er enig med udvalget i, at der i den
kommende lovgivning bør fastsættes almindelige betingelser for
behandling af oplysninger, og at reglerne herom må udformes på
baggrund af direktivets artikel 6-8. Justitsministeriet er endvidere enig med
udvalget i, at reglernes ordlyd må lægges tæt op ad
direktivteksten for at sikre en korrekt implementering af direktivet.
I direktivet foretages en opdeling af oplysninger i
henholdsvis almindelige oplysninger og særlige kategorier af
oplysninger. Denne opdeling er forskellig fra den opdeling i almindelige
henholdsvis følsomme oplysninger, der følger af den
gældende registerlovgivning. I direktivet fastsættes der
også andre kriterier for, hvornår behandling af oplysninger kan
finde sted end dem, der er fastsat i den gældende
registerlovgivning.
Disse forskelle skal - som også anført i
udvalgets betænkning - ikke overvurderes. Formålet med
lovforslaget er således at sikre, at der også i fremtiden vil
være et højt beskyttelsesniveau med hensyn til
spørgsmålet om, hvorvidt behandling af oplysninger lovligt kan
finde sted.
De almindelige behandlingsregler i lovforslagets §§ 6-7
forudsættes således i videst muligt omfang administreret på
den måde, at der ikke - uden samtykke - registreres og videregives
personoplysninger i videre udstrækning end efter den gældende
registerlovgivning. Det skal i den forbindelse særligt fremhæves,
at det med bestemmelserne i lovforslagets § 8 der er indsat for at fjerne
enhver tvivl udtrykkeligt fastsættes, at forvaltningsmyndigheder og
private virksomheder m.v. ikke uden samtykke må registrere eller
videregive oplysninger om strafbare forhold, væsentlige sociale
problemer og andre rent private forhold end de i § 7 nævnte i videre
udstrækning end efter den gældende registerlovgivning.
For så vidt angår forvaltningsmyndigheder, der
udfører opgaver inden for det sociale område, vil en
gennemførelse af lovforslaget betyde, at adgangen til at videregive
oplysninger om rent private forhold skal afgøres efter kriterier, der
svarer til forvaltningslovens § 28, stk. 2.
Lovforslaget bygger med andre ord bl.a. på den
forudsætning, at den gældende retstilstand om, i hvilke
tilfælde offentlige myndigheder uden samtykke kan videregive
oplysninger til private om enkeltpersoners rent private forhold, bliver
opretholdt, jf. lovforslagets §§ 7-8. Lovforslaget åbner således
f.eks. ikke op for, at private arbejdsgivere kan indhente oplysninger om
jobansøgeres væsentlige sociale problemer, hvis
jobansøgeren ikke har givet samtykke til det.
Det bemærkes i den forbindelse, at vedkommende
tilsynsmyndighed efter lovforslagets anmeldelsesordning forudgående
skal kontrollere, om forvaltningsmyndigheders behandling, herunder
videregivelse til private, af oplysninger om enkeltpersoners rent private
forhold er lovlig, jf. lovforslagets § 45, stk. 1, nr. 1.
Behandling af sådanne oplysninger vil dermed ikke kunne
iværksættes, før Datatilsynet er fremkommet med en
udtalelse om behandlingens lovlighed. Det bemærkes endvidere, at der i
øvrigt ikke efter lovforslaget er pligt for dataansvarlige, herunder
offentlige myndigheder, til at udlevere oplysninger til tredjemænd,
f.eks. private arbejdsgivere m.v.
Det skal endvidere fremhæves, at der med
lovforslaget ikke lægges op til ændringer i den gældende
retstilstand om, i hvilke tilfælde der må foretages
samkøring i den offentlige forvaltning. Der er i øvrigt i
lovforslaget fastsat særlige regler om proceduren for visse former for
samkøring. En forvaltningsmyndighed skal således indhente en
udtalelse fra Datatilsynet, inden samkøring af oplysninger om rent
private forhold eller samkøring i kontroløjemed
iværksættes, jf. lovforslagets § 45, stk. 1, nr. 1 og 5.
Endvidere gælder det generelt, at Datatilsynet i forbindelse med
offentlige myndigheders anmeldelse af behandlinger vil have mulighed for at
vurdere lovligheden af en samkøring, jf. lovforslagets § 43, stk. 2,
nr. 3, hvorefter eventuelle samkøringer skal angives i en
anmeldelse.
Særlige regler om behandling af oplysninger
Justitsministeriet kan også tilslutte sig udvalgets
forslag om, at der indsættes særlige regler om behandling af
oplysninger på nærmere bestemte områder.
I de tilfælde, hvor der i udvalget har været
uenighed om reglerne, kan Justitsministeriet tilslutte sig den opfattelse,
som udvalgets flertal har givet udtryk for. Justitsministeriet finder
således f.eks., at der - ud fra de af flertallet anførte
synspunkter - bør skabes en vis øget adgang for adresserings-
og kuverteringsbureauer til at behandle oplysninger.
Justitsministeriet har i øvrigt følgende
bemærkninger til de konkrete forslag, som udvalget er kommet med:
Behandling af oplysninger om strafbare forhold
Justitsministeriet er enig med udvalget i, at der - i
lyset af direktivets artikel 8, stk. 5 - bør fastsættes
særlige regler om behandling af oplysninger om strafbare forhold.
Justitsministeriet kan endvidere tilslutte sig udvalgets
opfattelse, hvorefter disse regler bør udformes således, at der
gives henholdsvis offentlige myndigheder og private virksomheder m.v. adgang
til at behandle oplysninger om strafbare forhold i samme udstrækning
som i dag. Lovforslagets § 8 bygger på denne forudsætning.
Dog foreslås det, at myndigheder, der udfører opgaver inden for
det sociale område, kun må videregive oplysninger om strafbare
forhold på grundlag af kriterier, der svarer til forvaltningslovens §
28, stk. 2. Om betydningen af lovforslagets § 8 for så vidt angår
de i bestemmelsen nævnte øvrige oplysninger om rent private
forhold henvises i øvrigt til det ovenfor anførte.
Behandling af oplysninger om personnumre
Efter Justitsministeriets opfattelse er det et ganske
vanskeligt spørgsmål at tage stilling til, hvorvidt personnumre
i videre udstrækning end i dag bør kunne gøres til
genstand for behandling hos private dataansvarlige.
Justitsministeriet finder dog - som flertallet i udvalget
- at ingen væsentlige databeskyttelsesretlige hensyn taler
afgørende imod, at der fastsættes mindre restriktive regler for
private virksomheders behandling af oplysninger om personnumre. Efter
Justitsministeriets opfattelse er det således f.eks. ikke en
afgørende indvending mod en (udvidet) anvendelse af personnumre i den
private sektor, at der har været eksempler på, at offentlige
myndigheder - i strid med reglerne - telefonisk har udleveret oplysninger af
følsom karakter, blot fordi der i forbindelse med en henvendelse
eksempelvis fra en journalist angives et personnummer over for myndigheden.
Efter lov om private registre er samtykke ikke i sig selv
tilstrækkeligt til at registrere eller videregive oplysninger om
personnummer. Justitsministeriet finder, at der bør være en
adgang for registrerede personer til at meddele samtykke hertil.
Efter Justitsministeriets opfattelse taler mest for, at
det også som i dag bør være muligt at behandle
oplysninger om personnummer uden samtykke, hvis behandlingen alene finder
sted til videnskabelige eller statistiske formål. Som eksempel på
et sådant behov kan nævnes den situation, hvor en privat forsker
indhenter oplysninger til brug for et forskningsprojekt fra en offentlig
myndighed om flere tusinde personer, og hvor den pågældende
forsker har brug for personnumrene for at kunne identificere de personer, som
forskningsprojektet drejer sig om. I et sådant tilfælde ville det
være uoverkommeligt for forskeren at skulle indhente samtykke til
behandlingen af personnumrene.
Herudover finder Justitsministeriet, at videregivelse af
personnummer ligesom efter den gældende lov om private registre
(lovens § 4 a, stk. 2) bør kunne finde sted uden samtykke, når
videregivelsen er et naturligt led i den normale drift af virksomheder m.v.
af den pågældende art, og når videregivelsen er af
afgørende betydning for at sikre en entydig identifikation af den
registrerede eller videregivelsen kræves af en offentlig myndighed.
Dette vil navnlig give mulighed for at opretholde den nuværende adgang
til på grundlag af kundernes personnumre at foretage
samkøring i den finansielle sektor.
Registrering af oplysninger om telefonnumre
Justitsministeriet kan ligeledes tiltræde
flertallets forslag om, at den nuværende regel i lov om private
registre § 7 f om forbud mod at foretage automatisk registrering af
oplysninger om udgående telefonopkald opretholdes og udvides til
også at angå offentlige myndigheder.
Der er tradition i Danmark for, at ansatte i et vist
omfang kan benytte telefoner på arbejdspladsen til private
formål. De ansatte bør derfor efter Justitsministeriets
opfattelse beskyttes mod, at arbejdsgiverne får adgang til oplysninger
om, hvem de ansatte har ringet til. Dette gælder i relation til
såvel private virksomheder m.v. som offentlige myndigheder.
Kreditoplysningsbureauer
Justitsministeriet er enig med udvalget i, at en egentlig
revision af reglerne om kreditoplysningsbureauer ikke bør
iværksættes på nuværende tidspunkt.
Justitsministeriet kan derimod tiltræde de forslag
til - mindre - ændringer i de gældende regler om
kreditoplysningsbureauer, som udvalget er fremkommet med.
Justitsministeriet finder dog - i lyset af direktivets
artikel 10 og 11 - at der må foretages en enkelt (mindre) ændring
i udvalgets forslag til særregulering af kreditoplysningsbureauers
oplysningspligt over for de registrerede. I stedet for den 4 ugers frist for
meddelelse om indsamling af oplysninger, som udvalget har foreslået,
må tidspunktet for underretningspligtens indtræden efter
Justitsministeriets opfattelse fastlægges således, at der ved
indsamling af oplysninger hos tredjemand skal gives underretning ved
registreringen eller, hvis oplysningerne er bestemt til videregivelse, senest
når videregivelse finder sted. I de tilfælde, hvor indsamling af
oplysninger sker hos den registrerede, skal meddelelse gives den
pågældende i forbindelse hermed.
Registertilsynet anfører i sit høringssvar
over betænkningen, at der i praksis er opstået tvivl om,
hvorvidt betingelserne i lov om private registre § 12, stk. 3, om
videregivelse af summariske kreditoplysninger også skal være
opfyldt i forbindelse med, at summariske oplysninger videregives som led i en
bredere kreditvurdering. Ud fra retssikkerhedsmæssige hensyn finder
Registertilsynet, at dette bør være tilfældet. Tilsynet
foreslår derfor, at dette præciseres i lovgivningen.
Justitsministeriet kan tiltræde Registertilsynets forslag, jf.
lovforslagets § 23, stk. 3, 3. pkt.
Endelig finder Justitsministeriet, at det bør
præciseres i lovforslaget, at den registreredes adgang til at forlange
skriftlig meddelelse fra kreditoplysningsbureauet ikke alene gælder de
oplysninger, der er nævnt i § 22, stk. 1, men også den
meddelelse, der skal gives efter § 22, stk. 2, og de oplysninger, der skal
gives efter § 22, stk. 3. Der henvises til lovforslagets § 22, stk. 4, og
bemærkningerne til bestemmelsen.
Særligt om behandling af oplysninger på Internettet
Med hensyn til brugen af Internettet skal
behandlingsreglerne i lovforslaget fortolkes på den måde, at
offentlige myndigheders og private virksomheders offentliggørelse af
personoplysninger, der uden samtykke kan foretages efter den
gældende registerlovgivning, også kan finde sted uden samtykke
efter lovens ikrafttræden. Det gælder, selv om en sådan
offentliggørelse indebærer, at personoplysninger også
bliver offentligt tilgængelige i lande uden for EU.
4.2.5 Registreredes rettigheder
4.2.5.1. Gældende ret
A. Lov om offentlige myndigheders registre
I lov om offentlige myndigheders registre er fastsat
regler om registerindsigt samt regler om, at der i et vist omfang skal gives
registrerede personer meddelelse om, at de optages i et edb-register.
Registerindsigt
Lovens bestemmelser om registrerede personers adgang til
oplysninger om sig selv (registerindsigt) fremgår af kapitel 4,
§§ 13-15.
Af lovens § 13, stk. 1, fremgår, at en
registeransvarlig myndighed snarest muligt skal give en registreret
meddelelse om de oplysninger, der er registreret om vedkommende,
såfremt denne fremsætter begæring herom.
Der er ingen formkrav til en begæring om
registerindsigt. Der er heller ikke noget krav om, at den registrerede skal
kunne angive, hvilke registre der ønskes indsigt i. Det antages
således, at det almindelige princip i forvaltningsretten om
vejledningspligt over for borgerne fører til, at de registeransvarlige
myndigheder skal oplyse den registrerede om, hvilke registre vedkommende
myndighed fører, og herunder også vejlede den registrerede om, i
hvilke registre vedkommende kan være optaget.
Hvis en person anmoder om at blive gjort bekendt med alle
oplysninger, som er registreret om vedkommende, skal myndigheden efterkomme
anmodningen, medmindre oplysningerne kan undtages fra registerindsigt.
Det er muligt at undlade at give registerindsigt, hvis den
registreredes interesse i at få kendskab til oplysningerne findes at
burde vige for afgørende hensyn til offentlige eller private
interesser, herunder hensynet til den pågældende selv, jf.
§ 13, stk. 4. Gør sådanne hensyn sig kun
gældende for en del af oplysningerne, skal den registrerede
gøres bekendt med de øvrige oplysninger, jf. stk. 4, 2.
pkt.
Generelt er registre, der udelukkende er oparbejdet med
henblik på at foretage statistiske uddrag, undtaget fra reglerne om
registerindsigt, jf. § 13, stk. 5, 1. pkt.
Endvidere kan der i henhold til stk. 5, 2. pkt.,
fastsættes undtagelser fra retten til at få oplysninger, for
så vidt bestemmelserne i stk. 4 må antages at
medføre, at sådanne begæringer i almindelighed må
afslås. På baggrund af denne regel er der indsat bestemmelser i
forskrifterne for Det Centrale Kriminalregister, som begrænser adgangen
til registerindsigt. Hvis § 13, stk. 5, 2. pkt., ikke finder
anvendelse, skal der i hvert tilfælde foretages en konkret vurdering
af, hvorvidt der kan undtages fra registerindsigt.
Der er endvidere mulighed for at undlade at give
registerindsigt i et register, hvis den registrerede har fået meddelt
registerindsigt i det pågældende register inden for de sidste 6
måneder, medmindre vedkommende kan godtgøre en særlig
interesse heri, jf. § 13, stk. 6.
Selve meddelelsen af registerindsigt kan som udgangspunkt
gives i såvel mundtlig som skriftlig form. Blot skal myndigheden sikre
sig, at modtageren af oplysningerne er den rette person. I Registertilsynets
standardforskrifter er der indsat en bestemmelse om, at udlevering af
oplysninger kun må finde sted, når vedkommende har legitimeret
sig behørigt, eller når der på anden måde er skabt
sikkerhed for, at den, der fremsætter begæringen, er identisk med
den person, som oplysningerne vedrører. Fremsættes
begæringen af en anden end den registrerede, skal myndigheden sikre
sig, at den pågældende er berettiget til at handle på den
registreredes vegne.
Hvis den registrerede stiller krav om at modtage
oplysningerne skriftligt, er myndigheden forpligtet til at give en skriftlig
meddelelse, jf. § 14. I tilfælde hvor hensynet til den
registrerede taler derfor, kan registerindsigten dog gives i form af en
mundtlig underretning om indholdet af oplysningerne.
Lovens kapitel 4 indeholder desuden særlige regler
om automatisk registerindsigt i registre, som indeholder oplysninger som
nævnt i lovens § 9, stk. 2 (følsomme oplysninger). Det
følger således af § 13, stk. 2, at hvis en person
fremsætter begæring herom, skal den pågældende med
mellemrum, der fastsættes i forskrifterne, have udskrift af de
oplysninger, der er registreret om ham. Dette gælder dog kun, hvis den
registrerede ikke på anden måde gøres bekendt med de
registrerede oplysninger. Der kan fastsættes regler om betaling for
meddelelser som nævnt i 1. pkt. Reglerne i § 13, stk. 2, om
automatisk registerindsigt, der først træder i kraft efter
justitsministerens nærmere bestemmelse, er imidlertid ikke sat i
kraft.
Desuden fremgår det af § 13, stk. 3, at
det i forskrifterne for et register kan fastsættes, at den registrerede
med nærmere fastsatte mellemrum skal have udskrift af de oplysninger,
der er registreret om ham, eller at den registrerede skal kunne
fremsætte begæring herom. Også efter denne bestemmelse vil
der kunne fastsættes regler om betaling.
Til uddybning af de ovennævnte bestemmelser har
Registertilsynet i 1980 udsendt en vejledning om registerindsigt (egen-acces)
i henhold til kapitel 4 i lov om offentlige myndigheders registre. I
betænkningen, side 72-74, er i et vist omfang redegjort for
vejledningens retningslinier, der i det store hele fortsat er
gældende.
Oplysningspligt
Reglerne om registeransvarliges pligt til at give
registrerede personer meddelelse om optagelse i et register er indeholdt i
lovens § 10.
Efter bestemmelsen i stk. 1, kan det i forskrifterne
for et register fastsættes, at der skal gives en registreret meddelelse
om optagelse i registeret.
Endvidere kan justitsministeren med hensyn til registre,
som indeholder oplysninger som nævnt i § 9, stk. 2
(følsomme oplysninger), efter indhentet udtalelse fra Registertilsynet
fastsætte regler om, at den registeransvarlige myndighed inden 4 uger
efter registreringen skal give meddelelse til den, der første gang
optages i registeret, jf. § 10, stk. 2.
Endelig fremgår det af § 10, stk. 3, at
meddelelser efter stk. 1 og 2 skal indeholde oplysning om den
registreredes adgang til at få oplysninger fra registeret efter
bestemmelserne i §§ 13-15.
Bestemmelserne i § 10, stk. 1-3, har aldrig
været anvendt.
B. Lov om private registre
Lov om private registre indeholder i kapitel 2 a, § 7
a-e, regler om registrerede personers adgang til oplysninger om sig selv.
Reglerne blev indsat ved lovrevisionen i 1987 og var en forudsætning
for, at Danmark kunne ratificere Europarådets konvention nr. 108 af 28.
januar 1981 om beskyttelse af det enkelte menneske i forbindelse med
elektronisk databehandling af personoplysninger.
Hvor der ved registerets førelse gøres brug
af elektronisk databehandling, skal virksomheden m.v. på begæring
fra en person give denne meddelelse om, hvad der er registreret om den
pågældende, jf. § 7 a, stk. 1. Retten til
registerindsigt gælder kun i forbindelse med edb-registre.
Forpligtelsen til at meddele personer registerindsigt
indebærer også, at virksomheden i givet fald skal meddele, at de
pågældende personer ikke er registreret, eller at virksomheden
ikke fører edb- registre. Adgangen til registerindsigt gælder
kun for registrerede personer og ikke for virksomheder m.v., hvilket
er begrundet i konkurrencemæssige forhold.
Der kan ikke stilles formkrav til begæringen. En
mundtlig henvendelse er som udgangspunkt tilstrækkelig. Virksomheden
m.v. kan dog stille krav om, at den pågældende skal identificere
sig, idet registerindsigten kun omfatter oplysninger om én selv. En
person, der er berettiget til at handle på den registreredes vegne, kan
imidlertid fremsætte begæringen på dennes vegne.
Ifølge § 7 a, stk. 2, gælder
bestemmelsen i stk. 1 ikke, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for afgørende
hensyn til offentlige eller private interesser, herunder hensynet til den
pågældende selv. Gør sådanne hensyn sig kun
gældende for en del af oplysningerne, skal den registrerede
gøres bekendt med de øvrige oplysninger. En konkret afvejning
af de nævnte hensyn over for den registreredes interesse i at få
meddelt registerindsigt må foretages oplysning for oplysning. I praksis
er det bl.a. antaget, at den omstændighed, at en oplysning alene
registreres til internt brug, ikke i sig selv er tilstrækkelig til, at
der kan ske undtagelse fra registerindsigt. Kun hvis der er et
afgørende hensyn at tage til netop det interne forhold, som
måtte fremgå af oplysningerne, kan undtagelsesreglen anvendes. Se
herved betænkningen, side 124.
Efter § 7 a, stk. 3, har en person, der har
fået meddelelse efter stk. 1, ikke krav på ny meddelelse
før 12 måneder efter sidste meddelelse, medmindre den
pågældende kan godtgøre en særlig interesse heri.
Behandlinger af begæringer om registerindsigt kan udgøre en
ressourcemæssig belastning for virksomheden, og med henblik på at
sikre, at retten til registerindsigt ikke benyttes i chikanøst
øjemed, er der indsat en tidsgrænse for, hvor ofte den
registrerede kan få registerindsigt. Under særlige
omstændigheder kan tidsfristen fraviges.
Der er fastsat regler om virksomhedernes m.v. besvarelse
af begæringer om registerindsigt. Det følger således af
§ 7 b, stk. 1, at virksomheder m.v. på begæring skal
give meddelelse som nævnt i § 7 a, stk. 1, skriftligt. Efter
bestemmelsen skal virksomheden m.v. kun meddele registerindsigten skriftligt,
hvis den registrerede har begæret dette. Ofte vil det dog være
hensigtsmæssigt under alle omstændigheder at meddele
registerindsigt skriftligt.
Ved registre, der indeholder oplysninger om
helbredsforhold, kan meddelelse gives i form af en mundtlig underretning,
når væsentlige hensyn til den registrerede taler herfor, jf.
§ 7 b, stk. 2. Bestemmelsen er som udgangspunkt tænkt anvendt
i forbindelse med begæring om registerindsigt i en læges
elektroniske journal. Imidlertid er der i lov nr. 504 af 30. juni 1993 om
aktindsigt i helbredsoplysninger fastsat særlige regler om indsigt i
patientregistre, som føres af autoriserede sundhedspersoner eller af
andre på disses vegne. Efter gennemførelse af denne lovgivning
gælder bestemmelserne i kapitel 2 a kun for helbredsoplysninger, der i
medfør af § 3, stk. 2 (om følsomme oplysninger), er
medtaget i registre, der ikke føres af autoriserede sundhedspersoner.
Reglerne om aktindsigt i patientjournaler m.v., der udarbejdes af
sundhedspersoner, er nu fastsat i kapitel 4 i lov om patienters retsstilling,
der trådte i kraft den 1. oktober 1998.
Ifølge § 7 b, stk. 3, fastsætter
justitsministeren regler om betaling for skriftlige meddelelser. Ved
bekendtgørelse nr. 123 af 11. marts 1988 er der fastsat regler om
betaling for skriftlige meddelelser om indholdet af private edb-registre. Det
fremgår af bekendtgørelsen, at virksomheden kan kræve 10
kr. for hver påbegyndt side, dog således at betalingen ikke kan
overstige 200 kr. Betaling kan kun opkræves, såfremt den
registrerede har fremsat begæring om, at registerindsigten gives
skriftligt.
For så vidt angår virksomhedens frist for
besvarelse af begæringen, fremgår det af § 7 c, stk. 1,
at virksomheder m.v. snarest skal besvare begæringer som nævnt i
§ 7 a, stk. 1. Er begæringen ikke besvaret inden 4 uger efter
modtagelsen, skal virksomheden skriftligt underrette den
pågældende om grunden hertil. De oplysninger, der skal udleveres,
er dem, der befandt sig i registeret på tidspunktet for
anmodningen.
Virksomheden m.v. er i forbindelse med retten til
registerindsigt blevet pålagt en vejledningspligt. Såfremt
virksomheden m.v. afslår den registreredes begæring efter
§ 7 a, stk. 1, jf. stk. 2, skal virksomheden samtidig oplyse
den registrerede om adgangen til at indbringe spørgsmålet for
Registertilsynet, jf. § 7 c, stk. 2.
Ifølge § 7 d kan afgørelser om retten
til at få meddelt oplysninger efter bestemmelserne i §§ 7 a - 7 c
indbringes for Registertilsynet. Bestemmelsen fastslår, at den
registrerede kan klage til Registertilsynet over afgørelser, der
går den pågældende imod.
Endelig fremgår det af § 7 e, at bestemmelserne
i §§ 7 a-d gælder, uanset om registeret underkastes elektronisk
databehandling i udlandet. Bestemmelsen fastslår, at de centrale
bestemmelser om retten til registerindsigt ikke kan gøres illusoriske
ved at overføre databehandlingen til udlandet.
Der er ikke i loven en forpligtelse for virksomheder m.v.
til at indrømme en registreret indsigt i manuelle registre i
det omfang, sådanne registre falder ind under lovens område.
Dette er dog ikke til hinder for, at en virksomhed kan beslutte frivilligt at
give en registreret indsigt i manuelle registre.
4.2.5.2. Udvalgets overvejelser
Indledende bemærkninger om den registreredes rettigheder
I betænkningen, side 291-323, er redegjort
for, hvilke forpligtelser der efter direktivet påhviler Danmark med
hensyn til at tillægge registrerede personer rettigheder i forbindelse
med, at oplysninger om dem gøres til genstand for behandling. I den
forbindelse er det også beskrevet, hvilke muligheder der efter
direktivet er for at gøre undtagelse fra de forskellige rettigheder,
samt i hvilket omfang disse muligheder bør udnyttes.
Udvalget anbefaler, at fastlæggelsen af registrerede
personers rettigheder sker ud fra reglerne i direktivets artikel 10-15. I
lyset heraf foreslås det, at der tillægges registrerede personer
følgende rettigheder:
Ret til under nærmere angivne betingelser at modtage
underretning fra den dataansvarlige om, at der indsamles oplysninger om
vedkommende.
Ret til indsigt i en række forhold i forbindelse med, at der
behandles oplysninger om vedkommende.
Ret til på nærmere angivne områder at gøre
indsigelse mod, at behandling af oplysninger finder sted.
Ret til at få oplysninger, der er urigtige eller vildledende,
berigtiget, slettet eller blokeret, samt i den forbindelse under
nærmere angivne betingelser at få udvirket, at en tredjemand,
hvortil oplysningerne om vedkommende er videregivet, underrettes
herom.
Om de foreslåede rettigheder anfører
udvalget, at der - i forhold til den gældende registerlovgivning - sker
en styrkelse af den registreredes retsstilling. Med reglerne skabes der
således større åbenhed omkring behandlingen af
oplysninger, samtidig med at der tillægges registrerede personer en
indsigelsesret over for nærmere bestemte former for behandlinger.
Hvad mere specifikt angår udformningen af de enkelte
rettigheder, som bør tillægges registrerede personer,
anfører udvalget, at bestemmelserne i direktivets artikel 10-15
fællesskabsretligt må kvalificeres således, at de i vid
udstrækning tillægger registrerede personer rettigheder, der vil
kunne gøres gældende ved bl.a. de danske domstole efter
implementeringsfristens udløb. Dette fører efter udvalgets
opfattelse til, at ordlyden af de bestemmelser, som skal indsættes i
gennemførelseslovgivningen, bør lægges tæt op ad
direktivteksten.
Indholdet af de af udvalget foreslåede regler om den
registreredes rettigheder skal ses på denne baggrund.
Den dataansvarliges oplysningspligt over for den registrerede
Med hensyn til den dataansvarliges oplysningspligt over
for den registrerede, foreslås det, at der skal gælde forskellige
regler afhængigt af, om oplysninger om den registrerede indsamles hos
den pågældende selv eller hos tredjemand.
Ved indsamling af oplysninger hos den registrerede
foreslås det, at den dataansvarlige eller dennes repræsentant
skal give den registrerede meddelelse om den dataansvarliges og dennes
repræsentants identitet, om formålene med den behandling, hvortil
oplysningerne er bestemt, samt al yderligere information, der under hensyn
til de særlige omstændigheder, hvorunder oplysninger indsamles,
er nødvendig for, at den registrerede kan varetage sine interesser.
Der vil f.eks. kunne være tale om oplysninger om kategorierne af
modtagere, om det er obligatorisk eller frivilligt at besvare stillede
spørgsmål samt mulige følger af ikke at svare, eller om,
hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af
de oplysninger, der vedrører den registrerede.
Også i de tilfælde, hvor oplysninger ikke
indsamles hos den registrerede, foreslås det, at der skal påhvile
den dataansvarlige eller dennes repræsentant en oplysningspligt.
Rækkevidden af oplysningspligten foreslås i det væsentlige
fastlagt på samme måde som i relation til indsamling af
oplysninger hos den registrerede. Det foreslås således, at der
efter omstændighederne skal gives den registrerede information om,
hvilken type oplysninger det drejer sig om, om kategorierne af modtagere,
eller om, hvorvidt der gives ret til at få indsigt i og foretage
berigtigelse af de oplysninger, der vedrører den registrerede.
Udvalget finder ikke, at der bør påhvile
dataansvarlige en ubetinget oplysningspligt over for registrerede personer,
da en sådan pligt i visse situationer synes for vidtgående. En
ubetinget oplysningspligt vil efter udvalgets opfattelse påføre
de dataansvarlige betydelige omkostninger, som ikke i alle tilfælde vil
stå mål med det udbytte, som registrerede personer vil have af at
modtage underretning om, at der indsamles oplysninger om dem.
Det foreslås derfor, at der ikke skal påhvile
dataansvarlige en oplysningspligt i de situationer, hvor den registrerede
allerede er bekendt med de oplysninger, som ellers ville skulle gives den
pågældende.
Endvidere anbefales det, at der ikke skal påhvile
datansvarlige en oplysningspligt, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for afgørende
hensyn til offentlige eller private interesser, herunder hensynet til den
pågældende selv.
Herudover foreslås det, at der gøres
undtagelse fra oplysningspligten med hensyn til domstolenes behandling af
oplysninger inden for det strafferetlige område.
Endelig anbefales det med hensyn til de tilfælde,
hvor oplysninger indsamles hos en tredjemand, at der ikke skal påhvile
dataansvarlige en oplysningspligt, hvis registreringen eller videregivelsen
af oplysningerne udtrykkeligt er fastsat i lovgivningen. Tilsvarende
gør sig gældende med hensyn til de tilfælde, hvor
underretning af den registrerede viser sig umulig eller er
uforholdsmæssig vanskelig.
For så vidt angår det nærmere indhold af
den dataansvarliges oplysningspligt over for den registrerede, herunder de
foreslåede undtagelser hertil, henvises til betænkningen,
side 293-304.
Den registreredes indsigtsret
Udvalget foreslår, at en person, der
fremsætter begæring herom, skal gives meddelelse om, hvorvidt der
behandles oplysninger om den pågældende, og i givet fald på
en let forståelig måde om, hvilke oplysninger der behandles.
Herudover foreslås det - som noget nyt - at der skal gives den
registrerede meddelelse om behandlingens formål, om kategorierne af
modtagere af oplysningerne og tilgængelig information om, hvorfra disse
oplysninger stammer. Herved styrkes den registreredes indsigtsret i forhold
til den gældende retstilstand.
Endvidere foreslås det, at en dataansvarlig snarest
og inden 4 uger efter modtagelsen af en begæring om indsigt skal
besvare denne.
Indsigtsretten bør efter udvalgets opfattelse ikke
gælde ubetinget. Således foreslås det, at der - i lighed
med den gældende retstilstand - ikke skal være ret til indsigt,
hvis den registreredes interesse i at få kendskab til oplysningerne
findes at burde vige for afgørende hensyn til offentlige eller private
interesser, herunder hensynet til den pågældende selv.
For at skabe sammenhæng mellem de foreslåede
regler om indsigt og de gældende bestemmelser i offentlighedsloven om
egenacces, jf. lovens § 4, stk. 2, anbefales det endvidere, at
forvaltningsmyndigheder i samme udstrækning som efter den nævnte
bestemmelse i offentlighedsloven skal kunne gøre undtagelse fra retten
til indsigt. Herved sikres det, at det forhold, at oplysninger undergives
elektronisk behandling i et tekstbehandlingssystem med henblik på
udarbejdelse af f.eks. et internt notat m.v., ikke fører til, at
registrerede personer kan opnå indsigt heri i videre udstrækning
end, hvad der følger af offentlighedslovens regler om egenacces.
Hvad særligt angår domstolene anbefales det,
at de foreslåede regler vedrørende indsigtsretten ikke skal
gælde for domstolenes behandling af oplysninger inden for det
strafferetlige område. Udvalgets forslag skal på dette punkt ses
på baggrund af, at der allerede i retsplejeloven (bl.a. i § 41) er
fastsat regler herom.
Til sikring af domstolenes interne beslutningsproces
på andre områder end det strafferetlige, foreslås det
endvidere, at der ikke skal være ret til indsigt i oplysninger i tekst,
der ikke foreligger i endelig form. Hvis oplysningerne er videregivet til en
tredjemand, finder udvalget dog, at den registrerede skal have ret til
indsigt i oplysningerne.
En særlig undtagelsesregel foreslås desuden
med hensyn til oplysninger, som udelukkende behandles i videnskabeligt
øjemed, ligesom det heller ikke anbefales, at der gives registrerede
personer indsigtsret i oplysninger, som kun opbevares i form af
personoplysninger i det tidsrum, som kræves for at udarbejde
statistikker.
Videre foreslås det, at justitsministeren med hensyn
til behandling af oplysninger på det strafferetlige område, der
foretages for offentlige myndigheder, ligesom i dag generelt skal kunne
fastsætte undtagelser fra indsigtsretten, hvis det må antages, at
begæringer om ret til indsigt i almindelighed må
afslås.
Endelig foreslås det, at en registreret person, der
har fået indsigt i oplysninger om sig selv, ikke skal have krav
på ny meddelelse før 6 måneder efter sidste meddelelse,
medmindre der godtgøres en særlig interesse heri. Herved
fastsættes samme frist for adgangen til fornyet indsigt i behandlinger
af oplysninger, der foretages for henholdsvis private og offentlige
dataansvarlige.
Meddelelse af indsigt til en registreret person skal efter
udvalgets opfattelse på forlangende gives skriftligt. I tilfælde,
hvor hensynet til den registrerede taler derfor, bør meddelelse dog
kunne gives i form af en mundtlig underretning om indholdet af
oplysningerne.
Hvad endelig angår spørgsmålet om,
hvorvidt der bør kunne kræves betaling i forbindelse med
meddelelse af indsigt, er der ikke enighed i udvalget.
Et flertal (16 medlemmer) finder, at der i
lovgivningen bør indsættes en bestemmelse, der giver mulighed
for administrativt at fastsætte bestemmelser om betaling i forbindelse
med meddelelse af indsigt.
Et mindretal (2 medlemmer) finder, at registrerede
personers indsigtsret bør være omkostningsfri.
For så vidt angår det nærmere indhold af
den registreredes indsigtsret, herunder de foreslåede undtagelser
hertil, henvises til betænkningen, side 304-317.
Den registreredes øvrige rettigheder
Til styrkelse af registrerede personers retsstilling
foreslår udvalget endelig, at der udformes regler om indsigelsesret og
ret til berigtigelse, sletning eller blokering m.v.
Indsigelsesret
Det foreslås, at en registreret person i et vist
omfang skal have ret til at gøre indsigelse mod en i øvrigt
lovlig behandling af oplysninger om vedkommende.
Adgangen hertil bør dog efter udvalgets opfattelse
ikke udstrækkes til de tilfælde, hvor adgangen til at behandle
oplysninger er foreskrevet i lovgivningen, eller hvor behandlingen sker i
statistisk eller videnskabeligt øjemed.
Rækkevidden af den foreslåede betingede
indsigelsesret er nærmere beskrevet i betænkningen, side
318 f.
Udvalget foreslår endvidere, at der tillægges
en registreret person ret til at gøre indsigelse mod, at oplysninger
om vedkommende gøres til genstand for behandling i
markedsføringsøjemed.
Til sikring af, at forbrugere kan udnytte
indsigelsesretten, foreslås der tillige regler om, at den
dataansvarlige - inden oplysninger om den registrerede første gang
videregives til tredjemænd med henblik på markedsføring,
eller inden oplysningerne første gang anvendes på vegne af
tredjemænd i dette øjemed - skal underrette den
pågældende herom.
Det anbefales i den forbindelse også, at det skal
påhvile en dataansvarlig, som udsender materiale med henblik på
markedsføring eller giver underretning til en forbruger, udtrykkeligt
at oplyse om retten til at gøre indsigelse mod behandlingen i
markedsføringsøjemed.
Rækkevidden af de rettigheder, som foreslås
tillagt den registrerede i relation til behandling af oplysninger om den
pågældende i markedsføringsøjemed, er beskrevet i
betænkningen , side 271-274.
Endvidere foreslår udvalget, at en dataansvarlig
ikke skal kunne foranstalte, at den registrerede undergives
afgørelser, der har retsvirkninger for eller i øvrigt
berører den pågældende i væsentlig grad, og som
alene er truffet på grundlag af elektronisk databehandling af
oplysninger, der er bestemt til at vurdere bestemte personlige forhold, hvis
den registrerede fremsætter indsigelse herimod.
Udvalget foreslår enkelte undtagelser hertil.
Samtidig foreslås det dog, at den registrerede skal have ret til hos
den dataansvarlige snarest muligt og uden ugrundet ophold at få at
vide, hvilke beslutningsregler der ligger bag en edb-baseret
afgørelse, som den pågældende efter udvalgets forslag kan
gøre indsigelse imod.
Om rækkevidden af den registreredes rettigheder i
relation til edb-behandlede individuelle afgørelser henvises til
betænkningen, side 319 f.
Berigtigelse, sletning og blokering
Udvalget foreslår endelig, at det skal påhvile
den dataansvarlige at berigtige, slette eller blokere oplysninger, der viser
sig urigtige eller vildledende eller på lignende måde er
behandlet i strid med lov eller bestemmelser udstedt i medfør af lov,
hvis en registreret person fremsætter anmodning herom.
Samtidig foreslås det, at den dataansvarlige i givet
fald skal underrette den tredjemand, hvortil oplysningerne er videregivet,
om, at de videregivne oplysninger er berigtiget, slettet eller blokeret, hvis
en registreret person fremsætter anmodning herom. Dette skal dog efter
udvalgets opfattelse ikke gælde, hvis underretningen viser sig umulig
eller er uforholdsmæssig vanskelig.
Der henvises nærmere til betænkningen,
side 320- 323, hvor rækkevidden af disse rettigheder er beskrevet.
4.2.5.3. Justitsministeriets forslag
Generelt om udvalgets forslag
Justitsministeriet kan generelt tilslutte sig udvalgets
anbefalinger med hensyn til, hvilke rettigheder der - på baggrund af
direktivets artikel 10-15 - skal tillægges registrerede personer.
Udvalgets forslag indebærer, at der sker en
styrkelse af den registreredes retsstilling. Således skaber forslaget
om den udvidede indsigtsret og de foreslåede regler om den
dataansvarliges oplysningspligt større åbenhed omkring
behandlingen af oplysninger og er dermed medvirkende til at sikre et
højt beskyttelsesniveau. Hertil kommer, at der - som noget nyt - gives
registrerede personer adgang til at gøre indsigelse over for
behandling af oplysninger.
Ud fra de hensyn, som udvalget har anført, finder
Justitsministeriet ikke, at de rettigheder, som tillægges registrerede
personer, bør gøres ubetingede. De undtagelser, som udvalget
foreslår, skaber efter Justitsministeriets opfattelse en rimelig
balance mellem på den ene side hensynet til den registrerede og
på den anden side hensynet til andre beskyttelsesværdige
interesser, herunder bl.a. til, at der ikke pålægges de
dataansvarlige for vidtgående byrder i forbindelse med behandlingen af
oplysninger.
Justitsministeriet kan derfor med visse ændringer
tiltræde de af udvalget foreslåede undtagelsesregler.
I det følgende behandles nogle særlige
spørgsmål, der vedrører de registreredes rettigheder.
Politiets og anklagemyndighedens behandling af oplysninger inden for
det strafferetlige område
I sit høringssvar over betænkningen
foreslår Rigsadvokaten, at undtagelsesreglen i udvalgets lovudkasts
§ 2, stk. 2, hvorefter reglerne om den registreredes rettigheder
ikke finder anvendelse på domstolenes behandling af oplysninger inden
for det strafferetlige område, også bør gælde for
politiet og anklagemyndigheden.
Rigsadvokaten anfører, at politiets og
anklagemyndighedens behandling af personoplysninger inden for det
strafferetlige område - ligesom det er tilfældet med hensyn til
domstolenes virksomhed - er reguleret i retsplejeloven. Rigsadvokaten
bemærker i den forbindelse, at den sigtedes adgang til aktindsigt i en
verserende straffesag reguleres af retsplejelovens § 745, stk. 1.
Herefter har den sigtede adgang til - gennem sin forsvarer - at gøre
sig bekendt med oplysningerne i straffesagen, medmindre forsvareren af hensyn
til efterforskningen undtagelsesvis af politiet er pålagt ikke at
videregive de oplysninger, som vedkommende har modtaget fra politiet, jf.
§ 745, stk. 4.
Endvidere anfører Rigsadvokaten, at bestemmelserne
i udvalgets lovudkasts §§ 28 og 29 om den dataansvarliges
oplysningspligt over for den registrerede er udtryk for en meget
vidtgående udvidelse af gældende ret, der ikke direkte
følger af direktivet. Rigsadvokaten finder, at undtagelsesbestemmelsen
i lovudkastets § 30, stk. 2 - henset til oplysningernes karakter -
i almindelighed må forventes at skulle bringes i anvendelse, og under
alle omstændigheder på det indledende stadium af en
efterforskning. Da bestemmelsen indebærer, at der skal foretages en
konkret vurdering i hvert enkelt tilfælde, må bestemmelsen efter
Rigsadvokatens opfattelse forventes at medføre en unødvendig og
betydelig administrativ belastning af politiet og anklagemyndigheden.
Rigsadvokaten finder derfor, at det bør overvejes i stedet at
gøre en generel undtagelse med hensyn til oplysningspligten for
så vidt angår politiets og anklagemyndighedens aktiviteter
på det strafferetlige område, i hvert fald for så vidt
angår de indledende stadier af en efterforskning.
Endelig anfører Rigsadvokaten, at den af udvalget
foreslåede regel om den registreredes ret til, hvor vægtige
grunde, der vedrører den pågældendes særlige
situation, taler derfor, at gøre indsigelse mod visse former for
lovlig behandling af oplysninger, også er en meget vidtgående
udvidelse af gældende ret. I den forbindelse bemærker
Rigsadvokaten, at heller ikke denne regel er en direkte følge af
direktivet. Rigsadvokaten finder, at det - henset til oplysningernes karakter
- i almindelighed ikke kan forventes, at der vil kunne gøres
indsigelse mod politiets eller anklagemyndighedens behandling af oplysninger
i forbindelse med behandlingen af en straffesag.
På baggrund af det, som Rigsadvokaten
anfører, finder Justitsministeriet, at politiets og
anklagemyndighedens virksomhed på det strafferetlige område
bør undtages fra reglerne i lovforslagets kapitel 8 og §§ 35-37 og §
39 om henholdsvis den dataansvarliges oplysningspligt over for den
registrerede og om den registreredes øvrige rettigheder.
Justitsministeriet finder derimod ikke, at der generelt
bør gøres undtagelse med hensyn til den registreredes
indsigtsret i behandlinger, der foretages for politiet og anklagemyndigheden
inden for det strafferetlige område. Der bør i fremtiden - som
efter den gældende registerlovgivning - i et vist omfang være
adgang til indsigt i politiets og anklagemyndighedens edb-registre, herunder
navnlig Det Centrale Kriminalregister.
Det bemærkes i den forbindelse, at de af udvalget
foreslåede undtagelsesregler til indsigtsretten sikrer, at der ikke
skal gives registerindsigt i tilfælde, hvor det f.eks. kan skade
efterforskningen.
Betaling for registerindsigt
Justitsministeriet kan tilslutte sig udvalgsflertallets
synspunkter, hvorefter der bør kunne opkræves betaling for
skriftlige meddelelser af registerindsigt.
Justitsministeriet finder dog, at der alene bør
være mulighed for administrativt at fastsætte bestemmelser herom
vedrørende den private sektor. Det kan i den forbindelse nævnes,
at det er hensigten ved lovens ikrafttræden at udstede en
bekendtgørelse med udgangspunkt i reglerne i bekendtgørelse nr.
123 af 11. marts 1988 om betaling for skriftlige meddelelser om indholdet af
private edb-registre. Heri er bl.a. fastsat, at gebyret udgør 10 kr.
for hver påbegyndt side. Betalingen kan dog ikke overstige 200 kr. I
den private sektor vil der således også fremover kunne
kræves et ekspeditionsgebyr for skriftlige meddelelser af indsigt.
Indsigelsesret
Justitsministeriet kan i det væsentlige tilslutte
sig udvalgets forslag om, at den registrerede når vægtige
grunde, der vedrører den pågældendes særlige
situation, taler derfor skal kunne gøre indsigelse mod, at
oplysninger om den pågældendes gøres til genstand for
behandling i medfør af lovforslagets § 6, nr. 5-7.
Efter Justitsministeriets opfattelse bør den
dataansvarliges pligt til efter omstændighederne af ophøre med
en i øvrigt lovlig behandling, som den registrerede har gjort
indsigelse imod, i princippet ikke være begrænset til
behandlinger, der foretages i medfør af bestemmelserne i § 6, nr.
5-7.
Justitsministeriet finder endvidere, at informative grunde
taler for, at det fremgår direkte af lovteksten, at den registrerede
til enhver tid kan gøre indsigelse mod en behandling, således at
den dataansvarlige er forpligtet til at tage stilling til, om indsigelsen er
berettiget.
Markedsføring
Justitsministeriet er enig med udvalget i, at den
registrerede skal have afgørende indflydelse på, i hvilket
omfang der behandles personoplysninger om den pågældende med
henblik på markedsføring.
Justitsministeriet finder imidlertid, at den registreredes
rettigheder på dette punkt bør styrkes i forhold til det, som
udvalget har lagt op til, og som er lagt til grund i L 44.
Endvidere finder Justitsministeriet, at adgangen til at
foretage direkte uanmodet markedsføring ikke bør
reguleres i loven om behandling af personoplysninger, men i
markedsføringsloven. Det skyldes bl.a., at de fremtidige regler herom
ikke kun skal gennemføre direktivet om behandling af
personoplysninger, men også direktiv 97/7/EF om forbrugerbeskyttelse i
forbindelse med aftaler vedrørende fjernsalg (fjernsalgsdirektivetet)
og direktiv 97/66/EF om behandling af personoplysninger og beskyttelse af
privatlivets fred inden for telesektoren (ISDN-direktivet). Regeringen agter
derfor snarest at fremsætte et forslag til ændring af
markedsføringsloven, der vil indebære en samlet
gennemførelse af de tre direktivers bestemmelser om direkte uanmodet
markedsføring.
Lovforslaget om behandling af personoplysninger indeholder
på den anførte baggrund alene regler om adgangen til at
videregive oplysninger til andre virksomheder til brug ved de andre
virksomheders markedsføring (og anvende oplysningerne på andre
virksomheders vegne), jf. lovforslagets § 6, stk. 2-4, og § 36.
Efter den gældende retstilstand kan en virksomhed
kun videregive oplysninger om en forbruger til en anden virksomhed til brug
for markedsføring, hvis forbrugeren giver sit udtrykkelige samtykke
hertil, jf. pkt. 4.2.4.1 ovenfor. Denne retstilstand vil næppe fuldt ud
kunne opretholdes på grundlag af direktivet om behandling af
personoplysninger.
Justitsministeriet finder derfor, at der bør
fastsættes særlige regler om videregivelse af oplysninger i
markedsføringsøjemed, som på en gang i videst muligt
omfang viderefører den gældende retstilstand og er i
overensstemmelse med direktivet. Lovforslagets ordning herom går i
korthed ud på følgende, jf. lovforslagets § 6, stk. 2-4, og §
36:
Der må uden samtykke alene videregives »generelle
kundeoplysninger«, og betingelserne i lovforslagets § 6, stk. 1, nr. 7, er
opfyldt.
Sådanne oplysninger må dog ikke videregives, hvis
forbrugeren har gjort indsigelse mod videregivelsen. Det bemærkes
herved, at indenrigsministeren snarest vil fremsætte forslag om
ændring af lovforslaget om Det Centrale Personregister (CPR),
således at der skabes mulighed for, at det gebyrfrit kan registreres i
CPR, at en forbruger (eller anden fysisk person) generelt ikke ønsker
at modtage henvendelser i markedsføringsøjemed, heller ikke fra
erhvervsdrivende, hos hvem den pågældende er kunde.
Den erhvervsdrivende skal derfor inden en sådan videregivelse
finder sted tjekke i CPR, om forbrugeren har frabedt sig henvendelser i
markedsføringsøjemed.
De forbrugere, der ikke har benyttet CPR-muligheden, skal den
erhvervsdrivende kontakte, inden oplysningerne om dem videregives til andre
virksomheder. Den erhvervsdrivende skal oplyse dem om indsigelsesretten og
give dem mindst 14 dage til at gøre indsigelse på en nem
måde. Først herefter må oplysningerne videregives, hvis
forbrugeren vel og mærke ikke har gjort indsigelse.
Den virksomhed, der modtager oplysningerne, skal i øvrigt leve
op til de krav til direkte uanmodet markedsføring, der vil blive
fastsat i markedsføringsloven.
Indsigtsret hos domstolene
Præsidenten for Højesteret har over for
Justitsministeriet rejst spørgsmål om betydningen af
indsigtsreglerne i L 44 i relation til Højesterets
voteringsprotokoller m.v. Spørgsmålet er særligt rejst i
forhold til bestemmelsen i § 32, stk. 3, i L 44, hvorefter der ikke er ret
til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne
indgår i tekst, der ikke foreligger i endelig form. Dette gælder
dog ikke,hvis oplysningerne er videregivet til en tredjemand.
Det anføres i præsidentens henvendelse, at
Højesterets voteringer som bekendt ikke er offentligt
tilgængelige. Det anføres videre, at voteringen i de mundtligt
behandlede sager refereres af en dommerfuldmægtig og derefter samles i
voteringsprotokoller. I de skriftligt behandlede sager udarbejder en
dommerfuldmægtig et referat. Voteringen sker herefter på grundlag
af referatet.
Præsidenten for Højesteret peger på, at
det fremgår af bemærkningerne til § 32, stk. 3, i L 44, at
bestemmelsen sigter på den situation, at de oplysninger, som der
begæres indsigt i, er under bearbejdning i form af, at oplysningerne
indgår i »et udkast m.v.«. Det synes derfor noget tvivlsomt, om
Højesterets voteringsprotokoller m.v., der ikke har karakter af
udkast, vil være omfattet af § 32, stk. 3, i L 44. Da det er af
væsentlig betydning, at der ikke er indsigtsret i det nævnte
materiale, anmoder præsidenten om, at Justitsministeriet foranlediger,
at det ved ændringsforslag gøres klart, at materialet er
undtaget for indsigtsretten.
Justitsministeriet er enig med Præsidenten for
Højesteret i, at der kan rejses tvivl om, hvorvidt Højesterets
voteringsprotokoller m.v. vil være undtaget fra indsigtsretten efter §
32, stk. 3, i L 44.
I lovforslagets § 32, stk. 3, 3. pkt., er der derfor
indsat en bestemmelse om, at registrerede personer ikke har ret til indsigt
(egenacces) i oplysninger i voteringsprotokoller og andre referater af
domstolenes rådslagning samt materiale udarbejdet af domstolene til
brug for rådslagningen.
Tilbagekaldelse af samtykke
Justitsministeriet finder, at det for at fjerne enhver
tvivl bør fremgå af selve lovteksten, at en registreret person
kan tilbagekalde et meddelt samtykke til behandling af oplysninger om den
pågældende (se hertil lovforslagets § 38).
Klageadgang til tilsynsmyndigheden
Justitsministeriet finder af informative grunde at det
bør fremgå udtrykkeligt af lovens kapitel om den registreredes
(øvrige) rettigheder, at den registrerede har adgang til at klage over
behandling af personoplysninger vedrørende den pågældende.
Se hertil lovforslagets § 40.
4.2.6. Behandlingssikkerhed
4.2.6.1. Gældende ret
A. Lov om offentlige myndigheders registre
Efter lovens § 12, stk. 1, skal der
træffes de fornødne sikkerhedsforanstaltninger mod, at
oplysninger misbruges eller kommer til uvedkommendes kendskab.
Sikkerhedsforanstaltningerne skal efter bestemmelsens
stk. 2 om fornødent omfatte kopier og udskrifter af registeret,
herunder kopier og udskrifter, der er videregivet til andre myndigheder. For
registre, der indeholder oplysninger af særlig interesse for fremmede
magter, skal der træffes foranstaltninger, der muliggør
bortskaffelse eller tilintetgørelse i tilfælde af krig eller
lignende forhold.
Den generelle bestemmelse i § 12, stk. 1, er
nærmere præciseret i Registertilsynets standardforskrifter, som
er omtalt nedenfor under pkt. 4.2.7.1. Offentlige myndigheders anvendelse af
standardforskrifterne har medvirket til, at myndighederne generelt har
etableret et ensartet - og højt - sikkerhedsniveau for deres
registre.
I praksis arbejdes der med tre forskellige former for
sikkerhedsgrupper (gruppe 1, 2 og 3), hvis indhold er fastlagt under hensyn
til behovet for beskyttelse af de oplysningstyper (data), der ønskes
registreret på edb. Indplacering af et register i en af de tre
sikkerhedsgrupper sker således på grundlag af en vurdering af
karakteren af de oplysninger, som indgår i registeret. Registre med
oplysninger om enkeltpersoners rent private forhold, jf. lovens § 9,
stk. 2, indplaceres i sikkerhedsgruppe 3, medens økonomi-,
skatte- og journalregistre typisk indplaceres i sikkerhedsgruppe 2. Registre
med ikke- fortrolige oplysninger indplaceres i sikkerhedsgruppe 1, hvor der
ikke stilles krav om logning og registrering af uautoriserede
adgangsforsøg. For registre, som opfylder betingelserne for oprettelse
uden fastsættelse af forskrifter, forudsættes etableret
sikkerhedsforanstaltninger som for registre i sikkerhedsgruppe 1, eventuelt
med udeladelse af benyttelsesstatistik.
Bestemmelserne i standardforskrifternes kapitel om
sikkerhedsforanstaltninger i forbindelse med anvendelse af registeret sikrer,
at der i den samlede sikkerhed for registre i de højeste
sikkerhedsgrupper, gruppe 2 og 3, indgår følgende
sikkerhedselementer:
En formel autorisation af brugere af registeret, baseret på en
forudgående vurdering af den enkelte brugers behov i forbindelse med
dennes udførelse af sit arbejde.
Et adgangskontrolsystem, baseret på tildeling af en personlig
og fortrolig autorisationskode til den enkelte, autoriserede bruger, hvilket
har til formål at sikre, at kun autoriserede brugere får adgang
til registerets oplysninger.
En benyttelsesstatistik, der ved udskrivning mindst hvert halve
år giver den sikkerhedsansvarlige mulighed for at følge op
på anvendelsen af de udstedte autorisationer, således at ikke
anvendte autorisationer kan blive inddraget.
En logning af alle transaktioner, hvorved der etableres et
»revisionsspor«, som giver mulighed for på detailniveau at efterforske
en (autoriseret) brugers anvendelse af registeret, f.eks. i tilfælde af
opstået tvivl om, hvorvidt anvendelsen har været tjenstligt
begrundet. Samtidig tillægges det en præventiv virkning,
når brugerne er vidende om, at deres anvendelse af registeret logges
på detailniveau. Det bemærkes, at der i bestemmelserne ikke
indgår krav om rutinemæssig udskrivning af loggen.
Registrering af uautoriserede adgangsforsøg, hvilket giver
mulighed for at konstatere, om uautoriserede personer har forsøgt at
skaffe sig adgang til registeret.
Udover de ovenfor nævnte sikkerhedselementer, der
retter sig mod brugernes anvendelse af registeret, vil der for edb-centraler
og offentlige myndigheders egne større edb-anlæg, hvor et
register føres, være udarbejdet en sikkerhedsforskrift, som
indgår i forskrifterne for det pågældende register.
Sikkerhedsforskriften indeholder i almindelighed afsnit om
sikkerhedsorganisation m.v., om bygningsmæssige forhold, om
organisatoriske og personalemæssige forhold, samt om administrative og
systemtekniske forhold.
For en redegørelse for det nærmere indhold af
sikkerhedsforskriften henvises til betænkningen, side 83 f.
I forskrifterne for registre, som føres på
mindre edb-anlæg, f.eks. på en pc, vil der ligeledes indgå
en sikkerhedsforskrift for edb-anlægget, hvor registeret føres.
En sådan sikkerhedsforskrift vil berøre de samme
hovedområder, men vil typisk være mindre omfattende.
En særlig bestemmelse vedrørende sikkerhed,
som standardmæssigt indgår i forskrifterne for offentlige
myndigheders registre, er en bestemmelse, hvorefter den
pågældende myndighed skal fastsætte nærmere regler -
de såkaldte uddybende regler - til supplering og uddybning af de
regler, som er indeholdt i registerforskrifterne.
Registerforskrifterne er i henhold til loven offentligt
tilgængelige, og dermed er sikkerhedsbestemmelserne, som er
anført i registerforskrifterne, det også. Herved er der for
så vidt angår bestemmelser af sikkerhedsmæssig karakter
mulighed for offentligheden for at danne sig et indtryk af det
sikkerhedsniveau, der er etableret for det pågældende register.
Dette forhold sætter en grænse for, hvor detaljeret de
sikkerhedsmæssige bestemmelser i registerforskrifterne kan udformes, og
bestemmelserne har derfor i vid udstrækning karakter af
rammebestemmelser.
De uddybende regler er således en dokumentation af,
hvorledes den pågældende myndighed har valgt at opfylde de
sikkerhedsmæssige bestemmelser i registerforskrifterne. Reglerne
indgår ikke som sådan i registerforskrifterne, men skal indsendes
til Registertilsynet og er i øvrigt ofte klassificeret som ikke
offentligt tilgængelige.
Omfanget af disse uddybende regler fremgår direkte
af bestemmelsen herom i registerforskriften, idet det her er anført,
at reglerne navnlig skal omfatte organisatoriske forhold og fysisk sikring,
herunder sikkerhedsorganisation, administration af adgangskontrolordninger og
autorisationsordninger, samt retningslinier for myndighedens eget tilsyn med
overholdelsen af de sikkerhedsbestemmelser, der er fastsat for
myndigheden.
B. Lov om private registre
Ifølge lovens § 6, stk. 4, skal der
træffes de fornødne sikkerhedsforanstaltninger mod, at
oplysninger i et edb-register misbruges eller kommer til uvedkommendes
kendskab. Bestemmelsen er formuleret på samme måde som reglen i
lov om offentlige myndigheders registre § 12, stk. 1.
For så vidt angår private virksomheder m.v.,
er der ikke krav om fastsættelse af registerforskrifter, hvorfor der
ikke findes et tilsvarende sæt af formelt fastsatte
sikkerhedsbestemmelser for private virksomheders edb-registre. I
tilfælde, hvor Registertilsynet skal foretage en vurdering af en privat
virksomheds edb- sikkerhed, vil der således være tale om en
konkret vurdering efter § 6, stk. 4, hvor tilsynet vil tage
udgangspunkt i de ovenfor omtalte bestemmelser, som gælder for
offentlige myndigheder.
Det følger af § 7, at bestemmelserne i
§ 6 gælder, uanset om registeret underkastes elektronisk
databehandling i udlandet. Bestemmelsen har til formål at sikre, at de
retsgarantier, der følger af § 6, ikke ophører, fordi
registeret underkastes elektronisk databehandling i udlandet.
Herudover har tilsynet mulighed for i henhold til
§ 23, stk. 6, at pålægge virksomheden m.v. bl.a. at
foretage nærmere angivne foranstaltninger til sikring af eller
forebyggelse mod, at de registrerede oplysninger misbruges eller kommer til
uvedkommendes kendskab.
For så vidt angår de særlige regler,
herunder om sikkerhedsforanstaltninger, for edb-servicebureauer henvises til
betænkningen, side 128.
4.2.6.2. Udvalgets overvejelser
I betænkningen, side 323-328, er redegjort
for udvalgets overvejelser vedrørende behandlingssikkerhed. Udvalgets
overvejelser tager udgangspunkt i direktivets artikel 16 og 17 om
»fortrolighed og behandlingssikkerhed.«
På baggrund af direktivets artikel 16 foreslår
udvalget, at der i den kommende lov om behandling af personoplysninger
indsættes en bestemmelse om, at personer, virksomheder m.v., som
udfører arbejde under den dataansvarlige eller databehandleren, og som
får adgang til oplysninger, kun må behandle disse efter instruks
fra den dataansvarlige, medmindre andet følger af lov eller
bestemmelser fastsat i henhold til lov.
Udvalget foreslår endvidere, at der i loven
indsættes en bestemmelse om, at den dataansvarlige skal træffe de
fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod,
at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges
eller i øvrigt behandles i strid med loven. Baggrunden herfor er
bestemmelsen i direktivets artikel 17.
Udvalget finder, at sikkerhedsforanstaltningerne
grundlæggende bør indeholde følgende elementer: Fysisk
sikkerhed, organisatoriske forhold, systemtekniske forhold, samt uddannelse
og instruktion. Udvalget peger navnlig på følgende
sikkerhedsforanstaltninger, der - alt efter omstændighederne - kan
komme på tale: Sikring af bygninger og lokaler, formel autorisation af
brugerne, adgangskoder (password), benyttelsesstatistik, logning af
transaktioner, registrering af uautoriserede adgangsforsøg,
kryptering, regler for udskrifter, regler for destruktion, uddannelse samt
tilsyn.
Det vil efter udvalgets opfattelse ikke være
praktisk muligt i lovteksten at angive de sikkerhedsforanstaltninger, som
skal iværksættes, da dette vil afhænge af flere faktorer og
vil ændre sig over tid. Derfor foreslår udvalget i stedet indsat
en bestemmelse om, at justitsministeren fastsætter nærmere regler
om sikkerhedsforanstaltningerne. I den forbindelse forudsættes det, at
fastsættelsen af sådanne regler sker efter høring af
relevante myndigheder, organisationer m.v., samt eventuelle andre relevante
organer, f.eks. IT-sikkerhedsrådet.
Om kravene til behandlingssikkerhed hos en databehandler
henvises til betænkningen, side 327 f.
4.2.6.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets forslag til
regulering af spørgsmålet om behandlingssikkerhed m.v.
Justitsministeriet kan således tilslutte sig
udvalgets forslag om, at der skal indføres regler om, at personer
m.v., som udfører arbejde under den dataansvarlige eller
databehandlingen, kun må behandle disse efter instruks fra den
dataansvarlige, medmindre andet følger af lov eller bestemmelser
fastsat i henhold til lov. Justitsministeriet finder dog, at det for at
undgå enhver tvivl i selve lovteksten bør præciseres, at
instruksen ikke må begrænse den journalistiske frihed eller
være til hinder for tilvejebringelsen af et kunstnerisk eller
litterært produkt.
I overensstemmelse med udvalgets forslag foreslås
det endvidere, at fastlæggelsen af de overordnede rammer med hensyn til
behandlingssikkerheden sker i selve loven, jf. lovforslagets § 41,
stk. 3. Det skal understreges, at bestemmelsen - i modsætning til
de gældende bestemmelser i lov om offentlige myndigheders registre og
lov om private registre - tillige gælder for oplysninger, som
indgår i manuelle registre, og for anden manuel systematisk behandling,
jf. nærmere lovforslagets § 1, stk. 1 og 2.
Justitsministeriet finder ikke, at det herudover vil
være praktisk muligt i lovteksten at angive de nærmere
sikkerhedsforanstaltninger, som skal iværksættes i de forskellige
sektorer. Det tiltrædes derfor, at justitsministeren får adgang
til efter høring af tilsynsmyndighederne samt andre relevante
myndigheder, organisationer m.v. at fastsætte nærmere regler
herom.
Ved fastsættelsen af de nærmere regler om
behandlingssikkerhed finder Justitsministeriet, at der bør tages
udgangspunkt i den nugældende praksis. Der lægges herved bl.a.
vægt på, at direktivet forudsætter, at den indbyrdes
tilnærmelse af lovgivningerne ikke må medføre en
forringelse af den beskyttelse, disse yder, men tværtimod skal have til
formål at sikre et højt beskyttelsesniveau overalt i
Fællesskabet.
I lyset heraf vil der i forbindelse med udstedelsen af
administrative bestemmelser om det fremtidige sikkerhedsniveau blive
foretaget en afvejning af på den ene side det aktuelle tekniske niveau
og omkostningerne i forbindelse med foranstaltningernes
iværksættelse og på den anden side de risici, som
behandlingen indebærer, samt hvilke oplysningstyper der er tale om.
Dette kræves også efter direktivets artikel 17, stk. 1, 2.
afsnit.
4.2.7. Anmeldelse af behandlinger
4.2.7.1. Gældende ret
A. Lov om offentlige myndigheders registre
Oprettelse og ibrugtagning af registre
Det følger af lovens kapitel 2, at der som
udgangspunkt skal foreligge en politisk godkendelse, forinden et register
oprettes.
Registre, der føres for en statslig myndighed,
må således kun oprettes i henhold til godkendelse af vedkommende
minister efter forhandling med finansministeren (nu forskningsministeren),
medens registre der føres for en kommunal myndighed kun må
oprettes i henhold til beslutning, der træffes af vedkommende
kommunalbestyrelse.
Det er endvidere hovedreglen, at der - inden oprettelsen -
skal fastsættes forskrifter om det pågældende registers
opbygning og drift. Forskrifterne skal inden fastsættelsen
forelægges Registertilsynet til udtalelse.
Registertilsynet har - som tidligere nævnt -
udarbejdet standardforskrifter. Standardforskrifterne er blevet udarbejdet
efter drøftelser med bl.a. de kommunale sammenslutninger og har siden
dannet grundlag for alle myndigheders fastsættelse af
registerforskrifter, således at disse fremtræder med en betydelig
ensartethed, både hvad angår indhold og udformning.
Forskrifterne omfatter typisk 10-20 sider, hvoraf de 3-5
sider er en beskrivelse af det konkrete register. Herudover indeholder
forskrifterne en gengivelse af lovens bestemmelser i relation til
registerindsigt, videregivelse, sikring af, at der ikke indføres
urigtige oplysninger samt af Registertilsynets krav til
sikkerhedsforanstaltninger. Vedrørende det nærmere indhold af
forskrifterne henvises til betænkningen, side 76 f.
Der var pr. 1. november 1997 fastsat forskrifter for ca.
4.100 registre.
Særligt om fælleskommunale registre
Reglerne for fælleskommunale registre er i
hovedtræk de samme som dem, der er nævnt ovenfor.
Fælleskommunale registre er en betegnelse for registre eller systemer
af registre, som er indrettet med henblik på at kunne føres for
kommunale myndigheder fra flere kommuner, og hvis oprettelse er godkendt af
forskningsministeren. Forskningsministeren skal - forinden en kommunal
myndighed kan tilslutte sig - have fastsat registerforskrifter for
vedkommende register. Forinden forskrifterne fastsættes, skal der
indhentes en udtalelse fra Registertilsynet. En kommunalbestyrelse eller den,
kommunalbestyrelsen bemyndiger dertil, kan bestemme, at kommunen tilslutter
sig et fælleskommunalt register. Beslutningen skal inden 4 uger
meddeles Registertilsynet, der har udfærdiget en særlig blanket
til brug herfor.
Der var pr. 1. november 1997 oprettet ca. 80
fælleskommunale registre, til hvilke der er indsendt i alt ca. 7.300
meddelelser om tilslutning.
Om fælleskommunale registre henvises nærmere
til betænkningen, side 78 f.
Anmeldelse af registre
Lovens kapitel 2 a indeholder en række undtagelser
fra kravet om fastsættelse af forskrifter og forudgående
udtalelse fra Registertilsynet. Reglerne i kapitel 2 a berører derimod
som udgangspunkt ikke kravet om politisk godkendelse af registrene.
Registre, som ikke indeholder oplysninger af fortrolig
karakter, er efter § 8 a, stk. 1 (statslige registre), og 8 b,
stk. 1 og 6 (enkelt- og fælleskommunale registre), undtaget fra
kravet om fastsættelse af forskrifter. I sådanne registre kan der
uden fastsættelse af forskrifter endvidere registreres
identifikationsoplysninger, herunder personnummer, og oplysninger om betaling
til og fra en offentlig myndighed, jf. § 8 a, stk. 2, og 8 b,
stk. 2.
Der skal ske anmeldelse til Registertilsynet af registre,
som ikke er omfattet af kravet om fastsættelse af forskrifter.
Anmeldelsen skal indeholde oplysning om registrenes formål,
personkreds, dataindhold og størrelse, jf. § 8 a, stk. 3, og
§ 8 b, stk. 5 og 6. Anmeldelsen sker på særlige
blanketter, som er udfærdiget af tilsynet, jf. § 8 c.
Der er ikke efter lovens kapitel 2 a krav om
forudgående anmeldelse.
Efter lovens § 8 e kan justitsministeren efter
indhentet udtalelse fra Registertilsynet fastsætte regler om, at
bestemte typer af registre undtages fra kravet om fastsættelse af
forskrifter. Enkelt- og fælleskommunale registre kan tillige undtages
fra kravet om politisk godkendelse. Bestemmelsen gælder dog ikke
registre, der indeholder oplysninger om rent private forhold, jf. § 9,
stk. 2.
Justitsministeriet har i medfør af bestemmelsen
udstedt bekendtgørelse nr. 872 af 17. december 1991 om undtagelse af
visse typer af offentlige edb-registre fra forskriftskravet.
I bekendtgørelsen er undtaget bestemte
registertyper, herunder miljøsystemer,
personaleadministrationssystemer, undervisningssystemer, bibliotekssystemer,
civilforsvarssystemer m.v., erhvervsregistre samt offentlige servicesystemer.
Bekendtgørelsen indeholder nærmere bestemmelser om, hvilke
oplysningstyper der må indgå i registrene. Indgår der andre
fortrolige oplysninger end dem, som er opregnet i bekendtgørelsen,
skal der fastsættes forskrifter for registrene.
Der var pr. 1. november 1997 foretaget anmeldelse af ca.
8.120 registre efter § 8 a og b, hvoraf ca. 1.160 er blevet afvist. Der
er endvidere foretaget anmeldelse af ca. 1.460 registre efter § 8 e,
hvoraf ca. 80 er blevet afvist.
B. Lov om private registre
Der er ikke i loven fastsat generelle regler om, at
private registre skal anmeldes. Dog skal der i visse særlige
tilfælde ske anmeldelse eller indhentes tilladelse, før en
registrering, overladelse eller videregivelse af oplysninger kan finde
sted.
Der gælder et krav om forudgående
anmeldelse for så vidt angår:
Registre, der alene oprettes til videnskabelige eller statistiske
formål, jf. § 2, stk. 3.
Kreditoplysningsbureauer, jf. § 8.
Virksomheder, der erhvervsmæssigt yder bistand ved
stillingsbesættelse, jf. Justitsministeriets bekendtgørelse nr.
523 af 11. august 1986 § 1.
Private edb-servicebureauer, jf. § 20, stk. 1.
Edb-registre, der indeholder følsomme oplysninger, jf.
§ 3, stk 4, jf. dog det nedenfor anførte.
Anmeldelsespligten for registre, der indeholder
følsomme oplysninger, jf. 3, stk. 4, gælder ikke registre,
der føres af foreninger og lignende i det omfang, registeret alene
omfatter oplysninger om foreningens medlemmer. Der er endvidere i
Justitsministeriets bekendtgørelse nr. 121 af 11. marts 1988 fastsat
visse yderligere undtagelser fra anmeldelsespligten efter § 3,
stk. 4. Om det nærmere indhold af bekendtgørelsen henvises
til betænkningen, side 126.
Herudover gælder der et krav om forudgående
tilladelse for så vidt angår:
Undtagelse af retsinformationssystemer helt eller delvis fra lovens
bestemmelser, jf. § 2, stk. 9, 1. pkt.
Undtagelse fra registreringsforbudet i § 3, stk. 2, jf.
§ 3, stk. 3.
Oprettelse af advarselsregistre, jf. § 3, stk. 6.
Undtagelse fra videregivelsesforbudet i § 4, stk. 1, 1.
pkt., jf. § 4, stk. 1, 2. pkt.
Samkøring af forskellige virksomheders registre, jf. § 4,
stk. 5.
Automatisk registrering af telefonnumre, jf. § 7 f, stk. 1,
2. pkt.
Overførsel af oplysninger til udlandet, jf. § 21,
stk. 1 og 2.
Pr. 1. november 1997 var der anmeldt ca. 2.460
igangværende forsknings- og statistikregistre, 17
kreditoplysningsbureauer, 47 advarselsregistre, heraf 32 spærrelister i
forbindelse med betalingssystemer, samt 93 virksomheder, som yder bistand ved
stillingsbesættelse.
Om de særlige regler om anmeldelse af massemediers
informationsdatabaser henvises til betænkningen, side 127 og 132
f, samt pkt. 4.2.10.1. nedenfor.
4.2.7.2. Udvalgets overvejelser
I betænkningen, side 329-349, er redegjort
for udvalgets overvejelser vedrørende anmeldelse af behandlinger over
for tilsynsmyndigheden, om kontrol af disse, samt om førelse af
fortegnelser over behandlinger.
Overvejelserne tager udgangspunkt i direktivets artikel
18-21 om anmeldelse.
Herudover har udvalget ved udformningen af sit forslag til
en ny anmeldelsesordning taget hensyn til, at etableringen af en
anmeldelsesprocedure tjener en række formål.
Det gælder således bl.a. hensynet til at
gøre en behandlings formål samt dens vigtigste karakteristika
offentligt kendt med henblik på kontrol af behandlingernes
overensstemmelse med loven. Herved tilvejebringes gennemskuelighed for
borgerne, hvilket styrker borgernes muligheder for at gøre deres
rettigheder ifølge loven gældende.
Hertil kommer hensynet til at sikre, at vedkommende
tilsynsmyndighed får det fornødne indseende med, hvilke typer af
behandlinger som foretages for offentlige eller private dataansvarlige
såvel konkret som i almindelighed. Herved styrkes vedkommende
tilsynsmyndigheds muligheder for at føre et effektivt tilsyn.
På baggrund af sine overvejelser foreslår
udvalget, at der - ligesom efter den nuværende registerlovgivning -
fastsættes forskellige anmeldelsesordninger for behandlinger af
oplysninger, der foretages for henholdsvis den offentlige forvaltning og den
private sektor. Hvad særligt angår domstolene, der som noget nyt
foreslås inddraget under lovens område, anbefaler udvalget, at
disse skal foretage anmeldelse til tilsynsmyndigheden efter samme regler som
den offentlige forvaltning.
De foreslåede anmeldelsesordninger har på en
række punkter fællestræk.
Efter ordningerne skal der som udgangspunkt ske
forudgående anmeldelse af behandling af oplysninger til vedkommende
tilsynsmyndighed.
Herfra gøres undtagelse med hensyn til
nærmere bestemte former for behandlinger.
For visse af de behandlinger, som skal anmeldes
forudgående til tilsynsmyndigheden, foreskrives det, at der skal ske
forudgående kontrol fra tilsynsmyndighedens side, før selve
behandlingen kan iværksættes. Det vil sige, at behandlingen
først kan iværksættes efter udtalelse/tilladelse fra
tilsynsmyndigheden.
A. Behandlinger, der udføres for den offentlige forvaltning
Kravet om politisk godkendelse
Udvalget foreslår, at kravet om politisk godkendelse
ophæves.
Godkendelseskravet, der blev indsat i forbindelse med
vedtagelsen af hovedloven i 1978, bygger på en forudsætning om,
at oprettelsen af edb-registre kan have indgribende betydning for borgerne,
hvorfor det bør være et politisk ansvarligt organ, som
træffer beslutning om oprettelsen af sådanne registre. Når
henses til den teknologiske udvikling siden 1978, herunder fremkomsten af
pc'en, og det store antal registre, der er blevet oprettet, er det udvalgets
opfattelse, at en opretholdelse af kravet om politisk godkendelse vil
være unødigt bureaukratisk i forhold til det hensyn, som
ønskedes varetaget ved indførelsen af kravet.
Udvalget bemærker i den forbindelse, at en minister
eller kommunalbestyrelse altid vil have mulighed for at beslutte, at kun
denne skal kunne træffe afgørelse om oprettelse af registre.
Fastsættelse af forskrifter
Udvalget foreslår endvidere, at den nuværende
ordning med fastsættelse af registerforskrifter i den offentlige
forvaltning afskaffes. I den forbindelse anfører udvalget, at
direktivet hverken kræver eller udelukker en ordning med
registerforskrifter.
Udvalget lægger vægt på, at
registerforskrifter for en væsentlig del består af gentagelser af
lovens bestemmelser samt mere eller mindre enslydende sikkerhedsregler. Den
egentlige beskrivelse af det konkrete register i registerforskriften
udgør som oftest ikke mere end ca. 3-5 sider samt et bilag med en
opregning af oplysningstyper.
Det er endvidere udvalgets opfattelse, at der med den
kraftige stigning i anvendelsen af edb og dermed det øgede kendskab
til lovgivningen på området, ikke længere kan antages at
være så stort et behov for en samlet beskrivelse i en
registerforskrift af såvel det konkrete register som de generelle
regler for registrering, videregivelse og sikkerhed.
Udvalget bemærker i forlængelse heraf, at en
opretholdelse af kravet om forskriftsfastsættelse vil indebære,
at der fremover vil blive fastsat et ganske betragteligt - og sandsynligvis
voksende - antal bekendtgørelser, som for en stor dels vedkommende vil
bestå af gentagelser af en eksisterende lovgivnings bestemmelser.
Hertil kommer, at de primære formål med
fastsættelsen af forskrifter (dokumentation af forholdene
vedrørende det/den konkrete register/ behandling, den offentlige
tilgængelighed af denne beskrivelse samt tilvejebringelse af et
fyldestgørende grundlag for tilsynets vurdering af registeret/
behandlingen) vil kunne varetages ligeså fyldestgørende ved
indsendelsen af en mere summarisk anmeldelse.
Udvalget finder det endvidere væsentligt, at
borgerne får en reel mulighed for at danne sig et overblik over de
behandlinger, som finder sted for de offentlige myndigheder. Dette hensyn
varetages efter udvalgets opfattelse langt bedre ved, at myndighederne
foretager en summarisk beskrivelse af deres konkrete behandlinger, i stedet
for, at borgerne får adgang til adskillige sæt af forskrifter
på 10 til 20 sider med en række mere eller mindre enslydende
bestemmelser.
Udvalget finder dog, at der i særlige tilfælde
kan være behov for at fastsætte nærmere regler for en
behandling, i princippet svarende til de hidtidige registerforskrifter.
Fastsættelse af et regelsæt på bekendtgørelsesniveau
vil f.eks. kunne vise sig hensigtsmæssigt ved behandlinger, som
omfatter meget store mængder af følsomme oplysninger, eller hvis
en behandling er forbundet med en høj grad af publikumskontakt. Som
konkrete eksempler på behandlinger (registre), hvor et sådant
behov kan tænkes at være til stede, peger udvalget på Det
Centrale Kriminalregister, Cancerregisteret og Det Psykiatriske
Centralregister.
Udvalget foreslår derfor, at der i den kommende lov
om behandling af personoplysninger m.v. indsættes en bestemmelse,
hvorefter vedkommende minister i særlige tilfælde kan
fastsætte nærmere regler for opbygning og drift af en behandling,
som foretages for den offentlige forvaltning.
I dag er registerforskrifter undtaget fra
offentliggørelse i Lovtidende i medfør af Kgl. Anordning nr. 73
af 5. marts 1979. Som en konsekvens af, at bestemmelsen om fastsættelse
af registerforskrifter kun bør benyttes, hvor der er et særligt
behov herfor, foreslår udvalget, at sådanne regler skal
offentliggøres i Lovtidende på normal vis. Dette
indebærer, at eventuelle oplysninger om en behandling, som kræver
hemmeligholdelse, f.eks. vedrørende sikkerhedsforanstaltninger eller
det præcise dataindhold, i stedet må beskrives i interne
regler.
Særligt om fælleskommunale registre
For så vidt angår de fælleskommunale
registre foreslår udvalget - i overensstemmelse med det ovenfor
anførte - at kravet om politisk godkendelse og fastsættelse af
forskrifter udgår.
Det foreslås endvidere, at det skal være
muligt for myndigheder at bemyndige andre myndigheder eller private
virksomheder, organisationer m.v. til at foretage anmeldelse på disses
vegne. Herved åbnes der mulighed for, at f.eks. Kommunernes
Landsforening eller Kommunedata A/S kan foretage anmeldelser på
myndighedernes vegne. Se herom nærmere betænkningen, side
334 f.
Anmeldelse af behandlinger
Med hensyn til udformningen af selve anmeldelsesordningen
foreslår udvalget, at der i overensstemmelse med direktivets artikel
18, stk. 1, som udgangspunkt skal ske forudgående anmeldelse af
alle behandlinger.
Kravet om forudgående anmeldelse bør efter
udvalgets opfattelse som udgangspunkt ikke kobles sammen med et krav om, at
der fra tilsynsmyndighedens side skal afgives en udtalelse eller anden form
for tilkendegivelse inden iværksættelsen. Dette udelukker dog
ikke, at tilsynsmyndigheden kan afgive en udtalelse og heri f.eks.
præcisere reglerne for den pågældende behandling, hvis det
findes hensigtsmæssigt.
Undtagelser fra anmeldelsespligten
Udvalget foreslår på en række punkter,
at der gøres undtagelse fra anmeldelseskravet.
Disse undtagelser er fastsat under hensyntagen til
direktivets artikel 18, stk. 2, 1. pind, hvorefter der er mulighed for
at indføre en forenklet anmeldelse eller fritagelse, såfremt det
i betragtning af de behandlede oplysninger ikke er sandsynligt, at de
registreredes rettigheder eller frihedsrettigheder krænkes. I givet
fald skal medlemsstaterne for de undtagne behandlinger anføre
behandlingernes formål, oplysningstyper, kategorier af registrerede og
modtagere, til hvilke oplysningerne kan videregives, samt en slettefrist.
På baggrund af de hidtidige erfaringer med de
registre, der anmeldes i henhold til den gældende lov om offentlige
myndigheders registre § 8 a og § 8 b - samt under hensyn til
karakteren af disse registre - finder udvalget det forsvarligt generelt at
undtage behandlinger af den type af personoplysninger fra anmeldelsespligten.
Der foreslås således indsat en bestemmelse om, at behandlinger,
som ikke omfatter oplysninger af fortrolig karakter, undtages fra
anmeldelsespligten. En sådan behandling bør uden anmeldelse
endvidere kunne omfatte identifikationsoplysninger, herunder personnummer, og
oplysninger om betaling til og fra en offentlig myndighed.
Det vil efter udvalgets opfattelse være for
omfattende at beskrive formål, modtagere m.v. for alle de typer af
behandlinger, som tænkes undtaget, i selve lovteksten. Dette skyldes,
at de behandlinger (registre), som i dag blot kan anmeldes, har meget
forskellig karakter. Derfor foreslås indsat en bemyndigelsesbestemmelse
for justitsministeren til at fastsætte nærmere regler herom.
Udvalget foreslår endvidere, at behandlinger, hvis
eneste formål er at føre et register, som er beregnet til at
informere offentligheden, undtages fra anmeldelsespligten. Denne mulighed for
undtagelse fremgår direkte af direktivets artikel 18, stk. 3.
Da det i øvrigt ikke er muligt med sikkerhed at
forudsige, om der eventuelt kan være andre typer af behandlinger, hvor
det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de
registreredes rettigheder eller frihedsrettigheder krænkes,
foreslår udvalget, at der indsættes en bemyndigelsesbestemmelse,
hvorefter justitsministeren kan undtage sådanne andre behandlinger fra
kravet om anmeldelse. Det gælder dog ikke behandlinger, som efter
udvalgets opfattelse bør kontrolleres inden
iværksættelsen, jf. om disse behandlinger nedenfor. Udvalget
peger på, at der f.eks. kunne ske undtagelse for de registre/
behandlinger, som i dag er undtaget fra kravet om fastsættelse af
forskrifter, jf. Justitsministeriets bekendtgørelse nr. 872 af 17.
december 1991, fastsat i henhold til lovens § 8 e.
Endelig anfører udvalget, at direktivet i artikel
18, stk. 2, 2. pind, indeholder en mulighed for forenklet anmeldelse
eller fritagelse for anmeldelse på betingelse af, at de dataansvarlige
i overensstemmelse med den nationale lovgivning, som de er underlagt, udpeger
en person med ansvar for beskyttelse af personoplysninger. Vedkommende person
skal bl.a. have til opgave i fuld uafhængighed af den dataansvarlige at
sikre den interne anvendelse af de nationale bestemmelser, der er truffet i
medfør af direktivet, samt at føre et register over de
behandlinger, der gennemføres af den dataansvarlige, og som omfatter
de i artikel 21, stk. 2, omhandlede oplysninger. Udvalget
foreslår, at denne undtagelsesmulighed ikke anvendes. Om baggrunden
herfor henvises til betænkningen, side 336 f.
Af hensyn til opretholdelsen af et så enstrenget
system som muligt foreslår udvalget, at muligheden for efter
direktivets artikel 18, stk. 5, at undtage eller etablere en forenklet
anmeldelsesordning for manuelle registre ikke anvendes. Udvalget finder ikke,
at der er grund til at gøre forskel på edb- behandlinger og
manuelle registre. Hertil kommer, at et manuelt register i mange
tilfælde vil kunne anmeldes sammen med en række edb-behandlinger,
fordi disse varetager samme overordnede formål.
Om de foreslåede undtagelser til
anmeldelsesordningen anfører udvalget, at der vil være tale om
en betydelig administrativ lettelse i den offentlige forvaltning. Der
henvises herved til bilag 18 i bilagssamlingen til betænkningen,
hvori der under pkt. 2 og 3 er redegjort nærmere herfor.
Forudgående kontrol
For visse af de behandlinger, som ikke er omfattet af de
foreslåede undtagelser, og som derfor vil skulle anmeldes
forudgående til tilsynsmyndigheden, anbefaler udvalget, at der tillige
fastsættes et krav om forudgående kontrol fra tilsynsmyndighedens
side.
Herved tages der højde for, at det efter
direktivets artikel 20, stk. 1 og 2, påhviler medlemsstaterne at
præcisere, hvilke behandlinger der kan indebære særlige
risici for registrerede personer, samt i den forbindelse at sikre, at disse
behandlinger underkastes en forudgående kontrol.
Kontrollen vil f.eks. kunne ske i form af en udtalelse
efter modtagelsen af en anmeldelse, men der stilles ikke krav herom i
direktivet.
Udvalget finder det naturligt, at der i forbindelse med
anmeldelse af behandlinger, som skal kontrolleres forudgående, afgives
en udtalelse, således at den dataansvarlige myndighed får en
tilkendegivelse fra Datatilsynet om, hvad kontrollen er resulteret i.
Udvalget er endvidere af den opfattelse, at en behandling,
som skal kontrolleres, ikke bør iværksættes, før
denne udtalelse er afgivet. På den måde sikres det, at en
behandling ikke iværksættes, før kontrollen er
tilendebragt.
Der lægges herved også vægt på, at
en sådan ordning er indeholdt i den nuværende lovgivning,
hvorefter der gælder et krav om forudgående udtalelse om
registre, for hvilke der skal fastsættes forskrifter. Det vil sige en
stor del af registrene med fortrolige oplysninger samt alle registre med
følsomme oplysninger.
Udvalget finder dog ikke, at der er behov for, at der
foretages en forudgående kontrol af alle disse registre
(behandlinger).
Udvalget er af den opfattelse, at det for behandlinger,
som omfatter de særlige kategorier af oplysninger samt oplysninger om
strafbare forhold og om væsentlige sociale problemer, bør sikres
forudgående, at der etableres den fornødne sikkerhed.
Endvidere findes der at være et særligt behov
for at sikre, at sammenstilling eller samkøring af fortrolige
oplysninger i kontroløjemed ikke iværksættes, før
det er kontrolleret, om dette er i overensstemmelse med bl.a. god
databehandlingsskik.
Derudover synes det rimeligt at underkaste behandlinger af
fortrolige oplysninger, som alene finder sted i videnskabeligt eller
statistisk øjemed, en forudgående kontrol. Dette skyldes, at der
er fastsat særligt lempelige regler for behandlinger med henblik
på forskning og statistik i relation til den registreredes indsigtsret
og indsigelsesret, samt at behandlinger i de nævnte øjemed kan
resultere i store mængder af data, som opbevares over en meget lang
periode.
Endelig bør behandlinger af fortrolige oplysninger,
der udelukkende finder sted med henblik på at føre
retsinformationssystemer, være undergivet forudgående
kontrol.
Da det efter udvalgets opfattelse ikke kan udelukkes, at
der kan være andre typer af behandlinger, som bør undergives
forudgående kontrol på grund af deres art, omfang eller
formål, f.eks. fordi de indebærer anvendelsen af ny teknologi,
foreslås det, at der indsættes en bemyndigelsesbestemmelse,
hvorefter justitsministeren kan fastsætte, at andre behandlinger end de
ovenfor nævnte kun kan iværksættes efter forudgående
udtalelse fra Datatilsynet.
Udvalget anbefaler herudover, at de gældende
bestemmelser om forelæggelse af udtalelser for henholdsvis vedkommende
minister og forskningsministeren, såfremt Datatilsynet ikke kan
tiltræde udførelsen af en behandling, som foretages for en
underordnet statslig eller kommunal myndighed, videreføres. Dog
foreslås det, at indenrigsministeren - i modsætning til den
gældende ordning, hvor kompetencen er henlagt til forskningsministeren
- tillægges beføjelse til at træffe afgørelse
på det kommunale område.
Anmeldelsens genstand og indhold
I de tilfælde, hvor der efter den foreslåede
ordning skal ske anmeldelse til tilsynsmyndigheden, finder udvalget ud fra
ressourcemæssige hensyn, at det skal være muligt for en
dataansvarlig myndighed at anmelde flere behandlinger samtidig. Udvalget
lægger herved også vægt på, at det fremgår af
direktivets artikel 18, stk. 1, at genstanden for en anmeldelse er en
behandling eller en række sådanne behandlinger, hvis formål
er identiske eller indbyrdes relaterede.
Hertil kommer, at en anmeldelse efter direktivets artikel
19, stk. 1, bl.a. skal indeholde oplysninger om behandlingens
formål. Dette må efter udvalgets opfattelse forstås
på den måde, at der skal kunne formuleres et samlet, logisk
sammenhængende formål med en behandling eller række af
behandlinger, som anmeldes på én anmeldelse.
Det må antages, at hovedreglen i praksis vil
være, at der vil ske anmeldelse af en række behandlinger, ikke
enkelte behandlinger. Det vil sige, at en anmeldelse ofte vil dække
over både indsamling, registrering og anvendelse samt eventuelt
videregivelse til opfyldelse af et bestemt formål. Dette svarer i store
træk til den nuværende praksis omkring formålsangivelsen i
forskrifterne for offentlige myndigheders registre.
I direktivets artikel 19, stk. 1, er det angivet,
hvilke oplysningstyper en anmeldelse mindst skal indeholde. Det
bemærkes, at tilsynsmyndigheden altid efter direktivets artikel 28,
stk. 3, 1. pind, skal kunne indsamle alle oplysninger, der er
nødvendige for at varetage dens tilsynsopgaver.
I lyset heraf anbefaler udvalget, at ikke blot de i
artikel 19, stk. 1, opregnede oplysningstyper, men også enkelte
andre oplysningstyper, skal angives i en anmeldelse. Det foreslås
således, at der i en anmeldelse - udover de i den nævnte artikel
anførte oplysningstyper - skal gives følgende information til
tilsynsmyndigheden:
En betegnelse for behandlingen.
En generel beskrivelse af behandlingen.
Tidspunktet for påbegyndelsen af behandlingen.
Tidspunktet for sletningen af oplysningerne.
Navn og adresse på en eventuel databehandler.
Om begrundelsen herfor henvises til
betænkningen, side 344 f.
Efter direktivets artikel 19, stk. 2, skal
medlemsstaterne præcisere, efter hvilke procedurer ændringer i de
oplysninger, som fremgår af anmeldelserne, skal anmeldes til
tilsynsmyndigheden.
Udvalget foreslår på denne baggrund, at der
fastsættes bestemmelser om ændringer til anmeldelser, som
allerede er blevet indgivet til Datatilsynet. Udvalget finder ikke, at der er
behov for at indgive en ny anmeldelse, men alene at der skal gives meddelelse
om ændringerne. Se herved nærmere betænkningen, side
345.
Behandlingernes offentlige tilgængelighed
Efter den gældende ordning er registerforskrifter
offentligt tilgængelige.
Direktivet indeholder i artikel 21, stk. 1, en
bestemmelse om, at medlemsstaterne skal træffe foranstaltninger til at
sikre, at behandlingerne er offentligt tilgængelige. Endvidere skal der
efter stk. 2 fastsættes bestemmelser om, at tilsynsmyndigheden
skal føre et register over de behandlinger, der er anmeldt i henhold
til artikel 18.
Udvalget foreslår på denne baggrund, at det
skal påhvile tilsynsmyndigheden at føre en fortegnelse, der skal
være tilgængelig for offentligheden, over de behandlinger, der er
anmeldt.
Det følger af direktivets artikel 21, stk. 3,
1. afsnit, at for så vidt angår behandlinger, som ikke er
omfattet af anmeldelsespligt, skal visse af oplysningerne stilles til
rådighed for enhver person, der anmoder herom. Dette skal gøres
af de dataansvarlige eller enhver anden myndighed, som medlemsstaterne
udpeger hertil.
Under hensyn hertil foreslår udvalget, at de
dataansvarlige selv skal stille visse oplysninger til rådighed for
enhver, som anmoder herom, ligesom det foreslås, at de dataansvarlige
tillige skal stille oplysninger om anmeldelsespligtige behandlinger til
rådighed. For så vidt angår disse behandlinger, har de
dataansvarlige allerede udfyldt anmeldelsesblanketter til vedkommende
tilsynsmyndighed og må derfor forudsættes at være i
besiddelse af en genpart eller kopi, som det ikke vil udgøre en
yderligere belastning også at skulle stille til rådighed for
offentligheden.
Udvalget foreslår, at der efter en konkret afvejning
- ud fra de samme hensyn som nævnt under punkt 4.2.5.2.
vedrørende begrænsninger i oplysningspligten og indsigtsretten -
kan gøres undtagelse fra pligten til at gøre behandlinger
offentligt tilgængelige.
B. Behandlinger, der udføres for private dataansvarlige
Direktivets artikel 18, stk. 1, bygger - som
nævnt - på det udgangspunkt, at der skal ske anmeldelse af
behandlinger, medmindre der gøres undtagelse efter artikel 18,
stk. 2-5.
Hovedreglen efter den gældende lov om private
registre er derimod, at der ikke gælder noget krav om anmeldelse til
tilsynet.
Udvalget er af den opfattelse, at den gældende
retstilstand så vidt muligt bør opretholdes med henblik på
at begrænse de administrative byrder for private virksomheder m.v.
Anmeldelse bør derfor kun pålægges, hvor særlige
hensyn fører dertil.
Da direktivet bygger på det udgangspunkt, at der
skal ske anmeldelse, har udvalget ikke fundet det forsvarligt at
fastsætte et krav om, at der kun skal ske anmeldelse af visse
nærmere angivne behandlinger (positivliste), men foreslår i
stedet, at der i overensstemmelse med direktivets ordning indsættes et
krav om anmeldelse, kombineret med en række undtagelsesbestemmelser
(negativliste).
Udvalget har i de foreslåede undtagelsesbestemmelser
søgt at medtage de typiske behandlinger af almindelige oplysninger,
som de fleste virksomheder må forventes at udføre, herunder
behandlinger, som omfatter oplysninger om ansatte, kunder,
leverandører m.v.
Endvidere foreslås foreningsregistre undtaget i det
omfang, der alene behandles oplysninger om foreningens egne medlemmer.
Sådanne registre er også i dag undtaget fra anmeldelse, selv om
de indeholder følsomme oplysninger, jf. lov om private registre
§ 3, stk. 4, 2. pkt. Undtagelsen skal endvidere ses i lyset af
direktivets artikel 18, stk. 4, jf. artikel 8, stk. 2, litra d.
Herudover lægges der op til, at behandlinger, som i
dag er omfattet af bekendtgørelse nr. 121 af 11. marts 1988 om
undtagelse af visse private edb-registre fra anmeldelsespligt, undtages.
Endelig foreslås behandlinger, som foretages med
henblik på udførelsen af markedsundersøgelser,
undtaget.
Da det heller ikke inden for den private sektor er muligt
med sikkerhed at forudsige, om der eventuelt kunne være andre typer af
behandlinger, hvor det i betragtning af de behandlede oplysninger ikke er
sandsynligt, at de registreredes rettigheder eller frihedsrettigheder
krænkes, foreslås det, at der indsættes en
bemyndigelsesbestemmelse, hvorefter justitsministeren kan undtage
sådanne andre behandlinger fra kravet om anmeldelse. Det gælder
dog ikke behandlinger, som efter udvalgets opfattelse bør tillades
inden iværksættelsen, jf. om disse former for behandlinger
nedenfor.
Det er udvalgets opfattelse, at de foreslåede
undtagelser til anmeldelsesordningen vil indebære, at omfanget af
anmeldelser i den private sektor i hovedsagen vil være uændret.
Der henvises herved til bilag 18 i bilagssamlingen til
betænkningen.
For de behandlinger, som ikke omfattes af de
foreslåede undtagelser, og som derfor vil skulle anmeldes, anbefaler
udvalget, at der med hensyn til en række behandlinger etableres en
tilladelsesordning. Udvalget lægger herved vægt på, at en
sådan ordning, kombineret med muligheden for at stille vilkår,
vil være egnet til at tilvejebringe et klart og utvetydigt grundlag,
på hvilket virksomheden m.v. kan foretage sin behandling.
Hertil kommer, at Datatilsynet vil have mulighed for at
lade en tilladelse bortfalde, hvis en virksomhed m.v. tilsidesætter
vilkårene eller går ud over det, som den har oplyst i
anmeldelsen.
Den foreslåede tilladelsesordning, som i det
væsentlige svarer til, hvad der følger af lov om private
registre, skal ses på denne baggrund. Der henvises til
betænkningen, side 341 f.
Det bemærkes, at udvalget - som følge af de
foreslåede regler om overførsel af oplysninger til tredjelande -
anbefaler, at der fastsættes et krav om, at overførsel af
oplysninger til et tredjeland, der sikrer et tilstrækkeligt
beskyttelsesniveau, ikke skal kunne iværksættes, før der
er indhentet tilladelse hertil fra tilsynsmyndigheden. Dette bør efter
udvalgets opfattelse også gælde, selv om behandlingen af
oplysninger i øvrigt ikke er omfattet af kravet om anmeldelse. Der
henvises herved til betænkningen, side 290 f.
I tilknytning til forslaget til tilladelsesordning
anbefaler udvalget, at der i lovgivningen indsættes
bemyndigelsesbestemmelser, ifølge hvilke justitsministeren kan
fastsætte undtagelser fra kravet om tilladelse til behandling af
følsomme oplysninger eller kan fastsætte regler om, at andre
anmeldelsespligtige behandlinger skal tillades inden
iværksættelsen. Udvalget forudsætter i sidstnævnte
tilfælde, at der er tale om behandlinger, som indebærer en
særlig risiko på grund af deres art, omfang eller
formål.
Vedrørende anmeldelsens genstand og indhold samt
med hensyn til behandlingernes offentlige tilgængelighed henvises til
det under punkt A anførte.
C. Behandlinger, der udføres for domstolene
Udvalget har i lyset af direktivets bestemmelser
overvejet, hvilken anmeldelsesordning der bør gælde for den
behandling af oplysninger, der foretages for domstolene. I den forbindelse er
dels spørgsmålet om, i hvilket omfang der skal ske anmeldelse
til tilsynsmyndigheden, dels spørgsmålet om, hvilke oplysninger
en anmeldelse skal indeholde, gjort til genstand for overvejelse.
Efter at have overvejet forskellige
løsningsmodeller anbefaler udvalget, at den foreslåede
anmeldelsesordning for den offentlige forvaltning tilsvarende skal
gælde for domstolene. Herved sikres det, at den i lovgivningen
indeholdte anmeldelsesordning bliver så enstrenget som mulig. Samtidig
indebærer det, at domstolenes behandling af oplysninger i vid
udstrækning vil skulle anmeldes til tilsynsmyndigheden, hvilket vil
være medvirkende til at realisere de ovenfor beskrevne formål med
anmeldelse af behandlinger.
Med hensyn til det nærmere indhold af
anmeldelsesordningen på domstolsområdet henvises til det ovenfor
under pkt. A anførte, samt til betænkningen, side
345-347.
D. Særligt om edb-servicebureauer (databehandlere)
Udvalget foreslår, at edb-servicebureauer, herunder
som noget nyt tillige offentlige myndigheder, der fungerer som
edb-servicebureauer (databehandlere), skal foretage anmeldelse til
Datatilsynet forinden påbegyndelsen af behandlingen. Der henvises
herved til betænkningen, side 349.
4.2.7.3. Justitsministeriets forslag
Generelt om udvalgets forslag vedrørende den offentlige forvaltning
og den private sektor
Justitsministeriet kan generelt tilslutte sig udvalgets
forslag til en ny anmeldelsesordning for henholdsvis den offentlige
forvaltning og den private sektor.
Justitsministeriet lægger herved vægt
på, at forslaget er udtryk for en afbalanceret afvejning af på
den ene side hensynet til at sikre fornøden kontrol med behandlingerne
og på den anden side hensynet til, at der ikke pålægges de
dataansvarlige unødige byrder.
Justitsministeriet foreslår dog - ud fra
retssikkerhedsmæssige hensyn - at vedkommende tilsynsmyndighed ikke kun
skal foretage forudgående kontrol med hensyn til behandling af
nærmere bestemte oplysninger om enkeltpersoners rent private forhold,
herunder bl.a. væsentlige sociale problemer. Tilsynsmyndigheden skal
derimod generelt forudgående kontrollere lovligheden af behandling af
oplysninger om enkeltpersoners rent private forhold.
I det følgende behandles nogle særlige
spørgsmål i tilknytning til den foreslåede
anmeldelsesordning.
Overførsel af oplysninger til tredjelande
Registertilsynet har peget på, at der for så
vidt angår virksomheders m.v. konkrete overførsel af oplysninger
til et tredjeland, som ikke sikrer et tilstrækkeligt
beskyttelsesniveau, i et vist omfang bør fastsættes et krav om
tilladelse, før overførslen iværksættes.
Et sådant krav om tilladelse bør efter
Registertilsynets opfattelse stilles med hensyn til
overførsel, der er nødvendig af hensyn til opfyldelsen
af en aftale mellem den registrerede og den dataansvarlige eller af hensyn
til gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelse af en sådan
aftale,
overførsel, der er nødvendig af hensyn til
indgåelsen eller udførelsen af en aftale, der i den
registreredes interesse er indgået mellem den dataansvarlige og
tredjemand, og
overførsel, der er nødvendig eller følger af lov
eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig
samfundsmæssig interesse eller for, at et retskrav kan
fastlægges, gøres gældende eller forsvares.
Justitsministeriet kan - af retssikkerhedsmæssige
grunde - tiltræde Registertilsynets forslag.
Domstolene
Justitsministeriet kan tilslutte sig udvalgets forslag til
anmeldelsesordning vedrørende domstolene, hvorefter den
anmeldelsesordning, der i øvrigt gælder for offentlige
myndigheder (den offentlige forvaltning), også gælder for
domstolene.
Det bemærkes i den forbindelse, at domstolene i
forbindelse med høringen over betænkningen ikke har haft
indvendinger imod den anmeldelsesmodel, som udvalget har foreslået.
Særligt om anmeldelsesordningen for private sygehuse
Justitsministeriet finder, at der for at skabe
parallelitet mellem anmeldelsespligten for henholdsvis offentlige og private
sygehuse bør foretages en mindre ændring i den
anmeldelsesordning for den private sektor, som Registerlovsudvalget har
foreslået, og som også er lagt til grund i L 44.
Det foreslås derfor, at der ikke skal gøres
undtagelse fra anmeldelsesordningen inden for den private sundhedssektor,
hvis der er tale om behandling af personoplysninger, der foretages for et
privat sygehus. Der henvises til lovforslagets § 49, stk. 1, nr. 8.
Behandlingernes offentlige tilgængelighed
Justitsministeriet kan generelt tilslutte sig udvalgets
forslag til regulering af spørgsmålet om behandlingernes
offentlige tilgængelighed. Dog finder Justitsministeriet, at adgangen
til at gøre undtagelse fra pligten til at gøre behandlinger
offentlige tilgængelige bør præciseres. Det foreslås
således, at offentlighedens adgang til indsigt i tilsynsmyndighedernes
fortegnelser over de behandlinger, der er anmeldt, kun skal kunne
begrænses, i det omfang det er nødvendigt til forebyggelse,
opklaring og forfølgning af lovovertrædelser, eller
afgørende hensyn til private interesser gør det
påkrævet.
4.2.8. Tilsyn
4.2.8.1. Gældende ret
I dag varetages tilsynet med lov om offentlige
myndigheders registre og lov om private registre af Registertilsynet.
Også andre offentlige myndigheder påser
overholdelsen af lovgivning, som vedrører beskyttelsen af fysiske
personers grundlæggende rettigheder og frihedsrettigheder, herunder
retten til privatlivets fred, i forbindelse med, at der sker behandling af
personoplysninger. Herom henvises nærmere til
betænkningen, side 349 f, hvor der er redegjort for
Patientklagenævnets og Pressenævnets kompetence på
området.
Reglerne om Registertilsynets organisation fremgår
af lov om offentlige myndigheders registre kapitel 7.
Efter lovens § 22, stk. 1, består
Registertilsynet af et råd og et sekretariat.
Rådet nedsættes af justitsministeren og
består af en formand, der skal opfylde betingelserne for at kunne blive
udnævnt til dommer, og af 6 andre medlemmer, jf. § 23. Medlemmerne
og stedfortræderne for disse udnævnes for 4 år. Med reglen
om 4-årig beskikkelse er ikke tilsigtet at udelukke genbeskikkelse.
Registertilsynets daglige forretninger varetages af
sekretariatet, der ledes af en direktør, jf. § 24.
Direktøren er ikke medlem af rådet, men deltager i rådets
møder uden stemmeret. Sekretariatet forudsættes i
bemærkningerne til loven sammensat således, at det besidder
såvel juridisk som edb-teknisk sagkundskab. Den løbende
inspektionsvirksomhed varetages af sekretariatet.
Efter § 25 fastsætter justitsministeren
rådets forretningsorden og de nærmere regler om arbejdets
fordeling mellem råd og sekretariat. Der er ved Justitsministeriets
bekendtgørelse nr. 160 af 20. april 1979 fastsat forretningsorden for
registerrådet m.v.
Det følger af denne forretningsordens § 9,
stk. 1, at rådet behandler og træffer afgørelse i
sager af principiel karakter, sager af betydelig almindelig interesse eller
betydelige følger for en offentlig myndighed eller privat virksomhed
m.v., og sager, hvis udfald kan give anledning til tvivl.
Direktøren træffer afgørelse i andre
sager, jf. forretningsordenens § 9, stk. 2.
Rådets formand forbereder i samarbejde med
sekretariatet sagernes forelæggelse for rådet og leder
rådets møder, jf. forretningsordenens § 2, stk. 1.
Herudover indeholder forretningsordenen regler om
habilitet, mødeafholdelse, stemmeafgivelse, stedfortrædere og
lignende.
Det fremgår af forarbejderne til lovens § 22,
at Registertilsynet ikke er undergivet tjenestebefalinger fra nogen anden
administrativ myndighed med hensyn til udøvelsen af sin virksomhed.
Den funktionelle uafhængighed i forhold til den øvrige
forvaltning er et væsentligt element i sikringen af den enkeltes
integritet. Justitsministeriet har i bemærkningerne givet udtryk for,
at hensynet til en tilfredsstillende varetagelse af Registertilsynets
funktioner kræver, at rådets medlemmer udpeges på en
sådan måde, at der herigennem sikres tilsynet den fornødne
uafhængighed af de interesser inden for den offentlige og private
sektor, som efter forslaget undergives tilsynets kompetence. Samtidig er det
imidlertid af afgørende betydning for Registertilsynets autoritet, at
der blandt rådets medlemmer findes personer med en betydelig indsigt i
den offentlige (statslige såvel som kommunale) forvaltnings og
erhvervslivets forhold; dette vil være en forudsætning for, at
tilsynet kan foretage en selvstændig vurdering af de synspunkter, der
kan anføres for og imod ønsker om oprettelse og brug af
bestemte registre. Justitsministeriet var på denne baggrund af den
opfattelse, at der ved udpegning af medlemmer af rådet bør
tilstræbes uvildighed og sagkundskab fremfor
interesserepræsentation.
Registertilsynet har i dag overordnet set følgende
opgaver og funktioner:
Afgivelse af udtalelser efter forelæggelse fra
registeransvarlige myndigheder eller virksomheder og lignende
vedrørende påtænkte registreringer, videregivelser,
sikkerhed m.v.
Afgivelse af høringsudtalelser om påtænkt
lovgivning m.v.
Behandling af anmeldelser og ansøgninger om tilladelser.
Behandling af klagesager.
Behandling af egen drift-sager vedrørende overtrædelse
af lovgivningen.
Vejledning over for offentlige myndigheder og private.
Udførelse af inspektioner.
Deltagelse i internationalt samarbejde samt afgivelse af udtalelser
vedrørende udkast til rekommandationer, konventioner, direktiver
m.v.
Udgivelse af en årsberetning.
Opgaverne, der i nogen grad er forskellige afhængigt
af, om der er tale om behandling af oplysninger i den offentlige forvaltning
eller i den private sektor, beskrives nærmere i det
følgende.
A. Lov om offentlige myndigheders registre
Det fremgår af lovens § 22, stk. 1, at
Registertilsynet fører tilsyn med ethvert register, som omfattes af
loven. Tilsynet påser af egen drift eller efter klage fra en
registreret, at registeret er oprettet og anvendes i overensstemmelse med
lovens bestemmelser og de forskrifter, der er fastsat i medfør af
loven, jf. § 22, stk. 2.
Efter § 26, stk. 1, kan tilsynet afkræve
såvel den eller de for registeret ansvarlige myndigheder som den, der
fører registeret, enhver oplysning af betydning for tilsynet.
Registertilsynet træffer som hovedregel ikke
afgørelser over for offentlige myndigheder. Der findes dog enkelte
undtagelser herfra, idet tilsynet træffer endelige afgørelser i
relation til lovens § 13, stk. 1, 2, 4 og 6, § 14 samt efter
forskrifter fastsat i henhold til § 13, stk. 2, 3 og 5, jf.
§ 15 (registerindsigt), § 17, stk. 5 (særlig tilladelse
til videregivelse af ikke-følsomme oplysninger), samt § 18 og
§ 21, stk. 5 (særlig tilladelse til videregivelse fra
registre oparbejdet alene i statistisk eller videnskabeligt øjemed).
Tilsynets afgørelser kan ikke indbringes for andre
forvaltningsmyndigheder, jf. § 15, 2. pkt., 17, stk. 5, 3. pkt.,
§ 18, 3. pkt. og § 21, stk. 5, 2. pkt.
I alle andre tilfælde afgiver Registertilsynet alene
udtalelser. Tilsynet afgiver bl.a. udtalelser om udkast til forskrifter, jf.
lovens § 5, stk. 1, § 6, stk. 3, og § 7,
stk. 2. Herudover afgives udtalelser i klagesager om registrering,
videregivelse, sikkerhed m.v. Endvidere kan tilsynet til enhver tid
fremsætte forslag om ændring af gældende forskrifter over
for den myndighed, der har fastsat forskrifterne, jf. § 27.
Det har været kendetegnende, at tilsynets udtalelser
er blevet efterlevet af myndighederne, uanset de formelt set ikke har
bindende karakter. Der har således kun været et eksempel
på, at en myndighed direkte har afvist at følge en udtalelse,
som var afgivet af tilsynet. Sagen er omtalt i Registertilsynets
årsberetning 1995, side 111 ff.
Registertilsynets udtalelser kan i almindelighed ikke
indbringes for andre forvaltningsmyndigheder. Dog fremgår det af lovens
§ 5, stk. 2, at hvis tilsynet ikke kan tiltræde et udkast til
forskrifter for et register, som skal føres af en underordnet statslig
myndighed, skal sagen forelægges for vedkommende minister, som
træffer den endelige administrative afgørelse. Bestemmelsen har
aldrig været anvendt.
Tilsvarende fremgår det af § 6, stk. 3, 2.
pkt., at kan tilsynet ikke tiltræde et forslag til forskrifter, som
forelægges af en kommunal myndighed, skal sagen forelægges
finansministeren (nu forskningsministeren), der træffer den endelige
administrative afgørelse. Denne bestemmelse har kun været
anvendt i et enkelt tilfælde, jf. ovennævnte sag. I alle andre
tilfælde har myndighederne efterkommet tilsynets henstillinger, i visse
tilfælde dog efter nærmere forhandlinger om indholdet af
henstillingerne. Bestemmelserne i § 5, stk. 2, og § 6,
stk. 3, 2. pkt., gælder også, hvis tilsynet fremsætter
forslag til ændring af gældende forskrifter efter § 27.
Registertilsynet har ifølge § 26, stk. 3,
yderligere den særlige reaktionsmulighed, at tilsynet kan afgive en
indberetning til den eller de for registeret ansvarlige myndigheder og
vedkommende minister om konstaterede overtrædelser af loven eller
fastsatte forskrifter samt i øvrigt om forefundne mangler.
Registertilsynet skal i så fald have underretning om, hvad myndigheden
foretager i anledning af indberetningen. Tilsynet afgiver kun indberetninger,
hvis der er tale om overtrædelser af en vis alvorlighed. I
Registertilsynets årsberetninger til Folketinget er omtalt de
tilfælde, hvor indberetninger har været nødvendige i det
pågældende år.
I henhold til lovens § 26, stk. 2, har
Registertilsynets medlemmer og personale til enhver tid mod behørig
legitimation uden retskendelse adgang til alle lokaler, hvorfra registeret
administreres eller kan benyttes, samt til lokaler, hvor registeret eller de
tekniske hjælpemidler opbevares eller anvendes. Tilsynet har de seneste
år udført ca. 20 inspektioner om året i den offentlige
sektor.
Registertilsynet afgiver en årlig beretning om sin
virksomhed til Folketinget, jf. § 28. Beretningen skal efter
bestemmelsen offentliggøres, og tilsynet udsender den hvert år
til alle offentlige myndigheder og offentlige biblioteker samt visse private
virksomheder og pressen.
Herudover indeholder lovens § 28, stk. 2, en
udtrykkelig hjemmel til, at Registertilsynet kan offentliggøre
udtalelser, som tilsynet har afgivet i medfør af en række
angivne bestemmelser, herunder de udtalelser, tilsynet afgiver om udkast til
forskrifter for registre og tilsynets indberetninger af offentlige
myndigheder.
Oplysninger offentliggøres dog ikke i det omfang,
hensynet til gennemførelsen af de foreskrevne kontrol- og
sikkerhedsforanstaltninger eller afgørende hensyn til andre offentlige
interesser gør hemmeligholdelse påkrævet, jf. § 28,
stk. 2, 2. pkt., jf. § 8, stk. 2, 2. pkt.
Registertilsynets afgørelser m.v. kan indbringes
for de almindelige domstole, og tilsynet er undergivet sædvanlig
kontrol af Folketingets Ombudsmand. Der har aldrig været anlagt sag
imod tilsynet ved domstolene i relation til en udtalelse/afgørelse,
som tilsynet har afgivet eller truffet efter lov om offentlige myndigheders
registre. Dog har en del klagere siden tilsynets oprettelse i 1979 indbragt
udtalelser og afgørelser for ombudsmanden.
B. Lov om private registre
Reglerne om tilsynets kompetence i relation til private
virksomheder m.v. fremgår af lov om private registre kapitel 7.
Det fremgår af § 22, stk. 1, at
Registertilsynet fører tilsyn med, at der ikke sker overtrædelse
af loven eller bestemmelser, der er fastsat i medfør af loven.
Tilsynet påser herunder af egen drift eller efter klage fra en
registreret, at registeret er oprettet og anvendes i overensstemmelse med
loven og bestemmelser, der er fastsat i medfør af loven.
Tilsynet kan efter stk. 2 kræve enhver
oplysning, der er af betydning for dets virksomhed, herunder til
afgørelse af, om et forhold falder ind under lovens bestemmelser.
Denne bestemmelse er benyttet i en række tilfælde, og undertiden
er det nødvendigt at indgive politianmeldelse for at få
fremskaffet de nødvendige oplysninger.
Registertilsynet træffer afgørelser efter
loven, og disse kan ikke indbringes for anden administrativ myndighed, jf.
§ 25.
Derimod kan afgørelserne indbringes for
Folketingets Ombudsmand og for de almindelige domstole.
I nogle situationer træffer tilsynet
afgørelser i form af pålæg. Tilsynet kan
således meddele pålæg om, at registrering eller
videregivelse, der ikke må finde sted efter lov om private registre,
skal ophøre, og at eksisterende registre, der føres i strid med
loven eller et i henhold hertil meddelt pålæg, skal slettes, jf.
§ 23, stk. 1.
Tilsynet kan endvidere pålægge en virksomhed
m.v. at foretage sletning eller berigtigelse af en oplysning, som ikke
må registreres, eller som tilsynet finder urigtig eller vildledende,
jf. § 23, stk. 2. Denne bestemmelse skal ses i sammenhæng med
reglerne i §§ 5 og 6. Se ovenfor pkt. 4.2.4.1. (pkt. B).
Herudover kan tilsynet pålægge en person eller
en virksomhed m.v. at slette eller berigtige oplysninger, der er registreret
før lovens ikrafttræden, og som ikke må registreres efter
loven, eller som tilsynet finder urigtige eller vildledende, jf. § 23,
stk. 3.
Efter § 23, stk. 4, kan tilsynet i særlige
tilfælde pålægge en virksomhed m.v. at slette oplysninger,
der på grund af alder eller af andre grunde har mistet deres betydning
for varetagelsen af registerets opgaver. Bestemmelsen er omtalt ovenfor under
pkt. 4.2.4.1. (pkt. B).
Efter § 23, stk. 5, kan tilsynet forbyde en
nærmere angiven fremgangsmåde i forbindelse med indsamling eller
videregivelse af oplysninger, såfremt tilsynet finder, at den
pågældende fremgangsmåde medfører en væsentlig
risiko for, at der registreres eller videregives urigtige eller vildledende
oplysninger eller oplysninger, som ikke må registreres eller
videregives. Bestemmelsen kan bl.a. anvendes over for indsamling og
videregivelse af oplysninger.
Endelig fremgår det af § 23, stk. 6, at
tilsynet kan pålægge virksomheden m.v. at foretage nærmere
angivne kontrolforanstaltninger til sikring af, at der ikke er eller bliver
registreret eller videregivet oplysninger, som ikke må registreres
eller videregives, eller som er urigtige eller vildledende, samt
foranstaltninger til sikring eller forebyggelse mod, at de registrerede
oplysninger misbruges eller kommer til uvedkommendes kendskab. Denne
bestemmelse kan bl.a. anvendes i forbindelse med inspektioner til
pålæg af mere sikkerhedsmæssig karakter.
Registertilsynet har ikke en generel adgang til at
foretage inspektion af private virksomheder m.v. uden retskendelse. Tilsynet
har dog efter § 22, stk. 3, en sådan adgang i forhold til
virksomheder, der er anmeldelsespligtige eller omfattes af bestemmelserne i
§ 3, stk. 6 (advarselsregistre), § 21 (overførsel af
oplysninger til udlandet), eller bestemmelser fastsat i medfør af
§ 3, stk. 8 (pengeinstitutters videregivelse af kreditoplysninger
og stillingsbesættende virksomhed). Tilsynets personale og medlemmer
har efter bestemmelsen til enhver tid mod behørig legitimation uden
retskendelse adgang til lokaler, hvorfra registeret administreres eller kan
benyttes, samt til lokaler, hvor registeret eller de tekniske
hjælpemidler opbevares eller anvendes.
Registertilsynet har de seneste år udført ca.
20 inspektioner om året i den private sektor.
Endelig skal nævnes, at justitsministeren efter
§ 24 til opfyldelse af internationale aftaler eller i øvrigt til
fremme af internationalt samarbejde om kontrol med den art af virksomhed, der
omfattes af loven, kan fastsætte regler bl.a. om Registertilsynets
forhold til udenlandske tilsynsmyndigheder, om anmeldelsespligt, om sletning
af registre og om, at bestemmelsen i § 22, stk. 3, også
finder anvendelse på anden virksomhed end nævnt i bestemmelsen.
Sådanne regler er ikke blevet fastsat.
I lovens § 26, stk. 2, er der fastsat regler om
betaling af et gebyr på 1.000 kr. for visse anmeldelser og tilladelser.
Der henvises nærmere til betænkningen, side 130 f, hvor
der er givet en opregning af, i hvilke tilfælde der er
betalingspligt.
4.2.8.2. Udvalgets overvejelser
A. Det almindelige tilsyn (Datatilsynet)
I betænkningen, side 349-374, er beskrevet,
hvorledes den almindelige tilsynsmyndighed bør organiseres, samt
hvilke opgaver myndigheden bør tillægges.
Tilsynets organisation
Med hensyn til organiseringen af den almindelige
tilsynsmyndighed anfører udvalget indledningsvis, at det fremgår
af direktivets artikel 28, stk. 1, 2. afsnit, at den eller de
tilsynsmyndigheder, som har til opgave på en medlemsstats område
at påse overholdelsen af de bestemmelser, som vedtages til
gennemførelse af direktivet, skal udøve de funktioner, der
tillægges dem, i fuld uafhængighed.
Registertilsynet lever efter udvalgets opfattelse op til
det nævnte krav om fuld uafhængighed. Det foreslås derfor,
at det almindelige tilsyn med overholdelsen af den generelle lovgivning om
behandling af personoplysninger fortsat skal henlægges til
Registertilsynet, som dog foreslås benævnt »Datatilsynet« i
stedet for »Registertilsynet«, idet denne betegnelse bedre vil dække
tilsynsmyndighedens aktiviteter.
Der er ikke i udvalget enighed om, hvorledes Datatilsynet
nærmere skal organiseres. Det har således været overvejet,
om den gældende ordning vedrørende Registertilsynets
organisation fuldt ud bør opretholdes, eller om ordningen bør
erstattes af en to- instansordning i form af opretholdelsen af den
nuværende myndighed samt et ankenævn. Udvalget har endvidere
overvejet, om det nuværende råd (Registerrådet) i så
fald skal opretholdes.
Et flertal (10 medlemmer) finder, at de
nuværende regler for tilsynsmyndighedens organisation i det
væsentlige bør opretholdes.
Kernen i den gældende ordning er, at
Registertilsynet, bestående af et sekretariat, der varetager tilsynets
daglige forretninger, og et råd, der navnlig behandler sager af
principiel karakter, er den højeste administrative myndighed på
området og udøver sine funktioner i fuld uafhængighed.
Registertilsynet har en finanslovmæssig og personalemæssig
tilknytning til Justitsministeriet, som er ressortministerium for
registerlovgivningen, men tilsynet er under udførelsen af sine
funktioner som tilsynsmyndighed ikke undergivet instruktionsbeføjelse
af Justitsministeriet.
Flertallet finder, at den gældende ordning, som blev
etableret med ikrafttrædelsen af de to registerlove den 1. januar 1979,
har fungeret fuldt tilfredsstillende. Registertilsynets udtalelser og
afgørelser er som altovervejende hovedregel blevet respekteret og
fulgt af såvel offentlige myndigheder som private virksomheder.
Samtidig har det været muligt at holde de økonomiske og
personalemæssige ressourcer, som ordningen har krævet, på
et rimeligt niveau.
Flertallet afviser, at der af retssikkerhedsmæssige
eller andre grunde skulle være et reelt behov for at indføre en
ankenævnsordning, som foreslået af et mindretal af udvalgets
medlemmer. Flertallets opfattelse er navnlig baseret på følgende
betragtninger:
Langt den overvejende del af Registertilsynets
sagsbehandling, såvel efter den gældende registerlovgivning som
efter udvalgets forslag til en fremtidig lov om behandling af
personoplysninger, munder ud i ikke-retligt bindende henstillinger,
høringssvar, vejledende udtalelser og lignende. Registertilsynets
nuværende organisation har vist sig særdeles velegnet til denne
form for sagsbehandling. En sådan sagsbehandling er derimod ikke egnet
til at blive påklaget til en ankeinstans. Kun i en mindre del af
sagerne træffes der bindende afgørelser, f.eks.
vedrørende registerindsigt eller i form af påbud eller forbud
rettet mod en privat virksomhed. Kun i disse tilfælde vil det
være relevant med en ankenævnsordning. I øvrigt skal man
være opmærksom på, at nedlæggelse af
Registerrådet - som foreslået af mindretallet - vil
indebære, at det ikke længere vil være muligt at få
Registerrådets vurdering af en sag, hvori sekretariatet har afgivet en
uforbindende udtalelse.
Hertil kommer, at Registertilsynet er undergivet
sædvanlig kontrol af Folketingets Ombudsmand, og at tilsynets
afgørelser kan efterprøves af domstolene.
Domstolsprøvelse finder i praksis sted enten i forbindelse med
anerkendelsessøgsmål rettet mod Registertilsynet (er sket 2
gange; Registertilsynet blev frifundet i begge sager), eller i forbindelse
med straffesager mod private, hvor Registertilsynet har indgivet
politianmeldelse for manglende efterlevelse af et påbud, men hvor
tiltalte bestrider lovligheden af tilsynets påbud.
Etablering af en ankeinstans i forhold til
tilsynsmyndigheden - med de deraf følgende muligheder for
underkendelse af tilsynets afgørelser - vil endvidere svække
tilsynsmyndighedens position. Risikoen for at blive underkendt af
ankenævnet vil f.eks. gøre det vanskeligere for
tilsynsmyndigheden at rådgive offentlige myndigheder og private
virksomheder, der forud for iværksættelse af en behandling af
personoplysninger ønsker tilsynets vurdering af lovligheden.
Hvis det nuværende Registerråd erstattes af en
ankeinstans, således som udvalgets mindretal foreslår, vil det
også betyde, at tilsynsmyndighedens vejledende udtalelser i form af
høringssvar og lignende, som ikke vil kunne indbringes for et
ankenævn, ikke længere vil blive tillagt den samme vægt som
nu, hvor Registerrådet står bag udtalelserne.
Hvis man opretholder et Registerråd og samtidig
indfører et ankenævn, må det derimod befrygtes, at det
ikke vil være muligt at udpege et råd med den nuværende
sammensætning og kompetence og med den deraf følgende autoritet,
hvis rådets afgørelser skal kunne påklages til og
underkendes af en ankeinstans.
Direktivet understreger, at oprettelsen af
uafhængige tilsynsmyndigheder med vidtgående beføjelser
har afgørende betydning for beskyttelsen af personoplysninger. Det
fremgår direkte af direktivets artikel 28, stk. 1 og 3, at
tilsynsmyndigheden skal udøve sine funktioner i fuld
uafhængighed, og at afgørelser truffet af tilsynsmyndigheden,
som går en involveret part imod, kan indbringes for en retsinstans.
Disse krav lever den nuværende ordning fuldt ud op til.
Flertallet peger samtidig på, at
spørgsmålet om tilsynets organisation bør ses i
sammenhæng med, ud fra hvilke overordnede synspunkter
tilsynsvirksomheden bør tilrettelægges, udøves og
prioriteres. Den ekspertise, sekretariatet og rådet bør
være i besiddelse af, bør i øvrigt afspejle disse
grundlæggende synspunkter.
Det er i den forbindelse flertallets opfattelse, at
tilsynsmyndigheden i første række bør tage sigte på
at kunne udøve sin virksomhed gennem generelle retningslinier og ved
en serviceorienteret rådgivning og vejledning frem for en regulering
primært koncentreret om afgørelse af enkeltsager i et
traditionelt rekurssystem. Tilsynet skal dog naturligvis under alle
omstændigheder også behandle de enkeltsager i form af klager og
andre konkrete henvendelser, som tilsynet modtager fra enkeltpersoner og
virksomheder.
Også en række forhold af mere praktisk
karakter taler efter flertallets opfattelse med betydelig styrke imod en
ankenævnsordning:
Ankenævnet vil i praksis få meget vanskeligt
ved at opnå den fornødne faglige indsigt i og overblik over
retsområdet og praksis. Dette skyldes dels, at antallet af sager, der
vil blive indbragt for nævnet, under alle omstændigheder må
forventes at blive forholdsvis beskedent, dels at der kun vil blive tale om
bestemte typer af sager. Det skal herved også fremhæves, at
lovgivningen om persondatabeskyttelse er et kompliceret retsområde, som
er under betydelig påvirkning af den løbende teknologiske
udvikling. Dette stiller store krav til tilsynsmyndigheden, og et i forhold
til tilsynsmyndigheden uafhængigt ankenævn vil i praksis
næppe - eller i hvert fald kun under brug af uforholdsmæssigt
store ressourcer - kunne leve op hertil.
Endelig vil en ankenævnsordning være
omkostningskrævende. Her tænkes ikke alene på de - ikke
uvæsentlige - udgifter, der vil være direkte forbundet med
etablering og drift af ankenævnet, men også på de indirekte
omkostninger, som vil være en konsekvens af en klagesagsbehandling.
Forholdet er det, at behandlingen af en klage ikke alene vil involvere den
klagende part og ankenævnet. Også tilsynsmyndigheden og,
afhængigt af sagens karakter, sagens andre parter må
således forventes i større eller mindre omfang at skulle tage
del i sagens forberedelse og forelæggelse for ankenævnet med
deraf følgende ressourceforbrug.
Et mindretal (5 medlemmer) finder, at de
nuværende regler for tilsynsmyndighedens organisation ikke i
tilstrækkelig grad frembyder de retssikkerhedsgarantier, som bør
gælde for uafhængige forvaltningsmyndigheder.
Mindretallet bygger dette på følgende
betragtninger:
Efter den nugældende ordning træffer
Registerrådet afgørelse i sager af principiel karakter, i sager
af betydelig almen interesse samt i sager, hvis udfald kan give anledning til
tvivl. Hverken loven eller den for Registerrådet gældende
forretningsorden, jf. bekendtgørelse nr. 160 af 20. april 1979, lader
rådet fungere som klageinstans for sekretariatets afgørelser. Da
adressaten således ingen ret har til at få en afgørelse
indbragt for rådet, vil rådet kun kunne fungere som
»klageinstans«, såfremt de synspunkter, adressaten måtte
fremsætte mod en afgørelse, bringer sekretariatet således
i tvivl om dens indhold, at der er grundlag for at inddrage rådet.
Da Registerrådet funktionelt er uafhængig af
ressortministeriet, har adressaten for en afgørelse for
Registertilsynet herefter ingen adgang til at udøve administrativ
rekurs. Ønsker adressaten at anfægte en sådan
afgørelse, er han med andre ord henvist til at gå domstolsvejen,
jf. den almindelige regel i grundlovens § 63. Omkostningerne ved en
sådan procedure (målt i såvel tid som penge) afholder
utvivlsomt mange adressater fra at gå videre med afgørelser, som
der kunne være tvivl om. Udover de retssikkerhedsmæssige
betænkeligheder herved får denne ordning som bivirkning, at der
ikke opbygges nogen praksis med enkeltafgørelser på det
registerretlige område.
En sådan administrativ en-instans-behandling er
forholdsvis sjældent forekommende i den offentlige forvaltning. Dette
gælder i særlig grad, hvis man sammenligner registerområdet
med andre lovgivningsområder, der i høj grad betjener sig af
retlige standarder, hvor retsudviklingen må forventes at forme sig
efter en dynamisk proces i lyset af den samfundsmæssige udvikling, og
hvor der er klart identificerbare interessemodsætninger. Eksempler
på en sådan lovgivning findes f.eks. om Patientklagenævnet,
Naturklagenævnet, Miljøklagenævnet, Teleklagenævnet,
Klagenævnet for udbud og politiklagenævnene.
Behovet for en ankenævnsordning forstærkes
yderligere ved, at den nye lovgivning om behandling af personoplysninger vil
tillægge tilsynsorganet væsentligt flere
afgørelsesbeføjelser, end den nuværende lov
gør.
Disse medlemmer foreslår derfor, at der
indføres en ankenævnsordning, hvorefter afgørelser fra
Datatilsynet kan påklages til et uafhængigt ankenævn, der
repræsenterer såvel den juridiske sagkundskab som sagkundskab
inden for informationsteknologi, offentlig forvaltning og erhvervsforhold. En
sådan ankenævnsordning er allerede foreslået af det norske
personregisterlovutvalg i betænkningen »et bedre personvern«,
NOU 1997:19, s. 116 ff. (de almindelige bemærkninger) og s. 169 f. (med
forslaget i lovudkastets § 37).
Dette mindretal er i øvrigt enig med flertallet i,
at den gældende ordning i hovedsagen har fungeret tilfredsstillende,
men mener i modsætning til flertallet ikke, at denne antagelse i sig
selv godtgøres ved, at Registertilsynets udtalelser og
afgørelser som hovedregel er blevet respekteret. Ligeledes deler
mindretallet ikke flertallets opfattelse af, at man gennem en
ankenævnsordning vil svække tilsynsmyndighedens position, idet
den retskildeskabelse, der vil finde sted gennem ankenævnets praksis,
tværtimod vil kunne give tilsynets udtalelser en endnu højere
autoritet.
Hvis en ankenævnsordning indføres, vil det
efter mindretallets opfattelse ikke længere være
påkrævet at opretholde et registerråd, og dette
foreslås derfor nedlagt, således at Datatilsynets ledelse samles
hos direktøren.
Et andet mindretal (3 medlemmer) finder ikke
grundlag for at tage stilling til spørgsmålet om, hvorledes
tilsynet bør organiseres.
Tilsynets opgaver, beføjelser og pligter
Indledende bemærkninger
Hvad angår Datatilsynets opgaver er der i udvalget
enighed om, at rådet - i det omfang den nuværende tilsynsordning
opretholdes, jf. ovenfor - bør være kompetent til at
fastsætte sin egen forretningsorden og de nærmere regler om
arbejdets fordeling mellem råd og sekretariat. Efter lov om offentlige
myndigheders registre § 25 er det - som tidligere anført -
justitsministeren, som har denne kompetence.
Herudover foreslår udvalget, at den nuværende
adgang til at indbringe en sag for en minister, såfremt der ikke kan
opnås enighed mellem den dataansvarlige myndighed og Registertilsynet i
forbindelse med oprettelsen af et register eller eventuelt senere,
opretholdes. Samtidig peges der på, at proceduren fremover også
bør kunne anvendes i en hvilken som helst situation, hvor der er
uenighed om udførelsen af en behandling, uanset om behandlingen skal
forelægges Datatilsynet eller ej. Er der tale om uenighed
vedrørende behandlinger, som foretages for kommunale myndigheder,
bør indbringelse - som nævnt ovenfor under pkt. 4.2.7.2. -
fremover skulle ske for indenrigsministeren i stedet for
forskningsministeren.
Endelig peges der fra udvalgets side på, at
Datatilsynets afgørelser - ligesom Registertilsynets afgørelser
i dag - til enhver tid vil kunne indbringes for domstolene, jf. grundlovens
§ 63, hvorefter domstolene er berettigede til at påkende ethvert
spørgsmål om øvrighedsmyndighedens grænser.
Herudover vil tilsynets virksomhed være undergivet Folketingets
Ombudsmands kompetence.
Hvad særligt angår bestemmelsen i direktivets
artikel 28, stk. 3, 3. pind, hvorefter tilsynsmyndigheden skal kunne
indbringe overtrædelser af de nationale bestemmelser, som vedtages til
gennemførelse af direktivet, for retsinstanserne eller gøre
retsinstanserne opmærksom på disse overtrædelser,
bemærker udvalget, at Registertilsynet i dag medvirker til at indbringe
overtrædelser af registerlovgivningen for domstolene ved at indgive
politianmeldelse mod den, der efter Registertilsynets opfattelse har
overtrådt lovgivningen. Udvalget finder ikke, at den nuværende
ordning kan antages at være i strid med direktivet, da resultatet under
alle omstændigheder er, at tilsynsmyndigheden foranlediger, at bestemte
forhold bliver indbragt for domstolene. Udvalget foreslår på
denne baggrund ikke, at der indsættes særlige bestemmelser
herom.
For så vidt angår Datatilsynets opgaver,
anfører udvalget, at direktivets bestemmelser om tilsynsmyndighed
hverken foreskriver eller udelukker, at der i den nationale lovgivning
fastsættes forskellige regler vedrørende tilsynets opgaver i
forhold til henholdsvis den offentlige forvaltning og den private sektor.
Tilsynet må blot antages at skulle udstyres med de beføjelser,
som i fornøden grad sætter tilsynet i stand til at påse
overholdelsen af de bestemmelser, som vedtages til gennemførelse af
direktivet. Dog skal tilsynet mindst kunne iværksætte
undersøgelser, gribe effektivt ind samt indbringe overtrædelser
for de nationale retsinstanser.
Udvalgets forslag til den nærmere udmøntning
af disse opgaver i forhold til offentlige og private dataansvarlige er
beskrevet i betænkningen, side 357- 374.
Fælles bestemmelser for den offentlige forvaltning og private
Der foreslås indsat en række bestemmelser i
den kommende lovgivning, som skal gælde i relation til såvel den
offentlige forvaltning som den private sektor.
Det foreslås, at Datatilsynet skal føre
tilsyn med enhver behandling, der omfattes af loven, bortset fra
behandlinger, der foretages for domstolene. Endvidere skal Datatilsynet af
egen drift eller efter klage fra en registreret person påse, at
behandlingen finder sted i overensstemmelse med loven eller regler udstedt i
medfør af loven. Dette svarer til, hvad der følger af
bestemmelserne i lov om private registre § 22, stk. 1, og lov om
offentlige myndigheders registre § 22, stk. 2. Dog er genstanden
for tilsynet efter disse love ikke behandlinger, men oprettelse og
førelse af registre.
Endvidere foreslås det, at Datatilsynet skal kunne
kræve enhver oplysning, der er af betydning for dets virksomhed,
herunder til afgørelse af, om et forhold falder ind under lovens
regulering. Dette svarer til den gældende regel i lov om private
registre § 22, stk. 2, samt delvis til, hvad der følger af
lov om offentlige myndigheders registre § 26, stk. 1.
Herudover foreslås det, at der i lovgivningen
indsættes en bestemmelse, hvorefter Datatilsynet efter
omstændighederne skal kunne tilbagekalde begunstigende
afgørelser om overførsel af oplysninger til tredjelande for at
kunne efterleve en afgørelse fra Europa-Kommissionen. Om baggrunden
for bestemmelsen henvises nærmere til betænkningen, side
360 f.
Afgørelser truffet af Datatilsynet bør efter
udvalgets opfattelse ikke kunne indbringes for anden administrativ myndighed.
Dette forslag svarer til lov om private registre § 25 samt diverse
særbestemmelser i lov om offentlige myndigheders registre.
Desuden foreslås det, at Datatilsynet skal kunne
bestemme, at anmeldelser, ansøgninger om tilladelse efter loven samt
ændringer heri kan eller skal ske på nærmere angiven
måde. Registertilsynet har en tilsvarende kompetence i henhold til lov
om private registre § 26, stk. 2 (alle anmeldelser og
ansøgninger), samt i begrænset omfang i henhold til lov om
offentlige myndigheders registre § 8 c (anmeldelse af registre, som er
fritaget fra kravet om forskriftsfastsættelse).
Udvalget foreslår endelig, at Datatilsynet - ligesom
efter lov om offentlige myndigheders registre § 28, stk. 1 - skal
afgive en årlig beretning om sin virksomhed til Folketinget.
Beretningen skal offentliggøres. Endvidere foreslås det, at
Datatilsynet skal kunne offentliggøre sine udtalelser. En sådan
adgang til offentliggørelse af udtalelser følger også i
et vist omfang af den nugældende lov om offentlige myndigheders
registre § 28, stk. 2.
Særlige regler for den offentlige forvaltning
Specielt for så vidt angår tilsynet med
forvaltningsmyndigheder foreslår udvalget, at ordningen med
(uforbindende) udtalelser fortsætter. Udvalget lægger herved
vægt på, at der siden lovens ikrafttræden kun har
foreligget ét tilfælde, hvor en myndighed helt har afvist at
følge tilsynets udtalelse. Den gældende ordning må derfor
siges at have fungeret tilfredsstillende. Det er udvalgets opfattelse, at det
har været muligt for Registertilsynet at gribe effektivt ind over for
offentlige myndigheder ved at afgive udtalelser og påtale
overtrædelser af loven i relation til de materielle registrerings- og
videregivelsesbetingelser samt sikkerhedsforanstaltninger.
På denne baggrund synes det hverken
nødvendigt eller ønskeligt, at tilsynsmyndigheden fremover
generelt skal kunne træffe egentlige afgørelser i forhold til
andre myndigheder.
I nogle tilfælde kan der imidlertid være gode
grunde til at tillægge Datatilsynet en egentlig
afgørelseskompetence.
Som nævnt ovenfor har Registertilsynet i dag
afgørelseskompetence i forhold til sager om registerindsigt, hvilket
er et eksempel - det eneste, som findes i den nuværende lov om
offentlige myndigheders registre - på en udtrykkelig ret for en
registreret.
Udvalget foreslår, at denne ordning fastholdes.
Herudover bør Datatilsynet i forhold til forvaltningsmyndigheder
træffe (bindende) afgørelse i sager, som vedrører
undtagelse fra behandlingsforbudet med hensyn til særlige kategorier af
personoplysninger, sager om automatisk registrering af udgående
telefonopkald, sager om overførsel af oplysninger til tredjelande,
sager om rækkevidden af den registreredes rettigheder, samt sager om
tilbagekaldelse af tilladelse til overførsel af oplysninger til
tredjelande.
I alle andre tilfælde bør tilsynet efter
udvalgets opfattelse alene afgive (uforbindende) udtalelser.
Med hensyn til spørgsmålet om
inspektionskompetence foreslås der videreført en bestemmelse om,
at tilsynets medlemmer og personale til enhver tid har adgang til visse
lokaler mod behørig legitimation uden retskendelse, jf. herved lov om
offentlige myndigheders registre § 26, stk. 2.
I den nugældende lov om offentlige myndigheders
registre § 26, stk. 3, er der en særlig adgang for
Registertilsynet til at afgive indberetning til den eller de for et register
ansvarlige myndigheder og vedkommende minister om konstaterede
overtrædelser af loven eller de fastsatte forskrifter samt i
øvrigt om forefundne mangler. Tilsynet skal have underretning om, hvad
myndigheden foretager i anledning af indberetningen.
Udvalget finder - som nævnt ovenfor under pkt.
4.2.7.2. - at der ikke længere er et behov for en særlig politisk
kontrol med oprettelse eller iværksættelse af
registre/behandlinger. På samme måde finder udvalget, at der ikke
er et behov for en speciel politisk kontrol med overholdelsen af loven i
forbindelse med udførelsen af behandlinger. Hertil kommer, at der i
dag kun indgives indberetninger, såfremt der er tale om
overtrædelser af en vis alvor, og det må under alle
omstændigheder forventes, at en kritik af sådanne
overtrædelser tilsendes en person på et højere, muligvis
det højeste, niveau inden for myndigheden. En væsentlig funktion
af indberetningerne ligger i, at kritikken udtrykkes over for et niveau i
myndigheden, som har fornøden kompetence og ansvar til at træffe
passende foranstaltninger til at imødegå muligheden for
fremtidige overtrædelser. Denne funktion vil således blive
varetaget uanset opretholdelsen af en regel om indberetning.
På denne baggrund foreslås der ikke
bestemmelser om indberetning til dataansvarlige myndigheder
(kommunalbestyrelser, amtsråd og direktører m.v. for statslige
styrelser) og vedkommende minister.
Særlige regler for private dataansvarlige
Hvad særligt angår tilsynet med de private
dataansvarlige foreslår udvalget, at den nuværende retstilstand
opretholdes med de modifikationer, der følger af, at lovens genstand
ikke vil være registrering og videregivelse, men behandling af
oplysninger.
Herudover finder udvalget, at der bør åbnes
mulighed for, at Datatilsynet i stedet for at påbyde sletning af
oplysninger, som efter loven ikke må behandles, kan påbyde
blokering. Direktivets artikel 28, stk. 3, 2. pind, omtaler muligheden
for at gribe effektivt ind ved at beordre oplysninger blokeret.
Datatilsynet vil, ligesom det hidtil har været
tilfældet for Registertilsynet, have behov for at kunne indhente de
relevante oplysninger i forbindelse med udøvelsen af sin
tilsynsvirksomhed. Disse oplysninger vil i langt de fleste tilfælde
kunne indhentes skriftligt eller eventuelt telefonisk eller lignende.
Som nævnt er der imidlertid i den nugældende
lov om private registre § 22, stk. 3, hjemmel til, at
Registertilsynet - ud over at kunne kræve enhver oplysning, som er af
betydning for dets virksomhed, jf. § 22, stk. 2 - kan foretage
inspektioner med hensyn til nærmere bestemt virksomhed, hvorved
tilsynet uden retskendelse ved en eller flere ansatte møder op
på det sted, hvor registreringen fysisk sker, eller hvorfra den faktisk
administreres.
Udvalget finder, at der fortsat er behov for i et vist
omfang at kunne inspicere hos private. Se om baggrunden herfor
betænkningen, side 366 f.
Udvalget har i den forbindelse overvejet konsekvenserne
af, at det nugældende forbud mod fysiske personers registrering af
oplysninger, som er omfattet af lov om private registre § 1,
stk. 1, foreslås ophævet. Oplysninger, som behandles af
fysiske personer med henblik på udøvelse af aktiviteter af rent
privat karakter, vil ikke være omfattet af loven, jf. § 2,
stk. 1, i udvalgets forslag til en ny lovgivning om behandling af
personoplysninger. Dette betyder imidlertid ikke, at der ikke må
antages at være en række behandlinger, som foretages af
privatpersoner i deres eget hjem, der fremover vil være omfattet af
lovgivningen.
Udvalget finder det ikke rimeligt, at en dataansvarlig kan
undgå inspektioner ved at forelægge den fysiske behandling af
oplysninger til privat bolig, hvorfor inspektionsbeføjelsen ikke
foreslås indskrænket til kun at gælde forretningslokaler
m.v.
Dog finder udvalget, at inspektionsbeføjelserne
bør indskrænkes til at gælde i relation til behandlinger,
som på grund af deres omfang eller formål kan indebære en
særlig risiko for at krænke de registreredes rettigheder og
frihedsrettigheder, f.eks. behandlinger, der har til formål at udelukke
den registrerede fra at udøve en ret, modtage en ydelse eller
opnå en kontrakt, eller som indebærer anvendelse af ny teknologi.
Inspektionsbeføjelsen bør med andre ord gælde for
behandlinger, som ud fra de samme betragtninger er undergivet et krav om
forudgående tilladelse, jf. ovenfor under pkt. 4.2.7.2. (pkt. B).
Efter den gældende registerlovgivning er bl.a. edb-
servicebureauer undergivet Registertilsynets inspektionsbeføjelse, jf.
lov om private registre § 20, jf. § 22, stk. 3. Udvalget
finder, at disse bureauer fortsat bør være undergivet
tilsynsmyndighedens inspektionsbeføjelse, således at det sikres,
at Datatilsynet kan inspicere bureauernes virksomhed - og navnlig de
etablerede sikkerhedsforanstaltninger - som en helhed og ikke blot de
konkrete behandlinger.
Datatilsynets øvrige opgaver
Af øvrige generelle opgaver, der - som noget nyt -
vil skulle henlægges til Datatilsynet, peger udvalget for det
første på, at Datatilsynet vil skulle høres ved
udarbejdelsen af administrative foranstaltninger eller retsforskrifter om
beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med
behandling af personoplysninger. Udvalget henviser herved til, at dette
følger af direktivets artikel 28, stk. 2.
Selv om det ikke kan antages at følge som en
forpligtelse af den nævnte bestemmelse i direktivet, forudsætter
udvalget endvidere, at Datatilsynet høres i forbindelse med, at
regeringen udarbejder sådanne lovforslag, ligesom vedkommende
ressortministerium også forudsættes at inddrage Datatilsynet i
forbindelse med sin stillingtagen til et privat lovforslag.
Hvad særligt angår behandling af oplysninger,
som foretages for domstolene, og som et flertal foreslår, at der
etableres en særlig tilsynsordning for, jf. nedenfor, finder udvalget,
at der bør skabes fornødent lovgrundlag for, at Datatilsynet og
disse tilsynsmyndigheder kan samarbejde i det omfang, det er
nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle
relevante oplysninger. Udvalget peger i den forbindelse på, at
Datatilsynet (i dag Registertilsynet) er i besiddelse af en betydelig
sagkundskab vedrørende databeskyttelsesretlige spørgsmål,
som det bør være muligt for de øvrige tilsynsmyndigheder
at trække på. Der henvises nærmere til
betænkningen, side 370.
Endelig foreslår udvalget - i lyset af direktivets
artikel 28, stk. 6, - at Datatilsynet også skal samarbejde med
tilsynsmyndighederne i andre medlemsstater. Indholdet af Datatilsynets
opgaver på dette område er beskrevet i betænkningen,
side 371- 373.
B. Tilsynet med domstolene
For så vidt angår tilsynet med domstolenes
behandling af oplysninger, har udvalget overvejet to spørgsmål.
Det gælder for det første spørgsmålet om, hvem der
skal føre tilsyn med domstolenes behandling af personoplysninger, og
for det andet spørgsmålet om, hvilke opgaver der bør
henlægges til vedkommende tilsynsmyndighed.
Som anført ovenfor følger det af direktivets
artikel 28, stk. 1, at medlemsstaterne skal udpege én eller flere
tilsynsmyndigheder (offentlige myndigheder), der har til opgave på
deres område at påse overholdelsen af de bestemmelser,
medlemsstaterne vedtager til gennemførelse af direktivet. Dette skal
bl.a. ske på baggrund af de anmeldelser, som vedkommende
tilsynsmyndighed modtager fra de dataansvarlige, jf. nærmere ovenfor
pkt. 4.2.7.2., hvor udvalgets overvejelser vedrørende anmeldelse af
behandlinger, der foretages for domstolene, er beskrevet.
Udvalget peger på to mulige tilsynsordninger, nemlig
enten at henlægge tilsynet med domstolene til Datatilsynet eller at
gennemføre en ordning, som i det væsentlige svarer til den, der
er indeholdt i tinglysningslovens § 50 og §§ 50 a-g (edb-
tinglysningsregistre).
Et flertal (17 medlemmer) anbefaler den
sidstnævnte tilsynsmodel, idet flertallet af principielle grunde ikke
kan anbefale, at det overlades til Datatilsynet at føre tilsyn med
domstolenes judicielle funktioner. Flertallet anfører i tilknytning
hertil, at hensynet til at gennemføre en så enstrenget
tilsynsordning som muligt taler for at etablere en ordning, hvorefter
tilsynet med domstolene i det hele placeres i domstolsregi. I givet fald
undgås det, at dele af tilsynet føres i domstolsregi, mens andre
dele af tilsynet føres af en administrativ myndighed
(Datatilsynet).
Flertallet foreslår, at der med hensyn til
domstolenes judicielle funktioner gennemføres en ordning,
hvorefter lovligheden af behandling af oplysninger, der sker i tilknytning
til denne virksomhed, gøres til judicielle afgørelser, der
træffes af vedkommende dataansvarlige domstol.
Afgørelserne bør kunne efterprøves
ved kære til en højere ret, idet der efter direktivets artikel
28, stk. 1, skal være mulighed for, at den registrerede kan
få kontrolleret den dataansvarliges behandling af oplysninger om
vedkommende hos en funktionelt uafhængig offentlig myndighed. Dette
gælder, for så vidt angår civile retssager, hvis der er
tale om en sag, der falder inden for fællesskabsrettens område.
Også med hensyn til andre retssager, herunder sager inden for
strafferetsplejen, bør tilsvarende gælde, selv om direktivet
ikke stiller krav herom, jf. artikel 3, stk. 2, 1. pind. Efter
flertallets opfattelse bør der således altid kunne ske en
efterfølgende kontrol af behandlingens lovlighed. Se nærmere
herom i betænkningen, side 376 f.
Med hensyn til domstolenes administrative
funktioner, det vil sige den teknisk-administrative behandling af
oplysninger, herunder spørgsmålet om behandlingssikkerhed,
anbefales det ud fra de samme overvejelser som dem, der ligger bag ordningen
i tinglysningslovens § 50 og §§ 50 a-g, at kontrollen med den
egentlige byret, herunder boligretten, husdyrvoldgiftsretten m.v. og
landsretterne, henlægges til landsretspræsidenterne. Herudover
bør landsretspræsidenternes tilsyn omfatte andre retter, der er
beliggende i vedkommende landsretskreds. Dog bør tilsynet med
Højesteret og Den Særlige Klageret udføres af
præsidenten for Højesteret.
Det tilsyn, som retspræsidenterne skal
udføre, bør efter flertallets opfattelse i det væsentlige
svare til, hvad der foreslås i relation til Datatilsynet, jf.
ovenfor.
Dog finder udvalget, at der på enkelte punkter
bør fastsættes særlige regler for tilsynet på
domstolsområdet.
Det tilsyn, som skal udføres af
retspræsidenterne, bør efter udvalgets opfattelse
tilrettelægges således, at der træffes (bindende)
afgørelse i forhold til den pågældende dataansvarlige
domstol vedrørende dennes behandling af oplysninger.
Tilsynsmyndigheden bør herunder kunne træffe afgørelse
om, at oplysninger skal blokeres, slettes eller tilintetgøres, samt
om, at det midlertidigt eller definitivt er forbudt at behandle nærmere
angivne oplysninger.
I overensstemmelse hermed foreslås det, at
vedkommende tilsynsmyndighed i forbindelse med udførelsen af tilsynet
skal kunne træffe afgørelse vedrørende lovligheden m.v.
af den behandling af oplysninger, som finder sted. Afgørelserne
bør være endelige i den forstand, at der ikke kan påklages
til en højere administrativ myndighed. Afgørelserne vil heller
ikke være omfattet af Folketingets Ombudsmands kompetence, jf. lov om
Folketingets Ombudsmand § 7, stk. 2. Derimod vil
afgørelserne være undergivet domstolskontrol, jf. herved
grundlovens § 63.
Endvidere foreslås det, at der skal indhentes en
udtalelse fra vedkommende retspræsident ved udarbejdelsen af
bekendtgørelser eller lignende generelle retsforskrifter, der har
betydning for beskyttelsen af privatlivet i forbindelse med behandling af
oplysninger, der foretages for domstolene. Det forudsættes endvidere,
at tilsynsmyndighederne høres i forbindelse med regeringens behandling
(udarbejdelse) af lovforslag, der vedrører behandling af oplysninger,
der foretages for domstolene. Pligten til at høre
retspræsidenterne bør - i modsætning til den
høringspligt som foreslås i relation til Datatilsynet - alene
tage sigte på retsforskrifter, som vedrører den behandling af
oplysninger, der foretages for domstolene.
Om flertallets overvejelser og forslag til en særlig
tilsynsordning på domstolsområdet henvises nærmere til
betænkningen, side 375-379.
Et mindretal (1 medlem) kan ikke tilslutte sig flertallets
opfattelse og anbefaler i stedet, at Datatilsynet tillægges kompetence
med hensyn til såvel de administrative som de judicielle funktioner. Om
baggrunden herfor henvises til betænkningen, side 379-381.
4.2.8.3. Justitsministeriets forslag
Efter Justitsministeriets opfattelse bør
tilsynsmyndigheden i første række tage sigte på at kunne
udøve sin virksomhed gennem generelle retningslinier og ved en
serviceorienteret rådgivning og vejledning frem for en regulering
primært koncentreret om afgørelse af enkeltsager i et
traditionelt rekurssystem. I praksis må det således forventes, at
kun en mindre del af tilsynsmyndighedens aktiviteter vil bestå i at
træffe afgørelse i konkrete klagesager o.lign.
Navnlig dette forhold taler efter Justitsministeriets
opfattelse for flertallets tilsynsmodel. Det fremtidige almindelige tilsyn
med behandling af personoplysninger bør derfor - i lighed med den
nuværende ordning - organiseres som én myndighed, der
består af henholdsvis et sekretariat og et råd
(Datatilsynet).
Justitsministeriet kan tilslutte sig udvalgets forslag om,
hvilke opgaver der bør henlægges til Datatilsynet. Herved
sikres, at Datatilsynet - ligesom i dag - vil kunne føre et effektivt
tilsyn med overholdelsen af lovgivningen. Hvad særligt angår
spørgsmålet om betaling for anmeldelse m.v. inden for den
private sektor, finder Justitsministeriet dog, at det bør
fastsættes, at betalingsforpligtelsen efter lovforslagets § 63, stk. 2,
indtræder ved indgivelsen af anmeldelse eller ansøgning om
tilladelse, og at anmeldelse ikke anses for indgivet, før betaling er
sket, ligesom Datatilsynet kan bestemme, at tilladelse ikke meddeles,
før betaling har fundet sted. Justitsministeriet finder endvidere, at
der i lovforslagets § 63 bør indsættes en ny bestemmelse,
hvorefter der ligesom efter den gældende private registerlov ikke
skal betales gebyr for anmeldelse til/indhentning af tilladelse hos
Datatilsynet til behandlinger, der udelukkende finder sted i videnskabeligt
eller statistisk øjemed.
Justitsministeriet finder, at Domstolsstyrelsen bør
føre tilsyn med domstolenes behandling af personoplysninger
vedrørende administrative forhold. Domstolene har givet tilslutning
hertil.
4.2.9. Retsmidler, erstatning og sanktioner
4.2.9.1. Gældende ret
I den nuværende registerlovgivning er ikke fastsat
særlige regler om indbringelse af sager for domstolene. Der er heller
ikke indeholdt særlige regler om registeransvarliges erstatningsansvar
over for den registrerede.
Derimod er der i lovgivningen fastsat regler om
strafansvar. Reglerne er forskellige for henholdsvis den offentlige
forvaltning og den private sektor.
A. Lov om offentlige myndigheders registre
I lov om offentlige myndigheder registre kapitel 8 er der
fastsat bestemmelser om straf.
Det fremgår af § 29, stk. 1, at medmindre
højere straf er forskyldt efter den øvrige lovgivning, straffes
med bøde eller hæfte den, der overtræder en række
nærmere angivne bestemmelser, der alle vedrører videregivelse af
oplysninger. Det drejer sig bl.a. om tilsidesættelse af vilkår i
samtykke til videregivelse af oplysninger til private, og om
overtrædelse af de særlige regler om videregivelse af oplysninger
til brug i statistisk eller forskningsmæssigt øjemed.
Endvidere fremgår det af bestemmelsens stk. 2,
at der i registerforskrifter kan fastsættes straf af bøde for
overtrædelse af bestemmelser i forskrifterne.
Endelig fremgår det af stk. 3, at hvis
overtrædelsen er begået af et aktieselskab, andelsselskab eller
lignende, kan bødeansvar pålægges selskabet som
sådant.
En udførlig opregning af de strafbelagte
bestemmelser i loven er indeholdt i betænkningen, side 88 f.
B. Lov om private registre
I lov om private registre er der i § 27 fastsat
bestemmelser om straf. Det fremgår af stk. 1, at medmindre
højere straf er forskyldt efter den øvrige lovgivning, straffes
med bøde eller hæfte den, der
overtræder nærmere angivne bestemmelser om bl.a.
registrering, videregivelse, samkøring, sletning, registerindsigt samt
en række specialregler om henholdsvis kreditoplysningsbureauer,
adresserings- og kuverteringsbureauer og edb-servicebureauer,
undlader at efterkomme Registertilsynets afgørelse om sletning
eller berigtigelse, herunder sletning og berigtigelse af oplysninger
registreret af et kreditoplysningsbureau, eller undlader at efterkomme
Registertilsynets afgørelse om registerindsigt,
undlader at opfylde Registertilsynets krav om meddelelse af
oplysninger, der er af betydning for tilsynets virksomhed, herunder til
afgørelse af, om et forhold falder ind under lovens bestemmelser,
tilsidesætter vilkår for registrering af
personfølsomme oplysninger til videnskabelige eller statistiske
formål eller tilsidesætter en betingelse eller et vilkår
for en tilladelse i henhold til loven eller i henhold til forskrifter udstedt
i medfør af loven, eller
undlader at efterkomme forbud eller påbud, der er meddelt i
henhold til loven eller i henhold til forskrifter udstedt i medfør af
loven.
Endvidere fremgår det af stk. 2, at der i
forskrifter, der udstedes i medfør af loven, kan fastsættes
straf af enten bøde eller hæfte for overtrædelse af
bestemmelser i forskrifterne.
Er en overtrædelse begået af et aktieselskab,
andelsselskab eller lignende, kan bødeansvar pålægges
selskabet som sådant, jf. stk. 3.
Endelig fremgår det af § 28, at den, der driver
eller er beskæftiget med virksomhed som nævnt i § 3,
stk. 6 (advarselsregistre), § 8 (kreditoplysningsbureauer) og
§ 20 (edb-servicebureauer), ved dom for strafbart forhold kan frakendes
retten hertil, såfremt det udviste forhold begrunder en
nærliggende fare for misbrug.
En udførlig opregning af de strafbelagte
bestemmelser i loven er indeholdt i betænkningen, side 131
f.
4.2.9.2. Udvalgets overvejelser
I direktivets kapitel 3, artikel 22-24, er fastsat
bestemmelser om retsmidler, ansvar og sanktioner.
Udvalget har overvejet, om - og i givet fald i hvilken
udstrækning - disse bestemmelser nødvendiggør
ændringer i den gældende registerlovgivning.
Retsmidler
Efter direktivets artikel 22 og 28, stk. 3, skal der
hjemles henholdsvis registrerede personer og dataansvarlige adgang til
domstolsprøvelse.
Efter udvalgets opfattelse er denne adgang allerede sikret
i dansk ret. Udvalget lægger herved navnlig vægt på, at det
følger af grundlovens § 63, stk. 1, at domstolene er
berettiget til at påkende ethvert spørgsmål om
øvrighedsmyndighedens grænser, og at der således vil
være mulighed for domstolsprøvelse af sager afgjort af
tilsynsmyndighederne på baggrund af f.eks. en klage fra en registreret
person. I givet fald vil den registrerede eller den dataansvarlige, som
tilsynsmyndighedens afgørelse m.v. måtte gå imod, kunne
indbringe afgørelsen m.v. for domstolene. Der henvises herved til
betænkningen, side 387.
På den anførte baggrund finder udvalget ikke,
at der er behov for at indsætte en udtrykkelig bestemmelse i
lovgivningen om, at en registreret person kan indbringe
spørgsmål om krænkelser af den pågældendes
rettigheder i henhold til lovgivningen om behandling af personoplysninger for
domstolene. Der findes heller ikke at være behov for en bestemmelse om,
at dataansvarlige kan indbringe tilsynsmyndighedens afgørelser m.v.
for domstolene.
Erstatningsansvar
Som nævnt ovenfor under pkt. 4.9.2.1. er
spørgsmålet om dataansvarliges erstatningspligt over for
registrerede personer ikke reguleret i den gældende registerlovgivning.
Spørgsmålet skal derfor i dag afgøres efter dansk rets
almindelige erstatningsregel (culpa-reglen).
Direktivets artikel 23 må imidlertid efter udvalgets
opfattelse antages at skulle forstås således, at det
påhviler medlemsstaterne at fastsætte et præsumptionsansvar
(culpa med omvendt bevisbyrde) for den dataansvarliges uretmæssige
behandling af oplysninger om registrerede personer.
For at sikre en korrekt implementering af artikel 23
foreslås det derfor, at der i den kommende lov om behandling af
personoplysninger - i modsætning til i dag - indsættes en regel
om, at den dataansvarlige skal erstatte skade, der er forvoldt ved behandling
i strid med bestemmelserne i loven, medmindre den dataansvarlige
godtgør, at skaden ikke kunne have været afværget ved den
agtpågivenhed og omhu, der må kræves i forbindelse med
behandling af oplysninger.
Herudover nødvendiggør direktivets artikel
23 efter udvalgets opfattelse ikke, at der i lovgivningen fastsættes
særlige regler vedrørende dataansvarliges erstatningsansvar over
for registrerede personer. Det anbefales derfor, at de almindelige
betingelser i dansk ret for at pålægge erstatningsansvar i
øvrigt skal finde anvendelse ved bedømmelsen af, om den
dataansvarlige er erstatningsansvarlig over for den registrerede.
Udvalget anbefaler således, at der - bortset fra
spørgsmålet om ansvarsgrundlaget - ikke foretages
ændringer i den gældende retstilstand.
Strafansvar m.v.
Med hensyn til spørgsmålet om
fastsættelse af strafbestemmelser anbefaler udvalget, at der - ligesom
i dag - fastsættes separate strafbestemmelser for henholdsvis personer,
der foretager behandling af oplysninger for offentlige myndigheder, og for
personer beskæftiget i den private sektor.
Endvidere bør der - som noget nyt -
fastsættes bestemmelser om strafansvar for overtrædelse af de
regler i den kommende lovgivning, som vedrører Datatilsynets
beføjelser i relation til behandlinger, der er undergivet en anden
medlemsstats lovgivning.
Udvalget bemærker, at der naturligvis - i lighed med
den gældende registerlovgivning - bør være mulighed for at
pålægge juridiske personer strafansvar.
Herved vil lovgivningen efter udvalgets opfattelse leve op
til direktivets artikel 24, hvor det er foreskrevet, at medlemsstaterne skal
træffe de nødvendige foranstaltninger til sikring af, at
direktivet gennemføres i fuldt omfang, ligesom de bl.a. skal
fastsætte de sanktioner, der skal finde anvendelse i tilfælde af
overtrædelse af de bestemmelser, der vedtages til direktivets
gennemførelse.
Endelig bemærker udvalget, at bestemmelsen i den
gældende lov om private registre § 28 om frakendelse af retten til
at drive eller beskæftige sig med visse typer af virksomhed
(advarselsregistre, kreditoplysningsbureauer og edb-servicebureauer) efter
udvalgets opfattelse bør udvides til også at angå de
tilfælde, hvor der ydes erhvervsmæssig bistand ved
stillingsbesættelse, og hvor der føres
retsinformationssystemer.
4.2.9.3. Justitsministeriets forslag
Justitsministeriet kan tiltræde udvalgets forslag
til erstatnings- og strafbestemmelser. Dog finder Justitsministeriet, at der
- i lighed med i dag - bør være mulighed for at straffe den
databehandler (edb-servicebureau), som ikke overholder
sikkerhedsbestemmelserne i lovforslagets § 41, stk. 3, eller som ikke
foretager anmeldelse til tilsynsmyndigheden, jf. lovforslagets § 53.
Endvidere kan Justitsministeriet tiltræde udvalgets
vurdering af, at der ikke er behov for udtrykkelige regler om
domstolsprøvelse, idet der allerede er adgang hertil efter
gældende ret.
Bestemmelserne i lovforslagets §§ 69-71 skal ses
på denne baggrund.
4.2.10. Mediernes forhold
4.2.10.1. Gældende ret
Som anført ovenfor under pkt. 4.2.1.1. er mediernes
edb-registre m.v. under nærmere angivne betingelser undtaget fra
registerlovgivningen, jf. bestemmelserne i lov om offentlige myndigheders
registre § 1, stk. 7- 9, og lov om private registre m.v. § 2,
stk. 4-7.
Ordningen i disse bestemmelser er nærmere bestemt
den, at edb-registre, der er omfattet af lov om massemediers
informationsdatabaser (lov nr. 430 af 1. juni 1994), falder uden for
registerlovgivningens anvendelsesområde.
Tilsvarende gælder for edb-registre, hvori der
udelukkende er indlagt allerede offentliggjort materiale, der omfattes af
medieansvarslovens § 1, nr. 1, 2 eller 3, eller dele heraf, når
indlæggelsen i informationsdatabasen er sket uændret i forhold
til offentliggørelsen (uredigerede fuldtekstdatabaser). Sådanne
databaser er endvidere ikke omfattet af lov om massemediers
informationsdatabaser, jf. bestemmelserne i denne lovs § 1, stk. 2
og 3, som omtales nærmere nedenfor.
Uden for lov om private registre falder endelig manuelle
arkiver over udklip fra offentliggjorte, trykte publikationer, jf. lovens
§ 2, stk. 7. Det bemærkes, at sådanne arkiver
også falder uden for området for lov om offentlige myndigheders
registre, jf. lovens § 1, stk. 1.
Idet der i øvrigt henvises til
betænkningen, side 132-137, kan reglerne i lov om massemediers
informationsdatabaser i hovedtræk beskrives på følgende
måde:
Såvel de trykte som de elektroniske mediers
informationsdatabaser undtages - såfremt visse nærmere
betingelser er opfyldt - fra registerlovgivningens regler og undergives i
stedet en særskilt regulering. Herved gøres det på den ene
side lettere for massemedierne, ikke mindst dagspressen, at tage ny teknologi
i brug i det journalistiske og redaktionelle arbejde. På den anden side
opretholdes visse regler, som har til formål at sikre privatlivets
fred.
Loven gælder for informationsdatabaser, som er
massemedier, eller som drives i tilknytning til en eller flere virksomheder,
der udgiver massemedier (§ 1, stk. 1). Det er underordnet, om
informationsdatabasen indgår som et integreret led i massemediets
organisatoriske struktur, eller om den er udskilt som en organisatorisk set
uafhængig del af det pågældende massemedie, f.eks. som et
aktieselskab.
Loven gælder ikke for informationsdatabaser, hvori
der udelukkende er indlagt allerede offentliggjorte periodiske skrifter eller
lyd- og billedprogrammer, der er omfattet af medieansvarslovens § 1, nr.
1 eller 2, eller dele heraf, når indlæggelsen i
informationsdatabasen er sket uændret i forhold til
offentliggørelsen (§ 1, stk. 2).
Loven gælder efter § 1, stk. 3, endvidere
ikke for informationsdatabaser, hvori der udelukkende er indlagt allerede
offentliggjorte tekster, billeder og lydprogrammer, der omfattes af
medieansvarslovens § 1, nr. 3, eller dele heraf, når
indlæggelsen i informationsdatabasen er sket uændret i forhold
til offentliggørelsen.
De informationsdatabaser, der ikke er omfattet loven, vil
herefter alene være reguleret af medieansvarslovens regler og
lovgivningens almindelige straf- og erstatningsbestemmelser. Det drejer sig
blandt andet om informationsdatabaser, som udgives af Ritzaus Bureau, og som
udelukkende indeholder allerede offentliggjort materiale hidrørende
fra bureauets nyhedstjenester.
Ved massemedier forstås ifølge lovens
§ 2, stk. 1, de massemedier, der er omfattet af medieansvarsloven
§ 1. I betænkningen, side 133 f, beskrives det
nærmere, hvornår der er tale om et »massemedie« i
medieansvarslovens forstand.
Ved informationsdatabaser forstås
informationssystemer, hvor der gøres brug af elektronisk
databehandling i forbindelse med formidling af nyheder og andre informationer
(§ 2, stk. 2). Informationsdatabaser antages således
også at kunne indeholde andre oplysninger end aktuelle oplysninger med
nyhedspræg.
Alle oplysninger, som naturligt indgår i et
massemedies formidlingsvirksomhed, kan findes i informationsdatabasen, uden
at denne derved falder uden for lovens område. Det er imidlertid
forudsat, at der ikke er tale om registrering af personoplysninger, der
går ud over de formål, som presse- og informationsfriheden skal
tilgodese.
Ved en redaktionel informationsdatabase
forstås informationsdatabaser eller klart adskilte dele heraf, der
alene drives som led i journalistisk eller redaktionelt arbejde med henblik
på offentliggørelse i et massemedie, jf. § 2,
stk. 3.
En redaktionel informationsdatabase skal for at være
omfattet af lov om massemediers informationsdatabaser være anmeldt til
Registertilsynet, jf. § 3, stk. 1. Anmeldelse medfører, at
registerlovgivningens almindelige regler om registrering og videregivelse
ikke længere finder anvendelse.
Registertilsynet stiller krav om, at anmeldelse af en
redaktionel informationsdatabase skal ske skriftligt. Anmeldelsen kan ske
på en særlig blanket. Det skal fremgå, fra hvilket
massemedie anmeldelsen hidrører. Anmeldelsen skal være
underskrevet af en person, der har fuldmagt til at handle på vegne af
den person, virksomhed m.v., som er ansvarlig for informationsdatabasen, og
det skal fremgå af anmeldelsen, hvad den vedrører, og
hvornår den er indgivet. Desuden skal en anmeldelse indeholde det
minimum af oplysninger, der gør det muligt for Registertilsynet at
vurdere, om der er tale om en redaktionel informationsdatabase. Anmelderen af
en redaktionel informationsdatabase skal således i det mindste oplyse,
at der er tale om en redaktionel informationsdatabase, der opfylder
betingelserne i lovens § 2, stk. 2 og 3.
Et massemedie kan efter lovens § 3, stk. 2,
indgive anmeldelse omfattende samtlige redaktionelle informationsdatabaser.
Massemediet kan én gang for alle anmelde samtlige massemediets
redaktionelle informationsdatabaser, det vil sige alle baser, massemediet til
enhver tid måtte have. Massemediet behøver dermed ikke at
indgive en ny anmeldelse, hver gang det får en ny informationsdatabase.
Det står imidlertid massemediet frit for at vælge alene at
anmelde en del af dets redaktionelle informationsdatabaser til
Registertilsynet.
Registertilsynet skal efter lovens § 3, stk. 3,
hvert år offentliggøre en fortegnelse over anmeldte
redaktionelle informationsdatabaser. Offentliggørelsen sker i
Registertilsynets årsberetning. Fortegnelsen gør det muligt for
Folketinget, pressen og andre interesserede at få overblik over, hvilke
massemedier der driver redaktionelle informationsdatabaser.
Registertilsynet har pr. 31. marts 1998 modtaget i alt 68
anmeldelser af redaktionelle informationsdatabaser.
I henhold til lovens § 4, stk. 1, må en
redaktionel informationsdatabase ikke være tilgængelig for andre
end massemediets journalister og redaktionsmedarbejdere, og efter stk. 2
må journalister og redaktionsmedarbejdere ikke få adgang til
eller benytte informationsdatabasen til andet end journalistisk arbejde.
Der skal efter § 5 træffes de fornødne
sikkerhedsforanstaltninger mod, at uvedkommende får adgang til en
redaktionel informationsdatabase og mod benyttelse af informationsdatabasen
til uvedkommende formål.
En offentligt tilgængelig
informationsdatabase skal for at blive omfattet af lov om massemediers
informationsdatabaser dels være tilgængelig for enhver på
almindelige forretningsvilkår, dels være anmeldt til
Pressenævnet og Registertilsynet, jf. lovens § 6. Herudover skal
det i forbindelse med anmeldelsen angives, hvem der er ansvarlig for
informationsdatabasen. Undladelse heraf medfører, at
informationsdatabasen ikke omfattes af loven, men af
registerlovgivningen.
Baggrunden for kravet om, at der skal ske anmeldelse til
Registertilsynet, er, at Registertilsynet bør gøres bekendt
med, at der findes et edb-system, som efter de almindelige regler i
registerlovgivningen ville være underlagt Registertilsynets
tilsynsbeføjelser, men som på grund af dets særlige
karakter af offentligt tilgængelig informationsdatabase falder uden for
Registertilsynets kompetence.
Registertilsynet har pr. 31. marts 1998 modtaget tre
anmeldelser af offentligt tilgængelige informationsdatabaser.
Efter lovens § 6, stk. 2, er en offentligt
tilgængelig informationsdatabase, som anmeldes efter stk. 1, ikke
samtidig omfattet af medieansvarsloven, når bortses fra reglerne om
genmæle og visse regler om Pressenævnets sammensætning og
kompetence.
Der stilles i lov om massemediers informationsdatabaser en
række krav til, hvad offentligt tilgængelige databaser må
indeholde af oplysninger, jf. lovens § 8. Af stk. 1 følger,
at baserne ikke må indeholde informationer, der ikke lovligt kan
offentliggøres i et massemedie. Heller ikke informationer, hvis
offentliggørelse ville være i strid med god presseskik, må
være indeholdt i baserne, jf. stk. 2. Hvis der er tale om
informationer om enkeltpersoners rent private forhold, må opbevaring
heraf ikke ske, når der er forløbet 3 år efter, at den
begivenhed, der har givet anledning til optagelsen i databasen, fandt sted,
eller, hvis et sådant tidspunkt ikke kan fastsættes, 3 år
efter, at informationerne er optaget i databasen, jf. stk. 3. Dette
gælder dog ikke, hvis der består en sådan interesse i, at
de pågældende informationer er offentligt tilgængelige, at
hensynet til den enkeltes interesse i, at informationerne slettes, findes at
burde vige for hensynet til informationsfriheden, jf. stk. 4.
Ifølge lovens § 9 skal der efter anmodning fra
den, informationerne angår, foretages sletning, rettelse eller
ajourføring, når 1) informationerne er urigtige eller
vildledende, 2) en tidligere omtalt retsafgørelse eller administrativ
afgørelse er blevet ændret eller 3) strafforfølgning i en
tidligere omtalt sag opgives, eller når der i en sådan sag sker
frifindelse.
I stedet for at fremsætte anmodning om sletning,
rettelse eller ajourføring, kan den, oplysningerne vedrører,
eller efter dennes død de nærmeste pårørende, tage
til genmæle, jf. nærmere lovens § 10.
Efter lovens § 11,stk. 1, skal der gives enhver,
der fremsætter anmodning herom, skriftlig meddelelse om de
informationer, der er optaget i databasen om vedkommende selv, medmindre det
er forbundet med uforholdsmæssigt store vanskeligheder at finde frem
til informationerne. Den, der har fået meddelelse efter stk. 1,
har ikke krav på ny meddelelse før 1 år efter sidste
meddelelse, jf. stk. 2. Anmodning om indsigt skal besvares inden 4 uger,
jf. stk. 3. Endelig kan justitsministeren fastsætte regler om
betaling for skriftlige meddelelser, jf. stk. 4.
Pressenævnet er det organ, der træffer
afgørelse vedrørende en række forhold omkring anmeldte
offentligt tilgængelige informationsdatabaser, jf. nærmere lovens
§§ 12-14. Pressenævnet kan bl.a. efter anmodning give påbud
om, at der foretages sletning af informationer, der strider mod
bestemmelserne i § 8, stk. 2-4, ligesom nævnet også kan
give påbud om, at der optages et genmæle (§ 13, stk. 1
og 2). Om Pressenævnets kompetence henvises nærmere til
betænkningen, side 135.
4.2.10.2. Udvalgets overvejelser
Udvalget har overvejet, om den gældende ordning
vedrørende mediernes informationsdatabaser (registre) bør
opretholdes samt i den forbindelse navnlig, om dette vil være
foreneligt med direktivets artikel 9.
Der er ikke enighed i udvalget om, hvorledes den
fremtidige lovregulering af mediernes forhold bør være.
Et flertal (14 medlemmer) finder, at det er muligt
- inden for rammerne af direktivet, herunder artikel 9 - at opretholde den
gældende ordning vedrørende mediernes registre m.v.
Dog må der efter flertallets opfattelse som
følge af direktivets artikel 23 foretages ændringer i
bestemmelsen i lov om massemediers informationsdatabaser § 17,
stk. 1, om erstatningsansvar, idet der må fastsættes et
præsumptionsansvar (culpa med omvendt bevisbyrde).
Endvidere må der efter flertallets opfattelse for
så vidt angår databaser, der er omfattet af medieansvarsloven,
samt manuelle arkiver fastsættes regler om behandlingssikkerhed. Disse
regler foreslås udformet på baggrund af direktivets artikel 16 og
17. Der foreslås i den forbindelse ligeledes fastsat regler om
erstatningsansvar ved overtrædelse af reglerne om behandlingssikkerhed,
jf. herved direktivets artikel 23.
Uden at det kan antages at være påkrævet
efter direktivet, kan flertallet herudover tilslutte sig en række af de
forslag til ændringer i lov om massemediers informationsdatabaser, som
mindretallet finder, at der bør gennemføres.
Flertallet kan således tilslutte sig mindretallets
forslag om, at der for så vidt angår de redaktionelle
databaser indsættes en regel til sikring af, at urigtige eller
vildledende oplysninger ikke behandles, og at sådanne oplysninger i
givet fald slettes eller berigtiges.
Endvidere kan flertallet tiltræde mindretallets
forslag om, at der med hensyn til de offentligt tilgængelige
informationsdatabaser foretages en ændring af reglen i lovens § 9,
således at den, der er ansvarlig for informationsdatabaser, også
af egen drift skal sikre datakvaliteten. Flertallet kan også
tiltræde mindretallets synspunkt om, at reglen i lovens § 11,
stk. 1, sidste led, bør udgå, idet der ikke ses at
være grundlag for, at et massemedie, i modsætning til alle andre,
skal kunne afvise at give indsigt i oplysninger under henvisning til
vanskelighederne ved at finde oplysningerne frem. Det forekommer endelig
flertallet velbegrundet, at bestemmelsen i lovens § 11, stk. 2,
formuleres i overensstemmelse med udvalgets generelle forslag om, at der skal
gælde et interval på 6 måneder for fornyet
»registerindsigt«, dog med mulighed for tidligere indsigt, hvis særlige
grunde foreligger.
Med hensyn til flertallets nærmere overvejelser og
vurderinger vedrørende mediernes forhold henvises til
betænkningen, side 192- 204.
Et mindretal (4 medlemmer) er enig i, at der
på grund af retten til ytringsfrihed bør tages særligt
hensyn til massemedierne. Reglerne for behandling af personoplysninger
bør imidlertid efter mindretallets opfattelse udformes på en
sådan måde, at der samtidig sikres en passende balance mellem
hensynet til beskyttelsen af privatlivets fred og hensynet til
ytringsfriheden. Mindretallet henviser i den forbindelse bl.a. til, at
når direktivet i artikel 9 foreskriver, at der kun kan fastsættes
undtagelser fra direktivets regler, hvis det er nødvendigt for at
forene retten til privatlivets fred med ytringsfriheden, er sigtet netop at
sikre en passende balance.
Mindretallet erklærer sig enig med udvalgets flertal
i, at der tilkommer medlemsstaterne et forholdsvis frit skøn ved denne
afvejning.
Imidlertid peger mindretallet på en række
forhold, der kan give anledning til tvivl med hensyn til, om lov om
massemediers informationsdatabaser er forenelig med direktivets artikel 9.
Samtidig fremkommer mindretallet - udover de forslag som et flertal i
udvalget har kunnet tilslutte sig - med en række forslag til
ændringer i lov om massemediers informationsdatabaser.
I tilknytning hertil anfører mindretallet, at
udvalget ikke kan eller bør stille konkrete forslag til en mere
dybtgående revision af lov om massemediers informationsdatabaser.
Mindretallet henviser herved dels til udvalgets kommissorium, der ikke
omtaler en revision af lov om massemediers informationsdatabaser, dels til
udvalgets sammensætning, navnlig det forhold at der i udvalget savnes
repræsentanter for medierne. Mindretallet opfordrer derfor
Justitsministeriet til at tage initiativ til, at en sådan revision
nærmere vurderes.
Der henvises nærmere til betænkningen,
side 204- 206.
4.2.10.3. Justitsministeriets forslag
I betænkningen har flertallet i udvalget
redegjort nærmere for spørgsmålet om, hvorvidt det vil
være foreneligt med direktivet at opretholde den nuværende
ordning på medieområdet. Flertallet besvarer dette
spørgsmål bekræftende. Flertallet anfører dog
samtidig, at det - som følge af direktivet - er nødvendigt at
foretage visse (mindre) ændringer.
Justitsministeriet kan tilslutte sig flertallets
opfattelse. Efter Justitsministeriets opfattelse må det således
antages, at den nuværende ordning på medieområdet som
udgangspunkt kan opretholdes. Justitsministeriet finder samtidig - ligesom
flertallet i udvalget - at direktivet nødvendiggør visse
(mindre) ændringer. Der skal således foretages ændringer i
bestemmelsen i lov om massemediers informationsdatabaser § 17,
stk. 1, om erstatningsansvar, ligesom der for så vidt angår
databaser, der er omfattet af medieansvarsloven, samt manuelle arkiver skal
fastsættes regler om behandlingssikkerhed. Der skal endvidere
fastsættes udtrykkelige regler om erstatningsansvar ved
overtrædelse af reglerne om behandlingssikkerhed.
I den altovervejende del af de høringssvar, som er
modtaget fra medierne, fremsættes kraftige indvendinger imod de
øvrige forslag, som dels fremsættes af et enigt udvalg, dels af
et mindretal i udvalget. I høringssvarene anføres det
således, at der ikke bør foretages ændringer i lov om
massemediers informationsdatabaser, medmindre dette må antages at
være påkrævet til gennemførelse af direktivet. Som
begrundelse herfor anføres bl.a., at de foreslåede
ændringer strider mod det grundlag, som lov om massemediers
informationsdatabaser hviler på, og som er grundigt beskrevet i
betænkning nr. 1233/1992 om pressens informationsregistre og i selve
loven og forarbejderne hertil. I den forbindelse peges der på, at
grundlaget for loven netop er at tilgodese hensynet til, at pressen kan
udføre sine opgaver så frit og effektivt som muligt, hvilket
tilsiger, at pressen ikke i unødigt omfang bør være
undergivet lovbestemte begrænsninger. Samtidig anføres det, at
der ikke har vist sig problemer i tilknytning til den gældende lov om
massemediers informationsdatabaser.
På den anførte baggrund er de nævnte
forslag ikke medtaget i lovforslaget, idet de bør overvejes
nærmere i forbindelse med en eventuel mere generel revision af lov om
massemediers informationsdatabaser.
Justitsministeriet finder derimod, at der - i lyset af
direktivet må fastsættes en udtrykkelig bestemmelse om
behandlingssikkerheden i forbindelse med behandling af oplysninger i
massemediers offentligt tilgængelige informationsdatabaser, jf.
lovforslagets § 81, nr. 3.
Endelig finder Justitsministeriet, at der i lovforslaget
bør medtages en bestemmelse, hvorefter loven (bortset fra reglerne om
behandlingssikkerhed og reglerne om erstatningsansvar ved overtrædelse
af reglerne om behandlingssikkerhed) ikke skal finde anvendelse på
behandling af oplysninger, som i øvrigt udelukkende finder sted i
journalistisk øjemed.
Bestemmelsen tager sigte på den elektroniske
behandling af personoplysninger, som udelukkende foretages i journalistisk
øjemed i forbindelse med, at der udarbejdes artikler m.v. under
anvendelse af tekstbehandlingssystemer. Denne behandling vil ikke være
omfattet af anvendelsesområdet for lov om massemediers
informationsdatabaser og kan dermed ikke - i kraft heraf - undtages fra
lovens regler. Bestemmelsen giver således ikke mulighed for at oprette
databaser m.v. i journalistisk øjemed. Sådanne databaser m.v.
vil enten være omfattet af lovens almindelige regler eller af
særordningen på området, jf. lovforslagets § 2,
stk. 6-9.
4.2.11. Forholdet mellem lovforslaget og anden forvaltningsretlig
lovgivning
4.2.11.1. Gældende ret
Registerlovgivningen indeholder på en række
punkter grænseflader til forvaltningsloven, offentlighedsloven og
arkivlovgivningen.
A. Forholdet mellem lov om offentlige myndigheders registre og
forvaltningsloven
Lov om offentlige myndigheders registre indeholder
berøringsflader til forvaltningsloven på følgende
områder:
Reglerne om videregivelse af personoplysninger, jf. henholdsvis lov
om offentlige myndigheders registre §§ 16-21, og forvaltningslovens
§§ 27 og 28.
Reglerne om adgang til registerindsigt/aktindsigt i
personoplysninger, jf. henholdsvis lov om offentlige myndigheders registre
§§ 13-15, og forvaltningslovens §§ 9-18.
Reglerne om videregivelse af oplysninger
Det er almindeligt antaget, at lov om offentlige
myndigheders registre finder anvendelse, når der er tale om
videregivelse direkte fra et edb-register. Baggrunden herfor er lovens
karakter af speciallov.
Ved en forvaltningsmyndigheds senere manuelle
videregivelse af samme oplysninger finder videregivelsesreglerne i
forvaltningsloven derimod anvendelse.
Lov om offentlige myndigheders registre indeholder regler
om forvaltningsmyndigheders videregivelse af personoplysninger til
henholdsvis private og andre forvaltningsmyndigheder. Disse regler er
nærmere beskrevet ovenfor i pkt. 4.2.4.1. (pkt. A).
I de tilfælde hvor videregivelse af oplysninger ikke
sker fra et edb-register, eller hvor der ikke er tale om videregivelse af
personoplysninger, vil berettigelsen heraf i almindelighed skulle
bedømmes efter reglerne i forvaltningslovens kapitel 8 om
tavshedspligt m.v. Dette kapitel indeholder dels en bestemmelse om
tavshedspligt (§ 27), dels nogle regler om forvaltningsmyndighedernes
indbyrdes adgang til at videregive og indhente fortrolige oplysninger
(§§ 28- 32). Disse regler er nærmere beskrevet i
betænkningen, side 140 f.
Reglerne om indsigt
Lov om offentlige myndigheders registre indeholder i
kapitel 4 regler om registrerede personers adgang til oplysninger om sig selv
(registerindsigt). Reglerne beskrives nærmere ovenfor under pkt.
4.2.5.1. (pkt. A).
Reglerne i lov om offentlige myndigheders registre skal
sammenholdes med reglerne om partsaktindsigt i forvaltningsloven.
Af forvaltningslovens § 9, stk. 1,
følger, at en part i en sag, hvori der er eller vil blive truffet
afgørelse af en forvaltningsmyndighed, kan forlange at blive gjort
bekendt med sagens dokumenter. Denne ret til aktindsigt omfatter bl.a.
indførelser i journaler, registre og andre fortegnelser
vedrørende den pågældende sags dokumenter, jf. lovens
§ 10, stk. 1, nr. 2. Der er ret til partsaktindsigt i en
forvaltningsmyndigheds »elektroniske dokumenter« i samme omfang, som hvis de
pågældende dokumenter havde foreligget i papirform. Der henvises
herved til betænkningen, side 142.
Fra udgangspunktet om parters adgang til aktindsigt i
sagens dokumenter gælder en række undtagelser for så vidt
angår visse sagstyper, dokumenttyper og typer af oplysninger. Der
henvises i den forbindelse til bestemmelserne i lovens § 9, stk. 3,
§ 10, stk. 2, og §§ 12-15.
B. Forholdet mellem lov om offentlige myndigheders registre og
offentlighedsloven
Lov om offentlige myndigheders registre har
berøringsflader til offentlighedsloven med hensyn til reglerne om
indsigtsret.
Reglerne i lov om offentlige myndigheders registre
§§ 13-15 om den registreredes registerindsigt er beskrevet ovenfor i
pkt. 4.2.5.1. (pkt. A), hvortil der henvises. Reglerne skal sammenholdes med
offentlighedslovens regler om aktindsigt, herunder navnlig reglerne om
egenacces.
Efter offentlighedslovens § 4, stk. 1, 1. pkt.,
kan enhver med de undtagelser, der er nævnt i §§ 7-14, forlange at
blive gjort bekendt med dokumenter, der er indgået til eller oprettet
af en forvaltningsmyndighed som led i administrativ sagsbehandling i
forbindelse med dens virksomhed. En forvaltningsmyndighed kan herudover under
de i lovens § 4, stk. 1, 2. pkt., fastsatte betingelser give
meroffentlighed i en sags dokumenter.
Den, hvis personlige forhold er omtalt i et
dokument, kan med de undtagelser, der er nævnt i §§ 7-11 og
§ 14, forlange at blive gjort bekendt med oplysningerne herom, jf.
lovens § 4, stk. 2, 1. pkt. (egenacces). Dette gælder dog
ikke i det omfang de hensyn, der er nævnt i § 13, eller hensynet
til den pågældende selv eller andre med afgørende
vægt taler herimod.
Af lovens § 5, stk. 1, fremgår det, at
retten til aktindsigt omfatter alle dokumenter, der vedrører sagen,
herunder genpart af de skrivelser, der er udgået fra myndigheden,
når skrivelserne må antages at være kommet frem til
adressaten, jf. nr. 1, og indførelser i journaler, registre og andre
fortegnelser vedrørende den pågældende sags dokumenter,
jf. nr. 2.
Retten til aktindsigt omfatter efter lovens § 5,
stk. 2, dog ikke registre eller andre systematiserede fortegnelser, hvor
der gøres brug af elektronisk databehandling, bortset fra fortegnelser
som nævnt i stk. 1, nr. 2. Af forarbejderne til bestemmelsen i
§ 5, stk. 2, fremgår, at bestemmelsen skal ses i
sammenhæng med lov om offentlige myndigheders registre, der som
nævnt indeholder såvel regler om de registrerede personers adgang
til at få oplysninger om sig selv som regler om adgangen til at
videregive de registrerede oplysninger til private.
Af forarbejderne fremgår endvidere, at
offentlighedslovens dokumentbegreb ikke kun omfatter dokumenter, der
foreligger i papirform, men f.eks. også dokumenter, der modtages,
opbevares eller afsendes elektronisk uden anvendelse af papir. Der er
således også efter offentlighedsloven ret til aktindsigt i en
forvaltningsmyndigheds »elektroniske dokumenter« i samme omfang, som hvis de
pågældende dokumenter havde foreligget i papirform.
Om det nærmere forhold mellem reglerne i lov om
offentlige myndigheders registre og offentlighedsloven, herunder om
betydningen af offentlighedslovens § 5, stk. 2, henvises i
øvrigt til betænkningen , side 142.
C. Forholdet mellem registerlovgivningen og arkivlovgivningen
Også i relation til arkivlovginingen indeholder
registerlovgivningen grænseflader.
Som omtalt ovenfor under pkt. 4.2.4.1. (pkt. A)
følger det af lov om offentlige myndigheders registre § 9,
stk. 3, at registrerede oplysninger, der på grund af deres alder
eller af andre grunde har mistet deres betydning for varetagelsen af
registerets opgaver, som udgangspunkt skal slettes.
Lovens § 9, stk. 4, åbner imidlertid
mulighed for, at registre overføres til opbevaring i arkiv. Efter
bestemmelsen kan Registertilsynet tillade, at registre, der føres for
kommunale myndigheder, overføres til opbevaring i arkiv på
nærmere angivne vilkår. Registre, der føres for statslige
myndigheder, overføres til opbevaring i statens arkiver efter reglerne
i lov om offentlige arkiver m.v.
Udtrykkelige regler om arkivering af registre m.v. er ikke
indeholdt i lov om private registre. Registertilsynet har imidlertid antaget,
at dette ikke i sig selv indebærer, at der ikke vil kunne ske
arkivering af registre, som er omfattet af loven.
Nærmere regler om såvel
forvaltningsmyndigheders som privates arkivering, herunder om
forvaltningsmyndigheders pligt til at arkivere, er indeholdt i
arkivlovgivningen.
Med hensyn til forholdet mellem disse regler og
registerlovgivningen henvises til betænkningen, side
145-150.
4.2.11.2. Udvalgets overvejelser
I betænkningen, side 154-167, er redegjort
for spørgsmålet om grænsefladerne mellem den kommende lov
om behandling af personoplysninger og anden forvaltningsretlig lovgivning.
Anførte sted er endvidere redegjort for udvalgets stillingtagen til
spørgsmålet om, hvorvidt der bør udarbejdes en samlet
lovgivning om enhver form for behandling af personoplysninger i den
offentlige sektor.
Spørgsmålet om en samlet lovgivning om behandling af
personoplysninger i den offentlige sektor
Udvalget har ikke udarbejdet et udkast til en samlet
lovgivning om enhver form (elektronisk og manuel) for behandling af
personoplysninger i den offentlige sektor. Udvalget henviser herved bl.a.
til, at udvalget efter sit kommissorium ikke har haft til opgave at foretage
en egentlig revision af forvaltningsloven, offentlighedsloven og
arkivlovgivningen. Endvidere henvises der til, at det ikke er muligt at
foretage en egentlig revision af de nævnte love inden for det korte
tidsrum, som udvalget har haft til sit arbejde, ligesom der også
lægges vægt på, at lovgivningen om behandling af
personoplysninger på en række punkter regulerer andre forhold end
de nævnte love.
Udvalget har som udgangspunkt heller ikke
fundet at burde fremkomme med forslag til ændringer i de bestemmelser i
forvaltningsloven, offentlighedsloven og arkivlovgivningen, der indeholder
berøringsflader til lovudkastet. Udvalget lægger herved bl.a.
vægt på, at udvalget efter sit kommissorium - som nævnt -
ikke har til opgave at foretage en revision af den nævnte lovgivning,
herunder overveje spørgsmålet om lovgivningens indhold og
struktur. Se i den forbindelse nærmere betænkningen, side
155.
Kun i det omfang det - i lyset af den kommende lov om
behandling af personoplysninger - må anses for påkrævet,
finder udvalget derfor anledning til at foreslå ændringer i de
nævnte love.
Udvalget finder i den forbindelse ikke, at det - som
følge af udvalgets udkast til en kommende lov om behandling af
personoplysninger - er påkrævet at foretage indholdsmæssige
ændringer i forvaltningsloven og offentlighedsloven.
Derimod anbefaler udvalget, at der - ud fra lovtekniske
hensyn - foretages en præcisering i bestemmelsen i offentlighedslovens
§ 5, stk. 3, således at det fremgår, at lov om
offentlige myndigheders registre afløses af en ny lovgivning. Om
baggrunden herfor henvises til betænkningen, side 157 og
164.
I tilknytning hertil peger udvalget på, at der for
så vidt angår de foreslåede generelle regler om behandling,
herunder videregivelse til tredjemand, af oplysninger, er grund til
nøje at overveje samspillet med de modsvarende regler i
forvaltningslovens kapitel 8 om tavshedspligt m.v. Det anbefales derfor, at
det snarest overvejes, om - og i givet fald hvordan - reglerne om
forvaltningsmyndigheders videregivelse af oplysninger kan tilpasses til de
foreslåede regler om behandling af oplysninger. Der henvises til
betænkningen, side 157 f og 159 f.
Grænsefladerne mellem lovgivningen om behandling af
personoplysninger og anden forvaltningsretlig lovgivning
Efter udvalgets opfattelse bør forholdet mellem
på den ene side den kommende lov om behandling af personoplysninger og
på den anden side forvaltningsloven og offentlighedsloven løses
på samme måde som i dag.
Udvalgets udkast til en ny lovgivning på
området bygger således på den forudsætning, at der -
ligesom lov om offentlige myndigheders registre - er tale om en
specialregulering i forhold til reglerne i forvaltningsloven og
offentlighedsloven.
Det understreges dog samtidig, at der ikke tilsigtes at
gøre indskrænkninger i de rettigheder, som en registreret person
har efter forvaltningsloven og offentlighedsloven. Der henvises herved
særligt til betænkningen, side 160-164.
Hvad endelig angår forholdet mellem udvalgets udkast
til en kommende lov om behandling af personoplysninger og arkivlovgivningen,
henvises til betænkningen, side 164 ff.
Den gældende offentligretlige lovgivning bygger
på den ordning, at den løbende administrative behandling af
oplysninger er omfattet af lov om offentlige myndigheders registre, og at
privates løbende brug af oplysninger er reguleret i lov om private
registre.
I arkivlovgivningen reguleres den anvendelse til bl.a.
forskning, der finder sted, efter at oplysningerne ikke længere
anvendes administrativt eller til private formål.
Det er udvalgets opfattelse, at denne lovsystematiske
ordning bør opretholdes. Det foreslås derfor, at der i den
kommende lovgivning om behandling af personoplysninger alene indsættes
bestemmelser, der regulerer den dataansvarliges løbende behandling af
oplysninger. Udvalget lægger i den forbindelse bl.a. vægt
på, at Kulturministeriet har oplyst, at det for tiden overvejes, hvilke
ændringer i arkivlovgivningen der bør foretages som følge
af det vedtagne direktiv. Se herved betænkningen, side 156.
4.2.11.3. Justitsministeriets forslag
Som nævnt i pkt. 4.1.3. ovenfor er
Justitsministeriet enig i udvalgets valg af lovmodel. Justitsministeriet har
derfor udarbejdet et lovforslag om behandling af oplysninger, der omfatter
både den offentlige sektor (forvaltningsmyndighederne og domstolene) og
den private sektor.
Lovforslaget omfatter bl.a. forvaltningsmyndighedernes og
domstolenes behandling af personoplysninger, som helt eller delvis foretages
ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling
af personoplysninger, der er eller vil blive indeholdt i et register.
Uden for lovforslagets anvendelsesområde falder
således den manuelle behandling af personoplysninger i den offentlige
forvaltning og ved domstolene, der ikke indeholdes i et register. Denne
behandling er - for så vidt angår forvaltningsmyndighederne -
reguleret i bl.a. forvaltningsloven og offentlighedsloven og - for så
vidt angår domstolene - i retsplejeloven. Reglerne i forvaltningsloven
og retsplejeloven tager primært sigte på at regulere
retsstillingen for de fysiske eller juridiske personer, som er parter i den
pågældende forvaltningssag eller retssag. Deres primære
sigte er således ikke at regulere retstillingen for den, der behandles
personoplysninger om (»den registrerede«).
På den anførte baggrund vil det efter
Justitsministeriets opfattelse ikke være hensigtsmæssigt at
indarbejde de nævnte regler i det foreliggende lovforslag om behandling
af personoplysninger. Justitsministeriet kan således tilslutte sig, at
udvalget ikke har udarbejdet et samlet lovforslag om behandling af
personoplysninger i den offentlige sektor.
Justitsministeriet kan endvidere tilslutte sig udvalgets
forslag til (redaktionel) ændring i bestemmelsen i offentlighedslovens
§ 5, stk. 3, og udvalgets forslag til, hvordan samspillet mellem
på den ene side den kommende lov om behandling af personoplysninger og
på den anden side forvaltningsloven, offentlighedsloven og
arkivlovgivningen skal løses.
Samspillet mellem reglerne om adgang til indsigt efter
lovforslaget, forvaltningsloven og offentlighedsloven kan i hovedtræk
beskrives således:
Efter lovforslaget har tredjemand ikke ret til aktindsigt
i oplysninger om andre personer. Spørgsmålet skal derfor
afgøres efter anden lovgivning, herunder reglerne i
offentlighedsloven.
Efter lovforslaget har den registrerede ret til egenacces.
Der er også ret til aktindsigt (egenacces) efter reglerne i
offentlighedsloven. Afgørelsen skal træffes på det
retsgrundlag, der er mest gunstigt for den pågældende.
En part i en afgørelsessag har ret til indsigt i
oplysninger om sig selv (egenacces) efter lovforslagets regler herom og efter
reglerne om aktindsigt i forvaltningsloven. Afgørelsen skal
træffes på det retsgrundlag, der er mest gunstigt for den
pågældende.
Med hensyn til forholdet mellem reglerne i kapitel 8 i
forvaltningsloven og lovforslagets behandlingsregler er der grund til at
nævne, at lovforslagets regler om behandling af personoplysninger, der
også omfatter videregivelse af personoplysninger, fortrænger
reglerne om videregivelse i forvaltningslovens kapitel 8. Lovforslaget
regulerer ikke spørgsmålet om indhentning af oplysninger i
ansøgningssager eller om pligt til videregivelse af oplysninger.
Reglerne herom i forvaltningslovens § 29 og § 31 gælder således
også i relation til de personoplysninger, der er omfattet af
lovforslaget. Det skal i den forbindelse fremhæves, at det er den
dataansvarlige myndighed, som modtager en anmodning fra en anden myndighed om
udlevering af oplysninger efter forvaltningslovens § 31, der skal vurdere
berettigelsen heraf. Dette gælder uanset, om spørgsmålet
om berettigelsen af videregivelsen af de pågældende oplysninger
skal afgøres efter behandlingsreglerne i lovforslaget.
Særligt hvad angår forholdet mellem forslaget
til lov om behandling af personoplysninger og arkivlovgivningen,
bemærkes, at lovforslaget bygger på den forudsætning, at
spørgsmålet om arkivmæssig anvendelse (behandling) af
personoplysninger afgøres efter arkivlovgivningens regler herom (og
ikke efter reglerne i lov om behandling af personoplysninger kapitel 4),
medens de øvrige generelle regler i lov om behandling af
personoplysninger finder anvendelse på arkivmæssig behandling af
personoplysninger, medmindre det databeskyttelsesretlige
spørgsmål er reguleret i arkivlovgivningen. Justitsministeriet
finder ikke, at spørgsmålet om, under hvilke betingelser
kommunale edb-registre skal kunne overføres til opbevaring på
arkiv, bør reguleres i loven om behandling af personoplysninger. Dette
spørgsmål bør reguleres i arkivlovgivningen. I
lovforslaget er derfor ikke medtaget en bestemmelse, der svarer til § 9, stk.
4, 1. pkt., i lov om offentlige myndigheders registre, hvorefter
Registertilsynet kan tillade, at edb-registre, der føres for kommunale
myndigheder, kan overføres til opbevaring i arkiv på
nærmere angivne vilkår.
Justitsministeriet er i øvrigt enig med udvalget i,
at der bør ses nærmere på samspillet mellem lovforslagets
almindelige regler om behandling, herunder videregivelse til tredjemand, af
oplysninger, og reglerne i forvaltningslovens kapitel 8 om tavshedspligt og
videregivelse m.v.
Der opstår i den forbindelse en række
spørgsmål. Således kan der f.eks. rejses
spørgsmål om, hvorvidt forvaltningslovens regler om udveksling
af personoplysninger mellem forvaltningsmyndigheder bør ændres,
således at de helt eller delvis svarer til reglerne herom i dette
lovforslag. Det bemærkes herved, at reglerne i lovforslaget er baseret
på det nævnte EF-direktiv og således ikke kan fraviges for
så vidt angår de områder, der er omfattet af direktivet.
Der kan endvidere bl.a. rejses spørgsmål om, hvorvidt der
bør ske ændringer i forvaltningslovens regler om udveksling af
personoplysninger mellem forvaltningsmyndigheder om juridiske personer. Det
bemærkes herved, at direktivet ikke regulerer dette
spørgsmål.
Justitsministeriet vil behandle den nævnte
problemstilling nærmere efter vedtagelsen af den nye lov om behandling
af personoplysninger, således at der i givet fald så hurtigt som
muligt vil kunne fremsættes lovforslag på området.
4.2.12. Særligt om ny informationsteknologi
4.2.12.1. Gældende ret
I den gældende registerlovgivning er der ikke,
bortset fra sondringen mellem manuelle registre og edb-registre, fastsat
regler, der tager sigte på særlige former for
informationsteknologi.
I det omfang, registrering og videregivelse m.v. af
oplysninger er omfattet af lovgivningens område, vil lovligheden heraf
således skulle bedømmes ud fra de samme regler, uanset hvilket
informationsteknologisk medie den registeransvarlige benytter sig af.
Dette forhold betyder dog ikke, at der ikke ved
bedømmelsen af lovligheden af registrering og videregivelse m.v. af
oplysninger kan tages hensyn til, hvilket informationsteknologiske medie der
benyttes.
Registertilsynet har således i sin praksis f.eks.
udtalt sig om kryptering i forbindelse med forsendelse af elektronisk post
via Internettet, om benyttelse af firewalls, såfremt der opbevares
følsomme oplysninger på computere, hvorfra der kan foretages
opkobling til Internettet, samt om anvendelse af opkaldslinier i forbindelse
med brugen af hjemmearbejdspladser.
Det bemærkes i øvrigt, at lovgivningen i
ganske begrænset omfang indeholder regler, som tager sigte på
særlige medier. Der henvises herved bl.a. til § 11 i lov om
private registre m.v. om den registreredes indsigtsret i
kreditoplysningsbureauers materiale (kartotekskort, hulkort, magnetbånd
m.v.).
4.2.12.2. Udvalgets overvejelser
I betænkningen, side 168-171, er redegjort
for, om - og i givet fald i hvilket omfang - den kommende lovgivning om
behandling af personoplysninger skal omfatte nye informationsteknologiske
medier, såsom Internettet og World Wide Web (WWW).
Som anført ovenfor i pkt. 4.2.1.2. finder udvalget,
at den kommende lovs område må fastlægges således, at
det bl.a. omfatter behandling af personoplysninger, der helt eller delvis
foretages ved hjælp af elektronisk databehandling. Lovens område
vil herved også komme til at omfatte elektronisk behandling af
oplysninger i nye informationsteknologiske medier, såsom Internet og
World Wide Web (WWW). Dette indebærer bl.a., at spørgsmål
om lovligheden af behandling af oplysninger i sådanne systemer vil
skulle bedømmes efter lovens regler, herunder navnlig de
foreslåede regler om behandling af oplysninger.
Med valget af denne lovtekniske fremgangsmåde
tilsigter udvalget at fremtidssikre loven. Udvalget fremhæver herved,
at den fremtidige lovgivning - i modsætning til i dag - vil komme til
at gælde for elektronisk behandling af oplysninger i bred forstand.
Dermed vil det ikke mere være et krav, at der er tale om et
edb-register, og som en følge heraf vil der med den kommende
lovgivning i højere grad kunne tages højde for den situation,
at behandling af personoplysninger sker i nyere informationsteknologiske
medier. Omfattet af lovens regler vil med andre ord være
personoplysninger m.v. på Internettet i det omfang, den dataansvarlige
gør oplysningerne til genstand for behandling i dette medie.
I lyset heraf finder udvalget, at der ikke bør
indsættes særlige regler for visse former for
informationsteknologiske medier i den kommende lovgivning. Udvalget
lægger herved vægt på, at behandling af oplysninger i
eksempelvis nye elektroniske medier principielt bør være
undergivet de samme regler som anden elektronisk behandling. Dette stemmer
også bedst overens med direktivet, idet det synes vanskeligt at
begrunde, at der skal gælde en forskellig regulering afhængig af,
i hvilket elektronisk medie behandling af oplysninger finder sted.
Endvidere synes det efter udvalgets opfattelse heller ikke
på nuværende tidspunkt muligt at klarlægge, i hvilket
omfang der bør ske en sådan særregulering. Udvalget
bemærker i den forbindelse, at der for tiden såvel på
nationalt plan som i forskellige internationale sammenhænge arbejdes
på at identificere og beskrive de problemstillinger og muligheder, som
brugen af Internettet kan medføre. Der henvises nærmere til
betænkningen, side 169.
Udvalget har endvidere overvejet spørgsmålet
om, hvorvidt der - i lyset af den udbredte brug af informationsteknologi
såvel i den offentlige forvaltning som hos private - bør
fastsættes særlige regler vedrørende
pligtmæssig brug af informationsteknologi. Udvalget
bemærker i den forbindelse, at der er tale om et
spørgsmål, som ikke er reguleret i direktivet, og at
medlemsstaterne derfor står frit med hensyn til
spørgsmålet om, hvorvidt og i givet fald i hvilken
udstrækning tilsynsmyndigheder, dataansvarlige m.v. bør kunne
forpligtes til at anvende edb-tekniske hjælpemidler.
Navnlig i følgende situationer kunne det efter
udvalgets opfattelse komme på tale at anvende Internettet:
1) De dataansvarlige kan via Internettet give de registrerede mulighed
for indsigt i oplysninger om dem selv.
2) Datatilsynet kan gøre den fortegnelse over behandlinger, som
de dataansvarlige har anmeldt, offentligt tilgængelig via
Internettet.
3) Datatilsynet kan give de dataansvarlige mulighed for via Internettet
at anmelde behandlinger til tilsynet.
4) De dataansvarliges pligt til at stille en række oplysninger om
deres behandlinger til rådighed for enhver, der anmoder herom, vil
kunne opfyldes gennem en offentliggørelse af de pågældende
oplysninger på de dataansvarliges hjemmesider på
Internettet.
Udvalget finder ikke, at der på nuværende
tidspunkt gennem lovgivningen bør fastsættes en egentlig pligt
for tilsynsmyndigheder, dataansvarlige m.v. til at anvende
informationsteknologi i forbindelse med udøvelse af aktiviteter, som
omfattes af lovgivningen. Der lægges herved vægt på, at
konsekvenserne af et sådant lovkrav ikke på nuværende
tidspunkt synes at kunne overskues fuldt ud. I stedet finder udvalget det
naturligt, at det overlades til de berørte myndigheder m.v. selv at
vurdere, om de fornødne rammer for at tage edb-tekniske
hjælpemidler i brug er til stede. Udvalget bemærker herved bl.a.,
at den moderne informationsteknologi medfører stærkt forbedrede
kommunikationsmuligheder, som det med tiden vil være naturligt at
anvende med henblik på en faktisk styrkelse af den
databeskyttelsesretlige regulering. Internettet og tilsvarende netværk
bør i den forbindelse spille en fremtrædende rolle, idet denne
teknologi bør nyttiggøres, så snart mulighederne herfor
er tilstrækkeligt sikre og de dataansvarlige og tilsynsmyndighederne
må forventes at være i stand til udnytte teknologien.
Endvidere anfører udvalget, at såfremt der
etableres mulighed for, at registrerede personer kan få indsigt i
oplysninger om dem selv via Internettet, må de enkelte IT-systemer
først indrettes på on-line indsigt, herunder forsynes med de
nødvendige sikkerhedsforanstaltninger mod uautoriseret adgang til
data, i hvilken forbindelse brug af digital signatur kan være
nødvendig.
4.2.12.3. Justitsministeriets forslag
Justitsministeriet kan tilslutte sig udvalgets synspunkter
vedrørende spørgsmålet om, hvorvidt der i den kommende
lovgivning om behandling af personoplysninger bør medtages regler, der
tager sigte på behandling af oplysninger i forbindelse med anvendelse
af særlige informationsteknologiske medier, såsom Internettet og
World Wide Web (WWW). På denne baggrund har Justitsministeriet
udarbejdet et lovforslag, som er teknologiuafhængigt i den forstand, at
reglerne gælder for al form for elektronisk databehandling af
oplysninger.
Justitsministeriet kan endvidere tiltræde, at der
ikke efter lovgivningen pålægges de dataansvarlige en pligt til
at anvende nærmere bestemte former for informationsteknologi, f.eks.
Internettet, i forbindelse med behandling af oplysninger. Justitsministeriet
finder det - ligesom udvalget - naturligt, at det overlades til de
berørte myndigheder, virksomheder m.v. selv at vurdere, om de
fornødne rammer for at tage edb-tekniske hjælpemidler i brug er
til stede.
Registertilsynet har over for Justitsministeriet oplyst,
at tilsynet har oprettet en hjemmeside på Internettet. Hjemmesiden
indeholder information om en række forhold, herunder bl.a. om
Registertilsynet, om lovgivningen samt om publikationer og rapporter.
Endvidere er der mulighed for via hjemmesiden at bestille blanketter til brug
for anmeldelse. Endelig vil det blive muligt for de dataansvarlige via
Internettet at anmelde behandlinger til tilsynet, ligesom tilsynet også
vil gøre den fortegnelse over behandlinger, som de dataansvarlige har
anmeldt, offentligt tilgængelig via Internettet.
5. Økonomiske og administrative konsekvenser m.v.
Efter lovforslaget skal der inden den 1. januar 2001 ske
anmeldelse af visse allerede eksisterende behandlinger, der foretages
af forvaltningsmyndighederne. Endvidere vil lovforslaget som noget nyt
inddrage manuelle registre under ordningen.
Udarbejdelsen af anmeldelserne kan ikke antages at blive
særlig arbejdskrævende.
En væsentlig konsekvens af lovforslaget vil derimod
være, at den eksisterende pligt til at udarbejde forskrifter for
registre ophæves, idet det istedet vil være tilstrækkeligt
at anmelde disse til tilsynsmyndigheden. Det vil tillige blive lettere og
mere smidigt at foretage ændringer i anmeldelserne. Dertil kommer, at
også anmeldelsespligten ophæves for en række registre, der
navnlig mod anmeldelse tidligere har været fritaget for pligten til at
udarbejde registerforskrifter. Endvidere ophæves det hidtidige krav om
politisk godkendelse i forbindelse med oprettelse af edb-registre.
Dette vil indebære en betydelig lettelse for de
forvaltningsmyndigheder, der i dag er omfattet af lov om offentlige
myndigheders registre, herunder de kommunale myndigheder.
Inddragelse af manuelle registre under ordningen om
anmeldelsespligt skønnes ikke i nævneværdigt omfang at
ville give anledning til selvstændige anmeldelser, jf. herved eksemplet
i betænkningens bilag 18.
Lovforslaget vil i den forbindelse indebære en
lettelse af overgangen til edb-behandling, idet der efter den
foreslåede ordning ikke vil skulle udarbejdes registerforskrifter.
Anmeldelsespligten, herunder inddragelsen af manuelle
registre under loven, antages på denne baggrund at medføre en
vis administrativ lettelse for det offentlige.
Lovforslaget medfører tillige, at myndighederne i
visse situationer får pligt til at give borgerne en række
oplysninger i forbindelse med, at de indsamler oplysninger.
Oplysningspligten må antages i et vist omfang at kunne opfyldes
samtidig med andre sagsbehandlingsskridt. Dertil kommer, at der med
lovforslaget er lagt op til, at der kan ske undtagelse fra oplysningspligten
i en række tilfælde, navnlig hvis underretning af den
registrerede viser sig umulig eller er uforholdsmæssigt vanskelig.
Omfanget af oplysningspligten vil i vidt omfang blive fastlagt i
tilsynsmyndighedernes praksis. På nuværende tidspunkt er det
derfor behæftet med stor usikkerhed at skønne over udgifterne
hertil. I nogle situationer vil det dog formentlig isoleret set
medføre øget administration for forvaltningerne.
Lovforslaget vil tillige medføre, at borgerne
får visse videregående rettigheder, end det er tilfældet i
dag. Det er forbundet med betydelig usikkerhed at skønne over de
administrative konsekvenser heraf.
Samlet set skønnes lovforslaget imidlertid ikke at
ville medføre merudgifter af betydning for det offentlige, jf. dog
nedenfor.
Som noget nyt vil lovgivningen også komme til at
omfatte domstolene. Domstolene vil som følge af at de hidtil
har været undtaget fra registerloven ikke opnå den lettelse,
der følger af, at pligten til at udarbejde registerforskrifter
foreslås ophævet. Endvidere skal de overordnede retter fremover
varetage de opgaver, der følger af at være tilsynsmyndighed.
Den 1. juli 1999 overgik administrationen af domstolene
til Domstolsstyrelsen. Efter lovforslaget skal tilsynet med domstolenes
behandling af personoplysninger vedrørende administrative forhold
herefter varetages af Domstolsstyrelsen.
Lovforslaget skønnes på domstolsområdet
at indebære etableringsudgifter på ca. 2 mio. kr.
Driftsudgifterne ved lovforslaget skønnes i 2000 at udgøre 3,6
mio. kr., heraf 0,8 mio. kr. lønsum. I år 2001 og de
følgende år skønnes driftudgiften at udgøre 3.
mio. kr., heraf 1,4 mio. kr. lønsum. Finansieringen heraf vil
indgå i fastlæggelsen af de samlede bevillingsmæssige
rammer for domstolene og Domstolsstyrelsen.
Det nuværende Registertilsyn vil med lovforslaget
overgå til at hedde Datatilsynet, men vil i øvrigt
være organiseret på samme måde som i dag. For tilsynets
vedkommende vil lovforslaget på den ene side indebære en
arbejdsmæssig lettelse, navnlig fordi tilsynet ikke længere
modtager udkast til registerforskrifter til udtalelse. Samtidig
indebærer lovforslaget imidlertid en væsentlig udvidelse af
tilsynets arbejdsområde og kompetence.
Det skønnes, at lovforslaget samlet vil
indebære en forøgelse af arbejdsbyrden i tilsynet. Der vil
således være behov for at foretage en personalemæssig
styrkelse af Datatilsynet i forhold til det nuværende Registertilsyn,
svarende til ansættelse af yderligere 3 medarbejdere, bl.a. med
IT-faglig kundskab.
Herudover vil der være udgifter forbundet med
driften af den under lovforslagets § 54, stk. 1, anførte
fortegnelse over alle anmeldte behandlinger. Denne fortegnelse forventes
etableret som et elektronisk register, offentligt tilgængeligt over
Internettet via Datatilsynets hjemmeside.
Endelig indebærer lovforslaget etableringsudgifter
for Datatilsynet. Dette skyldes navnlig etableringen af Datatilsynets nye
hjemmeside med tilhørende faciliteter for fortegnelsen over anmeldte
behandlinger og med mulighed for offentlige myndigheder og private
virksomheder for at foretage elektronisk anmeldelse af behandlinger til
Datatilsynet. Hertil kommer forskellige øvrige udgifter, som vil
være forbundet med den nye lovgivning, herunder udarbejdelse af
informationsmateriale, og etablering af Datatilsynet som afløsning for
Registertilsynet.
Lovforslaget vurderes samlet at indebære
etableringsudgifter for Datatilsynet på 2,6 mio. kr. Forøgelsen
af de årlige driftsudgifter vil udgøre 1,6 mio. kr., heraf 1,2
mio. kr. lønsum. Da EF-direktivet er trådt i kraft, er
merudgifterne allerede tilført Registertilsynet.
Der har ikke fundet forhandlinger sted med de kommunale
parter forud for lovforslagets fremsættelse. Disse har dog
været hørt over det senest fremsatte lovforslag.
Efter Justitsministeriets opfattelse vil lovforslaget
heller ikke for de kommunale parter medføre merudgifter af betydning.
Der pågår drøftelser med de kommunale parter herom.
For så vidt angår lovforslagets
erhvervsøkonomiske konsekvenser, kan det oplyses, at
Justitsministeriet har forelagt udvalgets forslag til en ny lovgivning om
behandling af personoplysninger for Erhvervsministeriets Testpanel.
Resultatet heraf er, at det af Udvalget om
Registerlovgivningen udarbejdede lovudkast af 89 % af virksomhederne vurderes
at ville være administrativt neutralt. Enkelte virksomheder vurderer,
at lovudkastet har administrative konsekvenser for dem. Således
vurderer 1 % af virksomhederne, at lovudkastet vil medføre
administrative engangslettelser for dem, medens 2 % anslår, at de vil
få engangsbyrder til bl.a. at sætte sig ind i de nye regler. 2 %
vil desuden få behov for ekstern rådgivning på
engangsbasis. Med hensyn til de løbende administrative konsekvenser
vurderer 3 %, at de vil få administrative lettelser, medens 2 %
forudser løbende administrative byrder, bl.a. til opdatering af edb. 2
% vil desuden få brug for løbende ekstern rådgivning.
Lovforslaget har ikke miljømæssige
konsekvenser.
6. Høring
Justitsministeriet har modtaget høringssvar over
betænkningen fra følgende myndigheder, organisationer
m.v.:
Samtlige ministerier, Præsidenten for
Højesteret, Præsidenten for Østre Landsret,
Præsidenten for Vestre Landsret, Præsidenten for Sø- og
Handelsretten, Præsidenten for Københavns Byret,
Præsidenten for Retten i Århus, Præsidenten for Retten i
Odense, Præsidenten for Retten i Aalborg, Præsidenten for Retten
i Roskilde, Den Danske Dommerforening, Dommerfuldmægtigforeningen,
Rigsadvokaten, Rigspolitichefen, Politidirektøren i København,
Foreningen af Politimestre i Danmark, Dansk Politiforbund, Dansk
Kriminalpolitiforening, Registertilsynet, Amtsrådsforeningen i Danmark,
Kommunernes Landsforening, Københavns Kommune, Frederiksberg Kommune,
Advokatrådet, Forbrugerrådet, Landsorganisationen i Danmark,
Dansk Industri, Dansk Arbejdsgiverforening, Finansrådet, Rådet
for Dansk Forsikring og Pension, Realkreditrådet, TV 2, Danmarks Radio,
Danske Dagblades Forening, Dansk Journalistforbund, Dansk Fagpresseforening,
Sammenslutningen af Lokale Radio- og TV-stationer, PROSA, Den almindelige
danske Lægeforening, Funktionærernes og Tjenestemændene
Fællesråd, Dansk Detail Kreditråd, Danske Reklamebureauers
Brancheforening, Dansk Dataforening, Handelskammeret, Post Danmark,
Foreningen af Danske Medicinfabrikker, RKI Kreditinformation A/S, Dansk
Forening for Medicinsk Udstyr, Projekt Rejsekort, Foreningen af
Markedsanalyseinstitutter i Danmark (FMD) og Dansk Institut for klinisk
Epidemiologi (DIKE).
Bemærkninger til lovforslagets enkelte
bestemmelser
Til kapitel 1
Lovens område
I kapitlet fastlægges lovens
anvendelsesområde. I § 1, stk. 1, angives lovens centrale
område. § 1, stk. 2- 4, omhandler visse former for
behandlinger, som ikke omfattes af beskrivelsen i stk. 1, men som
også bør inddrages under den regulering, der tilsigtes med
loven. Endvidere er der i § 1, stk. 5 og 6, indsat
bemyndigelsesbestemmelser, hvorefter der kan ske en udvidelse af lovens
område.
Begrænsninger i lovens anvendelsesområde er
fastsat i § 2, stk. 1-11.
Til § 1
Til stk. 1
Direktivets artikel 3 indebærer, at der må
foretages ændringer i anvendelsesområdet for den gældende
registerlovgivning. Under hensyn hertil foreslås det, at lovens
almindelige anvendelsesområde fastlægges således, at det
omfatter behandling af personoplysninger, som helt eller delvist foretages
ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling
af personoplysninger, der er eller vil blive indeholdt i et register.
Lovens område omfatter al behandling, uanset for
hvem behandlingen måtte blive foretaget. Loven vil herefter ikke alene
regulere den offentlige forvaltning og private, men også den behandling
af oplysninger, der foretages for domstolene. Det foreslås dog ikke, at
behandling af oplysninger, der foretages for Folketinget eller institutioner
med tilknytning dertil, omfattes af lovens område, jf. § 2,
stk. 5. Specielt for så vidt angår privates behandling af
personoplysninger, indebærer lovens meget brede
anvendelsesområde, at ikke kun private organer, såsom
erhvervsvirksomheder, organisationer, foreninger, stiftelser m.v., er
omfattet af lovens område. Omfattet er også privatpersoners
behandling af oplysninger. Heraf følger, at privatpersoner i
modsætning til, hvad der følger af lov om private registre vil
kunne foretage behandling af personoplysninger i overensstemmelse med lovens
regler. Privatpersoners behandling af oplysninger som led i udøvelse
af aktiviteter af rent privat karakter omfattes dog ikke af lovens regler,
jf. § 2, stk. 3. Hertil kommer, at loven ikke finder anvendelse,
hvis det vil være i strid med informations- og ytringsfriheden, jf. Den
Europæiske Menneskerettighedskonventions artikel 10 (lovforslagets § 2,
stk. 2).
Efter bestemmelsen er den type af oplysninger, som er
beskyttet, personoplysninger. Hvad der skal forstås ved begrebet
personoplysninger er fastsat i § 3, nr. 1. Udenfor lovens
almindelige anvendelsesområde falder oplysninger om juridiske personer.
I et vist omfang gælder lovens regler dog for behandling af oplysninger
om juridiske personer, jf. § 1, stk. 3-6.
Lovens almindelige anvendelsesområde er endvidere
begrænset til at gælde for hel eller delvis elektronisk
behandling af personoplysninger, og behandling af personoplysninger, der er
eller vil blive indeholdt i et manuelt register. Hvad der skal forstås
ved begreberne behandling og register er fastsat i § 3,
nr. 2 og 3. Uden for lovens almindelige anvendelsesområde falder manuel
behandling af oplysninger, der ikke er eller vil blive indeholdt i et
register. I det omfang, behandling af personoplysninger sker såvel
elektronisk som manuelt, f.eks. ved at der sker elektronisk journalisering og
sagsstyring af en manuel sag, vil den behandling, som knytter sig til den
manuelle sag, således ikke være omfattet af lovens almindelige
anvendelsesområde. Derimod vil den elektroniske journalisering og
sagsstyring være omfattet. Det bemærkes, at en række af
lovens bestemmelser finder anvendelse på anden ikke-elektronisk
systematisk behandling, som udføres for private, og som omfatter visse
typer af oplysninger om fysiske personer, jf. stk. 2. Systematiserede
manuelle sager er således også i et vist omfang omfattet af
lovens regulering.
Til stk. 2
Efter § 1, stk. 1, i lov om private registre
må systematisk registrering, der omfatter oplysninger om personers,
institutioners, foreningers eller virksomheders private eller
økonomiske forhold eller i øvrigt oplysninger om personlige
forhold, som med rimelighed kan forlanges unddraget offentligheden, kun finde
sted efter reglerne i lovens kapitel 2, 2 a, 2 b, 2 c og 3.
Bestemmelsen i stk. 2 viderefører i det
væsentlige denne retstilstand. Bestemmelsen omfatter således
anden form for ikke-elektronisk systematiseret behandling af oplysninger end
den ikke-elektroniske behandling af personoplysninger, der er eller vil blive
indeholdt i et register, jf. stk. 1. Inden for lovens område
falder dermed bl.a. behandling af oplysninger i en samling aktmapper. Kravet
om, at behandlingen skal være systematiseret, betyder, at bestemmelsen
ikke omhandler enkeltstående eller mere tilfældige behandlinger
af oplysninger.
De, der er beskyttet efter bestemmelsen, er fysiske
personer. Uden for falder offentlige myndigheder, institutioner, foreninger
og virksomheder, som er organiseret i selskabsform. Kredsen af beskyttede
retssubjekter er således i forhold til den gældende bestemmelse i
lov om private registre § 1, stk. 1, begrænset til fysiske
personer.
De interesser, der beskyttes efter bestemmelsen, er
oplysninger om fysiske personers private eller økonomiske forhold
eller oplysninger om personlige forhold, som med rimelighed kan forlanges
unddraget offentligheden. Bestemmelsen svarer til de typer af oplysninger om
fysiske personer, som er omfattet af bestemmelsen i lov om private registre
§ 1, stk. 1.
Det bemærkes, at reglerne i kapitel 8 og 9 om
oplysningspligt over for den registrerede og om indsigtsret ikke finder
anvendelse på behandlinger, som falder ind under bestemmelsen i
stk. 2.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.1.2.
Til stk. 3
Af lov om private registre følger, at loven
omfatter kreditoplysningsbureauers håndtering af visse former for
oplysninger om henholdsvis fysiske og juridiske personer, jf. lovens
§ 1, stk. 1, sammenholdt med reglerne i kapitel 3. Også med
hensyn til private dataansvarliges håndtering af oplysninger om
juridiske personer, som måtte være indeholdt i advarselsregistre,
gælder lov om private registre, jf. lovens § 1, stk. 1,
sammenholdt med § 3, stk. 6.
I overensstemmelse hermed foreslås det i
bestemmelsen, at lov om behandling af personoplysninger umiddelbart skal
gælde for behandlinger, som udføres for
kreditoplysningsbureauer, og som omfatter oplysninger om virksomheder m.v.
Tilsvarende foreslås med hensyn til behandlinger, som er omfattet af
bestemmelsen i § 50, stk. 1, nr. 2 (»advarselsregistre«). Med
indsættelsen af henvisningen til stk. 1 og 2 præciseres det,
at udvidelsen af lovens område til også at angå behandling
af oplysninger om juridiske personer kun gælder for så vidt
angår de behandlingsformer, som i øvrigt er omfattet af loven.
Udenfor den foreslåede bestemmelse falder således
kreditoplysnings- og advarselsbureauers manuelle behandling af oplysninger om
virksomheder m.v., som ikke sker i tilknytning til et manuelt register, jf.
stk. 1, eller i øvrigt ikke er systematisk i stk. 2's
forstand.
Omfattet af udtrykket virksomheder m.v. er alle
former for erhvervsvirksomheder, erhvervsdrivende, institutioner, foreninger
og lignende, uanset om der er tale om en juridisk person eller ej.
Bestemmelsen omfatter således også oplysninger om
enkeltmandsejede virksomheder, uanset at sådanne oplysninger, der
må anses for at være personoplysninger, jf. § 3, nr. 1,
tillige falder ind under lovens almindelige anvendelsesområde,
således som dette er fastsat i § 1, stk. 1.
Til stk. 4
Bestemmelsen viderefører reglen i lov om offentlige
myndigheders registre § 1, stk. 4. Heraf følger, at reglerne
i lovens kapitel 5 a om videregivelse til kreditoplysningsbureauer af
oplysninger om gæld til det offentlige også gælder for
edb-registre, der føres for den offentlige forvaltning, og som
indeholder oplysninger om virksomheder m.v.
Reglerne i kapitel 5 gælder, uanset om der er tale
om videregivelse af elektronisk behandlede oplysninger, eller om
videregivelse af oplysninger, der hidrører fra et manuelt register,
jf. stk. 1. Bestemmelsen er udtryk for en nyskabelse i forhold til den
gældende ordning. Baggrunden herfor er, at spørgsmålet om
en dataansvarlig forvaltningsmyndigheds adgang til at videregive de
nævnte oplysninger ikke bør afhænge af, om oplysningerne
er behandlet elektronisk eller hidrører fra et manuelt register.
Til stk. 5
Behandlinger, som udføres for private, og som
omfatter oplysninger om juridiske personer, er kun i begrænset omfang
umiddelbart omfattet af loven, jf. stk. 3.
Efter bestemmelsen bemyndiges justitsministeren til at
inddrage behandling af oplysninger om juridiske personer under lovens
område. Bestemmelsen sikrer, at de nævnte behandlinger, hvis der
findes at være et behov herfor, kan reguleres efter de regler i loven,
som efter deres indhold vedrører behandling i privat regi.
Hvis bemyndigelsesbestemmelsen ønskes udnyttet, vil
der i overensstemmelse med § 57 forinden skulle indhentes en udtalelse
fra Datatilsynet.
Til stk. 6
Behandlinger, som udføres for den offentlige
forvaltning, og som omfatter oplysninger om juridiske personer, er kun i
begrænset omfang umiddelbart omfattet af loven, jf. stk. 4.
Efter bestemmelsen bemyndiges vedkommende minister til at
inddrage behandling af oplysninger om juridiske personer under lovens
område. Herved sikres det, at de nævnte behandlinger, hvis der
findes at være et behov herfor, kan reguleres efter de regler i loven,
som efter deres indhold vedrører behandling, som udføres for
den offentlige forvaltning.
Hvis bemyndigelsesbestemmelsen ønskes udnyttet, vil
der - ligesom det er tilfældet efter bestemmelsen i stk. 5 -
forinden skulle indhentes en udtalelse fra Datatilsynet, jf. § 57.
Til § 2
Til stk. 1
Med den foreslåede bestemmelse fastsættes det
udtrykkeligt, at regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling, går forud
for reglerne i denne lov.
Bestemmelsen indebærer bl.a., at behandlingsreglerne
i lovforslagets §§ 6-8 ikke finder anvendelse på sundhedspersoners
videregivelse af fortrolige oplysninger, idet dette spørgsmål
vil skulle afgøres efter de mere restriktive videregivelsesregler i
kapitel 5 i loven om patienters retsstilling. Nævnes kan endvidere
reglerne i loven om brug af helbredsoplysninger m.v. på
arbejdsmarkedet, der for så vidt angår spørgsmålet
om arbejdsgiveres adgang til at indhente oplysninger om bl.a.
helbredsmæssige forhold giver den registrerede en bedre retsstilling
end lovforslagets behandlingsregler. Endelig kan det nævnes, at
tavshedspligtsreglerne i den finansielle lovgivning, f.eks. bank- og
sparekasselovgivningen, vil gå forud for behandlingsreglerne i
lovforslaget.
Omvendt følger det af bestemmelsen, at lovforslaget
finder anvendelse, hvis regler om behandling af personoplysninger i anden
lovgivning giver den registrerede en dårligere retsstilling. Dette
gælder dog ikke, hvis den dårligere retsstilling har været
tilsigtet og i øvrigt ikke strider mod direktivet om behandling af
personoplysninger.
I øvrigt henvises til lovforslagets pkt. 4.2.11.2.
og 4.2.11.3., hvor der er redegjort for spørgsmålet om forholdet
mellem på den ene side reglerne i lovforslaget og på den anden
side reglerne i henholdsvis forvaltningsloven og offentlighedsloven.
Til stk. 2
Af bestemmelsen følger, at loven ikke finder
anvendelse, hvis det vil stride mod informations- og ytringsfriheden, jf. Den
Europæiske Menneskerettighedskonventions artikel 10. Bestemmelsen er
indsat for at fjerne enhver tvivl om, at der ikke med lovforslaget
gennemføres en regulering, der indebærer begrænsninger i
den informations- og ytringsfrihed, som følger af den nævnte
bestemmelse i Den Europæiske Menneskerettighedskonvention.
Det er en selvfølge, at loven i øvrigt
administreres således, at der ikke handles i strid med Danmarks
internationale forpligtelser, herunder de øvrige bestemmelser i Den
Europæiske Menneskerettighedskonvention.
Til stk. 3
Den foreslåede bestemmelse, der bygger på
direktivets artikel 3, stk. 2, 2. pind, indebærer, at loven ikke
gælder for behandling af oplysninger, som en fysisk person foretager
med henblik på udøvelse af aktiviteter af rent privat
karakter.
Sådanne aktiviteter vil bl.a. kunne bestå i
privat korrespondance og føring af en adressefortegnelse over familie,
venner, bekendte etc. Der henvises herved til betragtning 12 i direktivets
præambel. Også det at føre en elektronisk dagbog samt
forskellige behandlinger i forbindelse med sædvanlige
fritidsaktiviteter vil falde ind under bestemmelsen. Det samme gælder,
hvis en privatperson anvender sit tekstbehandlingssystem i forbindelse med,
at den pågældende retter henvendelse til en offentlig myndighed
om en sag, som vedrører den pågældende selv eller dennes
familie. Det kan endvidere nævnes, at den omstændighed, at en
privatperson f.eks. gennem Internettet giver et ubegrænset eller
stort antal personer adgang til personoplysninger, ikke i sig selv vil
være afgørende for, om behandlingen vil være omfattet af
lovforslagets anvendelsesområde. F.eks. må det antages, at
deltagelse i debatter på Internettet om sportsfolks præstationer
m.v. vil kunne være udtryk for aktiviteter af »rent privat karakter«.
Der henvises i øvrigt til bestemmelsen i lovforslagets § 2, stk.
2.
Udtrykket »rent privat karakter« dækker
således over forskellige typer af behandlinger, som privatpersoner
foretager i forbindelse med udøvelse af personlige eller
familiemæssige aktiviteter. Der skal være tale om
sædvanlige og legitime private aktiviteter, således at
bestemmelsen ikke anvendes til at omgå reglerne for lovlig behandling.
De aktiviteter, der efter bestemmelsen undtages fra lovens område, kan
være reguleret i anden lovgivning, herunder bl.a. i straffelovens
kapitel 27.
I de tilfælde, hvor behandling af oplysninger
foretages som led i udøvelse af erhvervsmæssige aktiviteter,
finder lovens regler anvendelse, jf. § 1, stk. 1 og 2. Eksempelvis
falder behandling af oplysninger, som udføres for enkeltmandsejede
virksomheder, ikke ind under den foreslåede undtagelsesbestemmelses
område.
Til stk. 4
Af bestemmelsens 1. pkt. følger, at reglerne
i lovens kapitel 8-9 og §§ 35-37 og § 39 om den registreredes rettigheder
ikke finder anvendelse på behandlinger, der foretages for domstolene
inden for det strafferetlige område. Bestemmelsen indebærer, at
der ikke efter reglerne i kapitel 8 påhviler en dataansvarlig domstol
en oplysningspligt over for den registrerede, når personoplysninger
gøres til genstand for behandling i forbindelse med behandlingen af en
straffesag. Heller ikke indsigtsreglerne i kapitel 9 finder efter
bestemmelsen anvendelse i sådanne tilfælde. Endelig gælder
reglerne i §§ 35-37 og § 39 om den registreredes rettigheder ikke i relation
til behandlinger, der foretages for domstolene inden for det strafferetlige
område.
Efter bestemmelsens 2. pkt. gælder reglerne i
lovens kapitel 8 og §§ 35-37 og § 39 heller ikke for behandling af
oplysninger, som foretages for politi eller anklagemyndighed inden for det
strafferetlige område. Der vil således ikke være pligt for
politi og anklagemyndighed til at underrette registrerede personer, når
oplysninger om dem gøres til genstand for behandling i forbindelse med
behandlingen af en straffesag. Heller ikke reglerne i de nævnte
bestemmelser i kapitel 10 om den registreredes øvrige rettigheder
finder anvendelse i relation til behandlinger, der foretages for politi og
anklagemyndighed inden for det strafferetlige område. Med udtrykket
anklagemyndighed sigtes til politimestrene, statsadvokaterne,
Rigsadvokaten og Justitsministeriet, jf. retsplejelovens kapitel 10.
Det bemærkes, at direktivets artikel 3, stk. 2,
1. pind, 2. led, giver mulighed for at gøre undtagelse fra direktivets
regulering med hensyn til statens aktiviteter på det strafferetlige
område.
Om baggrunden for de foreslåede
undtagelsesbestemmelser henvises til lovforslagets almindelige
bemærkninger pkt. 4.2.5.2. og 4.2.5.3. samt betænkningen,
side 303 f.
Til stk. 5
I bestemmelsen foreslås det, at loven ikke finder
anvendelse på behandling af oplysninger, der foretages for Folketinget
og institutioner med tilknytning dertil. Om baggrunden herfor henvises til
pkt. 4.2.1.3.
Det bemærkes, at behandlingsaktiviteter, som
udføres af politiske partier repræsenteret i Folketinget, er
omfattet af loven.
Til stk. 6-9
Bestemmelserne indebærer, at den gældende
ordning vedrørende mediernes behandling af oplysninger i det
væsentlige opretholdes. Bestemmelserne svarer således - når
der bortses fra enkelte mindre ændringer - til de gældende
undtagelsesbestemmelser i lov om offentlige myndigheders registre § 1,
stk. 7-9, og lov om private registre § 2, stk. 4-7.
Ændringerne består i, at det for så vidt angår de
uredigerede fuldtekstdatabaser, jf. stk. 7 og 8, og de manuelle arkiver,
jf. stk. 9, fastsættes, at de almindelige regler om
behandlingssikkerhed i lovens §§ 41-42 finder anvendelse. Tilsvarende
foreskrives det, at erstatningsreglen i § 69 gælder for
sådanne systemer m.v. ved overtrædelse af reglerne om
behandlingssikkerhed.
Herudover indebærer bestemmelserne i stk. 9 - i
modsætning til lov om private registre § 2, stk. 7 - at
manuelle arkiver over udklip fra offentliggjorte, trykte artikler kun
undtages fra lovens område i det omfang, der er tale om behandling, som
udelukkende sker i journalistisk øjemed. Det bemærkes, at den
foreslåede bestemmelse - i modsætning til hvad der gælder
efter registerlovgivningen - også gælder for manuelle arkiver
over udklip fra offentliggjorte, trykte artikler, som føres for den
offentlige forvaltning. Dette skyldes, at loven omfatter manuelle registre,
jf. § 1, stk. 1, hvilket ikke er tilfældet efter lov om
offentlige myndigheders registre.
Til brug for afgørelsen af, om et forhold falder
ind under loven, kan Datatilsynet indhente oplysninger fra det
pågældende massemedie eller journalisten, jf. § 62,
stk. 1.
Til stk. 10
Af bestemmelsens 1. pkt. følger, at for
behandling af oplysninger, som i øvrigt udelukkende finder sted i
journalistisk øjemed, gælder alene bestemmelserne i lovens
§§ 41-42 (behandlingssikkerhed) og § 69 (erstatningsansvar ved
overtrædelse af reglerne om behandlingssikkerhed).
Bestemmelsen tager sigte på den elektroniske
behandling af personoplysninger, som udelukkende foretages som led i
journalistisk virksomhed i forbindelse med udarbejdelse af artikler m.v.
under anvendelse af almindelige tekstbehandlingssystemer.
Det bemærkes, at databaser m.v. alene vil kunne
undtages fra lovens område i det omfang, det følger af
undtagelsesbestemmelserne i stk. 6-9.
Af bestemmelsens 2. pkt. følger, at lovens
regler ligeledes kun i begrænset omfang finder anvendelse på
behandling, som udelukkende sker med henblik på kunstnerisk eller
litterær virksomhed. Med udtrykket litterær virksomhed
sigtes til »skønlitterær virksomhed«, f.eks. udarbejdelse af
nøgleromaner, se hertil betænkningen, side 207. For
sådan behandling gælder således kun bestemmelserne i lovens
§§ 41-42 og 69.
De nævnte regler gælder alene for behandling
af oplysninger, som udelukkende finder sted i journalistisk øjemed
eller med henblik på kunstnerisk eller litterær virksomhed. Hvis
behandlingen ikke kan anses for udelukkende at ske til de nævnte
formål, finder lovens regler fuldt ud anvendelse. Datatilsynet
fører tilsyn med, om behandlingen udelukkende sker i de nævnte
øjemed. Til brug for afgørelsen heraf kan Datatilsynet indhente
oplysninger hos den pågældende, jf. herved § 62,
stk. 1.
Det er ikke tilstrækkeligt, at den dataansvarlige
selv er af den opfattelse, at der er tale om behandling, som finder sted i
journalistisk øjemed eller med henblik på kunstnerisk eller
litterær virksomhed. Der påhviler således den
pågældende en vis forpligtelse til at sandsynliggøre, at
vedkommendes aktiviteter falder ind under undtagelsesreglen. Datatilsynet -
og i sidste ende domstolene - vil kunne gribe ind over for misbrug af
reglen.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.10.3. og betænkningen, side
206-208.
Til stk. 11
Bestemmelsen indebærer, at den gældende
ordning vedrørende efterretningstjenesterne opretholdes, jf. lov om
offentlige myndigheders registre § 31. Af bestemmelsen følger
således, at lovens regler ikke gælder for behandlinger, som
udføres for politiets og forsvarets efterretningstjenester.
Det bemærkes, at videregivelse af personoplysninger
til en af efterretningstjenesterne vil være omfattet af loven, uanset
der i sådanne tilfælde tillige er tale om en behandling
(indsamling), som foretages for den pågældende tjeneste.
Også for så vidt angår
efterretningstjenesterne gælder det, at Datatilsynet kan indhente de
fornødne oplysninger til afgørelse af, om et forhold falder ind
under loven, jf. § 62, stk. 1. Dette vil i praksis ske gennem
Justitsministeriet og Forsvarsministeriet.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.1.2. og 4.2.1.3.
Til kapitel 2
Definitioner
Kapitlet indeholder definitioner af en række
centrale databeskyttelsesretlige begreber. Med definitionerne sikres det, at
der sker en korrekt implementering af bestemmelserne i direktivets artikel 2,
litra a-h. Samtidig indebærer de foreslåede bestemmelser, at der
i videre udstrækning end efter den gældende registerlovgivning
gives legale definitioner af centrale databeskyttelsesretlige begreber.
Til § 3
Til nr. 1
I den gældende registerlovgivning er indeholdt en
legal definition af begrebet personoplysninger, jf. lov om offentlige
myndigheders registre § 1, stk. 3, og lov om private registre
§ 1, stk. 2.
Også i direktivets artikel 2, litra a, er der
medtaget en definition af begrebet personoplysninger. Som anført i
betænkningen, side 211, må denne definition antages at
svare til den gældende legale definition af begrebet personoplysninger.
Med den foreslåede bestemmelse tilsigtes derfor ikke væsentlige
ændringer i den gældende retstilstand. Det bemærkes dog, at
elektronisk behandling af oplysninger om bestemte personer vil være
omfattet af lovgivningen, uanset personerne kun er bipersoner i behandlingen.
Efter den gældende retstilstand anses oplysninger om bipersoner i
edb-registre m.v. i almindelighed ikke for omfattet af lovgivningen.
I bestemmelsen defineres personoplysninger som
enhver information om en identificeret eller identificerbar fysisk person.
Ved udtrykket identificerbar person skal forstås en
person, der direkte eller indirekte kan identificeres, bl.a. ved et
identifikationsnummer eller et eller flere elementer, der er særlige
for en given persons fysiske, fysiologiske, psykiske, økonomiske,
kulturelle eller sociale identitet. Der henvises til direktivets artikel 2,
litra a.
Omfattet af begrebet personoplysninger er herefter
oplysninger, som kan henføres til en fysisk person, selv om dette
forudsætter kendskab til personnummer, registreringsnummer eller
lignende særlige identifikationer som f.eks. løbenummer.
Omfattet vil ligeledes bl.a. være oplysninger, som foreligger i form af
billede, personens stemme, fingeraftryk eller genetiske kendetegn. Det er
uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller
umiddelbart tilgængelig. Også de tilfælde, hvor det kun for
den indviede vil være muligt at forstå, hvem en oplysning
vedrører, er omfattet af definitionen. Det er med andre ord
tilstrækkeligt, at der i forbindelse med behandlingen er etableret en
ordning med et løbenummer eller lignende, f.eks. medlemsnummer eller
journalnummer. Er f.eks. navn eller adresse erstattet af en kode, der kan
føres tilbage til den oprindelige individuelle personoplysning, vil
der stadigvæk være tale om en personoplysning. Krypterede
oplysninger er dermed også omfattet, sålænge nogen kan
gøre oplysningerne læsbare og dermed identificere de personer,
som oplysningerne vedrører. Oplysninger, som er gjort anonyme på
en sådan måde, at den registrerede ikke længere kan
identificeres, er ikke omfattet af definitionen. Ved afgørelsen af, om
en person er identificerbar, skal alle de hjælpemidler, der med
rimelighed kan tænkes bragt i anvendelse for at identificere den
pågældende enten af den dataansvarlige eller af enhver anden
person, tages i betragtning. Der henvises herved til betragtning 26 i
direktivets præambel.
Med hensyn til spørgsmålet om, hvorvidt
oplysninger om afdøde personer skal anses for personoplysninger
i bestemmelsens forstand, henvises til pkt. 4.2.2.3. i lovforslagets
almindelige bemærkninger.
Der henvises i øvrigt til
betænkningen, side 210- 211.
Til nr. 2
I bestemmelsen defineres begrebet behandling.
Bestemmelsen er udtryk for en nyskabelse i forhold til den gældende
registerlovgivning.
Omfattet af begrebet behandling er ikke blot - som
efter den gældende lovgivning - registrering, opbevaring og
videregivelse af oplysninger, men derimod enhver form for håndtering af
oplysninger. Begrebet dækker således bl.a. over indsamling,
registrering, systematisering, opbevaring, tilpasning eller ændring,
selektion, søgning, brug, videregivelse ved transmission, formidling
eller enhver anden overladelse, sammenstilling eller samkøring samt
blokering, sletning eller tilintetgørelse. Finder blot en af de
nævnte former for håndtering af oplysninger sted, vil der
være tale om behandling i bestemmelsens forstand.
Til nr. 3
I den gældende registerlovgivning er indeholdt en
legal definition af begrebet edb-registre, jf. lov om offentlige myndigheders
registre § 1, stk. 2. Lov om private registre bygger også
på et registerbegreb, jf. lovens § 1, stk. 1.
Også i direktivets artikel 2, stk. 1, litra c,
er indeholdt en definition af begrebet register. Under hensyn hertil
foreslås det, at der i loven medtages en bestemmelse om, at der ved et
register skal forstås enhver struktureret samling af
personoplysninger, der er tilgængelige efter bestemte kriterier, hvad
enten denne samling er placeret centralt, decentralt eller er fordelt
på et funktionsbestemt eller geografisk grundlag.
Omfattet af bestemmelsens registerbegreb er manuelle
registre, såsom fortegnelser, kartotekskasser, journalkortsystemer og
andre samlinger af manuelt materiale, som opbevares struktureret efter
bestemte kriterier vedrørende personer for at lette adgangen til de
indeholdte personoplysninger. Derimod er manuelle akter, som indgår i
den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller
samlinger af sådanne mapper, ikke omfattet af registerbegrebet. Den
nærmere afgrænsning af registerbegrebet må i øvrigt
finde sted gennem vedkommende tilsynsmyndigheds praksis. En koordinering
mellem tilsynsmyndighederne vil være naturlig på dette punkt, jf.
§ 66 og § 68, stk. 1, med henvisningen til § 66.
Der henvises i øvrigt til
betænkningen, side 213- 215.
Til nr. 4
Bestemmelsen fastsætter, at der ved begrebet den
dataansvarlige skal forstås den fysiske eller juridiske person,
offentlige myndighed, institution eller ethvert andet organ, der alene eller
sammen med andre afgør, til hvilket formål og med hvilke
hjælpemidler der må foretages behandling af oplysninger. Begrebet
den dataansvarlige er ikke defineret i gældende dansk
registerlovgivning. Definitionen heraf i bestemmelsen, der bygger på
direktivets artikel 2, litra d, må dog antages at svare til, hvad der i
dag antages at gælde på ulovbestemt grundlag. Bestemmelsen kan
således ikke antages at medføre nogen ændringer i
gældende ret. Registertilsynets praksis vedrørende udpegningen
af den dataansvarlige (registeransvarlige) vil dermed fortsat kunne
tillægges betydning.
Til nr. 5
Bestemmelsen fastsætter, at der ved begrebet
databehandleren skal forstås, den fysiske eller juridiske
person, offentlige myndighed, institution eller ethvert andet organ, der
behandler oplysninger på den dataansvarliges vegne. I den
gældende registerlovgivning findes ikke nogen legal definition af dette
begreb. Bestemmelsens definition af begrebet databehandleren, der bygger
på direktivets artikel 2, litra e, må dog antages at svare til,
hvad der efter den gældende registerlovgivning anses for at være
en databehandler. Der henvises herved til § 20, stk. 1, i lov om
private registre, der fastsætter, hvad der skal forstås ved et
edb-servicebureau (databehandler).
Til nr. 6
Bestemmelsen fastsætter, at der ved begrebet
tredjemand skal forstås, enhver anden fysisk eller juridisk
person, offentlig myndighed, institution eller ethvert andet organ end den
registrerede, den dataansvarlige, databehandleren og de personer under den
dataansvarliges eller databehandlerens direkte myndighed, der er
beføjet til at behandle oplysninger. Bestemmelsen er udtryk for en
nyskabelse i forhold til den gældende registerlovgivning. Definitionen
af begrebet tredjemand har bl.a. betydning med hensyn til
spørgsmålet om den dataansvarliges adgang til at behandle,
herunder videregive, oplysninger, jf. § 6, nr. 6 og 7, og om den
dataansvarliges pligt til at underrette tredjemand om berigtigelse, sletning
eller blokering af videregivne oplysninger, jf. § 37, stk. 2.
Til nr. 7
Bestemmelsen fastsætter, hvad der skal forstås
ved begrebet modtager. Bestemmelsen er, ligesom bestemmelsen i nr. 6,
udtryk for en nyskabelse i forhold til den gældende
registerlovgivning.
I bestemmelsens 1. pkt. er fastsat, at der ved en
modtager skal forstås den fysiske eller juridiske person,
offentlige myndighed, institution eller ethvert andet organ, hvortil
oplysningerne meddeles, uanset om der er tale om en tredjemand. Begrebet
modtager afviger herved fra begrebet tredjemand, jf. nr. 6. Definitionen har
betydning i relation til reglerne om henholdsvis den dataansvarliges
oplysningspligt og den registreredes indsigtsret, jf. § 28, stk. 1,
nr. 3, litra a, og § 29, stk. 1, nr. 3, litra b, samt § 31,
stk. 1, nr. 3. Endvidere er begrebet af betydning i relation til
reglerne om anmeldelse af behandlinger, jf. § 43, stk. 2, nr. 5,
§ 48, stk. 2, samt § 52.
Offentlige myndigheder, som vil kunne få meddelt
oplysninger som led i en isoleret forespørgsel, er ikke omfattet af
begrebet modtager, jf. bestemmelsens 2. pkt.
Til nr. 8
En legal definition af begrebet samtykke er ikke indeholdt
i den gældende registerlovgivning.
I direktivets artikel 2, litra h, defineres det derimod,
hvad der skal forstås ved begrebet samtykke. Under hensyn hertil
fastsættes det i bestemmelsen, at der ved et samtykke skal
forstås enhver frivillig, specifik og informeret viljestilkendegivelse,
hvorved den registrerede indvilger i, at oplysninger, der vedrører den
pågældende selv, gøres til genstand for behandling
Efter bestemmelsen skal et samtykke meddeles i form af en
viljestilkendegivelse fra den registrerede. Heraf følger, at et
samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog
intet til hinder for, at et samtykke meddeles af en person, som af den
registrerede er meddelt fuldmagt hertil.
Der gælder ikke noget formkrav til et samtykke. Der
kan således være tale om såvel skriftligt som mundtligt
samtykke fra den registrerede, ligesom samtykket også vil kunne gives
digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder
lovens krav, påhviler den dataansvarlige, må det dog anbefales,
at et samtykke i videst muligt omfang afgives skriftligt. Dette vil navnlig
gælde, hvis der gives samtykke til behandling af oplysninger, som er af
følsom karakter, eller hvis samtykket i øvrigt har stor
betydning for en eller flere af parterne. Et samtykke skal endvidere
være frivilligt. Samtykket må således ikke være
afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige
selv eller andre, der øver pression over for den registrerede.
Herudover skal der være tale om et specifikt
samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret
i den forstand, at det klart og utvetydigt fremgår, hvad det er, der
meddeles samtykke til. Det skal således af et meddelt samtykke
fremgå, hvilke typer af oplysninger der må behandles, hvem der
kan foretage behandling af oplysninger om den samtykkende, og til hvilke
formål behandlingen kan ske.
Endelig skal samtykket være informeret i den
forstand, at den samtykkende skal være klar over, hvad det er,
vedkommende meddeler samtykke til. Den dataansvarlige må således
sikre sig, at der gives den registrerede tilstrækkelig information til,
at den pågældende kan vurdere, hvorvidt samtykke bør
meddeles.
Den registrerede kan på et hvilket som helst
tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet
fald være, at den behandling af oplysninger, som den registrerede
tidligere har meddelt sit samtykke til, ikke længere må finde
sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med
tilbagevirkende kraft, jf. nærmere bemærkningerne til § 38.
Der henvises i øvrigt til
betænkningen, side 215 f.
Til nr. 9
I bestemmelsen defineres det, hvad der skal forstås
ved begrebet tredjeland.
Ved et tredjeland forstås en stat, som ikke
indgår i Det Europæiske Fællesskab. Dette gælder dog
ikke, hvis den pågældende stat har gennemført en aftale,
der er indgået med Det Europæiske Fællesskab, og som
indeholder regler svarende til det vedtagne direktiv. Det bemærkes
herved, at den særlige EØS-komite har vedtaget, at direktivet
også skal gælde for EØS-landene. Når de enkelte
EØS-landes lovgivning herefter kommer til at svare til reglerne i
direktivet, vil EØS-landene ikke længere have karakter af
tredjelande.
Definitionen af et tredjeland har betydning med
hensyn til reglerne om lovens geografiske område, jf. § 4, og
reglerne om overførsel af oplysninger til tredjelande, jf.
§ 27.
Til kapitel 3
Lovens geografiske område
I kapitlet fastsættes regler om lovens geografiske
gyldighed. Bestemmelserne, der er udtryk for en nyskabelse i forhold til den
gældende registerlovgivning, bygger på direktivets artikel 4,
hvori der er fastsat regler om, hvilken medlemsstats nationale lovgivning der
gælder for behandlinger, som falder ind under direktivets
anvendelsesområde. Bestemmelsen i stk. 6 tager dog sigte på at
regulere behandlinger, der ikke er omfattet af direktivet.
De foreslåede bestemmelser berører ikke
spørgsmålet om strafferetlig jurisdiktionskompetence. Dette
spørgsmål vil således fortsat skulle afgøres efter
reglerne i straffelovens kapitel 2.
Til § 4
Til stk. 1
Bestemmelsen indeholder hovedreglen for lovens geografiske
gyldighed. Efter bestemmelsen gælder lovens regler for behandling af
oplysninger, som udføres for en dataansvarlig, der er etableret i
Danmark. Bestemmelsen omfatter således kun dataansvarlige, som er
etableret på dansk område. Færøerne og
Grønland anses ikke for dansk område efter bestemmelsen, men for
et tredjeland, jf. § 3, nr. 9. Der henvises nærmere til
betænkningen, side 224.
Uden for bestemmelsen falder de tilfælde, hvor en
dataansvarlig, som er etableret uden for dansk område, f.eks. i en
anden medlemsstat, udøver aktiviteter på dansk område.
Oplysninger, der opbevares på dansk område for en dataansvarlig,
som er etableret i en anden medlemsstat, er således som udgangspunkt
ikke omfattet af lovens regler. Dog gælder lovens sikkerhedsregler for
behandlinger, som foretages af databehandlere i Danmark, uanset behandlingen
i øvrigt er undergivet en anden medlemsstats lovgivning, jf.
§ 41, stk. 3. Endvidere gælder lovens regler om Datatilsynets
jurisdiktionskompetence i relation til sådanne behandlinger, jf.
§ 64, stk. 1. Tilsynets kompetence udøves i så fald
på baggrund af fremmed ret.
I det omfang, en dataansvarlig er etableret på dansk
område, følger det af bestemmelsen, at dennes behandlinger vil
være omfattet af lovens regulering, uanset om de aktiviteter, som
behandlingerne knytter sig til, udøves på dansk område
eller ej. Dette gælder dog kun, hvis der er tale om aktiviteter, som
den dataansvarlige udøver inden for Fællesskabets område.
En dataansvarlig, der er etableret i Danmark, og som foretager behandling af
oplysninger i et tredjeland, uden at behandlingen har nogen tilknytning til
Det Europæiske Fællesskabs område, vil således ikke
være omfattet af lovens regulering. Derimod vil den situation, at en
dataansvarlig, som er etableret i Danmark, overlader det til en databehandler
i et tredjeland at foretage selve behandlingen af oplysninger, ikke falde
uden for lovens gyldighedsområde. En betingelse er dog, at
databehandlingen har tilknytning til aktiviteter på Det
Europæiske Fællesskabs område.
Er en dataansvarlig på samme tid etableret i Danmark
og i en anden medlemsstat, finder lovens regler begrænset anvendelse.
Hvis et selskab, som er etableret i en anden medlemsstat, etablerer filial i
Danmark, vil lovens regler kun finde anvendelse på denne filials
aktiviteter inden for Fællesskabets område. Den dataansvarlige
skal i givet fald sikre, at den pågældende filial opfylder lovens
regler.
Etablering i bestemmelsens forstand foreligger, når
der er tale om faktisk udøvelse af aktiviteter gennem en mere
permanent struktur. Den pågældende strukturs retlige form er uden
betydning. Omfattet vil således kunne være aktiviteter, der
udøves af såvel filialer som datterselskaber med status som
juridisk person.
Der henvises i øvrigt til
betænkningen, side 219- 222.
Til stk. 2
Af bestemmelsen følger, at danske diplomatiske
repræsentationer er omfattet af lovens regulering. Om baggrunden herfor
henvises til betænkningen, side 222.
Til stk. 3
Bestemmelsen udvider det geografiske område, som
lovens regler skal gælde for.
Af bestemmelsen i nr. 1, 1. led, følger, at loven
gælder for en dataansvarlig, som er etableret i et tredjeland, hvis
behandlingen af oplysninger sker under benyttelse af hjælpemidler, der
befinder sig i Danmark. Dette vil bl.a. være tilfældet, hvis
behandlingen udføres af en databehandler ved hjælp af udstyr,
der befinder sig her i landet. Det er i den forbindelse uden betydning, om
der benyttes hjælpemidler, der er edb-baserede eller ej. Omfattet vil
således bl.a. være behandling ved hjælp af terminaler,
når blot dette sker på dansk område. Uden for bestemmelsen
falder de tilfælde, hvor hjælpemidlerne kun benyttes med henblik
på forsendelse af oplysninger gennem Det Europæiske
Fællesskabs område, jf. 2. led. Det vil bl.a. være
tilfældet, hvor der alene befinder sig en teknisk anordning
(hjælpemiddel) på dansk område, hvorigennem forsendelse til
et tredjeland finder sted. Hvis behandlingen i Danmark sker med henblik
på forsendelse til såvel et tredjeland som til en medlemsstat,
falder den behandling, som sker med henblik på forsendelse til
medlemsstaten, ind under lovens område.
Efter bestemmelsen i nr. 2. omfatter loven endvidere
dataansvarlige, som er etableret i et tredjeland, hvis indsamling af
oplysninger i Danmark sker med henblik på behandling i et tredjeland.
Bestemmelsen tager bl.a. sigte på indsamling af oplysninger i Danmark,
f.eks. i form af opkøb af oplysninger fra offentligt
tilgængelige registre, fra private og fra Statstidende, med henblik
på registrering til brug for kreditvurdering. Tilsvarende gælder
med hensyn til indsamling, der foregår ved, at de registrerede eller
andre med posten sender oplysninger direkte til den dataansvarlige i et
tredjeland. Der henvises til lovforslagets almindelige bemærkninger
pkt. 4.2.3.3.
Til stk. 4 og 5
Bestemmelserne indeholder regler af mere teknisk
karakter.
I stk. 4 fastsættes det, at en
dataansvarlig, som er omfattet af bestemmelsen i stk. 3, nr. 1, skal
udpege en repræsentant. Denne repræsentant skal være
etableret i Danmark. Den udpegede repræsentant har samme rettigheder og
forpligtelser som den dataansvarlige. Dette indebærer bl.a., at den
udpegede repræsentant skal foretage anmeldelse til Datatilsynet efter
reglerne i kapitel 12 og 13, ligesom den registrerede efter
omstændighederne vil skulle have oplysning om den dataansvarliges
repræsentants identitet, jf. §§ 28 og 29.
Det forhold, at der udpeges en repræsentant for den
dataansvarlige, berører efter bestemmelsen ikke den registreredes
mulighed for at foretage retslige skridt mod den dataansvarlige.
Af stk. 5 følger, at det påhviler
den dataansvarlige skriftligt at underrette Datatilsynet om, hvem der er
udpeget som repræsentant, jf. stk. 4.
Til stk. 6
Af bestemmelsen følger, at loven gælder, hvis
der for en dataansvarlig, der er etableret i et andet medlemsland, behandles
oplysninger i Danmark, og behandlingen ikke er omfattet af direktiv 95/46/EF
af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne
oplysninger. Det samme gælder i forhold til EØS-lande, der har
gennemført direktivet i overensstemmelse med EØS-komiteens
afgørelse.
Dette vil bl.a. kunne være tilfældet, hvis en
dataansvarlig i et andet medlemsland indsamler oplysninger i Danmark inden
for det strafferetlige område, idet en sådan behandling falder
uden for anvendelsesområdet for direktivet om behandling af
personoplysninger (direktivets artikel 3, stk. 2, 1. pind).
Til kapitel 4
Behandling af oplysninger
I kapitlet fastsættes regler om, i hvilket omfang
behandling af oplysninger må finde sted. Reglerne skal afløse de
gældende regler i registerlovgivningen om registrering, opbevaring,
samkøring og videregivelse af oplysninger, jf. bestemmelserne i lov om
offentlige myndigheders registre kapitel 3, 5, 5 a og 6 og lov om private
registre kapitel 2, 2 b og 4.
De foreslåede bestemmelser, der har til formål
at yde den registrerede en beskyttelse i vid forstand, skal sikre, at der
sker en korrekt implementering af direktivets artikel 5-8. Dette er
baggrunden for, at ordlyden af bestemmelserne i vid udstrækning ligger
tæt op ad direktivteksten. Der henvises i den forbindelse til
lovforslagets almindelige bemærkninger pkt. 4.2.4.2. (pkt. A) og
4.2.4.3.
I § 5 er fastsat en række principper for den
dataansvarliges behandling af oplysninger. Disse principper skal ses i
sammenhæng med bestemmelserne i §§ 6-13, hvori de nærmere
betingelser for behandling af oplysninger er fastsat. Lovligheden af
behandling af oplysninger skal som udgangspunkt bedømmes efter
reglerne i § 6. Dette gælder dog ikke, hvis der er tale om
behandling af særlige oplysningstyper, jf. §§ 7 og 8, eller om
særlige former for behandling af oplysninger, jf. §§ 9-13. I
§ 14 er der endelig fastsat regler om arkivering af oplysninger, der er
omfattet af loven.
De regler, som er indeholdt i kapitlet, finder som
udgangspunkt anvendelse på al behandling af oplysninger. I det omfang,
der er tale om særlige former for behandling, gælder dog reglerne
i kapitel 5-7. Kun i de tilfælde, hvor der opstår
spørgsmål, som ikke er reguleret i kapitel 5-7, vil de
almindelige behandlingsregler således finde anvendelse på de
nævnte særlige former for behandling af oplysninger. Ved
overførsel af oplysninger til tredjelande, jf. kapitel 7, vil de
almindelige betingelser dog skulle være opfyldt, jf. § 27,
stk. 5.
Til § 5
I bestemmelserne fastsættes en række
grundlæggende principper for den dataansvarliges behandling, herunder
indsamling, ajourføring, opbevaring m.v., af oplysninger.
Til stk. 1
Bestemmelsen fastsætter, at den dataansvarlige skal
behandle oplysninger i overensstemmelse med god databehandlingsskik. Heri
ligger, at behandlingen skal være rimelig og lovlig. En rimelig
behandling af oplysninger forudsætter bl.a., at registrerede personer
kan få kendskab til en behandlings eksistens og, når der
indsamles oplysninger hos dem, kan få nøjagtige og
fyldestgørende oplysninger med hensyn til de nærmere
omstændigheder ved indsamlingen, jf. §§ 28 og 29. Der henvises
herved til betragtning 38 i direktivets præambel. I øvrigt
må det overlades til tilsynsmyndigheden at udfylde den retlige standard
»god databehandlingsskik«.
Til stk. 2
I bestemmelsens 1. pkt. fastsættes det, at det
påhviler den dataansvarlige at sikre, at indsamling af oplysninger sker
til udtrykkeligt angivne og saglige formål, og at senere behandling
ikke er uforenelig med disse formål. Bestemmelsen fastslår herved
princippet om formålsbestemthed (finalité-princippet).
Kravet om, at indsamling af oplysninger skal ske til
udtrykkeligt angivne og saglige formål, gælder, uanset om
indsamlingen sker hos den registrerede eller ej. Der påhviler
således den dataansvarlige en ubetinget pligt til i forbindelse med
indsamling af oplysninger at fastlægge, til hvilke formål
indsamlingen finder sted. Indsamlingen af oplysninger kan ske til et eller
flere formål.
I kravet om udtrykkelighed ligger, at den dataansvarlige i
forbindelse med indsamlingen skal angive et formål, som er
tilstrækkelig veldefineret og velafgrænset til at skabe
åbenhed og klarhed omkring behandlingen. Formålet med
behandlingen af oplysningerne skal således defineres med en vis
præcision. En generel eller vag definition eller beskrivelse af
formålet med behandling af oplysninger, f.eks. »til administrative
formål« eller »til brug for kommercielle formål«, vil ikke
være tilstrækkelig til at opfylde kravet om udtrykkelighed.
Derimod må en mere præcis angivelse som f.eks. »til brug for
udbud af finansielle ydelser« anses for at være
tilstrækkelig.
Indsamling af oplysninger skal endvidere ske til et eller
flere saglige formål. Dette vil bl.a. være tilfældet, hvor
indsamlingen sker til administrative formål, som det ligger inden for
den dataansvarlige myndigheds område at varetage. Tilsvarende
gælder for så vidt angår privates indsamling af
oplysninger, der ligger inden for den virksomhed, som de udøver. Der
henvises i den forbindelse til reglerne i lovens afsnit 2, herunder navnlig
reglerne i §§ 6-13, hvor det nærmere er fastsat, hvornår
behandling af oplysninger kan finde sted. Efter en række af disse
bestemmelser kan der ske behandling, herunder registrering og videregivelse,
af oplysninger, hvis den registrerede meddeler sit samtykke hertil. Et
samtykke vil imidlertid ikke være tilstrækkeligt til at
behandling kan finde sted. Herudover kræves, at behandlingen er sagligt
begrundet.
Efter bestemmelsen må senere behandling af
oplysninger ikke være uforenelig med de formål, hvortil
oplysningerne er indsamlet. Bestemmelsen indebærer, at de oplysninger,
som den dataansvarlige måtte indsamle, ikke frit vil kunne genbruges,
videregives m.v. Der vil således heller ikke frit kunne videregives
oplysninger inden for f.eks. den offentlige forvaltning. I det omfang,
genbrug, udveksling m.v. ikke er uforenelig med det eller de formål,
hvortil oplysningerne er indsamlet af den dataansvarlige, vil der dog
være mulighed herfor. I hvilket omfang dette er tilfældet, vil
bero på en konkret vurdering i den enkelte situation. Det
bemærkes, at behandling til andre formål end de formål,
hvortil oplysningerne oprindelig er indsamlet, naturligvis skal ske i
overensstemmelse med de materielle regler i §§ 6-13 og i kapitel 5-7.
Videregivelse af indsamlede oplysninger til tredjemand skal således
være lovlig efter de materielle regler i §§ 6-13, og
videregivelsen må ikke være uforenelig med de formål, som
oplysningerne er indsamlet til. Det vil derfor ikke være muligt at
omgå reglerne ved, at den dataansvarlige videregiver oplysningerne til
en tredjemand, som ved sin indsamling af oplysningerne fastsætter
formål, som er uforenelige med de formål, hvortil oplysningerne
oprindeligt er indsamlet af den dataansvarlige. Derimod er bestemmelsen ikke
til hinder for, at den registrerede meddeler sit samtykke til, at de
indsamlede oplysninger behandles til formål, der er uforenelige med de
formål, hvortil oplysningerne oprindelig er indsamlet. En sådan
situation er at sidestille med en fornyet indsamling af de
pågældende oplysninger.
Det skal understreges, at der gennem lovgivningen kan ske
en nærmere specificering af, til hvilke formål behandling af
oplysninger kan ske. For nogle behandlinger er der i lovgivningen formuleret
et bredt formål, nemlig at stille oplysninger til rådighed for
mange forskellige myndigheder og/eller private. Det gælder f.eks. for
Det Centrale Erhvervsregister.
Senere behandling af oplysninger, der alene sker i
historisk, statistisk eller videnskabeligt øjemed, er altid forenelig
med de formål, hvortil oplysningerne er indsamlet, jf. bestemmelsens 2.
pkt. Herved sikres det, at oplysninger, der ikke oprindelig er indsamlet med
disse formål for øje, under alle omstændigheder vil kunne
anvendes til senere behandling i historisk, statistisk eller videnskabeligt
øjemed. En forudsætning herfor er dog, at den senere behandling
alene sker til disse formål. Behandling, der både sker til de
nævnte formål samt til andre formål, såsom
administrative eller kommercielle formål, er således ikke
omfattet af undtagelsesbestemmelsen i 2. pkt.
Til stk. 3
Af bestemmelsen følger, at de oplysninger, som
behandles, skal være relevante og tilstrækkelige og ikke omfatte
mere end, hvad der kræves til opfyldelse af de formål, hvortil
oplysningerne indsamles, og til de formål, hvortil oplysningerne senere
behandles. Med udtrykkene relevante og tilstrækkelige sigtes
til, at oplysningernes art skal svare til det formål, der tilsigtes med
behandlingen. Bestemmelsen fastsætter endvidere, at den dataansvarliges
behandling af oplysninger er undergivet et proportionalitetsprincip.
Behandling af oplysninger må således ikke gå videre end,
hvad der kræves til opfyldelse af de formål, som den
dataansvarlige er berettiget til at forfølge, jf. herved også
bestemmelsen i stk. 2.
Til stk. 4
I den gældende registerlovgivning er fastsat regler
om den dataansvarliges kontrol med oplysningers rigtighed m.v., jf. herved
lov om offentlige myndigheders registre § 9, stk. 3, og § 11
samt lov om private registre §§ 5 og 6.
I lyset af direktivets artikel 6, stk. 1, litra d, om
datakvalitet fastsættes det i bestemmelsen, at behandling af
oplysninger skal tilrettelægges således, at der foretages
fornøden ajourføring af oplysningerne. Det fastsættes
endvidere, at det påhviler den dataansvarlige at foretage
fornøden kontrol for at sikre, at der ikke registreres urigtige eller
vildledende oplysninger, og at der snarest muligt foretages sletning eller
berigtigelse, hvis det viser sig, at der er behandlet urigtige eller
vildledende oplysninger.
Med kravet om ajourføring sikres det, at der
påhviler den dataansvarlige en forpligtelse til om nødvendigt at
foretage ajourføring af oplysninger, der viser sig forældede. I
nogle situationer vil den dataansvarlige dog kunne afvente den
førstkommende normale ajourføring, førend
ajourføring finder sted. Afgørende for, hvor hurtigt
ajourføring skal finde sted, er karakteren af de oplysninger, som er
undergivet behandling. Er der eksempelvis tale om oplysninger, der vil kunne
påføre den registrerede eller andre uoprettelig skade,
bør ajourføring finde sted umiddelbart efter, at behovet herfor
er konstateret.
Omfanget af den kontrol, som det efter bestemmelsen
påhviler den dataansvarlige at foretage, vil afhænge af
oplysningernes karakter, deres anvendelse, indsamlingens pålidelighed
og af, om oplysningerne er af betydning for en eller flere myndigheder m.v.
Det bemærkes, at den registrerede selv vil kunne fremsætte
anmodning om, at den dataansvarlige retter, sletter eller blokerer
oplysninger, der viser sig urigtige eller vildledende eller på lignende
måde er behandlet i strid med lov eller bestemmelser udstedt i
medfør af lov, jf. § 37.
Til stk. 5
Efter bestemmelsen må indsamlede oplysninger ikke
opbevares på en måde, der giver mulighed for at identificere den
registrerede i et længere tidsrum end det, der er nødvendigt af
hensyn til de formål, hvortil oplysningerne behandles. Oplysninger
må således ikke opbevares i identificerbar form i længere
tid end, hvad der er nødvendigt af hensyn til de formål, hvortil
oplysningerne indsamles, eller i forbindelse med hvilke oplysningerne senere
behandles, jf. stk. 2 (kravet om formålsbestemthed). For så
vidt angår spørgsmålet om, hvornår der er tale om
identificerbare oplysninger, henvises til bemærkningerne til § 3,
nr. 1.
Det er ikke muligt generelt at beskrive, for hvilke
tidsrum opbevaring af identificerbare oplysninger vil kunne ske. Dette
må afgøres i den enkelte situation. Det forudsættes dog,
at der gennem vedkommende tilsynsmyndigheds virksomhed vil blive fastlagt
nogle generelle kriterier for, hvor længe dataansvarlige i
almindelighed må opbevare identificerbare oplysninger. Det
bemærkes i den forbindelse, at det påhviler den dataansvarlige i
forbindelse med anmeldelse af behandlinger til vedkommende tilsynsmyndighed
at give oplysning om tidspunktet for sletning, jf. § 43, stk. 2,
nr. 9, § 48, stk. 2, samt § 52.
Specielt for så vidt angår
spørgsmålet om arkivmæssig opbevaring henvises til
reglerne i arkivlovgivningen herom. I det omfang, opbevaringspligt
følger af disse regler, vil opbevaring være berettiget efter den
foreslåede bestemmelse.
Til § 6
I bestemmelsen fastsættes de generelle betingelser
for, hvornår behandling af oplysninger må finde sted.
Bestemmelsens stk. 1 gælder som udgangspunkt for enhver behandling af
oplysninger, som er omfattet af lovforslaget. Lovligheden af visse
særlige former for behandlinger skal dog afgøres efter
§§ 7-13.
Til stk. 1
Af bestemmelsen følger, at behandling af
oplysninger kun må finde sted, hvis en af de i nr. 1-7 angivne
betingelser er opfyldt. Fælles for disse regler er, når bortses
fra samtykkereglen i nr. 1, at behandling kun kan ske, hvis den er
nødvendig af hensyn til en række nærmere angivne
interesser. Det vil bero på den konkrete situation, om en given
behandling af oplysninger må antages at være nødvendig i
bestemmelsens forstand. Med kravet om nødvendighed er der
således overladt den dataansvarlige et vist skøn. Dette
skøn vil altid kunne efterprøves af vedkommende
tilsynsmyndighed, jf. § 55, stk. 1, og § 67. En nærmere
udfyldning af bestemmelsens nødvendighedskriterium må derfor ske
gennem vedkommende tilsynsmyndigheds virksomhed. I den forbindelse
forudsættes det, at der sker en vis koordinering tilsynsmyndighederne
imellem vedrørende de i bestemmelsen indeholdte standarder, jf.
§ 66 og § 68, stk. 1.
Vurderingen af behandlingens nødvendighed
afhænger af, hvilken form for behandling der er tale om. Det vil
således skulle vurderes separat, om det er nødvendigt, at
oplysninger indsamles, registreres, videregives, samkøres m.v. Der vil
endvidere skulle henses til, hvilken type oplysninger der er tale om. I den
forbindelse forudsættes de almindelige behandlingsregler i
lovforslagets § 6 i videst muligt omfang administreret på den
måde, at der ikke - uden samtykke - registreres og videregives
personoplysninger i videre udstrækning end efter den gældende
registerlovgivning.
Med lovforslaget lægges der således ikke op
til ændringer i den gældende retstilstand om, i hvilke
tilfælde der må foretages samkøring i den offentlige
forvaltning. Det forudsættes endvidere, at der stilles strenge krav til
private dataansvarliges samkøring af oplysninger.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.4.2. (pkt. A) og 4.2.4.3.
Efter bestemmelsen i nr. 1 må behandling af
oplysninger finde sted, hvis den registrerede har givet sit udtrykkelige
samtykke hertil. Samtykkekravet skal forstås i overensstemmelse med den
legale definition i § 3, nr. 8. Den dataansvarlige vil ikke kunne
opnå stiltiende eller indirekte tilslutning til behandling af
oplysninger, jf. herved også kravet om, at et samtykke skal være
udtrykkeligt. Et egentligt krav om skriftlighed følger ikke af
bestemmelsen. Der bør dog i videst muligt omfang søges
indhentet et skriftligt samtykke fra den registrerede, idet der herved
opnås klarhed omkring samtykkets rækkevidde. Det bemærkes,
at det ved behandling af oplysninger på baggrund af et samtykke fra en
registreret person er en betingelse, at også de grundlæggende
principper i § 5 er opfyldt. Behandlingen af oplysninger vil
således bl.a. skulle være i overensstemmelse med god
databehandlingsskik, jf. § 5, stk. 1, ligesom behandlingen
også skal være sagligt begrundet og relevant, jf. § 5,
stk. 2 og 3. Det forudsættes, at tilsynsmyndigheden ved
vurderingen af, om dette er tilfældet, dels lægger vægt
på, hvilken form for behandling der er tale om, dels hvilke typer af
oplysninger behandlingen omfatter.
Behandling af oplysninger må endvidere finde sted,
hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale,
som den registrerede er part i, eller hvis behandlingen er nødvendig
af hensyn til gennemførelse af foranstaltninger, der træffes
på den registreredes anmodning forud for indgåelsen af en aftale,
jf. nr. 2. Af bestemmelsen følger, at der i forbindelse med
opfyldelsen af en indgået aftale med den registrerede kan ske den
nødvendige behandling af bl.a. ordrer, fakturaer og lignende. Det er
en betingelse, at den registrerede er aftalepart. En aftale mellem den
dataansvarlige og eksempelvis den registreredes arbejdsgiver kan
således ikke begrunde behandling af oplysninger om den registrerede.
Omfattet af bestemmelsen er endvidere den situation, at behandling af
oplysninger er nødvendig af hensyn til gennemførelsen af
foranstaltninger, der træffes på den registreredes anmodning
forud for indgåelsen af en aftale. Bestemmelsen sikrer herved, at der
også forud for parternes etablering af en aftale kan ske behandling af
oplysninger.
Behandling kan ligeledes ske, hvis det er
nødvendigt for, at den dataansvarlige kan overholde en retlig
forpligtelse, der påhviler denne, jf. nr. 3. Bestemmelsen bygger
på direktivets artikel 7, litra c, hvori udtrykket retlig
forpligtelse er anvendt. Udtrykket retlig forpligtelse omfatter
forpligtelser, der følger af lovgivningen eller af administrative
forskrifter, der er fastsat i medfør heraf. Omfattet af udtrykket er
endvidere forpligtelser, der følger af internationale regler, herunder
fællesskabsretlige regler. Ligeledes er forpligtelser, der
følger af en domstolsafgørelse eller af en afgørelse,
der er truffet af en administrativ myndighed, omfattet. Derimod er
aftaleretlige forpligtelser, som måtte påhvile den
dataansvarlige, ikke omfattet af bestemmelsen.
Efter bestemmelsen i nr. 4 må behandling
endvidere ske, hvis den er nødvendig for at beskytte den registreredes
vitale interesser. Dette vil bl.a. kunne være tilfældet, hvor den
registrerede som følge af sygdom, bortrejse m.v. ikke er i stand til
at meddele samtykke. Tilsvarende gælder, hvor behandling af oplysninger
om den registrerede er af en sådan hastende karakter, at den
dataansvarlige ikke har kunnet nå at indhente samtykke fra den
registrerede. Af udtrykket vitale interesser følger, at
behandlingen skal vedrøre interesser, som er af fundamental betydning
for den registrerede. Dette vil bl.a. være tilfældet, hvis den
registrerede på grund af sygdom eller bortrejse er ude af stand til at
meddele samtykke til en behandling, som vil sikre den registrerede mod at
lide et væsentligt økonomisk tab eller i øvrigt lide
væsentlig skade.
Behandling kan yderligere ske, hvis det er
nødvendigt af hensyn til udførelsen af en opgave i samfundets
interesse, jf. nr. 5. Af udtrykket opgave i samfundets
interesse følger, at der skal være tale om opgaver af almen
interesse, dvs. opgaver, som er af betydning for en bredere kreds af
personer. Dette vil bl.a. være tilfældet for så vidt
angår behandling i statistisk, historisk eller videnskabeligt
øjemed. Det samme gælder med hensyn til den behandling, som sker
i retsinformationssystemer med henblik på at informere offentligheden
om lovgivning, retspraksis m.v. Også andre former for behandling vil
kunne anses for at være af almen interesse. Dette gælder f.eks.
større private foreningers og sammenslutningers registreringer af
oplysninger, som er af interesse for en bredere kreds af personer. Det
forhold, at behandling sker i et kommercielt øjemed, udelukker ikke,
at behandlingen anses for at ske til varetagelse af almene interesser.
Behandling er tillige tilladt, hvis behandlingen er
nødvendig af hensyn til udførelsen af en opgave, der
henhører under offentlig myndighedsudøvelse, som den
dataansvarlige eller en tredjemand, til hvem oplysningerne videregives, har
fået pålagt, jf. nr. 6. Bestemmelsen retter sig
primært mod behandling af oplysninger for offentlige myndigheder, der
sker som led i myndighedsudøvelse. Kerneområdet for offentlig
myndighedsudøvelse er udstedelse af forvaltningsakter, såsom
meddelelse af afgørelser om sociale ydelser eller afgørelser om
skatteansættelse. Også udførelse af opgaver, som
sædvanligvis karakteriseres som faktisk forvaltningsvirksomhed, vil
efter omstændighederne være omfattet af bestemmelsen. Med hensyn
til domstolenes virksomhed omfatter udtrykket offentlig
myndighedsudøvelse i hvert fald de judicielle funktioner. I det
omfang, offentlig myndighedsudøvelse påhviler en (privat)
tredjemand, til hvem oplysninger om den registrerede er videregivet,
følger det af bestemmelsen, at denne tredjemand kan foretage den
nødvendige behandling af de modtagne oplysninger. Heri ligger, at
f.eks. en privat tredjemand, der på baggrund af delegation eller efter
aftale med en forvaltningsmyndighed varetager en opgave, der falder ind under
udtrykket »offentlig myndighedsudøvelse«, vil kunne foretage den
nødvendige indsamling m.v. af oplysninger, herunder fra den
registrerede, til brug for løsningen af denne opgave.
Endelig kan behandling finde sted, hvis den er
nødvendig for, at den dataansvarlige eller den tredjemand, til hvem
oplysningerne videregives, kan forfølge en berettiget interesse, og
hensynet til den registrerede ikke overstiger denne interesse, jf. nr.
7. En betingelse for at kunne anvende bestemmelsen er, at den
dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den
registreredes interesser overstiger hensynet til de interesser, der
ønskes forfulgt med behandlingen, og at denne vurdering falder ud til
fordel for de interesser, der ønskes forfulgt. Det bemærkes, at
den dataansvarlige eller den tredjemand, til hvem oplysninger videregives,
også vil kunne forfølge andre end deres egne interesser. En
forudsætning herfor er dog, at der er tale om andres berettigede
interesser.
Til stk. 2-4
I dag er det sådan, at en virksomhed, som
ønsker at videregive oplysninger om en forbruger til en anden
virksomhed til brug ved markedsføring, skal have forbrugerens
udtrykkelige samtykke til videregivelsen, jf. § 4 b, stk. 2, i lov om private
registre.
Justitsministeriet har i svar på
spørgsmål fra Folketingets Rets- og Erhvervsudvalg givet udtryk
for, at det giver anledning til betydelig tvivl, om det vil være i
overensstemmelse med direktivet (artikel 14, litra b) at indføre en
generel ordning, hvorefter der altid skal indhentes samtykke til
videregivelse af oplysninger om forbrugere til brug ved
markedsføring.
Justitsministeriet har derfor overvejet, på hvilken
måde der kan gennemføres en ordning, som på den ene side
så vidt muligt opretholder den gældende retstilstand, og som
på den anden side må antages at være inden for rammerne af
direktivet. Disse overvejelser er mundet ud i de bestemmelser, som
foreslås i § 6, stk. 2-4, sammenholdt med § 36.
Efter lovforslaget er det herefter således, at den
virksomhed, der ønsker at videregive oplysninger om forbrugere til en
anden virksomhed til brug ved markedsføring (eller anvende
oplysningerne på vegne af en anden virksomhed i
markedsføringsøjemed), skal opfylde to betingelser:
For det første skal videregivelsen være
hjemlet i lovforslagets § 6, stk. 2-4. Udgangspunktet er her, at forbrugeren
skal give et udtrykkeligt samtykke til videregivelsen, jf. § 6, stk. 2.
Samtykket skal indhentes i overensstemmelse med reglerne i
markedsføringslovens § 6 a. Udgangspunktet om samtykke kan
fraviges i nærmere opregnede tilfælde, jf. § 6, stk. 3,
sammenholdt med stk. 4. Der vil således være snævre
grænser for, i hvilket tilfælde der uden samtykke kan videregives
oplysninger om forbrugere til andre virksomheder til brug ved
markedsføring.
Selv om den dataansvarlige virksomhed efter de
nævnte regler vil kunne videregive oplysninger uden forbrugernes
udtrykkelige samtykke, må videregivelse for det andet kun ske, hvis
forbrugeren ikke har gjort indsigelse imod det, jf. lovforslagets §
36.
Forbrugerens indsigelse kan fremsættes i forbindelse
med, at den pågældende orienteres om indsigelsesretten, eller
på et senere tidspunkt, hvis forbrugeren ikke ønsker, at
oplysninger om den pågældende fremover videregives til brug ved
markedsføring.
I stk. 2 fastsættes hovedreglen om, at
virksomheder ikke må videregive oplysninger om forbrugere til andre
virksomheder i markedsføringsøjemed (eller anvende
oplysningerne på vegne af andre virksomheder i
markedsføringsøjemed), medmindre forbrugeren har givet sit
udtrykkelige samtykke til det. Om samtykkekravet henvises til lovforslagets §
3, nr. 8.
I stk. 3 angives de tilfælde, hvor der
gøres undtagelse fra kravet om samtykke i stk. 2. Som det
fremgår af bestemmelsen kan kundeoplysninger kun videregives uden
kundens samtykke, hvis to betingelser er opfyldt.
For det første skal der være tale om
generelle kundeoplysninger, der danner grundlag for inddeling i
kundekategrorier.
Er denne betingelse opfyldt, skal videregivelsen for det
andet følge af den interesseafvejning, som er fastsat i lovforslagets
§ 6, stk. 1, nr. 7. Efter denne bestemmelse kan videregivelse ske, hvis
videregivelse er nødvendig for, at »den dataansvarlige eller den
tredjemand, til hvem oplysningerne videregives kan forfølge en
berettiget interesse, og hensynet til den registrerede ikke overstiger denne
interesse.« Med dette supplerende krav sikres det, at videregivelse af
generelle kundeoplysninger i markedsføringsøjemed ikke kan ske,
hvis interesseafvejningen undtagelsesvis måtte tale herimod. Som
eksempel herpå kan nævnes den situation, at en virksomhed har
orienteret sine kunder om, at den ikke vil videregive oplysninger om kunderne
til andre virksomheder til brug for markedsføring. Hvis virksomheden
på trods heraf alligevel skulle beslutte sig for at videregive
oplysningerne, vil hensynet til kunderne, jf. § 6, stk. 1, nr. 7, efter
omstændighederne kunne tale imod, at en sådan videregivelse kan
ske uden kundernes forudgående samtykke.
Som eksempler på oplysninger, der herefter vil kunne
videregives uden samtykke efter den foreslåede bestemmelse, kan
nævnes oplysninger om kundens navn, adresse, køn og alder. Det
samme gælder generelle oplysninger om f.eks., at kunden er husejer,
bilejer, computerejer og lignende. Tilsvarende gælder f.eks.
oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og
småbørnsartikler, til økologiske varer, til vin- og
spiritus eller andre generelt afgrænsede varegrupper.
Derimod vil det efter den foreslåede bestemmelse
ikke være muligt uden samtykke at videregive oplysninger, som
afslører rent private forhold hos kunden, f.eks. spiritusmisbrug, jf.
også stk. 3.
Det vil heller ikke være muligt at videregive mere
detaljerede kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der
må således f.eks. ikke videregives oplysninger om, hvorvidt
kundens bil er købt på kredit, og i givet fald oplysninger om
vilkårene for kreditten. Der må heller ikke videregives
oplysninger om, hvilken mængde vin kunden køber. Det
gælder, selv om dette ikke i sig selv afslører, at kunden har et
spiritusmisbrug. Der må heller ikke videregives mere detaljerede
oplysninger om, hvilken slags vin kunden køber.
Det bemærkes, at der i det vejledningsmateriale om
loven, som Datatilsynet vil udsende, vil blive redegjort for, hvilke
generelle oplysninger der uden forbrugerens samtykke kan videregives til brug
ved markedsføring.
Kan videregivelse efter det anførte ske uden
kundens samtykke, følger det herudover som nævnt af § 36, at
videregivelse ikke må finde sted, hvis kunden har gjort indsigelse imod
det.
I stk. 4 angives det for at undgå enhver
tvivl herom udtrykkeligt, at der ikke uden forbrugerens samtykke må
videregives oplysninger om forbrugerens rent private forhold til andre
virksomheder til brug ved markedsføring.
Det angives endvidere i bestemmelsen, at justitsministeren
ved bekendtgørelse vil kunne begrænse adgangen til efter stk. 3
at videregive andre typer af oplysninger til brug ved markedsføring.
Baggrunden for bestemmelsen er, at det ikke på forhånd kan
udelukkes, at der vil kunne vise sig et behov for, at visse typer
oplysninger, som ikke angår forbrugerens rent private forhold, ikke
skal kunne videregives uden forbrugerens udtrykkelige samtykke.
Justitsministeriet og Datatilsynet vil på baggrund af erfaringerne med
de nye regler vurdere, om måtte være behov for at udstede
bestemmelser herom.
Til § 7
I bestemmelsen fastsættes det, i hvilket omfang
behandling af nærmere opregnede typer af følsomme
personoplysninger må finde sted. For de typer af oplysninger, som ikke
er omfattet af opregningen, gælder behandlingsreglerne i § 6,
medmindre der er tale om behandling af oplysninger, som falder ind under
bestemmelserne i §§ 8-13.
Som anført i lovforslagets almindelige
bemærkninger tilsigtes det med lovforslaget fortsat at sikre et
højt beskyttelsesniveau i forhold til den enkelte borger. Det
indebærer, at behandlingsreglerne i bestemmelsens stk. 2-7 i videst
muligt omfang forudsættes administreret på den måde, at der
ikke uden samtykke - registreres og videregives personoplysninger i videre
udstrækning end efter den gældende registerlovgivning.
Det skal i den forbindelse fremhæves, at reglerne i
stk. 2-7 - i lighed med den gældende retstilstand - sætter
snævre grænser for, i hvilke tilfælde private
virksomheder m.v. må behandle oplysninger om enkeltpersoners
politiske overbevisning, jf. betænkningen, side 236 f, og
bemærkningerne til lovforslagets § 7, stk. 8.
Af den nævnte undtagelsesbestemmelse i lovforslagets
§ 7, stk. 8, følger, at den offentlige forvaltning ikke må
føre edb-registre over enkeltpersoners politiske tilhørsforhold
i videre omfang end i dag.
Endelig skal det fremhæves, at der med lovforslagets
§ 7 ikke lægges op til ændringer i den gældende
retstilstand om, i hvilke tilfælde der må foretages
samkøring i den offentlige forvaltning. Det forudsættes
endvidere, at der stilles strenge krav til private dataansvarliges
samkøring af oplysninger.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.4.2. (pkt. A) og 4.2.4.3.
Til stk. 1
Bestemmelsen fastsætter et forbud mod, at visse
typer af følsomme personoplysninger gøres til genstand for
behandling. Undtagelse fra dette forbud gøres dog i bestemmelserne i
stk. 2-7. Opregningen af typer af følsomme personoplysninger er
udtømmende. Den særlige beskyttelse, som bestemmelsen hjemler,
omfatter således kun oplysninger om enkeltpersoners racemæssige
eller etniske baggrund, politiske, religiøse eller filosofiske
overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger
om helbredsmæssige og seksuelle forhold. Omfattet af udtrykket
helbredsmæssige forhold er oplysninger om en fysisk persons
tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt
oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende
nydelsesmidler.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.4.2. (pkt. A) og betænkningen, side
448.
Til stk. 2
I bestemmelsen fastsættes en række
tilfælde, hvor behandling af personoplysninger, som er omfattet af
stk. 1, kan finde sted. Bestemmelsen bygger på direktivets artikel
8, stk. 2, som må antages at indeholde en udtømmende
opregning af, hvornår behandling af oplysninger som nævnt i
artiklens stk. 1 kan finde sted.
For behandling af oplysninger i medfør af
bestemmelserne i nr. 2 og 4 gælder, at behandling kun kan ske, hvis den
er nødvendig af hensyn til nærmere angivne interesser. Det vil
bero på den konkrete situation, hvorvidt en given behandling af
oplysninger må antages at være nødvendig i bestemmelsens
forstand. Med kravet om, at behandlingen skal være nødvendig, er
der således overladt et vist skøn til den dataansvarlige. Dette
skøn vil dog altid kunne efterprøves af vedkommende
tilsynsmyndighed, jf. § 55, stk. 1, og § 67. En nærmere
fastlæggelse af, hvornår behandling af de i stk. 1
nævnte oplysninger er nødvendig, må derfor ske gennem
tilsynsmyndighedernes virksomhed. I den forbindelse forudsættes det, at
der sker en vis koordinering tilsynsmyndighederne imellem vedrørende
de i bestemmelsen indeholdte standarder, jf. § 66 og § 68,
stk. 1.
Vurderingen af behandlingens nødvendighed
afhænger - ligesom for så vidt angår behandling af
almindelige personoplysninger, jf. § 6 - af, hvilken form for behandling
der er tale om. Det indebærer, at behandlingsreglerne i stk. 2 - som
også anført i de indledende bemærkninger til § 7 - i
videst muligt omfang forudsættes administreret på den måde,
at der ikke - uden samtykke - registreres og videregives personoplysninger i
videre udstrækning end efter den gældende registerlovgivning.
Efter bestemmelsen i nr. 1, kan behandling af de i
stk. 1 nævnte personoplysninger finde sted, hvis den registrerede
har givet sit udtrykkelige samtykke til behandlingen. Udtrykket
samtykke skal forstås i overensstemmelse med den legale
definition i lovforslagets § 3, nr. 8. Der skal således være
tale om en frivillig, specifik og informeret viljestilkendegivelse. Et
samtykke skal således meddeles på en sådan måde, at
det klart og utvetydigt fremgår, at den registrerede har meddelt sit
samtykke til behandlingen. Herudover skal samtykket være
udtrykkeligt. Heraf følger, at den dataansvarlige ikke vil
kunne opnå stiltiende eller indirekte tilslutning til behandling af de
i stk. 1 nævnte oplysninger. Et egentligt krav om skriftlighed
følger ikke af bestemmelsen. Der bør dog i videst muligt omfang
søges indhentet et skriftligt samtykke fra den registrerede, idet der
herved opnås klarhed omkring samtykkets rækkevidde. Det
bemærkes endvidere, at det ved behandling af oplysninger på
baggrund af et samtykke fra en registreret person er en betingelse, at
også de grundlæggende principper i § 5 er opfyldt.
Behandlingen af oplysninger vil således bl.a. skulle være i
overensstemmelse med god databehandlingsskik, jf. § 5, stk. 1,
ligesom behandlingen også skal være sagligt begrundet og
relevant, jf. § 5, stk. 2 og 3.
Behandling kan også finde sted, hvis den er
nødvendig for at beskytte den registreredes eller en anden persons
vitale interesser i tilfælde, hvor den pågældende ikke
fysisk eller juridisk er i stand til at give sit samtykke, jf. nr. 2.
Bestemmelsen, der skal ses som et supplement til bestemmelsen i nr. 1,
omfatter bl.a. den situation, at den registrerede på grund af sygdom
eller andre fysisk betingede omstændigheder, som f.eks. senil demens og
bevidstløshed, ikke er i stand til at meddele sit samtykke. Omfattet
af bestemmelsen er endvidere den situation, at der foreligger juridiske
hindringer for den registreredes meddelelse af samtykke til behandlingen.
Dette vil f.eks. være tilfældet, hvis den registrerede er
frataget sin retlige handleevne (umyndiggjort). For så vidt angår
udtrykket vitale interesser, henvises til bemærkningerne til
bestemmelsen i § 6, stk. 1, nr. 4.
Behandling kan ligeledes ske, hvis den vedrører
oplysninger, som er blevet offentliggjort af den registrerede, jf. nr.
3. Bestemmelsens tidsmæssige udstrækning er begrænset
til det tidspunkt, hvor den oplysning, der ønskes behandlet, er
offentliggjort af den registrerede. Det er dermed ikke tilstrækkeligt,
at den dataansvarlige er bekendt med, at visse personoplysninger er bestemt
til offentliggørelse. Offentliggørelse i bestemmelsens forstand
foreligger, hvis oplysningerne er bragt til kundskab hos en bredere kreds af
personer. Dette vil f.eks. være tilfældet, hvis oplysningerne
viderebringes gennem tv, aviser og lignende landsdækkende medier.
Også andre former for videregivelse af oplysninger vil kunne anses for
offentliggørelse i bestemmelsens forstand. Det er en betingelse, at
oplysningerne er offentliggjort på den registreredes foranledning.
Oplysninger, som andre, f.eks. pressen, af egen drift har offentliggjort, er
således ikke omfattet.
Efter bestemmelsen i nr. 4 kan behandling endelig
ske, hvis det er nødvendigt for, at et retskrav kan fastlægges,
gøres gældende eller forsvares. Bestemmelsen omhandler
såvel behandling, der sker i den dataansvarliges interesse, som
behandling, der sker i den registreredes interesse. Også behandling af
oplysninger, der er nødvendig for, at en tredjemands retskrav kan
fastlægges m.v., vil kunne ske i henhold til bestemmelsen. Omfattet af
bestemmelsen er dermed bl.a. den situation, at behandling af oplysninger om
den registrerede er nødvendig for, at den dataansvarlige kan
afgøre, om den registrerede har et retskrav. Dette vil bl.a.
være tilfældet med hensyn til offentlige myndigheders behandling
af oplysninger som led i myndighedsudøvelse. Det gælder f.eks. i
den situation, hvor de sociale myndigheder har mistanke om incest eller andre
seksuelle overgreb mod børn og i den forbindelse ønsker at
kontakte andre myndigheder, såsom sygehuse, politi m.v., for at
beskytte børnene. Nævnes kan endvidere arbejdsgiveres behandling
af helbredsoplysninger med henblik på at afgøre, om den
registrerede har krav på erstatning. Dette vil ligeledes gælde
for eksempelvis forsikringsselskabers behandling af helbredsoplysninger med
henblik på at vurdere, om den registrerede har krav på
erstatning. Nævnes kan endvidere den behandling af oplysning om bl.a.
folketingskandidaters politiske overbevisning, som i dag sker i »Det
fælleskommunale Valgopgørelsessystem«, og som har til
formål at lette administrationen i bl.a. kommunerne i forbindelse med
opgørelse af resultatet af kommunale valg og folketingsvalg. Omfattet
af bestemmelsen er endvidere den situation, at behandling af oplysninger om
den registrerede er nødvendig for, at det kan afgøres, hvorvidt
den dataansvarlige kan gøre et krav gældende over for den
registrerede. Som eksempel herpå kan nævnes skattemyndighedernes
behandling af oplysninger om medlemsskab af folkekirken, der registreres i
CPR med henblik på opkrævning af kirkeskatter. Endelig omfatter
bestemmelsen som nævnt også den situation, at behandlingen er
nødvendig for, at en tredjemands retskrav kan fastlægges,
gøres gældende eller forsvares. En betingelse herfor er dog, at
kravet om saglighed, jf. § 5, stk. 2, er opfyldt. Dette vil bl.a.
være tilfældet i forbindelse med en dataansvarlig domstols
behandling af oplysninger om andre personer end parterne, der er
nødvendig for afgørelsen af en retssag.
Der henvises i øvrigt til
betænkningen, side 236 f.
Til stk. 3
I bestemmelsen fastsættes, at behandling af
oplysninger om enkeltpersoners fagforeningsmæssige
tilhørsforhold kan ske, hvis det er nødvendigt for
overholdelsen af den dataansvarliges arbejdsretlige forpligtelser eller
specifikke rettigheder. Udtrykket arbejdsretlige forpligtelser
eller specifikke rettigheder skal forstås i bred forstand. Omfattet
af udtrykket er alle former for forpligtelser og rettigheder, som hviler
på et arbejdsretligt grundlag. Dette gælder, uanset om grundlaget
er lovgivning eller aftale. Også behandling af oplysninger, som sker
til overholdelse af forpligtelser eller rettigheder, som følger af
kollektive overenskomster mellem arbejdsmarkedets parter eller af
individuelle ansættelseskontrakter, er dermed omfattet af bestemmelsen.
Der henvises herved til betænkningen, side 238. Det
bemærkes, at den behandling, som finder sted, naturligvis ikke må
gå ud over rammerne for de grundlæggende principper for
behandling af oplysninger, jf. § 5.
Til stk. 4
Bestemmelsen indebærer, at bestemte dataansvarlige
under nærmere angivne betingelser vil kunne foretage behandling af de i
stk. 1 nævnte følsomme oplysninger.
Bestemmelsens 1. pkt. fastsætter, at
behandling af følsomme oplysninger kan ske, når den foretages
inden for rammerne af den virksomhed, som udøves af stiftelser,
foreninger og andre almennyttige organisationer, hvis sigte er af politisk,
filosofisk, religiøs eller faglig art. Organisationens sigte skal
forstås bredt. Omfattet af bestemmelsen vil således være
ikke-kommercielle organisationer, som må anses for at have en
samfundsmæssig betydning. Dette vil bl.a. kunne være
tilfældet for så vidt angår sammenslutninger af personer
med samme seksuelle baggrund eller sygdom eller sammenslutninger, der
beskæftiger sig med f.eks. indvandrer- eller
flygtningespørgsmål. Den behandling, som finder sted i
organisationer, der falder ind under bestemmelsen, må kun foretages,
hvis den vedrører organisationens medlemmer eller personer, der
på grund af organisationens formål er i regelmæssig kontakt
med denne. Hvorvidt en person er at anse for medlem af en organisation, skal
afgøres efter en konkret vurdering, hvori bl.a. vil kunne indgå
organisationens vedtægter, almindelige foreningsretlige regler m.v.
Hvis den registrerede har meldt sig ud af foreningen, må behandling
naturligvis ikke finde sted. I kravet om, at behandlingen af oplysninger skal
ligge inden for rammerne af organisationens virksomhed, ligger, at der skal
være tale om behandling af oplysninger, som ikke står i modstrid
med organisationens formål, således som dette måtte
fremgå af bl.a. organisationens vedtægter.
Efter bestemmelsens 2. pkt. må videregivelse
af oplysninger, som må behandles efter 1. pkt., ikke ske, medmindre den
registrerede har meddelt sit udtrykkelige samtykke hertil. Heraf
følger bl.a., at den pågældende organisation ikke må
videregive sit medlemsregister eller dele heraf til tredjemand, medmindre
medlemmerne har meddelt deres udtrykkelige samtykke hertil.
Til stk. 5
I den gældende registerlovgivning er fastsat
særlige regler om behandling af følsomme oplysninger inden for
sundhedssektoren, jf. lov om offentlige myndigheders registre § 16 a.
Der henvises nærmere til betænkningen, side 55-62 og
95-100.
Også i direktivets artikel 8, stk. 3, er
fastsat særlige regler for, i hvilket omfang behandling af de i
artiklens stk. 1 nævnte typer af følsomme personoplysninger
kan finde sted inden for sundhedssektoren. I lyset heraf fastsættes det
i bestemmelsen, at forbudet mod behandling af de i stk. 1 nævnte
oplysninger ikke gælder, hvis behandlingen af personoplysninger er
nødvendig med henblik på forebyggende medicin, medicinsk
diagnose, sygepleje eller patientbehandling eller forvaltning af læge-
og sundhedstjenester, og behandlingen af personoplysningerne foretages af en
person inden for sundhedssektoren, der efter lovgivningen har tavshedspligt
med hensyn til behandlingen. Bestemmelsen er udtryk for en nyskabelse i
forhold til den gældende retstilstand.
Den foreslåede bestemmelse indebærer, at den
dataansvarlige vil kunne behandle de i stk. 1 nævnte oplysninger i
forbindelse med varetagelsen af sine opgaver på sundhedsområdet.
Dette gælder f.eks. i forbindelse med den patientbehandling, som finder
sted på offentlige og private sygehuse eller hos praktiserende
læger. Her vil den for patientbehandlingen nødvendige behandling
af oplysninger om f.eks. seksuelle forhold eller om helbredsforhold, herunder
om misbrug af nydelsesmidler, således kunne finde sted. Også
behandling af personoplysninger, som er nødvendig for at følge
op på en egentlig patientbehandling, f.eks. gennem offentlig
støtte i form af hjælpemidler m.v., er omfattet af bestemmelsen.
Bestemmelsen omfatter endvidere dataansvarliges løsning af deres
administrative opgaver på det sundhedsmæssige område. Dette
gælder bl.a. den amtskommunale forvaltning af
sundhedsområdet.
Det er en betingelse, at den, som forestår
behandlingen af personoplysningerne, har tavshedspligt. Denne betingelse vil
i almindelighed være opfyldt i relation til de personer, som normalt
behandler følsomme personoplysninger inden for sundhedssektoren. I den
gældende lovgivning er der således fastsat en række
bestemmelser om tavshedspligt, der har betydning for behandling af
oplysninger inden for det sundhedsmæssige område, jf. bl.a.
straffelovens §§ 152 og 152 a-f, der er udtryk for dansk rets
almindelige regler om tavshedspligt. Nævnes kan også
tavshedspligtsregler, der særligt retter sig mod personer inden for
sundhedsområdet, såsom lægelovens § 9,
sygeplejerskelovens § 6 og terapiassistentlovens § 8.
Der henvises i øvrigt til
betænkningen, side 246- 251.
Til stk. 6
Af bestemmelsen følger, at behandling af de i
stk. 1 opregnede typer af oplysninger, kan ske, hvis behandlingen er
nødvendig af hensyn til den dataansvarlige myndigheds varetagelse af
sine opgaver på det strafferetlige område. Bestemmelsen er indsat
for at sikre, at den nødvendige behandling af de i stk. 1
nævnte typer af oplysninger kan ske i forbindelse med offentlige
myndigheders, f.eks. domstolenes samt politiets og anklagemyndighedens,
varetagelse af deres opgaver på det strafferetlige område.
Den foreslåede bestemmelse er ikke en konsekvens af
direktivet. Det følger således af direktivets artikel 3,
stk. 2, 1. pind, at direktivets bestemmelser ikke gælder for
behandling, der vedrører statens aktiviteter på det
strafferetlige område.
Til stk. 7
Bestemmelsen fastsætter, at behandling af de i
stk. 1 opregnede personoplysninger kan ske af grunde, der
vedrører hensynet til vigtige samfundsmæssige interesser.
Bestemmelsen, der skal ses i lyset af direktivets artikel 8, stk. 4,
tager sigte på behandling af oplysninger, som ikke er hjemlet i
bestemmelserne i stk. 2-6. I givet fald kan behandling kun ske efter
indhentet tilladelse fra vedkommende tilsynsmyndighed. I de tilfælde,
hvor tilladelse meddeles, kan tilsynsmyndigheden fastsætte, under
hvilke nærmere betingelser behandlingen må finde sted. Det
påhviler tilsynsmyndigheden at foretage den fornødne
underretning af Europa-Kommissionen med hensyn til de tilladelser, som
meddeles i henhold til bestemmelsen. Herved sikres, at bestemmelsen i
direktivets artikel 8, stk. 6, bliver overholdt.
Bestemmelsen, der har karakter af en
opsamlingsbestemmelse, forudsættes at have et snævert
anvendelsesområde.
Det er vanskeligt - på forhånd - at angive
eksempler på eventuelle undtagelsestilfælde, der vil være
omfattet af bestemmelsen i lovforslagets § 7, stk. 7.
Det må således overlades til
tilsynsmyndigheden (Datatilsynet) i det konkrete tilfælde at foretage
en vurdering af, om behandling af oplysninger kan tillades af grunde, der
vedrører hensynet til vigtige samfundsmæssige interesser, og om
der bør fastsættes vilkår for behandlingen.
Den omstændighed, at en uafhængig
tilsynsmyndighed (Datatilsynet) efter bestemmelsen skal give tilladelse -
eventuelt med vilkår - inden behandlingen iværksættes, er
med til at sikre, at der ikke sker behandling i strid med lovens regler.
Det kan i øvrigt nævnes, at der findes en
lignende opsamlingsbestemmelse i den gældende lov om private registre.
Efter lovens § 3, stk. 3, kan Registertilsynet tillade, at oplysninger om
enkeltpersoners rent private forhold registreres, uanset at betingelserne i §
3, stk. 2, ikke er opfyldt, når det er nødvendigt for
virksomheden m.v. at være i besiddelse af den pågældende
oplysning for at muliggøre en berettiget varetagelse af offentlige
eller private interesser, herunder hensynet til den pågældende
selv, der klart overstiger hensynet til de interesser, der taler imod
registrering.
Efter denne bestemmelse har Registertilsynet givet
humanitære organisationer m.v. tilladelse til at registrere oplysninger
om rent private forhold i tilfælde, hvor den pågældendes
samtykke ikke kan indhentes, jf. betænkningen, side 97.
I det omfang, der i lovgivningen er fastsat særlige
regler, hvorefter behandling af oplysninger kan ske af hensyn til
nærmere angivne vigtige samfundsmæssige interesser, vil
vedkommende tilsynsmyndigheds tilladelse til behandlingen ikke skulle
indhentes. Derimod vil Europa-Kommissionen skulle underrettes om eksistensen
af sådanne lovregler, jf. artikel 8, stk. 6. Underretning gives af
vedkommende minister. Der henvises nærmere til
betænkningen, side 240.
Til stk. 8
Efter den nugældende registerlovgivning må
forvaltningsmyndigheder ikke føre edb-registre med oplysninger om
enkeltpersoners politiske forhold, som ikke er offentligt tilgængelige,
jf. lov om offentlige myndigheders registre § 9, stk. 2, 1. pkt.
Med lovforslaget er det ikke tanken at ændre denne
retstilstand. For at fjerne enhver tvivl herom fastsættes det
udtrykkeligt i selve lovteksten, at der for den offentlige forvaltning ikke
må føres edb-registre med oplysninger om politiske forhold, som
ikke er offentligt tilgængelige.
I øvrigt skal spørgsmålet om
dataansvarlige myndigheders og private virksomheders m.v. adgang til at
behandle oplysninger om enkeltpersoners politiske overbevisning
afgøres efter behandlingsreglerne i lovforslagets § 7, stk. 2-7. Disse
regler giver bl.a. politiet mulighed for i en konkret straffesag ligesom i
dag at kunne notere oplysninger om borgernes politiske overbevisning i
forbindelse med efterforskningen af f.eks. politisk motiverede forbrydelser.
Der henvises herom til besvarelsen af spørgsmål nr. 10 fra
Folketingets Retsudvalg vedrørende lovforslag nr. L 82 (fra
folketingsåret 1997-98, 2. samling).
Hvad særligt angår den private sektor er der
grund til at fremhæve, at der ikke må føres edb-registre
med oplysninger om politiske tilhørsforhold i videre omfang end efter
den gældende registerlovgivning. Det indebærer, at det også
fremover vil være en betingelse for at føre et edb-register med
oplysninger om politiske tilhørsforhold, at de registrerede har givet
deres samtykke hertil.
Til § 8
Efter Justitsministeriets opfattelse må det
således som Registerlovsudvalget også har lagt til grund
antages, at den angivelse af følsomme oplysninger, der er fastsat i
direktivets artikel 8, stk. 1, er udtømmende. Det er derfor ikke
muligt at indsætte bl.a. »væsentlige sociale problemer« og
»strafbare forhold« i opregningen af følsomme oplysninger i
lovforslagets § 7, stk. 1.
Justitsministeriet har imidlertid i bemærkningerne
til L 44 og i svar på spørgsmål fra Folketingets
Retsudvalg givet udtryk for, at de almindelige behandlingsregler i
lovforslagets §§ 6-7 i videst muligt omfang forudsættes administreret
således, at der ikke uden samtykke registreres og videregives
personoplysninger i videre udstrækning end efter den gældende
registerlovgivning. En sådan administration må efter
Justitsministeriets opfattelse antages at falde inden for rammerne af
direktivet.
Formålet med reglerne i lovforslagets § 8 er navnlig
at lovfæste den nævnte forudsætning, som lovforslaget
bygger på. § 8 er derfor udformet i lyset af reglerne i loven om
offentlige myndigheders registre og loven om private registre m.v.
Bestemmelserne i § 8 skal administreres således, at
den behandling (registrering og videregivelse), der kan findes sted efter §
7, også kan finde sted efter § 8. Det bemærkes i den forbindelse,
at lovforslaget som nævnt bygger på den forudsætning, at
(også) reglerne i § 7 så vidt muligt skal administreres i
overensstemmelse med den gældende registerlovgivning.
Det bemærkes endvidere, at der er den principielle
forskel mellem reglerne i lovforslagets § 7 og § 8, at lovforslagets § 7 har
til formål at gennemføre reglerne om behandling af særligt
følsomme oplysninger i direktivets artikel 8. Heroverfor har
lovforslagets § 8 til formål at udgøre en del af den samlede
danske gennemførelse af direktivets mindre restriktive regler for
behandling af andre typer personoplysninger, jf. direktivets artikel 7.
Denne forskel vil efter Justitsministeriets opfattelse
ikke i nævneværdig grad nødvendiggøre, at der
anlægges en forskellig praksis vedrørende adgangen til at
behandle oplysninger efter henholdsvis lovforslagets § 7 og lovforslagets §
8. Det skyldes, at direktivet overlader medlemsstaterne et vist spillerum til
at fastlægge de nærmere kriterier for adgangen til at behandle
oplysninger, der ikke i direktivets forstand har karakter af
særligt følsomme oplysninger.
Til stk. 1-3
Bestemmelserne i stk. 1-3 vedrører den
offentlige forvaltning.
I stk. 1 er det i lyset af bestemmelsen i § 9,
stk. 2, i loven om offentlige myndigheders registre fastsat, at der for den
offentlige forvaltning ikke må behandles oplysninger om strafbare
forhold, væsentlige sociale problemer og andre rent private forhold end
de i § 7, stk. 1, nævnte, medmindre det er nødvendigt for
varetagelsen af myndighedens opgaver. Som eksempler på andre
oplysninger om rent private forhold kan nævnes oplysninger om andre
foreningsmæssige tilhørsforhold (end fagforeningsmæssige
tilhørsforhold, der er nævnt i § 7), familiestridigheder,
separation- og skilsmissebegæringer og adoptionsforhold.
I stk. 2 er spørgsmålet om
videregivelse særligt reguleret. Bestemmelsen omfatter både
spørgsmålet om videregivelse til private og
spørgsmålet om videregivelse til offentlige myndigheder.
Bestemmelsen er udarbejdet i lyset af § 16, stk. 1-2 (om videregivelse til
private) og § 21, stk. 1-2 (om videregivelse til offentlige myndigheder) i
loven om offentlige myndigheders registre.
Bestemmelserne i § 16, stk. 2, nr. 2, og § 21, stk. 2, nr.
2, i loven om offentlige myndigheders registre er ikke medtaget. Efter disse
bestemmelser kan videregivelse ske, hvis det følger af lov eller
bestemmelser fastsat i henhold til lov, at oplysningen skal videregives. Det
er overflødigt at medtage disse bestemmelser, da reglerne om
videregivelse i lovforslaget viger for en særregulering herom i anden
lovgivning, jf. lovforslagets § 2, stk. 1, og bemærkningerne
hertil.
Bestemmelserne i § 16, stk. 2, nr. 5, og § 21, stk. 2, nr.
5, i loven om offentlige myndigheders registre er heller ikke medtaget. Efter
disse bestemmelser kan videregivelse ske, hvis videregivelsen er
nødvendig for udførelsen af videnskabelige eller statistiske
undersøgelser af væsentlig samfundsmæssig betydning. Denne
videregivelsessituation er reguleret i lovforslagets § 10.
Efter bestemmelsen i stk. 2 skal spørgsmålet
om videregivelse af de oplysninger om rent private forhold, der ikke er
nævnt i § 7, stk. 1, som nævnt afgøres efter de kriterier,
der er fastsat i loven om offentlige myndigheders registre og ikke efter de
mere restriktive regler i forvaltningsloven. Disse kriterier vil i praksis
også være af betydning for administrationen af de almindelige
behandlingsregler i lovforslagets § 7, med hensyn til videregivelse af de
oplysninger om rent private forhold, der er angivet i § 7, stk. 1.
Efter registerloven er det muligt at videregive
oplysninger om rent private forhold uden samtykke, hvis det er
nødvendigt af hensyn til enten den myndighed, der
afgiver oplysningerne, eller den myndighed, der modtager
oplysningerne. Efter forvaltningsloven er det kun muligt at videregive
oplysningerne uden samtykke, hvis det er nødvendigt af hensyn til den
afgivende myndighed, eller hvis det er nødvendigt for, at en
myndighed kan gennemføre tilsyns- eller kontrolopgaver.
Bestemmelsen i stk. 3 begrænser den adgang
til at videregive oplysninger om rent private forhold, som følger dels
af den forudsatte administration af de almindelige behandlingsregler i
lovforslagets § 7 (med hensyn til de i § 7, stk. 1, angivne oplysninger om
rent private forhold), dels af stk. 2 (med hensyn til øvrige
oplysninger om rent private forhold).
Bestemmelsen omfatter myndigheder, der varetager opgaver
inden for det sociale område. Det drejer sig om kommuners og
amtskommuners socialforvaltninger og de statslige myndigheder, der varetager
opgaver på det sociale område (de sociale nævn, Den Sociale
Sikringsstyrelse og Den Sociale Ankestyrelse).
Kriterierne for videregivelse svarer til dem, der er
fastsat i forvaltningslovens § 28, stk. 2. I modsætning til
forvaltningslovens § 28, stk. 2, regulerer bestemmelsen imidlertid ikke alene
videregivelse til andre myndigheder, men også videregivelse til
private.
Hvis der på andre områder opstår behov
for at begrænse den adgang til videregivelse af oplysninger om rent
private forhold, der følger af de almindelige behandlingsregler i
lovforslagets § 7 og den særlige videregivelsesbestemmelse i § 8, stk.
2, kan dette ske ved en bekendtgørelse, som vedkommende minister
udsteder i henhold til lovforslagets § 72.
Til stk. 4-5
Bestemmelserne i stk. 3-4 vedrører den
private sektor.
I stk. 4 er det i lyset af bestemmelsen i § 3,
stk. 2, i lov om private registre m.v. fastsat, at private dataansvarlige
må behandle oplysninger om strafbare forhold, væsentlige sociale
problemer og andre rent private forhold end de i § 7, stk. 1, nævnte,
hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. 1.
pkt. Bestemmelsen omfatter i lighed med bestemmelsen i stk. 1 de
typer af oplysninger om enkeltpersoners rent private forhold, som ikke falder
ind under opregningen i lovforslagets § 7, stk. 1. Dog anses oplysninger om
andre foreningsmæssige forhold end fagforeningsmæssige
tilhørsforhold (der er reguleret i § 7) ligesom det er
tilfældet efter bestemmelsen i § 3, stk. 2, i lov om private registre
m.v. ikke for at være oplysninger om enkeltpersoners rent private
forhold.
Af bestemmelsens 2. pkt. følger, at
behandling kan ske uden samtykke, hvis det er nødvendigt til
varetagelse af en berettiget interesse, og denne interesse klart overstiger
hensynet til den registrerede. Bestemmelsen tilsigter at videreføre
den gældende retstilstand efter loven om private registre m.v.
Bestemmelsen opstiller derfor meget snævre rammer for, hvornår
der kan ske registrering af følsomme personoplysninger uden samtykke.
Bestemmelsen giver i lighed med den gældende retstilstand mulighed
for, at en virksomhed kan registrere oplysninger om strafbare forhold med
henblik på indgivelse af politianmeldelse, f.eks. om butikstyveri, og
eventuel senere afgivelse af vidneforklaring i retten. Oplysningerne skal dog
destrueres snarest muligt, jf. § 5, stk. 5. Bestemmelsen muliggør
endvidere, at humanitære organisationer m.v., såsom Amnesty
International, uden den pågældendes samtykke kan behandle
oplysninger om strafbare forhold, f.eks. fordi den registrerede ikke kan
findes, eller fordi det ikke har været muligt at rette henvendelse til
den pågældende som følge af fængsling eller
lignende.
Det bemærkes, at der efter lovforslagets § 50, stk.
1, nr. 1, skal gives tilladelse til registrering af oplysninger om rent
private forhold.
I stk. 5 er spørgsmålet om
videregivelse særligt reguleret. Bestemmelsen er udarbejdet i lyset af
§ 4, stk. 1, i lov om private registre.
Af bestemmelsens 1. pkt. følger
således, at de i stk. 3 nævnte oplysninger om rent private
forhold ikke må videregives uden den registreredes samtykke.
Videregivelse kan dog ske uden samtykke, når videregivelsen sker til
varetagelse af offentlige eller private interesser, herunder hensynet til den
pågældende selv, der klart overstiger hensynet til de interesser,
der begrunder hemmeligholdelse, jf. 2. pkt.
Det bemærkes, at der ikke er medtaget en regel om,
at videregivelse kan ske, hvis det følger af lov eller bestemmelser
fastsat i henhold til lov, at oplysningen skal videregives, jf. herved § 4,
stk. 1, 1. pkt., i lov om private registre m.v. Det skyldes, at det er
overflødigt at medtage en sådan bestemmelse, da reglerne om
videregivelse i lovforslaget som nævnt viger for en
særregulering herom i anden lovgivning, jf. lovforslagets § 2, stk. 1,
og bemærkningerne hertil.
Der er heller ikke fundet behov for at medtage en
bestemmelse om, at videregivelse uden samtykke kræver
tilsynsmyndighedens tilladelse, jf. herved § 4, stk. 1, 2. pkt., i lov om
private registre m.v. Et sådant krav følger af lovforslagets §
50, stk. 1, nr. 1.
Til stk. 6
Af bestemmelsen følger, at et fuldstændigt
register over straffedomme kun må føres for en offentlig
myndighed. Bestemmelsen, der har sin baggrund i direktivets artikel 8,
stk. 5, indebærer, at private ikke må opbygge et
fuldstændigt register over straffedomme. Dette gælder både
for så vidt angår manuelle og elektroniske registre. De
eksisterende private retsinformationssystemer er ikke fuldstændige i
den forstand, at de indeholder oplysninger om samtlige afsagte straffedomme.
Sådanne retsinformationssystemer vil derfor, såfremt de
indeholder oplysninger om strafbare forhold, som er personhenførbare,
jf. § 3, nr. 1, ikke være omfattet af den foreslåede
bestemmelse. Et fuldstændigt register i bestemmelsens forstand vil
derimod være Det Centrale Kriminalregister. Der er ikke efter
bestemmelsen noget til hinder for, at dette register føres ved en
privat databehandler, jf. § 3, nr. 5.
Til § 9
I bestemmelsen fastsættes særlige regler for
behandling af oplysninger med henblik på at føre et
retsinformationssystem. Bestemmelsen har sin baggrund i direktivets artikel
8, stk. 4, hvorefter medlemsstaterne af grunde, der vedrører
hensynet til vigtige samfundsmæssige interesser, kan fastsætte
andre undtagelser fra behandlingsforbudet i artikel 8, stk. 1, end dem,
som følger af artikel 8, stk. 2 og 3.
Bestemmelsen i stk. 1 indebærer, at
oplysninger, der er omfattet af § 7, stk. 1, eller § 8 kan
behandles med henblik på at føre retsinformationssystemer af
væsentlig samfundsmæssig betydning. Dette vil navnlig være
systemer, som er til rådighed for en bredere kreds af abonnenter for at
sikre en ensartet retsanvendelse. Derimod vil en myndigheds eller virksomheds
interne retsinformationssystem være underlagt de almindelige
behandlingsregler.
Efter bestemmelsen skal behandlingen være
nødvendig for førelsen af systemerne. Dette betyder, at
bestemmelsen ikke hjemler adgang til at behandle oplysninger i et
retsinformationssystem, hvis systemet kunne tjene sit formål
ligeså sikkert og effektivt uden oplysninger om enkeltpersoner.
Det følger af bestemmelsen i stk. 2, at
der ikke senere må ske behandling af oplysninger, som er omfattet af
stk. 1, til andre formål. Dette medfører bl.a., at
oplysningerne ikke må anvendes til at træffe foranstaltninger
eller afgørelser vedrørende registrerede personer. Dette
gælder også med hensyn til behandling af andre oplysninger, som i
henhold til § 6 alene foretages med henblik på at føre
retsinformationssystemer. Oplysningerne må naturligvis anvendes i
forbindelse med f.eks. førelse af en retssag, idet en sådan
anvendelse ikke ligger uden for formålet med et
retsinformationssystem.
Med stk. 3 sikres det, at der - ligesom hvad
der i dag gælder for private retsinformationssystemer - kan
fastsættes vilkår for behandling af de i stk. 1 nævnte
oplysninger. Herudover kan tilsynsmyndigheden efter bestemmelsen meddele
nærmere vilkår for den behandling af de i § 6 nævnte
oplysninger, som alene sker i tilknytning til førelsen af
retsinformationssystemer. Der kan f.eks. fastsættes vilkår om, at
personnavne, præcise adresseangivelser og eventuelt andre
identifikationsoplysninger fjernes i samme omfang, som dette skal ske efter
Justitsministeriets cirkulære nr. 85 af 8. juli 1988 om
indlæggelse af afgørelser i Retsinformation.
Der henvises i øvrigt til
betænkningen, side 251 f.
Til § 10
I bestemmelsen fastsættes særlige regler for
behandling i statistisk eller videnskabeligt øjemed. Bestemmelsen har
sin baggrund i direktivets artikel 8, stk. 4, hvorefter medlemsstaterne
af grunde, der vedrører hensynet til vigtige samfundsmæssige
interesser, kan fastsætte andre undtagelser fra behandlingsforbudet i
artikel 8, stk. 1, end dem, som følger af artikel 8, stk. 2
og 3.
Efter bestemmelsen i stk. 1 vil der kunne
behandles oplysninger som nævnt i § 7, stk. 1, eller
§ 8, såfremt behandlingen alene finder sted med henblik på
at udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning. Det forudsættes, at der
ikke sker nogen indskrænkning i forhold til de muligheder, som
dataansvarlige har for at foretage undersøgelser i statistisk eller
videnskabeligt øjemed efter den gældende registerlovgivning.
Såfremt en behandling tillige har andre formål, vil behandlingen
skulle vurderes efter bestemmelserne i henholdsvis § 7, stk. 2-4,
og § 8, stk. 1-2 og stk. 4-5. Bestemmelsen finder kun anvendelse,
hvis behandlingen er nødvendig for udførelsen af statistiske
eller videnskabelige undersøgelser.
Det følger af stk. 2, at der ikke
senere må ske behandling af oplysninger, som er omfattet af
stk. 1, til andre formål. Dette medfører bl.a., at
oplysningerne ikke må anvendes til at træffe foranstaltninger
eller afgørelser vedrørende bestemte personer. Der vil
således alene kunne ske efterfølgende behandling, herunder
videregivelse, jf. stk. 3, til private forskere eller offentlige
myndigheder i det omfang, behandlingen alene sker med henblik på
udførelsen af andre statistiske eller videnskabelige
undersøgelser. Tilsvarende gælder med hensyn til behandling af
andre oplysninger, som i henhold til § 6 alene foretages med henblik
på at udføre statistiske eller videnskabelige
undersøgelser.
Bestemmelsen i stk. 3 fastsætter
endelig, at videregivelse til tredjemand kun kan ske efter forudgående
tilladelse fra vedkommende tilsynsmyndighed og i givet fald kun med henblik
på udførelse af undersøgelser i statistisk eller
videnskabeligt øjemed, jf. stk. 1 og 2. Bestemmelsen svarer i det
væsentlige til den gældende ordning i registerlovgivningen, jf.
lov om offentlige myndigheders registre § 18, 2. pkt., og § 21,
stk. 5, samt de vilkår, der almindeligvis fastsættes af
Registertilsynet i henhold til lov om private registre § 2, stk. 3.
Efter bestemmelsen kan vedkommende tilsynsmyndighed meddele vilkår til
sikring af, at oplysningerne alene vil blive anvendt til statistiske eller
videnskabelige formål samt vilkår til beskyttelse af de
registreredes privatliv. Efter lov om offentlige myndigheders registre kan
Registertilsynet alene stille vilkår for så vidt angår
videregivelse af oplysninger fra den offentlige forvaltning til private
forskere.
Ifølge den gældende lov om offentlige
myndigheders registre giver Registertilsynet tilladelse efter
ansøgning i hvert enkelt tilfælde. Efter den foreslåede
bestemmelse kan vedkommende tilsynsmyndighed give en generel tilladelse til
videregivelsen. Det skal i tilladelsen præciseres, hvilke
oplysningstyper der må videregives. Endvidere skal det anføres,
til hvilke undersøgelser og i hvilken periode videregivelse må
finde sted. Tilladelsen vil f.eks. kunne gives i forbindelse med anmeldelsen
af en behandling, hvis den dataansvarlige allerede på
anmeldelsestidspunktet kan forudse, at en videregivelse til tredjemand til
brug for statistiske eller videnskabelige undersøgelser vil blive
aktuel.
Der henvises i øvrigt til
betænkningen, side 252- 259.
Til § 11
I bestemmelsen fastsættes regler for, i hvilket
omfang offentlige myndigheder og private kan behandle oplysninger om
personnumre. Bestemmelsen skal for den private sektors vedkommende
afløse den gældende bestemmelse i lov om private registres
§ 4 a, og for den offentlige forvaltnings vedkommende bestemmelserne i
§ 9, stk. 1, og §§ 17 og 21, stk. 3, om henholdsvis
registrering og videregivelse af personnumre.
Om baggrunden for de foreslåede regler henvises
nærmere til lovforslagets almindelige bemærkninger pkt. 4.2.4.2.
(pkt. B) og 4.2.4.3.
Til stk. 1
Af bestemmelsen følger, at offentlige myndigheder
vil kunne behandle oplysninger om personnumre med henblik på en entydig
identifikation samt som journalnummer. Bestemmelsen indebærer, at der
vil kunne ske behandling af oplysninger om personnumre i samme omfang som
efter den gældende registerlovgivning.
Bestemmelsen indebærer, at en forvaltningsmyndighed
ikke må føre åbne postlister, hvor borgernes personnumre
er anvendt som journalnummer.
Til stk. 2
I bestemmelsen fastsættes regler for privates
behandling af oplysninger om personnumre.
Efter reglen i nr. 1 vil private virksomheder m.v.
kunne foretage behandling, herunder registrering og videregivelse, af
oplysninger om personnumre, såfremt det følger af lov eller
bestemmelser fastsat i henhold til lov. Dette svarer i det væsentlige
til den gældende ordning i lov om private registre, jf. lovens § 4
a, stk. 1, jf. § 3, stk. 2, 1. led, og § 4 a,
stk. 2.
Herudover vil der efter bestemmelsen kunne ske behandling
af oplysninger om personnumre, hvis den registrerede har givet sit
udtrykkelige samtykke hertil, jf. nr. 2. Et sådant samtykke skal
opfylde betingelserne i § 3, nr. 8. Med hensyn til betydningen af kravet
om, at samtykket skal være udtrykkeligt, henvises til
bemærkningerne til § 6, stk. 1, nr. 1.
Endelig vil der efter bestemmelsen nr. 3 kunne ske
behandling uden samtykke, hvis dette alene sker i forbindelse med
undersøgelser i videnskabeligt eller statistisk øjemed. Hermed
videreføres den gældende retstilstand vedrørende
registrering og videregivelse af personnumre som led i udførelsen af
forskning eller statistik.
Bestemmelsen indebærer endvidere, at registrerede
oplysninger om personnumre kan videregives i samme omfang som efter
den hidtil gældende retstilstand, jf. § 4 a, stk. 2, i lov om private
registre m.v. Dette giver navnlig mulighed for at opretholde den
nuværende adgang til på grundlag af kundernes personnumre at
foretage samkøring i den finansielle sektor.
Med den foreslåede bestemmelse tilsigtes i
øvrigt ikke at indskrænke adgangen til at anvende oplysninger om
personnumre, som er registreret med særlig lovhjemmel, jf. § 11, stk.
2, nr. 1.
Det bemærkes, at kreditoplysningsbureauers
publikationer ikke må indeholde oplysninger om de registreredes
personnummer, jf. lovforslagets § 23, stk. 2, 2. pkt., der
opretholder den gældende bestemmelse i lov om private registre
§ 12, stk. 2, 2. pkt.
Til stk. 3
Af bestemmelsen følger, at private dataansvarliges
behandling af oplysninger om personnumre i henhold til bestemmelsen i
stk. 2, nr. 3, ikke må indebære, at der sker
offentliggørelse af oplysningerne uden den registreredes udtrykkelige
samtykke. Herved sikres det, at oplysninger, som lovligt kan behandles efter
stk. 2, nr. 3, ikke uden den berørtes accept kan videregives til
en bredere kreds af personer. Det bemærkes, at det for så vidt
angår behandling af oplysninger om personnumre i medfør af
bestemmelsen i stk. 2, nr. 2, forudsættes, at
offentliggørelse kun vil kunne ske, hvis den registrerede udtrykkeligt
har meddelt samtykke hertil.
Til § 12
I lov om private registre kapitel 4 er fastsat
særlige regler om adresserings- og kuverteringsbureauer.
Med de foreslåede bestemmelser fastsættes der
fortsat særlige regler for sådanne bureauer. Bestemmelserne giver
adresserings- og kuverteringsbureauer en videregående adgang til at
anvende personoplysninger end efter den gældende ordning.
Bestemmelserne gælder også for offentlige myndigheder i det
omfang, disse måtte udøve adresserings- og
kuverteringsbureauvirksomhed.
Af bestemmelsen i stk. 1 fremgår, hvilke
oplysninger en dataansvarlig, som med henblik på markedsføring
sælger adresser over grupper af personer, eller som for tredjemand
foretager kuvertering eller udsendelse af meddelelser til sådanne
grupper, må behandle. Bestemmelsen omfatter således kun de
situationer, hvor bureauet er dataansvarlig for de oplysninger, som
sælges eller danner grundlag for kuvertering eller udsendelse for
tredjemand. Hvis en dataansvarlig derimod overlader egne oplysninger til et
bureau med henblik på, at bureauet foretager kuvertering eller
udsendelse, er det de almindelige behandlingsbestemmelser samt bestemmelsen
om indsigelse imod behandling i markedsføringsøjemed, som
finder anvendelse. I så fald vil bureauet blot være databehandler
og må derfor ikke behandle oplysningerne til andre formål end
dem, som den dataansvarlige giver instruks om, jf. § 42, stk. 2,
sammenholdt med § 3, nr. 5.
Af reglen i nr. 1 følger, at der må
behandles oplysninger om navn, adresse, stilling, erhverv, e-postadresse og
telefon- og telefaxnummer. Endvidere må oplysninger, der indgår i
erhvervsregistre, som i henhold til lov eller bestemmelser fastsat i henhold
til lov er beregnet til at informere offentligheden, behandles, jf. nr.
2. Endelig må andre oplysninger behandles, hvis den registrerede
har givet udtrykkeligt samtykke dertil, jf. nr. 3. Et sådant
samtykke skal opfylde de betingelser, som fremgår af § 3, nr. 8.
Med hensyn til betydningen af kravet om, at samtykket skal være
udtrykkeligt, henvises til bemærkningerne til § 6, stk. 1, nr. 1. Et
samtykke skal endvidere indhentes i overensstemmelse med reglerne i
markedsføringslovens § 6 a.
Adgangen til efter bestemmelsen at behandle de i nr. 1-3
nævnte oplysninger gælder dog ikke, hvis dette vil være i
strid med bestemmelsen i stk. 2. Af denne bestemmelses 1.
pkt. fremgår, at der ikke må ske behandling af de i § 7,
stk. 1, og § 8 nævnte oplysninger. Dette gælder, uanset
om der er givet samtykke dertil. Efter bestemmelsens 2. pkt. kan
justitsministeren fastsætte yderligere begrænsninger i adgangen
til at behandle bestemte typer af oplysninger.
Det bemærkes, at den registrerede altid vil kunne
fremsætte indsigelse mod, at et dataansvarligt adresserings- og
kuverteringsbureau behandler oplysninger om den pågældende med
henblik på markedsføring, herunder salg, kuvertering eller
udsendelse, jf. § 36, stk. 1, ligesom adresserings- og
kuverteringsbureauet skal følge proceduren i § 36.
Til § 13
I bestemmelsen fastsættes regler for offentlige
myndigheders og private virksomheders m.v. adgang til at foretage automatisk
registrering af, hvilke telefonnumre der er foretaget opkald til fra deres
telefoner. Bestemmelsen svarer i det væsentlige til den nuværende
ordning i lov om private registre § 7 f. Bestemmelsen gælder dog
ikke kun for private, men også for offentlige myndigheder.
Reglen i stk. 1, 1. pkt., tager sigte på
at beskytte ansattes privatliv i forbindelse med brugen af telefoner, som er
installeret hos den ansattes arbejdsgiver, det være sig offentlige
myndigheder eller private virksomheder m.v. Bestemmelsen gælder ikke,
hvis de pågældende telefoner alene benyttes af ejeren af en
enkeltmandsejet virksomhed. Registreringsforbudet gælder, uanset om
opkaldet foretages fra den dataansvarliges fast installerede telefoner eller
fra mobiltelefoner. Forbudet retter sig alene mod registrering af selve det
opkaldte telefonnummer, og reglen er således ikke til hinder for en
registrering af tællerskridt eller tidsrummet for den førte
samtale. Endvidere vil der kunne registreres dele af det opkaldte nummer,
f.eks. derved at de to sidste cifre i et ottecifret nummer udelades.
Bestemmelsen udelukker endvidere ikke, at der i en offentlig myndighed eller
virksomhed m.v. sker manuel registrering af opkaldte telefonnumre. Om
sådan registrering vil være lovlig, skal afgøres efter
lovgivningen i øvrigt.
Vedkommende tilsynsmyndighed kan efter 2. pkt. give
tilladelse til, at der - uanset forbudet i 1. pkt. - foretages automatisk
registrering af ansattes udgående opkald. Det kan i den forbindelse
efter omstændighederne tillægges betydning, om den registrerede
har meddelt samtykke til registreringen. Som eksempel på
tilfælde, hvor tilsynsmyndigheden kan meddele tilladelse, kan
nævnes offentlige myndigheder eller virksomheder m.v., der
ønsker at foretage registrering af de telefonopkald, der er foretaget
i forbindelse med udførelsen af en bestemt arbejdsopgave i ind- eller
udlandet med henblik på at kunne få refunderet udgifterne ved
samtalerne af medkontrahenten i henhold til en indgået aftale herom.
Ved vurderingen af, om tilladelse til registrering kan gives, skal der tages
hensyn til artikel 5 og 14 i ISDN-direktivet.
Tilsynsmyndigheden kan efter bestemmelsen fastsætte
vilkår for tilladelsen. I de fleste tilfælde vil det være
naturligt i hvert fald at fastsætte vilkår om, at de ansatte
på en klar og utvetydig måde orienteres om, at registreringen af
kaldte numre finder sted. Registertilsynets praksis efter lov om private
registre § 7 f, stk. 1, kan også i denne henseende
tillægges betydning.
Af bestemmelsen i stk. 2 følger, at
registreringsforbudet ikke gælder, hvis andet følger af lov.
Dette kan f.eks. være tilfældet, hvor adgangen til registreringen
følger af retsplejelovens bestemmelser om efterforskningsskridt i
straffesager. Forbudet omfatter heller ikke udbydere af telenet og
teletjenesters registrering af, til hvilke telefonnumre der er foretaget
opkald, enten til eget brug eller til brug ved teknisk kontrol. Det
bemærkes i øvrigt, at telefonselskaber ikke på baggrund af
sådanne registreringer lovligt vil kunne udsende fuldt specificerede
telefonregninger, hvis dette medfører, at abonnenten derved modtager
oplysninger, som denne ikke selv lovligt vil kunne registrere efter
stk. 1.
Til § 14
Bestemmelsen regulerer spørgsmålet om
arkivering. Efter bestemmelsen kan oplysninger, som er omfattet af loven,
overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.
Bestemmelsen indebærer, at der vil kunne ske arkivering af behandlede
oplysninger i det omfang, dette følger af reglerne i
arkivlovgivningen. Dette gælder for oplysninger, som er behandlet for
såvel offentlige myndigheder som for private. Med hensyn til de private
arkivalier bemærkes, at den foreslåede bestemmelse er udtryk for
en kodificering af, hvad der antages at gælde efter lov om private
registre.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.11.3. og betænkningen, side
145-150.
Til kapitel 5
Videregivelse til kreditoplysningsbureauer af oplysninger
om gæld til det offentlige
Til §§ 15-18
De gældende regler om den offentlige forvaltnings
videregivelse til kreditoplysningsbureauer af oplysninger om gæld til
det offentlige findes i lov om offentlige myndigheders registre kapitel 5 a,
§§ 20 a-d.
De foreslåede bestemmelser svarer til de
gældende regler i kapitel 5 a i lov om offentlige myndigheders
registre. Den gældende praksis på området vil dermed
fortsat være af betydning. Der henvises i den forbindelse bl.a. til
Registertilsynets vejledning af 25. september 1995 om offentlige myndigheders
indberetning af skyldnere til private kreditoplysningsbureauer og til
tilsynets cirkulæreskrivelse af 25. marts 1997 vedrørende
offentlige myndigheders indberetning til private
kreditoplysningsbureauer.
Til kapitel 6
Kreditoplysningsbureauer
I kapitlet fastsættes detaljerede regler om
kreditoplysningsbureauers virksomhed. Reglerne svarer i det væsentlige
til den ordning, som er indeholdt i lov om private registre kapitel 3,
§§ 8-16. De forslag til ændringer i den gældende ordning,
som er indeholdt i kapitlet, er medtaget for at tilpasse reglerne til
direktivets bestemmelser. Herudover foreslås visse præciseringer,
som har deres baggrund i de praktiske erfaringer med de gældende
regler.
Reglerne tager sigte på al form for
kreditoplysningsvirksomhed. Det er således uden betydning, hvem der
måtte ønske at drive virksomhed med behandling af oplysninger
til bedømmelse af soliditet og kreditværdighed med henblik
på videregivelse. I praksis drives sådanne aktiviteter for tiden
kun i den private sektor. De foreslåede regler tager derfor
primært sigte herpå. Dette understreges bl.a. af, at der i
§ 19 henvises til reglen om anmeldelse af behandlinger, der foretages
for private (§ 50, stk. 1, nr. 3). Hvis offentlige myndigheder
på et tidspunkt måtte ønske at påbegynde
kreditoplysningsvirksomhed, følger det af reglen i § 19, at
tilladelse hertil skal indhentes hos Datatilsynet.
I det omfang, spørgsmål om
kreditoplysningsbureauers virksomhed ikke måtte være reguleret i
kapitlet, gælder lovens almindelige regler. Dette indebærer
bl.a., at tilsynet med kreditoplysningsbureauers virksomhed er undergivet de
almindelige regler i kapitel 16 om Datatilsynet.
Til § 19
Bestemmelsen svarer i det væsentlige til den
gældende bestemmelse i lov om private registre § 8. Med
henvisningen til § 50, stk. 1, nr. 3, foreslås det dog, at
kreditoplysningsbureauer skal have Datatilsynets forudgående tilladelse
til at påbegynde kreditoplysningsvirksomhed.
Til § 20
Bestemmelsen i stk. 1 svarer - med en sproglig
ændring - til den gældende bestemmelse i lov om private registre
§ 9, stk. 1, og indebærer dermed ikke ændringer i den
gældende retstilstand. Kreditoplysningsbureauer må derfor fortsat
kun foretage behandling af oplysninger, som efter deres art er af betydning
for bedømmelsen af økonomisk soliditet og
kreditværdighed.
I stk. 2 fastsættes et forbud mod, at
oplysninger om enkeltpersoners rent private forhold behandles af
kreditoplysningsbureauer. Bestemmelsen svarer til den gældende
bestemmelse i lov om private registre § 9, stk. 2.
Bestemmelsen i stk. 3 svarer - med en sproglig
ændring - til, hvad der følger af lov om private registre
§ 9, stk. 3. Oplysninger om forhold, der taler imod
kreditværdighed, og som er mere end 5 år gamle, må fortsat
ikke behandles, medmindre det i det enkelte tilfælde er åbenbart,
at forholdet er af afgørende betydning for bedømmelsen af den
pågældendes økonomiske soliditet og
kreditværdighed.
Til § 21
Bestemmelsen fastsætter, at kreditoplysningsbureauer
i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1,
skal meddele de oplysninger, der er nævnt i disse bestemmelser, til
den, der behandles oplysninger om. Efter bestemmelsen påhviler der
kreditoplysningsbureauer en ubetinget oplysningspligt ved behandling af
oplysninger. Der skal således - i modsætning til den
gældende ordning i lov om private registre § 10, stk. 1 -
gives meddelelse til den registrerede, hvis den pågældende blot
optages i et kreditoplysningsbureaus optegnelser med navn, adresse, stilling,
erhverv eller oplysninger, der fremgår af Statstidende eller frit kan
indhentes fra Det Centrale Virksomhedsregister. Ændringen skal ses
på baggrund af bestemmelserne i direktivets artikel 10 og 11.
Det, der skal gives underretning om, er de oplysninger,
der er nævnt i bestemmelserne i § 28, stk. 1, og § 29,
stk. 1. Indsamling af oplysninger sker normalt hos andre end den
registrerede selv. I sådanne tilfælde skal den registrerede gives
de i § 29, stk. 1, nævnte oplysninger. I praksis forekommer
det også, at kreditoplysningsbureauer i anledning af en konkret
forespørgsel eller i forbindelse med registrering af mere detaljerede
oplysninger om en virksomhed retter henvendelse til den registrerede for at
få supplerende oplysninger om vedkommende. I givet fald er det
bestemmelsen i § 28, stk. 1, der fastlægger, hvilke
oplysninger der skal gives den registrerede.
Den pligt til at give den registrerede vejledning om
adgangen til at få oplysninger fra registeret (indsigt), som
følger af lov om private registre § 10, stk. 1, 2. pkt., vil
fortsat gælde efter den foreslåede bestemmelse, jf. herved
§ 28, stk. 1, nr. 3, litra c, og § 29, stk. 1, nr. 3,
litra c.
Tidspunktet for oplysningspligtens indtræden
følger af bestemmelserne i §§ 28, stk. 1, og 29,
stk. 1, hvortil der henvises. Det forudsættes, at underretning af
den registrerede under alle omstændigheder - som efter den hidtil
gældende retstilstand - sker inden 4 uger efter, at oplysningerne er
indsamlet, selv om dette i det konkrete tilfælde ikke skulle
følge af reglerne i §§ 28, stk. 1 eller 29, stk. 1.
Til § 22
Bestemmelsen i stk. 1 svarer - med en enkelt
ændring - til den gældende bestemmelse i lov om private registre
§ 11, stk. 1. Som følge af direktivets artikel 12, litra a,
foreslås det, at det præciseres i bestemmelsen, at meddelelse af
indsigt til den registrerede skal ske på en let forståelig
måde.
Bestemmelsen i stk. 2 svarer til den gældende
bestemmelse i lov om private registre § 11, stk. 2.
I stk. 3 fastsættes, at
kreditoplysningsbureauer er forpligtet til at give den registrerede oplysning
om kategorien af modtagere af oplysningerne, samt tilgængelig
information om, hvorfra de i stk. 1 og 2 nævnte oplysninger
stammer. Bestemmelsen er indsat for at tilpasse lovgivningen til direktivets
artikel 12, litra a.
I stk. 4 fastsættes det, at den registrerede
kan forlange skriftlig meddelelse som nævnt i stk. 1-3, jf. 1.
pkt.
Med hensyn til forholdet mellem bestemmelsen i stk. 4 og
bestemmelsen i stk. 2 bemærkes, at bestemmelsen i stk. 4 ikke
giver den registrerede adgang til skriftlig indsigt i det materiale, der er
nævnt i stk. 2. Den registrerede har som fastsat i stk. 2 kun krav
på at gennemgå dette materiale ved personlig henvendelse til
bureauet. Bestemmelsen fastsætter alene, at den meddelelse, der skal
gives efter stk. 2, på forlangende skal gives skriftligt.
Af bestemmelsens 2. pkt. følger, at
justitsministeren fastsætter regler om betaling for skriftlige
meddelelser.
Det er tanken at fastsætte betalingen således,
at der kan kræves et ekspeditionsgebyr for skriftlig meddelelse af
indsigt. Det er derimod ikke tanken at fastsætte betalingen
således, at de reelle omkostninger, der er forbundet med at give
indsigt, bliver dækket.
Det er hensigten ved lovens ikrafttræden at
udstede en bekendtgørelse om betaling for skriftlige meddelelser.
Dette vil ske med udgangspunkt i bekendtgørelse nr. 664 af 21.
december 1978 om betaling for skriftlige meddelelser fra
kreditoplysningsbureauer.
Efter denne bekendtgørelse er udgangspunktet, at
den første skriftlige meddelelse af indsigt er gratis, og at der
ellers skal betales 10 kr. herfor. Det bemærkes, at det ikke er tanken
at videreføre de bestemmelser i 1978-betalingsbekendtgørelsen,
hvorefter bureauet hvis meddelelsen omfatter en samlet beskrivelse eller
bedømmelse af en erhvervsdrivendes eller en erhvervsvirksomheds
økonomiske forhold kan kræve 50 kr. for hver påbegyndt
side, og at en sådan betaling også kan kræves den
første gang, der forlanges skriftlig meddelelse af indsigt. Det er i
stedet tanken, at den første skriftlige meddelelse fortsat skal
være gratis, og at et kreditoplysningsbureau for skriftlig meddelelse
efter § 22, stk. 1-3, ellers skal kunne kræve 10 kr. for hver
påbegyndt side. Betalingen skal dog ikke kunne overstige 200 kr. Disse
takster svarer til den generelle ordning, der vil blive fastsat efter
lovforslagets § 34, stk. 2, jf. bestemmelsens bemærkninger.
De foreslåede regler i stk. 1-4 indebærer
ikke i øvrigt ændringer i den gældende retstilstand.
Til § 23
I bestemmelserne i stk. 1-4 er fastsat regler om, i
hvilken form oplysninger om økonomisk soliditet og
kreditværdighed må videregives, samt i hvilket omfang summariske
oplysninger om skyldforhold må videregives. De foreslåede
bestemmelser er i det væsentlige en videreførelse af de
gældende regler i lov om private registre § 12, stk. 1-4.
Bestemmelsen i stk. 3, 3. pkt., præciserer, at
betingelserne for videregivelse af summariske oplysninger også skal
være opfyldt, hvis sådanne oplysninger videregives i forbindelse
med udarbejdelse af bredere kreditbedømmelser.
Det forudsættes, at bestemmelsen i stk. 4 ikke
er til hinder for, at kreditoplysningsbureauerne videregiver oplysninger
opdelt efter postnumre. Der henvises herved til betænkningen,
side 281 f.
Om baggrunden for de foreslåede præciseringer
af reglerne i lov om private registre § 12, stk. 3 og 4, henvises i
øvrigt til lovforslagets almindelige bemærkninger pkt.
4.2.4.3.
Til §§ 24 og 25
Bestemmelserne svarer til de gældende regler i lov
om private registre §§ 13 og 14.
Til § 26
Af bestemmelsen i stk. 1 følger, at
henvendelser fra en registreret om sletning, berigtigelse eller blokering af
oplysninger eller bedømmelser, der angives at være urigtige
eller vildledende, eller om sletning af oplysninger, der ikke må
behandles, jf. § 37, stk. 1, snarest og inden 4 uger efter modtagelsen
skal besvares skriftligt af bureauet. Bestemmelsen svarer - med en enkelt
ændring - til den gældende bestemmelse i lov om private registre
§ 15. Den foreslåede ændring indebærer, at også
henvendelser fra den registrerede om blokering af oplysninger skal besvares
skriftligt snarest muligt og inden 4 uger efter modtagelsen. Forslaget skal
ses på baggrund af direktivets artikel 12, litra b.
Bestemmelsen i stk. 2 svarer i det
væsentlige til, hvad der følger af lov om private registre
§ 15, stk. 2. Dog er det indføjet i bestemmelsen, at
muligheden for at indbringe bureauets afgørelse for Datatilsynet
også gælder, hvis den registrerede har fremsat begæring om
blokering.
Bureauets svar skal i de i stk. 2 nævnte
tilfælde indeholde oplysning om adgangen til at indbringe
spørgsmålet for Datatilsynet og om fristen herfor, jf.
stk. 3. Bestemmelsen svarer til, hvad der følger af lov om
private registre § 15, stk. 3.
Til kapitel 7
Overførsel af oplysninger til tredjelande
I kapitlet reguleres spørgsmålet om
dataansvarliges adgang til at foranstalte behandlede oplysninger
overført til modtagere i tredjelande. Bestemmelserne, der på en
række punkter er udtryk for nyskabelser i forhold til den
nugældende registerlovgivning, har deres baggrund i direktivets artikel
25 og 26.
Til § 27
Til stk. 1
I bestemmelsen er fastsat, at overførsel af
oplysninger til myndigheder, virksomheder m.v. i tredjelande kan finde sted,
hvis det pågældende land sikrer et tilstrækkeligt
beskyttelsesniveau. Udtrykket overførsel omfatter
»videregivelse« af oplysninger, hvorved forstås overførsel af
oplysninger til enhver anden end den registrerede, den dataansvarlige,
databehandleren og personer under den dataansvarliges og databehandlerens
direkte myndighed. Udtrykket omfatter også »overladelse « af
oplysninger, hvorved forstås overførsel af oplysninger til en
databehandler eller personer under databehandlerens direkte myndighed.
Endelig omfatter udtrykket den dataansvarliges interne anvendelse af
oplysninger. Udtrykket »overførsel« er således en samlet
betegnelse for videregivelse og overladelse/intern anvendelse af oplysninger.
Der henvises i øvrigt til betænkningen, side 283 f.
Med hensyn til hvad der skal forstås ved udtrykket
tredjeland, henvises til § 3, nr. 9.
I kravet om, at et tredjeland skal sikre et
tilstrækkeligt beskyttelsesniveau, ligger, at overførslen af
oplysninger ikke må medføre en væsentlig forringelse af
den beskyttelse af den registrerede, som loven tilsigter at sikre. I det
pågældende tredjeland skal behandlingen således i det
væsentlige være undergivet en regulering som den, der
følger af loven. Dette gælder dels for så vidt angår
de materielle krav til behandling af oplysninger, herunder reglerne om den
registreredes rettigheder, dels de formelle krav om bl.a. tilsyn og
behandlingssikkerhed og muligheden for via domstolene at få
kontrolleret overholdelsen af reglerne.
Om det pågældende tredjeland har et
tilstrækkeligt beskyttelsesniveau, skal afgøres på
grundlag af en vurdering af samtlige de forhold, der har indflydelse på
en overførsel, jf. stk. 2. I den forbindelse bemærkes, at
overførsler af de i § 7, stk. 1, og § 8 nævnte
oplysninger, som finder sted efter bestemmelsen, ikke kan
iværksættes, medmindre vedkommende tilsynsmyndighed forinden har
afgivet udtalelse herom, jf. § 45, stk. 1, nr. 1, samt § 52,
eller har givet tilladelse hertil, jf. § 50, stk. 1, nr. 1, samt
§ 50, stk. 2, jf. stk. 1.
Til stk. 2
Af bestemmelsen følger, at vurderingen af, om
beskyttelsesniveauet er tilstrækkeligt, skal ske på grundlag af
samtlige de forhold, der har indflydelse på en overførsel,
herunder navnlig oplysningernes art, behandlingens formål og varighed,
oprindelseslandet og det endelige bestemmelsesland, samt de retsregler,
regler for god forretningsskik og sikkerhedsforanstaltninger, som
gælder i tredjelandet. Opregningen af faktorer, som der kan
lægges vægt på er ikke udtømmende, og der kan
således være andre faktorer, som kan indgå i vurderingen
af, om et tredjeland har et tilstrækkeligt beskyttelsesniveau.
Det skal i den forbindelse fremhæves, at der ved
vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, skal
lægges afgørende vægt på oplysningernes art i de
tilfælde, hvor der er tale om offentliggørelse af
personoplysninger, herunder gennem Internettet. Om adgangen til uden
samtykke at offentliggøre personoplysninger på Internettet
henvises i øvrigt til det, som er anført i lovforslagets
almindelige bemærkninger pkt. 4.2.4.3.
I det omfang, det konstateres, at et tredjeland ikke har
et tilstrækkeligt beskyttelsesniveau, skal Europa- Kommissionen samt de
øvrige medlemsstater underrettes herom, jf. direktivets artikel 25,
stk. 3. Det forudsættes, at en tilsynsmyndighed, som måtte
være af den opfattelse, at et tredjeland ikke sikrer et
tilstrækkeligt beskyttelsesniveau, underretter Justitsministeriet
herom, således at Justitsministeriet i givet fald kan underrette
Europa-Kommissionen og de øvrige medlemsstater herom. En underretning
af Justitsministeriet kan også komme fra andre, f.eks. dataansvarlige
myndigheder.
Underretninger, som Danmark måtte modtage fra andre
medlemsstater om, at et tredjeland ikke sikrer et tilstrækkeligt
beskyttelsesniveau, skal tillægges betydning ved vurderingen efter
bestemmelsen. Hvis Europa-Kommissionen efter den i direktivets artikel 31,
stk. 2, fastsatte procedure, konstaterer, at et tredjeland ikke sikrer
et tilstrækkeligt beskyttelsesniveau, skal en sådan
afgørelse lægges til grund, jf. herved artikel 25, stk. 4.
I givet fald kan overførsel til det pågældende tredjeland
i medfør af bestemmelsen i stk. 1, ikke finde sted, og
vedkommende tilsynsmyndighed skal skride ind over for en sådan
overførsel. Også afgørelser fra Europa- Kommissionen om,
at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau skal
lægges til grund, jf. artikel 25, stk. 6. Det forudsættes,
at vedkommende tilsynsmyndighed i form af generelt informationsmateriale
underretter de dataansvarlige om eventuelle afgørelser, som
måtte blive truffet af Europa-Kommissionen.
Til stk. 3
I bestemmelsen fastsættes, i hvilket omfang der vil
kunne ske overførsel af oplysninger til et tredjeland, som ikke sikrer
et tilstrækkeligt beskyttelsesniveau.
Dette vil ifølge nr. 1 kunne ske, hvis den
registrerede har givet udtrykkeligt samtykke hertil. Med hensyn til kravene
til et sådant samtykke henvises til § 3, nr. 8. Heraf
følger bl.a., at den registrerede som minimum skal oplyses om, hvilke
typer af oplysninger der overføres, til hvilke formål og til
hvilke tredjelande, dette sker. Herudover vil der skulle gives andre
relevante oplysninger, som kan have betydning for den registreredes vurdering
af risikoen ved overførslen. Med hensyn til betydningen af kravet om,
at samtykket skal være udtrykkeligt, henvises til bemærkningerne
til § 6, stk. 1, nr. 1.
Efter nr. 2 kan der ske overførsel,
når overførslen er nødvendig af hensyn til opfyldelsen af
en aftale mellem den registrerede og tredjemand eller af hensyn til
gennemførelse af foranstaltninger, der træffes på den
registreredes anmodning forud for indgåelse af en sådan
aftale.
Desuden kan der efter nr. 3 ske overførsel
af hensyn til indgåelsen eller udførelsen af en aftale, som den
registrerede ikke er part i, såfremt aftalen er indgået i den
registreredes interesse. Der kan f.eks. være tale om overførsel
af oplysninger med henblik på at gennemføre
betalingsoverførsler til eller fra et tredjeland, som enten aftales
mellem den registrerede og den dataansvarlige, eller som blot er i den
registreredes interesse.
Efter nr. 4 kan der endvidere ske
overførsel, såfremt det er nødvendigt eller følger
af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig
samfundsmæssig interesse. Som eksempel på overførsel, som
vil være omfattet af bestemmelsen, kan nævnes international
udveksling af oplysninger mellem skatte- og toldmyndigheder eller mellem
socialsikringsmyndigheder. Af bestemmelsen følger tillige, at
overførsel af oplysninger kan ske, hvis dette er nødvendigt
for, at et retskrav kan fastlægges, gøres gældende eller
forsvares. Udtrykket retskrav skal forstås på samme
måde som i bestemmelsen i § 7, stk. 2, nr. 4.
Efter nr. 5 kan overførsel endvidere ske,
når dette er nødvendigt for at beskytte den registreredes vitale
interesser. Bestemmelsen svarer til § 6, stk. 1, nr. 4.
Herudover vil der efter nr. 6 kunne ske
overførsel fra et register, som ifølge lov eller bestemmelser
fastsat i henhold til lov er tilgængeligt for offentligheden eller for
personer, der kan godtgøre at have en berettiget interesse heri. Dette
gælder dog kun, hvis de i lovgivningen fastsatte betingelser for den
offentlige tilgængelighed er opfyldt i det specifikke tilfælde.
Adgangen til efter bestemmelsen at overføre oplysninger omfatter ikke
alle oplysningerne eller hele kategorier af oplysninger i registeret. Der
henvises herved til betragtning 58 i direktivets præambel.
Endelig fremgår det af nr. 7 og 8, at der kan
ske overførsel af oplysninger i forbindelse med strafferetlig
forfølgning m.v. samt af hensyn til den offentlige sikkerhed, rigets
forsvar eller statens sikkerhed. Bestemmelserne er indsat for at
tydeliggøre, at den nødvendige behandling i de nævnte
øjemed kan finde sted. Det bemærkes herved, at sådan
behandling falder uden for direktivets område, jf. artikel 3,
stk. 2, 1. pind, 2. led, og at bestemmelserne således er indsat
uafhængigt af direktivets regulering.
Til stk. 4
Af bestemmelsen følger, at vedkommende
tilsynsmyndighed kan give tilladelse til, at der sker overførsel af
oplysninger, selv om betingelserne i stk. 1 eller 3 ikke er opfyldt. Den
dataansvarlige skal i så fald yde de fornødne garantier for
beskyttelsen af privatlivets fred, personers grundlæggende rettigheder
og frihedsrettigheder samt for udøvelsen af de dertil knyttede
rettigheder. Sådanne garantier kan navnlig fremgå af passende
kontraktbestemmelser, som medfører, at det beskyttelsesniveau, som
loven tilsigter at sikre, ikke forringes væsentligt. Efter direktivets
artikel 26, stk. 4, kan Kommissionen efter proceduren i direktivets
artikel 31, stk. 2, fastslå, at visse standardkontraktbestemmelser
frembyder tilstrækkelige garantier. Kontraktbestemmelser, som
udarbejdes på baggrund af sådanne standarder, vil opfylde kravet
i bestemmelsen om de fornødne garantier.
Af bestemmelsen fremgår endvidere, at vedkommende
tilsynsmyndighed skal underrette Kommissionen og de øvrige
medlemsstater om tilladelser, som gives efter bestemmelsen. Denne
forpligtelse bygger på direktivets artikel 26, stk. 3. Hvis der
rejses berettiget tvivl omkring berettigelsen af en tilladelse, og
Europa-Kommissionen i henhold til artikel 26, stk. 3, træffer
afgørelse om, at der skal foretages passende foranstaltninger, skal
sådanne afgørelser efterkommes. Vedkommende tilsynsmyndighed
må derfor i givet fald tilbagekalde tilladelsen, jf. § 58,
stk. 2, og § 68, stk. 1, med henvisningen til § 58,
stk. 2.
Til stk. 5
I bestemmelsen fastsættes det, at lovens almindelige
regler finder anvendelse ved overførsel af oplysninger til
tredjelande. Heri ligger bl.a., at der kun kan ske overførsel til et
tredjeland, såfremt betingelserne i kapitel 4-6 for behandling af
oplysninger er opfyldt.
Til kapitel 8
Oplysningspligt over for den registrerede
I kapitlet fastsættes bestemmelser om, i hvilket
omfang der påhviler den dataansvarlige en oplysningspligt i forhold til
den registrerede.
Bestemmelserne, der bygger på direktivets artikel
10, 11 og 13, er udtryk for en nyskabelse i forhold til den gældende
registerlovgivning, hvorefter der ikke gælder en generel regel om den
dataansvarliges oplysningspligt over for den registrerede. Princippet om
obligatorisk underretning af den registrerede kendes dog på enkelte
områder i registerlovgivningen, jf. bestemmelserne i § 10 i
henholdsvis lov om offentlige myndigheders registre og lov om private
registre. Specielt for så vidt angår kreditoplysningsbureauers
oplysningspligt henvises til lovforslagets § 21.
Til § 28
Til stk. 1
Bestemmelsen har til formål at sikre, at den
registreredes beslutning om at afgive oplysninger om sig selv træffes
på et pålideligt faktuelt grundlag med hensyn til en række
forhold.
Af bestemmelsen følger, at den dataansvarlige eller
dennes repræsentant har pligt til af egen drift at give den
registrerede meddelelse om en række forhold. Oplysningspligten
gælder dog kun, hvis oplysningerne indsamles hos den registrerede selv.
I givet fald indtræder pligten til at give oplysninger til den
registrerede samtidig med selve indsamlingen. Den dataansvarlige er ikke
forpligtet til at give en registreret person de nævnte oplysninger mere
end én gang, jf. herved også stk. 2. Der gælder ikke
noget krav om, at meddelelse efter bestemmelsen skal gives skriftligt. Den
dataansvarlige skal dog i tilfælde af uenighed om, hvorvidt
fornøden underretning er givet til den registrerede, kunne
dokumentere, at dette er tilfældet. Underretning bør derfor
gives skriftligt og på en tydelig måde.
Det, der skal gives den registrerede meddelelse om, er for
det første den dataansvarliges og dennes eventuelle
repræsentants identitet, jf. nr. 1. Dette vil kunne opfyldes ved
meddelelse om navn og adresse. Det vil ikke være tilstrækkeligt,
at der alene gives den registrerede oplysning om, hvem der er
repræsentant for den dataansvarlige.
Endvidere skal der gives meddelelse om formålene med
den behandling, hvortil oplysningerne er bestemt, jf. nr. 2. I kravet
om formålsangivelse ligger, at der skal gives den registrerede
tilstrækkelig information til, at den pågældende bliver
klar over, hvad der er baggrunden for, at der indsamles oplysninger om den
pågældende.
Endelig skal der efter nr. 3 gives meddelelse om
alle yderligere oplysninger, der under hensyn til de særlige
omstændigheder, hvorunder oplysningerne indsamles, er nødvendige
for, at den registrerede kan varetage sine interesser. Der vil bl.a. kunne
blive tale om, at den registrerede skal gives meddelelse om kategorierne af
modtagere af de indsamlede oplysninger, om det er obligatorisk eller
frivilligt at besvare de stillede spørgsmål, om mulige
følger af ikke at svare, samt vejledning om reglerne om indsigt i og
berigtigelse af de oplysninger, der vedrører den registrerede, jf.
litra a-c. Opregningen i litra a-c er ikke udtømmende. Der vil
derfor efter omstændighederne kunne påhvile den dataansvarlige en
pligt til at give den registrerede andre oplysninger.
Til stk. 2
Undtagelse fra bestemmelsen i stk. 1 kan efter
bestemmelsen gøres, hvis den registrerede allerede er bekendt med de i
stk. 1, nr. 1-3, anførte oplysninger. I de tilfælde, hvor
den dataansvarlige eller dennes repræsentant er i tvivl herom,
forudsættes det, at der gives den registrerede meddelelse i
overensstemmelse med stk. 1.
Til § 29
Til stk. 1
Bestemmelsen omhandler den situation, at oplysninger ikke
indsamles hos den registrerede selv. Det påhviler efter bestemmelsen
den dataansvarlige eller dennes repræsentant ved registreringen, eller
hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand,
senest når videregivelse af oplysningerne finder sted, at give den
registrerede meddelelse om en række forhold. Den dataansvarlige eller
dennes repræsentant har pligt til af egen drift at meddele den
registrerede de omhandlede oplysninger. Den dataansvarlige er ikke forpligtet
til at give en registreret person de i bestemmelsen nævnte oplysninger
mere end én gang, jf. herved også stk. 2. Hvis den
dataansvarlige løbende indsamler oplysninger om den registrerede, vil
det således være tilstrækkeligt, at der gives underretning
første gang, indsamlingen af oplysninger finder sted. En betingelse
for at undlade at underrette den registrerede hver gang, der indsamles
oplysninger, er dog, at den indsamling, som løbende finder sted, ikke
går ud over rammerne for den meddelelse, som blev givet til den
registrerede i forbindelse med den første indsamling af
oplysninger.
Det, der skal gives den registrerede meddelelse om, er den
dataansvarliges og dennes eventuelle repræsentants identitet samt
formålene med den behandling, hvortil oplysninger er indsamlet, jf.
nr. 1 og 2. For så vidt angår det nærmere indhold af
disse bestemmelser henvises til bemærkningerne til § 28,
stk. 1, nr. 1 og 2.
Der skal endvidere efter nr. 3 gives den
registrerede alle yderligere oplysninger, der, under hensyn til de
særlige omstændigheder hvorunder oplysningerne indsamles, er
nødvendige for, at den registrerede kan varetage sine interesser.
Dette kan bl.a. være oplysninger om typen af oplysninger, som
indsamles, om eventuelle kategorier af modtagere, samt vejledning om reglerne
om indsigt i og berigtigelse af de indsamlede oplysninger, jf. litra
a-c. Opregningen i litra a-c er ikke udtømmende. Der vil derfor
efter omstændighederne kunne påhvile den dataansvarlige en pligt
til at give den registrerede andre oplysninger. Der vil dog ikke være
pligt til at give den registrerede oplysning om, hvilke konkrete oplysninger
der er indsamlet om den pågældende. I de tilfælde, hvor
yderligere oplysninger er nødvendige for, at den registrerede kan
varetage sine interesser, jf. nr. 3, vil det således være
tilstrækkeligt, at der gives den registrerede meddelelse om, hvilken
type af oplysninger der er indsamlet. Hvis den registrerede herefter
ønsker at få nærmere meddelelse om, hvilke konkrete
oplysninger der er indsamlet om den pågældende, kan den
registrerede anmode om indsigt efter reglerne i kapitel 9.
Efter bestemmelsen indtræder den dataansvarliges
oplysningspligt ved registreringen, eller hvor de indsamlede oplysninger er
bestemt til videregivelse til tredjemand, senest når videregivelse af
oplysningerne finder sted. Kun i de tilfælde, hvor de indsamlede
oplysninger er bestemt til videregivelse til tredjemand, vil den
dataansvarlige kunne vente med at opfylde oplysningspligten. Det må
således på tidspunktet for indsamlingen være klart, at
oplysningerne skal videregives til tredjemand. Det er endvidere en
betingelse, at videregivelsen skal ske inden for en forholdsvis snæver
periode. Oplysningspligten indtræder i givet fald, når
videregivelsen til tredjemand første gang finder sted. Der
gælder ikke noget krav om, at meddelelse skal gives skriftligt. Den
dataansvarlige vil dog i tilfælde af uenighed om, hvorvidt
fornøden underretning er givet til den registrerede, skulle kunne
dokumentere, at dette er tilfældet. Underretning bør derfor
gives skriftligt og på en tydelig måde.
Til stk. 2
Bestemmelsen i stk. 1 om oplysningspligt gælder
efter stk. 2 ikke, hvis den registrerede allerede er bekendt med de i
stk. 1, nr. 1-3, nævnte oplysninger. Det vil ofte være
vanskeligt for den dataansvarlige i praksis at afgøre, hvorvidt den
registrerede allerede er bekendt med de yderligere oplysninger, som den
dataansvarlige efter omstændighederne er forpligtet til at meddele i
henhold til bestemmelsen i stk. 1, nr. 3. I de tilfælde hvor den
dataansvarlige eller dennes repræsentant er i tvivl herom,
forudsættes det, at der gives den registrerede meddelelse i
overensstemmelse med stk. 1.
Af bestemmelsen følger endvidere, at
oplysningspligten i stk. 1 ikke gælder, hvis registreringen eller
videregivelsen er udtrykkeligt fastsat ved lov eller bestemmelser fastsat i
henhold til lov. Pligten eller retten til at registrere eller videregive
oplysninger kan for det første følge af lov i formel forstand.
Dette vil bl.a. være tilfældet for så vidt angår
reglerne i arkivloven og lov om Danmarks Statistik. Endvidere vil pligten
eller retten til at registrere eller videregive oplysninger kunne
følge af administrative retsforskrifter såsom anordninger og
bekendtgørelser. Det skal være udtrykkeligt fastsat, at der kan
eller skal ske registrering eller videregivelse af oplysninger.
Til stk. 3
Efter bestemmelsen gælder oplysningspligten i
stk. 1 heller ikke, hvis underretning af den registrerede viser sig
umulig eller er uforholdsmæssig vanskelig. Med udtrykket
uforholdsmæssig vanskelig fastsættes det, at der gælder et
proportionalitetsprincip ved vurderingen af, om meddelelse, som foreskrevet i
stk. 1, skal gives. Der skal ske en afvejning af på den ene side
betydningen af en sådan underretning for den registrerede, og på
den anden side den arbejdsindsats hos den dataansvarlige, der vil være
forbundet med en sådan underretning. I hvilket omfang, underretning af
registrerede personer er uforholdsmæssig vanskelig eller endog umulig,
skal afgøres i den enkelte situation. Der skal i den forbindelse bl.a.
lægges vægt på antallet af registrerede, oplysningernes
alder, samt de kompensatoriske foranstaltninger, f.eks. offentlige
oplysningskampagner, der eventuelt måtte blive truffet af den
dataansvarlige. Endvidere må det tillægges betydning, hvor
betydelige de interesser er, af hensyn til hvilke oplysningerne behandles, og
hvor indgribende det er for den enkelte, at der foretages behandling af
oplysninger om vedkommende.
Det kan bl.a. nævnes, at det ud fra en
proportionalitetsbetragtning normalt vil være uforholdsmæssigt
vanskeligt for f.eks. dataansvarlige domstole at underrette bipersoner
(personer, som kun er bipersoner i behandlingen) om, at der indsamles
oplysninger om dem i forbindelse med behandlingen af en civil retssag.
Det forudsættes endvidere, at der efter bestemmelsen
kun i særdeles begrænset omfang vil påhvile dataansvarlige,
der foretager behandling af oplysninger i statistisk øjemed eller til
historiske eller videnskabelige forskningsformål, en oplysningspligt
over for de registrerede personer. Det samme forudsættes med hensyn til
den behandling af oplysninger, som sker i retsinformationssystemer. Der
henvises til betænkningen, side 298-300.
Til § 30
I bestemmelsen er fastsat regler om, i hvilket omfang den
dataansvarlige kan gøre undtagelse fra den oplysningspligt, som
følger af § 28, stk. 1, og § 29, stk. 1.
Bestemmelsen har kun betydning, hvis underretning af den registrerede ikke
kan undlades efter undtagelsesbestemmelserne i § 28, stk. 2, og
§ 29, stk. 2 og 3.
Efter bestemmelsen i stk. 1 kan undtagelse fra
bestemmelserne i § 28, stk. 1, og § 29, stk. 1,
gøres, hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for afgørende hensyn til private
interesser, herunder hensynet til den pågældende selv.
Indskrænkningen i den dataansvarliges eller dennes
repræsentants oplysningspligt kan kun ske på baggrund af en
konkret afvejning af de modstående interesser, som er nævnt i
bestemmelsen. Afvejningen må foretages for hver enkelt oplysning for
sig med den virkning, at der, såfremt sådanne hensyn kun
gør sig gældende for en del af de i § 28, stk. 1, og
§ 29, stk. 1, nævnte oplysninger, skal gives den registrerede
meddelelse om de øvrige oplysninger.
I afvejningen indgår som nævnt på den
ene side den registreredes interesse i at få kendskab til de i
§ 28, stk. 1, og § 29, stk. 1, nævnte oplysninger.
Heroverfor står hensynet til private interesser, herunder til den
pågældende selv. De private interesser, som kan beskyttes efter
bestemmelsen, er såvel den dataansvarliges som tredjemands interesser.
Som private interesser, der bl.a. vil kunne begrunde hemmeligholdelse, kan
nævnes forretningshemmeligheder, den professionelle tavshedspligt, som
læger og advokater skal iagttage, retten til at forberede sit eget
forsvar i retssager samt beskyttelse af menneskerettighederne. Der henvises
herved til betænkningen, side 302 f. Med anvendelsen af
udtrykket »afgørende« er det tilkendegivet, at undtagelse fra
oplysningspligten kun kan gøres, hvor der er nærliggende fare
for, at privates interesser vil lide skade af væsentlig betydning.
Efter bestemmelsen i stk. 2 kan undtagelse fra
bestemmelserne i §§ 28, stk. 1, og 29, stk. 1, tillige
gøres, hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for afgørende hensyn til offentlige
interesser, herunder navnlig hensynet til statens sikkerhed, forsvaret, den
offentlige sikkerhed, forebyggelse, efterforskning, afsløring og
retsforfølgning i straffesager eller i forbindelse med brud på
etiske regler for lovregulerede erhverv, væsentlige økonomiske
eller finansielle interesser hos en medlemsstat eller Den Europæiske
Union, herunder valuta-, budget- og skatteanliggender, og kontrol-, tilsyns-,
eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et
led i den offentlige myndighedsudøvelse på de i nr. 3-5
nævnte områder, jf. nærmere reglerne i nr. 1-6.
Bestemmelsen fastsætter - ligesom bestemmelsen i
stk. 1 - at indskrænkning i den dataansvarliges eller dennes
repræsentants oplysningspligt kun kan ske på grundlag af en
konkret afvejning af de modstående interesser, som er nævnt i
bestemmelsen. På baggrund af en sådan afvejning vil undtagelse
kunne gøres, hvis der er nærliggende fare for, at det
offentliges interesser vil lide skade af væsentlig betydning.
Til kapitel 9
Den registreredes indsigtsret
I den gældende registerlovgivning er fastsat
generelle regler om registerindsigt, jf. herved lov om offentlige
myndigheders registre kapitel 4 (§§ 13-15) og lov om private registre
kapitel 2 a (§§ 7 a-e). Specielt for så vidt angår
registreredes ret til indsigt hos kreditoplysningsbureauer henvises til lov
om private registre § 11. Det bemærkes, at særlige regler om
registrerede personers ret til indsigt hos kreditoplysningsbureauer ligeledes
er indsat i lovforslagets kapitel 6 (§ 22). Der henvises nærmere
til bemærkningerne til denne bestemmelse.
Også i direktivets artikel 12, litra a, der skal ses
i sammenhæng med artikel 13, er der fastsat bestemmelser om den
registreredes indsigtsret. For at sikre en korrekt implementering af disse
artikler foreslås det, at der dels foretages visse ændringer i de
gældende regler om registerindsigt, dels indsættes nye
bestemmelser om indsigtsret.
Til § 31
Til stk. 1
I bestemmelsens 1. pkt. fastsættes det, at en
person, der fremsætter begæring herom, skal have meddelelse fra
den dataansvarlige om, hvorvidt der behandles oplysninger om den
pågældende. Bestemmelsen svarer til, hvad der i Registertilsynets
praksis er antaget at følge af den gældende registerlovgivning,
jf. f.eks. Registertilsynets årsberetning 1989, side 42.
Hvis der behandles oplysninger om den begærende,
skal der på en let forståelig måde gives den
pågældende meddelelse om en række forhold, jf.
bestemmelsens 2. pkt., nr. 1-4. Efter nr. 1 skal der gives den registrerede
meddelelse om, hvilke oplysninger om den pågældende der
behandles. De oplysninger, der efter bestemmelsen skal meddeles den
registrerede, er de oplysninger, der behandles på tidspunktet for
begæringen, samt oplysninger der er kommet til i perioden frem til at
begæringen ekspederes. Den registrerede har således ikke krav
på at få oplyst, hvilke oplysninger der tidligere har været
undergivet behandling. Bestemmelsen er dog naturligvis ikke til hinder for,
at sådanne ældre oplysninger meddeles. Endvidere skal der efter
nr. 2 gives meddelelse om behandlingens formål. Heri ligger ikke en
forpligtelse for den dataansvarlige til at meddele, hvad oplysningerne
nøjagtigt vil skulle bruges til. En generel angivelse af, hvad
formålet med behandlingen er, vil være tilstrækkeligt. For
så vidt angår den nærmere rækkevidde af kravet om
formålsangivelse henvises til bemærkningerne til § 28,
stk. 1, nr. 2. Herudover skal der gives meddelelse om kategorierne af
modtagere af oplysningerne, jf. nr. 3. Endelig skal der gives den
registrerede tilgængelig information om, hvorfra de oplysninger, der
behandles, stammer, jf. nr. 4. Denne pligt gælder således kun,
hvis der foreligger oplysning herom. Der påhviler ikke den
dataansvarlige at tilvejebringe og opbevare sådanne oplysninger.
Der stilles ikke særlige formkrav til
begæringen. Den kan således fremsættes mundtligt
såvel som skriftligt. Begæringen skal rettes til den
dataansvarlige eller dennes repræsentant. Såfremt en registreret
person er i tvivl om, hvem der er ansvarlig for de pågældende
behandlinger, vil den pågældende eventuelt kunne rette
henvendelse herom til vedkommende tilsynsmyndighed.
Til stk. 2
Af bestemmelsens 1. pkt. følger, at den
dataansvarlige snarest skal besvare begæringer som nævnt i
stk. 1. Den tid, der vil hengå med at ekspedere en anmodning om
indsigt, vil kunne variere afhængig af, hvilken form for behandling der
er tale om. I mange tilfælde vil den dataansvarlige først kunne
meddele indsigt, når oplysningerne er rekvireret hos en databehandler.
Ekspeditionstidens længde vil endvidere være afhængig af
den tekniske indretning af det system, hvori oplysningerne behandles. Der er
derfor ikke fastsat nogen absolut frist. I stedet er der i bestemmelsens 2.
pkt. indsat en regel, hvorefter en dataansvarlig, hvis det undtagelsesvis
tager længere tid end 4 uger at behandle en begæring om indsigt,
skal underrette den registrerede herom. Underretningen af den registrerede
skal indeholde oplysninger om grunden til, at der ikke kan træffes
afgørelse inden for 4 ugers fristen, samt om, hvornår en
afgørelse vil foreligge.
Til § 32
Til stk. 1
I bestemmelsen fastsættes det, i hvilket omfang den
dataansvarlige kan undlade at give den registrerede ret til indsigt. Af
bestemmelsen følger, at den registrerede ikke har krav på
indsigt, hvis vedkommendes interesse i at få kendskab til oplysninger
findes at burde vige for afgørende hensyn til private interesser,
herunder hensynet til den pågældende selv, jf. henvisningen til
§ 30, stk. 1. Efter en konkret vurdering vil det være muligt
at nægte indsigt i oplysninger, hvis dette vil medføre, at
virksomhedens forretningsgrundlag, forretningspraksis eller know-how derved
vil lide væsentlig skade. Det vil endvidere efter en konkret vurdering
være muligt at nægte indsigt i interne vurderinger af, hvorvidt
virksomheden på basis af foreliggende oplysninger vil indgå et
kontraktforhold, ændre et bestående kontraktforhold, stille
særlige vilkår for fortsættelse, eventuelt helt opsige et
kontraktforhold og lignende tilfælde. På samme måde vil det
efter omstændighederne være muligt at nægte indsigt i
f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt
retssag mod en kunde kan vindes, eller et internt notat i en sag, der
påpeger mulige tegn på, at en kunde har forsøgt at
udøve forsikringssvig over for et forsikringsselskab eller
forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en
lånekontrakt.
Undtagelse kan endvidere gøres af hensyn til
offentlige interesser, herunder navnlig til statens sikkerhed, forsvaret, den
offentlige sikkerhed, forebyggelse, efterforskning, afsløring og
retsforfølgning i straffesager eller i forbindelse med brud på
etiske regler for lovregulerede erhverv, væsentlige økonomiske
eller finansielle interesser hos en medlemsstat eller Den Europæiske
Union, herunder valuta-, budget- og skatteanliggender, og kontrol-, tilsyns-,
eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et
led i den offentlige myndighedsudøvelse på de i nr. 3-5
nævnte områder, jf. henvisningen til § 30, stk. 2.
Indskrænkningen i den registreredes adgang til at
blive gjort bekendt med de i § 31, stk. 1, nævnte oplysninger, kan
efter bestemmelsen kun ske på grundlag af en konkret afvejning af de
modstående interesser. I afvejningen indgår som nævnt
på den ene side den registreredes interesse i at få kendskab til
oplysningerne. Hermed sigtes ikke blot til den registreredes interesse i
kendskab til oplysningerne i forbindelse med overvejelser om indbringelse af
en sag, hvori de indsamlede oplysninger indgår, for domstolene,
højere administrativ myndighed, vedkommende tilsynsmyndighed eller
Folketingets Ombudsmand, men også til den registreredes interesse i at
kunne kontrollere oplysningernes rigtighed med henblik på den
dataansvarliges anvendelse af oplysningerne. På den anden side
indgår i afvejningen afgørende hensyn til private interesser,
herunder hensynet til den pågældende selv, samt hensynet til
offentlige interesser. De private og offentlige interesser, som kan beskyttes
efter bestemmelsen, er såvel den dataansvarliges som tredjemands
interesser. Det bemærkes, at indsigt kun kan nægtes, hvis der er
nærliggende fare for, at privates eller det offentliges interesser vil
lide skade af væsentlig betydning, jf. herved også
bemærkningerne til bestemmelserne i § 30, stk. 1 og 2, hvori
er indsat udtrykket »afgørende«.
Selve afvejningen af de modstående interesser
må foretages for hver enkelt oplysning for sig med den virkning, at den
registrerede, såfremt afgørende hensyn til private eller
offentlige interesser kun gør sig gældende for en del af de
oplysninger, som behandles hos den dataansvarlige, skal gøres bekendt
med de øvrige oplysninger. Der er ikke efter bestemmelsen adgang til
generelt at undtage bestemte former for behandling af oplysninger fra
indsigtsretten.
Specielt for så vidt angår særlige
tavshedspligtsbestemmelser, der bygger på en række EF-direktiver,
f.eks. vedrørende finansielt tilsyn, henvises til
betænkningen, side 309.
Til stk. 2
I bestemmelsen er fastsat, at oplysninger, der behandles
for den offentlige forvaltning som led i administrativ sagsbehandling, kan
undtages i samme omfang fra indsigtsretten som efter reglerne i
offentlighedslovens § 2 samt §§ 7-11 og 14.
Bestemmelsen er indsat for at sikre, at
forvaltningsmyndigheders behandling af oplysninger kan undtages fra den
registreredes ret til indsigt i samme udstrækning som efter
offentlighedslovens regler om egenacces, jf. lovens § 4,
stk. 2.
Om baggrunden herfor henvises til
betænkningen, side 160-164.
Det forudsættes, at bestemmelsen også kan
anvendes på myndigheder, som ikke er undergivet offentlighedsloven,
når disse myndigheder udfører administrativ sagsbehandling.
Bestemmelsen omfatter således også f.eks. Post Danmark.
Det forudsættes endvidere, at bestemmelsen
også kan anvendes på Procesbevillingsnævnet, uanset at
dette er et uafhængigt nævn, der virker i nær tilknytning
til domstolssystemet.
Til stk. 3
Af bestemmelsens 1. pkt. følger, at der ikke er ret
til indsigt i oplysninger, der behandles for domstolene, hvis oplysningerne
indgår i tekst, som ikke foreligger i endelig form. Dette gælder
dog ikke, hvis oplysningerne er videregivet til en tredjemand, jf. 2.
pkt.
Udtrykket oplysningerne indgår i tekst, som ikke
foreligger i endelig form tager sigte på den situation, at de
oplysninger, som der begæres indsigt i, er under bearbejdning i form
af, at oplysningerne indgår i et udkast m.v. Dette vil bl.a. kunne
være et udkast til dom eller kendelse. Også udkast til retsbog og
lignende vil være omfattet af udtrykket. Det bemærkes i den
forbindelse, at domme først vil foreligge i endelig form, når de
er afsagt i et offentligt retsmøde. Også oplysninger i tekst,
der er under udarbejdelse i forbindelse med domstolenes udøvelse af
administrativ virksomhed, vil kunne undtages fra indsigtsretten. Dette
gælder dog som nævnt ikke, hvis oplysningerne er videregivet til
en tredjemand. For så vidt angår betydningen af begrebet
tredjemand henvises til § 3, nr. 6. Det bemærkes, at der
selvsagt ikke efter § 32, stk. 3, vil være tale om
videregivelse til tredjemand, når flere dommere deltager i en sags
behandling og i den forbindelse forelægger hinanden udkast til domme
m.v.
Af bestemmelsens 3. pkt. følger, at
registrerede personer ikke har ret til indsigt (egenacces) i oplysninger i
voteringsprotokoller og andre referater af domstolenes rådslagning samt
materiale udarbejdet af domstolene til brug for rådslagningen. Med
bestemmelsen sikres det, at der ligesom efter den nuværende
retstilstand ikke er ret til indsigt i domstolenes voteringsprotokoller og
andet materiale, der afspejler rådslagningen i domstolenes civile
sager. Efter bestemmelsen vil der heller ikke være ret til indsigt i
det materiale, som udarbejdes alene med det formål at danne grundlag
for selve rådslagningen, f.eks. de referater i skriftligt behandlede
civile sager i Højesteret, som udarbejdes af en
dommerfuldmægtig, og som danner grundlag for voteringen. Udtrykket
»materiale udarbejdet af domstolene til brug for rådslagningen«
omfatter derimod f.eks. ikke processkrifter i civile sager, idet disse ikke
udarbejdes af domstolene. Uden for udtrykket falder endvidere
retsbøger med vidneforklaringer m.v. Dette skyldes, at sådant
materiale, der udarbejdes af domstolene, og som for så vidt anvendes i
forbindelse med rådslagningen, ikke udarbejdes alene med henblik
herpå.
De begrænsninger i retten til indsigt, som
følger af den foreslåede bestemmelse, gælder, uanset om
der efter de herom gældende retningslinier gives tilladelse til
tredjemand til at foretage gennemsyn af voteringsprotokoller m.v. til brug
for det praktiske retsliv eller faglitterær virksomhed.
Det bemærkes, at lovforslagets regler om den
registreredes indsigtsret ikke finder anvendelse på behandlinger, der
foretages for domstolene inden for det strafferetlige område, jf.
lovforslagets § 2, stk. 4, 1. pkt. Der er derfor ikke behov for at lade den
foreslåede bestemmelse gælde for domstolenes behandling af
straffesager.
Med hensyn til rækkevidden af den registreredes ret
til indsigt i behandlinger, der foretages for domstolene, henvises i
øvrigt til betænkningen, side 312-314.
Til stk. 4
Bestemmelsen fastsætter, at visse særlige
typer af behandling af oplysninger ikke er undergivet den registreredes
indsigtsret.
Efter bestemmelsen er der ikke ret til indsigt i
oplysninger, der udelukkende behandles med videnskabelig forskning for
øje. Bestemmelsen er udtryk for en nyskabelse i forhold til den
gældende regulering af offentlige forskningsprojekter, hvorimod reglen
svarer til den gældende regulering af private forskningsprojekter.
Også behandling af personoplysninger i statistisk
øjemed er efter bestemmelsen undtaget fra retten til indsigt. En
betingelse herfor er dog, at oplysningerne kun opbevares i form af
personoplysninger i det tidsrum, som kræves for at udarbejde
statistikker. Bestemmelsen viderefører den gældende
retstilstand.
Om baggrunden for de foreslåede regler henvises til
betænkningen, side 315-317 og 485 f.
Til stk. 5
Efter bestemmelsen kan justitsministeren for så vidt
angår behandling af oplysninger på det strafferetlige
område, der foretages for den offentlige forvaltning, fastsætte
undtagelser fra retten til indsigt, hvis de hensyn, der er nævnt i
stk. 1, jf. § 30, stk. 1 og 2, må antages at
medføre, at begæringer om ret til indsigt i almindelighed
må afslås. Bestemmelsen vil hermed være udtryk for en
delvis videreførelse af den gældende bestemmelse i lov om
offentlige myndigheders registre § 13, stk. 5, 2. pkt. Bestemmelsen
vil bl.a. muliggøre, at politiets efterforsknings- og
afgørelsesregistre i Det Centrale Kriminalregister fortsat vil kunne
undtages fra den registreredes ret til indsigt.
Til § 33
Af bestemmelsen følger, at en registreret person,
der har fået meddelelse efter § 31, stk. 1, ikke har krav
på ny meddelelse før 6 måneder efter sidste meddelelse,
medmindre der godtgøres en særlig interesse heri.
Den foreslåede bestemmelse svarer i det
væsentlige til, hvad der følger af den gældende
registerlovgivning, jf. herved reglerne i lov om offentlige myndigheders
registre § 13, stk. 6, og lov om private registre § 7 a,
stk. 3. Bestemmelsen er således alene udtryk for ændringer i
den 12 måneders-regel, som fremgår af bestemmelsen i lov om
private registre § 7 a, stk. 3.
Om baggrunden for bestemmelsen henvises til
betænkningen, side 306 og 486 f.
Til § 34
Til stk. 1
I bestemmelsen foreskrives det, at indsigt efter
§ 31, stk. 1, som udgangspunkt skal gives skriftligt, hvis den
registrerede anmoder herom. Kravet om skriftlighed indebærer, at
oplysningerne skal fremtræde i en sådan form, at de kan
læses umiddelbart og uden brug af tekniske hjælpemidler. I de
tilfælde, hvor hensynet til den registrerede taler derfor, kan
meddelelse af indsigt ske i form af mundtlig underretning om indholdet af
oplysningerne. Dette vil bl.a. kunne være tilfældet med hensyn
til oplysninger om den registreredes helbredsforhold.
Den foreslåede bestemmelse svarer til, hvad der er
fastsat i den gældende registerlovgivning, jf. lov om offentlige
myndigheders registre § 14 og lov om private registre § 7 b,
stk. 2 og 3.
Til stk. 2
I bestemmelsen er fastsat, at justitsministeren kan
fastsætte regler om, at den registrerede skal betale for meddelelser,
som gives skriftligt af private virksomheder m.v. Bestemmelsen er udtryk for
en videreførelse af, hvad der gælder efter lov om private
registre § 7 b, stk. 3.
Ved lovens ikrafttræden er det hensigten at udstede
en bekendtgørelse om betaling for private dataansvarliges skriftlige
meddelelser om indsigt. Dette vil ske med udgangspunkt i
bekendtgørelse nr. 123 af 11. marts 1988 om betaling for skriftlige
meddelelser om indholdet af private edb-registre. Heri er bl.a. fastsat, at
gebyret udgør 10 kr. for hver påbegyndt side. Betalingen kan dog
ikke overstige 200 kr. I den private sektor vil der således også
fremover kunne kræves et ekspeditionsgebyr for skriftlig meddelelse af
indsigt.
Til kapitel 10
Øvrige rettigheder
I kapitlet fastsættes bestemmelser, der hjemler den
registrerede en række yderligere rettigheder end, dem der følger
af reglerne i kapitel 8 og 9.
I §§ 35, 36 og 39 fastsættes regler om den
registreredes indsigelsesret. § 37 omhandler den registreredes krav
på berigtigelse, sletning og blokering samt underretning af tredjemand
herom. Bestemmelserne, der skal sikre en korrekt implementering af
direktivets artikel 12, litra a, 3. pind, litra b og c, og artikel 14 og 15,
er i det væsentlige udtryk for nyskabelser i forhold til den
gældende registerlovgivning. Med bestemmelserne tillægges der
således den registrerede en række nye rettigheder. Endelig er der
i §§ 38 og 40 fastsat regler om tilbagekaldelse af samtykke og om den
registreredes ret til at klage til vedkommende tilsynsmyndighed over
behandlingen af oplysninger om den pågældende.
Til § 35
Af bestemmelsens stk. 1 følger, at den
registrerede til enhver tid over for den dataansvarlige kan gøre
indsigelse mod, at oplysninger om vedkommende gøres til genstand for
behandling. Bestemmelsen i stk. 1 regulerer ikke, hvornår den
dataansvarlige skal efterkomme indsigelsen, idet dette spørgsmål
må afgøres på baggrund af bestemmelsen i stk. 2.
Af stk. 2 følger, at den dataansvarlige skal
ophøre med at behandle oplysninger om den registrerede, hvis den
registreredes indsigelse efter stk. 1 er berettiget.
En indsigelse vil naturligvis være berettiget, hvis
behandlingen ikke er lovlig. I sådanne tilfælde skal den
dataansvarlige i øvrigt ophøre med behandlingen, uanset om der
gøres indsigelse herimod, jf. § 5, stk. 4, 2. pkt.
Bestemmelsen indebærer imidlertid også, at den
datansvarlige hvis der gøres indsigelse efter
omstændighederne skal ophøre med en behandling, som i
øvrigt er lovlig.
En indsigelse vil efter bestemmelsen være
berettiget, hvis vægtige grunde, der vedrører den registreredes
særlige situation, tager for, at indsigelsen skal imødekommes.
Der skal således i almindelighed foretages en konkret vurdering i den
enkelte situation. Den registrerede skal dog anføre tungtvejende
grunde til støtte for, at behandling ikke må finde sted.
I en række tilfælde forudsættes det, at
indsigelsen ikke skal tages til følge. Det gælder bl.a.
tilfælde, hvor behandlingen af oplysninger om den registrerede sker i
statistisk eller videnskabeligt øjemed eller er foreskrevet i
lovgivningen. Som eksempel herpå kan nævnes domstolenes
behandling af oplysninger i forbindelse med udøvelse af judiciel
virksomhed efter reglerne i retsplejeloven.
Det er den dataansvarlige, som træffer
afgørelse om berettigelsen af den registreredes indsigelse, og
afgørelsen vil kunne indbringes for vedkommende tilsynsmyndighed, jf.
§ 40, § 58, stk. 1, og § 67.
Det skal i den forbindelse bemærkes, at den
indsigelsesret, der efter stk. 1 tilkommer den registrerede, har den
virkning, at en forvaltningsmyndigheds beslutning om, hvorvidt indsigelsen
skal imødekommes, har karakter af en »afgørelse« efter
forvaltningsloven. Det indebærer, at den pågældende
myndighed skal overholde forvaltningslovens regler om begrundelse,
klagevejledning m.v.
Til § 36
Efter bestemmelsen i lovforslagets § 6, stk. 2, må
virksomheder ikke videregive oplysninger om forbrugere til andre virksomheder
til brug ved markedsføring, medmindre forbrugeren har givet sit
udtrykkelige samtykke hertil. Videregivelsen kan dog ske uden samtykke, hvis
der er tale om generelle kundeoplysninger, der danner grundlag for inddeling
i kundekategorier, og betingelserne i § 6, stk. 1, nr. 7, opfyldt, jf.
lovforslagets § 6, stk. 3.
I de tilfælde, hvor videregivelse efter reglerne i
lovforslagets § 6, stk. 2-4, kan ske uden kundens samtykke, skal virksomheden
(den dataansvarlige) iagttage proceduren i lovforslagets § 36.
Det betyder, at virksomheden ikke må videregive
oplysninger om en kunde til andre virksomheder med henblik på
markedsføring, hvis kunden har gjort indsigelse herimod.
Har kunden ikke gjort indsigelse direkte over for
virksomheden, skal virksomheden - hver gang den ønsker at videregive
kundeoplysninger til andre virksomheder brug ved markedsføring -
tjekke i CPR, om kunden har frabedt sig henvendelser i
markedsføringsøjemed. I bekræftende fald må
oplysningerne ikke videregives til dette formål.
For så vidt angår den kunde, der ikke i CPR
har frabedt sig henvendelser i markedsføringsøjemed, skal
virksomheden endvidere - inden oplysningerne videregives - give kunden
tydelig og forståelig meddelelse om indsigelsesretten. Virksomheden
skal i den forbindelse give kunden en nem adgang til inden for en frist
på to uger at gøre indsigelse mod, at videregivelse finder sted.
Videregivelse må ikke finde sted, før det er konstateret, at
forbrugeren ikke har gjort indsigelse inden udløbet af fristen
på 2 uger.
Reglerne gælder også i den situation, hvor
oplysningerne anvendes på vegne af en anden virksomhed med henblik
på markedsføring.
Til stk. 1
Efter bestemmelsen i stk. 1 har en forbruger ret til at
gøre indsigelse mod, at oplysninger om den pågældende
videregives til en anden virksomhed med henblik på markedsføring
eller anvendes på vegne af en anden virksomhed i dette øjemed.
Indsigelse kan rettes direkte til den dataansvarlige
virksomhed eller foretages ved, at forbrugeren i CPR frabeder sig sig
sådanne henvendelser, jf. herom bestemmelsens stk. 2.
En forbruger kan fremsætte indsigelse direkte over
for den dataansvarlige virksomhed på et hvilket som helst tidspunkt.
Indsigelsen kan omfatte al videregivelse eller begrænses til
videregivelse til bestemte andre virksomheder. Der er ingen formkrav til
indsigelsen, og denne kan derfor fremsættes mundtligt såvel som
skriftligt eller eventuelt via elektronisk post.
Til stk. 2
Bestemmelsen beskriver den fremgangsmåde, som den
dataansvarlige virksomhed skal følge for at sikre sig, at forbrugeren
ikke har gjort indsigelse imod, at generelle kundeoplysninger om den
pågældende videregives til en anden virksomhed med henblik
på markedsføring. Fremgangsmåden skal også
følges i tilfælde, hvor den dataansvarlige virksomhed ikke
ønsker at videregive oplysningerne til en anden virksomhed, men
derimod selv at anvende oplysningerne på vegne af en anden virksomhed
med henblik på markedsføring.
Efter bestemmelsens 1. pkt. skal den dataansvarlige
virksomhed undersøge i CPR, om forbrugeren har frabedt sig
henvendelser i markedsføringsøjemed.
Bestemmelsen i 2. pkt. foreskriver den
fremgangsmåde, som den dataansvarlige virksomhed skal følge,
hvis forbrugeren hverken direkte over for den dataansvarlige eller i CPR har
gjort indsigelse mod, at oplysninger om den pågældende
videregives til en anden virksomhed med henblik på markedsføring
eller anvendes på vegne af en anden virksomhed i dette
øjemed.
Det fremgår af bestemmelsen, at den dataansvarlige
virksomhed - inden oplysningerne videregives eller anvendes som nævnt i
1. pkt. - tydeligt og på en forståelig måde skal oplyse
forbrugeren om retten til at gøre indsigelse. Det vil i den
forbindelse ikke vil være tilstrækkeligt at beskrive retten at
gøre indsigelse i de almindelige forretningsbetingelser, som
måtte blive udleveret til den pågældende forbruger.
Den dataansvarlige virksomhed skal give forbrugeren adgang
til på en nem måde inden to uger at gøre sådan
indsigelse. Det kan f.eks. ske ved, at virksomheden medsender en kupon, hvor
der kan krydses »nej« til videregivelsen/anvendelsen. Virksomheden må
naturligvis ikke videregive oplysningerne, inden fristen er
udløbet.
Til stk. 3
Bestemmelsen regulerer spørgsmålet om,
hvilken procedure den dataansvarlige virksomhed skal følge, hvis
virksomheden alene er bekendt med forbrugerens e-post adresse.
Oplysninger om e-post adresser registreres ikke i CPR, og
den dataansvarlige virksomhed vil derfor ikke i sådanne situationer
kunne tjekke i CPR, om forbrugeren ved markering i CPR har frabedt sig
henvendelser i markedsføringsøjemed, herunder gjort indsigelse
mod, at oplysninger om den pågældende videregives til brug ved
markedsføring. Bestemmelsen i stk. 3 fastsætter derfor, at
dataansvarlige i stedet skal følge den procedure, der er fastlagt i
stk. 2, 2.-4. pkt., over for alle de omhandlede forbrugere.
Kravet om, at forbrugeren skal have en nem adgang til at
modsætte sig videregivelsen (eller anvendelsen af oplysningerne
på vegne af andre virksomheder) kan i sådanne situationer f.eks.
opfyldes ved, at den dataansvarlige virksomheds elektroniske post til
forbrugeren om indsigelsesretten forsynes med en nem adgang for forbrugeren
til at "klikke nej" til videregivelsen/anvendelsen.
Til stk. 4
Af bestemmelsen i stk. 4 følger, at henvendelse til
forbrugeren efter stk. 2 og 3 skal ske i overensstemmelse med de
foreslåede regler i markedsføringslovens § 6 a og regler udstedt
i medfør af markedsføringslovens § 6 a, stk. 7.
Disse regler vil bl.a. indeholde et forbud mod, at den
dataansvarlige retter henvendelse til forbrugeren ved brug af telefax,
medmindre den pågældende forudgående har anmodet om det.
Det bemærkes herved, at et sådant forbud følger af
såvel fjernsalgsdirektivet som ISDN-direktivet.
Henvisningen i dette lovforslags § 36, stk. 4, til
markedsføringslovens § 6 a vil derfor bl.a. betyde, at den
dataansvarlige virksomhed kun må anvende telefax til at oplyse om
indsigelsesretten, hvis forbrugeren forudgående har anmodet herom.
Til stk. 5
Bestemmelsen i stk. 5 indeholder et forbud mod, at den
dataansvarlige kræver betaling for at behandle en indsigelse. Forbudet
gælder, uanset om indsigelsen fremsættes i forlængelse af
den dataansvarliges orientering om indsigelsesretten eller på et senere
tidspunkt.
Til § 37
Til stk. 1
Bestemmelsen fastsætter, at den registrerede over
for den dataansvarlige kan kræve, at oplysninger om den
pågældende berigtiges, slettes eller blokeres, hvis oplysningerne
viser sig urigtige eller vildledende eller på lignende måde er
behandlet i strid med lov eller bestemmelser udstedt i medfør af
lov.
En anmodning om berigtigelse, sletning eller blokering
skal komme fra den registrerede eller dennes fuldmægtig. Anmodningen
skal angå oplysninger om den registrerede selv. Den dataansvarlige er
således ikke forpligtet til efter anmodning at foretage berigtigelse
m.v. af oplysninger om andre personer. Dog vil det efter
omstændighederne påhvile den dataansvarlige at undersøge
rigtigheden af sådanne henvendelser, jf. § 5, stk. 4.
Der gælder ikke noget formkrav til den registreredes
anmodninger i henhold til bestemmelsen. Hvis anmodning fremsættes,
påhviler det den dataansvarlige eller dennes repræsentant snarest
muligt at tage stilling til, om begæringen kan imødekommes, og i
givet fald at foretage berigtigelse, sletning eller blokering. Om
oplysninger, der viser sig urigtige eller vildledende eller på lignende
måde er behandlet i strid med lovgivningen, skal berigtiges, slettes
eller blokeres, må afgøres ud fra de konkrete
omstændigheder. I enkelte situationer kan det dog følge af bl.a.
lovgivningen, at en bestemt korrigeringsmetode under nærmere angivne
omstændigheder skal anvendes. Dette er eksempelvis tilfældet for
så vidt angår reglen i retsplejelovens § 221 om, i hvilket
omfang domstolene kan berigtige afgørelser. Det forudsættes, at
sådanne særlige regler går forud for den foreslåede
bestemmelse. Der gælder således ikke en pligt til at foretage
berigtigelse, sletning eller blokering i de tilfælde, hvor andet -
udfra særlige hensyn - er fastsat i lovgivningen i øvrigt. Det
bemærkes, at en sådan ordning er forenelig med direktivets
artikel 12, litra b, jf. herved udtrykket »efter omstændighederne«.
De korrigeringsmetoder, som er indeholdt i bestemmelsen,
svarer i det væsentlige til den gældende registerlovgivning, jf.
herved lov om offentlige myndigheders registre § 11 og lov om private
registre §§ 5 og 6. Korrigeringsmetoden blokering er dog udtryk
for en nyskabelse. Blokering af oplysninger indebærer, at det fortsat
er tilladt at opbevare indsamlede oplysninger, hvorimod det ikke er tilladt
at behandle og bruge oplysninger, herunder navnlig videregive dem til
tredjemand. Oplysninger, som er blokeret, skal derfor være forsynet med
en sådan markering, at en bruger informeres om blokeringen. Det
forhold, at behandlede oplysninger er blokeret, er ikke til hinder for, at
dataansvarlige foretager den behandling af oplysninger, som er
nødvendig for, at den dataansvarlige kan opfylde en oplysningspligt,
som påhviler denne, f.eks. efter lovgivningen. Således vil den
omstændighed, at oplysninger er blokeret, ikke være til hinder
for, at en forvaltningsmyndighed i medfør af reglerne i
forvaltningsloven og offentlighedsloven meddeler tredjemand aktindsigt i de
blokerede oplysninger. I givet fald forudsættes det, at tredjemand
informeres om, at der er tale om oplysninger, som er blokeret, og om, hvorfor
dette er sket.
Der henvises i øvrigt til
betænkningen, side 320- 323.
Til stk. 2
Efter bestemmelsen kan den registrerede kræve, at
den dataansvarlige underretter den tredjemand, hvortil oplysningerne er
videregivet om, at de videregivne oplysninger er berigtiget, slettet eller
blokeret i henhold til bestemmelsen i stk. 1.
En anmodning om underretning af tredjemand skal komme fra
den registrerede eller dennes fuldmægtig. Anmodningen, der kan
fremsættes formløst, skal angå oplysninger om den
registrerede selv. Den dataansvarlige er således ikke forpligtet til
efter anmodning at foretage underretning af tredjemand, hvis der er tale om
behandling af oplysninger om andre personer. Hvis anmodning fremsættes,
påhviler det den dataansvarlige eller dennes repræsentant snarest
muligt at tage stilling til, om begæringen kan imødekommes og i
givet fald at underrette de tredjemænd, hvortil oplysninger om den
registrerede er videregivet. Der gælder ikke formkrav til den
dataansvarliges underretning. Derimod stilles der krav om, at det i
underretningen angives, hvilken korrigeringsmetode den dataansvarlige har
anvendt for at imødekomme en berettiget anmodning fra den
registrerede, jf. stk. 1. Heri ligger endvidere, at der skal gives tredjemand
underretning om anledningen til, at berigtigelse, sletning eller blokering
har fundet sted. I de tilfælde, hvor der er sket en berigtigelse af
f.eks. urigtige eller vildledende oplysninger, vil det oftest være
nødvendigt, at underretningen omfatter såvel de tidligere
afgivne, fejlagtige oplysninger som de nye, rigtige oplysninger. Hvis
eksempelvis der er tale om, at de videregivne oplysninger er fejlagtige med
hensyn til den oplysning, som modtageren anvender som
søgenøgle, f.eks. navn eller personnummer, er det således
nødvendigt, at også den oprindelige - fejlagtige - oplysning
angives, hvorved modtageren af underretningen i praksis kan foretage
berigtigelse m.v. af oplysningerne.
Fra den foreslåede bestemmelse kan der gøres
undtagelse, hvis underretning af de tredjemænd, hvortil oplysningerne
er videregivet, er umulig eller uforholdsmæssigt vanskelig. Der
henvises herom til bemærkningerne til § 29, stk. 3.
Til § 38
Bestemmelsen indebærer, at den registrerede kan
tilbagekalde et samtykke. Dette kan ske på hvilket som helst
tidspunkt.
Et samtykke kan ikke tilbagekaldes med »tilbagevirkende
kraft«. Virkningen heraf vil derfor være, at den behandling af
oplysninger, som den registrerede har meddelt sit samtykke til, normalt ikke
må finde sted fremover. Det må afgøres ud fra en konkret
vurdering, om oplysningerne i så fald skal slettes eller blokeres, jf.
lovforslagets § 37 og bemærkningerne hertil.
Spørgsmålet kan påklages til tilsynsmyndigheden
(Datatilsynet).
Til § 39
Bestemmelsen i stk. 1 fastsætter, at den
registrerede kan gøre indsigelse mod, at den dataansvarlige
foranstalter, at den pågældende undergives visse edb-behandlede
individuelle afgørelser.
Der skal være tale om afgørelser, der kan
gøres gældende over for den registrerede, og som har
konsekvenser for den pågældende. Den omstændighed, at der
f.eks. udsendes materiale af oplysende karakter til en række personer,
der står opført på en edb-liste, vil ikke udgøre en
afgørelse i den foreslåede bestemmelses forstand. Der skal
endvidere være tale om afgørelser, der alene er truffet på
grundlag af en edb-behandling. Bestemmelsen omhandler dermed kun den
situation, at der uden videre gøres brug af resultater, som et
edb-system leverer. Edb må således efter bestemmelsen være
en hjælp ved beslutningstagningen, hvorimod edb-behandling af
oplysningerne ikke må udgøre det eneste grundlag for en
beslutning, hvor den menneskelige vurdering bør spille ind. Som
eksempel herpå kan anføres, at en arbejdsgiver ikke må
afvise en jobansøger på grundlag af resultatet af en
psykoteknisk prøve, der alene behandles på edb, eller på
baggrund af lister, som er udarbejdet under anvendelse af
vurderingsprogrammel, og som på grundlag af en personlighedstest af
jobansøgerne indeholder en bedømmelse af de
pågældende, herunder en opstilling af dem i rangorden. Endelig
skal der være tale om edb-behandling af oplysninger, der er bestemt til
at vurdere bestemte personlige forhold. Dette kan f.eks. være
oplysninger om en persons erhvervsevne, kreditværdighed,
pålidelighed, adfærd m.v. Omfattet af bestemmelsen er
behandlinger, hvorved der gøres brug af variabler, der
fastsætter en typisk personlighedsprofil. Den omstændighed, at en
person f.eks. ikke kan hæve et ønsket beløb i en
pengeautomat, fordi der ikke er dækning for beløbet, falder uden
for bestemmelsen. Tilsvarende gælder for så vidt angår
told- og skattemyndighedernes edb-automatiserede ligningsarbejde.
I stk. 2 fastsættes undtagelser fra den
registreredes indsigelsesret efter stk. 1. Indsigelsesretten
gælder ikke, hvis den pågældende afgørelse
træffes som led i indgåelsen eller opfyldelsen af en kontrakt,
såfremt den registreredes anmodning om indgåelse eller opfyldelse
af kontrakten er blevet efterkommet, eller der findes passende
foranstaltninger til at beskytte den registreredes berettigede interesser,
jf. nr. 1. Passende foranstaltninger vil bl.a. kunne følge af
en lov, af anmeldelsesprocedurerne eller af interne foranstaltninger truffet
af den dataansvarlige. Hvis den pågældende afgørelse er
hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den
registreredes berettigede interesser, gælder indsigelsesretten heller
ikke, jf. nr. 2.
Efter bestemmelsen i stk. 3 har den
registrerede ret til hos den dataansvarlige snarest muligt og uden ugrundet
ophold at få at vide, hvilke beslutningsregler der ligger bag en
afgørelse som nævnt i stk. 1. En betingelse for, at den
registrerede har ret til den i bestemmelsen angivne information, er, at der
over for den pågældende er truffet en edb-baseret
afgørelse, som omhandlet i stk. 1. I givet fald påhviler
det den dataansvarlige at oplyse den registrerede om, hvorledes det
edb-system, som har været anvendt til behandlingen af oplysningerne, er
nået frem til afgørelsen. Den registreredes ret efter
bestemmelsen fører dog ikke til, at den dataansvarlige er forpligtet
til at udlevere oplysninger, som må anses for at være
forretningshemmeligheder, eller som er beskyttet efter den immaterielle
lovgivning, herunder ophavsretsloven, jf. henvisningen til § 30.
Til § 40
Af bestemmelsen fremgår, at den registrerede kan
klage til vedkommende tilsynsmyndighed over behandling af personoplysninger
vedrørende den pågældende.
Bestemmelsen har alene informativ karakter. Hvilken
tilsynsmyndighed der er kompetent, og hvilke regler der gælder for
dennes virksomhed, må afgøres efter bestemmelserne i lovens
kapitel 16 og 17.
Til kapitel 11
Behandlingssikkerhed
Lovens kapitel 11 indeholder bestemmelser, som tager sigte
på at øge sikkerheden for, at oplysninger alene undergives
behandling i overensstemmelse med den dataansvarliges (lovlige) intentioner
herom.
Bestemmelserne afløser reglerne i den
gældende lov om offentlige myndigheders registre § 12 samt lov om
private registre § 6, stk. 4.
Til § 41
Til stk. 1
Bestemmelsens stk. 1 har sin baggrund i direktivets
artikel 16. Der er ikke en tilsvarende bestemmelse i den gældende
registerlovgivning. Efter bestemmelsen må en person, en virksomhed
eller lignende, der udfører en behandling af oplysninger under den
dataansvarlige, kun behandle de oplysninger, som vedkommende herigennem
får adgang til, i overensstemmelse med instruks fra den dataansvarlige.
Bestemmelsen gælder også for en eventuel databehandler. Der er
ikke særlige formkrav til instrukserne. En instruks kan efter
omstændighederne følge af en bestemt stillingsbetegnelse eller
af det forhold, at den dataansvarlige autoriserer en ansat eller andre til at
have adgang til bestemte oplysninger. Kravet om, at vedkommende person m.v.
kun må behandle oplysninger i overensstemmelse med instruks fra den
dataansvarlige, indebærer bl.a., at personen m.v. ikke må
behandle oplysninger til andre formål end dem, som den dataansvarlige
har fastsat - herunder til egne formål - samt at vedkommende ikke
må behandle oplysninger efter instruks fra andre end den
dataansvarlige. Dette gælder imidlertid ikke, hvis andet følger
af lovgivningen.
Til stk. 2
Af stk. 2 fremgår, at den i stk. 1 omtalte
instruks ikke må begrænse den journalistiske frihed eller
være til hinder for tilvejebringelsen af et kunstnerisk eller
litterært produkt. Instruksen skal selvsagt også være
lovlig efter de øvrige bestemmelser i denne lov og anden
lovgivning.
Til stk. 3
Bestemmelsens 1. pkt. fastsætter, at den
dataansvarlige skal træffe de fornødne tekniske og
organisatoriske sikkerhedsforanstaltninger mod, at oplysninger
hændeligt eller ulovligt tilintetgøres, fortabes eller forringes
samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med loven. Disse overordnede krav til den
dataansvarliges behandlingssikkerhed svarer til reglerne i lov om offentlige
myndigheders registre § 12, stk. 1 og 2, og lov om private registre
§ 6, stk. 4, men er dog udvidet i overensstemmelse med direktivets
artikel 17, stk. 1, 1. afsnit. Det forudsættes, at
foranstaltningerne under hensyn til det aktuelle tekniske niveau og de
omkostninger, som er forbundet med deres iværksættelse, vil
tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de
risici, som behandlingen indebærer, og arten af de oplysninger, som
skal beskyttes, jf. direktivets artikel 17, stk. 1, 2. afsnit.
I øvrigt må det i overensstemmelse med
direktivets præambel, betragtning 10, sikres, at gennemførelsen
af direktivet ikke medfører en forringelse af den beskyttelse, som den
eksisterende lovgivning yder.
Iværksættelsen af de fornødne
sikkerhedsforanstaltninger er særligt påkrævet, hvis
behandlingen omfatter fremsendelser af oplysninger i et net, jf. herved
direktivets artikel 17, stk. 1, 1. afsnit.
Af bestemmelsens 2. pkt. følger, at pligten
til at træffe fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger tilsvarende gælder for databehandlere. Dette
gælder, uanset om der er tale om en databehandler, der foretager
behandling af oplysninger for en dataansvarlig, der er etableret i eller uden
for Danmark, herunder i en anden medlemsstat. Hvis databehandleren
udøver sin virksomhed på dansk område, gælder reglen
om behandlingssikkerhed.
Til stk. 4
Af bestemmelsen følger, at der med hensyn til
oplysninger, som behandles for den offentlige forvaltning, og som er af
særlig interesse for fremmede magter, skal træffes
foranstaltninger, der muliggør bortskaffelse eller
tilintetgørelse i tilfælde af krig eller lignende forhold.
Bestemmelsen, som svarer til, hvad der følger af lov om offentlige
myndigheders registre § 12, stk. 3, omfatter behandlinger af
oplysninger, som en besættelsesmagt eller en magt, der har erobret en
del af landet, vil have særlig interesse i bl.a. for dermed hurtigt og
effektivt at kunne overtage den almindelige administration. Derfor vil
navnlig de større landsdækkende administrative systemer, som
f.eks. Det Centrale Personregister (CPR) og centrale skattesystemer,
være omfattet af bestemmelsen. Det samme gælder specialregistre,
som kan benyttes til at finde frem til bestemte personer, som den fremmede
magt - f.eks. på grund af de pågældendes særlige
uddannelse - ønsker at disponere over. På samme måde vil
en fremmed magt kunne have særlig interesse i at få adgang til
edb-systemer m.v. med oplysninger om større
lastmotorkøretøjer. Datatilsynet vil kunne henlede
opmærksomheden på behovet for særlige foranstaltninger,
hvis tilsynet bliver bekendt med, at en behandling som nævnt ovenfor
finder sted.
Reglen indebærer ikke, at de omtalte oplysninger
nødvendigvis skal bortskaffes eller destrueres i tilfælde af
krig eller lignende forhold. Bestemmelsen sikrer blot, at der lovligt vil
kunne træffes beslutning om destruktion m.v., hvis det skulle vise sig
nødvendigt. Det påhviler den dataansvarlige at træffe de
foranstaltninger, som muliggør destruktion m.v.
Til stk. 5
Reglen, hvorefter justitsministeren kan fastsætte
nærmere regler om sikkerhedsforanstaltninger, findes ikke i den
gældende lovgivning.
Ved fastsættelsen af reglerne forudsættes det,
at der foretages en afvejning af det aktuelle tekniske niveau og
omkostningerne i forbindelse med iværksættelsen af
sikkerhedsforanstaltningerne på den ene side, og de risici, som
behandlingen indebærer, og arten af de oplysninger, der behandles,
på den anden side, jf. ovenfor under bemærkningerne til
stk. 1. Forinden fastsættelsen af reglerne skal der ske
høring af de relevante myndigheder, organisationer m.v. samt
eventuelle andre relevante organer, f.eks. IT-sikkerhedsrådet.
Det er hensigten - ved lovens ikrafttræden - at
udstede en bekendtgørelse om sikkerhedsforanstaltninger til
beskyttelse af personoplysninger, som behandles for den offentlige
forvaltning helt eller delvis ved hjælp af elektronisk databehandling.
Det er endvidere hensigten at udstede en bekendtgørelse om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som
behandles for domstolene helt eller delvis ved hjælp af elektronisk
databehandling.
Derimod er det ikke hensigten - ved lovens
ikraftræden - at fastsætte nærmere regler om
behandlingssikkerheden i den private sektor. For den private sektor vil det
således være rammebestemmelsen i stk. 1, der gælder, indtil
der eventuelt måtte blive udstedt en bekendtgørelse, der
nærmere fastlægger kravene til sikkerhed. Tilsvarende vil
gælde med hensyn til forvaltningsmyndigheders manuelle registre med
personoplysninger.
Den almindelige forpligtelse til at træffe de
fornødne foranstaltninger efter stk. 1 gælder uanset
udstedelsen af nærmere regler herom.
Til § 42
Bestemmelsen i stk. 1 fastsætter, at en
dataansvarlig, som overlader behandling af oplysninger til en databehandler,
skal sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5,
nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Den
dataansvarlige skal påse, at dette sker. Bestemmelsen har sin baggrund
i direktivets artikel 17, stk. 2. Såfremt der er tale om en
databehandler i Danmark eller i et tredjeland, skal denne leve op til de
sikkerhedskrav, som fremgår af lovens § 41, stk. 3 og 4, samt
de nærmere regler, som fastsættes efter § 41, stk. 5.
Hvis der er tale om en databehandler i en anden medlemsstat, skal
databehandleren leve op til de sikkerhedskrav, som stilles i det
pågældende land, jf. også § 42, stk. 2.
Kravet i stk. 2 om, at gennemførelsen
af en behandling ved en databehandler skal ske i henhold til en skriftlig
aftale parterne imellem, har sin baggrund i direktivets artikel 17,
stk. 3 og 4.
Til kapitel 12-15
Anmeldelse
Lovens kapitel 12-14 beskriver anmeldelsesordningen for
behandlinger af oplysninger, som foretages for henholdsvis den offentlige
forvaltning, private dataansvarlige og domstolene. Desuden indeholder kapitel
15 regler om offentlige og private databehandleres anmeldelsespligt med
hensyn til elektronisk databehandling, der udføres for andre
(edb-servicebureauer), samt generelle regler om offentlig
tilgængelighed af behandlinger af oplysninger.
Med hensyn til anmeldelsesordningerne er udgangspunktet,
at alle behandlinger skal anmeldes forudgående til vedkommende
tilsynsmyndighed. Desuden skal visse behandlinger tillige kontrolleres inden
iværksættelsen. Kravet om kontrol kommer med hensyn til de
offentlige myndigheder til udtryk i et krav om indhentning af
forudgående udtalelse, mens der for private dataansvarlige
foreslås etableret en tilladelsesordning. Mange typer af behandlinger,
hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at
de registreredes rettigheder eller frihedsrettigheder krænkes, er i
loven fritaget for anmeldelse. Bestemmelserne har deres baggrund i
direktivets artikel 18-20.
Anmeldelsespligten påhviler den dataansvarlige og
gælder, uanset om behandlingen foretages af en databehandler, f.eks. af
et edb-servicebureau. Dog påhviler der også databehandlere, som
foretager elektronisk behandling af oplysninger, der er omfattet af loven, en
selvstændig anmeldelsespligt. En forudsætning herfor er, at
databehandleren er etableret på dansk område.
Anmeldelsesordningen har ingen betydning for
spørgsmålet om de materielle betingelser for behandling af
oplysninger. Disse fremgår af lovens afsnit II. I det hele taget
gælder det, at undtagelse fra anmeldelse naturligvis ikke fritager de
dataansvarlige fra forpligtelsen til at overholde lovens regler.
Til kapitel 12
Anmeldelse af behandlinger, som foretages for den
offentlige forvaltning
Bestemmelserne i kapitel 12 erstatter reglerne i lov om
offentlige myndigheders registre kapitel 2 og 2 a om henholdsvis oprettelse
af registre ved fastsættelse af registerforskrifter og undtagelse af
visse registertyper fra forskriftskravet.
Til § 43
Til stk. 1
Bestemmelsen angiver udgangspunktet, hvorefter
behandlinger af oplysninger skal anmeldes til Datatilsynet. Bestemmelsen
svarer til direktivets artikel 18, stk. 1, idet manuelle behandlinger,
der er eller vil blive indeholdt i et register, dog er medtaget.
Vedrørende den praktiske gennemførelse af
selve indgivelsen af en anmeldelse henvises til § 63, stk. 1, samt
bemærkningerne til denne bestemmelse.
Anmeldelsen kan foretages af den dataansvarlige myndighed,
dennes repræsentant, jf. § 4, stk. 4, en anden myndighed
eller en privat part. Det forudsættes i den forbindelse, at den
dataansvarlige stadig har det fulde ansvar for indholdet af anmeldelsen i
forhold til Datatilsynet og offentligheden. Bemyndigelsesadgangen betyder
bl.a., at flere myndigheder kan udpege en bestemt myndighed eller eventuelt
en privat organisation eller lignende til at foretage anmeldelser på
vegne af disse. Dette kan være særlig relevant, hvis der er tale
om identiske behandlinger, som foretages for flere myndigheder, f.eks.
behandlinger, som tidligere har været reguleret af de
fælleskommunale forskrifter, jf. lov om offentlige myndigheders
registre § 7. I disse situationer vil anmeldelserne for langt de fleste
dataansvarliges behandlinger være enslydende.
En anmeldelse kan omfatte en enkelt behandling eller en
række behandlinger, hvis formål er identiske eller indbyrdes
relaterede. Dette betyder, at flere behandlinger kan anmeldes på
én gang. Der skal dog kunne formuleres et samlet, logisk
sammenhængende formål med en behandling eller række af
behandlinger, som anmeldes på én anmeldelse. Dette udelukker
imidlertid ikke, at der vil kunne formuleres en række delformål,
for så vidt disse har en indbyrdes sammenhæng, f.eks. samme
reguleringsobjekt, samme opgaver eller samme lovgrundlag for
behandlingen.
Som eksempler på overordnede formålsangivelser
kan på det kommunale område nævnes sygesikring,
kontanthjælp, boligstøtte, tandpleje osv. Inden for det
statslige område vil der også typisk skulle ske separat
anmeldelse af de behandlinger, som foretages med henblik på
løsningen af hver af de hovedopgaver, som henhører under den
pågældende myndighed. Formålsbeskrivelserne vil i store
træk kunne svare til de formålsparagraffer, som fremgår af
de forskrifter, som efter den gældende lovgivning fastsættes for
offentlige myndigheders registre.
En anmeldelse vil kunne dække behandlinger, som
fysisk foregår flere forskellige steder, eller som foretages både
manuelt og ved hjælp af elektronisk databehandling. En anmeldelse vil
også kunne dække forskellige funktioner - f.eks. journalisering,
sagsbehandling og registrering med henblik på udbetaling - hvis blot
disse funktioner tjener samme overordnede formål.
Til stk. 2
Bestemmelsen har sin baggrund i direktivets artikel 19,
stk. 1, der foreskriver, hvilke oplysninger anmeldelsen mindst skal
indeholde. Herudover er tilføjet enkelte andre punkter, f.eks. at der
skal anføres en betegnelse for behandlingen. Hermed menes en
betegnelse, som kan benyttes til identifikation af behandlingen, f.eks.
»ligningssystem«, »boligstøtte« eller lignende. Under nr. 3 skal
indgå en beskrivelse af de typer af behandlinger, som foretages med
henblik på varetagelsen af det angivne formål, f.eks. hvilken
form for indsamling, registrering og anvendelse der rent praktisk finder
sted. Herunder skal det anføres, om registrering sker ved hjælp
af elektronisk databehandling eller manuelt, om der påtænkes
truffet afgørelser, som alene træffes på grundlag af
edb-behandling af oplysninger, jf. § 39, samt om der vil blive foretaget
samkøring i kontroløjemed, jf. § 45, stk. 1, nr. 4.
Vedrørende bestemmelsen i § 43, stk. 2, nr. 5,
bemærkes, at det forudsættes, at der altid vil kunne ske
overførsel af oplysninger i overensstemmelse med lovens kapitel 4. Der
skal på anmeldelsen alene anføres de overførsler til
tredjemænd eller andre modtagere, som må forudses at skulle ske
på regelmæssig basis, og som derfor er karakteristiske for den
pågældende behandling. Endvidere skal myndigheden angive
tidspunktet for påbegyndelsen af behandlingen, jf. nr. 8. Endelig skal
det efter bestemmelsen i nr. 9 angives, hvornår den dataansvarlige
myndighed vil slette oplysningerne, jf. § 5, stk. 5.
Datatilsynet vil altid i medfør af § 62,
stk. 1, kunne indhente yderligere oplysninger, hvis det findes
nødvendigt for behandlingen af anmeldelsen eller for en
forudgående kontrol i forbindelse med afgivelsen af en udtalelse.
Til § 44
Til stk. 1
Bestemmelsen har sin baggrund i direktivets artikel 18,
stk. 2. De behandlinger af personoplysninger, der som udgangspunkt
undtages efter bestemmelsen, svarer til de typer af registre, der i dag
omfattes af lov om offentlige myndigheders registre §§ 8 a og 8 b om
undtagelse af visse registertyper fra kravet om
forskriftsfastsættelse.
Begrebet »fortrolig« skal - ligesom i dag - forstås
i overensstemmelse med straffelovens § 152 sammenholdt med
forvaltningslovens §§ 27 og 28.
Efter 2. pkt. vil der i de af 1. pkt. omfattede
behandlinger også kunne indgå nærmere angivne oplysninger
(identifikationsoplysninger, herunder personnummer, og oplysninger om
betaling til og fra en offentlig myndighed), uanset disse er af fortrolig
karakter, uden at der på den baggrund vil skulle foretages anmeldelse.
Dog skal der ske anmeldelse, hvis behandlingen af oplysninger om betaling til
og fra en offentlig myndighed dækker over oplysninger, som er af en
sådan karakter, at tilsynets udtalelse skal indhentes inden
iværksættelse, jf. § 45.
Til stk. 2
Af bestemmelsen følger, at justitsministeren
fastsætter nærmere regler om de i stk. 1 nævnte
behandlinger. Bestemmelsen skal ses på baggrund af direktivets artikel
18, stk. 2, hvorefter medlemsstaterne for de typer af behandlinger, som
undtages fra anmeldelsespligten, anfører, hvad der er formålet
med behandlingerne, hvilke oplysninger eller typer af oplysninger der
behandles, hvilke registrerede eller typer af registrerede der er tale om,
til hvilke modtagere eller kategorier af modtagere oplysningerne videregives,
samt hvor længe oplysningerne opbevares.
Til stk. 3
Bestemmelsen fastsætter, at registre, der i henhold
til lovgivningen er beregnet til at informere offentligheden, og som er
tilgængelige for offentligheden, ligeledes er undtaget fra
anmeldelsespligten efter § 43. Bestemmelsen, der har sin baggrund i
direktivets artikel 18, stk. 3, kan f.eks. benyttes i relation til Det
Centrale Virksomhedsregister (p.t. Erhvervsregisteret) og til den offentligt
tilgængelige del af Erhvervs- og Selskabsstyrelsens edb-register.
Til stk. 4
Bemyndigelsesbestemmelsen svarer til den nuværende
regel i lov om offentlige myndigheders registre § 8 e. Efter
bestemmelsen kan der fastsættes undtagelser fra anmeldelseskravet for
så vidt angår typer af behandlinger, for hvilke det i betragtning
af de behandlede oplysninger ikke er sandsynligt, at de registreredes
rettigheder krænkes, jf. direktivets artikel 18, stk. 2. Ved
vurderingen heraf forudsættes Datatilsynets (tidligere
Registertilsynet) hidtidige erfaringer inddraget, herunder erfaringerne med
de undtagelser, som følger af bekendtgørelse nr. 872 af 17.
december 1991 om undtagelse af visse typer af offentlige edb-registre fra
forskriftskrav m.v.
Der vil efter bestemmelsens 2. pkt. ikke være
mulighed for at undtage de typer af behandlinger, som skal kontrolleres inden
iværksættelsen, jf. § 45, stk. 1.
Til § 45
Bestemmelsen i stk. 1 indeholder en opregning
af en række behandlinger af oplysninger, der på grund af deres
art, omfang og formål indebærer særlige risici for
personers rettigheder eller frihedsrettigheder, jf. direktivets artikel 20,
stk. 1. Det forudsættes derfor, at Datatilsynet med hensyn til
disse former for behandlinger foretager den fornødne kontrol af
behandlingen, inden udtalelsen afgives. Kravet om forudgående udtalelse
svarer til den nuværende udtalelseskompetence i forbindelse med
fastsættelse af registerforskrifter, jf. herved lov om offentlige
myndigheders registre § 5, stk. 1, og § 6, stk. 3. Der er
ikke tale om en egentlig afgørelseskompetence som efter lovforslagets
§ 47. Opretholdelsen af kravet om forudgående udtalelse skal bl.a.
ses i lyset af direktivets artikel 28, stk. 3, 2. pind. Kravet om
forudgående udtalelse i forbindelse med behandlinger, der udelukkende
finder sted i videnskabeligt eller statistisk øjemed eller med henblik
på at føre et retsinformationssystem, skal dog tillige ses
på baggrund at de særligt lempelige regler, der på en
række områder foreslås for disse behandlinger, jf.
§§ 9, stk. 1, 10, stk. 1, 32, stk. 4, og 35, stk. 2,
hvortil kommer, at kravet om forudgående udtalelse bidrager til at
tilvejebringe den størst mulige sikkerhed omkring disse behandlinger,
som ofte omfatter meget store mængder af personoplysninger, der kan
opbevares i en lang periode, jf. § 5, stk. 5.
Særligt i relation til reglen i nr. 4 bemærkes
det, at der med sammenstilling eller samkøring i kontroløjemed
sigtes til kontrol, som foretages såvel før som efter, der er
truffet en afgørelse over for en person. Ved at stille krav om
forudgående kontrol ved samkøring i kontroløjemed gives
der Datatilsynet lejlighed til at sikre sig, at den pågældende
myndighed har et klart og utvetydigt hjemmelsgrundlag at arbejde
på.
Der er i stk. 2 indsat en hjemmel for
justitsministeren til at fastsætte regler om, at der forinden
iværksættelsen af andre end de i stk. 1 nævnte
behandlinger skal indhentes en udtalelse. Også i forbindelse med denne
bestemmelse forudsættes det, at de erfaringer, Datatilsynet (tidligere
Registertilsynet) har med hensyn til typer af behandlinger, som
indebærer særlige risici, inddrages. Bestemmelsen vil f.eks.
kunne tænkes anvendt i tilfælde, hvor behandlingen har til
formål at udelukke den registrerede fra at udøve en ret, modtage
en ydelse eller opnå en kontrakt, eller i tilfælde, hvor der
anvendes ny teknologi, der indebærer særlige risici for
registrerede personer, jf. herved direktivets betragtning 53.
Til § 46
Bestemmelserne er indsat på baggrund af direktivets
artikel 19, stk. 2.
Bestemmelsen i stk. 1 indebærer, at der
ikke skal ske fornyet fuldstændig anmeldelse, hvis der sker
ændringer i de forhold, som er beskrevet i den oprindelige anmeldelse.
Kun ændringen skal anmeldes til Datatilsynet. Som udgangspunkt skal
ændringer anmeldes inden iværksættelsen. Hvis der er tale
om ændringer af mindre væsentlig betydning, kan der gives
meddelelse efterfølgende. Hermed menes ændringer som f.eks.
ændring i form af, at behandlingen foretages af en (ny) databehandler,
indførelse af nye sletterutiner eller ændring af typer af
oplysninger, såfremt ændringen ikke indebærer, at der
behandles oplysninger som nævnt i § 7, stk. 1, eller
§ 8. Ændringer som indebærer, at formålet med
behandlingen ændres, skal altid anmeldes forudgående. Det samme
gælder nye påtænkte overførsler af oplysninger til
tredjelande.
Stk. 2 gælder for de behandlinger, som
ikke må iværksættes, før Datatilsynets udtalelse er
indhentet. Tilsynets udtalelse skal indhentes inden
iværksættelsen af ændringerne, idet der dog i stedet kan
ske efterfølgende anmeldelse, såfremt der er tale om
ændringer af mindre væsentlig betydning.
Til § 47
Bestemmelserne i stk. 1 og 2 omhandler de
tilfælde, hvor Datatilsynet ikke kan tiltræde udførelsen
af en behandling, som udføres for henholdsvis en underordnet myndighed
og en kommunal myndighed. I disse tilfælde kan sagen for så vidt
angår behandlinger, der udføres for en underordnet myndighed,
forelægges for vedkommende minister, og med hensyn til behandlinger,
der udføres for en kommunal myndighed, indenrigsministeren.
Bestemmelserne svarer til, hvad der følger af bestemmelserne i lov om
offentlige myndigheders registre § 5, stk. 2, § 6,
stk. 3, 2. pkt, og § 27, sidste pkt. Omfattet af udtrykket kommunal
myndighed er ikke blot primærkommuner og amtskommuner, men også
kommunale fællesskaber, der er godkendt i henhold til § 60 i den
kommunale styrelseslov.
Bestemmelserne skal ses i sammenhæng med de
beføjelser, som Datatilsynet efter forslaget tillægges over for
offentlige myndigheder. Lovforslaget bygger på en forudsætning
om, at tilsynet som udgangspunkt alene har en udtalelsesret.
Forelæggelsen kan foretages af såvel myndigheden som tilsynet.
Det bemærkes, at proceduren vil kunne anvendes i en hvilken som helst
situation, hvor der er uenighed om udførelsen af en behandling, uanset
om behandlingen skal forelægges Datatilsynet eller ej. Der henvises til
lovforslagets almindelige bemærkninger pkt. 4.2.8.2. (pkt. A) og
betænkningen, side 352.
Bestemmelsen i stk. 1 vil ikke være til hinder
for, at vedkommende minister inddrages i de tilfælde, hvor en statslig
myndighed ikke står i et underordnelsesforhold til den
pågældende minister. I sådanne tilfælde er der efter
bestemmelsen i stk. 1 blot ikke nogen pligt hertil.
Til kapitel 13
Anmeldelse af behandlinger, som foretages for en privat
dataansvarlig
Til § 48
Bestemmelsen i stk. 1 fastsætter, at der
som udgangspunkt skal foretages anmeldelse af alle behandlinger, som
foretages for private dataansvarlige. Bestemmelsen har sin baggrund i
direktivets artikel 18, stk. 1. Anmeldelsen kan foretages af den
dataansvarlige eller af dennes repræsentant. Herudover vil en
dataansvarlig eller en repræsentant kunne give andre fuldmagt til at
foretage anmeldelse på deres vegne.
Efter stk. 2 skal anmeldelsen indeholde de
samme oplysninger som anmeldelser af behandlinger, som foretages for den
offentlige forvaltning. Ligesom i den offentlige forvaltning skal der angives
et formål med behandlingerne, og der skal ske separat anmeldelse af
hver behandling eller række af behandlinger, for hvilke der kan angives
ét samlet, overordnet formål, som f.eks. behandling med henblik
på udførelsen af en bestemt opgave, som den private
dataansvarlige forestår. Der henvises i øvrigt til
bemærkningerne til § 43, stk. 2.
Til § 49
Bestemmelsen i stk. 1 har sin baggrund i
direktivets artikel 18, stk. 2. De behandlinger, som undtages fra
anmeldelseskravet, er bl.a. de typer af registrering, som i dag er undtaget i
henhold til bekendtgørelse nr. 121 af 11. marts 1988 om undtagelse af
visse private edb-registre fra anmeldelsespligt, samt de registreringsformer
som er undtaget i medfør af lov om private registre § 3,
stk. 4, 2. pkt. Undtagelsen af foreningsregistre har endvidere baggrund
i artikel 18, stk. 4, jf. artikel 8, stk. 2, litra d. Der er
således ikke på dette punkt tiltænkt nogen
indskrænkning i forhold til, hvilke former for registreringer der efter
den gældende ordning er undtaget fra anmeldelsespligten. Dog er det med
hensyn til behandling i sundhedssektoren præciseret, at behandling af
oplysninger på private sygehuse ikke er undtaget fra
anmeldelsespligten, jf. nr. 8. Herudover er almindelige personaleregistre,
kunde- og leverandørsystemer og lignende undtaget, såfremt der
ikke behandles oplysninger, som er omfattet af § 7, stk. 1, og
§ 8, stk. 4. Endelig er behandlinger, som foretages med henblik
på markedsundersøgelser, ikke undergivet kravet om anmeldelse,
medmindre der behandles oplysninger, som er omfattet af § 7,
stk. 1, og § 8, stk. 4. Det bemærkes, at bestemmelsen
ikke omfatter behandlinger, som tillige har et andet formål, f.eks.
efterfølgende konkrete markedsføringstiltag over for de
personer, som indgår i undersøgelsen.
Af bestemmelsens stk. 2 følger, at
justitsministeren fastsætter nærmere regler om de i stk. 1
nævnte behandlinger. Bestemmelsen skal - ligesom bestemmelsen i § 44,
stk. 2 - ses på baggrund af direktivets artikel 18, stk. 2, hvorefter
medlemsstaterne for de typer af behandlinger, som undtages fra
anmeldelsespligten, anfører, hvad der er formålet med
behandlingerne, hvilke oplysninger eller typer af oplysninger der behandles,
hvilke registrerede eller typer af registrerede der er tale om, til hvilke
modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor
længe oplysningerne opbevares.
Bemyndigelsesbestemmelsen i stk. 3 svarer i en
vis udstrækning til, hvad der følger af lov om private registre
§ 3, stk. 5. Der kan fastsættes undtagelser fra
anmeldelseskravet for så vidt angår typer af behandlinger, for
hvilke det i betragtning af de behandlede oplysninger ikke er sandsynligt, at
de registreredes rettigheder eller frihedsrettigheder krænkes, jf.
direktivets artikel 18, stk. 2. Der vil ikke kunne ske undtagelse for de
typer af behandlinger, som er omtalt i § 50, stk. 1, medmindre
behandlingerne undtages efter § 50, stk. 3.
Til § 50
Til stk. 1 og 2
Reglerne i stk. 1 og 2 har deres baggrund i
direktivets artikel 20, stk. 1 og 2.
Bestemmelsen i stk. 1 foreskriver et krav om,
at der skal indhentes en tilladelse fra Datatilsynet inden
iværksættelsen af visse typer af behandlinger. Det gælder
dog kun, i det omfang de pågældende behandlinger ikke er undtaget
fra anmeldelseskravet, jf. § 49, stk. 1 eller 3. Der skal ske
forelæggelse for Datatilsynet, før iværksættelse af
behandling af oplysninger, som er omfattet af § 7, stk. 1, og
§ 8, stk. 4. Dette skal ses i lyset af, hvad der følger af
lov om private registre § 2, stk. 3, og § 3, stk. 4.
Endvidere skal der ske forelæggelse, før
iværksættelse af advarselsregistervirksomhed,
kreditoplysningsbureauvirksomhed og stillingsbesættende virksomhed,
hvilket svarer til lov om private registre § 3, stk. 6, og § 8
samt § 1 i bekendtgørelse nr. 523 af 11. august 1986 om
virksomheder, der erhvervsmæssigt yder bistand ved
stillingsbesættelse. Der er dog i loven fastsat en egentlig
tilladelsesordning i modsætning til den anmeldelsesordning, som i dag
gælder for hovedparten af ovennævnte typer af
registreringsvirksomhed. Endelig skal der meddeles tilladelse til
behandlinger, der udelukkende finder sted med henblik på at føre
retsinformationssystemer. Hermed sigtes til retsinformationssystemer, der er
omfattet af § 9.
Bestemmelsen i stk. 2 omhandler
overførsler af oplysninger til tredjelande. Formålet med
bestemmelsen er at give Datatilsynet indseende med og mulighed for at gribe
ind over for visse overførsler til tredjelande, som sker efter lovens
§ 27, stk. 1 og 3, nr. 2-4. I modsætning til bestemmelsen i
stk. 1, hvorefter der skal ske forelæggelse af hele den
række af behandlinger, som finder sted med henblik på de
formål, som fremgår af bestemmelsen, skal der efter stk. 2
kun indhentes tilladelse til selve overførslen. Hvis der fra f.eks. et
personaleregister, som er undtaget fra anmeldelse, jf. § 49, skal ske
overførsel af oplysninger til et tredjeland, vil tilladelseskravet
således ikke indebære, at der skal ske anmeldelse af eller gives
tilladelse til førelsen af selve personaleregisteret.
Til stk. 3 og 4
I stk. 3 er indsat en
bemyndigelsesbestemmelse, hvorefter justitsministeren kan undtage
behandlinger, der er omfattet af stk. 1, nr. 1, samt stk. 2, fra
tilladelseskravet. I forbindelse med undtagelser fra stk. 2 kan der
f.eks. lægges vægt på, om Europa-Kommissionen efter
direktivets artikel 25, stk. 6, har fastslået, at bestemte
tredjelande sikrer et tilstrækkeligt beskyttelsesniveau, således
at der ikke længere vil være samme behov for forudgående
tilladelse inden overførsel af oplysninger til de
pågældende tredjelande.
I henhold til stk. 4 kan justitsministeren
fastsætte regler om, at der forinden iværksættelsen af
andre anmeldelsespligtige behandlinger end de i stk. 1 og 2 nævnte
skal indhentes en tilladelse fra Datatilsynet. Ligesom i relation til
§ 45, stk. 2, kan der f.eks. lægges vægt på, om
der er tale om en behandling, som har til formål at udelukke den
registrerede fra at udøve en ret, modtage en ydelse eller opnå
en kontrakt, eller som indebærer anvendelse af ny teknologi, der
indebærer særlige risici for registrerede personer, jf.
direktivets betragtning 53.
Til stk. 5
Af bestemmelsen følger, at Datatilsynet kan
fastsætte nærmere vilkår for udførelsen af
behandlinger, som skal tillades efter stk. 1, 2 eller 4. Ved
fastsættelsen af vilkår for behandlinger af oplysninger med
henblik på forskning eller statistik forudsættes det, at der
tages udgangspunkt i de vilkår, som i dag stilles i henhold til lov om
private registre § 2, stk. 3, 3. pkt. I relation til
advarselsregistre forudsættes det, at der tages udgangspunkt i de
vilkår, som stilles efter lov om private registre § 3,
stk. 7. Endelig forudsættes det, at der med hensyn til
vilkår for førelse af stillingsbesættende virksomhed tages
udgangspunkt i den gældende bekendtgørelse om virksomheder, der
erhvervsmæssigt yder bistand ved stillingsbesættelse. Herudover
kan vilkårene for de nævnte erhvervsmæssige aktiviteter
udformes som en nærmere beskrivelse af lovens krav samt
indskærpelse af kravene til sikkerhedsforanstaltninger.
Til § 51
Bestemmelserne i stk. 1 og 2 omhandler de
tilfælde, hvor der sker ændringer i de oplysninger, som er givet
til Datatilsynet i forbindelse med anmeldelse af behandlinger. Bestemmelserne
er indsat på baggrund af direktivets artikel 19, stk. 2. I
relation til reglen i stk. 1 henvises til bemærkningerne
til den tilsvarende bestemmelse i § 46, stk. 1. Reglen i
stk. 2 omhandler behandlinger, til hvilke Datatilsynets
tilladelse skal indhentes inden iværksættelsen. Tilsynets
tilladelse til ændringen skal indhentes inden
iværksættelsen, idet der dog i stedet kan ske
efterfølgende anmeldelse, såfremt der er tale om ændringer
af mindre væsentlig betydning. Om betydningen af dette udtryk henvises
til bemærkningerne til § 46, stk. 2.
Til kapitel 14
Anmeldelse af behandlinger, der foretages for
domstolene
Til § 52
Af bestemmelsen følger, at reglerne i §§ 43-46
tilsvarende gælder for anmeldelse til Domstolsstyrelsen af behandling
af oplysninger, der foretages for domstolene.
Anmeldelse til Domstolsstyrelsen, jf. § 67,
stk. 1, til brug for dennes udøvelse af sine tilsynsopgaver skal
således ske efter de regler, som gælder for behandling af
oplysninger, der foretages for den offentlige forvaltning. Dog gælder
det, at det kun er selve reguleringen af, hvornår anmeldelse skal ske,
og hvilke oplysninger der i givet fald skal være indeholdt i en
anmeldelse, som finder anvendelse på domstolenes behandling af
oplysninger. Den særlige regel i § 47 har ingen betydning i
relation til domstolene. Domstolsstyrelsen kan træffe afgørelse
over for den pågældende domstol, jf. § 68, stk. 1. Med
hensyn til det nærmere indhold af anmeldelsesreglerne for domstolenes
virksomhed henvises til bemærkningerne til §§ 43-46.
Til kapitel 15
Øvrige bestemmelser
Til § 53
Bestemmelsen afløser anmeldelsesreglen i lov om
private registre § 20, stk. 1, om edb-servicebureauer. Reglen
gælder således ikke for andre typer af databehandlere.
Anmeldelsespligten gælder i modsætning til lov om private
registre § 20 for ethvert organ, herunder også f.eks. en
forvaltningsmyndighed, som udfører edb-servicebureauvirksomhed. Reglen
gælder for alle virksomheder, myndigheder m.v., som foretager
elektronisk behandling af oplysninger, uanset om behandlingen er omfattet af
en anden medlemsstats lovgivning.
Til § 54
Bestemmelsen i stk. 1 indebærer, at
vedkommende tilsynsmyndighed skal føre en fortegnelse over de
behandlinger, der er anmeldt efter §§ 43, 48 og 52. Fortegnelsen skal
være tilgængelig for offentligheden. Bestemmelsen svarer til en
vis grad til, hvad der følger af lov om offentlige myndigheders
registre § 8, stk. 2, 1. pkt. Bestemmelsen har desuden baggrund i
direktivets artikel 21, stk. 2. Reglen gælder for såvel
offentlige som private dataansvarliges behandlinger. Formålet med
reglen er, at det skal være let for borgerne at gøre sig bekendt
med, hvilke behandlinger der er anmeldt til tilsynsmyndighederne. Det
forudsættes derfor, at fortegnelsen, hvori alle de oplysninger, som
fremgår af § 43, stk. 2, skal noteres, fremstår i en
overskuelig og let forståelig form. Det forudsættes endvidere, at
førelsen af fortegnelsen tilrettelægges således, at det er
let for enhver at få adgang til de ajourførte oplysninger.
Bestemmelsen i stk. 2 er en følge af
direktivets artikel 21, stk. 3. Reglen forudsætter, at en
dataansvarlig har kendskab til alle de behandlinger, som foretages for denne,
idet den dataansvarlige skal stille de i § 43, stk. 2, nr. 1, 2 og
4-6, nævnte oplysninger til rådighed for enhver, som anmoder
derom. Efter bestemmelsen skal den dataansvarlige således også
give meddelelse om de behandlinger, som foretages for den dataansvarlige af
en databehandler, f.eks. et edb-servicebureau. Oplysningerne skal som
nævnt stilles til rådighed for enhver, der anmoder herom. Det er
således ingen betingelse, at vedkommende er registreret eller på
anden måde kan godtgøre en interesse i at blive gjort bekendt
med oplysningerne. Det forudsættes, at oplysningerne stilles til
rådighed inden for en rimelig tid efter begæringens
fremsættelse.
I bestemmelsens stk. 3 fastsættes det, under
hvilke betingelser offentlighedens adgang til den fortegnelse, der er
nævnt i stk. 1, og de oplysninger, der er nævnt i stk. 2,
undtagelsesvis kan begrænses.
Undtagelse kan for det første gøres, i det
omfang det er nødvendigt til forebyggelse, opklaring og
forfølgning af lovovertrædelser. Undtagelse kan endvidere
gøres, hvis afgørende hensyn til private interesser gør
det påkrævet. Det vil f.eks. være tilfældet, hvis
indsigt i fortegnelsen vil afsløre forskningshemmeligheder.
Til kapitel 16
Datatilsynet
Reglerne i dette kapitel vedrører Datatilsynets
organisation samt tilsyns- og inspektionsbeføjelser i forhold til
behandlinger, som ikke er omfattet af de særlige tilsynsbestemmelser i
kapitel 17. I kapitlet er endvidere fastsat regler om Datatilsynets opgaver i
relation til visse former for behandling af oplysninger, som er undergivet en
anden medlemsstats lovgivning.
Bestemmelserne er fastsat på baggrund af direktivets
artikel 28 og afløser reglerne om Registertilsynets organisation og
kompetence i lov om offentlige myndigheders registre kapitel 7 og lov om
private registre kapitel 7.
Til § 55
Bestemmelsen har sin baggrund i direktivets artikel 28,
stk. 1, og til dels artikel 28, stk. 3, 1. pind.
Reglen i stk. 1 svarer til lov om offentlige
myndigheders registre § 22, stk. 1. Tilsynsmyndigheden
foreslås benævnt Datatilsynet i stedet for Registertilsynet, men
dette indebærer ikke i sig selv ændringer, for så vidt
angår tilsynets organisation eller virksomhed. Reglen svarer til
§ 22, stk. 1, 1. pkt., i lov om private registre, samt § 22,
stk. 1, 1. pkt., i lov om offentlige myndigheders registre. Efter
bestemmelsen har Datatilsynet som udgangspunkt kompetence i relation til
enhver behandling, som omfattes af loven. Andet kan dog være bestemt i
særlovgivningen.
Reglen i stk. 2 svarer til lov om offentlige
myndigheders registre § 24. Sekretariatet, der skal varetage
Datatilsynets daglige forretninger, herunder den løbende
inspektionsvirksomhed, forudsættes sammensat således, at det
besidder såvel juridisk som edb-teknisk sagkundskab. Med den rivende
udvikling, der i disse år og fremover vil finde sted på
IT-området, er det af central betydning, at sekretariatets personale
til stadighed kan honorere disse krav.
Reglen i stk. 3 svarer til lov om offentlige
myndigheders registre § 23. Der skal ved udpegning af medlemmer af
rådet tilstræbes uvildighed og sagkundskab. Rådets
medlemmer skal således udpeges på en sådan måde, at
der sikres Datatilsynet den fornødne uafhængighed af interesser
inden for den offentlige og private sektor. Samtidig er det af
afgørende betydning for Datatilsynets autoritet, at der blandt
rådets medlemmer findes personer med betydelig indsigt i den offentlige
(statslige såvel som kommunale) forvaltnings og erhvervslivets og
arbejdsmarkedets forhold, da dette vil være en forudsætning for,
at tilsynet kan foretage en selvstændig vurdering af de synspunkter,
der kan anføres for og imod ønsker om påbegyndelsen og
tilrettelæggelsen af bestemte behandlinger. Endelig forudsættes
det, at mindst ét medlem af rådet besidder indgående
kendskab til informationsteknologi. Formandsposten har hidtil været
beklædt af en højesteretsdommer, og på grund af
Datatilsynets særlige funktion og status bør denne praksis i
videst muligt omfang opretholdes.
Bestemmelsen i stk. 4 afløser lov om
offentlige myndigheders registre § 25, idet det dog ikke længere
er justitsministeren, som fastsætter rådets forretningsorden, men
rådet selv. Der vil kunne fastsættes nærmere regler om
sagernes formelle behandling, herunder om, hvor mange medlemmer af
rådet der skal være til stede, for at rådet kan anses for
beslutningsdygtigt, om indkaldelse af stedfortræder osv. samt om, at
visse typer af sager kan afgøres af sekretariatet på
Datatilsynets vegne.
Til § 56
Bestemmelsen har sin baggrund i direktivets artikel 28,
stk. 1, 2. afsnit. Den nuværende lovgivning indeholder ikke en
tilsvarende bestemmelse, men indsættelsen af det udtrykkelige krav om
uafhængighed indebærer ikke nogen ændring af den
gældende retstilstand. Datatilsynet er efter reglen fortsat ikke
undergivet tjenestebefalinger fra anden administrativ myndighed med hensyn
til udøvelsen af sin virksomhed.
Til § 57
Bestemmelsen har sin baggrund i direktivets artikel 28,
stk. 2. Der er ikke en tilsvarende regel i den gældende
registerlovgivning. Kravet om forelæggelse for Datatilsynet
gælder i forbindelse med udfærdigelsen af anordninger,
bekendtgørelser og cirkulærer m.v. Det er uden betydning, om
reglerne kun er bindende for ansatte i en myndighed eller tillige har
retsvirkning over for borgerne. Det afgørende vil være, om
reglerne har indflydelse på beskyttelsen af privatlivet i forbindelse
med behandling af personoplysninger. Der skal bl.a. ske høring inden
fastsættelsen af nærmere regler efter denne lov, f.eks. efter
§ 44, stk. 2, § 45, stk. 2, § 72 og § 73.
Det forudsættes endvidere, at der sker høring
af Datatilsynet i forbindelse med udfærdigelse af lovforslag, som
fremsættes af regeringen. Endvidere forudsættes det, at
vedkommende ressortministerium i forbindelse med sin stillingtagen til et
privat lovforslag hører Datatilsynet.
Datatilsynet skal i forbindelse med høringen udtale
sig om, hvorvidt de påtænkte retsforskrifter m.v. efter tilsynets
opfattelse giver anledning til betænkeligheder i forhold til direktivet
og denne lov eller i øvrigt i relation til beskyttelsen af de
registreredes privatliv.
Hvis der i et tilfælde ikke sker høring af
Datatilsynet, indebærer dette ikke, at den udstedte administrative
retsforskrift er ugyldig.
Til § 58
Bestemmelsen i stk. 1 svarer til lov om
offentlige myndigheders registre § 22, stk. 2, og til lov om
private registre § 22, stk. 1, 2. pkt. Den har desuden baggrund i
direktivets artikel 28, stk. 1 og 4. Enhver registreret kan indgive en
anmodning til Datatilsynet om beskyttelse af sine rettigheder efter loven.
Herudover kan tilsynet tage sager op af egen drift, såfremt tilsynet
finder anledning dertil.
Stk. 2 er indsat på baggrund af
direktivets artikel 25, stk. 4, artikel 25, stk. 6, sidste afsnit,
artikel 26, stk. 3, sidste afsnit, samt artikel 26, stk. 4. Det er
efter bestemmelsen muligt at tilbagekalde begunstigende afgørelser
truffet over for såvel dataansvarlige som registrerede. Det er dog en
forudsætning, at tilbagekaldelsen er nødvendig for at efterleve
Kommissionens afgørelse.
Til § 59
Bestemmelserne afløser de
gældende regler i lov om private registre § 23, stk. 1-6. De
har endvidere sin baggrund i direktivets artikel 28, stk. 3, 2.
pind.
Datatilsynet vil i medfør af bestemmelsen i
stk. 1 kunne påbyde en privat dataansvarlig at
ophøre med en behandling, der ikke må finde sted efter denne
lov, og at berigtige (rette), slette eller blokere bestemte oplysninger, som
er omfattet af en sådan behandling. Det bemærkes, at den
registrerede i sådanne tilfælde endvidere efter § 37, stk.
2, vil kunne fremsætte anmodning om, at den dataansvarlige skal
underrette tredjemand om, at videregivne oplysninger er blevet berigtiget,
slettet eller blokeret.
I relation til blokering af oplysninger vil Datatilsynet
kunne give påbud herom under særlige betingelser. Tilsynet vil
således bl.a. kunne bestemme, at der skal ske blokering af oplysninger
til visse formål eller i relation til bestemte modtagere, samt at
blokeringen ophæves, når bestemte betingelser er opfyldt.
Efter bestemmelsen i stk. 2 kan Datatilsynet
forbyde visse nærmere angivne fremgangsmåder i forbindelse med
behandlingen af oplysninger. Reglen svarer til lov om private registre
§ 23, stk. 5.
Reglen i stk. 3 supplerer bestemmelsen i
§ 41, stk. 3, om, at der skal træffes fornødne
tekniske og organisatoriske sikkerhedsforanstaltninger. Dette svarer til
ordningen i lov om private registre § 24, stk. 6. Såfremt der
er fastsat nærmere bestemmelser om sikkerhed i henhold til § 41,
stk. 5, kan tilsynet alene meddele et sådant påbud i
overensstemmelse med disse. Tilsynet kan dog supplere bestemmelserne i
overensstemmelse med § 41, stk. 3, såfremt der er tale om
konkrete forhold, som de efter § 41, stk. 5, fastsatte
sikkerhedsbestemmelser ikke regulerer.
Bestemmelsen i stk. 4 medfører, at
Datatilsynet vil kunne meddele en eventuel databehandler, som på vegne
af en dataansvarlig foretager en behandling som nævnt i stk. 1-3,
påbud eller forbud. Dette kan være relevant, såfremt det
ikke er muligt for tilsynet at meddele den dataansvarlige de
nødvendige påbud eller forbud, f.eks. fordi det ikke er muligt
at komme i kontakt med den dataansvarlige, eller hvis den dataansvarlige ikke
ønsker at efterleve en afgørelse, som er truffet af tilsynet i
henhold til stk. 1-3. Det er en forudsætning, at der ikke er
umiddelbar udsigt til, at tilsynet kan meddele den dataansvarlige sin
afgørelse efter stk. 1-3 eller til, at den dataansvarlige
efterlever tilsynets afgørelse, såfremt denne allerede er
truffet og meddelt den dataansvarlige. Det er endvidere en
forudsætning, at den fortsatte behandling er til skade for den
registrerede eller for andre, f.eks. fordi der foregår en ulovlig
videregivelse eller anden udbredelse af personoplysninger.
Til § 60
Datatilsynet har efter bestemmelsen i stk. 1 kun
afgørelseskompetence med bindende virkning over for andre myndigheder
i relation til de bestemmelser, som specifikt er nævnt i bestemmelsen.
I andre situationer har tilsynet alene kompetence til at afgive uforbindende
udtalelser, jf. stk. 2.
Til § 61
Tilsynets afgørelser kan efter bestemmelsen ikke
indbringes for anden administrativ myndighed. Dette svarer til den
gældende retstilstand, se f.eks. lov om private registre § 25.
Reglen gælder for såvel afgørelser truffet over for
offentlige myndigheder, jf. § 60, stk. 1, som for påbud og
forbud eller andre afgørelser, meddelt til private dataansvarlige
efter f.eks. § 59. Reglen gælder endvidere for afgørelser,
som er truffet efter § 64, stk. 1.
Bestemmelsen er ikke til hinder for, at
afgørelserne indbringes for Folketingets Ombudsmand.
Til § 62
Bestemmelsen i stk. 1 afløser lov om
offentlige myndigheders registre § 26, stk. 1. Den svarer endvidere
til lov om private registre § 26, stk. 2. Bestemmelsen har desuden
sin baggrund i direktivets artikel 28, stk. 3, 1. pind. Det forhold, at
tilsynet kan kræve oplysninger til afgørelse af, om et forhold
falder ind under lovens bestemmelser, medfører, at tilsynet bl.a. vil
kunne kræve oplysninger med henblik på at afklare, om en given
behandling er omfattet af undtagelsesbestemmelsen i lovens § 2.
Bestemmelsen i stk. 2, som tager sigte
på behandlinger, der foretages for den offentlige forvaltning, svarer
til lov om offentlige myndigheders registre § 26, stk. 2. Det
følger af direktivets artikel 28, stk. 3, 1. pind, at
tilsynsmyndigheden skal kunne have adgang til de oplysninger, der
gøres til genstand for en behandling. Det forudsættes
således, at tilsynet har mulighed for selv at gøre sig bekendt
med oplysningerne efter at have fået adgang til lokaler, hvorfra der er
adgang til disse.
Bestemmelsen i stk. 3, der tager sigte
på behandlinger, der foretages for private dataansvarlige, svarer til
en vis grad til lov om private registre § 22, stk. 3. I
bestemmelsen er fastsat en begrænset inspektionsbeføjelse,
nemlig til de typer af behandlinger, som er undergivet et krav om
forudgående tilladelse. Dette gælder også behandlinger, som
er inddraget under tilladelsesordningen i medfør af § 50,
stk. 4.
Bestemmelsen i stk. 4 afløser lov om
private registre § 22, stk. 3, jf. § 20, idet den dog tillige
gælder for offentlige edb-servicebureauer. Der vil efter bestemmelsen
kunne foretages inspektion i forhold til såvel behandlinger, der er
omfattet af denne lov, som i forhold til behandlinger, som er omfattet af en
anden medlemsstats lovgivning, jf. herved også § 64,
stk. 1.
Til § 63
Bestemmelsen i stk. 1 svarer til lov om
private registre § 26, stk. 1, og afløser endvidere reglen i
lov om offentlige myndigheders registre § 8 c. Efter bestemmelsen kan
Datatilsynet fastsætte, at anmeldelser og ansøgninger om
tilladelser kan eller skal indgives på en bestemt måde. Dette
gælder i relation til såvel den offentlige forvaltning som
private. Tilsynet kan således beslutte, at der kan ske anmeldelse ved
anvendelse af bestemte blanketter. Desuden kan tilsynet bestemme, at der
tillige skal ske anmeldelse ad elektronisk vej, f.eks. via elektronisk post
eller på anden måde. Tilsynet kan efter bestemmelsen også
fastsætte nærmere regler for, hvordan der kan foretages
(enslydende) anmeldelse af behandlinger, som foretages af flere myndigheder.
Det forudsættes, at tilsynet ved udformningen af anmeldelserne sikrer,
at en dataansvarlig gøres opmærksom på muligheden for at
undtage en anmeldelse fra offentliggørelse, jf. § 54,
stk. 3, med henvisningen til § 30.
Stk. 2 svarer til lov om private registre
§ 26, stk. 2. I bestemmelsen er det fastsat, at der opkræves
gebyrer for anmeldelser og tilladelser inden for den private sektor. I
bestemmelsen er det endvidere hvilket ikke er tilfældet i
bestemmelsen i § 26, stk. 2, i lov om private registre fastsat, at den
private dataansvarliges betalingsforpligtelse indtræder ved indgivelse
af anmeldelse eller ansøgning om tilladelse.
For at lette administrationen med gebyrordningen
fastsætter bestemmelsen i stk. 3, at en anmeldelse først
anses for indgivet, når betaling er sket. Det fastsættes
endvidere, at Datatilsynet kan bestemme, at en tilladelse ikke meddeles,
før betaling har fundet sted.
Bestemmelsen i stk. 4 indebærer, at der ikke
skal betales gebyr for anmeldelse til/indhentning af tilladelse hos
Datatilsynet til behandlinger, der udelukkende finder sted i videnskabeligt
eller statistisk øjemed. Herved opretholdes den nuværende
ordning i loven om private registre m.v., hvorefter der ikke påhviler
private forskere eller statistikere en forpligtelse til at betale 1.000 kr. i
forbindelse med anmeldelse til Registertilsynet, jf. lov om private registre
§ 26, stk. 2, modsætningsvis. Det bemærkes, at de forsknings- og
statistikprojekter, der efter loven om private registre m.v. skal anmeldes
forudgående, er projekter, hvori der indgår oplysninger om
enkeltpersoners rent private forhold, jf. nærmere lovens § 2, stk.
3.
Reglen i stk. 5 indebærer, at der ikke
vil kunne opkræves mere end ét gebyr for anmeldelse af/
tilladelse til samme behandling.
Til § 64
Efter bestemmelsen i stk. 1, som er fastsat
på baggrund af direktivets artikel 28, stk. 6, er Datatilsynet
kompetent til at påse, at en behandling, som er undergivet en anden
medlemsstats lovgivning, er lovlig. Datatilsynet vil kunne afkræve
oplysninger af en eventuel databehandler, som er etableret i Danmark, eller
af en repræsentant for den dataansvarlige, som befinder sig i Danmark,
jf. § 62, stk. 1, og tilsynet vil endvidere kunne udføre
inspektioner efter reglerne i § 62, stk. 3-4. Herudover har
tilsynet kompetence til at realitetsbehandle og afgøre sagen efter den
pågældende medlemsstats materielle lovgivning. Endelig kan
tilsynet efter reglerne i lovens § 59 meddele påbud eller forbud
til en databehandler eller repræsentant for den dataansvarlige,
såfremt disse befinder sig i Danmark. Der er ikke en egentlig
klageadgang for den registrerede, men tilsynet er kompetent til at tage en
sag op af egen drift, hvis tilsynet finder anledning dertil. Datatilsynet kan
bl.a. blive anmodet af en myndighed i en anden medlemsstat om at udøve
sine beføjelser. Det forudsættes i øvrigt, at
tilsynsmyndighederne i medlemsstaterne samarbejder med hinanden i det omfang,
det er nødvendigt for at opfylde deres pligter.
Reglen i stk. 2 indebærer, at der vil
kunne ske videregivelse til myndigheder i andre medlemsstater af oplysninger,
selv om disse måtte være undergivet tavshedspligt. Bestemmelsen
har sin baggrund i direktivets artikel 28, stk. 6, sidste pkt.
Til § 65
Datatilsynet skal efter bestemmelsen afgive en årlig
beretning om sin virksomhed til Folketinget. Beretningen
offentliggøres. Bestemmelsen svarer til lov om offentlige myndigheders
registre § 28, stk. 1. Den har endvidere sin baggrund i direktivets
artikel 28, stk. 3, 2. pind, og artikel 28, stk. 5. I
årsberetningen er tilsynet berettiget til at gengive eller
redegøre for eventuelle svar eller andre reaktioner fra de
berørte myndigheder.
Bestemmelsens 3. pkt. svarer i et vist omfang til den
gældende lovs § 28, stk. 2. Reglen har endvidere sin baggrund
i direktivets artikel 28, stk. 3, 2. pind.
Til § 66
Af bestemmelsen følger, at Datatilsynet samarbejder
med Domstolsstyrelsen i det omfang, det er nødvendigt for at opfylde
Datatilsynets pligter, navnlig ved at udveksle alle relevante oplysninger.
Tilsynsmyndigheden på domstolsområdet (Domstolsstyrelsen) skal
tilsvarende samarbejde med Datatilsynet, jf. § 68, stk. 1, med
henvisningen til § 66.
Selv om bestemmelsen er indsat i kapitlet om Datatilsynet,
vil initiativet til samarbejde tilsynsmyndighederne imellem naturligvis kunne
udgå fra Domstolsstyrelsen. Det forudsættes, at
tilsynsmyndighederne indbyrdes drøfter spørgsmål af mere
principiel karakter, således at der sker den fornødne
koordinering tilsynsmyndighederne imellem. Herved sikres det, at
tilsynsmyndighedernes praksis ikke udvikler sig i en forskellig retning. Det
bemærkes i den forbindelse, at en række af de foreslåede
bestemmelser overlader vedkommende tilsynsmyndighed et forholdsvist frit
skøn ved udfyldningen af de i loven indeholdte standarder.
Til kapitel 17
Tilsyn med domstolene
Til § 67
Til stk. 1
Efter bestemmelsen fører Domstolsstyrelsen tilsyn
med behandling af oplysninger, der foretages for domstolene.
Til stk. 2
I bestemmelsen fastsættes det, at Domstolsstyrelsens
tilsyn i det hele omfatter domstolenes administrative forhold.
Domstolsstyrelsens tilsyn omfatter således den teknisk-administrative
behandling af oplysninger, herunder spørgsmålet om
behandlingssikkerheden. Dette indebærer bl.a., at førelsen af en
elektronisk oversigt over de ved et embede ansatte personers forhold m.v. er
omfattet af tilsynet.
Domstolsstyrelsens tilsyn omfatter ikke retternes
judicielle funktioner, idet der for disse funktioner er fastsat en
særlig kontrolordning, jf. nærmere stk. 3.
Til stk. 3
Bestemmelsen tager sigte på retternes behandling af
oplysninger i forbindelse med varetagelsen af judicielle funktioner.
Af bestemmelsens 1. pkt. følger, at
afgørelser om behandling af oplysninger træffes af vedkommende
ret. I de tilfælde, hvor der i forbindelse med domstolenes varetagelse
af sine judicielle funktioner opstår spørgsmål om
lovligheden af den behandling af personoplysninger, som finder sted i
tilknytning hertil, påhviler det således vedkommende
dataansvarlige domstol at træffe afgørelse herom. Dette sker i
form af judicielle afgørelser, der kan påkæres efter
reglerne i 2.-4. pkt.
Efter bestemmelsens 2. pkt. kan den dataansvarlige
domstols afgørelser kæres til højere ret. Bestemmelsen
tager navnlig sigte på de almindelige domstole, jf. retsplejelovens
§ 1, stk. 1. Bestemmelsen fastsætter, at en dataansvarlig
domstols afgørelse altid kan kæres til højere ret.
Bestemmelsen indebærer dermed, at der skal ses bort fra en eventuel
appelbegrænsningsregel. Eksempelvis vil spørgsmålet om,
hvorvidt der skal ske berigtigelse af behandlede personoplysninger, kunne
påkæres til højere ret, uanset bestemmelsen i
retsplejelovens § 221, stk. 3, 2. pkt. Også et eventuelt krav
om andeninstansbevilling til den retsafgørelse, som behandlingen af
oplysninger vedrører, skal der efter bestemmelsen ses bort fra.
Hvilken overordnet retsinstans kære skal ske til, og hvilke
procesregler der skal finde anvendelse, vil som udgangspunkt afhænge af
reglerne for den retsafgørelse, som behandlingen af oplysningerne
vedrører. Kære sker efter de almindelige regler i retsplejeloven
herom, medmindre der i lovgivningen er fastsat særlige regler for
indbringelse af vedkommende dataansvarlige domstols afgørelser for
højere retsinstans. Dette betyder bl.a., at byretternes
afgørelser vedrørende lovligheden af en behandling af
oplysninger skal påkæres til vedkommende landsret efter reglerne
i retsplejeloven. Dette gælder både for så vidt angår
civile retssager og sager inden for strafferetsplejen. Det bemærkes, at
bestemmelsens 2. pkt. også omhandler de tilfælde, hvor en
særlig domstol - dvs. en domstol, der ikke indgår i det
almindelige domstolshierarki, jf. retsplejelovens § 1, stk. 1 - har
truffet afgørelse om lovligheden af en behandling af
personoplysninger, som har fundet sted i forbindelse med behandlingen af en
retssag. En betingelse herfor er dog, at der er adgang til at indbringe den
materielle afgørelse i sagen for højere ret. F.eks. kan en
landvæsenskommissions afgørelser indbringes for en
overlandvæsenskommission.
Bestemmelsens 3. pkt. omhandler særlige
domstole, hvis materielle afgørelser efter de processuelle regler, der
gælder for disses virksomhed, ikke kan indbringes for en højere
ret. Det gælder f.eks. Arbejdsretten og Tjenestemandsretten. I disse
tilfælde følger det af bestemmelsen, at afgørelsen om
lovligheden af behandlingen af personoplysninger kan påkæres til
den landsret, i hvis kreds retten er beliggende. Kæremålet skal
behandles efter retsplejelovens regler om den civile retspleje. Det
forudsættes, at afgørelser, der er truffet af Den Særlige
Klageret, ikke kan indbringes for landsretten. Hvis den materielle
afgørelse i en sag, som klageretten behandler, kan indbringes for
Højesteret, vil også klagerettens afgørelser om
lovligheden af en behandling af personoplysninger i en sådan sag kunne
påkæres til Højesteret, jf. bestemmelsens 2. pkt.
Således kan afgørelser om lovligheden af behandling af
personoplysninger i tilknytning til sager om afsættelse af dommere
kæres til Højesteret, jf. herved retsplejelovens § 49,
stk. 9.
I bestemmelsens 4. pkt. er endelig fastsat, at
kærefristen er 4 uger fra den dag, afgørelsen er meddelt den
pågældende. Kærefristen gælder, uanset om kære
sker efter bestemmelsens 2. eller 3. pkt.
Der henvises i øvrigt til
betænkningen, side 376- 378.
Til § 68
I bestemmelsens stk. 1 fastsættes det,
hvilke nærmere beføjelser der tilkommer Domstolsstyrelsen i
forbindelse med dennes udførelse af tilsyn i henhold til § 67.
Efter bestemmelsen finder reglerne i §§ 56, 58, 62, stk. 1, 2 og 4,
63, stk. 1, og 66 anvendelse for Domstolsstyrelsens udøvelse af
tilsyn. De afgørelser, som Domstolsstyrelsen måtte træffe
i forbindelse med udøvelsen af sit tilsyn, kan efter bestemmelsen ikke
påklages til anden administrativ myndighed. Afgørelserne kan
heller ikke indbringes for Folketingets Ombudsmand. Bestemmelsen
vedrører derimod ikke domstolenes kompetence i henhold til grundlovens
§ 63.
Efter bestemmelsens stk. 2 skal der ved
udarbejdelsen af bekendtgørelser eller lignende generelle
administrative retsforskrifter, der har betydning for beskyttelsen af
privatlivet i forbindelse med behandling af oplysninger, der foretages for
domstolene, indhentes en udtalelse fra Domstolsstyrelsen. Det
forudsættes endvidere, at der indhentes en udtalelse fra
Domstolsstyrelsen i forbindelse med regeringens udarbejdelse af lovforslag,
der vedrører behandling af oplysninger, der foretages for
domstolene.
Af bestemmelsens stk. 3 følger, at
Domstolsstyrelsen offentliggør en årlig beretning om dens
virksomhed.
Til kapitel 18
Straf- og erstatningsansvar
Til § 69
Bestemmelsen, der bygger på direktivets artikel 23,
fastlægger et præsumptionsansvar (culpa med omvendt bevisbyrde)
for den dataansvarlige. Det fastsættes således, at den
dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid
med bestemmelserne i loven. Dette gælder dog ikke, hvis den
dataansvarlige godtgør, at skaden ikke kunne have været
afværget ved den agtpågivenhed og omhu, der må kræves
i forbindelse med behandling af oplysninger.
Bestemmelsen indebærer ikke andre ændringer i
dansk rets almindelige erstatningsretlige regler. Disse regler finder
således fortsat anvendelse ved bedømmelsen af, om den
dataansvarlige i forbindelse med behandling af oplysninger har pådraget
sig et erstatningsansvar over for den registrerede.
Erstatningskrav, der gøres gældende i henhold
til bestemmelsen, skal indbringes for domstolene. Et erstatningskrav vil
således ikke kunne forelægges tilsynsmyndighederne.
Til § 70
Bestemmelserne, der bl.a. skal ses på baggrund af
direktivets artikel 24, afløser reglerne i lov om private registre
§ 27 og lov om offentlige myndigheders registre § 29.
Affattelsen af indledningen til bestemmelserne har til
formål at sikre, at handlinger, der tillige indebærer en
overtrædelse af bestemmelser, der kan medføre højere
straf, kan henføres under sådanne bestemmelser. Der tænkes
herved navnlig på bestemmelsen i straffelovens § 264 d om bl.a.
forsætlig, uberettiget videregivelse af oplysninger om en anden persons
private forhold. Der tænkes endvidere på forskellige andre
bestemmelser i straffeloven om forbrydelser i offentlig tjeneste eller hverv
m.v., herunder bl.a. §§ 152 og 152 c-f samt §§ 155-157.
Hvad angår behandlinger, som foretages for private,
pålægges der efter stk. 1 strafansvar for
overtrædelse af en række af lovens bestemmelser, for undladelse
af at efterkomme visse afgørelser truffet af Datatilsynet, for
undladelse af at efterkomme tilsynets krav om enhver oplysning, der er af
betydning for dens virksomhed, for at hindre tilsynet i at udøve sin
inspektionsbeføjelse, for at tilsidesætte vilkår og
lignende eller for at undlade at efterkomme forbud eller påbud.
I forbindelse med behandlinger, som foretages for
offentlige myndigheder, er det fastsat, at der kan pålægges straf
for overtrædelse af vilkår, som tilsynsmyndigheden har stillet i
henhold til visse bestemmelser, jf. stk. 2. Dette svarer i
begrænset omfang til opregningen i lov om offentlige myndigheders
registre § 29, stk. 1. Endvidere pålægges der
databehandlere straf for overtrædelse af § 41, stk. 3, eller § 53.
Efter bestemmelsen i stk. 3 kan der
pålægges straf i forbindelse med behandlinger, som er omfattet af
en anden medlemsstats lovgivning, men som Datatilsynet efter § 64,
stk. 1, påser lovligheden af. Med bestemmelsen sikres det, at der
vil kunne pålægges databehandlere strafansvar, hvis de ikke
efterlever tilsynets påbud eller forbud efter § 59, hvis de ikke
opfylder tilsynets krav efter 62, stk. 1, eller hvis de hindrer tilsynet
i at udføre inspektioner, jf. § 62, stk. 3 og 4.
Efter bestemmelsen i stk. 4 kan der i regler,
der udstedes i medfør af loven, fastsættes straf af enten
bøde eller hæfte. Bestemmelsen svarer til lov om private
registre § 27, stk. 2. Den afløser endvidere lov om
offentlige myndigheders registre § 29, stk. 2.
Bestemmelsen i stk. 5 sikrer, at der kan
pålægges selskaber m.v. (juridiske personer) strafansvar. Dette
sker efter reglerne i straffelovens 5. kapitel.
Til § 71
Bestemmelsen afløser reglen i lov om private
registre § 28 om frakendelse af retten til at drive eller
beskæftige sig med kreditoplysningsbureauvirksomhed, advarselsregistre
og edb-servicebureauer. Bestemmelsen gælder imidlertid også for
personer, som erhvervsmæssigt yder bistand ved
stillingsbesættelse samt personer, som fører
retsinformationssystemer. Straffelovens bestemmelser om tidsmæssig
begrænsning af frakendelsen af retten og om umiddelbar udelukkelse af
denne under sagens behandling m.v. finder tillige anvendelse.
Til kapitel 19
Afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser m.v.
Til § 72
Bestemmelsen giver hjemmel for vedkommende minister til at
udstede en bekendtgørelse, hvori der kan fastsættes
nærmere regler for en behandling, som foretages for den offentlige
forvaltning. Hvis der er tale om en behandling, som foretages for en kommunal
eller amtskommunal myndighed, fastsættes reglerne af den minister,
under hvis område den pågældende lovgivning hører.
Inden reglerne udstedes, skal der indhentes en udtalelse fra Datatilsynet,
jf. § 57.
En bekendtgørelse udstedt i medfør af
§ 72 bør indeholde mindst de oplysninger, som skal indgå i
en anmeldelse til Datatilsynet, jf. § 43, stk. 2, men erstatter
ikke denne anmeldelse. Herudover kan der fastsættes nærmere
regler, som supplerer eller præciserer de regler, der følger
direkte af loven, f.eks. vedrørende indsigtsretten, videregivelse af
oplysninger og de sikkerhedsforanstaltninger, der knytter sig til den
pågældende behandling. Der vil således i en
bekendtgørelse udstedt efter bestemmelsen kunne fastsættes
regler, der begrænser den adgang til at videregive oplysninger,
herunder følsomme oplysninger, som følger af lovforslagets
behandlingsregler, f.eks. lovforslagets § 10 om videregivelse af
følsomme oplysninger til brug for statistiske eller videnskabelige
undersøgelser. En forudsætning herfor er selvsagt, at reglerne
er forenelige med direktivet om behandling af personoplysninger. Reglerne
offentliggøres i Lovtidende og må derfor ikke indeholde
oplysninger, som det er påkrævet at hemmeligholde af hensyn til
gennemførelse af de foreskrevne kontrol- og sikkerhedsforanstaltninger
eller på grund af afgørende hensyn til andre offentlige
interesser.
Bestemmelsen tager sigte på behandlinger, hvor
særlige forhold taler for, at der på bekendtgørelsesniveau
fastsættes nærmere regler for behandlingen. Sådanne
særlige forhold kan f.eks. være, at der i behandlingen
indgår meget store mængder af følsomme oplysninger, eller
at der er tale om en behandling, som indebærer en høj grad af
publikumskontakt i form af henvendelser til og fra borgerne.
Til § 73
Af bestemmelsen følger, at justitsministeren kan
fastsætte nærmere regler for bestemte typer af behandlinger, som
udføres for private dataansvarlige, herunder at bestemte typer
oplysninger ikke må behandles. Bestemmelsen har sin baggrund i den
ordning, som i dag følger af lov om private registre § 3,
stk. 8. Bestemmelsen giver - ligesom den gældende ovennævnte
bestemmelse - bl.a. mulighed for at fastsætte nærmere regler for
pengeinstitutters videregivelse af kreditoplysninger. Reglerne i den
gældende bekendtgørelse herom (bekg. nr. 122 af 11. marts 1988)
vil således kunne opretholdes i medfør af bestemmelsen.
Herudover vil det kunne præciseres, hvilke oplysninger der må
indgå i bestemte behandlinger, samt hvordan de må indsamles,
registreres, videregives m.v.
Til § 74
Af bestemmelsen følger, at brancheforeninger eller
andre organer, som repræsenterer andre kategorier af private
dataansvarlige, i samarbejde med Datatilsynet kan udarbejde
adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne
i loven eller regler udstedt i medfør heraf. Af bestemmelsen
følger ikke en forpligtelse til at udarbejde (ikke-bindende)
adfærdskodekser. Bestemmelsen er således alene indsat for i
overensstemmelse med direktivets artikel 27 at tilskynde brancheforeninger
m.v. til at tage initiativ til, at der i samarbejde med Datatilsynet
udarbejdes et sæt etiske regler på deres område. Et
eksempel på regler, der allerede i dag er udarbejdet, er de
presseetiske regler, som gælder for journalistisk virksomhed omfattet
af medieansvarsloven. I de tilfælde, hvor der udarbejdes
adfærdskodekser, forudsættes det, at Datatilsynet påser, at
et sådan sæt regler ikke er i uoverensstemmelse med reglerne i
loven samt regler udstedt i medfør heraf. Hvis Datatilsynet finder det
nødvendigt, kan tilsynet indhente bemærkninger til udarbejdede
udkast hos de registrerede eller deres repræsentanter.
Til § 75
Bestemmelsen er indsat for at tilvejebringe det
fornødne hjemmelsgrundlag for justitsministeren til om
nødvendigt at fastsætte administrative bestemmelser til
opfyldelse af de gennemførelsesforanstaltninger, som
Europa-Kommissionen måtte vedtage efter proceduren i direktivets
artikel 31, jf. nærmere artikel 25 og 26 vedrørende
overførsel af oplysninger til tredjelande.
Af bestemmelsen følger endvidere, at
justitsministeren kan fastsætte regler, som er nødvendige for at
anvende de af fællesskabet udstedte retsakter på direktivets
område.
Til § 76
Til stk. 1
I bestemmelsen fastsættes det, at loven træder
i kraft dagen efter bekendtgørelsen i Lovtidende. Bestemmelsen skal
ses i lyset af direktivets artikel 32, stk. 1, hvorefter direktivet skulle
have været implementeret i dansk ret senest den 24. oktober 1998.
Til stk. 2
Bestemmelsen indebærer, at den gældende
registerlovgivning ophæves. Bestemmelsen betyder endvidere, at de
registerforskrifter, som er udstedt efter loven om offentlige myndigheders
registre, og de regler, der i øvrigt er udstedt efter
registerlovgivningen, bortfalder, jf. dog § 76, stk. 4. Dette indebærer
bl.a., at kravene til behandlingssikkerhed fra og med lovens
ikrafttræden ikke længere vil fremgå af forskrifterne for
offentlige myndigheders edb-registre. Kravene vil i stedet følge af
loven og de bekendtgørelser, som udstedes i medfør af loven,
jf. lovens kapitel 11.
En tilladelse til behandling af oplysninger, som er
udstedt efter den gældende registerlovgivning, kan ikke danne grundlag
for behandling af oplysninger fra og med lovens ikrafttræden. Fra dette
tidspunkt skal lovligheden af den behandling, som tilladelsen
vedrører, således bedømmes efter lovens regler.
Kræver disse regler tilladelse, må den dataansvarlige ikke
foretage behandlingen uden tilladelse, jf. dog § 77 og bemærkningerne
hertil.
Til stk. 3
Bestemmelsen betyder, at de personer, som ved lovens
ikrafttræden er medlemmer af Registerrådet, fortsætter som
medlemmer af Datarådet. Dette gælder, indtil justitsministeren
har udnævnt medlemmerne af Datarådet i henhold til lovens § 55,
stk. 3.
Bestemmelsen sikrer, at Datatilsynet kan træde i
funktion, når loven er trådt i kraft.
Til stk. 4
I bestemmelsen fastsættes det, at
bekendtgørelse nr. 160 af 20. april 1979 om forretningsorden for
registerrådet m.v. gælder for Datatilsynets virksomhed, indtil
den ophæves eller erstattes af regler udstedt i medfør af denne
lov. Herved sikres det, at der - på lovens
ikrafttrædelsestidspunkt - vil være fastsat regler om bl.a.
arbejdets fordeling mellem Datarådet og sekretariatet.
Datarådet vil selv kunne fastsætte sin
forretningsorden m.v. og dermed ophæve reglerne i den ovennævnte
bekendtgørelse om forretningsorden for Registerrådet m.v., jf.
bemyndigelsesbestemmelsen i lovens § 55, stk. 4.
Til stk. 5
De foreslåede regler indebærer, at der ikke i
fremtiden skal udarbejdes registerforskrifter, og at de forskrifter, som er
udstedt, bortfalder fra lovens ikrafttræden, jf. stk. 2.
I medfør af § 2 i loven om udgivelse af en
Lovtidende og en Ministerialtidende er der udstedt en kongelig anordning,
hvorefter registerforskrifterne ikke indføres i Lovtidende (anordning
nr. 73 af 5. marts 1979).
Denne anordning bortfalder ikke som følge af, at
den gældende registerlovgivning ophæves. Det skyldes, at
anordningen ikke er udstedt med hjemmel i lov om offentlige myndigheders
registre, men - som nævnt - med hjemmel i lov om udgivelse af en
Lovtidende og en Ministerialtidende.
I bestemmelsen fastsættes det derfor, at den
nævnte anordning ophæves.
Til stk. 6
I bestemmelsen fastsættes det, at Datatilsynet -
efter reglerne i lov om offentlige myndigheders registre og lov om private
registre m.v. - færdigbehandler de klage- eller tilsynssager i
Registertilsynet, som tilsynet har oprettet før den 24. oktober 1998,
og som ikke måtte være færdigbehandlet ved lovens
ikrafttræden.
Sager, hvori Registertilsynet før den 24. oktober
1998 er blevet anmodet om tilladelse til en behandling af oplysninger, og som
ikke måtte være færdigbehandlet ved lovens
ikrafttræden, skal ikke færdiggøres efter de hidtil
gældende regler.
Til stk. 7
I bestemmelsen fastsættes det, at Datatilsynet i
øvrigt udfører de opgaver, som efter lovgivningen
udføres af Registertilsynet. Dette skal ske fra og med lovens
ikrafttræden (dagen efter bekendtgørelsen i Lovtidende), hvor
lov om offentlige myndigheders registre og lov om private registre m.v. - og
dermed reglerne om Registertilsynet - ophæves, jf. stk. 2.
Som eksempler på bestemmelser i lovgivningen, som
tillægger Registertilsynet kompetence m.v., kan nævnes § 14, stk.
2-4, og § 24, stk. 3, i lov om offentlige arkiver m.v., § 91 i lov om
værdipapirhandel m.v. og § 3 i lov om gennemførelse af
Europolkonventionen.
Det forudsættes, at de bestemmelser i lovgivningen,
hvori Registertilsynet er nævnt, ved først givne lejlighed
bliver ændret, således at der tages højde for, at
tilsynsmyndigheden fremover betegnes »Datatilsynet«.
Til § 77
Til stk. 1 og 2
I bestemmelserne fastsættes det, hvornår
behandlinger, som er iværksat før den 24. oktober 1998, skal
være anmeldt m.v. efter de herom gældende regler i kapitel
12-14.
Bl.a. for at undgå, at Datatilsynet overbebyrdes med
anmeldelser m.v., er det i bestemmelsen fastsat, at for behandlinger, som er
iværksat før den 24. oktober 1998, og som foretages for private,
skal reglerne i kapitel 13 være opfyldt senest den 1. oktober 2000,
mens det for sådanne behandlinger, der foretages for offentlige
myndigheder, gælder, at reglerne i kapitel 12 (forvaltningsmyndigheder)
og kapitel 14 (domstolene) skal være opfyldt senest den 1. april
2001.
For nogle behandlinger indebærer lovens regler, at
der ikke blot skal ske anmeldelse til tilsynsmyndigheden, men at
tilsynsmyndigheden skal give tilladelse, inden behandlingerne
iværksættes, eller (hvor der er tale om offentlige myndigheder)
komme med en forudgående udtalelse, jf. lovens § 45 (vedrørende
forvaltningsmyndigheder), § 50 (vedrørende private dataansvarlige) og
§ 52 (vedrørende domstolene). De dataansvarlige (eller deres
repræsentanter) må derfor indsende anmeldelse vedrørende
disse behandlinger i så god tid, at tilsynsmyndigheden vil kunne
nå at udstede tilladelse/komme med en forudgående udtalelse inden
det tidspunkt, hvor tilladelse/forudgående udtalelse er
nødvendig, dvs. inden den 1. oktober 2000 (for de private
dataansvarlige) og inden den 1. april 2001 (for de offentlige
myndigheder).
Til stk. 3
Efter behandlingsreglerne i lovforslagets afsnit II skal
der i visse tilfælde gives tilladelse til behandling af oplysninger.
Som eksempel kan nævnes lovforslagets § 7, stk. 7, § 10, stk. 3, og §
27, stk. 4.
Reglerne i lovforslaget vil finde anvendelse på
behandlinger, der foretages fra og med lovens ikrafttræden. Der kan
derfor opstå den situation, at en behandling, som er iværksat
før den 24. oktober 1998, hvor direktivet skulle have været
gennemført i dansk ret, og som er lovlig umiddelbart forud for lovens
ikrafttræden, ikke kan foretages umiddelbart efter lovens
ikrafttræden, fordi der skal være indhentet forudgående
tilladelse til behandlingen.
Under hensyn hertil fastsættes det i bestemmelsen,
at behandlinger, der er iværksat før den 24. oktober 1998, kan
fortsætte uden tilladelse i 16 uger efter lovens ikrafttræden. I
udtrykket »fortsætte« ligger, at de dataansvarlige, der efter
behandlingsreglerne i lovforslagets afsnit II eller efter bestemmelsen i stk.
7 skal have tilladelse til behandlingen af oplysninger, i en periode
på 16 uger efter lovens ikrafttræden vil kunne bortse fra kravet
herom, hvis der er tale om en behandling, der forud for lovens
ikrafttræden var lovlig efter reglerne i registerlovgivningen. Det
forudsættes, at der er tale om en behandling, der i øvrigt lever
op til lovens krav.
Det forudsættes, at tilsynsmyndigheden meget hurtigt
efter, at ansøgningen om tilladelse er indgivet, tager stilling til,
om der skal gives tilladelse til den pågældende behandling.
Til stk. 4
Bestemmelsen indebærer, at behandlinger, der er
iværksat den 24. oktober 1998 eller senere, men inden lovens
ikrafttræden, kan fortsætte uden forudgående anmeldelse,
udtalelse eller tilladelse i 16 uger efter lovens ikrafttræden.
Bestemmelsen omfatter de tilfælde, hvor der efter behandlingsreglerne i
lovforslagets afsnit II (f.eks. lovforslagets § 7, stk. 7, og § 10, stk. 3)
eller efter bestemmelsen i stk. 7 skal gives tilladelse til behandling af
oplysninger. Bestemmelsen omfatter endvidere de situationer, hvor den
dataansvarlige efter reglerne i lovforslagets kapitel 12-14 skal foretage
forudgående anmeldelse og eventuelt tillige skal have en
forudgående udtalelse (offentlige myndigheder) eller tilladelse
(private dataansvarlige).
Ligesom i stk. 3 betyder udtrykket »fortsætte«, at
de dataansvarlige, der efter ovennævnte regler i lovforslaget skal
foretage anmeldelse, indhente tilladelse m.v. til behandlingen, i en
periode på 16 uger efter lovens ikrafttræden vil kunne bortse fra
kravet herom, hvis der er tale om en behandling, der forud for lovens
ikrafttræden var lovlig efter reglerne i registerlovgivningen. Det
forudsættes, at der er tale om en behandling, der i øvrigt lever
op til lovens krav.
Til stk. 5
Af bestemmelsen følger, at databehandlere
(edb-servicebureauer) senest 16 uger efter lovens ikrafttræden skal
foretage anmeldelse til Datatilsynet i overensstemmelse med reglen i
lovforslagets § 53.
Til stk. 6
Bestemmelsen indebærer, at justitsministeren - ved
bekendtgørelse - kan forlænge de frister, der er fastsat i stk.
1 og 2.
Bestemmelsen tager sigte på den situation, at det i
praksis ikke er muligt eller meget vanskeligt at overholde de fastsatte
frister. Vurderingen af, om fristerne bør forlænges, vil ske
på baggrund af en udtalelse fra tilsynsmyndigheden (Datatilsynet).
Det forudsættes, at der i givet fald vil blive tale
om at forlænge fristerne med 6 måneder. Det bemærkes i den
forbindelse, at det følger af direktivets artikel 32, stk. 2, at
medlemsstaterne bl.a. påser, at behandlinger i medlemslandene, der
allerede er iværksat på ikrafttrædelsesdatoen for
direktivet, bringes i overensstemmelse med direktivets bestemmelser senest
den 24. oktober 2001.
Til stk. 7
Fra og med lovens ikrafttræden skal
spørgsmålet om, hvorvidt en behandling af oplysninger er lovlig,
bedømmes efter lovens behandlingsregler, jf. afsnit II.
Disse regler skønnes at give mulighed for, at
behandling af oplysninger (registrering, videregivelse m.v.), som foretages
efter de hidtil gældende regler, også kan finde sted efter lovens
ikrafttræden.
I bestemmelsen fastsættes det dog, at
tilsynsmyndigheden efter ansøgning i ganske særlige
tilfælde kan dispensere fra lovens behandlingsregler med hensyn til
behandlinger, som er iværksat før lovens ikrafttræden.
Bestemmelsen forudsættes at have et meget
snævert anvendelsesområde. Der sigtes navnlig til en eventuel
situation, hvor en privat dataansvarlig - som følge af de nye
behandlingsregler - fuldstændigt må ophøre med en
behandling af oplysninger (registrering eller videregivelse), der er
iværksat efter de hidtil gældende regler, og derved lider
væsentlig økonomisk skade, f.eks. fordi virksomheden må
lukke.
Der kan alene dispenseres fra lovens behandlingsregler,
jf. afsnit II. Der kan således f.eks. ikke dispenseres fra reglerne i
lovens afsnit III om den registreredes rettigheder. Der kan heller ikke
dispenseres fra f.eks. anmeldelsesordningen i afsnit V, jf. herom stk. 1 og
2.
Det er selvsagt en forudsætning for at dispensere,
at dispensationen ikke er i strid med direktivet.
Til § 78
Til stk. 1
I bestemmelsen fastsættes det, at behandlinger, som
før lovens ikrafttræden er anmeldt til Registertilsynet efter §
2, stk. 3, 2. pkt., i lov om private registre m.v., kan fortsætte efter
de hidtil gældende regler indtil den 1. oktober 2001. Datatilsynet
udøver den kompetence, som tilkommer Registertilsynet efter de
nævnte regler.
Efter § 2, stk. 3, 2. pkt., i lov om private registre m.v.
må registrering af oplysninger om enkeltpersoners rent private forhold,
der alene finder sted til videnskabelige eller statistiske formål, kun
ske efter anmeldelse til Registertilsynet. Tilsynet kan fastsætte
nærmere vilkår for registeret til beskyttelse af den
registreredes privatliv. Der var pr. 1. november 1997 ca. 2460
igangværende registre, som var anmeldt efter den nævnte
bestemmelse i lov om private registre m.v.
Hvis der efter den nævnte bestemmelse anmeldes et
register til Registertilsynet før lovens ikrafttræden,
indebærer bestemmelsen, at Datatilsynet kan fastsætte
vilkår for dette register efter loven om private registre m.v., selv om
dette sker efter lovens ikrafttræden. Tilsvarende er det Datatilsynet,
der fører tilsyn med overholdelsen af vilkårene efter reglerne i
lov om private registre m.v.
Et forsknings- eller statistikregister, der er omfattet af
bestemmelsen, kan - på et hvilket som helst tidspunkt inden den 1.
oktober 2001 - vælge at indgive anmeldelse til Datatilsynet,
således at registret omfattes af den nye lovs regler.
Til stk. 2
Bestemmelsen indebærer, at behandlingen som
nævnt i stk. 1 skal overholde lovens § 5 om
formålsbestemthed m.v. og §§ 41-42 om behandlingssikkerhed m.v.
Bestemmelsen fastsætter herudover, at den registrerede for
behandlinger, der er nævnt i stk. 1 - uanset at loven i øvrigt
ikke finder anvendelse - kan kræve berigtigelse, sletning eller
blokering af oplysninger, der er urigtige eller vildledende, eller som
opbevares på en måde, der er uforenelig med de legitime
formål, som den dataansvarlige forfølger, f.eks. opbevares
sikkerhedsmæssigt uforsvarligt. Datatilsynet fører tilsyn efter
reglerne i lovens kapitel 16.
Til § 79
Efter bestemmelsen skal der ikke indhentes fornyet
samtykke til en behandling, der foretages efter lovens ikrafttræden,
hvis der allerede er indhentet et samtykke efter den hidtil gældende
registerlovgivning. Det drejer sig om § 3, stk. 2, § 4,
stk. 1 og 2, § 4 a, stk. 1, § 4 a, stk. 2, og
§ 4 b, stk. 2, i lov om private registre m.v., samt om § 16,
stk. 2, nr. 1, § 16 a, stk. 1, § 17, stk. 2,
§ 21, stk. 2, nr. 1, og § 21, stk. 3, i lov om offentlige
myndigheders registre. Det drejer sig endvidere om bestemmelser i forskrifter
fastsat i henhold til kapitel 2 i lov om offentlige myndigheders registre og
om § 2, stk. 2, og § 3 i bekendtgørelse nr. 523 af 11.
august 1986 om virksomheder, der erhvervsmæssigt yder bistand ved
stillingsbesættelse.
En betingelse herfor er dog, at samtykket opfylder de krav
til samtykke, der stilles efter denne lov, jf. lovens § 3, nr. 8,
sammenholdt med de bestemmelser, der er nævnt i bestemmelsen.
Til § 80
Bestemmelsen viderefører reglen i § 5,
stk. 3, i lov om offentlighed i forvaltningen, hvorefter vedkommende
minister kan fastsætte regler om offentlighedens adgang til at blive
gjort bekendt med oplysninger i edb-registre m.v., der ikke er omfattet af
lov om offentlige myndigheders register. Der kan herunder fastsættes
regler om betaling.
Med forslaget til ændring af bestemmelsen i
offentlighedslovens § 5, stk. 3, præciseres det således
kun, at lov om offentlige myndigheders registre afløses af en ny
lovgivning.
Der henvises i øvrigt til
betænkningen, side 157, 164 og 531 f.
Til § 81
Til nr. 1
Med bestemmelsen tages højde for, at
Registertilsynet foreslås benævnt Datatilsynet, jf. herved
§ 55, stk. 1, samt bemærkningerne hertil.
Til nr. 2
Af den nuværende bestemmelse i lov om massemediers
informationsdatabaser § 17 følger, at lovgivningens almindelige
straf- og erstatningsregler finder anvendelse på sager omfattet af
denne lov.
Som følge af direktivets artikel 23, der
fastslår en regel om præsumptionsansvar ved dataansvarliges
behandling af personoplysninger, som er omfattet af direktivets område,
vil bestemmelsen ikke fuldt ud kunne opretholdes.
I bestemmelsen er det derfor fastsat, at et massemedie
skal erstatte skade, der er forvoldt ved behandling af oplysninger i strid
med bestemmelserne i loven, medmindre massemediet godtgør, at skaden
ikke kunne være afværget ved den agtpågivenhed og omhu, der
må kræves i forbindelse med behandling af oplysninger, jf.
stk. 1, 1. pkt.
Med hensyn til de øvrige erstatningsretlige
spørgsmål, som vil kunne opstå i tilknytning til
massemediers behandling af personoplysninger, foreslås det, at den
nuværende ordning opretholdes, jf. stk. 1, 2. pkt. Det vil
således fortsat være lovgivningens almindelige erstatningsregler,
herunder bl.a. arbejdsgiveransvaret i Danske Lovs 3-19-2 og reglerne i
erstatningsansvarsloven, som finder anvendelse.
Vedrørende spørgsmålet om strafansvar
foreslås den gældende ordning opretholdt, jf. stk. 2. Det
vil således fortsat være lovgivningens almindelige regler om
straf, som finder anvendelse på sager omfattet af loven. Henvisningen
til lovgivningens almindelige strafregler betyder dermed, at straffelovens
§ 23 om medvirken fortsat vil kunne anvendes. Ligeledes vil det fortsat
være de almindelige krav om forsæt eller uagtsomhed, som skal
være opfyldt for, at strafansvar kan pålægges.
Endelig foreslås den gældende bestemmelse i
stk. 3 tilpasset reglerne om juridiske personers strafansvar i
straffelovens 5. kapitel. Der henvises herved til lov nr. 474 af 12. juni
1996 om ændring af straffeloven.
Til nr. 3
Efter bestemmelsen skal der træffes de
fornødne sikkerhedsforanstaltninger mod, at informationer i offentligt
tilgængelige informationsdatabaser forvanskes eller på anden
måde ændres af uvedkommende. Bestemmelsen skal ses på
baggrund af direktivet om behandling af personoplysninger.
Forpligtelsen til at sikre behandlingssikkerheden i en
offentligt tilgængelige informationsdatabase påhviler den, der
efter lov om massemediers informationsdatabaser § 7 er ansvarlig for
informationsdatabasen.
Der henvises i øvrigt til lovforslagets almindelige
bemærkninger pkt. 4.2.10.3.
Til nr. 4
Med bestemmelsen lægges der op til, at den, der
overtræder den foreslåede regel i § 11 a i lov om massemediers
informationsdatabaser (lovforslagets § 81, nr. 3), straffes med bøde
eller hæfte.
Til § 82
Med hensyn til bestemmelsen i nr. 1 bemærkes
følgende:
Efter tinglysningslovens § 50 d, stk. 1, fastsætter
justitsministeren efter drøftelse med Registertilsynet
nærmere regler med henblik på at sikre, at oplysninger i
tinglysningsregistrene ikke tilintetgøres, forvanskes eller
uberettiget indføjes, slettes eller ændres, samt med henblik
på at sikre, at oplysninger ikke misbruges eller kommer til
uvedkommendes kendskab.
Med bestemmelsen foreslås det, at
høringsproceduren ved udarbejdelse af administrative forskrifter
på tinglysningsområdet skal svare til den, der i øvrigt
foreslås med hensyn til behandling af personoplysninger
vedrørende domstolenes administrative forhold.
Ordningen efter lovforslaget går ud på, at der
skal indhentes en udtalelse fra Domstolsstyrelsen, inden der
udarbejdes bekendtgørelser eller lignende generelle retsforskrifter,
der har betydning for beskyttelsen af privatlivet i forbindelse med
behandling af oplysninger, der foretages for domstolene, jf. lovforslagets §
68, stk. 2. Derimod skal Datatilsynet, der ikke fører tilsyn på
dette område, ikke inddrages ved udarbejdelsen af
bekendtgørelser m.v.
På denne baggrund foreslås det i bestemmelsen,
at justitsministeren fastsætter regler som nævnt i
tinglysningslovens § 50 d efter drøftelse med
Domstolsstyrelsen.
Med hensyn til bestemmelserne i nr. 2
bemærkes følgende:
Efter tinglysningslovens § 50 d, stk. 2, fører
landsretternes præsidenter tilsyn med tinglysningsregistrene. Tilsynet
omfatter den teknisk-administrative behandling af oplysningerne m.v.,
herunder overholdelsen af de regler om datasikkerhed, som er fastsat efter
lovens § 50 d, stk. 1. Beslutninger om registrering (tinglysning) og om
videregivelse af oplysninger fra edb-registrene i praksis navnlig efter
reglerne i tinglysningslovens § 50 c, stk. 3-7 er derimod judicielle
afgørelser, der kan indbringes for landsretten ved kære.
Landsretspræsidenternes tilsyn føres efter
regler, der efter forhandling med landsretspræsidenterne og
Registertilsynet fastsættes af justitsministeren, jf. § 50 d, stk. 3.
Tilsynet indebærer bl.a. stikprøvevis inspektion på
tinglysningskontorerne samt behandling af eventuelle klager, f.eks. over at
sikkerhedsforanstaltningerne ved et tinglysningskontor er
utilstrækkelige. Præsidenternes afgørelser efter lovens §
50 d, stk. 2, er endelige.
Tilsynsordningen på tinglysningsområdet
bør svare til den, der i øvrigt foreslås med hensyn til
behandling af personoplysninger vedrørende domstolenes administrative
forhold. Ordningen efter lovforslaget om behandling af personoplysninger
går ud på, at Domstolsstyrelsen skal føre tilsyn med
behandling af personoplysninger vedrørende domstolens administrative
forhold, jf. lovforslagets § 67, stk. 1-2.
Under hensyn hertil foreslås det i bestemmelsen til
en ny affattelse af tinglysningslovens § 50 d, stk. 2, at Domstolsstyrelsen
overtager de opgaver, som i dag er henlagt til landsretspræsidenterne
med hensyn til tilsynet med tinglysningsregistrene. Der ændres ikke i
øvrigt ved den nuværende særlige ordning på
tinglysningsområdet.
Endvidere foreslås det i bestemmelsen til en ny
affattelse af tinglysningslovens § 50 d, stk. 3, at justitsministeren
fastsætter regler for tilsynet efter forhandling med Domstolsstyrelsen.
Den gældende ordning, hvorefter Registertilsynet tillige skal
høres, inden justitsministeren fastsætter regler for tilsynet,
foreslås ikke opretholdt. Om baggrunden herfor henvises til
bemærkningerne ovenfor til ændringen af bestemmelsen i
tinglysningslovens § 50 d, stk. 1.
Til § 83
Lov om private registre gælder ikke for
Færøerne, jf. lovens § 31. I stedet gælder
lagtingslov nr. 107 af 15. november 1984 om private registre m.v. med senere
ændringer.
Lov om offentlige myndigheders registre er i medfør
af lovens § 32 ved kongelig anordning nr. 385 af 1. juli 1988 sat i
kraft for registre, der føres for rigsmyndighederne på
Færøerne. Loven gælder ikke for registre, der føres
for det færøske hjemmestyres myndigheder. I stedet gælder
lagtingslov nr. 62 af 5. juni 1984 om offentlige myndigheders registre med
senere ændringer.
Lovforslagets § 83, 1. pkt., fastsætter
på den baggrund, at loven ikke gælder for Færøerne,
men at den ved kongelig anordning kan sættes i kraft for
rigsmyndighedernes behandling af oplysninger på Færøerne
med de afvigelser, som de særlige færøske forhold
tilsiger.
Hverken lov om private registre eller lov om offentlige
myndigheders registre indeholder bestemmelser om lovenes gyldighed for
Grønland.
Det indebærer, at lov om private registre og lov om
offentlige myndigheders registre gælder for Grønland.
Det er dog alene den oprindelige lov om private registre
og den oprindelige lov om offentlige myndigheders registre (hovedlovene), der
gælder for Grønland, idet alle senere ændringer af de to
love indeholder bestemmelser om, at de ikke gælder for
Grønland.
Grønlands hjemmestyre vil ved landstingslov kunne
fastsætte regler om behandling af oplysninger, dog bortset fra
rigsmyndighedernes behandling af personoplysninger i Grønland. I den
forbindelse vil hjemmestyret kunne ændre eller ophæve reglerne i
lov om private registre og lov om offentlige myndigheders registre, jf.
hjemmestyrelovens § 19.
Grønlands Hjemmestyre har under hensyn til, at
registerområdet endnu ikke er overtaget af hjemmestyret som
særanliggende anbefalet, at der indarbejdes en bestemmelse i
lovforslaget, der giver mulighed for ved kongelig anordning at sætte
loven om behandling af personoplysninger i kraft for hele Grønland
og ikke blot for rigsmyndighederne.
Det foreslås på denne baggrund, at loven om
behandling af personoplysninger ved kongelig anordning kan sættes i
kraft for hele Grønland med de afvigelser, som de særlige
grønlandske forhold tilsiger, jf. lovforslagets § 83, 2. pkt.
Det bemærkes, at den oprindelige lov om private
registre og den oprindelige lov om offentlige myndigheders registre
(hovedlovene) forbliver i kraft for Grønland, selv om lovene
ophæves i Danmark i forbindelse med gennemførelsen af dette
lovforslag. De nævnte love vil kunne ændres eller ophæves
af hjemmestyret.
Bilag
+++FIGUR+++
Officielle noter
1) Loven
gennemfører Europa-Parlamentet og Rådets direktiv 95/46/EF af
24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne
oplysninger (EF-tidende 1995 L 281, side 31 ff.).
Hej! Jeg kan hjælpe dig med at forstå "Forslag til Lov om behandling af personoplysninger". Stil mig et spørgsmål, eller prøv et af forslagene. Hele lovteksten er inkluderet i min viden.