Lovudkast til forslag til lov om ændring af databeskyttelsesloven (Justering af aldersgrænsen for samtykke til behandling af personoplysninger i forbindelse med informationssamfundstjenester, ophævelse af bestemmelser om behandling af personoplysninger i forbindelse med markedsføring samt tilpasning af oplysningspligten og indsigtsretten hos Procesbevillingsnævnet og Folketingets Ombudsmand)

Side 1/3
Liste over myndigheder og organisationer mv., der høres over udkast
til forslag til lov om ændring af databeskyttelsesloven (Justering af al-
dersgrænsen for samtykke til behandling af personoplysninger i forbin-
delse med informationssamfundstjenester, ophævelse af bestemmelser
om behandling af personoplysninger i forbindelse med markedsføring
samt tilpasning af oplysningspligten og indsigtsretten hos Procesbevil-
lingsnævnet og Folketingets Ombudsmand)
Advokatrådet
Akademikernes – AC
Amnesty International
Ankenævnet for Patienterstatningen
Ankestyrelsen
Berlingske Media
BUPL
Børns Vilkår
Civilstyrelsen
Dagbladet Information
Danmarks Jurist- og Økonomforbundet (DJØF)
Danmarks Lærerforening
Danmarks Medie- og Journalisthøjskole
Danmarks Radio
Danmarks Tekniske Universitet
Dansk Erhverv
Dansk Folkeoplysnings Samråd
Dansk Industri
Dansk IT
Dansk Journalistforbund (DJ)
Dansk Markedsføring
Dato: 21. september 2023
Kontor: Databeskyttelseskontoret
Sagsbeh: Betty Nielsen Husted
Sagsnr.: 2023-7910-0037
Dok.: 2809948
Offentligt
DIU Alm.del - Bilag 149
Udvalget for Digitalisering og It 2022-23 (2. samling)
Side 2/3
Dansk Socialrådgiverforening
Dansk Sygeplejeråd
Danske Advokater
Danske Medier
Danske Regioner
Danske Patienter
Datatilsynet
Dataetisk Råd
Den Danske Dommerforening
Den Uafhængige Politiklagemyndighed
Det Juridiske Fakultet – Københavns Universitet
Digitalt Ansvar
Direktoratet for Kriminalforsorgen
Domstolsstyrelsen
Erhvervsstyrelsen
Fagbevægelsens Hovedorganisation (FH)
Fag og Arbejde (FOA)
Finans Danmark
Folketingets Ombudsmand
Forbrugerombudsmanden
Forbrugerrådet Tænk
Forsvarsministeriets Auditørkorps
Fængselsforbundet
Gymnasieskolernes Lærerforening (GL)
Handelshøjskolen – Aarhus Universitet
HK Danmark
Institut for Menneskerettigheder
IT-Branchen
Ingeniørforeningen, IDA
Juridisk Institut – Copenhagen Business School
Juridisk Institut – Syddansk Universitet
Juridisk Institut – Aalborg Universitet
Juridisk Institut – Aarhus Universitet
Justitia
Jyllands-Posten
Kommunernes Landsforening (KL)
Konkurrence- og Forbrugerstyrelsen
Kreakom
Kristeligt Dagblad
Landsforeningen af Forsvarsadvokater
Side 3/3
Lægeforeningen
Manderådet
Patienterstatningen
Patientforeningen
Politiforbundet
Politiken
Procesbevillingsnævnet
Red Barnet
Retspolitisk Forening
Rigsadvokaten
Rigspolitiet
Roskilde Universitet
Rådet for Digital Sikkerhed
Samtlige byretter
Samtlige ministerier
Samtlige regioner
Socialpædagogernes Landsforbund
Sø- og Handelsretten
TV2 DANMARK A/S
Vestre Landsret
Østre Landsret


UDKAST
Forslag
til
Lov om ændring af databeskyttelsesloven
(Justering af aldersgrænsen for samtykke til behandling af personoplysnin-
ger i forbindelse med informationssamfundstjenester, ophævelse af bestem-
melser om behandling af personoplysninger i forbindelse med markedsfø-
ring samt tilpasning af oplysningspligten og indsigtsretten hos Procesbevil-
lingsnævnet og Folketingets Ombudsmand)
§ 1
I databeskyttelsesloven, lov nr. 502 af 23. maj 2018, foretages følgende æn-
dringer:
1. I § 6, stk. 2 og 3, ændres »13« til: »15«.
2. § 13, stk. 1-3 og stk. 5-9, ophæves.
Stk. 4 bliver herefter stk. 1.
3. I § 22 indsættes som stk. 7 og 8:
»Stk. 7. Databeskyttelsesforordningens artikel 13-15 finder ikke anven-
delse på behandling af personoplysninger, der foretages af Procesbevil-
lingsnævnet i henhold til retsplejelovens § 22, stk. 1.
Stk. 8. Databeskyttelsesforordningens artikel 15 finder ikke anvendelse
på Folketingets Ombudsmands behandling af personoplysninger i sags-
akter fra myndigheder mv., der er sendt til ombudsmanden som led i be-
handlingen af en sag. Folketingets Ombudsmand videresender de i 1. pkt.
nævnte indsigtsanmodninger til de relevante myndigheder m.v.«
§ 2
Stk. 1. Loven træder i kraft den 1. januar 2024.
§ 3
Stk. 1. Loven gælder ikke for Færøerne og Grønland.
Offentligt
DIU Alm.del - Bilag 149
Udvalget for Digitalisering og It 2022-23 (2. samling)
UDKAST
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets hovedpunkter
2.1. Justering af aldersgrænsen for samtykke til behandling af personop-
lysninger i forbindelse med udbud af informationssamfundstjenester
2.1.1. Gældende ret
2.1.2. Anbefalinger fra regeringens ekspertgruppe om tech-giganter
2.1.3. Justitsministeriets overvejelser og den foreslåede ordning
2.2. Behandling af personoplysninger i forbindelse med markedsføring
2.2.1. Gældende ret
2.2.2. Justitsministeriets overvejelser
2.2.3. Den foreslåede ordning
2.3. Procesbevillingsnævnet undtages fra oplysningspligten og indsigts-
retten
2.3.1. Gældende ret
2.3.2. Justitsministeriets overvejelser og den foreslåede ordning
2.4. Tilpasning af adgangen til indsigt hos Folketingets Ombudsmand
2.4.1. Gældende ret
2.4.1.1. Forvaltningsloven og offentlighedsloven
2.4.1.2. Databeskyttelsesforordningen og -loven
2.4.2. Justitsministeriets overvejelser og den foreslåede ordning
3. Økonomiske konsekvenser og implementeringskonsekvenser for det of-
fentlige
4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
5. Administrative konsekvenser for borgerne
6. Klimamæssige konsekvenser
7. Miljø- og naturmæssige konsekvenser
UDKAST
3
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
UDKAST
4
1. Indledning
Med lovforslaget lægges der op til at foretage visse ændringer af databe-
skyttelsesloven på områder, hvor der siden lovens ikrafttræden har vist sig
behov for justeringer.
Justitsministeriet vurderede i forbindelse med fremsættelsen af lovforslaget
til databeskyttelsesloven i 2017, at det var nødvendigt, at der blev fastsat en
generel lov, som supplerer reglerne i databeskyttelsesforordningen, bl.a. for
at den dagældende retstilstand i persondataloven kunne opretholdes, jf. Fol-
ketingstidende [2017-18], tillæg A, L 68 som fremsat den 25. oktober 2017,
side 116. Databeskyttelsesloven fastsætter således supplerende nationale be-
stemmelser om behandling af personoplysninger inden for det nationale rå-
derum, som databeskyttelsesforordningen giver mulighed for. Databeskyt-
telsesloven trådte i kraft den 25. maj 2018, hvorved den dagældende person-
datalov blev ophævet.
Lovforslaget indeholder for det første et forslag om at hæve aldersgrænsen
for samtykke til behandling af personoplysninger i forbindelse med udbud
af informationssamfundstjenester fra 13 til 15 år.
For det andet indeholder lovforslaget et forslag om at ophæve lovens § 13,
stk. 1-3 og stk. 5-9, der vedrører behandling af personoplysninger i forbin-
delse med markedsføring. Justitsministeriet vurderede i forbindelse med ud-
arbejdelsen af databeskyttelsesloven, at lovens § 13 lå inden for rammerne
af det såkaldte nationale råderum i databeskyttelsesforordningen, hvorefter
medlemsstaterne inden for nærmere bestemte områder kan eller skal fast-
sætte nationale regler. På baggrund af en konkret henvendelse fra Datatilsy-
net, hvor tilsynet finder det tvivlsomt, om bestemmelsen ligger inden for
medlemsstaternes nationale råderum, har Justitsministeriet genovervejet
denne vurdering.
Lovforslaget indeholder endvidere for det tredje et forslag om at undtage
Procesbevillingsnævnet fra oplysningspligten og indsigtsretten efter databe-
skyttelsesforordningen, på samme måde som domstolene er i dag. Undta-
gelsen vil alene gælde ved Procesbevillingsnævnets behandling af perso-
noplysninger i sager vedrørende appeltilladelse.
Herudover indeholder lovforslaget for det fjerde et forslag til en tilpasning
af adgangen til indsigt efter databeskyttelsesforordningen hos Folketingets
Ombudsmand, således at retten til indsigt efter databeskyttelsesforordnin-
gen ikke finder anvendelse på Folketingets Ombudsmands behandling af
UDKAST
5
personoplysninger i sagsakter fra myndigheder mv., der er sendt til ombuds-
manden som led i behandlingen af en sag hos ombudsmanden.
2. Lovforslagets hovedpunkter
2.1. Justering af aldersgrænsen for samtykke til behandling af perso-
noplysninger i forbindelse med udbud af informationssamfundstjene-
ster
2.1.1. Gældende ret
Databeskyttelseslovens § 6, stk. 1, fastsætter, at behandling af personoplys-
ninger er lovlig, hvis mindst en af betingelserne i databeskyttelsesforordnin-
gens artikel 6, stk. 1, litra a-f, er opfyldt.
Personoplysninger kan ifølge forordningens artikel 6, stk. 1, litra a, behand-
les på betingelse af, at den registrerede har givet samtykke til behandling af
sine personoplysninger til et eller flere specifikke formål.
Der gælder særlige betingelser for et barns samtykke i forbindelse med in-
formationssamfundstjenester. Det fremgår således af artikel 8, stk. 1, at hvis
artikel 6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af infor-
mationssamfundstjenester direkte til børn, er behandling af personoplysnin-
ger om et barn lovlig, hvis barnet er mindst 16 år. Hvis barnet er under 16
år, er behandlingen kun lovlig, hvis og i det omfang samtykke gives eller
godkendes af indehaveren af forældremyndigheden over barnet. Medlems-
staterne har efter artikel 8, stk. 1, sidste pkt., mulighed for ved lov at fast-
sætte en lavere aldersgrænse end 16 år, forudsat at en sådan aldersgrænse
ikke er under 13 år.
Databeskyttelseslovens § 6, stk. 2 og 3, udmønter databeskyttelsesforord-
ningens artikel 8, stk. 1, og fastsætter aldersgrænsen i Danmark til 13 år.
Det følger af databeskyttelseslovens § 6, stk. 2, at hvis artikel 6, stk. 1, litra
a, finder anvendelse i forbindelse med udbud af informationssamfundstje-
nester direkte til børn, er behandling af personoplysninger om et barn lovlig,
hvis barnet er mindst 13 år. Når barnet er fyldt 13 år, kan barnet således selv
give samtykke til informationssamfundstjenesternes behandling af barnets
personoplysninger.
Det følger af databeskyttelseslovens § 6, stk. 3, at hvis barnet er under 13
år, er behandling af personoplysninger om barnet kun lovlig, hvis og i det
omfang samtykke gives eller godkendes af indehaveren af forældremyndig-
heden over barnet. I visse tilfælde er samtykke fra forældremyndighedsin-
UDKAST
6
dehaveren imidlertid ikke nødvendig. Det følger således af præambelbe-
tragtning nr. 38, at samtykke fra indehaveren af forældremyndigheden ikke
er nødvendigt, når det drejer sig om forebyggende eller rådgivende tjenester,
der tilbydes direkte til et barn. I en dansk kontekst kunne det f.eks. dreje sig
om BørneTelefonen.
I forbindelse med fastsættelsen af aldersgrænsen til 13 år blev der bl.a. lagt
vægt på, at børn i Danmark i høj grad er medievante, at adgang til informa-
tion via søgemaskiner og deltagelse i online aktiviteter har stor samfunds-
mæssig og social betydning for børn og unge, og at aktiviteter i denne sam-
menhæng er med til at skabe og fastholde kontakt med kammerater, ligesom
børn og unge får mulighed for at deltage i forskellige diskussionsfora, søge
information til skolearbejde, spille spil, se film og lytte til musik. Der blev
derudover lagt vægt på, at en høj aldersgrænse for, hvornår et barn gyldigt
kan give samtykke til behandling af personoplysninger, kan føre til, at børn
og unge udelukkes fra informationssamfundstjenester, hvis forældremyn-
dighedsindehaveren ikke vil give samtykke til behandling af personoplys-
ninger, ligesom det blev påpeget, at en høj aldersgrænse eventuelt vil kunne
medføre, at børn og unge ved brug af informationssamfundstjenester vil ud-
give sig for at være ældre, end de rent faktisk er. Endelig blev der lagt vægt
på, at børn og unge gennem databeskyttelsesforordningen og gennem de øv-
rige bestemmelser i den dengang foreslåede databeskyttelseslov – uanset et
krav om samtykke fra forældremyndighedsindehaverne – ydes en integri-
tetsbeskyttelse, hvorfor det ansås for tvivlsomt, om en høj aldersgrænse for
samtykke medfører en øget integritetsbeskyttelse, jf. Folketingstidende
2017-18, tillæg A, L 68 som fremsat den 25. oktober 2017, side 127.
Det fremgår af databeskyttelsesforordningens artikel 4, stk. 25, at en infor-
mationssamfundstjeneste er en tjeneste som defineret i artikel 1, stk. 1, litra
b, i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535. Ifølge denne
bestemmelse omfattes enhver tjeneste i informationssamfundet, dvs. enhver
tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk
vej på individuel anmodning fra en tjenestemodtager. Det er ikke et krav, at
tjenesten ydes mod betaling. Omfattet af definitionen er eksempelvis tjene-
ster som udbyder e-handel og online spil, søgemaskiner, musiktjenester og
sociale medier, herunder Facebook, TikTok, Instagram, Snapchat mv.
2.1.2. Anbefalinger fra regeringens ekspertgruppe om tech-giganter
Den daværende regering nedsatte den 29. juni 2022 en ekspertgruppe om
tech-giganter, som har til formål at understøtte regeringens arbejde med at
håndtere problemstillinger, som er forbundet med tech-gigant-dagsordenen
UDKAST
7
i et nationalt og internationalt perspektiv, herunder hvor tech-giganternes
forretningsmodeller udfordrer vores samfund, kultur, økonomi, trivsel mv.
Ekspertgruppen lancerede den 12. juni 2023 den første delafrapportering:
”Demokratisk kontrol med tech-giganternes forretningsmodeller”. Afrap-
porteringen indeholder bl.a. anbefalinger i forhold til tech-giganternes an-
svar over for børn og unge.
Ekspertgruppen anbefaler som et blandt flere tiltag i forhold til beskyttelse
af børn og unge på internettet, at aldersgrænsen for et barns samtykke i for-
bindelse med udbud af informationssamfundstjenester hæves fra 13 til 16
år. Gruppen peger på, at tech-giganterne i så fald vil skulle indhente
samtykke fra forældre for at kunne behandle børns personoplysninger, indtil
barnet er 16 år, og at flere mindreårige på den måde vil nyde godt af den
særlige beskyttelse, som databeskyttelsesforordningen giver.
Ekspertgruppen henviser til, at den nugældende aldersgrænse på 13 år flug-
ter med amerikansk lovgivning fra 1996 om børns online beskyttelse (Chil-
drens Online Privacy Protection/COPPA), som forsøges hævet til 16 år, li-
gesom ekspertgruppen henviser til, at en række EU-lande, herunder Tys-
kland, Holland og Irland, har en aldersgrænse på 16 år. Ekspertgruppen hen-
viser desuden til, at EU anbefaler en aldersgrænse på 16 år.
Ekspertgruppen lægger vægt på, at en stadig større del af børns og unges liv
foregår online, og henviser i den sammenhæng til, at flere danske undersø-
gelser viser, at fysisk samvær blandt 11-15-årige har været markant faldende
gennem de sidste 30 år, mens online kontakt er steget. Ekspertgruppen læg-
ger endvidere vægt på, at visse former for indhold på internettet kan være
både ulovligt og direkte skadeligt for børn, hvilket kan have konsekvenser
for både trivsel, ensomhed, kropsopfattelse, identitets- og kulturdannelse
mv.
2.1.3. Justitsministeriets overvejelser og den foreslåede ordning
Under henvisning til, at en stadig større del af børns og unges liv foregår
online, at børn og unge ofte er mindre bevidste om de risici og konsekvenser,
der kan være ved at give samtykke til behandling af personoplysninger, og
at børn og unge som udgangspunkt har ringere kendskab til deres rettigheder
i forbindelse med behandling af deres personoplysninger, er der behov for
at finde løsninger på, hvordan børn og unge beskyttes bedre på internettet.
Børn og unge har et særligt behov for beskyttelse, herunder navnlig i forhold
til ikke alderssvarende indhold, fejlagtigt indhold og for de indbyggede
UDKAST
8
funktioner i tech-giganternes tjenester, som anvendes til at forudsige og på-
virke adfærd.
En del af løsningen er at hæve aldersgrænsen for, hvornår et barn kan give
samtykke til behandling af personoplysninger i forbindelse med udbud af
informationssamfundstjenester. En højere aldersgrænse vil indebære, at for-
ældremyndighedsindehaveren skal godkende barnets samtykke eller selv
samtykke til informationssamfundstjenesternes behandling af barnets per-
sonoplysninger, frem til barnet når aldersgrænsen. På den måde vil flere
mindreårige nyde godt af den særlige beskyttelse, som databeskyttelsesfor-
ordningen giver. Formålet med at hæve aldersgrænsen er dels at øge be-
vidstheden hos både børnene, de unge og forældremyndighedsindehaverne
i forhold til, at der kan være visse risici ved at give adgang for informations-
samfundstjenester til at behandle personoplysninger, dels at øge efter-
tænksomheden i samme forbindelse.
Aldersgrænsen for et barns samtykke til behandling af personoplysninger i
forbindelse med udbud af informationssamfundstjenester foreslås hævet til
15 år. Det er Justitsministeriets vurdering, at en aldersgrænse på 15 år vil
harmonere bedst med de øvrige aldersgrænser, der gælder i Danmark, her-
under bl.a. henset til at aldersgrænsen for samtykke til behandling i sund-
hedsvæsenet samt den kriminelle og seksuelle lavalder er på 15 år.
2.2. Behandling af personoplysninger i forbindelse med markedsføring
2.2.1. Gældende ret
Efter databeskyttelsesforordningens artikel 6, stk. 2, kan medlemsstaterne
opretholde eller indføre mere specifikke bestemmelser for at tilpasse anven-
delsen af forordningens bestemmelser om behandling med henblik på over-
holdelse af artikel 6, stk. 1, litra c og e, ved at fastsætte mere specifikke krav
til behandling og andre foranstaltninger for at sikre lovlig og rimelig be-
handling.
Efter databeskyttelsesforordningens artikel 6, stk. 3, skal grundlaget for be-
handling i henhold til artikel 6, stk. 1, litra c og e, fremgå af enten EU-retten
eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Bestemmelsens stk. 3 indeholder i øvrigt kravene til national lovgivning i
de tilfælde, hvor medlemsstaterne har valgt at udnytte muligheden i stk. 2
til ved nationale regler nærmere at præcisere, hvad der på et givent område
skal anses for at være en nødvendig behandling af hensyn til udførelsen af
en opgave i samfundets interesse eller som henhører under offentlig myn-
dighedsudøvelse, som den dataansvarlige har fået pålagt. Efter stk. 3 kan
UDKAST
9
medlemsstaterne således bl.a. fastsætte generelle betingelser for lovlighed
af den dataansvarliges behandling, hvilke typer oplysninger der skal be-
handles og formålsbegrænsninger.
I databeskyttelseslovens § 13, stk. 1-3, er der fastsat nærmere betingelser for
behandling af personoplysninger i forbindelse med direkte markedsføring.
Direkte markedsføring er markedsføring, der er rettet mod en eller flere be-
stemte modtagere.
Efter bestemmelsens stk. 1 må en virksomhed ikke videregive oplysninger
om en forbruger til en anden virksomhed til brug ved direkte markedsføring
eller anvende oplysningerne på vegne af en anden virksomhed i dette øje-
med, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil.
Et samtykke skal indhentes i overensstemmelse med reglerne i markedsfø-
ringslovens § 10.
Efter bestemmelsens stk. 2 kan videregivelse og anvendelse som nævnt i
stk. 1 dog finde sted uden samtykke, hvis der er tale om generelle kundeop-
lysninger, der danner grundlag for inddeling i kundekategorier, og hvis be-
tingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra f, er op-
fyldt.
Det følger af bestemmelsens forarbejder, jf. Folketingstidende [2017-18],
tillæg A, L 68 som fremsat den 25. oktober 2017, side 183, at stk. 2 angiver
de tilfælde, hvor der gøres undtagelse fra kravet om samtykke i stk. 1, og at
to betingelser skal være opfyldt. For det første skal der være tale om gene-
relle kundeoplysninger, der danner grundlag for inddeling i kundekatego-
rier. Er denne betingelse opfyldt, skal videregivelsen for det andet følge af
den interesseafvejning, som er fastsat i databeskyttelsesforordningens arti-
kel 6, stk. 1, litra f. Efter denne bestemmelse kan videregivelse ske, hvis
videregivelse er nødvendig for, at »den dataansvarlige eller en tredjemand
kan forfølge en legitim interesse, medmindre den registreredes interesser el-
ler grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse
af personoplysninger, går forud herfor, navnlig hvis den registrerede er et
barn.« Med dette supplerende krav sikres det, at videregivelse af generelle
kundeoplysninger i markedsføringsøjemed ikke kan ske, hvis interesseaf-
vejningen undtagelsesvis måtte tale herimod. Som eksempel herpå kan næv-
nes den situation, at en virksomhed har orienteret sine kunder om, at den
ikke vil videregive oplysninger om kunderne til andre virksomheder til brug
for markedsføring. Hvis virksomheden på trods heraf alligevel skulle be-
slutte sig for at videregive oplysningerne, vil hensynet til kunderne, jf. da-
UDKAST
10
tabeskyttelsesforordningens artikel 6, stk. 1, litra f, efter omstændighederne
kunne tale imod, at en sådan videregivelse kan ske uden kundernes forud-
gående samtykke.
Det følger videre af bestemmelsens forarbejder, jf. Folketingstidende [2017-
18], tillæg A, L 68 som fremsat den 25. oktober 2017, side 183, at som ek-
sempler på oplysninger, der herefter vil kunne videregives uden samtykke
efter den foreslåede bestemmelse, nævnes oplysninger om kundens navn,
adresse, køn og alder. Det samme gælder generelle oplysninger om f.eks.,
at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder
f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby-
og småbørnsartikler, til økologiske varer, til vin- og spiritus eller andre ge-
nerelt afgrænsede varegrupper. Derimod vil det efter den foreslåede bestem-
melse ikke være muligt uden samtykke at videregive oplysninger, som af-
slører følsomme oplysninger om kunden. Det vil heller ikke være muligt at
videregive mere detaljerede kundeoplysninger eller forbrugsvaner uden
kundens samtykke. Der må således f.eks. ikke videregives oplysninger om,
hvorvidt kundens bil er købt på kredit og i givet fald oplysninger om vilkå-
rene for kreditten. Der må heller ikke videregives oplysninger om, hvilken
mængde vin kunden køber. Det gælder, selv om dette ikke i sig selv afslører,
at kunden har et spiritusmisbrug. Der må heller ikke videregives mere de-
taljerede oplysninger om, hvilken slags vin kunden køber.
Det følger af databeskyttelseslovens § 13, stk. 3, at der efter stk. 2 ikke må
videregives eller anvendes oplysninger som nævnt i databeskyttelsesforord-
ningens artikel 9, stk. 1, eller databeskyttelseslovens § 8. Bestemmelsen ta-
ger sigte på at gøre det klart, at der ikke uden forbrugerens samtykke må
videregives følsomme oplysninger, jf. Folketingstidende [2017-18], tillæg
A, L 68 som fremsat den 25. oktober 2017, side 183.
Det følger af databeskyttelseslovens § 13, stk. 4, at inden en virksomhed
videregiver oplysninger om en forbruger til en anden virksomhed med hen-
blik på direkte markedsføring eller anvender oplysningerne på vegne af en
anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbruge-
ren har frabedt sig henvendelser i markedsføringsøjemed. I bekræftende fald
må oplysningerne ikke videregives til dette formål, jf. databeskyttelsesfor-
ordningen artikel 21, stk. 3.
I databeskyttelseslovens § 13, stk. 5-7, er der fastsat regler om adresserings-
og kuverteringsbureauer. Adresserings- og kuverteringsbureauer sælger
adresser over grupper af personer eller virksomheder – f.eks. alle bagere,
alle tandlæger eller alle dommere – eller foretager kuvertering og udsen-
UDKAST
11
delse af meddelelser for en andens regning til sådanne grupper, jf. delbe-
tænkning nr. 687/1973 om private registre side 33.
Det følger af databeskyttelseslovens § 13, stk. 5, at dataansvarlige, der med
henblik på direkte markedsføring sælger fortegnelser over grupper af perso-
ner, eller som for tredjemand foretager adressering eller udsendelse af med-
delelser til sådanne grupper, kun må behandle 1) oplysninger om navn,
adresse, stilling, erhverv, e-mailadresse, telefon- og telefaxnummer, 2) op-
lysninger, der indgår i erhvervsregistre, som i henhold til lov eller bestem-
melser fastsat i henhold til lov er beregnet til at informere offentligheden,
og 3) andre oplysninger, hvis den registrerede har givet udtrykkeligt
samtykke dertil.
Efter bestemmelsens stk. 6, skal et samtykke efter stk. 5 indhentes i over-
ensstemmelse med markedsføringslovens § 10.
Det bemærkes i forarbejderne til bestemmelsen, at den registrerede altid vil
kunne fremsætte indsigelse mod, at et dataansvarligt adresserings- og ku-
verteringsbureau behandler oplysninger om den pågældende med henblik på
direkte markedsføring, herunder salg, kuvertering eller udsendelse, jf. data-
beskyttelsesforordningens artikel 21, stk. 2, ligesom adresserings- og kuver-
teringsbureauet skal følge proceduren i forordningens artikel 21, stk. 3, jf.
Folketingstidende [2017-18], tillæg A, L 68 som fremsat den 25. oktober
2017, side 184.
Det følger af databeskyttelseslovens § 13, stk. 7, at behandling af oplysnin-
ger, som nævnt i stk. 5 ikke må omfatte oplysninger som nævnt i databe-
skyttelsesforordningens artikel 9, stk. 1, eller databeskyttelseslovens § 8.
Bestemmelsen er indsat for at undgå enhver tvivl i forhold til, at behandling
af oplysninger omfattet af stk. 5 ikke må omfatte følsomme oplysninger.
Dette gælder uanset, om der er givet samtykke dertil, jf. Folketingstidende
[2017-18], tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.
Herudover følger det af databeskyttelseslovens § 13, stk. 8, at justitsmini-
steren kan fastsætte yderligere begrænsninger i adgangen til at videregive
eller anvende bestemte typer af oplysninger efter stk. 2. Baggrunden for be-
stemmelsen er, at det ikke på forhånd kan udelukkes, at der vil kunne vise
sig et behov for, at visse typer oplysninger ikke skal kunne videregives uden
forbrugerens udtrykkelige samtykke, jf. Folketingstidende [2017-18], tillæg
A, L 68 som fremsat den 25. oktober 2017, side 184.
Endvidere følger det af databeskyttelseslovens § 13, stk. 9, at justitsministe-
ren kan fastsætte yderligere begrænsninger end de i stk. 7 nævnte i adgangen
UDKAST
12
til at behandle bestemte typer af oplysninger. Baggrunden for bestemmelsen
er, at det ikke på forhånd kan udelukkes, at der vil kunne vise sig et behov
for, at visse typer oplysninger ikke skal kunne behandles, jf. Folketingsti-
dende [2017-18], tillæg A, L 68 som fremsat den 25. oktober 2017, side 184.
Databeskyttelseslovens § 13, er en videreførelse af § 6, stk. 2-4, § 12 og §
36, stk. 2, 1. pkt. i lov nr. 429 af 31. maj 2000 om behandling af personop-
lysninger (persondataloven).
Det fremgår af bemærkningerne til databeskyttelsesloven, at for så vidt an-
går persondatalovens behandlingsregler vedrørende markedsføring i lovens
§ 6, stk. 2-4, § 12 og § 36, stk. 2, 1. pkt., var det Justitsministeriets vurdering,
at disse regler kunne og burde opretholdes, jf. Folketingstidende [2017-18],
tillæg A, L 68 som fremsat den 25. oktober 2017, side 140.
Det følger endvidere af bemærkningerne til databeskyttelsesloven, at den
registrerede burde have afgørende indflydelse på, i hvilket omfang der be-
handles personoplysninger om den pågældende med henblik på markedsfø-
ring, og at der derfor i databeskyttelsesloven burde fastsættes snævre græn-
ser for, i hvilke tilfælde en virksomhed – uden den enkelte forbrugers
samtykke – måtte videregive oplysninger om en forbruger til andre virksom-
heder til brug for markedsføring, jf. Folketingstidende [2017-18], tillæg A,
L 68 som fremsat den 25. oktober 2017, side 140.
Justitsministeriet vurderede endvidere, at databeskyttelseslovens § 13 var
inden for rammerne af det nationale råderum i databeskyttelsesforordnin-
gens artikel 6, stk. 2 og 3.
Databeskyttelsesforordningens artikel 21, stk. 2 og 3, regulerer den registre-
redes indsigelsesret over for behandling af oplysninger med henblik på di-
rekte markedsføring.
Det følger af databeskyttelsesforordningens artikel 21, stk. 2, at den regi-
strerede til enhver tid har ret til at gøre indsigelse mod behandling af sine
personoplysninger, hvis oplysningerne behandles med henblik på direkte
markedsføring, herunder at gøre indsigelse mod profilering, i det omfang
den vedrører direkte markedsføring.
Efter forordningens artikel 21, stk. 3, må personoplysningerne ikke længere
behandles med henblik på direkte markedsføring, hvis den registrerede gør
indsigelse mod behandling til dette formål. Af forarbejderne til databeskyt-
telseslovens § 13, stk. 2, fremgår, at i det omfang videregivelse kan ske uden
kundens samtykke, indebærer forordningens artikel 21, stk. 3, at videregi-
UDKAST
13
velse ikke må finde sted med henblik på direkte markedsføring, hvis kunden
har gjort indsigelse imod det, jf. Folketingstidende [2017-18], tillæg A, L
68 som fremsat den 25. oktober 2017, side 183.
Herudover fastsætter forordningens artikel 21, stk. 4, bl.a. krav om meddel-
else til den registrerede om muligheden for at gøre indsigelse efter stk. 2.
For nærmere om forordningens artikel 21, stk. 2-4, henvises til betænkning
nr. 1565/2017, side 366 ff.
2.2.2. Justitsministeriets overvejelser
Justitsministeriet har ved udarbejdelsen af databeskyttelsesloven vurderet,
at § 13, kunne fastsættes inden for rammerne af det nationale råderum.
Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at
reglerne om databeskyttelse bliver overholdt. I forbindelse med den prakti-
ske udmøntning af databeskyttelseslovens § 13 er der opstået usikkerhed om
bestemmelsens forenelighed med det nationale råderum.
Justitsministeriet har på den baggrund fundet anledning til at genbesøge vur-
deringen af, om databeskyttelseslovens § 13 ligger inden for det nationale
råderum, jf. afsnit 2.2.1 om databeskyttelsesforordningens artikel 6, stk. 2
og 3.
Det følger af artikel 6, stk. 1, litra c, at en behandling er lovlig, hvis behand-
lingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den
dataansvarlige.
Det følger af artikel 6, stk. 1, litra e, at en behandling er lovlig, hvis behand-
lingen er nødvendig af hensyn til udførelse af en opgave i samfundets inter-
esse eller som henhører under offentlig myndighedsudøvelse, som den
dataansvarlige har fået pålagt.
I forarbejderne til persondataloven er udtrykket ”opgave i samfundets inter-
esse” nærmere beskrevet, og det fremgår heraf, at der skal være tale om
opgaver af almen interesse, dvs. opgaver, som er af betydning for en bredere
kreds af personer. Dette vil bl.a. være tilfældet for så vidt angår behandling
i statistisk, historisk eller videnskabeligt øjemed. Det forhold, at behandlin-
gen sker i et kommercielt øjemed, udelukker ikke, at behandlingen kan anses
for at ske til varetagelse af almene interesser. Der henvises til lovforslag nr.
L 147 som fremsat den 9. december 1999 (Folketingstidende 1999-2000,
tillæg A, de specielle bemærkninger til § 6, stk. 1, nr. 5).
UDKAST
14
Det fremgår bl.a. af præambelbetragtning nr. 10 til databeskyttelsesforord-
ningen, at i forbindelse med behandling af personoplysninger for at over-
holde en retlig forpligtelse eller for at udføre en opgave i samfundets inter-
esse, eller som henhører under offentlig myndighedsudøvelse, som den
dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller
indføre nationale bestemmelser for yderligere at præcisere anvendelsen af
forordningens bestemmelser. Det fremgår endvidere af præambelbetragt-
ning nr. 10, at forordningen således ikke udelukker, at medlemsstaternes na-
tionale ret fastlægger omstændighederne i forbindelse med specifikke data-
behandlingssituationer, herunder mere præcis fastlæggelse af de forhold,
hvorunder behandling af personoplysninger er lovlig.
Af betænkning nr. 1565/2017 fremgår det, at det må antages, at når EU-
lovgiver i præambelbetragtning nr. 10 har anført, at medlemsstaterne bør
kunne opretholde eller indføre nationale bestemmelser for yderligere at præ-
cisere anvendelsen af forordningens bestemmelser, vil det være sådan, at
medlemsstaternes lovgivning, som ses at være i overensstemmelse med gæl-
dende ret, også efter forordningens ikrafttrædelse som udgangspunkt vil
kunne opretholdes, jf. betænkningen side 150.
Databeskyttelsesforordningens generelle formål, ordlyden i forordningens
artikel 6, stk. 2, samt præambelbetragtning nr. 10 indikerer endvidere, at det
ikke har været hensigten, at der med forordningen er tiltænkt et andet rum –
end efter databeskyttelsesdirektivet – for at fastsætte mere specifikke natio-
nale krav til behandling og andre foranstaltninger for at sikre lovlig og ri-
melig behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og
e, hvorfor det nationale råderum på dette område er i overensstemmelse med
databeskyttelsesdirektivet og en videreførelse af gældende ret, jf. betænk-
ning nr. 1565/2017 side 150.
Videre følger det af betænkningen, at der dog er den forskel i forhold til
dagældende ret, at det eksplicit i forordningens artikel 6, stk. 2, nævnes, at
muligheden for, at medlemsstaterne kan opretholde eller indføre mere spe-
cifikke bestemmelser, er med henblik på at overholde artikel 6, stk. 1, litra
c og e.
Da det eksplicit anføres, at artikel 6, stk. 2, kun vedrører artikel 6, stk. 1,
litra c og e, sammenholdt med præambelbetragtning nr. 10, har medlems-
staterne ikke mulighed for mere præcist at fastsætte specifikke krav til be-
handling og andre foranstaltninger for så vidt angår artikel 6, stk. 1, litra a,
b, d og f, jf. betænkning nr. 1565/2017 side 151.
UDKAST
15
Det fremgår endvidere af betænkning nr. 1565/2017 side 162, at der må an-
tages at være adgang til at opretholde eller indføre konkrete lovregler – in-
den for rammerne af forordningens artikel 6, stk. 2-3 – om f.eks. behandling
af oplysninger i den finansielle sektor, såsom reglerne i kapitel 9 i lov om
finansiel virksomhed om videregivelse af fortrolige oplysninger og betaling-
stjenestelovens § 85, eller i sundhedssektoren. Der kan således også for be-
handling i den private sektor, ligesom i forhold til behandling i den offent-
lige sektor, ske behandling af personoplysninger, hvis det sker for at over-
holde en ”retlig forpligtelse”, som påhviler den dataansvarlige (artikel 6, stk.
1, litra c), eller hvis lovgiver i øvrigt har udnyttet sin mulighed for nationalt
at fastlægge, hvornår det skal være – og ikke skal være – muligt at behandle
personoplysninger af hensyn til ”samfundets interesse” (artikel 6, stk. 1, litra
e).
Om det nationale råderum henvises i øvrigt til betænkning nr. 1565/2017
side 141-163.
Det er Justitsministeriets vurdering, at databeskyttelseslovens § 13 ikke er
fastsat med hjemmel i artikel 6, stk. 1, litra c, da behandling af personoplys-
ninger i forbindelse med markedsføring ikke sker for at overholde en retlig
forpligtelse.
Det lægges endvidere til grund, at der ikke er tale om offentlig myndigheds-
udøvelse, som den dataansvarlige har fået pålagt.
Det er Justitsministeriets vurdering, at behandling af personoplysninger i
forbindelse med markedsføring ikke er nødvendigt af hensyn til udførelse
af en opgave i samfundets interesse. Det bemærkes i den forbindelse, at der
ved vurderingen af, om behandling af personoplysninger er nødvendig af
hensyn til udførelse af en opgave i samfundets interesse, som anført ovenfor
skal være tale om opgaver af almen interesse, dvs. opgaver, som er af be-
tydning for en bredere kreds af personer.
Umiddelbart vil en behandling, hvor en virksomhed videregiver personop-
lysninger til en anden virksomhed med henblik på direkte markedsføring
ske på grundlag af enten databeskyttelsesforordningens artikel 6, stk. 1, litra
a (samtykke) eller artikel 6, stk. 1, litra f (interesseafvejning).
Justitsministeriet har foretaget en høring af en række relevante lande om
deres eventuelle nationale regler om behandling af personoplysninger i for-
bindelse med direkte markedsføring. Tilbagemeldingen var generelt, at der
UDKAST
16
ikke i de adspurgte lande er fastlagt sådanne regler. Et enkelt land gjorde
endvidere gældende, at det ikke er muligt inden for databeskyttelsesforord-
ningen at fastsætte nationale regler herom.
Det er herefter Justitsministeriets vurdering, at det er tvivlsomt om databe-
skyttelseslovens § 13, stk. 1-3, og stk. 5-9 ligger inden for rammerne af det
nationale råderum i forordningens artikel 6, stk. 2.
Det er endvidere Justitsministeriets vurdering, at behandling af personop-
lysninger i forbindelse med, at en virksomhed undersøger i CPR, om en for-
bruger har frabedt sig henvendelser i markedsføringsøjemed – som en virk-
somhed i medfør af databeskyttelseslovens § 13, stk. 4 har pligt til at tjekke
hver gang den ønsker at videregive kundeoplysninger til en anden virksom-
hed med henblik på direkte markedsføring eller anvende oplysningerne på
vegne af en anden virksomhed i dette øjemed – sker på baggrund af en retlig
forpligtelse, som påhviler den dataansvarlige, jf. databeskyttelsesforordnin-
gens artikel 6, stk. 1, litra c. Det er derfor Justitsministeriets vurdering, at
databeskyttelseslovens § 13, stk. 4 ligger inden for rammerne af det natio-
nale råderum i databeskyttelsesforordningens artikel 6, stk. 2.
2.2.3. Den foreslåede ordning
For at sikre overensstemmelse med EU-retten foreslås det at ophæve data-
beskyttelseslovens § 13, stk. 1-3 og stk. 5-9.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1-2, op-
hæves, vil medføre at der ikke længere fastsættes særregler for, i hvilke til-
fælde en virksomhed – uden den enkelte forbrugers samtykke – må videre-
give oplysninger om en forbruger til andre virksomheder til brug for mar-
kedsføring.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1 og 6,
ophæves, vil desuden medføre, at der ikke længere stilles krav om, at et
samtykke til behandling af personoplysninger i forbindelse med markedsfø-
ring skal indhentes i overensstemmelse med markedsføringslovens § 10.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 5 ophæ-
ves, vil medføre, at dataansvarlige adresserings- og kuverteringsbureauers
kan behandle yderligere oplysninger end de nævnte i databeskyttelseslovens
§ 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et behandlingsgrundlag i
databeskyttelsesforordningens artikel 6.
Der henvises til bemærkningerne til lovforslagets § 1, nr. 2.
UDKAST
17
2.3. Procesbevillingsnævnet undtages fra oplysningspligten og indsigts-
retten
2.3.1. Gældende ret
Procesbevillingsnævnet behandler ansøgninger om meddelelse af anden- og
tredjeinstansbevilling, jf. retsplejelovens § 22, stk. 1. Procesbevillingsnæv-
net behandler endvidere klager over afslag på ansøgninger om fri proces og
retshjælp, jf. retsplejelovens § 22, stk. 2.
Procesbevillingsnævnet er et uafhængigt og uvildigt organ, som virker i nær
tilknytning til de almindelige domstole uden at være en del af disse, jf. Fol-
ketingstidende [1994-95], tillæg A, L 217 som fremsat den 6. april 1995,
side 2954. Nævnet er endvidere ikke en del af den offentlige forvaltning,
hvilket bl.a. indebærer, at nævnet ikke er omfattet af offentlighedsloven, for-
valtningsloven og ombudsmandsloven, jf. Folketingstidende [1994-95], til-
læg A, L 217 som fremsat den 6. april 1995 side 2959.
Procesbevillingsnævnets forretningsorden er fastsat i bekendtgørelse nr. 294
af 25. marts 2019 i medfør af retsplejelovens § 25.
Det følger af forretningsordenens § 20, stk. 1, at aktindsigt meddeles af næv-
nets formand eller afdelingsformanden i overensstemmelserne med bestem-
melserne i retsplejelovens §§ 41-41 h, 255 a og 729 a-729 d med de fornødne
tillempninger.
Det fremgår af § 20, stk. 2 i forretningsordenen, at begæring om indsigtsret
fra den registrerede i medfør af databeskyttelsesforordningen behandles ef-
ter reglerne i forordningens artikel 12 og artikel 15, jf. dog databeskyttelses-
lovens § 22.
Det følger endvidere af forretningsordenens § 4, stk. 2, 3. pkt., at der i sager
vedrørende appeltilladelse og sager vedrørende fri proces og retshjælp sker
underretning af den registrerede i overensstemmelse med reglerne i databe-
skyttelsesforordningens artikel 12-14, jf. dog databeskyttelseslovens §§ 22
og 23.
Det følger af databeskyttelsesforordningens artikel 13, at den dataansvarlige
– ved indsamling af personoplysninger hos den registrerede selv – har pligt
til at give den registrerede en række oplysninger om bl.a. den dataansvarli-
ges identitet og kontaktoplysninger, formålene med og retsgrundlaget for
behandlingen og eventuelle modtagere af oplysningerne. Efter en konkret
vurdering er den dataansvarlige desuden forpligtet til at give den registre-
UDKAST
18
rede oplysninger om bl.a. tidsrummet for opbevaring, den registreredes ret-
tigheder efter databeskyttelsesforordningen og retten til at indgive en klage
en tilsynsmyndighed.
Når personoplysninger ikke er indsamlet hos den registrerede selv følger
den dataansvarliges oplysningspligt af databeskyttelsesforordningens arti-
kel 14. Den dataansvarlige giver herefter den registrerede de samme oplys-
ninger som efter artikel 13, samt oplysninger om de berørte kategorier af
personoplysninger, og efter en konkret vurdering oplysninger om hvorfra
oplysningerne stammer.
Efter databeskyttelsesforordningens artikel 15, stk. 1, har den registrerede
ret til at få den dataansvarliges bekræftelse på, om personoplysninger ved-
rørende den pågældende behandles, og i givet fald adgang til personoplys-
ningerne. Endvidere har den registrerede ret til at modtage en række oplys-
ninger, herunder bl.a. om formålet med behandlingen af oplysningerne,
hvilke kategorier af personoplysninger, der er omfattet af behandlingen, og
om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbe-
varet.
Det følger af forordningens artikel 15, stk. 3, at den dataansvarlige i forbin-
delse meden anmodning om indsigt efter artikel 15, skal udlevere en kopi af
de personoplysninger, der behandles.
Formålet med retten til indsigt er bl.a., at give den registrerede mulighed for
at kontrollere, om de oplysninger den dataansvarlige behandler om vedkom-
mende er rigtige, og om behandlingen er lovlig.
Efter databeskyttelseslovens § 22, stk. 3, kan oplysninger, der behandles for
den offentlige forvaltning som led i administrativ sagsbehandling, undtages
fra retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, i
samme omfang som efter reglerne i §§ 19-29 og 35 i offentlighedsloven.
Det forudsættes i bemærkningerne, at bestemmelsen også kan anvendes på
Procesbevillingsnævnet, uanset at dette er et uafhængigt nævn, der virker i
nær tilknytning til domstolssystemet, jf. Folketingstidende [2017-18], tillæg
A, L 68 som fremsat den 25. oktober 2017, side 193. Procesbevillingsnæv-
net kan således i medfør af databeskyttelseslovens § 22, stk. 3, sammenholdt
med offentlighedslovens § 19 afvise indsigtsanmodninger i straffesager.
Det følger af databeskyttelseslovens § 22, stk. 4, at databeskyttelsesforord-
ningens artikel 13-15 ikke finder anvendelse på behandling af personoplys-
UDKAST
19
ninger, der foretages af domstolene, når disse handler i deres egenskab af
domstol.
Efter databeskyttelsesforordningens artikel 23, stk. 1, er der mulighed for
ved lovgivningsmæssige foranstaltninger i EU-retten eller medlemsstater-
nes nationale ret at begrænse rækkevidden af de forpligtelser og rettigheder,
der er omhandlet i bl.a. artikel 13-14 om den dataansvarsliges oplysnings-
pligt og artikel 15 om den registreredes ret til indsigt, når begrænsningerne
respekterer det væsentligste indhold af de grundlæggende rettigheder og fri-
hedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et
demokratisk samfund af hensyn til en række nærmere oplistede hensyn.
Begrænsningerne kan bl.a. ske af hensyn til beskyttelse af retsvæsenets uaf-
hængighed og retssager.
Det fremgår endvidere af databeskyttelsesforordningens artikel 23, stk. 2, at
navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i
stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmel-
ser vedrørende: Formålene med behandlingen eller kategorierne af behand-
ling, kategorierne af personoplysninger, rækkevidden af de indførte be-
grænsninger, garantierne for at undgå misbrug eller ulovlig adgang eller
overførsel, specifikation af den dataansvarlige eller kategorierne af
dataansvarlige, opbevaringsperioder og de gældende garantier under hen-
syntagen til behandlingens karakter, omfang og formål eller kategorier af
behandling, risiciene for de registreredes rettigheder og frihedsrettigheder,
og de registreredes ret til at blive underrettet om begrænsningen, medmindre
dette kan skade formålet med begrænsningen.
For yderligere om mulighederne for begrænsning efter databeskyttelsesfor-
ordningens artikel 23 henvises til betænkning nr. 1565/2017 side 396-404.
Det følger af forarbejderne til databeskyttelseslovens § 22, stk. 4, at bestem-
melsen ligger inden for rammerne af databeskyttelsesforordningens artikel
23, og at bestemmelsen er fastsat under hensyntagen til domstolenes særlige
status og den detaljerede procesregulering, der i forvejen findes i retspleje-
loven, hvorved de registreredes rettigheder i forbindelse med retternes judi-
cielle funktioner i tilstrækkelig grad bliver iagttaget, jf. Folketingstidende
[2017-18], tillæg A, L 68 som fremsat den 25. oktober 2017, side 193.
Procesbevillingsnævnet er ikke som domstolene undtaget fra oplysnings-
pligten og indsigtsretten.
UDKAST
20
Procesbevillingsnævnet er derfor efter databeskyttelsesforordningens arti-
kel 13 og 14 forpligtet til at underrette registrerede. Det bemærkes, at Pro-
cesbevillingsnævnet ved behandling af ansøgninger om appeltilladelse som
udgangspunkt indhenter sagens akter ved retten og/eller anklagemyndighe-
den i straffesager og ved retten i civile sager. Procesbevillingsnævnet ind-
samler i sådanne tilfælde oplysninger fra andre end den registrerede selv og
skal derfor iagttage oplysningspligten efter forordningens artikel 14. Oplys-
ningspligten finder derved som udgangspunkt anvendelse for alle personop-
lysninger, der måtte være tilgået i forbindelse med retten og/eller anklage-
myndighedens behandling af sagen, hvilket ofte er oplysninger om et større
antal personer såsom medtiltalte, forurettede, vidner, pårørende, medtiltalte
i ældre straffesager, og andre personer, der ikke er parter i sagen i Proces-
bevillingsnævnet og derfor heller ikke bliver inddraget yderligere i sagen i
nævnet. Disse personer er ikke tidligere under sagens behandling i retten
blevet underrettet om behandling af personoplysninger om dem. Efter en
konkret vurdering kan Procesbevillingsnævnet dog undlade at iagttage op-
lysningspligten, f.eks. hvis det vil kræve en uforholdsmæssigt stor indsats
at give oplysningerne, jf. databeskyttelsesforordningens artikel 14, stk. 5,
litra b.
Tilsvarende indtræder retten til indsigt efter databeskyttelsesforordningens
artikel 15, når en civil sag behandles i Procesbevillingsnævnet, selvom der
ikke tidligere i sagens forløb ved retten har været ret til indsigt efter databe-
skyttelsesreglerne.
Hvis Procesbevillingsnævnet meddeler bevilling, og sagen dermed sendes
tilbage til behandling i domstolssystemet, vil oplysningerne igen blive be-
handlet i et system, der er undtaget fra oplysningspligten og indsigtsretten.
2.3.2. Justitsministeriets overvejelser og den foreslåede ordning
I afdelingen for appeltilladelser er Procesbevillingsnævnets opgave at for-
holde sig til, hvorvidt en sag skal behandles i endnu en instans, og regule-
ringen af nævnets virksomhed i retsplejeloven afspejler denne helt konkrete
opgave.
Procesbevillingsnævnet er både organisatorisk og forfatningsmæssigt en
unik organisation. I forhold til nævnets opgaver i afdelingen for appeltilla-
delser bliver opgaven med at meddele appeltilladelse i andre lande typisk
varetaget af landets Højesteret eller den 2. instans, som afgørelsen i givet
fald skal indbringes for.
UDKAST
21
Det er Justitsministeriets vurdering, at det er uhensigtsmæssigt, at oplys-
ningspligten og indsigtsretten finder anvendelse på Procesbevillingsnæv-
nets behandling af personoplysninger, når de samme sager er undtaget fra
reglerne ved behandling i retterne.
Som følge heraf foreslås det, at databeskyttelsesforordningens artikel 13-15
ikke finder anvendelse på behandling af personoplysninger, som foretages
af Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.
Den foreslåede ordning vil medføre, at Procesbevillingsnævnet i sager ved-
rørende appeltilladelse ikke er forpligtet til at underrette den registrerede
efter databeskyttelsesforordningens artikel 13-14, og at den registrerede
ikke har ret til indsigt i nævnets behandling af oplysninger om de pågæl-
dende.
Det er Justitsministeriets vurdering, at den foreslåede ordning, der bl.a. bun-
der i sammenhængen mellem retternes opgaver og Procesbevillingsnævnets
opgaver, kan fastsættes inden for rammerne af databeskyttelsesforordnin-
gens artikel 23, stk. 1, litra f, der giver mulighed for at begrænse de registre-
redes rettigheder af hensyn til beskyttelse af retsvæsenets uafhængighed og
retssager.
Undtagelsen vil kun gælde for behandling af personoplysninger, der foreta-
ges af Procesbevillingsnævnet i sager vedrørende appeltilladelse i henhold
til retsplejelovens § 22, stk. 1. Procesbevillingsnævnets behandling af per-
sonoplysninger i forbindelse med sager vedrørende fri proces og retshjælp i
henhold til retsplejelovens § 22, stk. 2, og alle nævnets administrative for-
hold, herunder enhver administrativ sagsbehandling vil fortsat være omfat-
tet af databeskyttelsesforordningens artikel 13-15.
Herudover vil den registrerede fortsat kunne gøre sine øvrige rettigheder
efter databeskyttelsesforordningen gældende over for Procesbevillingsnæv-
net.
Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 3.
2.4. Tilpasning af adgangen til indsigt hos Folketingets Ombudsmand
2.4.1. Gældende ret
2.4.1.1. Forvaltningsloven og offentlighedsloven
UDKAST
22
Forvaltningsloven og offentlighedsloven gælder ikke for Folketingets Om-
budsmand. Det skyldes, at Folketingets Ombudsmand ikke er en del af den
offentlige forvaltning. I praksis bliver der dog til parter givet indsigt efter
principperne i forvaltningsloven for så vidt angår breve til og fra Folketin-
gets Ombudsmand samt visse oplysninger i interne arbejdsdokumenter i
Folketingets Ombudsmands sager. Endvidere har Folketingets Ombuds-
mand i praksis etableret en ordning, hvorefter pressen og andre kan få ind-
sigt i en (allerede foreliggende) anonymiseret udgave af ombudsmandens
afsluttende udtalelse i sager, som er eller påtænkes offentliggjort af ombuds-
manden, ligesom enhver normalt også – efter principperne i offentligheds-
loven – kan få indsigt i sager, hvor ombudsmandens afsluttende udtalelse
ikke indeholder fortrolige oplysninger. I andre sager henvises den, der søger
indsigt, som udgangspunkt til at rette henvendelse til den, der er part i om-
budsmandens sag, hvis den indsigtssøgende ved, hvem parten er.
For så vidt angår anmodninger om aktindsigt efter forvaltningsloven eller
offentlighedsloven i sagsakter fra myndigheder mv., der er sendt til ombuds-
manden som led i dennes behandling af en sag, sender ombudsmanden som
udgangspunkt disse anmodninger videre til vedkommende myndighed mv.,
ellers vejleder ombudsmanden – efter en konkret vurdering – borgeren om
muligheden for selv at bede myndigheden mv. om aktindsigt. Det sker med
henblik på, at myndigheden kan tage stilling til den konkrete aktindsigtsan-
modning. Det gælder uanset, om sagsakterne fra myndigheden mv. er sendt
til ombudsmanden af vedkommende myndighed mv., eller ombudsmanden
har modtaget dem fra en klager eller andre, f.eks. som bilag til en henven-
delse.
Denne fremgangsmåde skyldes flere forhold. Bl.a. kan ombudsmanden efter
omstændighederne have svært ved – som første instans – at vurdere, om en
eller flere af lovens undtagelser vil kunne være relevante i en sag, ligesom
borgeren vil miste en klagemulighed til Folketingets Ombudsmand, hvis
ombudsmanden træffer afgørelse om aktindsigt i første instans. Ombuds-
mandens tilsyn med forvaltningen vil samtidig forsvinde på et både princi-
pielt og praktisk centralt område.
Den anførte praksis er således begrundet i den særlige karakter af Folketin-
gets Ombudsmands opgaver og kompetence efter ombudsmandsloven med
henblik på at sikre ombudsmandens prøvelsesmulighed på dette område.
UDKAST
23
Der henvises til Folketingets Ombudsmands notat af 6. november 2020 om
indsigt i oplysninger og sager hos Folketingets Ombudsmand, der er tilgæn-
geligt på ombudsmandens hjemmeside.
2.4.1.2. Databeskyttelsesforordningen og -loven
Databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse
på behandling af personoplysninger for Folketinget, dog ikke på behandling
af personoplysninger der foretages som led i Folketingets parlamentariske
arbejde, jf. databeskyttelseslovens § 3, stk. 3. Databeskyttelsesforordningen
og databeskyttelsesloven finder desuden anvendelse på institutioner under
Folketinget, herunder Folketingets Ombudsmand.
Hvis en anmodning om indsigt i sagsakter fra en myndighed mv., der er
sendt til Folketingets Ombudsmand, helt eller delvist vedrører personoplys-
ninger, der er omfattet af indsigtsretten efter databeskyttelsesforordningen,
vil ombudsmanden i dag selv tage stilling til den del af anmodningen, der
vedrører indsigt efter databeskyttelsesforordningen – eventuelt efter at have
indhentet en udtalelse fra myndigheden mv.
Hvis en indsigtsanmodning derimod er sendt til myndigheden mv. og om-
fatter personoplysninger, der er omfattet af indsigtsretten efter databeskyt-
telsesforordningen, vil myndigheden mv. skulle tage stilling til indsigtsan-
modningen efter databeskyttelsesforordningen.
I de tilfælde, hvor der er tvivl om, hvorvidt der anmodes om indsigt efter
forvaltningsrettens regler eller databeskyttelsesreglerne, vil myndigheden
mv. skulle håndtere borgerens anmodning efter det mest gunstige regelsæt.
Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den regi-
strerede har ret til at få den dataansvarliges bekræftelse på, om personoplys-
ninger vedrørende den pågældende behandles, og i givet fald adgang til per-
sonoplysningerne. Endvidere har den registrerede ret til at modtage en
række oplysninger, herunder bl.a. om formålet med behandlingen af oplys-
ningerne, hvilke kategorier af personoplysninger, der er omfattet af behand-
lingen, og om muligt det påtænkte tidsrum, hvor personoplysningerne vil
blive opbevaret.
Det følger endvidere af forordningens artikel 15, stk. 3, at den dataansvar-
lige i forbindelse med indsigtsanmodninger skal udlevere en kopi af de per-
sonoplysninger, der behandles.
UDKAST
24
Det følger af databeskyttelsesforordningens artikel 77, stk. 1, at den regi-
strerede har ret til at indgive klage til en tilsynsmyndighed, hvis den regi-
strerede finder, at behandlingen af personoplysninger vedrørende vedkom-
mende overtræder denne forordning. Den registrerede har således ret til at
klage til Datatilsynet over håndteringen af en indsigtsanmodning efter data-
beskyttelsesforordningen.
Efter databeskyttelseslovens § 22, stk. 3, kan bl.a. oplysninger, der behand-
les for den offentlige forvaltning som led i administrativ sagsbehandling,
undtages fra retten til indsigt efter databeskyttelsesforordningens artikel 15,
stk. 1, i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offent-
lighed i forvaltningen. Bestemmelsen er indsat for at sikre, at forvalt-
ningsmyndigheders behandling af oplysninger kan undtages fra den regi-
streredes ret til indsigt i samme udstrækning som efter offentlighedslovens
regler om egenacces, jf. offentlighedslovens § 8.
Databeskyttelseslovens § 22 er fastsat inden for rammerne af databeskyttel-
sesforordningens artikel 23.
Efter databeskyttelsesforordningens artikel 23, stk. 1, er der mulighed for
ved lovgivningsmæssige foranstaltninger i EU-retten eller medlemsstater-
nes nationale ret at begrænse rækkevidden af de forpligtelser og rettigheder,
der er omhandlet i bl.a. artikel 15 om den registreredes indsigtsret, når be-
grænsningerne respekterer det væsentligste indhold af de grundlæggende
rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig for-
anstaltning i et demokratisk samfund af hensyn til en række nærmere opli-
stede hensyn.
Begrænsningerne kan bl.a. ske af hensyn til statens sikkerhed, forebyggelse,
efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller
fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og fore-
byggelse af trusler mod den offentlige sikkerhed, andre vigtige målsætnin-
ger i forbindelse med beskyttelse af Unionens eller en medlemsstats gene-
relle samfundsinteresser, og håndhævelse af civilretlige krav.
Det fremgår endvidere af databeskyttelsesforordningens artikel 23, stk. 2, at
navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i
stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmel-
ser vedrørende: Formålene med behandlingen eller kategorierne af behand-
ling, kategorierne af personoplysninger, rækkevidden af de indførte be-
grænsninger, garantierne for at undgå misbrug eller ulovlig adgang eller
UDKAST
25
overførsel, specifikation af den dataansvarlige eller kategorierne af
dataansvarlige, opbevaringsperioder og de gældende garantier under hen-
syntagen til behandlingens karakter, omfang og formål eller kategorier af
behandling, risiciene for de registreredes rettigheder og frihedsrettigheder,
og de registreredes ret til at blive underrettet om begrænsningen, medmindre
dette kan skade formålet med begrænsningen.
2.4.2. Justitsministeriets overvejelser og den foreslåede ordning
Folketingets Ombudsmand har en fast praksis for håndtering af anmodnin-
ger om aktindsigt efter principperne i forvaltningsloven eller offentligheds-
loven. For så vidt angår anmodninger om aktindsigt i sagsakter fra myndig-
heder mv., der er sendt til ombudsmanden som led i behandlingen af en sag,
sender ombudsmanden som udgangspunkt anmodningerne videre til ved-
kommende myndighed mv. med henblik på, at myndigheden kan tage stil-
ling til anmodningen om aktindsigt. Denne praksis er bl.a. begrundet i den
særlige karakter af Folketingets Ombudsmands opgaver og kompetence ef-
ter ombudsmandsloven med henblik på at sikre ombudsmandens prøvelses-
mulighed samt i, at myndigheden mv. har bedre forudsætninger for – som
første instans – at vurdere, om en eller flere af forvaltningslovens eller of-
fentlighedslovens undtagelser vil kunne være relevant i forhold til myndig-
hedens sagsakter i en sag. Der henvises til afsnit 2.4.1 ovenfor.
Det vurderes, at de samme hensyn gør sig gældende i forhold til Folketingets
Ombudsmands behandling af anmodninger om indsigt i sagsakter fra myn-
digheder mv., hvor der i sagsakterne indgår oplysninger, der er omfattet af
indsigtsretten efter databeskyttelsesforordningens artikel 15.
På den baggrund vurderes det, at der i forhold til sagsakter fra myndigheder
mv. bør skabes sammenhæng mellem Folketingets Ombudsmands behand-
ling af anmodninger om indsigt efter databeskyttelsesforordningens artikel
15 og Folketingets Ombudsmands behandling af øvrige anmodninger om
aktindsigt.
Som følge heraf foreslås det, at artikel 15 i databeskyttelsesforordningen
ikke finder anvendelse på Folketingets Ombudsmands behandling af perso-
noplysninger i sagsakter fra myndigheder mv., der er sendt til ombudsman-
den som led i behandlingen af en sag hos ombudsmanden. Sagsakterne kan
være sendt til ombudsmanden af myndigheden mv. eller af en klager eller
andre, f.eks. som bilag til en henvendelse, herunder som opfølgning på en
anmodning fra ombudsmanden.
UDKAST
26
Folketingets Ombudsmand videresender en anmodning om indsigt efter da-
tabeskyttelsesforordningen i de nævnte oplysninger til vedkommende myn-
dighed mv., der herefter vil skulle tage stilling til og besvare anmodningen.
Med den foreslåede ordning vil der ske en begrænsning i form af en ændring
af afgørelseskompetencen for så vidt angår den registreredes ret til indsigt i
personoplysninger i sagsakter fra myndigheder mv., der er sendt til Folke-
tingets Ombudsmand. Den registrerede vil fortsat have fuld adgang til at
anmode om indsigt i de pågældende personoplysninger, idet myndigheden
mv. i stedet for ombudsmanden vil skulle behandle indsigtsanmodningen.
Samtidig bevarer den registrerede muligheden for at klage til Folketingets
Ombudsmand. En registreret vil i øvrigt fortsat have adgang til at anmode
om indsigt i personoplysninger hos Folketingets Ombudsmand i andet end
sagsakter fra myndigheder mv. Endvidere vil den registrerede fortsat kunne
gøre sine øvrige rettigheder efter databeskyttelsesforordningen gældende.
Det er Justitsministeriets vurdering, at den foreslåede ordning, der bl.a. va-
retager hensynet til at sikre ombudsmandens særlige opgaver og kompe-
tence efter ombudsmandsloven, kan fastsættes indenfor rammerne af data-
beskyttelsesforordningens artikel 23, stk. 1, litra e, der bl.a. giver mulighed
for at begrænse rettigheder af hensyn til generelle samfundsinteresser.
Det vurderes, at den foreslåede ordning – uanset begrænsningen i indsigts-
retten hos Folketingets Ombudsmand – i praksis ikke vil forringe borgerens
retstilling, da Folketingets Ombudsmand vil videresende en anmodning om
indsigt i personoplysninger i sagsakter fra en myndighed mv. til vedkom-
mende myndighed mv., hvorefter denne vil skulle behandle anmodningen.
Forskellen i forhold til i dag består i, at det vil være vedkommende myndig-
hed mv. og ikke Folketingets Ombudsmand, der vil skulle behandle og be-
svare indsigtsanmodningen.
Den registrerede vil fortsat kunne gøre sine øvrige rettigheder efter databe-
skyttelsesforordningen gældende. Hvis den registrerede på baggrund af ind-
sigt i sagsakterne hos vedkommende myndighed mv. eksempelvis bliver be-
kendt med urigtige personoplysninger (databeskyttelsesforordningens arti-
kel 16) eller ønsker oplysninger heri om sig selv slettet (databeskyttelses-
forordningens artikel 17), vil den registrerede således fortsat kunne gøre
dette gældende i forhold til Folketingets Ombudsmand, der fortsat vil skulle
håndtere en sådan anmodning.
Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 3.
UDKAST
27
3. Økonomiske konsekvenser og implementeringskonsekvenser for det
offentlige
Lovforslaget forventes ikke at have økonomiske konsekvenser for det of-
fentlige af betydning.
Procesbevillingsnævnets undtagelse fra oplysningspligten og indsigtsretten
kan medføre en mindre tidsbesparelse for Procesbevillingsnævnet.
For så vidt angår lovforslagets del om tilpasning af indsigtsretten hos Fol-
ketingets Ombudsmand vurderes denne del at have begrænsede konsekven-
ser for det offentlige, herunder begrænsede kommunaløkonomiske konse-
kvenser. Det vurderes derfor ikke, at kommunerne eller regionerne skal
kompenseres herfor gennem Det Udvidede Totalbalanceprincip.
Principperne for digitaliseringsklar lovgivning vurderes ikke relevante for
lovforslaget.
4. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Forslaget vurderes ikke at have økonomiske konsekvenser for erhvervslivet
af betydning.
Forslaget kan medføre begrænsede administrative konsekvenser for er-
hvervslivet i forbindelse med en eventuel tilpasning af informationssam-
fundstjenester, som baserer behandling af personoplysninger på baggrund
af et samtykke, og som har indrettet sig således, at et samtykke er gyldigt,
hvis barnet er fyldt 13 år.
5. Administrative konsekvenser for borgerne
Lovforslaget har ikke administrative konsekvenser for borgerne.
6. Klimamæssige konsekvenser
Lovforslaget har ikke klimamæssige konsekvenser.
7. Miljø- og naturmæssige konsekvenser
Lovforslaget har ikke miljø- og naturmæssige konsekvenser.
8. Forholdet til EU-retten
Lovforslaget indebærer, at aldersgrænsen for samtykke til behandling af
personoplysninger i forbindelse med udbud af informationssamfundstjene-
ster hæves fra 13 år til 15 år. Den foreslåede ordning kan fastsættes inden
for rammerne af databeskyttelsesforordningens artikel 8, stk. 1.
UDKAST
28
Lovforslaget indebærer derudover, at oplysningspligten efter databeskyttel-
sesforordningens artikel 13-14 og retten til indsigt efter forordningens arti-
kel 15 ikke finder anvendelse på Procesbevillingsnævnets behandling af
personoplysninger i forbindelse med sager om ansøgninger om appeltilla-
delse. Det er Justitsministeriets vurdering, at denne begrænsning af de regi-
streredes rettigheder kan fastsættes inden for rammerne af forordningens ar-
tikel 23. Der henvises til afsnit 2.3.2 ovenfor.
Lovforslaget indebærer endvidere en begrænsning af retten til indsigt efter
databeskyttelsesforordningens artikel 15 i form af en ændring af afgørelses-
kompetencen for så vidt angår retten til indsigt i personoplysninger i sags-
akter fra myndigheder mv., der er sendt til Folketingets Ombudsmand som
led i behandlingen af en sag. Det er Justitsministeriets vurdering, at den fo-
reslåede ordning kan fastsættes inden for rammerne af databeskyttelsesfor-
ordningens artikel 23. Der henvises til afsnit 2.4.2 ovenfor.
Herudover har lovforslaget til formål at bringe databeskyttelseslovens § 13
i overensstemmelse med det nationale råderum i databeskyttelsesforordnin-
gen.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 21. september 2023 til den 19.
oktober 2023 været sendt i høring hos følgende myndigheder og organisa-
tioner mv.:
Advokatrådet, Akademikernes – AC, Amnesty International, Ankenævnet
for Patienterstatningen, Ankestyrelsen, Berlingske Media, BUPL, Børns
Vilkår, Civilstyrelsen, Dagbladet Information, Danmarks Jurist- og Øko-
nomforbundet (DJØF), Danmarks Lærerforening, Danmarks Medie- og
Journalisthøjskole, Danmarks Radio, Danmarks Tekniske Universitet,
Dansk Erhverv, Dansk Folkeoplysnings Samråd, Dansk Industri, Dansk IT,
Dansk Journalistforbund (DJ), Dansk Markedsføring, Dansk Socialrådgi-
verforening, Dansk Sygeplejeråd, Danske Advokater, Danske Medier, Dan-
ske Regioner, Danske Patienter, Datatilsynet, Dataetisk Råd, Den Danske
Dommerforening, Den Uafhængige Politiklagemyndighed, Det Juridiske
Fakultet – Københavns Universitet, Digitalt Ansvar, Direktoratet for Krimi-
nalforsorgen, Domstolsstyrelsen, Erhvervsstyrelsen, Fagbevægelsens Ho-
vedorganisation (FH), Fag og Arbejde (FOA), Finans Danmark, Folketin-
gets Ombudsmand, Forbrugerombudsmanden, Forbrugerrådet Tænk, For-
svarsministeriets Auditørkorps, Fængselsforbundet, Gymnasieskolernes
Lærerforening (GL), Handelshøjskolen – Aarhus Universitet, HK Danmark,
UDKAST
29
Institut for Menneskerettigheder, IT-Branchen, Ingeniørforeningen, IDA,
Juridisk Institut – Copenhagen Business School, Juridisk Institut – Syd-
dansk Universitet, Juridisk Institut – Aalborg Universitet, Juridisk Institut –
Aarhus Universitet, Justitia, Jyllands-Posten, Kommunernes Landsforening
(KL), Konkurrence- og Forbrugerstyrelsen, Kreakom, Kristeligt Dagblad,
Landsforeningen af Forsvarsadvokater, Lægeforeningen, Manderådet, Pa-
tienterstatningen, Patientforeningen, Politiforbundet, Politiken, Procesbe-
villingsnævnet, Red Barnet, Retspolitisk Forening, Rigsadvokaten, Rigspo-
litiet, Rådet for Digital Sikkerhed, samtlige byretter, samtlige ministerier,
samtlige regioner, Socialpædagogernes Landsforbund, Sø- og Handelsret-
ten, TV2 DANMARK A/S, Vestre Landsret og Østre Landsret.
10. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang/Hvis nej, an-
før »Ingen«)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang/Hvis nej, an-
før »Ingen«)
Økonomiske
konsekvenser for
stat, kommuner
og regioner
Ingen For så vidt angår lovforslagets del
om tilpasning af indsigtsretten hos
Folketingets Ombudsmand vurderes
denne del at have begrænsede konse-
kvenser for det offentlige, herunder
begrænsede kommunaløkonomiske
konsekvenser. Det vurderes derfor
ikke, at kommunerne eller regio-
nerne kompenseres herfor gennem
Det Udvidede Totalbalanceprincip.
Implemente-
ringskonsekven-
ser for stat, kom-
muner og regio-
ner
Ingen Ingen af betydning
Økonomiske
konsekvenser for
erhvervslivet
Ingen Ingen af betydning
Administrative
konsekvenser for
erhvervslivet
Ingen Forslaget kan medføre begrænsede
administrative konsekvenser for er-
hvervslivet i forbindelse med en
eventuel tilpasning af informations-
UDKAST
30
samfundstjenester, som baserer be-
handling af personoplysninger på
baggrund af et samtykke, og som har
indrettet sig således, at et samtykke
er gyldigt, hvis barnet er fyldt 13 år.
Administrative
konsekvenser for
borgerne
Ingen Ingen
Klimamæssige
konsekvenser
Ingen Ingen
Miljø- og natur-
mæssige konse-
kvenser
Ingen Ingen
Forholdet til EU-
retten
Lovforslaget indebærer, at aldersgrænsen for samtykke til behandling af
persondata i forbindelse med udbud af informationssamfundstjenester hæ-
ves fra 13 år til 15 år. Den foreslåede ordning kan fastsættes inden for ram-
merne af databeskyttelsesforordningens artikel 8, stk. 1.
Lovforslagets dele om undtagelse for Procesbevillingsnævnet fra oplys-
ningspligten og indsigtsretten og tilpasning af indsigtsretten hos Folketin-
gets Ombudsmand indebærer begrænsninger i de registreredes rettigheder
inden for rammerne af medlemsstaternes råderum i medfør af databeskyt-
telsesforordningens artikel 23.
Lovforslaget bringer endvidere databeskyttelseslovens § 13 i overensstem-
melse med det nationale råderum i forordningens artikel 6, stk. 2-3.
Er i strid med de
principper for
implementering
af erhvervsrettet
EU-regulering/
Går videre end
minimumskrav i
EU-regulering
(sæt X)
Ja Nej X
UDKAST
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
I databeskyttelseslovens § 6, stk. 1-3, er der fastsat nærmere betingelser for
behandling af personoplysninger.
Den gældende bestemmelse i databeskyttelseslovens § 6, stk. 2, medfører,
at i det omfang samtykkereglen i databeskyttelsesforordningens artikel 6,
stk. 1, litra a, finder anvendelse i forbindelse med udbud af informations-
samfundstjenester direkte til børn, er behandling af personoplysninger om
et barn lovlig, hvis barnet er mindst 13 år.
Den gældende bestemmelse i databeskyttelseslovens § 6, stk. 3, medfører,
at hvis barnet er under 13 år, er behandling af personoplysninger om barnet
kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indeha-
veren af forældremyndigheden over barnet.
For en nærmere beskrivelse af gældende ret henvises til afsnit 2.1.1. i lov-
forslagets almindelige bemærkninger.
Det foreslås at hæve aldersgrænsen i databeskyttelseslovens § 6, stk. 2 og 3,
fra 13 til 15 år.
Den foreslåede ændring vil medføre, at hvis et barn er under 15 år, er be-
handling af personoplysninger om barnet i forbindelse med udbud af infor-
mationssamfundstjenester direkte til børn, kun lovlig, hvis og i det omfang
samtykke gives eller godkendes af indehaveren af forældremyndigheden
over barnet.
For en nærmere beskrivelse af formålet med at hæve aldersgrænsen i Data-
beskyttelseslovens § 6, stk. 2 og 3, henvises til afsnit 2.1.3. i lovforslagets
almindelige bemærkninger.
Til nr. 2
I databeskyttelseslovens § 13, stk. 1-3 er der fastsat nærmere betingelser for
behandling af personoplysninger i forbindelse med markedsføring. I data-
UDKAST
32
beskyttelseslovens § 13, stk. 5-7 er der endvidere fastsat markedsførings-
regler vedrørende adressering- og kuverteringsbureauer. I databeskyttelses-
lovens § 13, stk. 8 og 9 bemyndiges justitsministeren til at fastsætte yderli-
gere begrænsninger ved behandling af oplysninger til brug ved markedsfø-
ring. For en nærmere beskrivelse af gældende ret henvises til afsnit 2.2.1 i
de almindelige bemærkninger til lovforslaget.
Det foreslås at ophæve databeskyttelseslovens § 13, stk. 1-3 og stk. 5-9. For-
målet med ophævelsen er at sikre databeskyttelseslovens overensstemmelse
med det nationale råderum i databeskyttelsesforordningen.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1 ophæ-
ves, vil medføre, at der ikke længere stilles krav om forbrugerens udtrykke-
lige samtykke, når en virksomhed ønsker at videregive oplysninger om en
forbruger til en anden virksomhed ved direkte markedsføring eller anvende
oplysningerne på vegne af en anden virksomhed i dette øjemed.
Virksomheder vil som følge af den foreslåede ordning endvidere ikke læn-
gere kunne basere en behandling af personoplysninger på databeskyttelses-
lovens § 13, stk. 2. Hvis en virksomhed ønsker at videregive oplysninger
om en forbruger til en anden virksomhed ved direkte markedsføring eller
anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, vil
virksomheden således skulle vurdere, om behandlingen kan ske på baggrund
af et af behandlingsgrundlagene i databeskyttelsesforordningens artikel 6,
stk. 1, litra a-f.
Det er en konkret vurdering, om en virksomhed kan videregive eller an-
vende personoplysninger med det formål at foretage direkte markedsføring
på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f (inter-
esseafvejning). Der kan bl.a. findes fortolkningsbidrag i forordningens
præambelbetragtning nr. 47 og Datatilsynets praksis. Datatilsynet har bl.a.
udtalt, at oplysninger indhentet i forbindelse med en konkurrence, hvor der
bl.a. spørges til konkurrencedeltagerens specifikke mobiludbyder og TV-
udbyder, hvilke specifikke streaming-tjenester konkurrencedeltageren be-
nytter, hvilken el-leverandør konkurrencedeltageren har, hvilket realkredi-
tinstitut konkurrencedeltageren er kunde hos samt hvilken timeantalsmæs-
sig tilknytning konkurrencedeltageren har til arbejdsmarkedet, er for detal-
jerede til med henblik på direkte markedsføring at kunne videregives inden
for rammerne af forordningens artikel 6, stk. 1, litra f.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 1 og 6
ophæves, vil desuden medføre, at der ikke længere stilles krav om, at et
samtykke til behandling af personoplysninger i forbindelse med markedsfø-
UDKAST
33
ring skal indhentes i overensstemmelse med markedsføringslovens § 10, der
indeholder et forbud mod at sende direkte markedsføring til nogen ved brug
af elektronisk post, et automatiseret opkaldssystem eller telefax, medmindre
den pågældende har givet sit forudgående samtykke (det såkaldte spamfor-
bud), som virksomhederne forsat vil skulle overholde. Et samtykke til be-
handling af personoplysninger vil endvidere skulle leve op til betingelserne
i databeskyttelsesforordningen for et gyldigt samtykke.
Den foreslåede ophævelse af databeskyttelseslovens § 13, stk. 3, hvorefter
der efter stk. 2 ikke kan videregives eller anvendes følsomme oplysninger
eller oplysninger om strafbare forhold, vurderes ikke at ville have konse-
kvenser, da behandling af følsomme personoplysninger og oplysninger om
strafbare forhold også er begrænset i databeskyttelsesforordningens artikel
9 og databeskyttelseslovens § 8.
Den foreslåede ordning, hvorefter databeskyttelseslovens § 13, stk. 5 ophæ-
ves, vil medføre, at dataansvarlige adresserings- og kuverteringsbureauer
kan behandle yderligere oplysninger end de nævnte i databeskyttelseslovens
§ 13, stk. 5, nr. 1 og 2, hvis der kan identificeres et behandlingsgrundlag i
databeskyttelsesforordningens artikel 6. Der henvises til ovenstående om
Datatilsynets praksis.
Den foreslåede ordning vil endvidere medføre, at der ikke længere vil gælde
et forbud i databeskyttelseslovens § 13, stk. 7 mod dataansvarlige adresse-
rings- og kuverteringsbureauers behandling af særlige kategorier af perso-
noplysninger efter databeskyttelsesforordningens artikel 9 (følsomme op-
lysninger) og oplysninger om strafbare forhold med henblik på direkte mar-
kedsføring, uanset om der er givet samtykke dertil. Det bemærkes, at føl-
somme personoplysninger efter databeskyttelsesforordningens artikel 9, stk.
1, ikke må behandles, medmindre en af undtagelserne i artikel 9, stk. 2 eller
bestemmelser, der gennemfører artikel 9, gør sig gældende, og der samtidig
foreligger et lovligt grundlag for behandling i forordningens artikel 6.
Herudover bemærkes, at reglerne i databeskyttelsesforordningens artikel 21,
stk. 2-4 om den registreredes indsigelsesret over for behandling af oplysnin-
ger med henblik på direkte markedsføring, og den dataansvarliges pligt til
at meddele den registrerede om muligheden til at gøre indsigelse, fortsat
gælder. For nærmere om forordningens artikel 21 henvises til afsnit 2.2.1.
Den foreslåede ophævelse af databeskyttelseslovens § 13, stk. 8-9 vil med-
føre, at justitsministeren ikke ved bekendtgørelse vil kunne begrænse ad-
gangen for behandling af bestemte typer af oplysninger med henblik på di-
rekte markedsføring.
UDKAST
34
Kravene til behandling af personoplysninger i markedsføringsøjemed vil så-
ledes som følge af forslaget følge direkte af databeskyttelsesforordningen.
Der henvises i øvrigt til afsnit 2.2. i lovforslagets almindelige bemærknin-
ger.
Til nr. 3
Procesbevillingsnævnet er i dag omfattet af oplysningspligten i databeskyt-
telsesforordningens artikel 13-14 og indsigtsretten efter forordningens arti-
kel 15. For en nærmere beskrivelse af gældende ret henvises til afsnit 2.3.1
i lovforslagets almindelige bemærkninger.
Det foreslås i § 22, stk. 7, at databeskyttelsesforordningens artikel 13-15
ikke finder anvendelse på behandling af personoplysninger, der foretages af
Procesbevillingsnævnet i henhold til retsplejelovens § 22, stk. 1.
I forbindelse med Procesbevillingsnævnets behandling af personoplysnin-
ger i nævnets afdeling for appeltilladelser og afdelingen for appeltilladelser
til landsretten vedrørende familierettens afgørelser vil der således være en
generel undtagelse fra databeskyttelsesforordningens regler om oplysnings-
pligt i artikel 13-14 og om retten til indsigt i artikel 15.
Oplysningspligten og indsigtsretten, jf. databeskyttelsesforordningens arti-
kel 13-15, vil fortsat i det hele omfatte Procesbevillingsnævnets behandling
af personoplysninger i forbindelse med sager vedrørende fri proces og rets-
hjælp i henhold til retsplejelovens § 22, stk. 2, og alle nævnets administra-
tive forhold. Dette indebærer bl.a., at administrativ sagsbehandling vil være
omfattet af oplysningspligten og indsigtsretten efter databeskyttelsesforord-
ningen.
Herudover vil den registrerede fortsat kunne gøre sine øvrige rettigheder
efter databeskyttelsesforordningen gældende over for Procesbevillingsnæv-
net.
Undtagelsen finder anvendelse efter den 1. januar 2024, som er det foreslå-
ede tidspunkt for lovens ikrafttræden.
Der henvises i øvrigt til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Hvis en anmodning om indsigt i sagsakter fra en myndighed mv. helt eller
delvist vedrører personoplysninger, der er omfattet af indsigtsretten efter da-
tabeskyttelsesforordningen, vil Folketingets Ombudsmand i dag selv tage
UDKAST
35
stilling til den del af anmodningen, der vedrører indsigt efter databeskyttel-
sesforordningen, eventuelt efter at have indhentet en udtalelse fra myndig-
heden mv. For en nærmere beskrivelse af gældende ret henvises til afsnit
2.4.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 22, stk. 8, at artikel 15 om indsigtsret i databeskyttelsesfor-
ordningen ikke finder anvendelse på Folketingets Ombudsmands behand-
ling af personoplysninger i sagsakter fra myndigheder mv., der er sendt til
ombudsmanden som led i behandlingen af en sag. Det foreslås endvidere, at
Folketingets Ombudsmand videresender disse anmodninger til vedkom-
mende myndighed mv.
Det foreslåede vil indebære en ændring af afgørelseskompetencen for så vidt
angår den registreredes ret til indsigt i personoplysninger i sagsakter fra
myndigheder mv., der er sendt til Folketingets Ombudsmand.
Der henvises til afsnit 2.4.2 i lovforslagets almindelige bemærkninger.
Sagsakterne kan være sendt til ombudsmanden af vedkommende myndig-
hed mv. eller af klageren eller andre, f.eks. som bilag til en henvendelse. Det
er endvidere uden betydning, om sagsakterne er sendt til ombudsmanden i
forbindelse med en klagesag, en egen drift-undersøgelse eller en tilsynssag,
og om det er sket på ombudsmandens eller afsenderens foranledning.
Med udtrykket »myndigheder mv.« sigtes for det første til de myndigheder
og private institutioner mv., som er omfattet af Folketingets Ombudsmands
virksomhed efter § 7, stk. 1, i lov om Folketingets Ombudsmand (ombuds-
mandsloven). Udtrykket sigter for det andet til selskaber, institutioner, for-
eninger mv., som helt eller delvist er inddraget under de regler og principper,
der gælder for den offentlige forvaltning, og som ombudsmanden har be-
sluttet at inddrage under sin virksomhed efter § 7, stk. 4, i ombudsmandslo-
ven.
Vedkommende myndighed mv. vil således skulle behandle og besvare ind-
sigtsanmodningen for så vidt angår sagsakter fra myndigheden mv. Folke-
tingets Ombudsmand vil underrette den registrerede om, at ombudsmanden
har sendt indsigtsanmodningen til vedkommende myndighed mv. til videre
foranstaltning.
I de tilfælde, hvor vedkommende myndighed mv. har fået videresendt en
anmodning fra ombudsmanden, og hvor der er tvivl om, hvorvidt der er tale
om en anmodning om indsigt efter forvaltningsrettens regler eller databe-
skyttelsesreglerne, vil myndigheden mv. – ligesom det er tilfældet i dag,
UDKAST
36
hvis en anmodning sendes direkte til myndigheden mv. – skulle håndtere
borgerens anmodning efter det mest gunstige regelsæt.
Den foreslåede bestemmelse regulerer alene adgangen til indsigt efter arti-
kel 15 i databeskyttelsesforordningen i sagsakter fra myndigheder mv., der
er sendt til Folketingets Ombudsmand som led i behandlingen af en sag.
Folketingets Ombudsmand vil således fortsat skulle behandle indsigtsan-
modninger i andre personoplysninger, der behandles af ombudsmanden. Det
gælder f.eks. oplysninger i ombudsmandens brevveksling med klagere eller
myndigheder mv., dvs. oplysninger i ombudsmandens egne ind- og udgå-
ende sagsakter, herunder breve fra eller til klagere og ombudsmandens breve
til myndigheder mv. samt disses høringssvar. Eventuelle vedlagte sagsakter
fra myndighederne mv. vil derimod skulle behandles efter den foreslåede
nye bestemmelse i § 22, stk. 8. Bestemmelsen indebærer ikke en begræns-
ning af den registreredes øvrige rettigheder i databeskyttelsesforordningen.
Således vil Folketingets Ombudsmand eksempelvis fortsat skulle behandle
anmodninger om berigtigelse af personoplysninger eller anmodninger om
sletning af personoplysninger mv. i medfør af databeskyttelsesforordningen
i sagsakter fra myndigheder mv., der er sendt til ombudsmanden.
Undtagelsen finder anvendelse efter den 1. januar 2024, som er det foreslå-
ede tidspunkt for lovens ikrafttræden.
Der henvises i øvrigt til afsnit 2.4 i lovforslagets almindelige bemærkninger.
Til § 2
Det foreslås i bestemmelsens stk. 1, at loven skal træde i kraft den 1. januar
2024.
Til § 3
Det foreslås, at loven ikke skal gælde for Færøerne og Grønland. Dette skyl-
des, at databeskyttelsesloven ikke gælder for Færøerne og Grønland, lige-
som loven ikke indeholder en anordningshjemmel, jf. lovens § 48.
UDKAST
37
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 1
I databeskyttelsesloven, lov nr.
502 af 23. maj 2018, foretages føl-
gende ændring:
§ 6 ---
Stk. 2. Finder databeskyttelsesfor-
ordningens artikel 6, stk. 1, litra a,
anvendelse i forbindelse med ud-
bud af informationssamfundstjene-
ster direkte til børn, er behandling
af personoplysninger om et barn
lovlig, hvis barnet er mindst 13 år.
Stk. 3. Er barnet under 13 år, er be-
handling kun lovlig, hvis og i det
omfang samtykke gives eller god-
kendes af indehaveren af forældre-
myndigheden over barnet.
1. I § 6, stk. 2 og 3, ændres »13« til:
»15«.
§ 13 En virksomhed må ikke vide-
regive oplysninger om en forbruger
til en anden virksomhed til brug ved
direkte markedsføring eller an-
vende oplysningerne på vegne af en
anden virksomhed i dette øjemed,
medmindre forbrugeren har givet
sit udtrykkelige samtykke hertil. Et
samtykke skal indhentes i overens-
stemmelse med reglerne i markeds-
føringslovens § 10.
2. § 13, stk. 1-3 og stk. 5-9, ophæ-
ves.
Stk. 4 bliver herefter til stk. 1.
UDKAST
38
Stk. 2. Videregivelse og anvendelse
som nævnt i stk. 1 kan dog ske uden
samtykke, hvis der er tale om gene-
relle kundeoplysninger, der danner
grundlag for inddeling i kundekate-
gorier, og hvis betingelserne i data-
beskyttelsesforordningens artikel 6,
stk. 1, litra f, er opfyldt.
Stk. 3. Der kan efter stk. 2 ikke vi-
deregives eller anvendes oplysnin-
ger som nævnt i databeskyttelses-
forordningens artikel 9, stk. 1, eller
denne lovs § 8.
Stk. 4. Inden en virksomhed videre-
giver oplysninger om en forbruger
til en anden virksomhed med hen-
blik på direkte markedsføring eller
anvender oplysningerne på vegne
af en anden virksomhed i dette øje-
med, skal den undersøge i CPR, om
forbrugeren har frabedt sig henven-
delser i markedsføringsøjemed.
Stk. 5. Dataansvarlige, der med
henblik på direkte markedsføring
sælger fortegnelser over grupper af
personer, eller som for tredjemand
foretager adressering eller udsen-
delse af meddelelser til sådanne
grupper, må kun behandle
1) oplysninger om navn, adresse,
stilling, erhverv, e-mailadresse, te-
lefon- og telefaxnummer,
2) oplysninger, der indgår i er-
hvervsregistre, som i henhold til lov
eller bestemmelser fastsat i henhold
UDKAST
39
til lov er beregnet til at informere
offentligheden, og
3) andre oplysninger, hvis den regi-
strerede har givet udtrykkeligt
samtykke dertil.
Stk. 6. Et samtykke efter stk. 5 skal
indhentes i overensstemmelse med
markedsføringslovens § 10.
Stk. 7. Behandling af oplysninger
som nævnt i stk. 5 må ikke omfatte
oplysninger som nævnt i databe-
skyttelsesforordningens artikel 9,
stk. 1, eller denne lovs § 8.
Stk. 8. Justitsministeren kan fast-
sætte yderligere begrænsninger i
adgangen til at videregive eller an-
vende bestemte typer af oplysnin-
ger efter stk. 2.
Stk. 9. Justitsministeren kan fast-
sætte yderligere begrænsninger end
de i stk. 7 nævnte i adgangen til at
behandle bestemte typer af oplys-
ninger.
§ 22 ---
Stk. 1-6. ---
3. I § 22 indsættes som stk. 7 og 8:
»Stk. 7. Databeskyttelsesforord-
ningens artikel 13-15 finder ikke
anvendelse på behandling af perso-
noplysninger, der foretages af Pro-
cesbevillingsnævnet i henhold til
retsplejelovens § 22, stk. 1.
Stk. 8. Databeskyttelsesforordnin-
gens artikel 15 finder ikke anven-
delse på Folketingets Ombuds-
mands behandling af personoplys-
ninger i sagsakter fra myndigheder
UDKAST
40
mv., der er sendt til ombudsmanden
som led i behandlingen af en sag.
Folketingets Ombudsmand videre-
sender de i 1. pkt. nævnte ind-
sigtsanmodninger til de relevante
myndigheder m.v.«


Side 1/1
Vedlagt sendes til orientering udkast til forslag til lov om ændring af data-
beskyttelsesloven (Justering af aldersgrænsen for samtykke til behandling
af personoplysninger i forbindelse med informationssamfundstjenester, op-
hævelse af bestemmelser om behandling af personoplysninger i forbindelse
med markedsføring samt tilpasning af oplysningspligten og indsigtsretten
hos Procesbevillingsnævnet og Folketingets Ombudsmand)
Lovforslaget vil blive sendt i høring hos de myndigheder og organisationer
m.v., der er anført på vedlagte høringsliste.
Peter Hummelgaard
/
Louise Black Mogensen
Folketinget
Udvalget for Digitalisering og It
Christiansborg
1240 København K
DK Danmark
Dato: 21. september 2023
Kontor: Databeskyttelseskontoret
Sagsbeh: Betty Nielsen Husted
Sagsnr.: 2023-7910-0037
Dok.: 2810170
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
www.justitsministeriet.dk
jm@jm.dk
Offentligt
DIU Alm.del - Bilag 149
Udvalget for Digitalisering og It 2022-23 (2. samling)