Forslag til Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) § 48

Loven gælder ikke for Færøerne og Grønland.

1) Tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen er i overensstemmelse med forordningen.

2) Foranstaltninger til sikring af, at det er muligt efterfølgende at undersøge og fastslå, om og af hvem der er behandlet personoplysninger (logning).

3) Frivillig udpegning af databeskyttelsesrådgiver, jf. databeskyttelsesforordningens artikel 37, stk. 4.

4) Fastsættelse af interne regler om organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer.

5) Foranstaltninger til sikring af, at alene personer, som den dataansvarlige autoriserer hertil, fordi det er nødvendigt, kan få adgang til personoplysninger.

6) Fastsættelse af retningslinjer for den dataansvarliges tilsyn med overholdelsen af de sikkerhedsforanstaltninger, herunder løbende opfølgning og revision.

7) Fornøden instruktion fra den dataansvarliges side til de medarbejdere, som behandler personoplysningerne.

8) Foranstaltninger – på steder, hvor der foretages behandling af personoplysninger – med henblik på at forhindre uvedkommendes adgang til oplysningerne.

9) Pseudonymisering af personoplysninger.

10) Kryptering af personoplysninger.

11) Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester i forbindelse med behandling af personoplysninger.

12) Sikring af sikkerheden i behandlingen, etablering af mekanismer for regelmæssig revision, vurdering og evaluering af effektiviteten af tekniske og organisatoriske. foranstaltninger.

13) Registrering af afviste adgangsforsøg og tekniske foranstaltninger, der kan sikre blokering for yderligere forsøg, hvis det er nødvendigt.

14) den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56

15) det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 i overensstemmelse med ENISO/IEC 17065/2012 og med de supplerende krav, der er fastsat af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56.

16) den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43

17) certificeringsorganets forpligtelser i henhold til artikel 42 og 43

18) kontrolorganets forpligtelser i henhold til artikel 41, stk. 4.

19) De grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9

20) De registreredes rettigheder i henhold til artikel 12-22

21) Overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 44-49

22) Eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX

23) Manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglende adgang i strid med artikel 58, stk. 1.

24) Den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39, 42 og 43.

25) Certificeringsorganets forpligtelser i henhold til artikel 42 og 43.

26) Kontrolorganets forpligtelser i henhold til artikel 41, stk. 4.

27) De grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5-7 og 9.

28) De registreredes rettigheder i henhold til artikel 12-22.

29) Overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 44-49.

30) Manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglende adgang i strid med artikel 58, stk. 1.

31) Undladelse af at efterkomme påbud fra tilsynsmyndigheden efter artikel 58, stk. 2.

32) Overtrædelse af forordningens artikel 10, medmindre forholdet er omfattet af § 8. Artikel 10 regulerer behandling af personoplysninger vedrørende straffedomme og lovovertrædelser, men der henvises ikke til artikel 10 i artikel 83, stk. 5, litra a, om sanktionering af overtrædelse af de grundlæggende principper for behandling. Her henvises alene til artikel 5-9. Efter Justitsministeriets opfattelse bør overtrædelse af artikel 10 imidlertid kunne sanktioneres strafferetligt i samme omfang som overtrædelser af de øvrige behandlingsregler i forordningen, jf. artikel 5-9. Lovforslagets § 8 fastsætter nærmere regler om behandling af oplysninger om strafbare forhold, og det foreslås, at overtrædelse af § 8 skal kunne sanktioneres strafferetligt på linje med overtrædelse af artikel 6, jf. ovenfor. Der er et betydeligt overlap mellem artikel 10 og § 8, men for at sikre, at alle forhold, som udgør en overtrædelse af artikel 10, kan sanktioneres strafferetligt, foreslås der en særskilt bestemmelse om overtrædelse af artikel 10, hvor forholdet ikke er omfattet af § 8.

33) Overtrædelse af § 24 om databeskyttelsesrådgiveres tavshedspligt. Overtrædelse af tavshedspligten bør efter Justitsministeriets opfattelse kunne straffes.

34) Undladelse af at efterkomme Datatilsynets krav mv. efter § 29, herunder jf. § 32. Efter § 29, stk. 1, kan Datatilsynet kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under databeskyttelsesforordningens og lovens bestemmelser. Undladelse af at efterkomme denne pligt bør kunne straffes, sådan som det også er tilfældet med hensyn til den tilsvarende bestemmelse i persondatalovens § 62, som er strafsanktioneret i persondatalovens § 70, stk. 1, nr. 3. Efter § 29, stk. 2, har Datatilsynet mod behørig legitimation til enhver tid uden retskendelse adgang til alle lokaler, hvorfra en behandling af personoplysninger foretages. Hindring for Datatilsynets adgang efter bestemmelsen bør også kunne straffes, sådan som det i et vist omfang også er tilfældet med hensyn til den tilsvarende bestemmelse i persondatalovens § 62. De nævnte forhold bør også kunne straffes, når Datatilsynet i medfør af § 32 kræver oplysninger eller adgang efter § 29 i forbindelse med behandlinger, som er omfattet af en anden medlemsstats lovgivning, sådan som det i et vist omfang også er tilfældet med hensyn til den tilsvarende bestemmelse i persondatalovens § 64.

35) Undladelse af at efterkomme Datatilsynets afgørelser og krav eller tilsidesættelse af Datatilsynets vilkår, som disse afgørelser, krav og vilkår i øvrigt er hjemlet i lovforslaget.

36) At opfylde forordningens krav om kriminalisering efter artikel 83, stk. 4, jf. stk. 9, hvor forordningen har et loft for administrative bøder på 10.000.000 euro eller for virksomheder 2 pct. af årsomsætningen, hvis dette er højere. Der henvises til de foreslåede stk. 1, nr. 1-3, og stk. 2, nr. 1, for så vidt angår § 26.

37) At opfylde forordningens krav om kriminalisering efter artikel 83, stk. 5 og 6, jf. stk. 9, hvor forordningen har et loft for administrative bøder på 20.000.000 euro eller for virksomheder 4 pct. af årsomsætningen, hvis dette er højere. Der henvises til de foreslåede stk. 1, nr. 4-6, og stk. 2, nr. 2-5, samt nr. 1 for så vidt angår §§ 5-13, 20 og 21.

38) At kriminalisere visse andre forhold. Der henvises til de foreslåede stk. 2, nr. 6-8.