Fremsat den 28. marts 2017 af justitsministeren (Søren Pape Poulsen)

Fremsat den 28. marts 2017 af justitsministeren (Søren Pape Poulsen)
Forslag
til
Lov om retshåndhævende myndigheders behandling af personoplysninger
(Gennemførelse af direktiv om databeskyttelse på retshåndhævelsesområdet)
Afsnit I
Indledende bestemmelser
Kapitel 1
Lovens område
§ 1. Loven gælder for politiets, anklagemyndighedens,
herunder den militære anklagemyndigheds, kriminalforsor-
gens, Den Uafhængige Politiklagemyndigheds og domstole-
nes behandling af personoplysninger, der helt eller delvis
foretages ved hjælp af automatisk databehandling, og på an-
den ikke-automatisk behandling af personoplysninger, der er
eller vil blive indeholdt i et register, når behandlingen fore-
tages med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner, herunder for at beskytte mod eller forebygge
trusler mod den offentlige sikkerhed.
Stk. 2. Loven finder ikke anvendelse på den behandling af
personoplysninger, som udføres for eller af politiets og for-
svarets efterretningstjenester.
Stk. 3. Loven finder ikke anvendelse i forhold til behand-
ling af personoplysninger i medfør af EU-retsakter, der den
eller inden den 6. maj 2016 er trådt i kraft på området for
retligt samarbejde i straffesager og politisamarbejde, og som
regulerer behandling mellem medlemsstaterne og de ud-
pegede myndigheders adgang til EU-informationssystemer.
§ 2. Regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retstilling,
går forud for reglerne i denne lov.
Kapitel 2
Definitioner
§ 3. I denne lov forstås ved:
1) Personoplysninger: Enhver form for information om
en identificeret eller identificerbar fysisk person (den
registrerede).
2) Behandling: Enhver aktivitet eller række af aktiviteter
– med eller uden brug af automatisk behandling – som
personoplysninger eller en samling af per-
sonoplysninger gøres til genstand for.
3) Begrænsning af behandling: Mærkning af opbevarede
personoplysninger med den hensigt at begrænse frem-
tidig behandling af disse oplysninger.
4) Profilering: Enhver form for automatisk behandling af
personoplysninger, der består i at anvende per-
sonoplysninger til at evaluere bestemte personlige for-
hold vedrørende en fysisk person.
5) Register: Enhver struktureret samling af personoplys-
ninger, der er tilgængelig efter bestemte kriterier,
hvad enten denne samling er placeret centralt, decen-
tralt eller er fordelt på funktionsbestemt eller geogra-
fisk grundlag.
6) Kompetent myndighed: Enhver offentlig myndighed
eller ethvert andet organ eller enhver anden enhed, der
i henhold til medlemsstaternes nationale ret er bemyn-
diget med hensyn til at udøve offentlig myndighed og
offentlige beføjelser med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlin-
ger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige
sikkerhed. De kompetente myndigheder i Danmark er
politiet, anklagemyndigheden, herunder den militære
anklagemyndighed, kriminalforsorgen, Den Uaf-
hængige Politiklagemyndighed og domstolene.
7) Dataansvarlig: Den kompetente myndighed, der alene
eller sammen med andre afgør, til hvilke formål og
med hvilke hjælpemidler der må foretages behandling
af personoplysninger.
8) Databehandler: En fysisk eller juridisk person, en of-
fentlig myndighed, en institution eller et andet organ,
der behandler personoplysninger på den dataansvarli-
ges vegne.
Lovforslag nr. L 168 Folketinget 2016-17
Justitsmin., j.nr. 2016-7910-0008
AA010089
9) Modtager: En fysisk eller juridisk person, en offentlig
myndighed, en institution eller et andet organ, hvortil
personoplysninger videregives, således at modtageren
selvstændigt herefter træffer beslutning om, til hvilket
formål og med hvilke midler denne behandler de vide-
regivne oplysninger, uanset om det er en tredjemand
eller ej. Myndigheder, som vil kunne få meddelt per-
sonoplysninger som led i en isoleret forespørgsel, be-
tragtes ikke som modtagere.
10) Brud på persondatasikkerheden: Ethvert brud på sik-
kerheden, der fører til hændelig eller ulovlig tilintet-
gørelse, tab, ændring, uautoriseret videregivelse af el-
ler adgang til personoplysninger, der er transmitteret,
opbevaret eller på anden måde behandlet.
11) Genetiske data: Personoplysninger vedrørende en fy-
sisk persons arvede eller erhvervede genetiske karak-
teristika, som giver entydig information om den fysi-
ske persons fysiologi eller helbred, og som navnlig
foreligger efter en analyse af en biologisk prøve fra
den pågældende fysiske person.
12) Biometriske data: Personoplysninger, der som følge af
specifik teknisk behandling vedrørende en fysisk per-
sons fysiske, fysiologiske eller adfærdsmæssige ka-
rakteristika muliggør eller bekræfter en entydig identi-
fikation af vedkommende, f.eks. ansigtsbillede eller
fingeraftryksoplysninger.
13) Helbredsoplysninger: Personoplysninger, der vedrører
en fysisk persons fysiske eller mentale helbred, herun-
der levering af sundhedsydelser, og som giver infor-
mation om vedkommendes helbredstilstand.
14) International organisation: En folkeretlig organisation
og organer, der er underordnet en sådan organisation,
samt ethvert andet organ, der er oprettet ved eller med
hjemmel i en aftale mellem to eller flere lande.
Afsnit II
Behandlingsregler
Kapitel 3
Behandling af oplysninger
§ 4. Oplysninger skal behandles i overensstemmelse med
god databehandlingsskik og under hensyntagen til oplysnin-
gernes karakter.
Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt
angivne og saglige formål, som er omfattet af § 1, stk. 1, og
senere behandling må ikke være uforenelig med disse for-
mål, jf. dog § 5.
Stk. 3. Oplysninger, som behandles, skal være relevante
og tilstrækkelige og ikke omfatte mere, end hvad der kræves
til opfyldelse af de formål, hvortil oplysningerne indsamles,
og de formål, hvortil oplysningerne senere behandles.
Stk. 4. Oplysninger, som behandles, skal være korrekte og
om nødvendigt ajourførte. Der skal tages ethvert rimeligt
skridt for at sikre, at personoplysninger, der er urigtige i for-
hold til de formål, hvortil de behandles, straks slettes eller
berigtiges.
Stk. 5. Den dataansvarlige træffer alle rimelige foranstalt-
ninger til at sikre, at personoplysninger ikke videregives el-
ler stilles til rådighed, hvis de er urigtige, ufuldstændige el-
ler ikke ajourførte. I dette øjemed verificerer den dataan-
svarlige så vidt muligt kvaliteten af personoplysningerne,
før de videregives eller stilles til rådighed. I forbindelse med
videregivelse af oplysninger skal der så vidt muligt tilføjes
nødvendige oplysninger, der gør det muligt for den modta-
gende kompetente myndighed at vurdere, i hvor høj grad
personoplysningerne er rigtige, fuldstændige og pålidelige,
og i hvilket omfang de er ajourførte. Konstateres det, at der
er videregivet urigtige personoplysninger, eller at per-
sonoplysninger er videregivet ulovligt, skal dette straks
meddeles modtageren. Oplysningerne skal i givet fald berig-
tiges eller slettes, eller behandlingen skal begrænses.
Stk. 6. Indsamlede oplysninger må ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede
i et længere tidsrum end det, der er nødvendigt af hensyn til
de formål, hvortil oplysningerne behandles.
Stk. 7. Indsamlede oplysninger skal behandles på en må-
de, der sikrer en tilstrækkelig sikkerhed for de pågældende
personoplysninger, herunder beskyttelse mod uautoriseret
eller ulovlig behandling og mod hændeligt tab, tilintetgørel-
se eller beskadigelse, under anvendelse af passende tekniske
eller organisatoriske foranstaltninger, jf. § 27.
Stk. 8. Den dataansvarlige er ansvarlig for og skal kunne
påvise, at stk. 1-7 overholdes.
§ 5. Senere behandling af oplysninger til et andet af de
formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprinde-
ligt var indsamlede, kan foretages af den samme eller en an-
den af de kompetente myndigheder, når behandlingen sker
på baggrund af lov og er nødvendig og forholdsmæssig i
forhold til dette efterfølgende formål.
Stk. 2. Der kan i medfør af stk. 1 endvidere foretages be-
handling af oplysninger, der alene sker til arkivformål i sam-
fundets interesse eller i historisk, statistisk eller videnskabe-
ligt øjemed.
Stk. 3. Den dataansvarlige er ansvarlig for og skal kunne
påvise, at stk. 1 og 2 overholdes.
§ 6. Foretages der videregivelse af oplysninger, fastsætter
og underretter den videregivende kompetente myndighed
om eventuelle særlige vilkår for behandling af oplysninger.
Der kan ikke fastsættes særlige vilkår alene som følge af, at
der er tale om en videregivelse til en modtager i en anden
medlemsstat.
Stk. 2. Behandling af oplysninger, der er modtaget fra en
kompetent myndighed, må ikke ske i strid med særlige vil-
kår, som er fastsat af den videregivende kompetente myn-
dighed.
§ 7. Den dataansvarlige skal tilrettelægge behandlingen af
personoplysninger således, at der fastsættes passende frister
for sletningen af personoplysninger eller regelmæssig under-
søgelse af behovet for lagringen af oplysningerne. Det sikres
endvidere ved proceduremæssige foranstaltninger, at tidsfri-
sterne overholdes.
2
§ 8. Den dataansvarlige skal, når det er relevant, så vidt
muligt sondre mellem personoplysninger om forskellige ka-
tegorier af registrerede, herunder
1) personer, om hvem der er væsentlig grund til at tro, at
de har begået eller vil begå en strafbar handling,
2) personer, der er dømt for en strafbar handling,
3) ofre for en strafbar handling eller personer, om hvem
visse faktiske omstændigheder giver anledning til at
tro, at de kunne blive ofre for en strafbar handling, og
4) andre parter i forbindelse med en strafbar handling,
såsom personer, der kan blive indkaldt som vidner i ef-
terforskninger i forbindelse med strafbare handlinger
eller i efterfølgende straffesager, personer, der kan til-
vejebringe oplysninger om strafbare handlinger, eller
kontakt- eller ledsagepersoner for de personer, der er
nævnt i nr. 1 og 2.
§ 9. Behandling af oplysninger må kun finde sted, når be-
handlingen er nødvendig for at forebygge, efterforske, afslø-
re eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder for at beskytte mod eller
forebygge trusler mod den offentlige sikkerhed.
§ 10. Der må ikke behandles personoplysninger om race
eller etnisk oprindelse, politisk, religiøs eller filosofisk over-
bevisning, fagforeningsmæssigt tilhørsforhold, genetiske da-
ta, biometriske data med det formål entydigt at identificere
en fysisk person, helbredsoplysninger eller oplysninger om
en fysisk persons seksuelle forhold eller seksuelle oriente-
ring.
Stk. 2. Under overholdelse af betingelserne i denne lov
kan der dog foretages behandling af oplysninger omfattet af
stk. 1, når det er strengt nødvendigt og sker af hensyn til de
formål, der er nævnt i § 1, stk. 1, herunder for at beskytte
den registreredes eller en anden fysisk persons vitale interes-
ser, eller hvis behandlingen vedrører oplysninger, som tyde-
ligvis er offentliggjort af den registrerede.
§ 11. Der kan træffes afgørelser, der har negativ retsvirk-
ning for den registrerede eller betydeligt påvirker den på-
gældende, alene på grundlag af automatisk behandling, her-
under profilering.
Stk. 2. Ved afgørelser, der er omfattet af stk. 1, skal der
findes passende foranstaltninger til at sikre den registreredes
berettigede interesser, herunder i det mindste en ret for den
registrerede til at kræve menneskelig indgriben fra den data-
ansvarliges side.
§ 12. De kompetente myndigheder skal indføre effektive
mekanismer, som tilskynder til fortrolig indberetning til til-
synsmyndighederne af overtrædelser af denne lov.
Afsnit III
Den registreredes rettigheder
Kapitel 4
Oplysninger, der skal stilles til rådighed eller gives til den
registrerede
§ 13. Den dataansvarlige skal stille følgende oplysninger
til rådighed for den registrerede:
1) Identitet på og kontaktoplysninger for den dataansvarli-
ge.
2) Kontaktoplysninger for databeskyttelsesrådgiveren og
oplysninger om dennes funktion i forhold til de regi-
strerede.
3) Formålene med den behandling, som personoply-
sningerne skal bruges til.
4) Retten til at indgive en klage til en tilsynsmyndighed
og kontaktoplysningerne for tilsynsmyndigheden.
5) Den registreredes rettigheder efter kapitel 5 og 6.
6) Retten til at lade den kompetente tilsynsmyndighed ud-
øve den registreredes rettigheder i forhold til de kom-
petente myndigheders afgørelser om undladelse, udsæt-
telse, begrænsning eller nægtelse efter kapitel 4-6, jf. §
40, stk. 1, nr. 10.
Stk. 2. Er det nødvendigt for, at den registrerede kan vare-
tage sine interesser, skal den dataansvarlige som minimum
give den registrerede meddelelse om følgende:
1) Retsgrundlaget for behandlingen.
2) Det tidsrum, hvor personoplysningerne vil blive opbe-
varet, eller, hvis dette ikke er muligt, de kriterier, der
anvendes til at fastlægge dette tidsrum.
3) Kategorierne af eventuelle modtagere af persono-
plysningerne, herunder i tredjelande eller internationale
organisationer.
4) Yderligere oplysninger, hvis det er nødvendigt, navnlig
hvis personoplysningerne indsamles uden den registre-
redes vidende.
§ 14. Meddelelse efter § 13, stk. 2, kan udsættes, begræn-
ses eller undlades, hvis den registreredes interesse i at få
kendskab til oplysningerne findes at burde vige for at
1) undgå, at der lægges hindringer i vejen for officielle el-
ler retlige undersøgelser, efterforskninger eller proce-
durer,
2) undgå at skade forebyggelsen, afsløringen, efterforsk-
ningen eller retsforfølgningen af strafbare handlinger
eller fuldbyrdelsen af strafferetlige sanktioner,
3) beskytte den offentlige sikkerhed,
4) beskytte statens sikkerhed eller
5) beskytte den registreredes eller andres rettigheder.
Stk. 2. Justitsministeren fastsætter nærmere regler om,
hvilke kategorier af behandling der er omfattet af stk. 1,
samt om, at meddelelse efter § 13, stk. 2, kan udsættes til et
passende tidspunkt, for så vidt hensynene i stk. 1 må antages
at medføre, at meddelelser i almindelighed må underkastes
en sådan udsættelse.
3
Kapitel 5
Den registreredes indsigtsret
§ 15. Fremsætter en registreret begæring herom, skal den
dataansvarlige bekræfte over for den pågældende, om der
behandles oplysninger om vedkommende.
Stk. 2. Behandles der oplysninger om den pågældende,
skal der gives adgang til oplysningerne samt en meddelelse
med følgende oplysninger:
1) Formålene med og retsgrundlaget for behandlingen.
2) De berørte kategorier af personoplysninger.
3) De modtagere eller kategorier af modtagere, som per-
sonoplysningerne er videregivet til, herunder navnlig
modtagere i tredjelande eller internationale organisatio-
ner.
4) Om muligt, det påtænkte tidsrum, hvor personoply-
sningerne vil blive opbevaret, eller, hvis dette ikke er
muligt, de kriterier, der anvendes til at fastlægge dette
tidsrum.
5) Retten til at anmode den dataansvarlige om berigtigelse
eller sletning af personoplysninger eller begrænsning af
behandling vedrørende den registrerede.
6) Retten til at indgive en klage til tilsynsmyndigheden og
kontaktoplysningerne for tilsynsmyndigheden.
7) Hvilke personoplysninger, der er omfattet af behandlin-
gen, og enhver tilgængelig oplysning om, hvorfra de
stammer.
§ 16. Indsigt efter § 15 kan udsættes, begrænses eller
nægtes, hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for de hensyn til offentli-
ge interesser, der er nævnt i § 14, stk. 1.
Stk. 2. En afgørelse om, at den registreredes indsigt ud-
sættes, begrænses eller nægtes, skal meddeles den registre-
rede skriftligt og skal være ledsaget af en begrundelse og en
klagevejledning. Afgørelsen skal endvidere indeholde oplys-
ninger om den registreredes ret til at lade den kompetente
tilsynsmyndighed udøve den registreredes rettigheder, jf. §
40, stk. 1, nr. 10.
Stk. 3. Af hensyn til de i stk. 1 nævnte formål kan den re-
gistrerede i stedet for meddelelse efter stk. 2 gives meddelel-
se om, at det ikke kan oplyses, om der behandles oplysnin-
ger om den pågældende. En sådan meddelelse skal indehol-
de en klagevejledning og oplysninger om den registreredes
ret til at lade den kompetente tilsynsmyndighed udøve den
registreredes rettigheder, jf. § 40, stk. 1, nr. 10.
Stk. 4. Justitsministeren fastsætter nærmere regler om,
hvilke kategorier af behandling der er omfattet af stk. 1, her-
under om undtagelser fra retten til at få oplysninger efter §
15 for så vidt hensynene i stk. 1 må antages at medføre, at
begæringer om indsigt i almindelighed må nægtes.
Kapitel 6
Ret til berigtigelse, sletning og begrænsning af behandling
§ 17. Den dataansvarlige skal efter anmodning fra den re-
gistrerede uden unødig forsinkelse berigtige oplysninger,
der viser sig urigtige. På tilsvarende måde skal der ske fuld-
stændiggørelse af ufuldstændige oplysninger, hvis dette kan
ske uden at bringe formålet med behandlingen i fare. Den
dataansvarlige skal meddele berigtigelse af urigtige per-
sonoplysninger til den kompetente myndighed, hvorfra de
urigtige oplysninger stammer.
Stk. 2. Den dataansvarlige skal efter anmodning fra den
registrerede uden unødig forsinkelse slette oplysninger, der
er behandlet i strid med kapitel 3, eller hvis det er påkrævet
for at overholde en retlig forpligtelse, som den dataansvarli-
ge er underlagt.
Stk. 3. Den dataansvarlige skal i stedet for sletning be-
grænse behandlingen af personoplysninger, hvis
1) rigtigheden af personoplysningerne bestrides af den re-
gistrerede, og deres rigtighed eller urigtighed ikke kan
konstateres, eller
2) personoplysningerne skal bevares som bevismiddel.
Stk. 4. Er behandling begrænset i henhold til stk. 3, nr. 1,
underretter den dataansvarlige den registrerede herom, inden
begrænsningen af behandling ophæves.
Stk. 5. Et afslag på en anmodning om berigtigelse, slet-
ning eller begrænsning af behandling skal meddeles den re-
gistrerede skriftligt og skal være ledsaget af en begrundelse
og en klagevejledning. Afgørelsen skal endvidere indeholde
oplysninger om den registreredes ret til at lade den kompe-
tente tilsynsmyndighed udøve den registreredes rettigheder,
jf. § 40, stk. 1, nr. 10. Bestemmelsen i § 16, stk. 3, finder
tilsvarende anvendelse.
Stk. 6. Den dataansvarlige skal underrette modtagere om,
at der er sket berigtigelse, sletning eller begrænsning af be-
handling af personoplysninger. Modtagerne berigtiger eller
sletter personoplysningerne eller begrænser behandling af
personoplysninger, som de har ansvaret for.
Kapitel 7
Generelle bestemmelser
§ 18. Oplysninger og meddelelser, der er nævnt i dette af-
snit, skal stilles til rådighed eller gives gratis i en kortfattet,
letforståelig og lettilgængelig form og i et klart og enkelt
sprog.
Stk. 2. Den dataansvarlige skal snarest og på skrift besva-
re begæringer som nævnt i dette afsnit. Er begæringen ikke
besvaret inden 4 uger efter modtagelsen, skal den dataan-
svarlige underrette den pågældende om grunden hertil, samt
om hvornår anmodningen forventes besvaret.
Stk. 3. Retsplejelovens og den militære retsplejelovs reg-
ler om retten til oplysninger, indsigt i og berigtigelse eller
sletning og begrænsning af behandling af personoplysninger
i straffesager finder anvendelse i forhold til rettigheder i
medfør af dette afsnit.
Stk. 4. Justitsministeren fastsætter nærmere regler om be-
handling af anmodninger i medfør af dette afsnit samt om
behandling af klagesager, herunder at afgørelser ikke skal
kunne påklages til anden administrativ myndighed.
§ 19. Den dataansvarlige kan afvise at imødekomme
åbenbart grundløse eller overdrevent gentagne anmodninger,
som er fremsat i henhold til bestemmelserne i dette afsnit.
4
Afsnit IV
Forpligtelser for den dataansvarlige og databehandleren
Kapitel 8
Forpligtelser for den dataansvarlige
§ 20. Den dataansvarlige gennemfører og om nødvendigt
ajourfører og reviderer de fornødne tekniske og organisato-
riske foranstaltninger for at sikre og for at være i stand til at
påvise, at behandling er i overensstemmelse med denne lov.
Står det i rimeligt forhold til behandlingsaktiviteterne, skal
den dataansvarlige tillige gennemføre de fornødne databe-
skyttelsespolitikker.
Stk. 2. Foranstaltninger efter stk. 1 omfatter databeskyttel-
se gennem design og gennem standardindstillinger.
§ 21. Fastsætter to eller flere dataansvarlige i fællesskab
formålene med og hjælpemidlerne til behandling, betragtes
de som fælles dataansvarlige. Fælles dataansvarlige skal
fastsætte en ordning for fordeling af ansvaret for, at behand-
lingen er i overensstemmelse med loven, herunder navnlig i
forhold til den registreredes rettigheder efter afsnit III. Ord-
ningen skal omfatte udpegningen af et fælles kontaktpunkt.
Der kan udpeges et særligt kontaktpunkt, der kan fungere
som fælles kontaktpunkt for de registrerede, når disse udø-
ver deres rettigheder.
Kapitel 9
Forpligtelser for databehandleren mv.
§ 22. Overlader en dataansvarlig en behandling af oplys-
ninger til en databehandler, skal den dataansvarlige sikre
sig, at databehandleren kan træffe de tekniske og organisato-
riske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24,
og påse, at dette sker.
Stk. 2. Gennemførelse af en behandling ved en databe-
handler skal ske i henhold til lov eller en skriftlig aftale mel-
lem databehandleren og den dataansvarlige. Loven eller af-
talen skal fastsætte genstanden for og varigheden af behand-
lingen, behandlingens karakter og formål, typen af per-
sonoplysninger og kategorierne af registrerede samt den da-
taansvarliges forpligtelser og rettigheder. Det skal navnlig
fremgå, at databehandleren
1) kun må handle efter instruks fra den dataansvarlige,
2) sikrer, at de fysiske personer, der er autoriseret til at be-
handle personoplysninger, har forpligtet sig til fortro-
lighed eller er underlagt en passende lovbestemt tavs-
hedspligt,
3) bistår den dataansvarlige på enhver hensigtsmæssig
måde med at sikre overholdelse af bestemmelserne om
den registreredes rettigheder,
4) efter den dataansvarliges valg sletter eller tilbageleve-
rer alle personoplysningerne til den dataansvarlige, ef-
ter at tjenesterne vedrørende behandling er ophørt,
medmindre anden lovgivning foreskriver opbevaring af
personoplysningerne,
5) stiller alle oplysninger, der er nødvendige for at påvise
overholdelse af denne bestemmelse, til rådighed for
den dataansvarlige, og
6) overholder betingelserne i stk. 2 og 3 med henblik på at
gøre brug af en anden databehandler.
Stk. 3. En databehandlers overladelse af behandling til en
anden databehandler skal ske i henhold til en generel eller
specifik skriftlig aftale med den dataansvarlige. Sker over-
ladelse i henhold til en generel aftale, skal databehandleren
underrette den dataansvarlige herom senest 14 dage forud
for overladelsen.
Stk. 4. Enhver, der udfører arbejde for den dataansvarlige
eller databehandleren, og som har adgang til personoplys-
ninger, må kun behandle disse oplysninger efter instruks fra
den dataansvarlige, medmindre det følger af anden lovgiv-
ning, at den pågældende skal foretage behandlingen.
Kapitel 10
Fortegnelser over behandlingsaktiviteter og logning
§ 23. Den dataansvarlige skal føre skriftlige fortegnelser
over alle kategorier af behandlingsaktiviteter under den da-
taansvarliges ansvar. Fortegnelserne skal indeholde oplys-
ning om
1) navn på og kontaktoplysninger for den dataansvarlige
og, hvis det er relevant, den fælles dataansvarlige og
databeskyttelsesrådgiveren,
2) formålene med behandlingen,
3) de kategorier af modtagere, som personoplysningerne
er eller vil blive videregivet til, herunder modtagere i
tredjelande eller internationale organisationer,
4) en beskrivelse af kategorierne af registrerede og kate-
gorierne af personoplysninger,
5) brugen af profilering, hvor det er relevant,
6) kategorierne af overførsler af personoplysninger til et
tredjeland eller en international organisation, hvor det
er relevant,
7) retsgrundlaget for behandlingsaktiviteten, herunder
overførsler, hvortil personoplysningerne er bestemt,
8) de forventede tidsfrister for sletning af de forskellige
kategorier af personoplysninger, hvis det er muligt, og
9) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
Stk. 2. Databehandleren fører skriftlige fortegnelser over
alle kategorier af behandlingsaktiviteter, der foretages på
vegne af en dataansvarlig. Fortegnelserne skal indeholde op-
lysning om
1) navn på og kontaktoplysninger for databehandleren el-
ler databehandlerne, for hver dataansvarlig, på hvis
vegne databehandleren handler, samt, hvis det er rele-
vant, databeskyttelsesrådgiveren,
2) de kategorier af behandling, der foretages på vegne af
den enkelte dataansvarlige,
3) overførsler af personoplysninger til et tredjeland eller
en international organisation, hvor det er relevant, når
den dataansvarlige udtrykkeligt har givet instruks her-
om, herunder angivelse af dette tredjeland eller denne
internationale organisation, og
5
4) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
§ 24. I automatiske databehandlingssystemer foretages
logning af indsamling, ændring, søgning, videregivelse, her-
under overførsel, samkøring og sletning.
Stk. 2. Justitsministeren fastsætter nærmere regler om,
hvilke automatiske databehandlingssystemer der er indført
før den 6. maj 2016, der er omfattet af stk. 1.
Kapitel 11
Konsekvensanalyser og høring af tilsynsmyndighederne
§ 25. Vil en type behandling, navnlig ved brug af nye tek-
nologier og i medfør af sin karakter, omfang, sammenhæng
og formål, sandsynligvis indebære en høj risiko for fysiske
personers rettigheder, skal den dataansvarlige forud for be-
handlingen foretage en analyse af de påtænkte behandlings-
aktiviteters konsekvenser for beskyttelse af per-
sonoplysninger.
Stk. 2. Analysen skal indeholde en generel beskrivelse af
de planlagte behandlingsaktiviteter, en vurdering af risiciene
for de registreredes rettigheder, de foranstaltninger, der på-
tænkes for at imødegå disse risici, garantier, sikkerhedsfor-
anstaltninger og mekanismer, som kan sikre beskyttelse af
personoplysninger og påvise overholdelse af denne lov,
under hensyntagen til de registreredes og andre berørte per-
soners rettigheder og legitime interesser.
§ 26. Den dataansvarlige eller databehandleren skal høre
tilsynsmyndigheden inden behandling af personoplysninger,
der vil indgå som en del af et nyt register, der skal oprettes,
når
1) en konsekvensanalyse vedrørende databeskyttelse, jf. §
25, viser, at behandlingen vil føre til en høj risiko i
mangel af foranstaltninger truffet af den dataansvarlige
for at begrænse risikoen, eller
2) den type behandling, navnlig ved brug af nye teknolo-
gier, mekanismer eller procedurer, indebærer en høj ri-
siko for de registreredes rettigheder.
Stk. 2. Finder tilsynsmyndigheden, at den planlagte be-
handling ikke vil overholde loven, herunder navnlig hvis
den dataansvarlige ikke tilstrækkeligt har identificeret eller
begrænset risikoen, giver tilsynsmyndigheden inden for en
periode på op til 6 uger efter modtagelse af anmodningen
om høring den dataansvarlige og, hvor det er relevant, data-
behandleren skriftlig rådgivning. Tilsynsmyndigheden kan i
den forbindelse anvende enhver af sine beføjelser, jf. kapitel
20. Denne periode kan forlænges med en måned under hen-
syntagen til den påtænkte behandlings kompleksitet. Til-
synsmyndigheden underretter den dataansvarlige og, hvor
det er relevant, databehandleren om enhver sådan forlængel-
se senest en måned efter modtagelse af anmodningen om
høring sammen med begrundelsen for forsinkelsen.
Stk. 3. Tilsynsmyndighederne fastsætter en liste over de
behandlingsaktiviteter, hvor der i henhold til stk. 1 skal fore-
tages en forudgående høring.
Afsnit V
Personoplysningssikkerhed
Kapitel 12
Behandlingssikkerhed
§ 27. Den dataansvarlige og databehandleren skal under
hensyntagen til det aktuelle tekniske niveau, implemente-
ringsomkostningerne og behandlingens karakter, omfang,
sammenhæng og formål samt risicienes varierende sandsyn-
lighed og alvor for fysiske personers rettigheder gennemføre
passende tekniske og organisatoriske foranstaltninger for at
sikre et sikkerhedsniveau, der passer til disse risici, navnlig
for så vidt angår behandlingen af de særlige kategorier af
personoplysninger, der er omfattet af § 10.
Stk. 2. For så vidt angår automatisk behandling, skal den
dataansvarlige eller databehandleren på grundlag af en risi-
kovurdering gennemføre foranstaltninger til at sikre, at
1) uautoriserede personer ikke kan få adgang til det be-
handlingsudstyr, der benyttes til behandling (kontrol
med fysisk adgang til udstyret),
2) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af datamedier (kontrol med datamedier),
3) der ikke sker uautoriseret indlæsning af personoplys-
ninger samt uautoriseret læsning, ændring eller slet-
ning af opbevarede personoplysninger (kontrol med
opbevaring),
4) automatiske behandlingssystemer ikke via datakom-
munikationsudstyr kan benyttes af uautoriserede per-
soner (brugerkontrol),
5) personer med bemyndigelse til at anvende et automa-
tisk behandlingssystem kun har adgang til de per-
sonoplysninger, der er omfattet af deres adgangstilla-
delse (kontrol med dataadgangen),
6) det er muligt at kontrollere og fastslå de modtagere, til
hvilke der er blevet eller kan transmitteres eller stilles
oplysninger til rådighed ved hjælp af datakommunika-
tionsudstyr (kommunikationskontrol),
7) det er muligt efterfølgende at undersøge og fastslå,
hvilke personoplysninger der er indlæst i automatiske
behandlingssystemer, og hvornår og af hvem per-
sonoplysningerne blev indlæst (kontrol med indlæs-
ning),
8) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af personoplysninger i forbindelse med
overførsler af disse eller under transport af datamedier
(transportkontrol),
9) de anvendte systemer i tilfælde af teknisk uheld kan
genetableres (genopretning), og
10) systemet fungerer, at indtrufne fejl meldes (pålidelig-
hed), og at opbevarede personoplysninger ikke bliver
ødelagt som følge af fejlfunktioner i systemet (integri-
tet).
Stk. 3. For oplysninger af særlig interesse for fremmede
magter skal der træffes foranstaltninger, der muliggør bort-
skaffelse eller tilintetgørelse i tilfælde af krig eller lignende
forhold, jf. dog stk. 5.
6
Stk. 4. Justitsministeren fastsætter nærmere regler om de i
stk. 1-3 nævnte foranstaltninger.
Stk. 5. Justitsministeren kan efter indstilling fra en kom-
petent myndighed fastsætte regler om, at personoplysninger
omfattet af stk. 3 ikke skal underlægges foranstaltninger, der
muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra
en samlet vurdering må anses for forsvarligt.
Kapitel 13
Brud på datasikkerheden
§ 28. Ved brud på persondatasikkerheden skal den data-
ansvarlige uden unødig forsinkelse og om muligt senest 72
timer efter, at den dataansvarlige er blevet bekendt med
bruddet, anmelde bruddet til tilsynsmyndigheden, medmin-
dre det er usandsynligt, at bruddet indebærer en risiko for
fysiske personers rettigheder. En overskridelse af fristen på
72 timer skal begrundes.
Stk. 2. Databehandleren underretter uden unødig forsin-
kelse den dataansvarlige om et brud på persondatasikkerhe-
den.
Stk. 3. Anmeldelsen efter stk. 1 skal
1) beskrive karakteren af bruddet på persondatasikkerhe-
den, herunder i videst muligt omfang kategorierne af
og det berørte antal registrerede samt kategorierne af
og det berørte antal registreringer af personoplysninger,
2) angive navn på og kontaktoplysninger for databeskyt-
telsesrådgiveren eller et andet kontaktpunkt, hvor yder-
ligere oplysninger kan indhentes,
3) beskrive de sandsynlige konsekvenser af bruddet på
persondatasikkerheden, og
4) beskrive de foranstaltninger, som den dataansvarlige
har truffet eller foreslår truffet for at håndtere bruddet
på persondatasikkerheden, herunder, hvis det er rele-
vant, foranstaltninger for at begrænse dets mulige ska-
devirkninger.
Stk. 4. Er det ikke muligt at forelægge oplysningerne, der
er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplys-
ningerne meddeles trinvis uden unødig forsinkelse.
Stk. 5. Den dataansvarlige skal dokumentere alle brud på
persondatasikkerheden, som er omfattet af stk. 1, herunder
de faktiske omstændigheder vedrørende bruddet, dets virk-
ninger og de trufne afhjælpende foranstaltninger.
Stk. 6. Omhandler bruddet på persondatasikkerheden op-
lysninger, der er transmitteret af eller til en dataansvarlig i
en anden medlemsstat, skal oplysninger, der er nævnt i stk.
3, uden unødig forsinkelse meddeles til den dataansvarlige i
denne medlemsstat.
§ 29. Ved brud på persondatasikkerheden, som sandsyn-
ligvis vil indebære en høj risiko for fysiske personers rettig-
heder, skal den dataansvarlige uden unødig forsinkelse un-
derrette den registrerede om bruddet.
Stk. 2. Underretningen skal i et klart og enkelt sprog be-
skrive karakteren af bruddet samt indeholde de oplysninger,
der er nævnt i § 28, stk. 3, nr. 2-4.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke, hvis
1) den dataansvarlige har gennemført passende tekniske
og organisatoriske beskyttelsesforanstaltninger, og dis-
se foranstaltninger er blevet anvendt på de per-
sonoplysninger, som er berørt af bruddet på personda-
tasikkerheden, herunder navnlig foranstaltninger, der
f.eks. på grund af kryptering gør personoplysningerne
uforståelige for enhver, der ikke har autoriseret adgang
hertil,
2) den dataansvarlige har truffet efterfølgende foranstalt-
ninger, der sikrer, at den høje risiko for de registreredes
rettigheder som omhandlet i stk. 1 sandsynligvis ikke
længere er reel, eller
3) det vil kræve en uforholdsmæssig indsats af den data-
ansvarlige.
Stk. 4. I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i
stedet foretages en offentlig meddelelse eller tilsvarende for-
anstaltning, hvorved de registrerede underrettes på en tilsva-
rende effektiv måde.
Stk. 5. Har den dataansvarlige ikke allerede underrettet
den registrerede om bruddet på persondatasikkerheden, kan
tilsynsmyndigheden efter at have overvejet sandsynligheden
for, at bruddet på persondatasikkerheden indebærer en høj
risiko, kræve, at den dataansvarlige gør dette, eller beslutte,
at en af betingelserne i stk. 3 er opfyldt.
Stk. 6. Underretning af den registrerede kan udsættes, be-
grænses eller undlades af de grunde, der er nævnt i § 14, stk.
1.
Afsnit VI
Databeskyttelsesrådgiver
Kapitel 14
Udpegelse af databeskyttelsesrådgiver
§ 30. Den dataansvarlige udpeger på grundlag af faglige
kvalifikationer, herunder navnlig ekspertise inden for data-
beskyttelsesret og -praksis samt evnen til at udføre de opga-
ver, der er nævnt i kapitel 15, en databeskyttelsesrådgiver,
som inddrages i alle spørgsmål vedrørende beskyttelse af
personoplysninger.
Stk. 2. Flere dataansvarlige kan under hensyntagen til de-
res størrelse og organisatoriske forhold udpege en fælles da-
tabeskyttelsesrådgiver.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke for domstolene,
når disse foretager behandling af personoplysninger inden
for deres egenskab af domstole.
Stk. 4. Den dataansvarlige offentliggør kontaktoplysnin-
gerne for databeskyttelsesrådgiveren og meddeler disse til
tilsynsmyndigheden.
Kapitel 15
Databeskyttelsesrådgiverens stilling og opgaver
§ 31. Den dataansvarlige understøtter, at databeskyttelses-
rådgiveren kan
1) underrette og rådgive den dataansvarlige og de ansatte,
der behandler personoplysninger, om deres forpligtel-
ser i medfør af denne lov og anden lovgivning om data-
beskyttelse,
2) overvåge overholdelsen af denne lov og anden lovgiv-
ning om databeskyttelse og af den dataansvarliges poli-
7
tikker om beskyttelse af personoplysninger, herunder
fordeling af ansvar, oplysningskampagner og uddannel-
se af det personale, der medvirker ved behandlingsakti-
viteterne, og de tilhørende revisioner,
3) rådgive, når der anmodes herom, med hensyn til konse-
kvensanalysen vedrørende databeskyttelse og overvåge
dens opfyldelse i henhold til bestemmelsen i § 25,
4) samarbejde med tilsynsmyndigheden og fungere som
tilsynsmyndighedens kontaktpunkt i spørgsmål vedrø-
rende behandling, herunder den forudgående høring,
der er nævnt i § 26, og høre tilsynsmyndigheden, når
det er hensigtsmæssigt, om eventuelle andre spørgsmål.
Afsnit VII
Overførsler af personoplysninger til tredjelande eller
internationale organisationer
Kapitel 16
Generelle principper
§ 32. Overførsel af personoplysninger, der behandles eller
planlægges behandlet efter overførsel til et tredjeland eller
en international organisation, herunder videreoverførsel til
et andet tredjeland eller en anden international organisation,
må kun finde sted under overholdelse af reglerne i denne
lov, og hvis betingelserne i dette afsnit er overholdt, herun-
der navnlig at
1) overførslen er nødvendig i forhold til de formål, der er
nævnt i § 1, stk. 1,
2) personoplysningerne overføres til en dataansvarlig i et
tredjeland eller en international organisation, der er en
myndighed, der er kompetent i forhold til de formål,
der er nævnt i § 1, stk. 1,
3) en kompetent myndighed fra en anden medlemsstat har
givet sin forudgående godkendelse til overførslen i
henhold til dens nationale regler, hvor personoply-
sninger transmitteres eller stilles til rådighed af denne
myndighed,
4) der foreligger et af de overførselsgrundlag, der er
nævnt i kapitel 17, og
5) den kompetente myndighed, der foretog den oprindeli-
ge overførsel, i tilfælde af videreoverførsel til et andet
tredjeland eller en anden international organisation, gi-
ver bemyndigelse til videreoverførslen, efter at den har
taget behørigt hensyn til alle relevante faktorer, herun-
der den strafbare handlings grovhed, det formål, hvortil
personoplysningerne oprindeligt blev overført, og be-
skyttelsesniveauet for personoplysninger i det tredje-
land eller den internationale organisation, hvortil perso-
noplysningerne videreoverføres.
Stk. 2. Overførsel uden forudgående godkendelse efter
stk. 1, nr. 3, kan ske, hvis overførslen er nødvendig for at fo-
rebygge en umiddelbar og alvorlig trussel mod en medlems-
stats eller et tredjelands offentlige sikkerhed eller mod en
medlemsstats væsentlige interesser, og den forudgående
godkendelse ikke kan indhentes i tide. Den myndighed, der
er ansvarlig for at give den pågældende godkendelse, under-
rettes straks om overførslen.
Kapitel 17
Grundlag for overførsel
§ 33. Overførsel kan ske, hvis Europa-Kommissionen har
truffet afgørelse om, at tredjelandet, et område eller en eller
flere specifikke sektorer i dette tredjeland eller den pågæl-
dende internationale organisation har et tilstrækkeligt be-
skyttelsesniveau.
§ 34. Foreligger der ikke en afgørelse som nævnt i § 33,
kan der ske overførsel, hvis
1) der i en international aftale er givet de fornødne garan-
tier, hvad angår beskyttelsen af personoplysninger, el-
ler
2) den dataansvarlige har vurderet alle forhold i forbindel-
se med overførslen af personoplysninger og konklude-
rer, at der findes de fornødne garantier for beskyttelsen
af personoplysninger.
Stk. 2. Den dataansvarlige underretter tilsynsmyndighe-
den om kategorier af overførsler i medfør af stk. 1, nr. 2.
Stk. 3. En overførsel i medfør af stk. 1, nr. 2, dokumente-
res i forhold til dato og tidspunkt for overførslen, oplysnin-
ger om den modtagende kompetente myndighed, begrundel-
sen for overførslen og de overførte personoplysninger. Do-
kumentationen stilles efter anmodning til rådighed for til-
synsmyndigheden.
§ 35. Foreligger der ikke en afgørelse som nævnt i § 33
eller de fornødne garantier som nævnt i § 34, kan en over-
førsel eller en kategori af overførsler kun finde sted, hvis
overførslen er nødvendig
1) for at beskytte den registreredes eller en anden persons
vitale interesser,
2) for at beskytte den registreredes legitime interesser,
hvis det er fastsat i henhold til lov,
3) for at afværge en umiddelbar og alvorlig trussel mod en
medlemsstats eller et tredjelands offentlige sikkerhed,
4) i enkeltsager med henblik på de formål, der er nævnt i
§ 1, stk. 1, eller
5) i en enkeltsag for, at retskrav kan fastlægges, gøres
gældende eller forsvares med henblik på de formål, der
er nævnt i § 1, stk. 1.
Stk. 2. Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde
sted, hvis hensynet til den registreredes rettigheder går forud
for den samfundsmæssige interesse i overførslen.
Stk. 3. En overførsel i medfør af stk. 1 dokumenteres i
forhold til dato og tidspunkt for overførslen, oplysninger om
den modtagende kompetente myndighed, begrundelsen for
overførslen og de overførte personoplysninger. Dokumenta-
tionen stilles efter anmodning til rådighed for tilsynsmyn-
digheden.
§ 36. De kompetente myndigheder kan overføre per-
sonoplysninger til andre end kompetente myndigheder og
internationale organisationer på baggrund af international
aftale eller i enkeltstående og specifikke tilfælde, hvis
1) overførslen er strengt nødvendig for den overførende
kompetente myndigheds udførelse af en opgave, der
følger af lovgivningen, og forfølger de formål, der er
nævnt i § 1, stk. 1,
8
2) den overførende kompetente myndighed fastslår, at in-
gen af den pågældende registreredes grundlæggende
rettigheder går forud for samfundets interesse, der nød-
vendiggør overførslen i det foreliggende tilfælde,
3) den overførende kompetente myndighed mener, at
overførslen til en myndighed, der i tredjelandet er kom-
petent i forhold til de formål, der er nævnt i § 1, stk. 1,
er ineffektiv eller uhensigtsmæssig, navnlig fordi over-
førslen ikke kan foretages i tide,
4) den myndighed, der i tredjelandet er kompetent i for-
hold til de formål, der er nævnt i § 1, stk. 1, underrettes
uden unødig forsinkelse, medmindre dette er ineffektivt
eller uhensigtsmæssigt, og
5) den overførende kompetente myndighed underretter
modtageren om det eller de specifikke formål, hvortil
sidstnævnte udelukkende kan behandle personoply-
sningerne, forudsat at denne behandling er nødvendig.
Stk. 2. Den overførende kompetente myndighed doku-
menterer og underretter tilsynsmyndigheden om overførsler
i medfør af stk. 1.
Afsnit VIII
Tilsynsmyndighed
Kapitel 18
Datatilsynet
§ 37. Datatilsynet, der består af et råd og et sekretariat, fø-
rer tilsyn med enhver behandling, der omfattes af loven, jf.
dog kapitel 19.
Stk. 2. Tilsynets daglige forretninger varetages af et sekre-
tariat, der ledes af en direktør.
Stk. 3. Justitsministeren nedsætter Datarådet, som består
af en formand, der er dommer, og af 6 andre medlemmer.
Der kan udpeges stedfortrædere for medlemmerne. Forman-
den, medlemmerne og stedfortræderne for disse udpeges for
4 år. Der kan ske genudpegning to gange. Udpegelsen af
formand, medlemmer og stedfortrædere for disse sker på
baggrund af disses faglige kvalifikationer, herunder navnlig
ekspertise inden for databeskyttelsesret.
Stk. 4. Rådet fastsætter sin forretningsorden og de nærme-
re regler om arbejdets fordeling mellem råd og sekretariat.
Stk. 5. Udpegelsen af formand, medlemmer og stedfortræ-
dere for disse er betinget af, at de pågældende sikkerheds-
godkendes, og at godkendelsen opretholdes i hele embeds-
perioden.
Stk. 6. Hvervet som formand, medlem eller stedfortræder
ophører ved udgangen af embedsperioden eller ved frivillig
fratræden.
Stk. 7. Formanden, medlemmer og stedfortrædere for dis-
se kan alene afskediges i tilfælde af alvorligt embedsmis-
brug, eller hvis disse ikke længere opfylder betingelserne for
at varetage hvervet.
Stk. 8. Sekretariatets personale samt Datarådets formand,
medlemmer og stedfortrædere for disse kan kun have bibe-
skæftigelse, for så vidt og i det omfang det er foreneligt med
udøvelsen af de pligter, der er knyttet til stillingen eller
hvervet.
Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i
Det Europæiske Databeskyttelsesråd.
Kapitel 19
Tilsyn med domstolene
§ 38. Domstolsstyrelsen fører tilsyn med behandling af
oplysninger, der foretages for domstolene, når disse handler
uden for deres egenskab af domstol.
Stk. 2. For anden behandling af oplysninger træffes afgø-
relse af vedkommende ret. Afgørelsen kan kæres til højere
ret. For særlige domstole, hvis afgørelser ikke kan indbrin-
ges for højere ret, kan den afgørelse, der er nævnt i 1. pkt.,
kæres til den landsret, i hvis kreds retten er beliggende. Kæ-
refristen er 4 uger fra den dag, afgørelsen er meddelt den på-
gældende.
Kapitel 20
Tilsynsmyndighedernes opgaver og beføjelser
§ 39. Tilsynsmyndighederne udøver deres funktioner i
fuld uafhængighed.
§ 40. Tilsynsmyndighederne har til opgave her i landet at
1) føre tilsyn med og håndhæve anvendelsen af denne
lov,
2) fremme offentlighedens kendskab til og forståelse af
risici, regler, garantier og rettigheder i forbindelse
med behandling af personoplysninger,
3) rådgive Folketinget, regeringen og andre institutioner
og organer om lovgivningsmæssige og administrative
foranstaltninger til beskyttelse af fysiske personers
rettigheder i forbindelse med behandling,
4) fremme dataansvarliges og databehandleres kendskab
til deres forpligtelser i medfør af denne lov,
5) efter anmodning informere alle registrerede om udø-
velsen af deres rettigheder i medfør af denne lov og
med henblik herpå samarbejde med tilsynsmyndighe-
derne i andre medlemsstater, hvis det er relevant,
6) behandle klager, der indgives af en registreret eller af
et organ, en organisation eller en sammenslutning i
overensstemmelse med bestemmelsen i § 48, og, for
så vidt det er hensigtsmæssigt, undersøge genstanden
for klagen og underrette klageren om forløbet og re-
sultatet af undersøgelsen inden for senest 3 måneder,
navnlig hvis yderligere undersøgelse eller koordine-
ring med en anden tilsynsmyndighed er nødvendig,
7) videresende klager, som skal behandles af en tilsyns-
myndighed i en anden medlemsstat,
8) efter anmodning yde supplerende bistand til en regi-
streret, der har indgivet en klage, som er blevet vide-
resendt til en tilsynsmyndighed i en anden medlems-
stat,
9) underrette en registreret, der har indgivet en klage, om
adgangen til retsmidler efter kapitel 22,
10) efter anmodning kontrollere, om en behandling af per-
sonoplysninger er lovlig i henhold til undladelse, ud-
sættelse, begrænsning eller nægtelse efter kapitel 4-6,
og underrette den registrerede inden for en rimelig
9
frist om resultatet af undersøgelsen eller om årsagerne
til, at undersøgelsen ikke er foretaget, og om den regi-
streredes adgang til retsmidler efter kapitel 22,
11) samarbejde med andre tilsynsmyndigheder, herunder
gennem udveksling af oplysninger og gensidig bistand
med henblik på at sikre ensartet anvendelse og hånd-
hævelse af denne lov,
12) gennemføre undersøgelser om anvendelsen af denne
lov, herunder på grundlag af oplysninger, der er mod-
taget fra en anden tilsynsmyndighed eller en anden of-
fentlig myndighed,
13) holde øje med relevant udvikling, for så vidt den har
indvirkning på beskyttelse af personoplysninger,
navnlig udviklingen inden for informations- og kom-
munikationsteknologi,
14) rådgive om behandlingsaktiviteter som omhandlet i §
26 og
15) bidrage til Det Europæiske Databeskyttelsesråds akti-
viteter.
Stk. 2. Tilsynsmyndighederne letter indgivelsen af klager
efter stk. 1, nr. 6.
Stk. 3. Tilsynsmyndighederne kan afvise at imødekomme
åbenbart grundløse eller overdrevent gentagne anmodninger
efter denne lov.
§ 41. Tilsynsmyndighederne kan kræve enhver oplysning,
der er af betydning for deres virksomhed, herunder til afgø-
relse af, om et forhold falder ind under lovens bestemmel-
ser.
Stk. 2. Tilsynsmyndighedernes medlemmer og personale
har mod behørig legitimation til enhver tid uden retskendel-
se adgang til alle lokaler, hvorfra en behandling af per-
sonoplysninger foretages.
§ 42. Tilsynsmyndighederne kan over for den dataansvar-
lige og databehandleren afgive udtalelse om, at planlagte be-
handlingsaktiviteter sandsynligvis vil være i strid med denne
lov, give påbud om at bringe behandlingsaktiviteter i over-
ensstemmelse med denne lov, eller midlertidigt eller defini-
tivt begrænse, herunder forbyde, behandling af personoplys-
ninger.
Stk. 2. Tilsynsmyndighedernes afgørelser efter denne lov
kan ikke indbringes for anden administrativ myndighed.
§ 43. Ved udarbejdelse af generelle retsforskrifter, der har
betydning for behandling af personoplysninger, skal der ind-
hentes en udtalelse fra Datatilsynet. Er der tale om generelle
forskrifter, der har betydning for behandling af oplysninger,
der foretages for domstolene, skal der indhentes en udtalelse
fra Domstolsstyrelsen.
§ 44. Tilsynsmyndighederne kan indbringe spørgsmål om
overtrædelser af denne lov for retten i den borgerlige rets-
plejes former.
§ 45. Tilsynsmyndighederne afgiver en årlig beretning om
deres virksomhed til Folketinget og justitsministeren. Beret-
ningerne offentliggøres.
Kapitel 21
Samarbejde
§ 46. Tilsynsmyndighederne samarbejder, i det omfang
det er nødvendigt for at opfylde deres pligter, navnlig ved at
udveksle alle relevante oplysninger.
§ 47. Tilsynsmyndighederne besvarer anmodninger fra en
tilsynsmyndighed i en anden medlemsstat uden unødig for-
sinkelse og senest en måned efter modtagelsen. Oplysnin-
ger, som en tilsynsmyndighed i en anden medlemsstat har
anmodet om, fremsendes elektronisk i et standardformat.
Stk. 2. Anmodninger om bistand skal indeholde alle nød-
vendige oplysninger, herunder formålet med og grunden til
anmodningen. Udvekslede oplysninger må kun anvendes til
det formål, som er angivet i anmodningen.
Stk. 3. Anmodninger kan alene afvises, når den anmodede
tilsynsmyndighed ikke har kompetence med hensyn til gen-
standen for anmodningen eller de foranstaltninger, som den
anmodes om at iværksætte, eller en imødekommelse af an-
modningen vil være i strid med denne eller anden lov. Et af-
slag på at imødekomme en anmodning skal begrundes.
Afsnit IX
Retsmidler, ansvar og sanktioner
Kapitel 22
Retsmidler, ansvar og sanktioner
§ 48. Den registrerede eller dennes repræsentant kan kla-
ge til vedkommende tilsynsmyndighed over behandling af
oplysninger vedrørende den registrerede.
Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af
at behandle en klage fra en registreret eller en manglende
underretning efter § 40, stk. 1, nr. 6, kan af den registrerede
eller dennes repræsentant indbringes for domstolene i den
borgerlige retsplejes former.
Stk. 3. Den registrerede eller dennes repræsentant kan ind-
bringe spørgsmål om dataansvarliges og databehandleres
overholdelse af denne lov for domstolene i den borgerlige
retsplejes former.
§ 49. Enhver person, som har lidt materiel eller immateri-
el skade som følge af en ulovlig behandlingsaktivitet eller
enhver anden behandling i strid med denne lov, har ret til er-
statning fra den dataansvarlige i overensstemmelse med det
almindelige EU-retlige erstatningsansvar.
§ 50. Medmindre højere straf er forskyldt efter anden lov-
givning, kan en privat databehandler, der i forbindelse med
en behandling, der udføres for en kompetent myndighed,
overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og § 28, stk. 2,
eller undlader at efterkomme et påbud eller forbud, der er
meddelt i henhold til § 42, straffes med bøde eller fængsel
indtil 4 måneder.
Stk. 2. Dataansvarlige, der undlader at efterkomme et på-
bud eller forbud, der er meddelt i henhold til § 42, straffes
med bøde.
Stk. 3. I regler, der udstedes i medfør af loven, kan der
fastsættes straf af bøde eller fængsel indtil 4 måneder.
10
Stk. 4. Der kan pålægges selskaber mv. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Afsnit X
Afsluttende bestemmelser
Kapitel 23
Afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser mv.
§ 51. Justitsministeren kan fastsætte regler, som er nød-
vendige for at gennemføre de af Europa-Kommissionen ud-
stedte retsakter, som træffes med henblik på gennemførelse
af direktivet om beskyttelse af fysiske personer i forbindelse
med kompetente myndigheders behandling af personoplys-
ninger med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner og om fri udveksling af sådanne oplysninger
og om ophævelse af Rådets rammeafgørelse 2008/977/RIA,
eller regler, som er nødvendige for at anvende de af Europa-
Kommissionen udstedte retsakter på direktivets område.
§ 52. Loven træder i kraft dagen efter bekendtgørelse i
Lovtidende.
Stk. 2. Lovforslaget kan stadfæstes straks efter dets vedta-
gelse.
§ 53. Lovens §§ 25 og 26 gælder i forhold til ny behand-
ling af personoplysninger, der iværksættes, og registre, der
oprettes, den 1. maj 2017 eller senere.
§ 54. Overførsler til tredjelande og internationale organi-
sationer kan ske i medfør af internationale aftaler, der er
indgået inden den 6. maj 2016, indtil aftalerne ændres, er-
stattes eller ophæves.
§ 55. I lov nr. 429 af 31. maj 2000 om behandling af per-
sonoplysninger, som senest ændret ved lov nr. 639 af 12. ju-
ni 2013, foretages følgende ændringer:
1. § 2, stk. 4, ophæves.
Stk. 5-11 bliver herefter stk. 4-10.
2. Efter § 2 indsættes i kapitel 1:
»§ 2 a. Loven gælder ikke for behandling, som er omfat-
tet af lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. dog stk. 2.
Stk. 2. Regler udstedt i medfør af § 32, stk. 5, § 41, stk. 5,
§ 55, stk. 4, og § 72 gælder for den behandling af perso-
noplysninger, der er omfattet af lov om retshåndhævende
myndigheders behandling af personoplysninger, medmindre
det vil være i strid med denne lov.«
§ 56. Loven gælder ikke for Færøerne, men kan ved kon-
gelig anordning sættes i kraft for rigsmyndighedernes be-
handling af oplysning med de ændringer, som de færøske
forhold tilsiger. Loven gælder ikke for Grønland, men kan
ved kongelig anordning sættes i kraft med de ændringer,
som de grønlandske forhold tilsiger.
11
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
1.1. Baggrund og formål
1.2. Lovforslagets indhold i hovedtræk
1.3. Overordnet om den retlige ramme for de retshåndhævende myndigheders behandling af personoplysninger
1.3.1. Persondataloven
1.3.2. Bekendtgørelse om beskyttelse af personoplysninger i forbindelse med internationalt politisamarbejde og ret-
ligt samarbejde i kriminalsager
1.3.3. Retsplejeloven
1.3.4. Straffuldbyrdelsesloven
1.3.5. Politiloven
2. Lovforslagets hovedpunkter
2.1. Anvendelsesområde
2.1.1. Gældende ret
2.1.2. Retshåndhævelsesdirektivet
2.1.3. Justitsministeriets overvejelser og lovforslagets udformning
2.2. Definitioner
2.2.1. Gældende ret
2.2.2. Justitsministeriets overvejelser
2.2.3. Justitsministeriets overvejelser og lovforslagets udformning
2.3. Behandlingsregler
2.3.1. Gældende ret
2.3.2. Retshåndhævelsesdirektivet
2.3.3. Justitsministeriets overvejelser og lovforslagets udformning
2.4. Den registreredes rettigheder
2.4.1. Gældende ret
2.4.2. Retshåndhævelsesdirektivet
2.4.3. Justitsministeriets overvejelser og lovforslagets udformning
2.5. Forpligtelser for den dataansvarlige og databehandleren
2.5.1. Gældende ret
2.5.2. Retshåndhævelsesdirektivet
2.5.3. Justitsministeriets overvejelser og lovforslagets udformning
2.6. Personoplysningssikkerhed
2.6.1. Gældende ret
2.6.2. Retshåndhævelsesdirektivet
12
2.6.3. Justitsministeriets overvejelser og lovforslagets udformning
2.7. Databeskyttelsesrådgiver
2.7.1. Gældende ret
2.7.2. Retshåndhævelsesdirektivet
2.7.3. Justitsministeriets overvejelser og lovforslagets udformning
2.8. Overførsler af personoplysninger til tredjelande mv.
2.8.1. Gældende ret
2.8.2. Retshåndhævelsesdirektivet
2.8.3. Justitsministeriets overvejelser og lovforslagets udformning
2.9. Tilsyn
2.9.1. Gældende ret
2.9.2. Retshåndhævelsesdirektivet
2.9.3. Justitsministeriets overvejelser og lovforslagets udformning
2.10. Retsmidler, ansvar og sanktioner
2.10.1. Gældende ret
2.10.2. Retshåndhævelsesdirektivet
2.10.3. Justitsministeriets overvejelser og lovforslagets udformning
3. Økonomiske og administrative konsekvenser for det offentlige
4. Økonomiske og administrative konsekvenser for erhvervslivet mv.
5. Administrative konsekvenser for borgerne
6. Miljømæssige konsekvenser
7. Forholdet til EU-retten
8. Hørte myndigheder og organisationer mv.
9. Sammenfattende skema
1. Indledning
1.1. Formål og baggrund
Lovforslaget gennemfører Europa-Parlamentets og Rådets
direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fy-
siske personer i forbindelse med kompetente myndigheders
behandling af personoplysninger med henblik på at forebyg-
ge, efterforske, afsløre eller retsforfølge strafbare handlinger
eller fuldbyrde strafferetlige sanktioner og om fri udveksling
af sådanne oplysninger og om ophævelse af Rådets ramme-
afgørelse 2008/977/RIA (retshåndhævelsesdirektivet). Di-
rektivet er medtaget som bilag 2 til dette lovforslag.
Retshåndhævelsesdirektivet er vedtaget under henvisning til
artikel 16, stk. 2, i Traktaten om den Europæiske Unions
Funktionsmåde (TEUF), og da det fastsætter regler vedrø-
rende medlemsstaternes behandling af personoplysninger
under udøvelse af aktiviteter, der er omfattet af det danske
forbehold vedrørende retlige og indre anliggender, er direk-
tivet ikke bindende for og finder ikke anvendelse i Dan-
mark, jf. artikel 2 og 2 a i protokollen om Danmarks stilling.
Da direktivet er en udbygning af Schengenreglerne, kan
Danmark imidlertid i henhold til protokollens artikel 4 inden
6 måneder efter Rådets vedtagelse træffe afgørelse om, at
Danmark vil gennemføre direktivet i dansk ret. Træffer
Danmark afgørelse om, at direktivet skal gennemføres i
dansk ret, skabes der en folkeretlig forpligtelse mellem Dan-
mark og de øvrige medlemsstater, der er bundet af retshånd-
hævelsesdirektivet.
Folketinget meddelte ved beslutning af 25. oktober 2016 sit
samtykke til, at regeringen tilsluttede sig retshåndhævelses-
direktivet, hvilket regeringen meddelte Rådet den 26. okto-
ber 2016.
13
Hertil kommer, at gennemførslen af direktivet inden 1. maj
2017 skal ses i lyset af, at gennemførslen er en forudsætning
for, at der kan indgås en samarbejdsaftale mellem Danmark
og Europol, som skal have virkning fra samme dato.
Det bemærkes, at regeringen vil søge Folketingets samtykke
efter grundlovens § 19 til, at Danmark indgår aftale om fort-
sat tilknytning til Europol, i forbindelse med det kommende
lovforslag om ændring af lov om Den Europæiske Politien-
hed (Europol).
Lovforslaget skal endvidere ses i lyset af det sideløbende ar-
bejde med at sikre, at dansk ret er i overensstemmelse med
Europa-Parlamentets og Rådets forordning 2016/679/EU af
27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direk-
tiv 95/46/EF (databeskyttelsesforordningen).
Databeskyttelsesforordningen, som finder anvendelse i med-
lemsstaterne fra den 25. maj 2018, udgør sammen med rets-
håndhævelsesdirektivet en samlet databeskyttelsespakke.
Forordningen og direktivet er imidlertid sammenfaldende på
visse områder, f.eks. hvad angår kravene til tilsynsmyndig-
hederne. Arbejdet med at sikre, at dansk ret er i overens-
stemmelse med forordningen pågår, og der vil blive fremsat
selvstændigt lovforslag herom.
Henset til, at gennemførslen af retshåndhævelsesdirektivet
inden 1. maj 2017 er en forudsætning for dansk tilknytning
til Europol efter denne dato, har Justitsministeriet fundet, at
gennemførslen af retshåndhævelsesdirektivet bør ske selv-
stændigt.
Justitsministeriet har endvidere fundet, at gennemførslen af
retshåndhævelsesdirektivet i videst muligt omfang bør ske i
en samlet lov, der omfatter databehandling for de kompeten-
te danske myndigheder med henblik på at forebygge, efter-
forske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder beskytte mod
eller forebygge trusler mod den offentlige sikkerhed. Denne
fremgangsmåde varetager både hensynet til at sikre en kor-
rekt implementering af direktivet og skaber en højere grad
af overskuelighed for de myndigheder, som vil skulle an-
vende lovgivningen. Denne tilgang fører samtidig til, at der
skal ske en ændring af persondatalovens anvendelsesområ-
de, således at de kompetente myndigheders behandling af
personoplysninger ikke længere er omfattet af persondatalo-
ven, når den er omfattet af lovforslagets anvendelsesområde.
Affattelsen af de foreslåede regler er generelt lagt tæt op ad
retshåndhævelsesdirektivets ordlyd, idet hensynet til at sik-
re, at der ikke kan rejses tvivl om implementeringen af di-
rektivets bestemmelser efter Justitsministeriets opfattelse ta-
ler herfor.
1.2. Lovforslagets indhold i hovedtræk
Lovforslaget er inddelt i afsnit om henholdsvis indledende
bestemmelser, herunder anvendelsesområdet og definitioner
(afsnit I), behandlingsregler (afsnit II), den registreredes ret-
tigheder (afsnit III), forpligtelser for den dataansvarlige og
databehandleren (afsnit IV), personoplysningssikkerhed (af-
snit V), databeskyttelsesrådgiveren (afsnit VI), overførsler
til tredjelande eller internationale organisationer (afsnit VII),
tilsynsmyndigheder (afsnit VIII), retsmidler, ansvar og sank-
tioner (afsnit IX) og afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser (afsnit X).
Lovforslagets regler er i nogen grad en videreførelse af de
gældende regler for de retshåndhævende myndigheder.
For så vidt angår anvendelsesområdet, skal de foreslåede
regler gælde for behandling af personoplysninger, som fore-
tages af politiet, anklagemyndigheden, herunder den militæ-
re anklagemyndighed, kriminalforsorgen, Den Uafhængige
Politiklagemyndighed og domstolene med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod eller forebygge trusler mod den offentlige sik-
kerhed.
For så vidt angår lovforslagets behandlingsregler, er der i
vidt omfang tale om en videreførelse af de gældende regler,
idet der dog indføres enkelte yderligere principper om tids-
frister for opbevaring af personoplysninger og revision af
behovet herfor, ligesom der foreslås eksplicitte regler om
sondring mellem forskellige kategorier af registrerede og
personoplysninger samt kontrol med kvaliteten af persono-
plysninger.
For så vidt angår lovforslagets regler om den registreredes
rettigheder, herunder retten til information, indsigt, berigti-
gelse og sletning, er der tale om en udvidelse af rettigheder-
ne i forhold til gældende ret om behandling af personoplys-
ninger på det strafferetlige område. Dette skyldes, at de gæl-
dende regler i persondataloven om oplysningspligt over for
den registrerede, den registreredes ret til indsigelse, berigti-
gelse, blokering og sletning af personoplysninger ikke finder
anvendelse på behandlinger, der foretages for domstolene,
politi og anklagemyndighed inden for det strafferetlige om-
råde. Herudover finder de gældende regler om den registre-
redes ret til indsigt ikke anvendelse på behandlinger, der
foretages for domstolene inden for det strafferetlige område.
I forhold til personoplysninger, der indgår i konkrete straffe-
sager mv., indebærer lovforslagets regler, at den registrere-
des rettigheder skal gennemføres efter reglerne i retsplejelo-
ven, som indeholder en nærmere regulering bl.a. af perso-
ners adgang til oplysningerne i en straffesag.
14
I forhold til lovforslagets regler om den dataansvarliges og
databehandlerens forpligtelser, herunder pligten til at udpe-
ge en databeskyttelsesrådgiver, er der tale om en række ny-
skabelser. Således vil den dataansvarlige – med undtagelse
af domstolene, når disse foretager behandling af persono-
plysninger inden for deres egenskab af domstole – efter den
foreslåede ordning som noget nyt være forpligtet til at udpe-
ge en databeskyttelsesrådgiver, som skal inddrages i alle
spørgsmål om databeskyttelse.
Endvidere skal den dataansvarlige forud for behandling af
personoplysninger, der indebærer en høj risiko for fysiske
personers rettigheder, foretage konsekvensanalyser og i vis-
se tilfælde foretage en forudgående høring af tilsynsmyndig-
heden.
En anden nyskabelse er den foreslåede indførelse af et krav
om, at den dataansvarlige uden unødig forsinkelse under
visse omstændigheder skal anmelde brud på persondatasik-
kerheden, som sandsynligvis vil medføre en risiko for fysi-
ske personers rettigheder, til tilsynsmyndigheden og – i vis-
se tilfælde – underrette den registrerede.
Der sker endvidere med lovforslaget en ændring af de gæl-
dende krav til logning. I overensstemmelse med direktivet
foreslås det imidlertid, at spørgsmålet om, hvilke automati-
ske databehandlingssystemer, der er indført før den 6. maj
2016, som logningskravet skal finde anvendelse på, håndte-
res efterfølgende i en bekendtgørelse med henblik på, at der
kan ske en nærmere afklaring af logningsforpligtelsens om-
fang.
For så vidt angår lovforslagets regler om overførsler til tred-
jelande eller internationale organisationer, er der i nogen
grad tale om en videreførelse af de gældende regler, idet så-
danne overførsler kan ske på baggrund af en afgørelse fra
Europa-Kommissionen om, at tredjelandet mv. sikrer et til-
strækkeligt beskyttelsesniveau.
For så vidt angår de foreslåede regler om tilsynsmyndighe-
derne, er der i vidt omfang tale om en videreførelse af gæl-
dende ret, herunder i forhold til kravet om uafhængighed og
beskrivelsen af tilsynsmyndighedens opgaver.
For så vidt angår reglerne om retsmidler, ansvar og sanktio-
ner, er der tale om dels en videreførelse af reglerne om ad-
gangen til at klage til tilsynsmyndighederne og i et vist om-
fang adgangen til at indbringe tilsynsmyndighedens afgørel-
ser for domstolene og dels en række nyskabelser, herunder i
form af tilsynsmyndighedens adgang til at indbringe spørgs-
mål om overtrædelse af loven for domstolene.
1.3. Overordnet om den retlige ramme for de retshånd-
hævende myndigheders behandling af personoplysninger
1.3.1. Persondataloven
I lov nr. 429 af 31. maj 2000 om behandling af personoplys-
ninger med senere ændringer (persondataloven) er der fast-
sat generelle regler om behandling af personoplysninger for
offentlige myndigheder, herunder retshåndhævende myndig-
heder, med undtagelse af politiets og forsvarets efterret-
ningstjenester (PET og FE).
Persondataloven er først og fremmest baseret på Europa-
Parlamentets og Rådets direktiv 95/46/EF af 24. oktober
1995 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af så-
danne oplysninger (databeskyttelsesdirektivet).
Persondataloven indeholder bl.a. regler om, hvornår behand-
ling af personoplysninger i almindelighed må finde sted, li-
gesom loven indeholder regler vedrørende behandling af
særlige typer oplysninger (f.eks. regler om personnumre).
Persondataloven gælder generelt for de kompetente myndig-
heders behandling af personoplysninger. Lovens bestemmel-
ser om oplysningspligt over for den registrerede, og om den
registreredes ret til indsigelse, berigtigelse, blokering og
sletning af personoplysninger finder dog ikke anvendelse på
behandlinger, der foretages for domstolene, politiet og an-
klagemyndigheden inden for det strafferetlige område. Her-
udover finder lovens regler om den registreredes ret til ind-
sigt ikke anvendelse på behandlinger, der foretages for dom-
stolene inden for det strafferetlige område.
Persondataloven fastsætter endvidere regler om datasikker-
hed i forbindelse med behandling af personoplysninger,
hvorefter den dataansvarlige skal træffe de fornødne tekni-
ske og organisatoriske sikkerhedsforanstaltninger mod, at
oplysninger bl.a. ikke kommer til uvedkommendes kends-
kab.
1.3.2. Bekendtgørelse om beskyttelse af personoplysninger i
forbindelse med internationalt politisamarbejde og retligt
samarbejde i kriminalsager
Justitsministeren har i medfør af persondatalovens § 72 a
fastsat nærmere regler ved bekendtgørelse nr. 1287 af 25.
november 2010 om beskyttelse af personoplysninger i for-
bindelse med politisamarbejde og retligt samarbejde i krimi-
nalsager inden for Den Europæiske Union og Schengen-
samarbejdet (rammeafgørelsesbekendtgørelsen).
Bekendtgørelsen gennemfører Rådets rammeafgørelse
2008/977/RIA af 27. november 2008 om beskyttelse af per-
sonoplysninger i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager (rammeafgørelsen) i dansk ret.
15
Bekendtgørelsen finder anvendelse i forhold til personoplys-
ninger, der udveksles eller stilles til rådighed mellem en
dansk og en udenlandsk myndighed i forbindelse med politi-
samarbejde og retligt samarbejde i kriminalsager inden for
EU og Schengen-samarbejdet.
Bekendtgørelsen tager således sigte på den grænseoverskri-
dende informationsudveksling i forbindelse med politisam-
arbejde og retligt samarbejde i kriminalsager.
Bekendtgørelsen henviser bl.a. til en række af de grundlæg-
gende regler for behandling af personoplysninger i person-
dataloven. Den indeholder herudover regler om datakvalitet
og behandlingssikkerhed. Bekendtgørelsen indeholder des-
uden regler for specifikke former for databehandling, herun-
der regler om viderebehandling af personoplysninger modta-
get fra andre medlemsstater og om videregivelse af sådanne
oplysninger til private og tredjelande samt internationale or-
ganer.
Herudover udvider bekendtgørelsen den registreredes rettig-
heder med hensyn til bl.a. underretning og berigtigelse af
urigtige oplysninger i forhold til persondataloven.
1.3.3. Retsplejeloven
Retsplejeloven (lovbekendtgørelse nr. 1257 af 13. oktober
2016 med senere ændringer) indeholder de grundlæggende
regler i dansk ret vedrørende bl.a. efterforskning og retsfor-
følgning af strafbare forhold.
Retsplejelovens kapitel 67-75 b fastsætter således regler om
politiets efterforskning af strafbare forhold og om gennem-
førelsen af tvangsindgreb, herunder reglerne for anholdelse,
varetægtsfængsling, indgreb i meddelelseshemmeligheden,
legemsindgreb, ransagning, beslaglæggelse, edition og per-
sonundersøgelser. Disse kapitler indeholder ligeledes grund-
læggende straffeprocessuelle regler.
Retsplejeloven indeholder endvidere regler om aktindsigt i
domme, kendelser og andre dokumenter, der vedrører en
straffesag. Udgangspunktet er, at enhver har ret til aktindsigt
i domme og kendelser mv., ligesom den, der har en indivi-
duel, væsentlig interesse i et konkret retsspørgsmål, som ud-
gangspunkt kan forlange at blive gjort bekendt med doku-
menter, der vedrører en straffesag, herunder indførsler i rets-
bøgerne, i det omfang dokumenterne har betydning for vur-
deringen af det pågældende retsspørgsmål. Herudover inde-
holder retsplejeloven regler om berigtigelse af retsafgørel-
ser.
Herudover er der i retsplejelovens § 115 bl.a. fastsat regler
om, hvornår politiet kan udveksle oplysninger om enkeltper-
soners rent private forhold til andre myndigheder som led i
bl.a. det kriminalitetsforebyggende samarbejde (SSP-samar-
bejdet).
Retsplejelovens kapitel 93 b og c indeholder regler om Den
Uafhængige Politiklagemyndigheds behandling af klager
over politipersonalet og om straffesager mod politipersona-
le. Det fremgår af retsplejelovens § 1020, at anmeldelser om
strafbare forhold begået af politipersonale i tjenesten indgi-
ves til Den Uafhængige Politiklagemyndighed. Indgives an-
meldelsen til politiet eller anklagemyndigheden, videresen-
des den straks til Politiklagemyndigheden.
Det fremgår videre af § 1020 a, at politiklagemyndigheden
efter anmeldelse eller af egen drift iværksætter efterforsk-
ning, når der er rimelig formodning om, at politipersonale i
tjenesten har begået et strafbart forhold, som forfølges af det
offentlige.
1.3.4. Straffuldbyrdelsesloven
Straffuldbyrdelsesloven (lovbekendtgørelse nr. 1242 af 11.
november 2015 med senere ændringer) regulerer fuldbyrdel-
sen af fængselsstraffe, bødestraffe, betingede domme, dom-
me med vilkår om samfundstjeneste og forvaring.
Straffuldbyrdelsesloven indeholder mulighed for, at myn-
dighederne i en række tilfælde kan behandle personoplys-
ninger om en dømt person for at varetage deres opgaver ef-
ter loven.
Det er f.eks. tilfældet, hvor kriminalforsorgen træffer afgø-
relse om valg af afsoningsinstitution, herunder om anbrin-
gelse i åbent eller lukket fængsel, om overførsel fra åbent til
lukket fængsel og om udgang i forbindelse med afsoning af
fængselsstraf.
1.3.5. Politiloven
Politiloven (lovbekendtgørelse nr. 956 af 20. august 2015
om politiets virksomhed) indeholder bestemmelser om poli-
tiets formål og virke samt politiets opgaver. Endvidere inde-
holder loven bestemmelser om politiets indgreb, herunder i
forhold til orden og sikkerhed, offentlige forsamlinger og
opløb samt svage og udsatte persongrupper. Loven regulerer
herudover politiets anvendelse af magt og betingelserne for
brug af særlige magtmidler samt politiets adgang til at lade
foranstaltninger udføre som selvhjælpshandlinger.
Politiloven forudsætter i en række tilfælde, at politiet foreta-
ger behandling af personoplysninger som led i varetagelsen
af de opgaver, der er henlagt til politiet efter loven. Det kan
f.eks. være i forbindelse med gennemførelsen af legemsbe-
sigtigelse, frihedsberøvelser, opgaver knyttet til offentlige
16
forsamlinger og opløb, detentionsanbringelser og anvendel-
se af magtmidler.
2. Lovforslagets hovedpunkter
2.1. Anvendelsesområde
2.1.1. Gældende ret
2.1.1.1. Databeskyttelsesdirektivet finder ikke anvendelse på
medlemsstaternes aktiviteter på det strafferetlige område, jf.
artikel 3, stk. 2.
Den generelle EU-retlige regulering af beskyttelse af perso-
noplysninger på det politi- og strafferetlige område findes i
rammeafgørelsen, jf. pkt. 1.3.2.
Rammeafgørelsen finder anvendelse, når der med henblik på
at forebygge, efterforske, afsløre eller retsforfølge straffe-
lovsovertrædelser eller fuldbyrde strafferetlige sanktioner
udveksles eller er udvekslet personoplysninger mellem med-
lemsstater (enten i form af videregivelse af personoplysnin-
ger eller ved at personoplysninger stilles eller er stillet til rå-
dighed for en anden medlemsstat), jf. artikel 1.
Rammeafgørelsen finder endvidere anvendelse, når persono-
plysninger udveksles eller er udvekslet mellem på den ene
side kompetente myndigheder i medlemsstaterne og på den
anden side organer eller informationssystemer inden for EU-
samarbejdet, jf. artikel 1, stk. 2.
Rammeafgørelsen tager således sigte på den grænseover-
skridende informationsudveksling i forbindelse med politi-
samarbejde og retligt samarbejde i kriminalsager, og den
finder inden for dette område anvendelse på behandling af
personoplysninger, der helt eller delvis foretages elektro-
nisk, samt på ikke-elektronisk behandling af personoplys-
ninger, der er eller vil blive indeholdt i et register, jf. artikel
1, stk. 3.
Rammeafgørelsen berører ikke væsentlige nationale sikker-
hedsinteresser og specifikke efterretningsaktiviteter vedrø-
rende national sikkerhed, jf. artikel 1, stk. 4.
2.1.1.2. Persondataloven gælder generelt for behandling af
personoplysninger, der helt eller delvis foretages ved hjælp
af elektronisk databehandling, og for ikke-elektronisk be-
handling af personoplysninger, der er eller vil blive inde-
holdt i et register, jf. lovens § 1, stk. 1. Regler om behand-
ling af personoplysninger i anden lovgivning, som giver den
registrerede en bedre retsstilling, går forud for reglerne i
persondataloven, jf. § 2, stk. 1.
Persondataloven gælder således også for de kompetente
myndigheders behandling af personoplysninger.
Det fremgår imidlertid af lovens § 2, stk. 4, at lovens be-
stemmelser om oplysningspligt over for den registrerede
(kapitel 8), den registreredes ret til indsigelse, berigtigelse,
blokering og sletning af personoplysninger (§§ 35-37) og
om automatiske afgørelser (§ 39) ikke finder anvendelse på
behandlinger, der foretages for domstolene, politiet og an-
klagemyndigheden inden for det strafferetlige område. Her-
udover finder lovens regler om den registreredes ret til ind-
sigt (kapitel 9) ikke anvendelse på behandlinger, der foreta-
ges for domstolene inden for det strafferetlige område.
Det antages, at begrebet "det strafferetlige område" i denne
bestemmelses forstand skal defineres bredt. Begrebet omfat-
ter i hvert fald kerneområdet af domstolenes samt politiets
og anklagemyndighedens virksomhed inden for strafferets-
plejen, dvs. behandling af traditionelle sager, som er under
efterforskning, eller hvor der tages stilling til strafansvar og
strafudmåling. Udover dette kerneområde, er det i praksis
antaget, at også politiets og anklagemyndighedens aktivite-
ter af mere generel karakter på det strafferetlige område kan
være omfattet af begrebet.
I medfør af persondataloven har Datatilsynet således bl.a.
fundet, at de behandlingsaktiviteter, der er knyttet til politi-
ets brug af automatisk nummerpladegenkendelse (ANPG)
og til brugen af meddelere, faldt inden for det strafferetlige
område, uanset at der ikke er tale om aktiviteter i tilknytning
til en konkret straffesag.
2.1.2. Retshåndhævelsesdirektivet
Det fremgår af retshåndhævelsesdirektivets artikel 2, at di-
rektivet finder anvendelse på kompetente myndigheders be-
handling af personoplysninger med henblik på at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger el-
ler fuldbyrde strafferetlige sanktioner, herunder beskytte
mod eller forebygge trusler mod den offentlige sikkerhed.
Det fremgår videre af direktivets artikel 2, stk. 2, at direkti-
vet finder anvendelse på behandling af personoplysninger,
der helt eller delvist foretages ved hjælp af automatisk data-
behandling, og på anden ikke-automatisk behandling af per-
sonoplysninger, der er eller vil blive indeholdt i et register.
Det fremgår herudover af direktivets artikel 2, stk. 3, at di-
rektivet ikke finder anvendelse på behandling af persono-
plysninger under udøvelse af aktiviteter, der falder uden for
EU-retten, og på behandling foretaget af EU-institutioner, -
organer, -kontorer og -agenturer.
17
Det fremgår af direktivets præambelbetragtning nr. 12, at de
aktiviteter, der udføres af politiet eller andre retshåndhæven-
de myndigheder, hovedsageligt er fokuseret på at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger,
herunder politiaktiviteter uden forudgående viden om, hvor-
vidt et forhold udgør en strafbar handling eller ej. Sådanne
aktiviteter kan også omfatte udøvelsen af beføjelser gennem
tvangsindgreb som f.eks. politiaktiviteter i forbindelse med
demonstrationer, store sportsbegivenheder og uroligheder.
De omfatter også opretholdelse af lov og orden som en op-
gave, der er overdraget til politiet eller andre retshåndhæ-
vende myndigheder, hvor det er nødvendigt for at beskytte
mod og forebygge trusler mod den offentlige sikkerhed og
de ved lov beskyttede grundlæggende samfundsinteresser,
som kan føre til en strafbar handling.
Endeligt fremgår det af direktivets artikel 1, stk. 3, at direk-
tivet ikke er til hinder for, at medlemsstaterne fastsætter hø-
jere standarder for beskyttelse af den registreredes rettighe-
der. Der er med andre ord tale om et minimumsharmonise-
ringsdirektiv.
2.1.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
2.1.3.1. Ved fastlæggelsen af retshåndhævelsesdirektivets
anvendelsesområde bør det holdes for øje, at baggrunden
for, at der blev foreslået og vedtaget en særskilt retsakt om
de kompetente myndigheders behandling af personoplysnin-
ger til brug for varetagelsen af opgaver knyttet til det straffe-
retlige område, er en følge af de særlige hensyn, der gør sig
gældende på dette område, jf. herved den i pkt. 1.1 beskrev-
ne sammenhæng med databeskyttelsesforordningen. I erklæ-
ring nr. 21 om beskyttelse af personoplysninger inden for
retligt samarbejde i straffesager og politisamarbejde, der er
knyttet som bilag til slutakten fra den regeringskonference,
der vedtog Lissabontraktaten, erkendte konferencen således,
at det kunne blive nødvendigt med specifikke regler om be-
skyttelse af personoplysninger og om fri bevægelighed for
personoplysninger inden for retligt samarbejde i straffesager
og politisamarbejde baseret på artikel 16 i TEUF som følge
af disse områders specifikke karakter.
Retshåndhævelsesdirektivet er udtryk for, at der som angivet
i ovennævnte erklæring er fundet behov for at udforme sær-
ligt tilpassede regler for de kompetente myndigheders be-
handling af personoplysninger til brug for løsningen af visse
opgaver, hvilket bl.a. indebærer, at en række af de krav til
behandlingen af personoplysninger, rettigheder for de regi-
strerede mv., som er fastsat i den generelle databeskyttelses-
forordning, jf. punkt 1.1 ovenfor, ikke indgår i retshåndhæ-
velsesdirektivet. Hertil kommer, at valget af at regulere om-
rådet ved et direktiv – frem for ved en forordning, der er al-
mengyldig, bindende i alle enkeltheder og umiddelbart gyl-
dig i hver medlemsstat – indebærer, at der i udgangspunktet
overlades medlemsstaterne et større råderum.
Retshåndhævelsesdirektivets anvendelsesområde kan opde-
les i forskellige elementer. Således angår afgræsningen af
anvendelsesområdet for det første spørgsmålet om, hvorvidt
der kræves et grænseoverskridende element, og for det an-
det, hvilke former for behandling af personoplysninger der
er omfattet.
Anvendelsesområdet afgrænses for det tredje af, hvilke
myndigheder der er omfattet, og for det fjerde af, hvilket
formål behandlingen af personoplysninger har. Endeligt af-
grænses anvendelsesområdet for det femte af EU-rettens ge-
nerelle anvendelsesområde.
2.1.3.2. For så vidt angår spørgsmålet om, hvorvidt der stil-
les krav om et grænseoverskridende element, er anvendel-
sesområdet for retshåndhævelsesdirektivet, jf. artikel 2, bre-
dere end for rammeafgørelsen, som alene finder anvendelse
på den grænseoverskridende informationsudveksling i for-
bindelse med politisamarbejde og retligt samarbejde i krimi-
nalsager inden for EU og Schengen-samarbejdet.
Retshåndhævelsesdirektivet finder således anvendelse på
både den grænseoverskridende og den rent nationale be-
handling af personoplysninger. Det foreslås på den bag-
grund, at lovforslagets anvendelsesområde på dette punkt
udformes i overensstemmelse hermed.
2.1.3.3. Retshåndhævelsesdirektivet finder ligesom person-
dataloven og databeskyttelsesdirektivet anvendelse på be-
handling af personoplysninger, der helt eller delvist foreta-
ges ved hjælp af automatisk databehandling, og på anden ik-
ke-automatisk behandling af personoplysninger, der er eller
vil blive indeholdt i et register, jf. artikel 2, stk. 2. Det fore-
slås på den baggrund, at lovforslagets anvendelsesområde på
dette punkt udformes i overensstemmelse hermed.
2.1.3.4. For så vidt angår spørgsmålet om, hvilke myndighe-
der retshåndhævelsesdirektivet finder anvendelse på, frem-
går det af direktivets artikel 2, at der skal være tale om kom-
petente myndigheders behandling af personoplysninger.
De kompetente retshåndhævende myndigheder defineres i
direktivets artikel 3, nr. 7, som enhver offentlig myndighed,
der er kompetent med hensyn til at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebyg-
ge trusler mod den offentlige sikkerhed.
Definitionen er således knyttet til forståelsen af begrebet
”strafbare handlinger”, jf. pkt. 2.1.3.5 nedenfor. Det fremgår
af direktivets præambelbetragtning nr. 13, at en strafbar
handling er et selvstændigt EU-retligt begreb som fortolket
af EU-Domstolen.
18
Det fremgår af EU-Domstolens praksis, at der i forhold til
spørgsmålet om, hvorvidt en foranstaltning skal betragtes
som en straf, skal lægges vægt på de såkaldte Engels-kriteri-
er, som er fastlagt af Den Europæiske Menneskerettigheds-
domstol i forhold til spørgsmålet om, hvorvidt en foranstalt-
ning skal betragtes som en straf omfattet af Den Europæiske
Menneskerettighedskonventions artikel 6, jf. bl.a. dom af 8.
juni 1976 (i sagen Engel m.fl. mod Nederlandene, sagsnr.
5100/71 m.fl.), hvor Menneskerettighedsdomstolen anførte,
at der skal lægges vægt på, hvorvidt de bestemmelser, der
udgør grundlaget for forfølgningen, i det pågældende (natio-
nale) retssystem henregnes til strafferetten eller anses for at
være af disciplinærretlig, forvaltningsretlig eller anden ikke-
strafferetlig karakter. Der skal endvidere lægges vægt på ka-
rakteren af den pågældende forseelse, navnlig om der er tale
om overtrædelser af forskrifter, der påhviler bestemte per-
songrupper, eller overtrædelser af almene normer, der gæl-
der for enhver. Endelig skal der lægges vægt på karakteren
og intensiteten af den sanktion, der kan blive tale om at
ikende. Den faktisk ikendte sanktion er således ikke i sig
selv afgørende.
I dansk retspleje er det et grundlæggende princip, at bøder
og fængselsstraffe har karakter af strafferetlige sanktioner,
som kun kan pålægges ved domstolene og efter retsplejelo-
vens regler, dvs. som et led i strafferetsplejen. Denne pro-
cedure sikrer borgernes retssikkerhed, idet domstolsproces-
sen sikrer en effektiv beskyttelse af den sigtede.
Justitsministeriet finder på den baggrund, at de ”kompetente
myndigheder” i direktivets forstand i en dansk kontekst skal
udgøres af de myndigheder, som varetager opgaver inden
for strafferetsplejen, dvs. politiet, anklagemyndigheden, her-
under den militære anklagemyndighed, kriminalforsorgen,
Den Uafhængige Politiklagemyndighed og domstolene (de
kompetente myndigheder).
Lovforslagets anvendelsesområde på dette punkt foreslås
udformet i overensstemmelse hermed.
Denne afgrænsning af anvendelsesområdet indebærer, at an-
dre myndigheders behandling af oplysninger fra de kompe-
tente myndigheder, f.eks. kommunernes behandling af op-
lysninger fra politiet som led i kriminalitetsforebyggende
samarbejde (SSP-samarbejdet), ikke vil være omfattet af lo-
ven, uanset at også kommunernes behandling i princippet er
dækket af lovens anvendelsesområde, f.eks. fordi behandlin-
gen har forebyggelse af kriminalitet som formål. Tilsvaren-
de vil gælde den behandling af personoplysninger, som fore-
tages af f.eks. Arbejdstilsynet, Finanstilsynet og Fødevare-
styrelsen som led i udstedelsen af administrative bødefore-
læg, idet sådanne sager overgives til politiet, hvis de pågæl-
dende ikke ønsker at vedtage bødeforelægget, hvorefter sag-
en håndteres inden for strafferetsplejen. Disse myndigheders
behandling af personoplysninger vil i stedet være omfattet af
de generelle regler i persondataloven og – fra den 25. maj
2018 – databeskyttelsesforordningen. Den behandling, der
sker ved de kompetente myndigheders videregivelse af op-
lysninger til disse myndigheder i sådanne sager, er derimod
omfattet af lovforslaget.
2.1.3.5. For så vidt angår spørgsmålet om afgræsningen af
anvendelsesområdet i forhold til, hvilket formål behandlin-
gen af personoplysninger har, fremgår det af direktivets arti-
kel 2, stk. 1, jf. artikel 1, stk. 1, at direktivet finder anven-
delse på behandling af personoplysninger med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod eller forebygge trusler med den offentlige sik-
kerhed.
Spørgsmålet om, til hvilket formål behandlingen skal fore-
gå, hænger således til dels sammen med det ovenfor anførte
om afgræsningen i forhold til de kompetente myndigheder
og de særlige hensyn, der ligger bag beslutningen om at un-
derlægge området særskilte databeskyttelsesretlige regler.
Der skal således være tale om aktiviteter, der knytter sig til
strafbare handlinger, hvilket som nævnt ovenfor i en dansk
kontekst er de aktiviteter, som er omfattet af strafferetsple-
jen.
Mere specifikt er det Justitsministeriets vurdering, at de for-
seelser, der i en dansk kontekst kan føre til en bøde eller
fængselsstraf, udgør ”strafbare handlinger” i direktivets for-
stand. Det skyldes, at der er tale om overtrædelser af gene-
relle retsforskrifter, hvor forfølgningen håndteres i det straf-
feprocessuelle system. Hertil kommer, at en manglende be-
taling af en bøde i princippet fører til en forvandlingsstraf i
form af fængsel, jf. straffelovens § 53.
Direktivet finder imidlertid også anvendelse på aktiviteter,
som ikke er knyttet til en helt konkret strafbar handling. Det
fremgår således af præambelbetragtning nr. 12, der uddyber
definitionen på en kompetent myndighed i artikel 3, nr. 7, at
direktivet omfatter politiaktiviteter, der finder sted uden for-
udgående viden om, hvorvidt et forhold udgør en strafbar
handling eller ej. Direktivet omfatter således også politiakti-
viteter, der retter sig mod potentielle strafbare forhold, hvil-
ket er et område, der under dansk ret generelt henføres un-
der politiets ordenshåndhævelsesbeføjelser. Herudover
fremgår det af direktivets præambelbetragtning nr. 12, at di-
rektivet også omfatter udøvelsen af beføjelser gennem
tvangsindgreb som f.eks. politiaktiviteter i forbindelse med
demonstrationer, store sportsbegivenheder og uroligheder.
De omfatter også opretholdelse af lov og orden som en op-
gave, der er overdraget til politiet eller andre retshåndhæ-
vende myndigheder, hvor det er nødvendigt for at beskytte
mod og forebygge trusler mod den offentlige sikkerhed og
de ved lov beskyttede grundlæggende samfundsinteresser,
som kan føre til en strafbar handling.
19
Anvendelsesområdet knytter sig således også til forebyggel-
se af strafbare handlinger, hvilket må antages at omfatte ge-
nerelle forebyggelsesindsatser, f.eks. i forhold til færdsels-
kontrol, som ikke – endnu – har forbindelse til konkrete
strafbare forhold. Således vil direktivet også omfatte f.eks.
de i pkt. 2.1.1.2 nævnte behandlingsaktiviteter, der er knyt-
tet til politiets brug af automatisk nummerpladegenkendelse
(ANPG) og til brugen af meddelere, uanset at der ikke er ta-
le om aktiviteter i tilknytning til en konkret straffesag. Til-
svarende gælder i relation til behandling af hvidvaskunder-
retninger i Hvidvasksekretariatet i Statsadvokaten for Særlig
Økonomisk og International Kriminalitet (SØIK).
Rækkevidden af direktivets anvendelsesområde i forhold til
kriminalforsorgens opgaver på straffuldbyrdelses- og fore-
byggelsesområdet skal forstås således, at kriminalforsorgens
resocialiseringsindsatser, programvirksomhed (anger ma-
nagement, voldsforebyggelse mv.), misbrugsbehandling og
uddannelse er omfattet af direktivet. Almindelige forsorgs-
opgaver i forhold til de indsatte mv., som f.eks. behandling
af oplysninger i forbindelse med administration af mad, løn-
ninger eller gejstlig betjening vil også være omfattet.
Behandling af helbredsoplysninger er omfattet af direktivets
anvendelsesområde i det omfang, at behandlingen har til
formål at fuldbyrde strafferetlige sanktioner eller forebygge
kriminalitet, hvilket f.eks. vil omfatte behandling af hel-
bredsoplysninger ved lægetilsyn i forbindelse med magtan-
vendelse og anbringelse i sikringscelle samt psykiske eva-
lueringer eller diagnosticeringer til brug for vurdering af
f.eks. afsoningssted. Behandling af helbredsoplysninger til
andre formål, f.eks. almindelige helbredsfaglige behandlin-
ger som rensning af sår, diagnosticering, administration af
medicin mv., vil derimod falde uden for direktivets anven-
delsesområde.
Der vil endvidere være tale om de aktiviteter, som de kom-
petente myndigheder udøver med henblik på at beskytte den
offentlige sikkerhed i konkrete situationer, f.eks. i forbindel-
se større varslede og uvarslede hændelser, samt den mere
generelle løbende overvågning af konkrete objekter, der vur-
deres at være mulige mål for sikkerhedstrusler mv.
Spørgsmålet om rækkevidden af direktivets anvendelsesom-
råde i forhold til politiets opgaver forbundet med oprethol-
delse af lov og orden vil dog skulle fastlægges nærmere i
praksis, idet de kompetente myndigheders varetagelse af de-
res opgaver ikke i alle tilfælde entydigt falder inden for eller
uden for dette område. Det må dog kunne lægges til grund,
at de dele af politiets ordenshåndhævelse, der finder sted
gennem brug af tvangsindgreb og som i øvrigt har som
umiddelbart sigte at forebygge eller forhindre trusler mod
den offentlige orden, er omfattet af direktivet. Endvidere vil
politiets dispositioner knyttet til ordenshåndhævelse – der
generelt må antages at finde sted uden forudgående viden
om, hvorvidt et forhold udgør en strafbar handling eller ej –
også anses for at være omfattet af direktivets anvendelses-
område.
Derimod vil politiets behandling af f.eks. klager over politi-
ets dispositioner, der finder sted under iagttagelse af gene-
relle forvaltningsretlige regler, ikke kunne siges at vedrøre
strafbare forhold eller ordensmæssige forhold, og vil derfor
ikke være omfattet af direktivet. Eksempelvis vil politiets
besøg og besigtigelse af konkrete virksomheder, der udøver
virksomhed i henhold til konkrete tilladelser, f.eks. kamp-
sportsstævner, ikke være at anse som opgaver forbundet
med opretholdelse af lov og orden i direktivets forstand, de-
suagtet at kontrollen udøves af det uniformerede politi.
For så vidt angår Den Uafhængige Politiklagemyndighed,
vil den behandling, som vedrører strafbare forhold, jf. rets-
plejelovens kapitel 93 c, være omfattet af direktivets anven-
delsesområde, mens den behandling, som vedrører klager
over politipersonalets adfærd i tjenesten (adfærdsklager), jf.
retsplejelovens kapitel 93 b, vil falde uden for anvendelses-
området.
De kompetente myndigheder behandler en række andre ad-
ministrative sager. Politiet behandler f.eks. sager om tilla-
delser til udøvelse af forskellige hverv, herunder pantelåne-
re, idrætskontrollører, dørmænd og vagter, samt tilladelser
til afholdelse af forskellige offentlige arrangementer eller
aktiviteter, herunder forlystelser og særtransporter. Ligele-
des modtager og behandler politiet og andre retshåndhæven-
de myndigheder, som andre forvaltningsmyndigheder, lø-
bende aktindsigtsanmodninger efter offentlighedsloven og
forvaltningsloven og vil også fremadrettet skulle behandle
personoplysninger i forbindelse med behandlingen af kon-
krete anmodninger om indsigt i henhold til den gældende
databeskyttelsesretlige regulering. Sager af denne art kan ik-
ke antages at have en sådan karakter, der kan føre til, at be-
handlingen af personoplysninger i disse sager er omfattet af
direktivets anvendelsesområde. Er der derimod tale om akt-
indsigt i konkrete straffesager, der reguleres af retsplejelo-
ven, er aktindsigtssagerne omfattet af lovforslagets anven-
delsesområde.
På tilsvarende måde vil behandling af personoplysninger,
der finder sted i forbindelse med de kompetente myndighe-
ders ansættelse af medarbejdere og den løbende administra-
tion af ansættelsesmæssige forhold falde uden for direktivets
anvendelsesområde.
Behandling af personoplysninger i sådanne sager vil i stedet
være omfattet af de generelle regler i persondataloven og –
fra den 25. maj 2018 – databeskyttelsesforordningen.
I forhold til politiets behandling af personlysninger i forbin-
delse med varetagelsen af opgaver forbundet med grænse-
kontrol, kan den del af grænsekontrollen, der udøves med
20
henblik på umiddelbart at fastslå, om en person har lovligt
indrejse- og opholdsgrundlag, ikke anses for at være omfat-
tet af direktivets anvendelsesområde. Dette skyldes, at for-
målet med den behandling af personoplysninger, der finder
sted som led i den umiddelbare grænsekontrol, ikke vedrører
aktuelle eller potentielle strafbare forhold eller håndhævel-
sen af lov og orden i direktivets forstand. Derimod vil f.eks.
politiets eventuelle kontrol af, om den pågældende måtte
være eftersøgt af danske eller udenlandske myndigheder
med henblik på at fastslå, om den pågældende skal tilbage-
holdes mv., indebære en behandling af personoplysninger
med henblik på at understøtte politiets arbejde med at fore-
bygge, retsforfølge mv. strafbare forhold og dermed falde
inden for direktivets anvendelsesområde.
Det bemærkes, at de EU-retlige regelsæt på dette område of-
te indeholder specifikke databeskyttelsesretlige særregler,
der i relevant omfang vil skulle iagttages parallelt med di-
rektivets – og dermed lovens – regler.
Lovforslagets anvendelsesområde foreslås udformet i over-
ensstemmelse hermed.
2.1.3.6. Retshåndhævelsesdirektivet finder ikke anvendelse
på aktiviteter, der falder uden for EU-retten. Det fremgår af
artikel 4, stk. 2, i Traktaten om Den Europæiske Union, at
spørgsmålet om den nationale sikkerhed forbliver den enkel-
te medlemsstats eneansvar, hvilket også er nævnt i direkti-
vets præambelbetragtning nr. 14.
Det foreslås på den baggrund, at loven – som det er tilfældet
for persondataloven – ikke skal finde anvendelse på den be-
handling af personoplysninger, der foretages for og af politi-
ets og forsvarets efterretningstjenester, idet denne behand-
ling sker med henblik på varetagelsen af den nationale sik-
kerhed.
2.1.3.7. Retshåndhævelsesdirektivet indeholder en adgang
for medlemsstaterne til at fastsætte højere standarder for be-
skyttelse af den registreredes rettigheder.
Det foreslås på den baggrund, at det fastsættes i loven, at
regler i anden lovgivning, som giver den registrerede en
bedre retstilling, går forud for reglerne i lovforslaget. Der
sker dermed en videreførelse af den tilsvarende bestemmel-
se i persondataloven.
Der henvises i øvrigt til lovforslagets §§ 1 og 2 og bemærk-
ningerne hertil.
2.2. Definitioner
2.2.1. Gældende ret
Databeskyttelsesdirektivet indeholder definitioner af begre-
berne personoplysninger, behandling, register, den register-
ansvarlige, registerfører, tredjemand, modtager og samtyk-
ke. Disse definitioner findes tillige i persondatalovens kapi-
tel 2 (§ 3), idet begreberne den registeransvarlige og regi-
sterfører dog er erstattet af begreberne den dataansvarlige og
databehandleren, ligesom der er tilføjet en definition på be-
grebet tredjeland.
2.2.2. Retshåndhævelsesdirektivet
Direktivets artikel 3 indeholder definitioner på begreberne
personoplysninger, behandling, begrænsning af behandling,
profilering, pseudonymisering, register, kompetent myndig-
hed, dataansvarlig, databehandler, modtager, brud på data-
sikkerheden, genetiske data, biometriske data, helbredsop-
lysninger, tilsynsmyndighed og international organisation.
2.2.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
Justitsministeriet finder, at hensynet til at sikre, at der ikke
kan opstå tvivl om implementeringen af retshåndhævelsesdi-
rektivets artikel 3 taler for, at hovedparten af direktivets de-
finitioner indføjes i lovforslaget, og at dette sker ved, at ord-
lyden af definitionerne i loven knyttes relativt tæt op ad di-
rektivteksten.
For at øge overskueligheden foreslås det imidlertid, at en-
kelte af definitionerne gøres kortere og mere præcise end,
hvad der følger af direktivet. Af tilsvarende årsag foreslås
definitionen på begrebet pseudonymisering ikke medtaget i
lovforslaget, idet dette begreb alene indgår i direktivet som
et eksempel på en af de tekniske og organisatoriske foran-
staltninger, som skal iværksættes efter direktivets artikel 20,
jf. nærmere herom i pkt. 2.6 nedenfor.
I forlængelse af det ovenfor i pkt. 2.1 nævnte om det fore-
slåede anvendelsesområde for loven foreslås det endvidere,
at det i definitionen af begrebet kompetente myndigheder
eksplicit angives, at de kompetente myndigheder i Danmark
er politiet, anklagemyndigheden, herunder den militære an-
klagemyndighed, kriminalforsorgen, Den Uafhængige Poli-
tiklagemyndighed og domstolene.
Der henvises i øvrigt til lovforslagets § 3 og bemærkninger-
ne hertil.
2.3. Behandlingsregler
2.3.1. Gældende ret
21
Persondatalovens afsnit II indeholder en række behandlings-
regler, som er relevante i politi- og straffesager i form af
regler om formålet med behandlingen (§ 5), behandlings-
grundlaget for henholdsvis almindelige og følsomme perso-
noplysninger (§§ 6-8), behandling af oplysninger i retsinfor-
mationssystemer af væsentlig samfundsmæssig betydning (§
9) og behandling af personnumre (§ 11). Hertil kommer lo-
vens § 39 om afgørelser, der alene er truffet på baggrund af
elektronisk databehandling.
2.3.1.1. Det fremgår således af persondatalovens § 5, stk. 1,
at oplysninger skal behandles i overensstemmelse med god
databehandlingsskik.
God databehandlingsskik er en retlig standard, som udfyldes
af tilsynsmyndighederne. Begrebet indebærer bl.a., at be-
handlingen af oplysninger skal være rimelig og lovlig.
Standarden anses efter praksis fra Datatilsynet for bl.a. at
omfatte krav til den dataansvarlige om forudgående under-
retning af den registrerede om visse behandlingsaktiviteter,
en pligt til at notere den registreredes indsigelser i forhold til
rigtigheden af de registrerede oplysninger og underretning
af berørte personer ved brud på datasikkerheden. God data-
behandlingsskik supplerer således navnlig lovens regler om
den registreredes rettigheder.
Det fremgår videre af bestemmelsens stk. 2, at indsamling af
oplysninger skal ske til udtrykkeligt angivne og saglige for-
mål, og senere behandling må ikke være uforenelig med dis-
se formål. Senere behandling af oplysninger, der alene sker i
historisk, statistisk eller videnskabeligt øjemed, anses ikke
for uforenelig med de formål, hvortil oplysningerne er ind-
samlet.
Det fremgår desuden af bestemmelsens stk. 3, at oplysnin-
ger, som behandles, skal være relevante og tilstrækkelige og
ikke omfatte mere, end hvad der kræves til opfyldelse af de
formål, hvortil oplysningerne indsamles, og de formål, hvor-
til oplysningerne senere behandles.
Det fremgår herudover af bestemmelsens stk. 4, at behand-
ling af oplysninger skal tilrettelægges således, at der foreta-
ges fornøden ajourføring af oplysningerne. Der skal endvi-
dere foretages den fornødne kontrol for at sikre, at der ikke
behandles urigtige eller vildledende oplysninger. Oplysnin-
ger, der viser sig urigtige eller vildledende, skal snarest mu-
ligt slettes eller berigtiges.
Persondatalovens § 5, stk. 4, suppleres for så vidt angår
grænseoverskridende udveksling af oplysninger af rammeaf-
gørelsesbekendtgørelsens § 9, stk. 1 og 2. Det fremgår heraf,
at den dataansvarlige skal træffe alle rimelige foranstaltnin-
ger til at sikre, at personoplysninger ikke videregives eller
stilles til rådighed, hvis de er urigtige, ufuldstændige eller
ikke ajourførte. I dette øjemed verificerer den dataansvarlige
så vidt muligt kvaliteten af personoplysningerne, før de vi-
deregives eller stilles til rådighed. I forbindelse med al vide-
regivelse af oplysninger skal der så vidt muligt tilføjes til-
gængelige oplysninger, der gør det muligt for den udenland-
ske myndighed at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige.
Hvis det konstateres, at der er videregivet urigtige persono-
plysninger, eller at oplysningerne er videregivet ulovligt,
meddeles dette straks den udenlandske myndighed. Oplys-
ningerne skal berigtiges, slettes eller blokeres omgående, jf.
bekendtgørelsens § 9, stk. 2.
Endeligt fremgår det af persondatalovens § 5, stk. 5, at ind-
samlede oplysninger ikke må opbevares på en måde, der gi-
ver mulighed for at identificere den registrerede i et længere
tidsrum end det, der er nødvendigt af hensyn til de formål,
hvortil oplysningerne behandles.
Persondatalovens § 5, stk. 5, suppleres for så vidt angår
grænseoverskridende udveksling af oplysninger af rammeaf-
gørelsesbekendtgørelsens § 8. Det fremgår heraf, at den da-
taansvarlige skal tilrettelægge behandlingen af personoplys-
ninger således, at der fastsættes passende frister for sletnin-
gen af personoplysninger eller regelmæssig undersøgelse af
behovet for lagringen af oplysningerne. Det sikres endvidere
ved proceduremæssige foranstaltninger, at tidsfristerne over-
holdes.
2.3.1.2. Persondatalovens § 6, stk. 1, indeholder en række si-
deordnede grundlag for behandling af almindelige persono-
plysninger.
Det er ikke alle behandlingsgrundlagene i bestemmelsen,
der er relevante for de kompetente myndigheders behand-
ling af personoplysninger med henblik på varetagelse af
myndighedsopgaver. Disse myndigheder foretager således i
dag behandling af personoplysninger, når den registrerede
har meddelt samtykke hertil (stk. 1, nr. 1), når behandlingen
er nødvendig for at overholde en retlig forpligtelse, som på-
hviler den dataansvarlige (stk. 1, nr. 3), når behandlingen er
nødvendig for at beskytte den registreredes vitale interesser
(stk. 1, nr. 4), når behandlingen er nødvendig af hensyn til
udførelsen af en opgave i samfundets interesse (stk. 1, nr. 5),
når behandlingen er nødvendig af hensyn til udførelsen af en
opgave, der henhører under offentlig myndighedsudøvelse,
som den dataansvarlige er pålagt (stk. 1, nr. 6), eller når be-
handling er nødvendig for, at den dataansvarlige eller den
tredjemand, til hvem oplysningerne videregives, kan forføl-
ge en berettiget interesse, og hensynet til den registrerede ik-
ke overstiger denne interesse (stk. 1, nr. 7).
22
Det fremgår af persondatalovens § 38, at den registrerede
kan tilbagekalde et samtykke.
Behandlingsgrundlagene er overlappende, og myndigheder-
nes behandling af personoplysninger vil således ofte ske på
flere af de ovennævnte behandlingsgrundlag.
2.3.1.3. Persondatalovens § 7 indeholder regler om behand-
ling af følsomme personoplysninger. Det fremgår af bestem-
melsens stk. 1, at der som hovedregel ikke må behandles op-
lysninger om racemæssig eller etnisk baggrund, politisk, re-
ligiøs eller filosofisk overbevisning, fagforeningsmæssige
tilhørsforhold og oplysninger om helbredsmæssige og sek-
suelle forhold.
Bestemmelsens stk. 2-7 indeholder en række undtagelser til
hovedreglen i stk.1. Det fremgår således af bestemmelsens
stk. 6, at behandling af de følsomme oplysninger, der er
nævnt i stk. 1, kan ske, hvis behandlingen er nødvendig af
hensyn til en offentlig myndigheds varetagelse af sine opga-
ver på det strafferetlige område.
Lovens § 7, stk. 6, giver offentlige myndigheder adgang til
at behandle følsomme personoplysninger i straffesager. Be-
stemmelsen giver således f.eks. politi og anklagemyndighed
mulighed for at registrere oplysninger om f.eks. race og
hudfarve i forbindelse med efterforskningsvirksomhed, idet
disse oplysninger kan være nødvendige identifikationsoplys-
ninger.
Persondatalovens § 7, stk. 6, suppleres for så vidt angår
grænseoverskridende udveksling af oplysninger af rammeaf-
gørelsesbekendtgørelsens § 2, stk. 2. Det fremgår heraf, at
behandling af oplysninger om racemæssig eller etnisk bag-
grund, politisk, religiøs eller filosofisk overbevisning, fag-
foreningsmæssige tilhørsforhold og oplysninger om hel-
bredsmæssige og seksuelle forhold efter persondatalovens §
7, stk. 6, ikke må ske, medmindre behandlingen er strengt
nødvendig.
Persondatalovens § 8 indeholder særregler om den offentli-
ge forvaltnings behandling af andre kategorier af følsomme
oplysninger end dem, der er nævnt i § 7, stk. 1. Det fremgår
af bestemmelsens stk. 1, at der ikke for den offentlige for-
valtning må behandles oplysninger om strafbare forhold,
væsentlige sociale problemer og andre rent private forhold
end de i § 7, stk. 1, nævnte, medmindre det er nødvendigt
for varetagelsen af myndighedens opgaver.
Det fremgår videre af bestemmelsens stk. 2, at der ikke må
ske videregivelse af sådanne oplysninger, med mindre en af
betingelserne i stk. 2, nr. 1-4, er opfyldt.
Det fremgår imidlertid af bestemmelsens stk. 6, at behand-
ling og videregivelse efter stk. 1 og 2 kan finde sted, hvis
betingelserne i lovens § 7 er opfyldt. De kompetente myn-
digheder vil således også have mulighed for at behandle op-
lysninger omfattet af § 8 i straffesager, jf. lovens § 7, stk. 6.
Rammeafgørelsesbekendtgørelsens §§ 3 og 5 indeholder
særlige regler om adgangen til at behandle oplysninger, der
er modtaget fra eller stillet til rådighed af en udenlandsk
myndighed.
Det fremgår således af bekendtgørelsens § 3, at sådanne op-
lysninger kun må behandles til en række nærmere angivne
andre formål end dem, hvortil de blev videregivet eller stil-
let til rådighed. Oplysningerne kan anvendes med henblik på
forebyggelse, efterforskning, afsløring eller retsforfølgning
af straffelovsovertrædelser eller fuldbyrdelse af strafferetli-
ge sanktioner i forbindelse med andre straffelovsovertrædel-
ser eller sanktioner end dem, hvortil de blev videregivet el-
ler stillet til rådighed, eller andre retlige og administrative
procedurer, som hænger direkte sammen med disse formål.
Behandling kan endvidere ske med henblik på afværgelse af
en umiddelbar og alvorlig trussel mod den offentlige sikker-
hed, eller ethvert andet formål med forhåndsgodkendelse fra
den videregivende myndighed eller med den registreredes
samtykke.
Behandling må endvidere ske i historisk, statistisk eller vi-
denskabeligt øjemed, såfremt oplysningerne gøres anonyme.
Behandlingen må ikke ske i strid med specifikke begræns-
ninger for behandling af videregivne oplysninger fastsat i
lovgivningen gældende for den videregivende udenlandske
myndighed, når den videregivende myndighed gør opmærk-
som på begrænsningerne.
Det fremgår videre af bekendtgørelsens § 5, at personoplys-
ninger, som er modtaget fra eller stillet til rådighed af en
udenlandsk myndighed, kun må videregives til private, hvis
den videregivende udenlandske myndighed har givet tilla-
delse til videregivelse i henhold til sin nationale lovgivning
og den registreredes specifikke legitime interesser ikke for-
hindrer videregivelse. Det er endvidere at krav, at videregi-
velse af oplysninger i særlige tilfælde er afgørende for den
dataansvarlige, der videregiver oplysningerne til en privat,
af hensyn til udførelsen af en opgave, den er blevet pålagt
ved lov, forebyggelse, efterforskning, afsløring eller retsfor-
følgning af straffelovsovertrædelser eller fuldbyrdelse af
strafferetlige sanktioner, afværgelse af en umiddelbar og al-
vorlig trussel mod den offentlige sikkerhed, eller forebyg-
gelse af alvorlige krænkelser af enkeltpersoners rettigheder.
Den dataansvarlige, der videregiver oplysningerne til en pri-
vatperson, orienterer denne om, hvilke formål oplysningerne
udelukkende må anvendes til.
23
2.3.1.4. Persondataloven indeholder ikke generelle regler
om tidsfrister for sletning af personoplysninger.
Som nævnt ovenfor i pkt. 2.3.1.1 fremgår det imidlertid af
persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke
må opbevares på en måde, der giver mulighed for at identifi-
cere den registrerede i et længere tidsrum end det, der er
nødvendigt af hensyn til de formål, hvortil oplysningerne
behandles. Reglen suppleres af rammeafgørelsesbekendtgø-
relsens § 8.
Bestemmelsen indebærer, at den dataansvarlige skal vurde-
re, hvor længe oplysningerne skal opbevares, hvilket ofte vil
ske gennem generelle slettefrister.
Persondatalovens § 5, stk. 5, er berørt i forarbejderne til lov
nr. 1727 af 27. december 2016 om ændring af lov om Politi-
ets Efterretningstjeneste (PET), jf. Folketingstidende
2016-17, A, L 71 som fremsat, side 7 ff.
Det fremgår af lovforslagets pkt. 3.1.2.4.1, at i de situatio-
ner, hvor der er fastsat generelle slettefrister, er det Justits-
ministeriets opfattelse, at der ikke af bestemmelsen i person-
datalovens § 5, stk. 5,kan udledes en pligt for en dataansvar-
lig myndighed til løbende at gennemgå samtlige sine sager,
dokumenter mv. med henblik på at sikre, at der ikke opbeva-
res konkrete personoplysninger i strid med persondatalovens
§ 5, stk. 5, så længe myndigheden har procedurer, som sik-
rer, at der sker sletning i overensstemmelse med de fastsatte
frister.
For så vidt angår personoplysninger i Det Centrale Krimi-
nalregister er der med hjemmel i persondatalovens § 32, stk.
5, og § 72 fastsat nærmere regler om bl.a. sletttefristen, jf.
bekendtgørelse nr. 881 af 4. juli 2014 om behandling af per-
sonoplysninger i Det Centrale Kriminalregister (Kriminalre-
gisteret) som senest ændret ved bekendtgørelse nr. 99 af 26.
januar 2017.
2.3.1.5. Persondatalovens § 9 indeholder regler om persono-
plysninger, som behandles i retsinformationssystemer. Det
fremgår således af bestemmelsens stk. 1, at behandling af
følsomme oplysninger og oplysninger om rent private for-
hold kan ske med henblik på at føre retsinformationssyste-
mer af væsentlig samfundsmæssig betydning, og hvis be-
handlingen er nødvendig for førelsen af systemerne.
2.3.1.6. Persondatalovens § 11 indeholder regler om be-
handlingen af oplysninger om personnummer. Det fremgår
af bestemmelsens stk. 1, at offentlige myndigheder kan be-
handle oplysninger om personnummer med henblik på en
entydig identifikation eller som journalnummer.
2.3.1.7. Persondatalovens § 39 indeholder regler om afgørel-
ser, der alene er truffet på baggrund af elektronisk databe-
handling. Efter bestemmelsens stk. 1 kan der som hovedre-
gel ikke træffes en sådan automatisk afgørelse, der har rets-
virkninger for eller i øvrigt berører den pågældende i væ-
sentlig grad, hvis den registrerede gør indsigelse herimod.
Bestemmelsens stk. 2 indeholder undtagelser til hovedreglen
i stk. 1, herunder en mulighed for at træffe sådanne afgørel-
ser, hvis det er hjemlet i en lov, der indeholder bestemmel-
ser til beskyttelse af den registreredes berettigede interesser.
Bestemmelsens stk. 3 indeholder en ret for den registrerede
til at blive gjort bekendt med, hvilke beslutningsregler der
ligger bag en sådan automatisk afgørelse.
Bestemmelsen i § 39 finder ikke anvendelse for politiets, an-
klagemyndighedens og domstolenes behandling af persono-
plysninger inden for det strafferetlige område, jf. personda-
talovens § 2, stk. 4. Bestemmelsen er således alene relevant
i forhold til de øvrige kompetente myndigheders behandling
af personoplysninger.
2.3.2. Retshåndhævelsesdirektivet
Retshåndhævelsesdirektivets kapitel II indeholder regler om
principper for behandling af personoplysninger. Kapitlet in-
deholder regler om de generelle principper for behandling af
personoplysninger (artikel 4), tidsfrister for opbevaring og
revision (artikel 5), krav om sondring mellem forskellige ka-
tegorier af registrerede og personoplysninger samt kontrol
med kvaliteten af personoplysninger (artiklerne 6 og 7), be-
tingelserne for lovlig behandling (artiklerne 8-10) og om
automatiske individuelle afgørelser (artikel 11).
2.3.2.1. Det fremgår af direktivets artikel 4, at personoplys-
ninger skal behandles lovligt og rimeligt (litra a), indsamles
til udtrykkeligt angivne og legitime formål og ikke behand-
les på en måde, der er uforenelig med disse formål (litra b),
være tilstrækkelige, relevante og ikke omfatte mere end,
hvad der kræves til opfyldelse af de formål, hvortil de be-
handles (litra c), være korrekte og om nødvendigt ajourførte;
der skal tages ethvert rimeligt skridt for at sikre, at persono-
plysninger, der er urigtige i forhold til de formål, hvortil de
behandles, straks slettes eller berigtiges (litra d), opbevares
på en sådan måde, at det ikke er muligt at identificere de re-
gistrerede i et længere tidsrum end det, der er nødvendigt til
de formål, hvortil de behandles (litra e), og behandles på en
måde, der sikrer en tilstrækkelig sikkerhed for de pågælden-
de personoplysninger, herunder beskyttelse mod uautoriseret
eller ulovlig behandling og mod hændeligt tab, tilintetgørel-
se eller beskadigelse, under anvendelse af passende tekniske
eller organisatoriske foranstaltninger (litra f).
24
Det fremgår videre af bestemmelsens stk. 2, at behandling,
der foretages af den samme eller en anden dataansvarlig til
et andet formål omfattet af artikel 1, stk. 1, end det, hvortil
personoplysningerne er indsamlet, er tilladt i det omfang, at
den dataansvarlige er bemyndiget til at behandle sådanne
personoplysninger til et sådant formål i overensstemmelse
med EU-retten eller medlemsstaternes nationale ret, og at
behandlingen er nødvendig for og forholdsmæssig i forhold
til dette andet formål i overensstemmelse med EU-retten el-
ler medlemsstaternes nationale ret.
Behandling, der foretages af den samme eller en anden data-
ansvarlig, kan omfatte behandling til arkivformål i samfun-
dets interesse eller til videnskabelig, statistisk eller historisk
brug med henblik på direktivets formål, forudsat at behand-
lingen er omfattet af de fornødne garantier for den registre-
redes rettigheder og frihedsrettigheder, jf. artikel 4, stk. 3.
Den dataansvarlige er ansvarlig for og skal kunne påvise, at
stk. 1, 2 og 3 overholdes, jf. artikel 4, stk. 4.
2.3.2.2. Det fremgår af direktivets artikel 5, at der skal fast-
sættes hensigtsmæssige tidsfrister for sletning af persono-
plysninger eller for regelmæssig revision af behovet for op-
bevaring af personoplysninger. Det sikres ved procedure-
mæssige foranstaltninger, at disse tidsfrister overholdes.
2.3.2.3. Direktivets artikel 6 og artikel 7, stk. 1, indeholder
krav om, at der skal sondres mellem henholdsvis forskellige
kategorier af registrerede og personoplysninger.
Den dataansvarlige skal, hvor det er relevant og så vidt mu-
ligt, klart sondre mellem personoplysninger om forskellige
kategorier af registrerede. Der skal f.eks. sondres mellem
personer, om hvem der er væsentlig grund til at tro, at de har
begået eller vil begå en strafbar handling, og ofre for en
strafbar handling, jf. artikel 6.
Det fremgår af direktivets præambelbetragtning nr. 31, at
behandling af personoplysninger inden for retligt samarbej-
de i straffesager og politisamarbejde i sagens natur indebæ-
rer behandling af personoplysninger om forskellige katego-
rier af registrerede. Der bør således, hvis det er relevant og
så vidt muligt, sondres klart mellem personoplysninger om
forskellige kategorier af registrerede såsom mistænkte, per-
soner, der er dømt for en strafbar handling, ofre og andre
parter som f.eks. vidner, personer, der ligger inde med rele-
vante oplysninger eller kontakter, eller mistænktes og dømte
kriminelles ledsagepersoner. Dette bør ikke være til hinder
for anvendelsen af princippet om uskyldsformodning, som
er sikret ved chartret og ved EMRK, som fortolket i rets-
praksis ved henholdsvis EU-Domstolen og Den Europæiske
Menneskerettighedsdomstol.
Den dataansvarlige skal endvidere så vidt muligt sondre
mellem personoplysninger, der bygger på faktiske omstæn-
digheder, og personoplysninger, der bygger på personlige
vurderinger, jf. artikel 7.
Det fremgår af direktivets præambelbetragtning nr. 30, at
princippet om oplysningernes rigtighed bør anvendes under
hensyntagen til den pågældende behandlings karakter og
formål. Navnlig i retssager er udsagn, der indeholder perso-
noplysninger, baseret på en subjektiv opfattelse af fysiske
personer, og det er ikke altid muligt at kontrollere dem. Kra-
vet om oplysningernes rigtighed bør derfor ikke vedrøre et
udsagns rigtighed, men blot det forhold, at der er fremsat et
konkret udsagn.
2.3.2.4. Direktivets artikel 7, stk. 2 og 3, indeholder regler
om de dataansvarliges pligt til at sikre, at oplysninger, der
videregives, er rigtige, fuldstændige og pålidelige.
De kompetente myndigheder skal således iværksætte alle ri-
melige tiltag for at sikre, at personoplysninger, som er urig-
tige, ufuldstændige eller ikke ajourførte, ikke videregives el-
ler stilles til rådighed. Med henblik herpå kontrollerer hver
kompetent myndighed, så vidt det er praktisk muligt, kvali-
teten af personoplysninger, før disse videregives eller stilles
til rådighed. I forbindelse med al videregivelse af persono-
plysninger skal nødvendige oplysninger, der gør det muligt
for den modtagende kompetente myndighed at vurdere, i
hvor høj grad personoplysningerne er rigtige, fuldstændige
og pålidelige, og i hvilket omfang de er ajourførte, så vidt
muligt tilføjes.
Hvis det konstateres, at der er videregivet urigtige persono-
plysninger, eller at personoplysninger er videregivet ulov-
ligt, skal dette straks meddeles modtageren. I så fald skal
personoplysningerne berigtiges eller slettes, eller behandling
skal begrænses i overensstemmelse med direktivets artikel
16.
2.3.2.5. Direktivets artikel 8 og 10 indeholder henholdsvis
betingelser for behandling af almindelige oplysninger og
særlige kategorier af oplysninger.
Det fremgår således af direktivets artikel 8, at behandling
kun er lovlig, hvis og i det omfang denne behandling er nød-
vendig for, at en kompetent myndighed kan udføre en opga-
ve med henblik på direktivets formål, og hvis behandlingen
sker på grundlag af EU-retten eller national ret.
Efter artikel 10 er behandling af personoplysninger om race
eller etnisk oprindelse, politisk, religiøs eller filosofisk over-
bevisning eller fagforeningsmæssigt tilhørsforhold samt be-
handling af genetiske data, biometriske data med det formål
entydigt at identificere en fysisk person, helbredsoplysnin-
25
ger eller oplysninger om en fysisk persons seksuelle forhold
eller seksuelle orientering kun tilladt, når det er strengt nød-
vendigt, forudsat at behandlingen er omfattet af de fornødne
garantier for den registreredes rettigheder og frihedsrettighe-
der, og kun hvis behandlingen er hjemlet i EU-retten eller
national ret, hvis behandlingen sker for at beskytte den regi-
streredes eller en anden fysisk persons vitale interesser, eller
hvis behandlingen vedrører oplysninger, som tydeligvis er
offentliggjort af den registrerede.
Det fremgår af direktivets præambelbetragtning nr. 35, at
udførelsen af opgaverne med at forebygge, efterforske, af-
sløre eller retsforfølge strafbare handlinger, som institutio-
nelt er tillagt de kompetente myndigheder ved lov, gør det
muligt for disse myndigheder at kræve, at fysiske personer
efterlever de anmodninger, der fremsættes. I så fald bør den
registreredes samtykke som defineret i databeskyttelsesfor-
ordningen ikke udgøre et retsgrundlag for de kompetente
myndigheders behandling af personoplysninger. Hvis det
kræves, at den registrerede opfylder en retlig forpligtelse,
har den registrerede ikke et reelt og frit valg, hvorfor den re-
gistreredes reaktion ikke kan anses for at være en frivillig
viljetilkendegivelse. Dette bør ikke forhindre medlemssta-
terne i ved lov at fastsætte bestemmelser om, at den registre-
rede kan acceptere behandling af vedkommendes persono-
plysninger med henblik på dette direktiv, som f.eks. DNA-
test i strafferetlige efterforskninger eller elektronisk over-
vågning af vedkommendes geografiske position ved elektro-
nisk fodlænke med henblik på fuldbyrdelse af strafferetlige
sanktioner.
2.3.2.6. Direktivets artikel 9 indeholder en regel om særlige
betingelser for behandling.
Personoplysninger, der er indsamlet med henblik på et af di-
rektivets formål, må alene anvendes til andre formål, hvis
der er hjemmel hertil i EU-retten eller national ret, jf. stk. 1.
Efter bestemmelsens stk. 3 skal den videregivende kompe-
tente myndighed, hvis EU-retten eller national ret fastsætter
særlige vilkår for behandling, underrette modtageren af så-
danne personoplysninger om disse vilkår og kravet om at
overholde dem. De kompetente myndigheder må ikke stille
andre vilkår for andre medlemsstater eller EU-agenturer mv.
end for andre nationale myndigheder, jf. stk. 4.
Det fremgår af direktivets præambelbetragtning nr. 36, at
når EU-retten eller medlemsstatens nationale ret, der finder
anvendelse for den videregivende kompetente myndighed,
fastsætter særlige vilkår, der finder anvendelse under særlige
omstændigheder på behandling af personoplysninger, såsom
anvendelse af regler for behandling af oplysninger, skal den
videregivende kompetente myndighed underrette modtage-
ren af sådanne personoplysninger om disse vilkår og kravet
om at opfylde dem. Sådanne vilkår kunne f.eks. indebære et
forbud mod at videregive personoplysninger til andre, eller
at anvende dem til andre formål end dem, på baggrund af
hvilke de blev videregivet til modtageren, eller at underrette
den registrerede i tilfælde af en begrænsning af retten til op-
lysninger uden forudgående godkendelse fra den videregi-
vende kompetente myndighed. Disse forpligtelser bør også
finde anvendelse for overførsler fra den videregivende kom-
petente myndighed til modtagere i tredjelande eller interna-
tionale organisationer.
2.3.2.5. Direktivets artikel 11 indeholder regler om automa-
tiske individuelle afgørelser.
En afgørelse, der alene er baseret på automatisk behandling,
herunder profilering, som har negativ retsvirkning for den
registrerede eller betydeligt påvirker den pågældende, er for-
budt, medmindre den er hjemlet i EU-retten eller medlems-
staternes nationale ret, som den dataansvarlige er underlagt,
og som fastsætter de fornødne garantier for den registreredes
rettigheder og frihedsrettigheder, i det mindste den registre-
redes ret til menneskelig indgriben fra den dataansvarliges
side.
Efter bestemmelsens stk. 2 må sådanne afgørelser ikke base-
res på særlige kategorier af personoplysninger, jf. pkt.
2.3.2.5, medmindre der er indført passende foranstaltninger
til beskyttelse af den registreredes rettigheder og frihedsret-
tigheder samt legitime interesser.
Profilering, der fører til forskelsbehandling af fysiske perso-
ner på grundlag af særlige kategorier af personoplysninger,
jf. artikel 10, er forbudt i henhold til EU-retten, jf. stk. 3.
2.3.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
2.3.3.1. Direktivets artikel 4 indeholder de generelle princip-
per for behandling af personoplysninger. Principperne sva-
rer i vidt omfang til de principper, som er indeholdt i per-
sondatalovens § 5, stk. 1-5. Disse principper finder allerede i
dag anvendelse i forhold til de kompetente myndigheder.
Det krav, som findes i direktivets artikel 4, stk. 1, litra f,
fremgår ikke af persondatalovens § 5. Det fremgår af artikel
4, stk. 1, litra f, at personoplysninger skal behandles på en
måde, der sikrer en tilstrækkelig sikkerhed for de pågælden-
de personoplysninger, herunder beskyttelse mod uautoriseret
eller ulovlig behandling og mod hændeligt tab, tilintetgørel-
se eller beskadigelse, under anvendelse af passende tekniske
eller organisatoriske foranstaltninger. Der er således tale om
en henvisning til de tekniske og organisatoriske foranstalt-
ninger, som skal fastsættes for at overholde kravene i for-
hold til behandlingssikkerhed. Der findes en næsten tilsva-
rende regel i persondatalovens § 41, stk. 3.
26
Det foreslås på den baggrund, at der i overensstemmelse
med retshåndhævelsesdirektivets artikel 4 fastsættes de ge-
nerelle principper for behandling af personoplysninger.
Det bemærkes i den forbindelse, at det foreslås, at kravet i
direktivets artikel 4, stk. 1, litra a, om, at behandlingen skal
være lovlig og rimelig, implementeres på samme måde som
persondatalovens implementering af den tilsvarende bestem-
melse i databeskyttelsesdirektivet. Det foreslås således i lov-
forslagets § 4, stk. 1, at oplysninger skal behandles i over-
ensstemmelse med god databehandlingsskik. Dette indebæ-
rer, at der – på samme måde som i dag – vil være tale om en
retlig standard, som skal udfyldes af tilsynsmyndighederne.
Der videreføres herved en ordning, som er velkendt for så-
vel tilsynsmyndighederne som for de omfattede kompetente
myndigheder.
Direktivets artikel 4, stk. 2, indeholder regler om adgangen
for den samme eller en anden dataansvarlig til at behandle
oplysninger til et andet formål omfattet af direktivet.
Der er tale om en væsentlig bestemmelse, som gør det mu-
ligt for de kompetente myndigheder at behandle oplysninger
til flere forskellige formål. Det er f.eks. relevant i forhold til
den videregivelse af personoplysninger, som finder sted i
forbindelse med en straffesags forløb. Politiet kan således
indsamle oplysninger om en mistænkts telefonnummer i for-
bindelse med efterforskningen af et strafbart forhold. Hvis
der indledes en straffesag, vil oplysningen om den (nu) til-
taltes telefonnummer blive videregivet til domstolene til
brug for forkyndelse af anklageskrift og indkaldelse til ho-
vedforhandling. Hvis den pågældende findes skyldig og
idømmes en fængselsstraf, vil oplysningerne om den (nu)
dømtes telefonnummer blive videregivet til kriminalforsor-
gen til brug for besked om indkaldelse til afsoning.
Det foreslås på den baggrund, at der fastsættes regler om, at
senere behandling til et andet formål omfattet af loven, kan
ske på baggrund af lov, og hvis det er nødvendigt og for-
holdsmæssigt i forhold til dette efterfølgende formål. Begre-
bet ”lov” vil i denne forbindelse omfatte enhver eksisterende
regulering, der på den fornødne klare og præcise måde gene-
relt eller konkret hjemler, at behandling kan finde sted. Det-
te vil således også omfatte nærværende lov i det omfang en
konkret behandling til et andet formål kan anses for at være
hjemlet herved.
Der henvises i øvrigt til lovforslagets §§ 4 og 5 og bemærk-
ningerne hertil.
2.3.3.2. Direktivets artikel 5 indeholder krav om tidsfrister
for sletning og revision.
Som nævnt ovenfor i pkt. 2.3.1.4 indeholder persondatalo-
ven i dag en generel regel om, at indsamlede oplysninger ik-
ke må opbevares på en måde, der giver mulighed for at iden-
tificere den registrerede i et længere tidsrum end det, der er
nødvendigt af hensyn til de formål, hvortil oplysningerne
behandles.
Direktivets krav om, at den dataansvarlige skal fastsætte
tidsfrister for sletning, udgør efter Justitsministeriets opfat-
telse i vidt omfang en videreførelse af gældende ret.
Det foreslås på den baggrund, at der i overensstemmelse
med retshåndhævelsesdirektivets artikel 5 fastsættes en regel
om, at den dataansvarlige myndighed skal fastsætte tidsfri-
ster for, hvornår de indsamlede oplysninger skal slettes. Det
sikres herved, at der ikke opstår tvivl om, at der er sket en
korrekt implementering af direktivet.
Der henvises i øvrigt til lovforslagets § 7 og bemærkninger-
ne hertil.
2.3.3.3. Direktivets artikel 6 og artikel 7, stk. 1, indeholder
krav om, at der skal sondres mellem henholdsvis forskellige
kategorier af registrerede og personoplysninger.
Kravene har efter Justitsministeriets opfattelse til formål at
sikre, at den dataansvarlige anvender en differentieret til-
gang til, om behandlingskravene er opfyldt. En sådan son-
dring kan således f.eks. være relevant, når den dataansvarli-
ge skal vurdere, om de indsamlede oplysninger kan anses
for at være korrekte, eller hvornår oplysningerne skal slettes.
Persondataloven indeholder ikke eksplicitte regler om, at de
kompetente myndigheder skal foretage sådanne sondringer.
Overholdelsen af de almindelige databehandlingsprincipper
vil imidlertid efter Justitsministeriets opfattelse medføre, at
der allerede i dag er behov for, at de kompetente myndighe-
der, inden en konkret behandling iværksættes, inddrager
spørgsmålet om, hvilken kategori af registreret person der er
tale om.
Hertil kommer, at også praksis fra Den Europæiske Menne-
skerettighedsdomstol forudsætter, at der i visse sammen-
hænge skal sondres mellem forskellige kategorier af regi-
strerede, jf. Domstolens dom af 4. december 2008 (i sagen S
og Marper mod Storbritannien, sagsnr. 30562). Domstolene
tog i sagen stilling til en ordning i Storbritannien, hvorefter
oplysninger fra mistænkte om fingeraftryk, celleprøver og
DNA blev opbevaret uden tidsbegrænsning og uden hensyn-
tagen til, om de pågældende efterfølgende blev dømt for et
strafbart forhold. Domstolen fandt, at denne ordning var i
strid med Den Europæiske Menneskerettighedskonventions
artikel 8 om retten til privatliv, idet Domstolen bl.a. henviste
til, at den omstændighed, at mistænktes og dømtes DNA-op-
27
lysninger blev opbevaret på samme måde, ikke var i over-
ensstemmelse med princippet om uskyldsformodningen.
Det foreslås på den baggrund, at der i overensstemmelse
med retshåndhævelsesdirektivets artikel 6 fastsættes en regel
om, at den dataansvarlige skal sondre mellem forskellige ty-
per af registrerede. Det sikres herved, at der ikke opstår tvivl
om, at der er sket en korrekt implementering af direktivet.
Det foreslås endvidere, at der i forbindelse med den generel-
le regel om behandlingsprincipperne fastsættes et krav om,
at den dataansvarlige skal tage hensyn til oplysningernes ka-
rakter ved behandlingen.
Der henvises i øvrigt til lovforslagets § 4, stk. 1, og § 8 og
bemærkningerne hertil.
2.3.3.4. Direktivets artikel 7, stk. 2, indeholder regler om de
dataansvarliges pligt til at sikre, at oplysninger, der videregi-
ves, er rigtige, fuldstændige og pålidelige, samt et krav om
at der ved videregivelsen så vidt mulig tilføjes nødvendige
oplysninger, der gør det muligt for den modtagende kompe-
tente myndighed at vurdere, i hvor høj grad personoplysnin-
gerne er rigtige, fuldstændige og pålidelige, og i hvilket om-
fang de er ajourførte. Bestemmelsens stk. 3 indeholder et
krav om, at en modtager skal underrettes, hvis der er sket vi-
deregivelse af urigtige oplysninger, eller at oplysninger er
videregivet ulovligt, hvorefter der skal ske berigtigelse, slet-
ning eller begrænsning.
Direktivet svarer på dette punkt til rammeafgørelsesbekendt-
gørelsens § 9, stk. 1 og 2.
Det foreslås på den baggrund, at der i overensstemmelse
med retshåndhævelsesdirektivets artikel 7, stk. 2, fastsættes
en regel om den dataansvarliges forpligtelser i forbindelse
med videregivelse. Der er som nævnt ovenfor tale om en ud-
videlse af den forpligtelse, som allerede i dag gælder efter
rammeafgørelsesbekendtgørelsen.
Der henvises i øvrigt til lovforslagets § 4, stk. 5, og bemærk-
ningerne hertil.
2.3.3.5. Direktivets artikel 8 indeholder et krav om, at med-
lemsstaterne skal fastsætte bestemmelser om, at behandling
kun er lovlig, hvis og i det omfang denne behandling er nød-
vendig for, at en kompetent myndighed kan udføre en opga-
ve med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner, herunder beskytte mod eller forebygge trusler
mod den offentlige sikkerhed, og at den sker på grundlag af
EU-retten eller medlemsstaternes nationale ret.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 8 fastsættes en regel om, at behand-
ling af oplysninger kun må finde sted, når behandlingen er
nødvendig for at forebygge, efterforske, afsløre eller retsfor-
følge strafbare handlinger eller fuldbyrde strafferetlige sank-
tioner, herunder beskytte mod eller forebygge trusler mod
den offentlige sikkerhed.
Den foreslåede bestemmelse erstatter således de behand-
lingsgrundlag efter persondataloven, som de kompetente
myndigheder i dag anvender til behandling af personoplys-
ninger, herunder behandling af personnumre med henblik på
de formål, som er nævnt i § 1, stk. 1.
Justitsministeriet finder således ikke, at der er behov for, at
der i nærværende lov indsættes en særlig adgang for de
kompetente myndigheder til at behandle oplysninger om
personnummer svarende til persondatalovens § 11.
Hvis de kompetente myndigheder behandler oplysninger om
personnummer til et formål, som falder uden for det foreslå-
ede anvendelsesområde for nærværende lov, vil behandlin-
gen fortsat skulle ske i medfør af persondatalovens § 11.
De kompetente myndigheder vil – uanset om behandlingen
sker i medfør af nærværende lov eller persondataloven – og-
så fremover skulle overholde reglerne i CPR-loven, jf. lov-
bekendtgørelse nr. 5 af 9. januar 2013 om Det Centrale Per-
sonregister med senere ændringer.
Justitsministeriet finder desuden ikke, at der er grundlag for,
at de kompetente myndigheder skal behandle oplysninger på
grundlag af et samtykke fra den registrerede, jf. herved hen-
visningen til direktivets præambelbetragtning nr. 35 i pkt.
2.3.2.5 ovenfor. Et eventuelt samtykke fra den registrerede
vil imidlertid kunne indgå i den dataansvarlige myndigheds
vurdering af, om en given behandling kan anses for at være
nødvendig, idet samtykket indgår i den samlede proportio-
nalitetsafvejning.
Den behandling af personoplysninger, som hidtil er sket på
grundlag af et samtykke fra den registrerede, jf. persondata-
lovens § 6, stk. 1, nr. 1, kan fremover ske, såfremt der er tale
om behandling, som er nødvendig for at forebygge, efterfor-
ske, afsløre eller retsforfølge strafbare handlinger eller fuld-
byrde strafferetlige sanktioner, herunder beskytte mod eller
forebygge trusler mod den offentlige sikkerhed.
Det indebærer, at f.eks. kriminalforsorgens behandling af
ansøgningssager efter straffuldbyrdelsesloven fremover kan
ske, hvis behandlingen kan anses for at være nødvendig for
at fuldbyrde strafferetlige sanktioner. Det er Justitsministeri-
ets vurdering, at kriminalforsorgens behandling af sådanne
sager er en del af kriminalforsorgens varetagelse af opgaven
28
forbundet med at fuldbyrde strafferetlige sanktioner, og at
behandlingen af personoplysninger derfor som udgangs-
punkt kan anses for at være nødvendig. Eftersom behandlin-
gen af personoplysninger i sådanne sager sker på den regi-
streredes eget initiativ, vil det imidlertid også fremover være
relevant for kriminalforsorgen at indhente den registreredes
samtykke til behandlingen, idet dette – som nævnt ovenfor –
indgår i vurderingen af, om behandlingen kan anses for nød-
vendig. Meddeler den pågældende ikke samtykke til be-
handlingen af personoplysninger, vil det som udgangspunkt
indebære, at behandlingen ikke kan anses for nødvendig og
derfor ikke kan foretages.
På tilsvarende måde vil kriminalforsorgens behandling af
personoplysninger om f.eks. pårørende kunne anses for en
del af og nødvendig for kriminalforsorgens varetagelse af
opgaven med at fuldbyrde strafferetlige sanktioner, idet der
på tilsvarende vis vil skulle lægges vægt på, om der forelig-
ger et samtykke fra den registrerede.
I det omfang, at de kompetente myndigheder foretager be-
handling af personoplysninger på grundlag af et samtykke til
et formål, som ligger uden for lovens anvendelsesområde,
vil behandlingen skulle ske efter persondataloven og – fra
den 25. maj 2018 – databeskyttelsesforordningen.
Det bemærkes endvidere, at behandlingen af personoplys-
ninger med henblik på førelse af retsinformationssystemer –
som i dag sker efter persondatalovens § 9 – ikke varetager et
formål, der er omfattet af det foreslåede anvendelsesområde.
Behandling af personoplysninger til dette formål vil i stedet
fortsat skulle ske efter persondatalovens § 9 og – fra den 25.
maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til lovforslagets § 9 og bemærkninger-
ne hertil.
2.3.3.6. Direktivets artikel 10 indeholder krav vedrørende
behandling af særlige kategorier af personoplysninger. Der
er tale om personoplysninger om race eller etnisk oprindel-
se, politisk, religiøs eller filosofisk overbevisning eller fag-
foreningsmæssigt tilhørsforhold samt behandling af geneti-
ske data, biometriske data med det formål entydigt at identi-
ficere en fysisk person, helbredsoplysninger eller oplysnin-
ger om en fysisk persons seksuelle forhold eller seksuelle
orientering.
De i bestemmelsen oplistede særlige kategorier svarer i vidt
omfang til de særlige kategorier af oplysninger, som er om-
fattet af databeskyttelsesdirektivets artikel 8, som er imple-
menteret i persondatalovens § 7. Retshåndhævelsesdirekti-
vets artikel 10 tilføjer således alene genetiske data samt bi-
ometriske data med det formål entydigt at identificere en fy-
sisk person.
I overensstemmelse med de gældende regler for offentlige
myndigheders behandling af følsomme oplysninger i straffe-
sager, jf. pkt. 2.3.1.3 ovenfor, foreslås der i lovforslagets §
10 fastsat en regel om, at de kompetente myndigheder under
overholdelse af betingelserne i loven kan foretage behand-
ling af oplysninger omfattet af stk. 1, når det er strengt nød-
vendigt med henblik på at forebygge, efterforske, afsløre el-
ler retsforfølge strafbare handlinger eller fuldbyrde straffe-
retlige sanktioner, herunder beskytte mod eller forebygge
trusler mod den offentlige sikkerhed.
Der er i forhold til behandlingsgrundlaget for almindelige
personoplysninger i den foreslåede § 9 således tale om et
skærpet krav til nødvendigheden, idet behandlingen for så
vidt angår disse særlige kategorier af oplysninger skal være
strengt nødvendig. Kravet er desuden skærpet i forhold til
den gældende bestemmelse i persondatalovens § 7, stk. 6.
I praksis vil det dog formentlig ikke være muligt at angive
nogen væsentlig forskel på kriterierne ”nødvendigt” og
”strengt nødvendigt”. Det gælder således bl.a. i relation til
politiets mv. adgang til at behandle de nævnte typer af føl-
somme personoplysninger med henblik på kriminalitetsbe-
kæmpelse, f.eks. behandling af oplysninger om politisk
overbevisning i forbindelse med opklaring af et politisk mo-
tiveret mord, eller behandling af oplysninger om race med
henblik på at identificere en gerningsmand. På tilsvarende
måde vil kriminalforsorgens behandling af oplysninger om
de registreredes religiøse overbevisning kunne anses for
strengt nødvendig for at varetage opgaven forbundet med at
yde gejstlig betjening til de indsatte, hvilket udgør en del af
kriminalforsorgens varetagelse af opgaven forbundet med at
fuldbyrde strafferetlige sanktioner.
Persondatalovens § 8 indeholder som nævnt oven for i pkt.
2.3.1.3 et særligt grundlag for behandling af oplysninger om
rent private forhold. Der er efter Justitsministeriets opfattel-
se ikke behov for at videreføre dette behandlingsgrundlag.
Behandling af sådanne oplysninger vil således kunne ske ef-
ter det almindelige behandlingsgrundlag, jf. pkt. 2.3.3.5
ovenfor.
Der henvises i øvrigt til lovforslagets § 10 og bemærknin-
gerne hertil.
2.3.3.7. Direktivets artikel 11 indeholder en bestemmelse
om adgangen til at træffe afgørelser alene på grundlag af
automatisk behandling, herunder profilering.
Persondatalovens § 39 indeholder en bestemmelse om afgø-
relser, der alene er truffet på baggrund af elektronisk databe-
handling. Bestemmelsen finder imidlertid ikke anvendelse
på politiets, anklagemyndighedens og domstolenes behand-
ling af personoplysninger inden for det strafferetlige områ-
de.
29
De myndigheder, som er omfattet af lovforslagets anvendel-
sesområde, træffer ikke i dag afgørelser alene på grundlag af
automatisk behandling.
Det bemærkes i den forbindelse, at der ved lov nr. 372 af 14.
april 2014 om ændring af færdselsloven (Indførelse af betin-
get objektivt ansvar for ejer (bruger) af et motorkøretøj for
visse hastighedsovertrædelser) blev indført en bestemmelse i
færdselslovens § 118 c, hvorefter ejeren (brugeren) af køre-
tøjet blev pålagt et objektivt bødeansvar for hastighedsover-
skridelser, der var konstateret ved automatisk trafikkontrol
(ATK).
Det fremgår af lovforslaget (Folketingstidende 2013-14, A,
L 74 som fremsat, side 14 ff.), pkt. 4.3.4.1, at ordningen in-
debærer, at ejeren (brugeren) i ATK-sager, der vedrører ha-
stighedsoverskridelser på højst 30 pct., udfindes ud fra
ATK-billedet på baggrund af automatiseret nummerplade-
genkendelighed. Politiet sender derpå umiddelbart efter re-
gistreringen af hastighedsovertrædelsen en henvendelse til
ejeren (brugeren) med en angivelse af, at vedkommende vil
blive straffet (med bøde), medmindre en af ejeren (bruge-
ren) nærmere angivet person erkender at have været fører på
gerningstidspunktet, eller det godtgøres, at køretøjet enten
uretmæssigt har været i en andens besiddelse på gernings-
tidspunktet eller var solgt eller på anden vis overdraget til en
anden.
Henvendelsen vedlægges et bødeforelæg samt en anvisning
til, hvordan en anden end ejeren (brugeren) vil kunne afgive
erklæring om at have været fører. Med henvendelsen til eje-
ren (brugeren) sendes endvidere en vejledning om indsigel-
sesmuligheder, hvorledes en fører skal udpeges, hvordan fø-
reren afgiver sin erkendelse, regler om påtaleopgivelse samt
eventuelt omgørelse heraf og reglerne om domstolsbehand-
ling uden retsmøde i medfør af retsplejelovens regler herom.
Det fremgår videre af lovforslagets pkt. 5, at det er en forud-
sætning for opnåelse af den fulde effektiviseringsgevinst, at
der hos politiet skabes den fornødne it-mæssige understøt-
telse af automatisering og digitalisering af sagsbehandlingen
i de omhandlede sager. Rigspolitiet har iværksat et projekt
med udvikling af et nyt it-system, der skal sikre denne un-
derstøttelse.
Det bemærkes, at der endnu ikke er udviklet et it-system,
som automatisk kan sende bødeforelæg mv. til ejeren (bru-
geren) på baggrund af en automatiseret nummerpladegen-
kendelse. Der sker således fortsat en manuel vurdering af de
optagne fotos, forud for at bødeforelægget mv. afsendes.
Det kan imidlertid ikke udelukkes, at det it-system, som er
under udvikling, vil føre til, at der i fremtiden ikke vil være
behov for en manuel vurdering af de optagne fotos, hvoref-
ter en afgørelse om, at der skal indledes en straffesag – i før-
ste omgang i form af et bødeforelæg – i princippet kan ske
alene på baggrund af automatisk databehandling. Der kan
med andre blive tale om, at bødeforelægget automatisk sen-
des til ejeren (brugeren) af køretøjet.
Det foreslås på den baggrund i lovforslagets § 11, at der
fastsættes en bestemmelse om, at der kan træffes automati-
ske afgørelser, såfremt der findes passende foranstaltninger
for at sikre den registreredes interesser, herunder en adgang
for den registrerede til en kræve en menneskelig indgriben
fra den dataansvarliges side. Det vil i ovennævnte eksempel
indebære, at en ejer, der har modtaget en afgørelse om, at
den pågældende ifalder bødeansvar efter en hastighedsmå-
ling med ATK, skal kunne kræve, at politiet foretager en
manuel vurdering af det eller de optagne fotos, og at politiet
på den baggrund tager stilling til, om der skal indledes en
straffesag. Det er vurderingen, at den ovennævnte ordning,
hvor ejeren (brugeren) sammen med bødeforelægget modta-
ger en vejledning om indsigelsesmuligheder, opfylder dette
krav.
De afgørelser, som i givet fald vil være omfattet af bestem-
melsen, vil alene være myndighedsafgørelser i forvaltnings-
lovens forstand, dvs. udtalelser, der går ud på at fastsætte,
hvad der er eller skal være ret i et foreliggende tilfælde, idet
automatiske afgørelser ikke vil blive truffet af domstolene.
Der henvises i øvrigt til lovforslagets § 11 og bemærknin-
gerne hertil.
2.4. Den registreredes rettigheder
2.4.1. Gældende ret
2.4.1.1. Som nævnt ovenfor i pkt. 1.3.1 gælder persondata-
loven generelt for de kompetente myndigheders behandling
af personoplysninger. Lovens bestemmelser om oplysnings-
pligt over for den registrerede (kapitel 8), og den registrere-
des ret til indsigelse, berigtigelse, blokering og sletning af
personoplysninger (§§ 35-37) finder dog ikke anvendelse på
behandlinger, der foretages for domstolene, politiet og an-
klagemyndigheden inden for det strafferetlige område. Her-
udover finder lovens regler om den registreredes ret til ind-
sigt (kapitel 9) ikke anvendelse på behandlinger, der foreta-
ges for domstolene inden for det strafferetlige område.
Som nævnt ovenfor i pkt. 1.3.2 finder persondatalovens ka-
pitel 9 om den registreredes indsigtsret og § 37 om berigti-
gelse mv. anvendelse for så vidt angår de kompetente myn-
digheders behandling af personoplysninger, der udveksles
eller stilles til rådighed mellem en dansk og en udenlandsk
myndighed i forbindelse med politisamarbejde og retligt
samarbejde i kriminalsager inden for Den Europæiske Uni-
30
on og Schengen-samarbejdet, jf. rammeafgørelsesbekendt-
gørelsens § 2.
2.4.1.2. Det fremgår af persondatalovens § 28, stk. 1, at den
dataansvarlige eller dennes repræsentant ved indsamling af
oplysninger hos den registrerede skal give den registrerede
meddelelse om den dataansvarliges og dennes repræsentants
identitet, formålene med den behandling, hvortil oplysnin-
gerne er bestemt, og alle yderligere oplysninger, der under
hensyn til de særlige omstændigheder, hvorunder oplysnin-
gerne er indsamlet, er nødvendige for, at den registrerede
kan varetage sine interesser. Som eksempler på sådanne
yderligere oplysninger nævnes i stk. 1 kategorierne af mod-
tagere, om det er obligatorisk eller frivilligt at besvare stille-
de spørgsmål samt mulige følger af ikke at svare, og om reg-
lerne om indsigt i og om berigtigelse af de oplysninger, der
vedrører den registrerede. Bestemmelsen i stk. 1 gælder ik-
ke, hvis den registrerede allerede er bekendt med disse op-
lysninger, jf. stk. 2.
Det fremgår videre af persondatalovens § 29, stk. 1, at hvor
oplysninger ikke er indsamlet hos den registrerede, påhviler
det den dataansvarlige eller dennes repræsentant ved regi-
streringen, eller hvor de indsamlede oplysninger er bestemt
til videregivelse til tredjemand, senest når videregivelsen af
oplysningerne finder sted, at give den registrerede meddelel-
se om den dataansvarliges og dennes repræsentants identitet,
formålene med den behandling, hvortil oplysningerne er be-
stemt, og alle yderligere oplysninger, der under hensyn til de
særlige omstændigheder, hvorunder oplysningerne er ind-
samlet, er nødvendige for, at den registrerede kan varetage
sine interesser. Som eksempler på sådanne yderligere oplys-
ninger nævnes i stk. 1 hvilken type oplysninger det drejer
sig om, kategorierne af modtagere og om reglerne om ind-
sigt i og om berigtigelse af de oplysninger, der vedrører den
registrerede. Bestemmelsen i stk. 1 gælder ikke, hvis den re-
gistrerede allerede er bekendt med disse oplysninger, hvis
registreringen eller videregivelsen udtrykkeligt er fastsat ved
lov eller bestemmelser fastsat i henhold til lov, eller hvis un-
derretning af den registrerede viser sig umulig eller er ufor-
holdsmæssigt vanskelig, jf. stk. 2 og 3.
Persondatalovens § 30 indeholder regler om, hvornår der
kan gøres undtagelse fra §§ 28 og 29. Det fremgår således af
bestemmelsens stk. 1, at bestemmelserne i § 28, stk. 1, og §
29, stk. 1, ikke gælder, hvis den registreredes interesse i at
få kendskab til oplysningerne findes at burde vige for afgø-
rende hensyn til private interesser, herunder hensynet til den
pågældende selv.
Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1,
kan tillige gøres, hvis den registreredes interesse i at få
kendskab til oplysningerne findes at burde vige for afgøren-
de hensyn til offentlige interesser, herunder navnlig til sta-
tens sikkerhed (nr. 1), forsvaret (nr. 2), den offentlige sik-
kerhed (nr. 3), forebyggelse, efterforskning, afsløring og
retsforfølgning i straffesager eller i forbindelse med brud på
etiske regler for lovregulerede erhverv (nr. 4), væsentlige
økonomiske eller finansielle interesser hos en medlemsstat
eller Den Europæiske Union, herunder valuta-, budget- og
skatteanliggender (nr. 5), og kontrol-, tilsyns- eller regule-
ringsopgaver, herunder opgaver af midlertidig karakter, der
er et led i den offentlige myndighedsudøvelse på de i nr. 3-5
nævnte områder (nr. 6).
2.4.1.3. Persondatalovens §§ 31-34 indeholder regler om
den registreredes indsigtsret.
Det fremgår således af persondatalovens § 31, at når en per-
son fremsætter begæring herom, skal den dataansvarlige gi-
ve den pågældende meddelelse om, hvorvidt der behandles
oplysninger om vedkommende. Behandles sådanne oplys-
ninger, skal der på en let forståelig måde gives den registre-
rede meddelelse om, hvilke oplysninger der behandles, be-
handlingens formål, kategorierne af modtagere af oplysnin-
gerne og tilgængelig information om, hvorfra disse oplys-
ninger stammer.
Den dataansvarlige skal snarest besvare begæringer som
nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger ef-
ter modtagelsen, skal den dataansvarlige underrette den på-
gældende om grunden hertil samt om, hvornår afgørelsen
kan forventes at foreligge, jf. stk. 2.
Persondatalovens § 32 indeholder en række undtagelser til
indsigtsretten efter § 31. Det fremgår således af bestemmel-
sens stk. 1, at retten til indsigt ikke gælder, hvis betingelser-
ne i § 30 er opfyldt, jf. ovenfor i pkt. 2.4.1.2.
Det fremgår videre af bestemmelsens stk. 3, at der ikke er
ret til indsigt i oplysninger, der behandles for domstolene,
hvis oplysningerne indgår i tekst, som ikke foreligger i en-
delig form. Dette gælder dog ikke, hvis oplysningerne er vi-
deregivet til en tredjemand. Der er ikke ret til indsigt i vote-
ringsprotokoller og andre referater af domstolenes rådslag-
ning samt materiale udarbejdet af domstolene til brug for
rådslagningen.
Bestemmelsen i § 31, stk. 1, finder heller ikke anvendelse,
hvis oplysningerne udelukkende behandles i videnskabeligt
øjemed, eller hvor oplysningerne kun opbevares i form af
personoplysninger i det tidsrum, som kræves for at udarbej-
de statistikker, jf. stk. 4.
Det fremgår desuden af bestemmelsens stk. 5, at for behand-
ling af oplysninger på det strafferetlige område, der foreta-
ges for den offentlige forvaltning, kan justitsministeren fast-
sætte undtagelser fra retten til at få oplysninger efter § 31,
stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved §
31
30, må antages at medføre, at begæringer om ret til indsigt i
almindelighed må afslås.
Justitsministeren har anvendt bemyndigelsesbestemmelsen i
lovens § 32, stk. 5, til ved bekendtgørelse at gøre undtagelse
fra indsigtsretten. Det følger således af § 13 i bekendtgørelse
nr. 1776 af 16. december 2015 om politiets anvendelse af
automatisk nummerpladegenkendelse (ANPG), at indsigts-
retten ikke finder anvendelse i forhold til oplysninger, der
behandles i ANPG-systemet. Tilsvarende følger det af § 13,
stk. 1, i bekendtgørelse nr. 921 af 2. juli 2010 om behand-
ling af personoplysninger i Politiets Efterforskningsstøtte
Database (PED), at indsigtsretten som udgangspunkt ikke
finder anvendelse i forhold til oplysninger behandlet i PED.
Det fremgår herudover af persondatalovens § 33, at en regi-
streret person, der har fået meddelelse efter § 31, stk. 1, ikke
har krav på ny meddelelse før 6 måneder efter sidste medde-
lelse, medmindre der godtgøres en særlig interesse heri.
Endeligt fremgår det af persondatalovens § 34, at meddelel-
ser i henhold til § 31, stk. 1, på begæring skal gives skrift-
ligt. I tilfælde, hvor hensynet til den registrerede taler derfor,
kan meddelelse dog gives i form af en mundtlig underret-
ning om indholdet af oplysningerne.
Retsplejelovens kapitel 66, henholdsvis den militære rets-
plejelovs § 4, indeholder regler om sigtede personers mv.
adgang til materiale, som er tilvejebragt af politiet, hen-
holdsvis auditøren, i forbindelse med strafferetlig forfølg-
ning. Retsplejeloven indeholder endvidere regler om aktind-
sigt i domme, kendelser og andre dokumenter, der vedrører
en straffesag. Udgangspunktet er, at enhver har ret til akt-
indsigt i domme og kendelser mv., ligesom den, der har en
individuel, væsentlig interesse i et konkret retsspørgsmål,
som udgangspunkt kan forlange at blive gjort bekendt med
dokumenter, der vedrører en straffesag, herunder indførsler i
retsbøgerne, i det omfang dokumenterne har betydning for
vurderingen af det pågældende retsspørgsmål. Herudover in-
deholder retsplejeloven regler om berigtigelse af retsafgørel-
ser.
2.4.1.4. Persondatalovens §§ 35 og 37 indeholder regler om
den registreredes ret til indsigelse, berigtigelse, blokering og
sletning af personoplysninger.
Det fremgår således af § 35, at den registrerede til enhver tid
over for den dataansvarlige kan gøre indsigelse mod, at op-
lysninger om vedkommende gøres til genstand for behand-
ling. Hvis indsigelsen efter stk. 1 er berettiget, må behand-
lingen ikke længere omfatte de pågældende oplysninger, jf.
stk. 2.
Det fremgår videre af persondatalovens § 37, at den dataan-
svarlige skal berigtige, slette eller blokere oplysninger, der
viser sig urigtige eller vildledende eller på lignende måde er
behandlet i strid med lov eller bestemmelser udstedt i med-
før af lov, hvis en registreret person fremsætter anmodning
herom.
Det fremgår af retsplejelovens § 221, stk. 1, at retten til enh-
ver tid i embeds medfør eller ifølge begæring kan berigtige
skrivefejl, som er indløbet i henseende til ord, navne eller
tal, blotte regnefejl samt sådanne fejl og forglemmelser, som
alene vedrører udfærdigelsens form. Øvrige fejl og forglem-
melser kan berigtiges, hvis parterne ikke udtaler sig heri-
mod.
Retten kan også, når begæring derom fremkommer inden
ankefristens udløb, og efter at der er givet parterne og i
straffesager tillige forsvareren lejlighed til at ytre sig derom,
berigtige den i afgørelsen af en borgerlig sag indeholdte
fremstilling af parternes mundtlige angivelser og ytringer el-
ler den i afgørelsen af en straffesag indeholdte fremstilling
af sagens faktiske sammenhæng, for så vidt fremstillingen
erkendes at lide af fejl, bestående i forbigåelser, uklarheder
eller modsigelser, men derimod ikke i øvrigt foretage foran-
dringer enten i begrundelsen eller resultatet. Beslutning an-
gående slige berigtigelser træffes, og meddelelse om dem
sker efter de samme regler, som gælder for den oprindelige
afgørelse, jf. retsplejelovens § 221, stk. 2.
2.4.2. Retshåndhævelsesdirektivet
Direktivets kapitel III indeholder regler om oplysninger, der
stilles til rådighed eller gives til den registrerede (artikel 13),
den registreredes indsigtsret og begrænsninger heraf (artik-
lerne 14 og 15), retten til berigtigelse, sletning og begræns-
ning af behandling (artikel 16) samt generelle regler om
udøvelsen af disse rettigheder (artiklerne 17 og 18).
2.4.2.1. Efter direktivets artikel 13 skal den dataansvarlige
som minimum stille en række nærmere angivne oplysninger
til rådighed for den registrerede, herunder identitet på og
kontaktoplysninger for den dataansvarlige, kontaktoplysnin-
ger for en eventuel databeskyttelsesrådgiver og formålene
med den behandling, som personoplysningerne skal bruges
til.
Det fremgår af direktivets præambelbetragtning nr. 42, at
dette kan ske på den kompetente myndigheds websted.
Den dataansvarlige skal herudover i særlige tilfælde give
den registrerede yderligere en række oplysninger, for at ved-
kommende kan udøve sine rettigheder, herunder oplysninger
om retsgrundlaget for behandlingen og det tidsrum, hvor
personoplysningerne vil blive opbevaret, eller, hvis dette ik-
32
ke er muligt, de kriterier, der anvendes til at fastlægge dette
tidsrum, jf. herved nærmere direktivets artikel 13, stk. 2.
Der kan efter artikel 13, stk. 3, i visse situationer ske udsæt-
telse, begrænsning eller afskæring af meddelelse af oplys-
ninger til de registrerede. Det kan ske for at undgå, at der
lægges hindringer i vejen for officielle eller retlige undersø-
gelser, efterforskninger eller procedurer, undgå at skade
forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af
strafferetlige sanktioner, beskytte den offentlige sikkerhed,
beskytte statens sikkerhed eller beskytte andres rettigheder
og frihedsrettigheder. Efter bestemmelsens stk. 4 kan der
fastsættes nærmere regler om de kategorier af behandling,
som helt eller delvis er omfattet af stk. 3.
2.4.2.2. Den registrerede har efter artikel 14 ret til at få den
dataansvarliges bekræftelse på, om personoplysninger ve-
drørende den pågældende behandles, og i givet fald adgang
til personoplysningerne og en række nærmere angivne op-
lysninger, herunder formålene med og retsgrundlaget for be-
handlingen og de berørte kategorier af personoplysninger.
Det fremgår af direktivets præambelbetragtning nr. 43, at en
fysisk person bør have ret til indsigt i oplysninger, der er
indsamlet om vedkommende, og til let og med rimelige mel-
lemrum at udøve denne ret med henblik på at forvisse sig
om og kontrollere en behandlings lovlighed. Enhver regi-
streret bør derfor navnlig have ret til at kende og blive un-
derrettet om de formål, hvortil oplysningerne behandles, pe-
rioden, hvor oplysningerne behandles, og modtagerne af op-
lysningerne, herunder sådanne i tredjelande. Når sådan en
underretning omfatter meddelelse om personoplysningernes
oprindelse, bør oplysningerne ikke afsløre identiteten på fy-
siske personer, navnlig fortrolige kilder. Med henblik på
overholdelse af denne ret er det tilstrækkeligt, at den regi-
strerede er i besiddelse af et fuldstændigt resumé af disse
oplysninger i en letforståelig form, det vil sige en form, der
giver den pågældende registrerede mulighed for at blive op-
mærksom på disse oplysninger og kontrollere, at de er kor-
rekte og behandlet i overensstemmelse med dette direktiv,
så det er muligt for den pågældende at udøve de rettigheder,
der tilkommer vedkommende i henhold til dette direktiv. Et
sådant resumé kan have form af en kopi af de personoplys-
ninger, der behandles.
Den registreredes ret til indsigt kan efter omstændighederne
begrænses efter artikel 15 for at undgå, at der lægges hin-
dringer i vejen for officielle eller retlige undersøgelser, ef-
terforskninger eller procedurer, undgå at skade forebyggel-
sen, afsløringen, efterforskningen eller retsforfølgningen af
strafbare handlinger eller fuldbyrdelsen af strafferetlige
sanktioner, beskytte den offentlige sikkerhed, beskytte sta-
tens sikkerhed, eller beskytte andres rettigheder og friheds-
rettigheder. Efter bestemmelsens stk. 2 kan der fastsættes
nærmere regler om de kategorier af behandling, som helt el-
ler delvis er omfattet af stk. 1.
Efter artikel 15, stk. 3, skal den dataansvarlige i de i stk. 1
og 2 omhandlede tilfælde uden unødig forsinkelse give den
registrerede skriftlig meddelelse om ethvert afslag på indsigt
i personoplysninger eller begrænsning af indsigten og om
begrundelsen for afslaget eller begrænsningen. En sådan
meddelelse kan udelades, hvis sådanne oplysninger ville væ-
re til skade for et af formålene i stk. 1. Den dataansvarlige
skal underrette den registrerede om muligheden for at indgi-
ve en klage til en tilsynsmyndighed eller adgangen til rets-
midler.
Den dataansvarlige skal dokumentere den faktiske eller ret-
lige begrundelse, som afgørelsen hviler på. Disse oplysnin-
ger stilles til rådighed for tilsynsmyndighederne, jf. stk. 4.
2.4.2.3. Det fremgår af direktivets artikel 16, stk. 1, at den
registrerede har ret til at få urigtige personoplysninger om
sig selv berigtiget af den dataansvarlige uden unødig forsin-
kelse. Den registrerede skal under hensyntagen til formålene
med behandlingen have ret til at få fuldstændiggjort ufuld-
stændige personoplysninger, bl.a. ved at fremlægge en sup-
plerende erklæring.
Det fremgår af direktivets præambelbetragtning nr. 47, at
retten til berigtigelse imidlertid ikke bør berøre eksempelvis
indholdet af et vidneudsagn.
Den dataansvarlige skal slette personoplysninger uden unø-
dig forsinkelse, og den registrerede skal have ret til at få per-
sonoplysninger om sig selv slettet af den dataansvarlige
uden unødig forsinkelse, hvis behandlingen overtræder de
bestemmelser, der vedtages i henhold til artikel 4 (behand-
lingsprincipper), 8 (behandling af almindelige oplysninger)
eller 10 (behandling af særlige kategorier af oplysninger),
eller hvis personoplysninger skal slettes for at overholde en
retlig forpligtelse, som den dataansvarlige er underlagt, jf.
artikel 16, stk. 2.
Det fremgår videre af bestemmelsens stk. 3, at i stedet for
sletning begrænser den dataansvarlige behandlingen, hvis
rigtigheden af personoplysningerne bestrides af den registre-
rede og deres rigtighed eller urigtighed ikke kan konstateres,
eller personoplysningerne skal bevares som bevismiddel.
Hvis behandling er begrænset som følge af, at rigtigheden af
personoplysningerne bestrides af den registrerede og deres
rigtighed eller urigtighed ikke kan konstateres, underretter
den dataansvarlige den registrerede herom, inden begræns-
ningen af behandling ophæves.
Det fremgår af direktivets præambelbetragtning nr. 47, at en
fysisk person også bør have ret til begrænsning af behand-
33
lingen, hvis vedkommende bestrider personoplysningers rig-
tighed, og det ikke kan konstateres, om oplysningerne er rig-
tige eller ej, eller hvis personoplysningerne skal bevares
som bevismiddel. I stedet for at slette personoplysninger bør
behandling navnlig begrænses, hvis der i et konkret tilfælde
er rimelig grund til at tro, at sletning vil kunne påvirke den
registreredes legitime interesser. I så fald bør begrænsede
oplysninger kun behandles til det formål, der gjorde, at de
ikke blev slettet. Metoderne til at begrænse behandlingen af
personoplysninger kan bl.a. omfatte, at udvalgte oplysninger
flyttes til et andet behandlingssystem, f.eks. til arkivformål,
eller at udvalgte oplysninger gøres utilgængelige. I automa-
tiske registre bør behandling i princippet begrænses ved
hjælp af tekniske hjælpemidler. Det forhold, at behandlin-
gen af personoplysningerne er begrænset, bør angives i re-
gistret på en sådan måde, at det tydeligt fremgår, at behand-
lingen af personoplysningerne er begrænset. En sådan berig-
tigelse eller sletning af personoplysninger eller begrænsning
af behandling bør meddeles de modtagere, hvortil oplysnin-
gerne er videregivet, og de kompetente myndigheder, hvor-
fra de urigtige oplysninger stammer. Den dataansvarlige bør
også afstå fra yderligere udbredelse af sådanne oplysninger.
Efter bestemmelsens stk. 4 skal den dataansvarlige give den
registrerede skriftlig meddelelse om ethvert afslag på berig-
tigelse eller sletning af personoplysninger eller begrænsning
af behandling og om begrundelsen for afslaget.
Forpligtelsen til at give sådanne oplysninger kan i visse si-
tuationer helt eller delvist begrænses for at undgå, at der
lægges hindringer i vejen for officielle eller retlige undersø-
gelser, efterforskninger eller procedurer, undgå at skade
forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af
strafferetlige sanktioner, beskytte den offentlige eller statens
sikkerhed og beskytte andres rettigheder og frihedsrettighe-
der. Den dataansvarlige skal underrette den registrerede om
muligheden for at indgive klage til en tilsynsmyndighed el-
ler adgangen til retsmidler.
Den dataansvarlige skal meddele berigtigelse af urigtige
personoplysninger til den kompetente myndighed, hvorfra
de urigtige oplysninger stammer, jf. bestemmelsens stk. 5.
Endeligt fremgår det af bestemmelsens stk. 6, at den dataan-
svarlige skal underrette modtagerne, hvis personoplysnin-
gerne er blevet berigtiget eller slettet eller behandlingen er
blevet begrænset, jf. stk. 1, 2 og 3, og at modtagerne skal
berigtige eller slette personoplysningerne eller begrænse be-
handling af personoplysninger, som de har ansvaret for.
2.4.2.4. Direktivets artikel 12 indeholder en række regler
om, hvordan den dataansvarlige skal behandle anmodninger
fra den registrerede, herunder om hvordan de ovennævnte
oplysninger og meddelelser skal gives, samt om udøvelsen
af den registreredes rettigheder.
Det fremgår af stk. 1, at den dataansvarlige skal iværksætte
rimelige tiltag for at give enhver oplysning som omhandlet i
artikel 13 og enhver meddelelse som omhandlet i artikel 11,
14-18 og 31 om behandling til den registrerede i en kortfat-
tet, letforståelig og lettilgængelig form og i et klart og enkelt
sprog. Oplysningerne gives på enhver hensigtsmæssig måde,
herunder ved hjælp af elektroniske midler. Som hovedregel
skal den dataansvarlige give oplysningerne i samme form
som anmodningen.
Den dataansvarlige skal lette udøvelsen af den registreredes
rettigheder i medfør af artikel 11 og 14-18, jf. artikel 12, stk.
2.
Efter bestemmelsens stk. 3 skal den dataansvarlige give den
registrerede skriftlig meddelelse om opfølgningen på dennes
anmodning uden unødig forsinkelse.
Det fremgår videre af bestemmelsens stk. 4, at de oplysnin-
ger, der gives i medfør af artikel 13, og enhver meddelelse
og enhver foranstaltning, der træffes i henhold til artikel 11,
14-18 og 31, er gratis. Hvis anmodninger fra en registreret
er åbenbart grundløse eller overdrevne, især fordi de genta-
ges, kan den dataansvarlige enten opkræve et rimeligt gebyr
under hensyntagen til de administrative omkostninger ved at
give oplysninger eller meddelelser eller træffe den ønskede
foranstaltning, eller afvise at efterkomme anmodningen. Be-
visbyrden for, at anmodningen er åbenbart grundløs eller
overdreven, påhviler den dataansvarlige.
Den dataansvarlige kan, hvis der hersker rimelig tvivl om
identiteten af den fysiske person, der fremsætter en anmod-
ning som omhandlet i artikel 14 eller 16, anmode om de
yderligere oplysninger, der er nødvendige for at bekræfte
den registreredes identitet, jf. stk. 5.
Efter direktivets artikel 17, stk. 1, kan den registrerede udø-
ve sine rettigheder efter artikel 13, stk. 3, artikel 15, stk. 3,
og artikel 16, stk. 4, gennem den kompetente tilsynsmyndig-
hed.
Den dataansvarlige skal underrette den registrerede om den-
nes mulighed for at udøve sine rettigheder gennem tilsyns-
myndigheden, jf. artikel 17, stk. 2.
Efter artikel 17, stk. 3, skal tilsynsmyndigheden i givet fald
som minimum underrette den registrerede om, at tilsyns-
myndigheden har foretaget den nødvendige kontrol eller un-
dersøgelse. Tilsynsmyndigheden underretter også den regi-
strerede om dennes adgang til retsmidler.
34
Det fremgår af direktivets artikel 18, at medlemsstaterne kan
fastsætte bestemmelser om, at udøvelsen af de rettigheder,
der er omhandlet i artikel 13, 14 og 16, skal gennemføres i
henhold til medlemsstaternes nationale ret, når personoply-
sningerne er indeholdt i en retsafgørelse eller et register eller
en sagsakt, der behandles i forbindelse med strafferetlige ef-
terforskninger og straffesager.
Det fremgår af direktivets præambelbetragtning nr. 49, at
hvis personoplysningerne behandles under en strafferetlig
efterforskning og strafferetssag, bør medlemsstaterne kunne
fastsætte bestemmelser om, at udøvelsen af retten til oplys-
ninger, indsigt i og berigtigelse eller sletning af persono-
plysninger og begrænsning af behandling skal udføres i hen-
hold til de nationale retsplejeregler.
2.4.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
2.4.3.1. Direktivets artikel 13 indeholder regler om de oplys-
ninger, som den dataansvarlige skal stille til rådighed for el-
ler meddele den registrerede.
Persondatalovens regler om oplysningspligt over for den re-
gistrerede finder ikke anvendelse for politiets, anklagemyn-
dighedens og domstolenes behandling af personoplysninger
på det strafferetlige område. Heller ikke rammeafgørelses-
bekendtgørelsen indeholder en sådan forpligtelse for disse
myndigheder.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 13, stk. 1, fastsættes en regel om, at
den dataansvarlige skal stille de oplysninger, der er nævnt i
direktivet, til rådighed for den registrerede.
Den dataansvarliges forpligtelse til at stille oplysninger til
rådighed kan f.eks. opfyldes ved at gøre oplysningerne til-
gængelige på den kompetente myndigheds hjemmeside eller
gennem trykt materiale, som er tilgængeligt for de registre-
rede.
Det foreslås endvidere, at der i overensstemmelse med di-
rektivets artikel 13, stk. 2 og 3, fastsættes regler om, at den
dataansvarlige i særlige tilfælde skal give den registrerede
meddelelse om de oplysninger, der er nævnt i direktivets ar-
tikel 13, stk. 2, medmindre der foreligger en af de grunde,
der er nævnt i direktivets artikel 13, stk. 3. Af de grunde,
som er nævnt nedenfor i pkt. 2.4.3.2 foreslås det endvidere,
at retsplejelovens og den militære retsplejelovs regler skal
finde anvendelse i forhold til den registreredes ret til oplys-
ninger i straffesager.
Der henvises i øvrigt til lovforslagets § 13 og § 18, stk. 3, og
bemærkningerne hertil.
2.4.3.2. Direktivets artikel 14 indeholder regler om den regi-
streredes indsigtsret.
Persondatalovens regler om den registreredes indsigtsret fin-
der anvendelse for de kompetente myndigheder med undta-
gelse af domstolene, som dog er omfattet heraf for så vidt
angår behandling, der er omfattet af rammeafgørelsesbe-
kendtgørelsen.
Den dataansvarlige er forpligtet til at give den registrerede
flere oplysninger efter retshåndhævelsesdirektivet end efter
persondatalovens regler.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 14 fastsættes en regel om, at den da-
taansvarlige efter anmodning fra den registrerede skal give
den pågældende de oplysninger, der er nævnt i direktivet.
Direktivets artikel 15 indeholder regler om begrænsning af
indsigtsretten. Reglerne svarer i vidt omfang til de gældende
regler i persondataloven, idet hensynet til den registrerede
selv dog ikke efter direktivet kan begrunde en begrænsning.
Efter Justitsministeriets opfattelse vil det imidlertid være
hensigtsmæssigt, hvis det også fremover er muligt for den
dataansvarlige at begrænse indsigtsretten af hensyn til den
registrerede selv, hvilket navnlig kan være relevant for de
registrerede, som har berøring med kriminalforsorgen. En
sådan udvidelse af adgangen til at begrænse indsigtsretten er
efter Justitsministeriets vurdering i overensstemmelse med
direktivet, idet der er tale om udvidelse af beskyttelsen af
den registreredes rettigheder, jf. direktivets artikel 1, stk. 3.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 15 fastsættes en regel om, at indsigts-
retten kan begrænses af de grunde, der er nævnt i direktivet
med den ovennævnte tilføjelse.
Direktivets artikel 18 giver mulighed for, at medlemsstater-
ne kan bestemme, at udøvelsen af bl.a. indsigtsretten kan
ske gennem de nationale retsplejeregler.
Det foreslås på den baggrund, at den registreredes anmod-
ning om indsigt i oplysninger om den pågældende i straffe-
sager skal ske efter retsplejelovens og den militære retsple-
jelovs regler.
Der henvises i øvrigt til lovforslagets § 15, § 16 og § 18, stk.
3, og bemærkningerne hertil.
35
2.4.3.3. Retshåndhævelsesdirektivets artikel 16 indeholder
regler om den registreredes ret til berigtigelse, sletning og
begrænsning af behandling.
Persondatalovens regler om den registreredes ret til indsigel-
se, berigtigelse, blokering og sletning af personoplysninger
finder ikke anvendelse for politiets, anklagemyndighedens
og domstolenes behandling af personoplysninger i straffesa-
ger. Persondatalovens § 37 om berigtigelse mv. finder dog
anvendelse i forhold til den behandling, som er omfattet af
rammeafgørelsesbekendtgørelsen, jf. bekendtgørelsens § 2,
stk. 4.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 16 fastsættes en regel om, at den da-
taansvarlige efter anmodning fra den registrerede skal berig-
tige eller slette oplysninger om den pågældende, eller – hvis
de grunde, der er nævnt i direktivet, er opfyldt – begrænse
behandlingen heraf. Af de grunde, som er nævnt ovenfor i
pkt. 2.4.3.2 foreslås det endvidere, at udøvelsen af retten til
berigtigelse mv. i forhold til personoplysninger i straffesager
skal ske efter retsplejelovens og den militære retsplejelovs
regler.
Der henvises i øvrigt til lovforslagets §§ 15 og 17 og § 18,
stk. 3, og bemærkningerne hertil.
2.4.3.4. Direktivets artikel 12 indeholder en række generelle
regler om den registreredes udøvelse af sine rettigheder og
om formen for de meddelelser, som den dataansvarlige skal
give til den registrerede.
Direktivets artikel 12, stk. 2, indeholder et krav om, at den
dataansvarlige skal lette udøvelsen af den registreredes ret-
tigheder i medfør af artikel 11 og 14-18.
Det foreslås på den baggrund, at der fastsættes et krav om,
at den dataansvarlige skal lette udøvelsen af den registrere-
des rettigheder. Det vil f.eks. kunne ske ved, at den dataan-
svarlige udarbejder en særlig blanket, som den registrerede
kan gøre brug af.
Direktivets artikel 12, stk. 3, indeholder et krav om, at den
dataansvarlige skal give den registrerede skriftlig meddelel-
se om opfølgningen på dennes anmodning uden unødig for-
sinkelse.
Reglen er i vidt omfang sammenfaldende med persondatalo-
vens § 31, stk. 2, om den dataansvarliges forpligtelser i for-
hold til behandlingen af en indsigtsanmodning, hvor der er
fastsat en frist på 4 uger, inden for hvilken den dataansvarli-
ge skal besvare anmodningen eller underrette den registrere-
de om grunden til en manglende besvarelse. Denne ordning
er efter Justitsministeriets opfattelse i overensstemmelse
med direktivets krav om meddelelse uden unødigt ophold,
og den gældende ordning foreslås på den baggrund videre-
ført.
Direktivets artikel 12, stk. 4, indeholder et krav om, at med-
delelser mv. skal være gratis, og en mulighed for, at den da-
taansvarlige kan afvise eller opkræve gebyr for behandlin-
gen anmodninger, som er åbenbart grundløse eller overdrev-
ne, især fordi de gentages.
Den foreslåede ordning indeholder ikke en mulighed for at
opkræve gebyr, hvorfor meddelelser mv. vil være gratis for
de registrerede. I forhold til spørgsmålet om håndteringen af
åbenlyst grundløse eller overdrevent gentagne anmodninger
er det efter Justitsministeriets opfattelse mest hensigtsmæs-
sigt at give de dataansvarlige myndigheder mulighed for at
afvise sådanne anmodninger. En sådan ordning vil således i
praksis være en videreførelse af persondatalovens § 33.
Persondataloven indeholder forskellige krav til, hvordan den
dataansvarlige skal give meddelelser efter loven til den regi-
strerede, herunder et krav om, at den dataansvarlige skal gi-
ve meddelelser til den registrerede som følge af den pågæl-
dendes udøvelse af sin indsigtsret på en letforståelig måde.
En del af de krav, som følger af direktivet må således anses
for allerede at følge af gældende ret.
For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er
sket en korrekt implementering af direktivet, foreslås det
imidlertid, at der i overensstemmelse med direktivets artikel
12, stk. 1, 1. pkt., fastsættes de krav til meddelelsernes form
mv., som følger af direktivet. Det er Justitsministeriets vur-
dering, at de yderligere krav, som fremgår af direktivets arti-
kel 12, stk. 1, 2. pkt., dvs. kravet om, at oplysningerne gives
på enhver hensigtsmæssig måde og som hovedregel i samme
form som anmodningen, i tilstrækkelig grad er opfyldt i gæl-
dende ret, herunder de almindelige forvaltningsretlige prin-
cipper.
Det bemærkes i den forbindelse, at de kompetente myndig-
heders kommunikation med borgere også på dette område
kan ske ved hjælp af offentlig Digital Post i overensstem-
melse med reglerne i lovbekendtgørelse nr. 801 af 13. juni
2016 om Digital Post fra offentlige afsendere.
Der henvises i øvrigt til lovforslagets §§ 18 og 19 og be-
mærkningerne hertil.
2.5. Forpligtelser for den dataansvarlige og databehand-
leren
2.5.1. Gældende ret
36
2.5.1.1. Persondatalovens regler om den dataansvarliges og
databehandlerens forpligtelse til at træffe tekniske og orga-
nisatoriske sikkerhedsforanstaltninger og kravene i forbin-
delse med den dataansvarliges overladelse af en behandling
af personoplysninger til en databehandler er knyttet til regle-
rne om behandlingssikkerhed, jf. pkt. 2.6.1 nedenfor.
2.5.1.2. Persondataloven indeholder ikke krav om, at den
dataansvarlige skal føre fortegnelser over eller foretage log-
ning af behandlingsaktiviteter.
Justitsministeren har imidlertid med hjemmel i persondata-
lovens § 41, stk. 5, udstedt bekendtgørelse nr. 528 af 15. ju-
ni 2000 om sikkerhedsforanstaltninger til beskyttelse af per-
sonoplysninger, som behandles for den offentlige forvalt-
ning (sikkerhedsbekendtgørelsen), og bekendtgørelse nr.
535 af 15. juni 2000 om sikkerhedsforanstaltninger til be-
skyttelse af personoplysninger, som behandles for domstole-
ne (sikkerhedsbekendtgørelsen for domstolene), som bl.a.
indeholder regler om logning.
Det fremgår således af § 19, jf. § 2, stk. 2, i sikkerhedsbe-
kendtgørelsen, at der skal foretages maskinel registrering
(logning) af alle anvendelser af personoplysninger, som er
omfattet af pligten til at foretage anmeldelse til Datatilsynet
efter reglerne i persondatalovens kapitel 12. Registreringen
skal mindst indeholde oplysning om tidspunkt, bruger, type
af anvendelse og angivelse af den person, de anvendte op-
lysninger vedrørte, eller det anvendte søgekriterium. Loggen
skal opbevares i 6 måneder, hvorefter den skal slettes. Myn-
digheder med et særligt behov kan opbevare loggen i op til 5
år.
Det fremgår videre af bestemmelsens stk. 2, at stk. 1 ikke
finder anvendelse for personoplysninger, som indgår i tekst-
behandlingsdokumenter og lignende, der ikke foreligger i
endelig form. Det samme gælder sådanne dokumenter, som
foreligger i endelig form, hvis der sker sletning inden for en
af den dataansvarlige myndighed nærmere fastsat kortere
frist.
Bestemmelsen i stk. 1 finder heller ikke anvendelse, hvis be-
handlingen af personoplysninger udelukkende sker ved af-
vikling af programmer, som foretager en forud defineret
massebehandling af personoplysninger (batch-kørsler). Der
skal dog foretages maskinel logning af bruger og tidspunkt
for behandlingen, jf. stk. 3.
Bestemmelsen i stk. 1 finder endvidere ikke anvendelse,
hvis behandlingen af personoplysningerne udelukkende sker
med henblik på statistiske eller videnskabelige undersøgel-
ser, og identifikationsoplysningerne forinden enten er kryp-
teret eller erstattet med et kodenummer eller lignende. Der
skal dog foretages maskinel logning af bruger og tidspunkt
for behandlingen, jf. stk. 4.
Bestemmelsen i stk. 1 finder endelig ikke anvendelse for
personoplysninger, som i form af måle- eller analyseresulta-
ter automatisk lagres i medicoteknisk udstyr. Undtagelsen
omfatter tillige personoplysninger, som manuelt registreres i
medicoteknisk udstyr til supplering af automatisk lagrede
oplysninger, jf. stk. 5.
Sikkerhedsbekendtgørelsen for domstolene indeholder i § 19
regler svarende til de ovennævnte regler i sikkerhedsbe-
kendtgørelsens § 19, stk. 1, 2 og 4.
Rammeafgørelsesbekendtgørelsens § 10 indeholder et krav
om, at den dataansvarlige med henblik på at kontrollere, om
databehandlingen er lovlig, samt med henblik på at udøve
egenkontrol og sikre integritet og sikkerhed skal registrere
eller dokumentere hver videregivelse af personoplysninger.
Registreringen eller dokumentationen skal bl.a. indeholde
oplysninger om, til hvilke organer der er blevet eller kan
være blevet videregivet eller stillet personoplysninger til rå-
dighed ved hjælp af datakommunikationsudstyr, og hvilke
personoplysninger der er indlæst i edb-systemerne, hvornår
og af hvem.
Registreringer, der foretages, eller dokumentation, der udar-
bejdes, videregives til Datatilsynet på dennes anmodning
med henblik på kontrol af databeskyttelsen. For domstolenes
vedkommende sker videregivelsen til Domstolsstyrelsen.
Datatilsynet og Domstolsstyrelsen anvender kun disse op-
lysninger med henblik på kontrol af databeskyttelsen og
med henblik på at sikre en korrekt databehandling og data-
enes integritet og sikkerhed, jf. § 10, stk. 2.
2.5.1.3. Persondataloven indeholder ikke et krav om, at den
dataansvarlige skal udarbejde konsekvensanalyser eller fore-
tage forudgående høring af tilsynsmyndigheden.
Persondatalovens kapitel 12 (§§ 43-47) indeholder dog reg-
ler om anmeldelse af behandlinger, der foretages for den of-
fentlige forvaltning, til tilsynsmyndigheden, jf. pkt. 2.6.1.2
nedenfor.
2.5.1.4. Spørgsmålet om fælles dataansvarlige er ikke direk-
te reguleret i persondataloven. Det følger imidlertid af defi-
nitionen af begrebet ”den dataansvarlige” i persondatalovens
§ 3, nr. 4, at dette kan være en fysisk eller juridisk person,
offentlig myndighed institution eller ethvert andet organ, der
alene eller sammen med andre afgør, til hvilket formål og
med hvilke virkemidler der må foretages behandling af op-
lysninger.
Spørgsmålet om fordelingen af ansvar og forpligtelser for de
fælles dataansvarliges er ikke reguleret direkte i gældende
37
ret. I sager, hvor Datatilsynet har accepteret et fælles dataan-
svar, har tilsynet imidlertid lagt til grund, at der skal forelig-
ge klare retningslinjer og instruktionsbeføjelser for så vidt
angår behandlingen af oplysninger. Herudover skal de regi-
strerede kunne gøre deres rettigheder efter persondatalovens
kapitel III, såsom retten til indsigt, oplysninger mv., gælden-
de over for enhver af de fælles dataansvarlige.
2.5.2. Retshåndhævelsesdirektivet
2.5.2.1. Direktivets artikel 19 indeholder regler om den data-
ansvarliges pligter. Det fremgår således af bestemmelsens
stk. 1, at den dataansvarlige under hensyntagen til behand-
lingens karakter, omfang, sammenhæng og formål samt risi-
ciene af varierende sandsynlighed og alvor for fysiske per-
soners rettigheder og frihedsrettigheder skal gennemføre
passende tekniske og organisatoriske foranstaltninger for at
sikre og for at være i stand til at påvise, at behandling er i
overensstemmelse med direktivet. Disse foranstaltninger
skal om nødvendigt revideres og ajourføres.
Det fremgår videre af bestemmelsens stk. 2, at hvis det står i
rimeligt forhold til behandlingsaktiviteterne, skal de foran-
staltninger, der er omhandlet i stk. 1, omfatte den dataan-
svarliges implementering af passende databeskyttelsespoli-
tikker.
Direktivets artikel 20 indeholder nærmere regler om databe-
skyttelse gennem design og gennem standardindstillinger.
Det fremgår af bestemmelsens stk. 1, at den dataansvarlige
under hensyntagen til det aktuelle tekniske niveau, imple-
menteringsomkostningerne og den pågældende behandlings
karakter, omfang, sammenhæng og formål samt risiciene af
varierende sandsynlighed og alvor for fysiske personers ret-
tigheder og frihedsrettigheder, som behandlingen indebærer,
både på tidspunktet for fastlæggelse af midlerne til behand-
ling og på tidspunktet for selve behandlingen skal gennem-
føre passende tekniske og organisatoriske foranstaltninger,
såsom pseudonymisering, som er designet med henblik på
effektiv implementering af databeskyttelsesprincipper, så-
som dataminimering, og med henblik på integrering af de
fornødne garantier i behandlingen for at opfylde kravene i
direktivet og beskytte de registreredes rettigheder.
Det fremgår videre af artikel 20, stk. 2, at den dataansvarlige
skal gennemføre passende tekniske og organisatoriske for-
anstaltninger med henblik på gennem standardindstillinger
at sikre, at kun personoplysninger, der er nødvendige til
hvert specifikt formål med behandlingen, behandles. Denne
forpligtelse gælder den mængde personoplysninger, der ind-
samles, og omfanget af deres behandling samt deres opbeva-
ringsperiode og tilgængelighed. Sådanne foranstaltninger
skal navnlig gennem standardindstillinger sikre, at persono-
plysninger ikke uden den fysiske persons indgriben stilles til
rådighed for et ubegrænset antal fysiske personer.
Direktivets artikel 21 indeholder regler om fælles dataan-
svarlige. Hvis to eller flere dataansvarlige i fællesskab fast-
lægger formålene med og hjælpemidlerne til behandling, er
de fælles dataansvarlige. De fastsætter på en gennemsigtig
måde deres respektive ansvar for overholdelse af dette di-
rektiv, navnlig hvad angår udøvelsen af den registreredes
rettigheder og deres respektive forpligtelser til at fremlægge
de oplysninger, der er omhandlet i artikel 13, ved hjælp af
en ordning mellem dem, medmindre og i det omfang de da-
taansvarliges respektive ansvar er fastlagt i EU-retten eller
medlemsstaternes nationale ret, som de dataansvarlige er un-
derlagt. I ordningen udpeges kontaktpunktet for de registre-
rede.
Medlemsstaterne har herudover adgang til at fastsætte for-
skellige regler om ordningen for fælles dataansvarlige.
2.5.2.2. Direktivets artikel 22 indeholder regler om databe-
handleren.
Den dataansvarlige må udelukkende benytte databehandlere,
der kan stille de fornødne garantier for, at de vil gennemføre
de passende tekniske og organisatoriske foranstaltninger på
en sådan måde, at behandlingen opfylder kravene i direkti-
vet og sikrer beskyttelse af den registreredes rettigheder, jf.
stk. 1.
Databehandlerens behandling skal ske på baggrund af en
skriftlig kontrakt eller et andet bindende retsgrundlag, som
skal fastsætte den dataansvarliges pligter og rettigheder, her-
under at den dataansvarlige kun må handle på instruks fra
den dataansvarlige og på forskellige måder skal bistå den
dataansvarlige med at overholde reglerne om den registrere-
des rettigheder mv., jf. nærmere herom i direktivets artikel
22, stk. 3.
En databehandlers anvendelse af en anden databehandler
skal ske på baggrund af en skriftlig aftale, og i visse situatio-
ner skal databehandleren underrette den dataansvarlige om,
at der anvendes andre databehandlere, jf. nærmere herom i
direktivets artikel 22, stk. 2.
Agerer en databehandler som en dataansvarlig, dvs. fastsæt-
ter formål med og hjælpemidler til behandling, omfattes da-
tabehandleren af reglerne om de dataansvarlige, jf. artikel
22, stk. 5.
Databehandleren og enhver, der udfører arbejde for den da-
taansvarlige eller databehandleren, og som har adgang til
personoplysninger, må kun behandle disse oplysninger efter
instruks fra den dataansvarlige, medmindre det kræves i
henhold til EU-retten eller medlemsstaternes nationale ret,
jf. direktivets artikel 23.
38
2.5.2.3. Direktivets artikel 24 indeholder regler om forteg-
nelser over behandlingsaktiviteter.
Den dataansvarlige skal føre fortegnelser over alle kategori-
er af behandlingsaktiviteter under deres ansvar. Direktivet
indeholder en liste over de oplysninger, som fortegnelserne
skal indeholde, herunder navn på og kontaktoplysninger for
den dataansvarlige og, hvis det er relevant, den fælles data-
ansvarlige og databeskyttelsesrådgiveren, formålene med
behandlingen, og en angivelse af retsgrundlaget for behand-
lingsaktiviteten, herunder overførsler, hvortil personoply-
sningerne er bestemt, jf. nærmere herom i direktivets artikel
24, stk. 1. På tilsvarende måde skal databehandlere føre for-
tegnelser, som skal indeholde en række oplysninger, som
knytter sig til databehandlerens funktion, jf. nærmere herom
i direktivets artikel 24, stk. 2.
Efter direktivets artikel 25, stk. 1, skal der som minimum
foretages logning af følgende former for behandlingsaktivi-
teter i automatiske databehandlingssystemer: indsamling,
ændring, søgning, videregivelse, herunder overførsel, sam-
køring og sletning. Logning af søgning og videregivelse skal
gøre det muligt at fastlægge begrundelsen, datoen og tids-
punktet for sådanne aktiviteter og i videst muligt omfang
identifikation af den person, som har søgt eller videregivet
personoplysninger, og identiteten på modtagerne af sådanne
personoplysninger.
Det fremgår videre af bestemmelsens stk. 2, at loggene ude-
lukkende anvendes til at kontrollere, om behandling er lov-
lig, til egenkontrol, til at sikre integriteten og sikkerheden af
personoplysningerne og i forbindelse med straffesager.
Det fremgår af bestemmelsens stk. 3, at den dataansvarlige
og databehandleren efter anmodning stiller loggene til rådig-
hed for tilsynsmyndigheden.
Det fremgår af direktivets præambelbetragtning nr. 57, at
der som minimum bør ske logning af aktiviteter i automati-
ske databehandlingssystemer såsom indsamling, ændring,
søgning, videregivelse, herunder overførsel, samkøring eller
sletning. Navnet på den person, som har søgt eller videregi-
vet personoplysninger, bør logges, og herudfra bør det være
muligt at fastlægge begrundelsen for behandlingsaktiviteter-
ne. Loggene bør udelukkende anvendes til at kontrollere, om
databehandlingen er lovlig, til egenkontrol, til at sikre data-
integriteten og datasikkerheden og i forbindelse med straffe-
sager. Egenkontrol omfatter også kompetente myndigheders
interne disciplinærsager.
Direktivets artikel 63, stk. 2 og 3, indeholder særlige regler
om anvendelsestidspunktet for direktivets artikel 25 om log-
ning. Det fremgår således af artikel 63, stk. 2, at medlems-
staterne i ekstraordinære tilfælde, og hvis det er uforholds-
mæssigt vanskeligt, kan fastsætte bestemmelser om, at auto-
matiske behandlingssystemer, der er indført før den 6. maj
2016, skal bringes i overensstemmelse med artikel 25, stk.
1, senest den 6. maj 2023.
Det fremgår videre af bestemmelsens stk. 3, at en medlems-
stat under ekstraordinære omstændigheder kan bringe et
automatisk behandlingssystem som omhandlet i stk. 2 i
overensstemmelse med artikel 25, stk. 1, inden for en nær-
mere angivet periode efter den 6. maj 2023, hvis det i mod-
sat fald ville forårsage alvorlige vanskeligheder for driften
af det pågældende automatiske behandlingssystem. Med-
lemsstaten meddeler Kommissionen årsagerne til disse al-
vorlige vanskeligheder og årsagerne til den angivne periode,
inden for hvilken den bringer det pågældende automatiske
behandlingssystem i overensstemmelse med artikel 25, stk.
1. Den angivne periode må under ingen omstændigheder
være senere end den 6. maj 2026.
Fortegnelserne, som skal foreligge skriftligt, herunder elek-
tronisk, og loggene skal stilles til rådighed for tilsynsmyn-
digheden, jf. artikel 24, stk. 2, og artikel 25, stk. 3, ligesom
den dataansvarlige og databehandleren i øvrigt skal samar-
bejde med tilsynsmyndigheden, jf. artikel 26.
2.5.2.4. Direktivets artikel 27 og 28 indeholder regler om
henholdsvis konsekvensanalyser og forudgående høring af
tilsynsmyndigheden.
Hvis en type behandling, navnlig ved brug af nye teknologi-
er og i medfør af sin karakter, omfang, sammenhæng og for-
mål, sandsynligvis vil indebære en høj risiko for fysiske per-
soners rettigheder og frihedsrettigheder, skal den dataan-
svarlige forud for behandlingen foretage en analyse af de
påtænkte behandlingsaktiviteters konsekvenser for beskyt-
telse af personoplysninger, jf. direktivets artikel 27, stk. 1.
Analysen skal mindst omfatte en generel beskrivelse af de
planlagte behandlingsaktiviteter, en vurdering af risiciene
for de registreredes rettigheder og frihedsrettigheder de for-
anstaltninger, der påtænkes for at imødegå disse risici, ga-
rantier, sikkerhedsforanstaltninger og mekanismer, som kan
sikre beskyttelse af personoplysninger og påvise overholdel-
se af dette direktiv, under hensyntagen til de registreredes og
andre berørte personers rettigheder og legitime interesser, jf.
bestemmelsens stk. 2.
Det fremgår af direktivets præambelbetragtning nr. 58, at
konsekvensanalyser bør omfatte behandlingsaktiviteters re-
levante systemer og processer, men ikke enkeltsager.
Efter direktivets artikel 28 skal den dataansvarlige eller da-
tabehandleren høre tilsynsmyndigheden inden behandling af
personoplysninger, der vil indgå som en del af et nyt regi-
ster, der skal oprettes, såfremt en konsekvensanalyse vedrø-
39
rende databeskyttelse, jf. artikel 27, viser, at behandlingen
vil føre til en høj risiko i mangel af foranstaltninger truffet
af den dataansvarlige for at begrænse risikoen, eller den type
behandling, navnlig ved brug af nye teknologier, mekanis-
mer eller procedurer, indebærer en høj risiko for de registre-
redes rettigheder og frihedsrettigheder. Tilsynsmyndigheden
skal kunne fastsætte en liste over de behandlingsaktiviteter,
hvor der skal ske forudgående høring, jf. bestemmelsens stk.
3.
Den dataansvarlige skal i forbindelse med høringen stille
konsekvensanalysen og efter anmodning andre nødvendige
oplysninger til rådighed for tilsynsmyndigheden, jf. artikel
28, stk. 4.
Hvis tilsynsmyndigheden finder, at den planlagte behand-
ling overtræder de bestemmelser, der vedtages i henhold til
direktivet, navnlig hvis den dataansvarlige ikke tilstrække-
ligt har identificeret eller begrænset risikoen, skal tilsyns-
myndigheden inden for en periode på op til seks uger efter
modtagelsen af anmodningen om høring give den dataan-
svarlige og, hvor det er relevant, databehandleren skriftlig
rådgivning og kan i den forbindelse anvende enhver af sine
beføjelser. 6-ugers perioden kan forlænges med en måned
under hensyntagen til den påtænkte behandlings kompleksi-
tet. Tilsynsmyndigheden giver underretning om og begrun-
der enhver sådan forlængelse senest en måned efter modta-
gelse af anmodningen om høring, jf. direktivets artikel 28,
stk. 5.
Det fremgår af direktivets præambelbetragtning nr. 96, at
hvis en behandling overholder den EU-ret, der er gældende
inden datoen for direktivets ikrafttræden, bør kravene i dette
direktiv om forudgående høring af tilsynsmyndigheden ikke
finde anvendelse på de behandlingsaktiviteter, der allerede
var iværksat på denne dato, idet disse krav i sagens natur
skal opfyldes forud for behandlingen.
Direktivets artikel 28, stk. 2, indeholder herudover en regel
om høring af tilsynsmyndigheden ved udarbejdelse af lov-
forslag og lignende, jf. nærmere om tilsynsmyndigheden i
pkt. 2.9.2 nedenfor.
Endelig indeholder direktivets artikel 48 et krav om, at kom-
petente myndigheder skal indføre effektive mekanismer,
som tilskynder til fortrolig indberetning af overtrædelser af
direktivet.
2.5.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
Der er ikke i gældende ret en eksplicit og overordnet be-
stemmelse om den dataansvarliges ansvar. I stedet følger
den dataansvarliges ansvar implicit af, at den dataansvarlige
har retten til at disponere og bestemme over de pågældende
personoplysninger og derfor også er ansvarlig for overhol-
delse af databeskyttelsesretten ved behandling af persono-
plysninger. Dette følger endvidere implicit af de krav og for-
pligtelser, som den dataansvarlige er underlagt efter gælden-
de ret.
2.5.3.1. Direktivets artikel 19 indeholder krav om, at den da-
taansvarlige skal gennemføre passende tekniske og organi-
satoriske foranstaltninger for at sikre og for at være i stand
til at påvise, at behandling er i overensstemmelse med direk-
tivet. Der kan være tale om foranstaltninger, som er designet
til eller gennem standardindstillinger opfylder disse krav, jf.
direktivets artikel 20.
Retshåndhævelsesdirektivet indeholder således i princippet
en nyskabelse på dette punkt, idet de tekniske og organisato-
riske foranstaltninger, som de dataansvarlige i dag er for-
pligtede til at træffe, er knyttet til spørgsmålet om behand-
lingssikkerheden.
De gældende regler om behandlingssikkerhed må imidlertid
i vidt omfang anses for at dække den forpligtelse, som føl-
ger af direktivets artikel 19, idet direktivet dog indeholder
en særskilt forpligtelse til, at de trufne foranstaltninger skal
gøre den dataansvarlige i stand til at påvise, at direktivet
overholdes.
Persondataloven indeholder ikke bestemmelser, som speci-
fikt kræver databeskyttelse gennem design eller databeskyt-
telse gennem standardindstillinger.
Persondatalovens § 41, stk. 3, forpligter imidlertid den data-
ansvarlige og databehandleren til at beskytte mod, at oplys-
ninger hændeligt eller ulovligt tilintetgøres, fortabes eller
forringes samt mod, at de kommer til uvedkommendes
kendskab, misbruges eller i øvrigt behandles i strid med per-
sondataloven.
Persondataloven fastsætter ingen nærmere tidsmæssig ram-
me for, hvornår foranstaltningerne skal være truffet. Foran-
staltningerne vil imidlertid skulle forberedes eller imple-
menteres forud for, at behandlingen påbegyndes. Datatilsy-
nets praksis indeholder eksempler på, at persondatalovens
behandlingsbetingelser og sikkerhedskrav skal iagttages ved
indretningen af digitale løsninger.
Direktivets krav om databeskyttelse gennem design eller da-
tabeskyttelse gennem standardindstillinger må på den bag-
grund helt overordnet anses for at være en videreførelse af
gældende ret.
Det bemærkes i den forbindelse, at kravet om databeskyttel-
se gennem design og standardindstillinger efter Justitsmini-
40
steriets opfattelse ikke stiller krav om, at eksisterende syste-
mer skal redesignes. Kravene er således alene relevante i
forhold til udvikling og design af fremtidige systemer samt i
forhold til væsentlige ændringer i behandlingen af oplysnin-
ger i eksisterende systemer.
For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er
sket en korrekt implementering af direktivet, foreslås det, at
der i overensstemmelse med direktivets artikel 19 fastsættes
et eksplicit krav om, at den dataansvarlige skal gennemføre
de fornødne tekniske og organisatoriske foranstaltninger, og
at dette kan ske gennem databeskyttelse gennem design eller
standardindstillinger.
Der henvises i øvrigt til lovforslagets § 20 og bemærknin-
gerne hertil.
2.5.3.2. Direktivets artikel 21 giver mulighed for, at flere da-
taansvarlige kan være fælles dataansvarlige.
Der er som nævnt ovenfor i pkt. 2.5.1.4 allerede i dag mu-
lighed for, at flere dataansvarlige kan have et fælles dataan-
svar. Direktivets krav må derfor anses for at være en videre-
førelse af gældende ret.
Det foreslås på den baggrund, at der fastsættes en regel,
hvorefter der i overensstemmelse med direktivets artikel 21
kan være fælles dataansvarlige.
Det bemærkes i den forbindelse, at kravet om, at de fælles
dataansvarlige skal udpege et kontaktpunkt, kan opfyldes
ved at udpege den eller de dataansvarliges databeskyttelses-
rådgiver som kontaktpunkt.
Der henvises i øvrigt til lovforslagets § 21 og bemærknin-
gerne hertil.
2.5.3.3. Direktivets artikel 22 indeholder regler om databe-
handleren og om kravene til det retlige forhold mellem den
dataansvarlige og databehandleren.
Der stilles efter gældende ret de samme krav til databehand-
leren som til den dataansvarlige i forhold til de fornødne
tekniske og organisatoriske foranstaltninger, jf. nedenfor i
pkt. 2.6.1.1.
Retshåndhævelsesdirektivet indeholder imidlertid en nyska-
belse i form af flere og mere detaljerede krav til indholdet i
en databehandleraftale og dermed til databehandlerens for-
pligtelser over for den dataansvarlige end efter gældende ret.
Herudover sker der en mere detaljeret regulering af den si-
tuation, hvor en databehandler ønsker at anvende en under-
databehandler.
Det foreslås på den baggrund, at der fastsættes en regel sva-
rende til direktivets artikel 22, idet det dog præciseres, at en
databehandler senest 14 dage forud for, at der sker overla-
delse af behandling til en underdatabehandler i medfør af en
generel aftale med den dataansvarlige herom, skal underrette
den dataansvarlige om overladelsen. Den dataansvarlige vil i
den forbindelse kunne modsætte sig overladelsen, hvis det
anses for nødvendigt.
Det bemærkes i forhold til spørgsmålet om databehandleraf-
taler, at de kompetente myndigheder tillige vil behandle per-
sonoplysninger i sager og med formål, som falder uden for
det foreslåede anvendelsesområde for loven. Denne behand-
ling vil i stedet være omfattet af persondataloven og – fra
den 25. maj 2018 – databeskyttelsesforordningen. Dette in-
debærer, at databehandleraftaler efter omstændighederne vil
skulle overholde kravene i såvel retshåndhævelsesdirektivet
som – efter den 25. maj 2018 – databeskyttelsesforordnin-
gen.
Det er imidlertid Justitsministeriets vurdering, at de krav til
databehandlerne mv., som følger af henholdsvis retshåndhæ-
velsesdirektivet og databeskyttelsesforordningen, ikke stri-
der mod hinanden, og at en overholdelse af retshåndhævel-
sesdirektivet – som gennemført i denne lov – samtidig vil
opfylde forordningens krav.
Der henvises i øvrigt til lovforslagets § 22 og bemærknin-
gerne hertil.
2.5.3.4. Direktivets artikel 24 indeholder et krav om, at den
dataansvarlige skal føre fortegnelser over alle kategorier af
behandlingsaktiviteter.
Der følger ikke en eksplicit fortegnelsesforpligtelse efter
gældende ret.
Det følger imidlertid af reglerne om anmeldelsespligten i
persondatalovens kapitel 12, jf. pkt. 2.6.1.2, at der ved be-
handlinger, som er omfattet af disse forpligtelser, skal ske
anmeldelse til tilsynsmyndigheden, og at anmeldelsen bl.a.
skal indeholde en optegnelse over de behandlingsaktiviteter,
der påtænkes iværksat.
Der følger således for så vidt et krav om fortegnelser over
behandlingsaktiviteter i medfør af anmeldelsesforpligtelsen
efter gældende ret.
Hvis en dataansvarlig er omfattet af det gældende anmeldel-
seskrav, vil den dataansvarlige således i vidt omfang kunne
genanvende de anmeldelser, der er indsendt til Datatilsynet,
til at opfylde direktivets krav om, at der skal føres fortegnel-
ser over behandlingsaktiviteter.
41
For så vidt angår de behandlinger, der ikke er omfattet af an-
meldelsespligten efter gældende ret, vil disse nu i medfør af
artikel 24 skulle indgå i en fortegnelse, som omfatter al be-
handlingsaktivitet under den dataansvarliges ansvar. Også
databehandlere pålægges fremover et fortegnelseskrav.
Den dataansvarlige er i allerede i dag forpligtet til at udleve-
re en oversigt over alle behandlinger – inklusiv de behand-
lingsaktiviteter, der ikke er omfattet af anmeldelsespligten –
til enhver, der anmoder herom, jf. persondatalovens § 54,
stk. 2. Dermed er den dataansvarlige i et vist omfang allere-
de omfattet af krav, der svarer til direktivets.
Der er derfor i praksis alene tale om en begrænset udvidelse
af pligten til fortegnelse i artikel 24 i forhold til gældende
ret for den dataansvarlige.
For databehandleren udvides pligten til fortegnelse i artikel
24 i forhold til gældende ret, idet alle behandlingsaktiviteter
skal indgå i de elektroniske og skriftlige fortegnelser hos da-
tabehandleren.
Det foreslås på den baggrund, at der fastsættes en regel sva-
rende til direktivets artikel 24.
Der henvises i øvrigt til lovforslagets § 23 og bemærknin-
gerne hertil.
2.5.3.4. Direktivets artikel 25 indeholder et krav om logning
af en række forskellige behandlingsaktiviteter. Allerede som
følge af, at direktivets logningskrav ikke er begrænset til
fortrolige oplysninger, er der tale om en udvidelse af den
gældende forpligtelse i sikkerhedsbekendtgørelserne til at
foretage logning. Det nærmere omfang af direktivets for-
pligtelse til at foretage logning giver imidlertid anledning til
tvivl, herunder i forhold til spørgsmålet om, i hvilket om-
fang det i øvrigt vil være muligt at opretholde den gældende
ordning for logning i sikkerhedsbekendtgørelserne.
2.5.3.4.1. Sikkerhedsbekendtgørelsen og sikkerhedsbekendt-
gørelsen for domstolene indeholder som nævnt ovenfor i
pkt. 2.5.1.2 krav om, at der skal ske logning af behandling af
fortrolige oplysninger.
Direktivets logningskrav kan imidlertid ikke isoleres til ale-
ne at angå fortrolige oplysninger. Der er således på dette
punkt tale om en udvidelse af logningspligten. Udvidelsen
skaber behov for at ændre i – i hvert fald visse af – de auto-
matiske databehandlingssystemer, som anvendes af de kom-
petente myndigheder i dag, og som alene er tilpasset kravet
om logning i overensstemmelse med sikkerhedsbekendtgø-
relsens regler, herunder alene af fortrolige oplysninger. I
overensstemmelse med direktivets artikel 63, stk. 2, foreslås
det derfor, at tidspunktet for, hvornår logningskravet skal
være opfyldt, for så vidt angår automatiske databehandlings-
systemer, der er indført før den 6. maj 2016, udskydes, jf.
nærmere herom nedenfor.
2.5.3.4.2. Som nævnt ovenfor giver det nærmere omfang af
direktivets logningsforpligtelse anledning til tvivl, herunder
i forhold til spørgsmålet om sammenhængen mellem hen-
holdsvis direktivets og sikkerhedsbekendtgørelsernes log-
ningskrav.
Det fremgår af artikel 25, stk. 1, 1. pkt., at der skal foretages
logning af behandlingsaktiviteterne indsamling, ændring,
søgning, videregivelse, herunder overførsel, samkøring og
sletning.
Det fremgår videre af direktivets artikel 25, stk. 1, 2. pkt., at
logning af alene behandlingsaktiviteterne søgning og videre-
givelse skal gøre det muligt at fastlægge begrundelsen, da-
toen og tidspunktet for sådanne aktiviteter og i videst muligt
omfang identifikation af den person, som har søgt eller vide-
regivet personoplysningerne, og identiteten på modtagerne
af sådanne oplysninger.
For så vidt angår de øvrige behandlingsaktiviteter, der er
omfattet af logningskravet efter artikel 25, stk. 1, 1. pkt.,
dvs. indsamling, ændring, samkøring og sletning, indeholder
bestemmelsen ikke nærmere krav til logningen, og med-
lemsstaterne må således formentlig antages at have en høje-
re grad af valgfrihed i forhold til, hvordan logningskravet
skal udformes for så vidt angår disse behandlingsaktiviteter.
2.5.3.4.3. Som nævnt ovenfor fører udvidelsen af lognings-
forpligtelsen til, at der er behov for at ændre i – i hvert fald
visse af – de automatiske databehandlingssystemer, som an-
vendes af de retshåndhævende myndigheder i dag, og som
alene er tilpasset kravet om logning i overensstemmelse med
sikkerhedsbekendtgørelsens regler, herunder alene af fortro-
lige oplysninger. Der er allerede af den grund ikke teknisk
mulighed for generelt at bringe samtlige af de kompetente
myndigheders automatiske databehandlingssystemer i over-
ensstemmelse med direktivets logningskrav den 1. maj
2017.
Det kan – afhængig af en nærmere afklaring af logningskra-
vets rækkevidde – ikke udelukkes, at visse af de automatiske
databehandlingssystemer, som anvendes af de kompetente
myndigheder i dag, og som er indført før den 6. maj 2016,
vil kunne opfylde direktivets logningskrav inden for relativt
kort tid. For andre systemers vedkommende vil en overhol-
delse af kravet imidlertid formentlig forudsætte mere omfat-
tende ændringer.
42
I overensstemmelse med direktivets artikel 63, stk. 2, fore-
slås det derfor, at justitsministeren får bemyndigelse til at
fastsætte nærmere regler om, hvilke automatiske databe-
handlingssystemer, der er indført før den 6. maj 2016, som
logningskravet skal finde anvendelse på.
Denne ordning giver mulighed for, at der sammen med de
kompetente myndigheder kan ske en nærmere afklaring af
rækkevidden af logningsforpligtelsen, inden der tages initia-
tiv til at ændre de kompetente myndigheders automatiske
databehandlingssystemer.
Det sikres endvidere herved, at der vil kunne ske en løbende
indfasning af forpligtelsen, eventuelt i forbindelse med at
der sker udskiftning af eksisterende automatiske behand-
lingssystemer.
Logningskravet vil dog skulle finde anvendelse for alle rele-
vante automatiske databehandlingssystemer senest den 6.
maj 2023, eller, hvis det måtte vise sig, at direktivets log-
ningskrav medfører alvorlige vanskeligheder for driften af
de kompetente myndigheders automatiske behandlingssyste-
mer, senest den 6. maj 2026.
Der henvises i øvrigt til lovforslagets § 24 og bemærknin-
gerne hertil.
2.5.3.5. Direktivets artikler 27 og 28 indeholder regler om
konsekvensanalyser og forudgående høring af tilsynsmyn-
digheden.
Direktivet indeholder en nyskabelse på dette punkt, idet der
efter gældende ret ikke findes sådanne krav.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikler 27 og 28 fastsættes regler om konse-
kvensanalyser og forudgående høring af tilsynsmyndighe-
den.
Det bemærkes i den forbindelse, at kravet om konsekvens-
analyser og forudgående høring finder anvendelse på hen-
holdsvis behandling, der foretages, og registre, der oprettes,
den 1. maj 2017 eller senere, dvs. efter det foreslåede ikraft-
trædelsestidspunkt, jf. også den foreslåede § 53 og bemærk-
ninger hertil.
Ordningen vil således erstatte det gældende system med an-
meldelser af behandlinger, der foretages for den offentlige
forvaltning, til tilsynsmyndigheden, jf. pkt. 2.6.1.2 nedenfor.
Der henvises i øvrigt til lovforslagets §§ 25 og 26 og be-
mærkningerne hertil.
2.6. Personoplysningssikkerhed
2.6.1. Gældende ret
2.6.1.1. Persondataloven indeholder i kapitel 11 (§§ 41-42)
regler om den fysiske behandlingssikkerhed.
Det fremgår således af lovens § 41, stk. 1, at personer, virk-
somheder mv., der udfører arbejde under den dataansvarlige
eller databehandleren, og som får adgang til oplysninger,
kun må behandle disse efter instruks fra den dataansvarlige,
medmindre andet følger af lov eller bestemmelser fastsat i
henhold til lov.
Efter § 41, stk. 3, skal den dataansvarlige træffe de fornødne
tekniske og organisatoriske sikkerhedsforanstaltninger mod,
at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller forringes, samt mod, at de kommer til uvedkommendes
kendskab, misbruges eller i øvrigt behandles i strid med lo-
ven. Tilsvarende gælder for databehandlere.
Efter persondatalovens § 41, stk. 4, skal der for oplysninger,
der behandles for den offentlige forvaltning, og som er af
særlig interesse for fremmede magter, træffes foranstaltnin-
ger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde
af krig eller lignende forhold (krigsreglen).
Persondatalovens § 41, stk. 5, bemyndiger justitsministeren
til at fastsætte nærmere regler om de i stk. 3 anførte sikker-
hedsforanstaltninger. Justitsministeren har med hjemmel i
bestemmelsen udstedt sikkerhedsbekendtgørelsen og sikker-
hedsbekendtgørelsen for domstolene.
Det fremgår af bekendtgørelsernes § 5, at den dataansvarlige
myndighed skal fastsætte nærmere interne bestemmelser om
sikkerhedsforanstaltninger i myndigheden til uddybning af
de regler, der fremgår af bekendtgørelsen. Bestemmelserne
skal navnlig omfatte organisatoriske forhold og fysisk sik-
ring, herunder sikkerhedsorganisation, administration af ad-
gangskontrolordninger og autorisationsordninger samt kon-
trol med autorisationer. Der skal endvidere fastsættes in-
strukser, som fastlægger ansvaret for og beskriver behand-
ling og destruktion af ind- og uddatamateriale samt anven-
delse af edb-udstyr. Desuden skal der fastsættes retningslin-
jer for myndighedens tilsyn med overholdelsen af de sikker-
hedsforanstaltninger, der er fastsat for myndigheden.
De interne bestemmelser skal gennemgås mindst én gang
hvert år med henblik på at sikre, at de er fyldestgørende og
afspejler de faktiske forhold i myndigheden, jf. bestemmel-
sernes stk. 2.
43
Bekendtgørelserne indeholder herudover nærmere regler om
bl.a. instruktion over for medarbejdere, der behandler perso-
noplysninger, samt om autorisation og adgangskontrol.
Når en dataansvarlig overlader en behandling af oplysninger
til en databehandler, skal den dataansvarlige sikre sig, at da-
tabehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske
og organisatoriske sikkerhedsforanstaltninger, og påse, at
dette sker, jf. persondatalovens § 42, stk. 1.
Gennemførelse af en behandling ved en databehandler skal
ske i henhold til en skriftlig aftale parterne imellem. Det
skal fremgå af aftalen, at databehandleren alene handler ef-
ter instruks fra den dataansvarlige, og at reglerne i § 41, stk.
3-5, ligeledes gælder for behandlingen ved databehandleren,
jf. § 42, stk. 2.
2.6.1.2. Persondatalovens kapitel 12 (§§ 43-47) indeholder
regler om anmeldelse af behandlinger, der foretages for den
offentlige forvaltning, til Datatilsynet.
Det fremgår således af lovens § 43, jf. § 44, at der skal ske
anmeldelse til Datatilsynet forinden iværksættelse af be-
handling af fortrolige oplysninger. Anmeldelsen skal inde-
holde en række nærmere angivne oplysninger, herunder om
behandlingens formål, en generel beskrivelse af behandlin-
gen, kategorierne af registrerede og foranstaltninger, der
iværksættes af hensyn til behandlingssikkerheden og oplys-
ninger om tidspunktet for sletning af oplysningerne.
I visse situationer skal der tillige indhentes en udtalelse fra
Datatilsynet, jf. lovens § 45. Der er tale om bl.a. behandlin-
ger, som omfatter følsomme oplysninger eller oplysninger
om rent private forhold, og behandlinger, som udelukkende
finder sted i videnskabeligt eller statistisk øjemed.
Persondatalovens § 54 indeholder regler om, at Datatilsynet
skal føre en fortegnelse over de modtagne anmeldelser, og at
denne fortegnelse skal indeholde de samme oplysninger som
anmeldelsen. Den dataansvarlige skal stille disse oplysnin-
ger til rådighed for enhver, der anmoder herom, jf. bestem-
melsens stk. 2.
2.6.1.3. Persondataloven indeholder ikke regler, hvorefter
dataansvarlige, der har sikkerhedsbrud i forbindelse med be-
handling af personoplysninger, har pligt til at underrette til-
synsmyndigheden herom.
Som nævnt oven for i pkt. 2.3.1.1 indeholder persondatalo-
vens § 5, stk. 1, imidlertid et krav om, at oplysninger skal
behandles i overensstemmelse med god databehandlings-
skik.
God databehandlingsskik anses efter praksis fra Datatilsynet
for bl.a. at omfatte krav til den dataansvarlige om at foretage
underretning af berørte personer ved brud på datasikkerhe-
den, når personoplysninger er kommet til uvedkommendes
kendskab eller har været i risiko herfor. Ved vurderingen af
spørgsmålet om underretning må den dataansvarlige bl.a.
tage oplysningernes karakter og de mulige konsekvenser for
de berørte i betragtning. Ved utilsigtet offentliggørelse af
personoplysninger på en hjemmeside på internettet skal de
dataansvarlige således bl.a. foretage underretning af de be-
rørte personer.
Der gælder efter Datatilsynets praksis vedrørende god data-
behandlingsskik ikke et krav om underretning af tilsynet i
tilfælde af sikkerhedsbrud.
2.6.2. Retshåndhævelsesdirektivet
2.6.2.1. Direktivets artikel 29 fastsætter detaljerede krav til
sikkerheden i forbindelse med behandlingen af personoplys-
ninger.
Efter bestemmelsen forpligtes den dataansvarlige og databe-
handleren til under hensyntagen til det aktuelle tekniske ni-
veau, implementeringsomkostningerne og behandlingens
karakter, omfang, sammenhæng og formål samt risiciene af
varierende sandsynlighed og alvor for fysiske personers ret-
tigheder og frihedsrettigheder til at gennemføre passende
tekniske og organisatoriske foranstaltninger for at sikre et
sikkerhedsniveau, der passer til disse risici, navnlig for så
vidt angår behandlingen af de særlige kategorier af persono-
plysninger, der er omhandlet i artikel 10.
For så vidt angår automatisk behandling, opstilles en række
specifikke sikkerhedskrav i bestemmelsen, herunder krav
vedrørende kontrol med fysisk adgang til udstyret, kontrol
med datamedier og opbevaring, jf. herved nærmere direkti-
vets artikel 29, stk. 2.
2.6.2.2. Direktivets artikler 30 og 31 indeholder regler om,
at den dataansvarlige skal foretage henholdsvis anmeldelse
til tilsynsmyndigheden og underretning af den registrerede
om brud på datasikkerheden.
Ved brud på persondatasikkerheden skal den dataansvarlige
uden unødig forsinkelse og om muligt senest 72 timer, efter
at denne er blevet bekendt med det, anmelde bruddet på per-
sondatasikkerheden til tilsynsmyndigheden, medmindre at
det er usandsynligt, at bruddet på persondatasikkerheden in-
debærer en risiko for fysiske personers rettigheder og fri-
hedsrettigheder. Foretages anmeldelsen til tilsynsmyndighe-
den ikke inden for 72 timer, ledsages den af en begrundelse
for forsinkelsen, jf. artikel 30, stk. 1. Databehandleren skal
44
uden unødig forsinkelse underrette den dataansvarlige om
brud på persondatasikkerheden, jf. bestemmelsens stk. 2.
Anmeldelsen skal som minimum indeholde en række nær-
mere angivne oplysninger, herunder om karakteren af brud-
det og eventuelle foranstaltninger, som den dataansvarlige
har truffet, jf. herved nærmere artikel 30, stk. 2. Hvis brud-
det angår oplysninger, der er transmitteret af eller til en da-
taansvarlig i en anden medlemsstat, skal oplysningerne tilli-
ge gives til denne, jf. bestemmelsens stk. 6. Når det ikke er
muligt at forelægge alle oplysningerne samlet, kan der ske
trinvis forelæggelse, jf. artikel 30, stk. 4.
Direktivets artikel 30, stk. 5, indeholder krav om, at den da-
taansvarlige skal dokumentere brud på datasikkerheden.
Når et brud på persondatasikkerheden sandsynligvis vil in-
debære en høj risiko for fysiske personers rettigheder og fri-
hedsrettigheder, skal den dataansvarlige uden unødig forsin-
kelse underrette den registrerede om bruddet på persondata-
sikkerheden og i den forbindelse give den registrerede en
række nærmere angivne oplysninger, herunder om karakte-
ren af bruddet, jf. direktivets artikel 31, stk. 1 og 2.
Det fremgår af direktivets præambelbetragtning nr. 62, at
underretninger til registrerede bør gives, så snart det med ri-
melighed er muligt, i tæt samarbejde med tilsynsmyndighe-
den og i overensstemmelse med retningslinjer, der er ud-
stukket af denne eller andre relevante myndigheder. Eksem-
pelvis kræver behovet for at begrænse en umiddelbar risiko
for skade omgående underretning af de registrerede, mens
behovet for at gennemføre passende foranstaltninger mod
fortsatte eller lignende brud på persondatasikkerheden kan
begrunde en længere frist for underretningen.
Efter artikel 31, stk. 3, kan underretning af den registrerede i
visse tilfælde undlades. Det gælder, når den dataansvarlige
har gennemført passende tekniske og organisatoriske be-
skyttelsesforanstaltninger, og disse foranstaltninger er blevet
anvendt på de personoplysninger, som er berørt af bruddet
på persondatasikkerheden, navnlig foranstaltninger, der gør
personoplysningerne uforståelige for enhver, der ikke har
autoriseret adgang hertil, som f.eks. kryptering.
Der skal heller ikke gives underretning, hvis den dataansvar-
lige har truffet efterfølgende foranstaltninger, der sikrer, at
den høje risiko for de registreredes rettigheder og frihedsret-
tigheder som omhandlet i stk. 1 sandsynligvis ikke længere
er reel, eller hvis det vil kræve en uforholdsmæssig indsats. I
sidstnævnte tilfælde skal der i stedet foretages en offentlig
meddelelse eller tilsvarende foranstaltning, hvorved de regi-
strerede underrettes på en tilsvarende effektiv måde. Der er
efter artikel 31, stk. 5, også mulighed for at udsætte, be-
grænse eller afskære underretning af de grunde, der er nævnt
i direktivets artikel 13, stk. 3, jf. pkt. 2.4.2.1 ovenfor.
Hvis den dataansvarlige ikke allerede har underrettet den re-
gistrerede om bruddet på persondatasikkerheden, har til-
synsmyndigheden mulighed for at kræve, at den dataansvar-
lige foretager underretning, jf. herved nærmere bestemmel-
sens stk. 4.
2.6.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
2.6.3.1. Direktivets artikel 29 indeholder regler om behand-
lingssikkerhed. Bestemmelsens stk. 1 indeholder det gene-
relle princip om, at de fornødne tekniske og organisatoriske
foranstaltninger skal fastsættes ud fra en risikobaseret til-
gang, mens bestemmelsens stk. 2 indeholder en detaljeret li-
ste over de konkrete sikkerhedsspørgsmål, som foranstalt-
ningerne skal håndtere, når der er tale om automatisk be-
handling.
Persondatalovens § 41, stk. 3, og de bekendtgørelser, som er
udstedt i medfør af lovens § 41, stk. 5, fastsætter som nævnt
oven for i pkt. 2.6.1.1 en række krav til behandlingssikker-
heden, som i vidt omfang er sammenfaldende med retshånd-
hævelsesdirektivets krav.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivet fastsættes en regel, som indeholder de nær-
mere krav til behandlingssikkerheden. Der foreslås endvide-
re indsat en bemyndigelse til justitsministeren til at fastsætte
nærmere regler om disse sikkerhedsforanstaltninger, hvilket
vil være en videreførelse af persondatalovens § 41, stk. 5.
Det foreslås endvidere, at den såkaldte krigsregel viderefø-
res med visse modifikationer, jf. nedenfor, hvilket indebærer
visse begrænsninger i forhold til anvendelsen af databehand-
lere fra andre lande, idet en sikring af, at der kan ske bort-
skaffelse eller tilintetgørelse af oplysningerne i visse auto-
matiske databehandlingssystemer i udgangspunktet forud-
sætter, at systemerne føres i Danmark. Justitsministeren har
tidligere i forbindelse med en besvarelse af spørgsmålene nr.
25, 27, 64 og 69 af 5. januar 1999 fra Folketingets Retsud-
valg til lovforslag nr. L 44 af 8. oktober 1998 om behand-
ling af personoplysninger (Folketingstidende 1998-99, tillæg
A, s. 943) tilkendegivet, at den gældende krigsregel i per-
sondatalovens § 41, stk. 4, bl.a. indebærer, at Det Centrale
Kriminalregister ikke må føres i udlandet.
Spørgsmålet om, hvem der som databehandler kan opbevare
oplysninger for en kompetent dansk myndighed, er ikke
nærmere reguleret af retshåndhævelsesdirektivet. Et krav
om, at et register skal føres i Danmark, kan imidlertid give
anledning til at overveje forholdet til EU-rettens almindelige
regler om fri bevægelighed, hvor udgangspunktet er, at der
ikke må ske forskelsbehandling af databehandlere fra andre
medlemsstater.
45
Det er imidlertid Justitsministeriets vurdering, at kravet i
krigsreglen på berettiget vis varetager hensynet til statens
sikkerhed, og at kravet derfor under alle omstændigheder er
i overensstemmelse med EU-retten, jf. TEUF artikel 52, jf.
artikel 65. Hertil kommer, at det følger af retshåndhævelses-
direktivets artikel 2, stk. 3, litra a, at direktivet ikke omfatter
behandlinger, som vedrører statens sikkerhed.
I takt med samfundets generelle digitalisering behandler
navnlig politiet stadigt stigende mængder oplysninger som
led i opgavevaretagelsen. Samtidig indebærer bl.a. hensynet
til forsvarerens adgang til at gøre sig bekendt med det mate-
riale, som politiet har indsamlet til brug for en konkret straf-
fesag, at politiet har et stigende behov for at opbevare større
mængder oplysninger, herunder personoplysninger. Dette
aktualiserer et generelt behov for, at de kompetente myndig-
heder, i større omfang end det i dag er tilfældet under den
gældende regulering, har adgang til at udnytte fleksible – og
sikre – opbevaringsalternativer til den klassiske opbevaring
på politiets egne servere.
På den baggrund er der i lovforslaget fundet anledning til at
tilpasse den gældende krigsregel, så der i konkrete tilfælde
og på baggrund af en nærmere risikovurdering kan gives ad-
gang til, at oplysninger omfattet af krigsreglens anvendel-
sesområde ikke skal underlægges de i krigsreglen nævnte
foranstaltninger, dvs. i praksis en adgang til at opbevare så-
danne oplysninger uden for dansk territorium. Dog vil reg-
len ikke kunne anvendes til at tillade opbevaring uden for
EU, idet det findes, at det kun i forhold til de øvrige EU-
medlemsstater generelt kan lægges til grund, at oplysninger
behandles og beskyttes i overensstemmelse med passende
retlige krav mv.
Der henvises i øvrigt til lovforslagets § 27 og bemærknin-
gerne hertil.
2.6.3.2. Direktivets artikel 30 indeholder regler om, at den
dataansvarlige skal anmelde brud på datasikkerheden, med-
mindre det er usandsynligt, at bruddet medfører en risiko for
fysiske personers rettigheder.
Der er efter gældende ret ikke noget krav om, at tilsynsmyn-
digheden skal underrettes ved brud på datasikkerheden.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikel 30 fastsættes en regel om, at den da-
taansvarlige skal underrette tilsynsmyndigheden ved brud på
datasikkerheden.
Der henvises i øvrigt til lovforslagets § 28 og bemærknin-
gerne hertil.
2.6.3.3. Direktivets artikel 31 indeholder regler om, at den
dataansvarlige skal underrette den registrerede om brud på
datasikkerheden, som sandsynligvis vil indebære en høj risi-
ko for den registrerede.
Som nævnt ovenfor i pkt. 2.6.1.3 anses god databehand-
lingsskik efter persondatalovens § 5, stk. 1, for bl.a. at om-
fatte krav til den dataansvarlige om at foretage underretning
af berørte personer ved brud på datasikkerheden, når perso-
noplysninger er kommet til uvedkommendes kendskab eller
har været i risiko herfor.
Direktivets krav om underretning af den registrerede må
derfor i vidt omfang anses for at være en videreførelse af
gældende ret.
For at sikre, at der ikke kan opstå tvivl om, hvorvidt der er
sket korrekt implementering af direktivets artikel 31, fore-
slås det imidlertid, at der i overensstemmelse med direktivet
fastsættes en eksplicit regel om, at den dataansvarlige skal
underrette den registrerede om brud på datasikkerheden.
Der henvises i øvrigt til lovforslagets § 29 og bemærknin-
gerne hertil.
2.7. Databeskyttelsesrådgiver
2.7.1. Gældende ret
Der er efter gældende ret ikke nogen forpligtelse for den da-
taansvarlige til at udpege en databeskyttelsesrådgiver.
2.7.2. Retshåndhævelsesdirektivet
Direktivets artikel 32 indeholder regler om udpegning af en
databeskyttelsesrådgiver.
Retshåndhævende myndigheder, der ikke er uafhængige ju-
dicielle myndigheder, skal udpege en databeskyttelsesrådgi-
ver på baggrund af dennes faglige kvalifikationer, herunder
navnlig inden for databeskyttelsesret, jf. bestemmelsens stk.
1 og 2. Flere myndigheder har mulighed for at udpege en
fælles databeskyttelsesrådgiver under hensyntagen til deres
organisatoriske struktur og størrelse, jf. stk. 3. Kontaktop-
lysninger for databeskyttelsesrådgiveren skal offentliggøres
og meddeles til tilsynsmyndigheden, jf. bestemmelsens stk.
4.
Efter direktivets artikel 33 skal den dataansvarlige sikre, at
databeskyttelsesrådgiveren inddrages i alle spørgsmål om
databeskyttelse og stille de nødvendige ressourcer mv. til rå-
dighed.
46
Det fremgår af direktivets præambelbetragtning nr. 63, at
databeskyttelsesgiveren kan være en af den dataansvarliges
eksisterende medarbejdere, som har fået særlig uddannelse
inden for databeskyttelsesret og -praksis for at tilegne sig
ekspertise på dette område. Vedkommendes opgaver vil
kunne udføres på deltid eller fuldtid.
Det fremgår videre af betragtningen, at flere dataansvarlige
kan udpege en fælles databeskyttelsesansvarlig i overens-
stemmelse med deres struktur og størrelse, for eksempel i
tilfælde af fælles ressourcer i centrale enheder. Denne per-
son kan også udpeges til forskellige stillinger i de berørte
dataansvarliges struktur.
Det fremgår herudover af betragtningen, at databeskyttelses-
rådgivere bør være i stand til at udøve deres opgaver på uaf-
hængig vis i henhold til medlemsstaternes nationale ret.
Direktivets artikel 34 indeholder en liste over de opgaver,
som den dataansvarlige som minimum skal overdrage til da-
tabeskyttelsesrådgiveren. Der er tale om bl.a. opgaver for-
bundet med rådgivning af ansatte, overvågning af overhol-
delsen af reglerne og samarbejde med tilsynsmyndigheden.
2.7.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
Direktivets artikel 32 indeholder regler om udpegelse af en
databeskyttelsesrådgiver.
Der følger ikke en forpligtelse til at udpege en databeskyt-
telsesrådgiver efter gældende ret.
Det foreslås på den baggrund, at der i overensstemmelse
med direktivets artikler 32-34 fastsættes regler om, at den
dataansvarlige skal udpege en databeskyttelsesrådgiver, og
om dennes opgaver.
Det bemærkes i den forbindelse, at de kompetente myndig-
heder som nævnt i pkt. 2.5.3.3 tillige vil behandle persono-
plysninger i sager og med formål, som falder uden for det
foreslåede anvendelsesområde for loven. Denne behandling
vil i stedet være omfattet af persondataloven og – fra den 25.
maj 2018 – databeskyttelsesforordningen. Dette indebærer,
at såvel retshåndhævelsesdirektivets som – efter den 25. maj
2018 – databeskyttelsesforordningens krav om udpegelse af
en databeskyttelsesrådgiver efter omstændighederne skal
være opfyldt.
Forordningens regler om databeskyttelsesrådgiveren adskil-
ler sig på visse punkter fra retshåndhævelsesdirektivets reg-
ler herom.
Det er imidlertid Justitsministeriets opfattelse, at de krav til
databeskyttelsesrådgiveren, som følger af henholdsvis rets-
håndhævelsesdirektivet og databeskyttelsesforordningen, ik-
ke strider mod hinanden.
Den person, som udpeges som databeskyttelsesrådgiver, vil
således efter retshåndhævelsesdirektivet tillige kunne vare-
tage funktionen som databeskyttelsesrådgiver i medfør af
databeskyttelsesforordningen.
Databeskyttelsesrådgiveren vil endvidere kunne fungere
som kontaktpunkt, når der er tale om fælles dataansvarlige,
jf. pkt. 2.5.3.2.
I forhold til muligheden for, at flere dataansvarlige kan ud-
pege en fælles databeskyttelsesrådgiver, vil dette også være
en mulighed på tværs af de kompetente myndigheder, så-
fremt størrelsen og de organisatoriske forhold tillader dette.
Efter Justitsministeriets opfattelse vil en fælles databeskyt-
telsesrådgiver således kunne udpeges, når flere kompetente
myndigheder har tilsvarende organisatoriske opbygninger.
Dette vil f.eks. være tilfældet i forhold til de myndigheder,
der udgør den overordnede anklagemyndighed. Henset til, at
dansk politi udgør et såkaldt enhedspoliti med en fælles le-
delse og en homogen organisationsstruktur, vil udpegningen
af en fælles databeskyttelsesrådgiver i dansk politi ligeledes
være mulig. På tilsvarende måde vil der kunne udpeges en
fælles databeskyttelsesrådgiver for samtlige byretter for så
vidt angår den behandling af personoplysninger, der foreta-
ges, når disse handler uden for deres egenskab af domstole.
I en dansk kontekst varetager de enkelte politikredse både
rollen som politi- og anklagemyndighed inden for den sam-
me organisation. Dette vil efter Justitsministeriets opfattelse
ikke være til hinder for, at den samme databeskyttelsesråd-
giver er udpeget for al den behandling af personoplysninger,
som foretages af politikredsen eller som nævnt på tværs af
dansk politi.
Der henvises i øvrigt til lovforslagets §§ 30 og 31 og be-
mærkningerne hertil.
2.8. Overførsler af personoplysninger til tredjelande mv.
2.8.1. Gældende ret
2.8.1.1. Persondatalovens § 27 indeholder regler om over-
førsel af personoplysninger til tredjelande.
Det fremgår af stk. 1, at der kun må overføres oplysninger
til et tredjeland, hvis dette land sikrer et tilstrækkeligt be-
skyttelsesniveau. Derudover kan der overføres oplysninger
47
til et tredjeland, hvis en af de i stk. 3, nr. 1-8, nævnte betin-
gelser er opfyldt.
Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er
nødvendig af hensyn til forebyggelse, efterforskning og for-
følgning af strafbare forhold samt straffuldbyrdelse og be-
skyttelse af sigtede, vidner eller andre i sager om strafferet-
lig forfølgning eller overførsel er nødvendig af hensyn til
den offentlige sikkerhed, rigets forsvar eller statens sikker-
hed.
Der kan endvidere ske overførsel, hvis tilsynsmyndigheden
har givet særlig tilladelse hertil eller på baggrund af kon-
trakter, der er i overensstemmelse med standardkontraktbe-
stemmelser, som er godkendt af Europa-Kommissionen, jf.
stk. 4 og 5.
Herudover skal persondatalovens almindelige behandlings-
regler mv. være opfyldt ved overførsel af oplysninger til
tredjelande efter stk. 1 og 3-5, jf. stk. 6.
2.8.1.2. Rammeafgørelsesbekendtgørelsens §§ 4-6 indehol-
der særlige regler om overførsel til tredjelande eller interna-
tionale organer af personoplysninger, som er modtaget fra
eller stillet til rådighed af en anden medlemsstat.
Det fremgår af § 4, stk. 1, at videregivelse kun må ske, hvis
det er nødvendigt for forebyggelse, efterforskning, afsløring
eller retsforfølgning af straffelovsovertrædelser eller fuld-
byrdelse af strafferetlige sanktioner, og den modtagende
myndighed i tredjelandet eller det modtagende internationa-
le organ har ansvaret for at forebygge, efterforske, afsløre
eller retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner.
Det kræves endvidere, at den videregivende myndighed i
den medlemsstat, som har sendt eller stillet oplysninger til
rådighed, har givet sin godkendelse til at videregive disse i
henhold til sin nationale lovgivning, og at det pågældende
tredjeland eller internationale organ sikrer et tilstrækkeligt
beskyttelsesniveau for den påtænkte behandling af oplysnin-
gerne.
Der kan dog efter stk. 2 ske videregivelse uden forhånds-
godkendelse fra den videregivende myndighed i den med-
lemsstat, som har sendt eller stillet oplysninger til rådighed,
hvis videregivelsen af oplysningerne er afgørende for fore-
byggelse af en umiddelbar og alvorlig trussel mod den of-
fentlige sikkerhed i et tredjeland eller et land inden for Den
Europæiske Union eller Schengen-samarbejdet, eller videre-
givelsen af oplysningerne er afgørende for væsentlige inte-
resser for et land inden for Den Europæiske Union eller
Schengen-samarbejdet.
Det er en betingelse for videregivelsen, at forhåndsgodken-
delse ikke kan indhentes i tide, og den udenlandske myndig-
hed, der skulle have givet sin godkendelse, skal orienteres
omgående.
Der kan efter bestemmelsens stk. 3 ske videregivelse i til-
fælde, hvor det pågældende tredjeland eller internationale
organ ikke sikrer et tilstrækkeligt beskyttelsesniveau for den
påtænkte behandling af oplysningerne, hvis lovgivningen gi-
ver mulighed herfor på grund af den registreredes specifikke
legitime interesser, eller på grund af legitime vigtige interes-
ser, navnlig vigtige offentlige interesser, eller tredjelandet
eller det modtagende internationale organ giver sikkerheds-
garantier, som den videregivende myndighed anser for til-
strækkelige i henhold til sin nationale lovgivning.
2.8.2. Retshåndhævelsesdirektivet
Retshåndhævelsesdirektivets kapitel V fastlægger betingel-
serne for, hvornår de kompetente myndigheder kan videregi-
ve personoplysninger til tredjelande eller internationale or-
ganisationer.
Efter direktivets artikel 35, stk. 1, kan overførsel fra en
kompetent myndighed til et tredjeland eller til en internatio-
nal organisation, herunder også videreoverførsel til et andet
tredjeland eller international organisation, alene finde sted
ved opfyldelse af særlige betingelser. Overførslen skal være
nødvendig for at opfylde et af de formål, som er omfattet af
direktivets anvendelsesområde, og den dataansvarlige i tred-
jelandet mv. skal være en kompetent myndighed i henhold
til disse formål. Hvis personoplysningerne er videregivet el-
ler stillet til rådighed af en anden medlemsstat, skal denne
medlemsstat give forudgående tilladelse til overførslen i
henhold til dens nationale lovgivning. Oplysninger kan und-
tagelsesvis overføres uden forudgående tilladelse, hvis det er
nødvendigt for at forebygge en umiddelbar og alvorlig trus-
sel mod en medlemsstats eller et tredjelands offentlige sik-
kerhed eller mod en medlemsstats væsentlige interesser, og
den forudgående tilladelse ikke kan indhentes i tide. Den an-
svarlige myndighed for den forudgående tilladelse underret-
tes straks, jf. bestemmelsens stk. 2. Endelig skal Kommissi-
onen have truffet en afgørelse om, at tredjelandet mv. sikrer
et tilstrækkeligt beskyttelsesniveau, eller der skal være ind-
ført eller eksistere fornødne garantier, jf. direktivets artikler
36 og 37.
I de tilfælde, hvor Kommissionen ikke har truffet en afgørel-
se om, at tredjelandet mv. sikrer et tilstrækkeligt beskyttel-
sesniveau, eller der ikke er indført eller eksisterer fornødne
garantier, kan overførsel af personoplysninger til et tredje-
land mv., kun ske i en række konkrete tilfælde, herunder
hvis overførslen er nødvendig for at beskytte den registrere-
des eller en anden persons vitale interesser, eller hvis over-
førslen er nødvendig i enkeltsager med henblik på at forføl-
48
ge de formål, som er omfattet af direktivets anvendelsesom-
råde, jf. herved nærmere direktivets artikel 38.
I individuelle og konkrete sager kan medlemsstaterne endvi-
dere tillade, at der overføres personoplysninger til private i
tredjelande, hvis en række betingelser er opfyldt, herunder at
overførslen er strengt nødvendig for den overførende myn-
digheds udførelse af en opgave omfattet af direktivets an-
vendelsesområde, og at en overførsel til en kompetent myn-
dighed i det pågældende land er ineffektiv eller uhensigts-
mæssig, jf. direktivets artikel 39.
2.8.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
Direktivets kapitel V indeholder regler om overførsler af
personoplysninger til tredjelande.
Rammeafgørelsen indeholder regler om overførsel af perso-
noplysninger, som er modtaget fra andre medlemsstater.
Rammeafgørelsen regulerer imidlertid ikke spørgsmålet om
overførsel af personoplysninger, som ikke har været udvek-
slet mellem medlemsstaterne. Sådanne overførsler reguleres
derimod i dag af persondataloven.
Med retshåndhævelsesdirektivet introduceres muligheden
for at overføre personoplysninger til tredjelande mv. på bag-
grund af en tilstrækkelighedsafgørelse fra Europa-Kommis-
sionen til området for politisamarbejdet og det retlige samar-
bejde i kriminalsager.
Herudover giver retshåndhævelsesdirektivet mulighed for, at
der kan ske overførsel på baggrund af fornødne garantier.
Kravet kan opfyldes gennem et retligt bindende instrument
eller på baggrund af en konkret vurdering fra den dataan-
svarlige.
Det foreslås på den baggrund, at der fastsættes regler, hvor-
efter der kan ske overførsel af personoplysninger til tredje-
lande i overensstemmelse med direktivets kapitel V.
Det bemærkes i den forbindelse, at de kompetente myndig-
heders overførsel af personoplysninger til Europol og andre
EU-agenturer mv. ikke vil være omfattet af reglerne om
overførsel til tredjelande og internationale organisationer.
De kompetente myndigheders videregivelse af oplysninger
til Europol vil således skulle ske efter de almindelige regler,
dvs. efter de samme regler som for videregivelse af persono-
plysninger mellem de kompetente myndigheder i Danmark
eller de andre medlemsstater.
Der henvises i øvrigt til lovforslagets §§ 32-36 og bemærk-
ningerne hertil.
2.9. Tilsyn
2.9.1. Gældende ret
2.9.1.1. Det fremgår af persondatalovens § 55, at Datatilsy-
net, der består af et råd og et sekretariat, fører tilsyn med
enhver behandling, der omfattes af loven, idet tilsynet med
domstolene dog varetages af Domstolsstyrelsen for så vidt
angår behandling af oplysninger med hensyn til domstolenes
administrative forhold, jf. nærmere herom i pkt. 2.9.1.3 ne-
denfor. Datatilsynet og Domstolsstyrelsen skal samarbejde, i
det omfang det er nødvendigt for at opfylde deres pligter,
navnlig ved at udveksle alle relevante oplysninger, jf. lovens
§ 66.
Datatilsynets daglige forretninger varetages af sekretariatet,
der ledes af en direktør, og Rådet, der nedsættes af justitsmi-
nisteren, består af en formand, der er dommer, og af 6 andre
medlemmer. Der kan udnævnes stedfortrædere for medlem-
merne. Medlemmerne og stedfortræderne for disse udnæv-
nes for 4 år, jf. bestemmelsens stk. 2 og 3. Rådet fastsætter
sin forretningsorden og de nærmere regler om arbejdets for-
deling mellem råd og sekretariat, jf. stk. 4.
Det fremgår af § 8 i forretningsordenen, jf. bekendtgørelse
nr. 1178 af 15. december 2000 om forretningsordenen for
Datarådet, at rådets medlemmer har tavshedspligt med hen-
syn til, hvad de erfarer i deres egenskab af medlem af rådet,
når der er tale om oplysninger, som efter deres karakter er
fortrolige. Samme tavshedspligt påhviler medarbejdere i se-
kretariatet, der medvirker ved rådsbehandlingen.
Datatilsynet og Domstolsstyrelsen udøver deres funktioner i
fuld uafhængighed, jf. lovens § 56 og § 68, stk. 1, og deres
afgørelser kan ikke indbringes for anden administrativ myn-
dighed, jf. § 61 og § 68, stk. 1, 2. pkt.
Efter § 62 kan Datatilsynet kræve enhver oplysning, der er
af betydning for dets virksomhed, herunder til afgørelse af,
om et forhold falder ind under lovens bestemmelser. Tilsva-
rende gælder for Domstolsstyrelsen, jf. § 68, stk. 1.
Herudover har Datatilsynets medlemmer og personale til
enhver tid mod behørig legitimation uden retskendelse ad-
gang til alle lokaler, hvorfra en behandling, som foretages
for den offentlige forvaltning, administreres, eller hvorfra
der er adgang til de oplysninger, som behandles, samt til lo-
kaler, hvor oplysningerne eller tekniske hjælpemidler opbe-
vares eller anvendes, jf. § 62, stk. 2. Tilsvarende gælder for
Domstolsstyrelsen, jf. § 68, stk. 1.
Efter lovens § 57 og § 68, stk. 2, skal der ved udarbejdelse
af bekendtgørelser, cirkulærer eller lignende generelle rets-
forskrifter, der har betydning for beskyttelsen af privatlivet i
49
forbindelse med behandling af oplysninger, indhentes en ud-
talelse fra Datatilsynet eller – hvis det omhandler domstole-
nes behandling – Domstolsstyrelsen.
Efter persondatalovens § 65 afgiver Datatilsynet en årlig be-
retning til Folketinget. Domstolsstyrelsen offentliggør en år-
lig beretning om dens virksomhed, jf. lovens § 68, stk. 3.
2.9.1.2. Efter lovens § 58, stk. 1, og § 68, stk. 1, påser Data-
tilsynet og Domstolsstyrelsen af egen drift eller efter klage
fra en registreret, at behandlingen af personoplysninger fin-
der sted i overensstemmelse med loven og regler udstedt i
medfør af loven.
Lovens § 60, stk. 1, indeholder regler om, hvornår Datatilsy-
net kan træffe afgørelser over for myndigheder. Af relevans
for de myndigheder, som er omfattet af lovforslaget, er af-
gørelser om overførsler af personoplysninger til tredjelande
i medfør af lovens § 27, stk. 4, og § 58, stk. 2. Med undta-
gelse af domstolene er der endvidere tale om afgørelser ve-
drørende den registreredes indsigtsret efter § 32, stk. 1, 2 og
4, og §§ 33 og 34. For kriminalforsorgen er der tale om af-
gørelser vedrørende lovens §§ 28-31 om oplysningspligt
over for den registrerede, §§ 35 og 37 om den registreredes
adgangen til indsigelser, berigtigelse, sletning eller bloke-
ring og § 39 om automatiske individuelle afgørelser
I andre tilfælde afgiver tilsynet udtalelser over for den data-
ansvarlige myndighed, jf. § 60, stk. 2.
Lovens § 63, stk. 1, og § 68, stk. 1, bemyndiger Datatilsy-
net, henholdsvis Domstolsstyrelsen, til at bestemme, at an-
meldelser og ansøgninger om tilladelse efter loven og æn-
dringer heri kan eller skal indgives på nærmere angiven må-
de. Datatilsynet har i medfør af bestemmelsen bl.a. bestemt,
at den offentlige forvaltnings anmeldelse af behandlinger i
medfør af reglerne i lovens kapitel 12 skal ske elektronisk
via tilsynets hjemmeside.
2.9.1.3. Reglerne om tilsynet med domstolene findes i per-
sondatalovens kapitel 17.
Som nævnt ovenfor i pkt. 2.9.1.1 fører Domstolsstyrelsen
tilsyn med domstolenes behandling af personoplysninger
med hensyn til administrative forhold. Domstolsstyrelsen
har i den forbindelse en række af de samme beføjelser som
Datatilsynet.
For anden behandling af oplysninger træffes afgørelse af
vedkommende ret. Afgørelsen kan kæres til højere ret. For
særlige domstole, hvis afgørelser ikke kan indbringes for
højere ret, kan den i 1. pkt. nævnte afgørelse kæres til den
landsret, i hvis kreds retten er beliggende. Kærefristen er 4
uger fra den dag, afgørelsen er meddelt den pågældende, jf.
§ 67, stk. 3.
2.9.2. Retshåndhævelsesdirektivet
2.9.2.1. Direktivets kapitel VI indeholder regler om oprettel-
sen af tilsynsmyndigheden og om tilsynsmyndighedens sta-
tus, opgaver og beføjelser.
Det fremgår således af direktivets artikel 41, stk. 1, at en el-
ler flere tilsynsmyndigheder skal være ansvarlige for og føre
tilsyn med anvendelsen af direktivet. Den tilsynsmyndighed,
som er ansvarlig for tilsynet efter databeskyttelsesforordnin-
gen, kan tillige være tilsynsmyndighed i forhold til direkti-
vet, jf. bestemmelsens stk. 3.
Direktivets artikel 42 indeholder krav om, at tilsynsmyndig-
heden skal udføre sine opgaver og udøve sine beføjelser i
fuld uafhængighed og med de fornødne ressourcer mv. På
tilsvarende måde skal medlemmer af tilsynsmyndigheden
holde sig fri for udefrakommende indflydelse og fra virk-
somhed, som er uforenelig med hvervet, jf. bestemmelsens
stk. 2 og 3.
Direktivets artikel 43 indeholder regler om de generelle be-
tingelser for medlemmer af en tilsynsmyndighed, herunder
at medlemmer skal udnævnes på baggrund af deres faglige
kvalifikationer efter en gennemsigtig procedure af f.eks.
parlamentet eller regeringen. Bestemmelsens stk. 3 og 4 in-
deholder nærmere regler om ophør af embedsperiode og om
afskedigelse.
Direktivets artikel 44 indeholder en liste over de elementer
forbundet med oprettelsen af en tilsynsmyndighed, hvor
medlemsstaterne skal fastsætte regler. Der skal bl.a. fastsæt-
tes regler om, at embedsperioden for medlemmerne skal væ-
re på mindst fire år, og regler om, hvorvidt der kan ske gen-
udnævnelse af medlemmer. Det fremgår videre af bestem-
melsens stk. 2, at medlemmerne skal have tavshedspligt i
forhold til de oplysninger, som kommer til deres kendskab
under udøvelsen af deres opgaver.
2.9.2.2. Direktivets artikel 45 indeholder regler om tilsyns-
myndighedens kompetencer. Det fremgår af bestemmelsens
stk. 2, at tilsynsmyndigheden ikke skal have kompetence til
at føre tilsyn med domstolenes behandlingsaktiviteter, når
de handler i deres egenskab af domstol.
Direktivets artikel 46 indeholder en liste over tilsynsmyn-
dighedens opgaver, herunder at føre tilsyn, at rådgive på for-
skellige måder og behandle klager fra registrerede. Efter be-
stemmelsens stk. 2 skal tilsynsmyndigheden lette indgivelse
af klager fra registrerede mv. gennem foranstaltninger som
f.eks. en klageformular. Åbenbart grundløse eller uforholds-
50
mæssige anmodninger kan pålægges gebyr eller afvises, jf.
artikel 46, stk. 4.
Tilsynsmyndigheden skal udarbejde en årlig rapport om sin
virksomhed, som skal fremsendes til det nationale parlament
og regeringen samt gøres tilgængelig for offentligheden, jf.
artikel 49.
2.9.2.3. Direktivets artikel 47 indeholder regler om tilsyns-
myndighedens beføjelser, der som minimum skal indeholde
beføjelse til at få indsigt i alle de personoplysninger, der be-
handles, og alle oplysninger, der kræves til udførelse af
myndighedens opgaver.
Tilsynsmyndigheden skal herudover have effektive korrige-
rende beføjelser, f.eks. til at udstede advarsler, påbud eller
forbud, jf. artikel 47, stk. 2.
Efter direktivets artikel 47, stk. 5, skal tilsynsmyndigheden
have beføjelser til at indbringe overtrædelser af de bestem-
melser, der vedtages i henhold til direktivet, for de judicielle
myndigheder og om nødvendigt at indlede eller på anden
måde deltage i retssager med henblik på at håndhæve disse
bestemmelser.
Det fremgår af direktivets præambelbetragtning nr. 82, at til-
synsmyndighedernes beføjelser ikke bør gribe ind i de særli-
ge regler for straffesager, herunder efterforskning og retsfor-
følgning af strafbare handlinger, eller i retsvæsnets uafhæn-
gighed.
2.9.2.4. Tilsynsmyndighederne skal efter direktivets artikel
50 samarbejde såvel nationalt som medlemsstaterne imel-
lem. Bestemmelsens stk. 2-7 indeholder nærmere regler om
samarbejdet mellem tilsynsmyndighederne i forskellige
medlemsstater, herunder regler om, at anmodninger skal be-
svares uden unødig forsinkelse og senest en måned efter
modtagelsen, jf. stk. 2, og at en anmodning kun kan afvises,
hvis den modtagende tilsynsmyndighed ikke har kompeten-
ce til at udføre den, eller en imødekommelse ville være i
strid med direktivet eller med EU-ret eller national ret, som
den modtagende tilsynsmyndighed er underlagt.
2.9.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
Direktivets kapitel VI indeholder regler om oprettelsen af
tilsynsmyndigheden og om tilsynsmyndighedens status, op-
gaver og beføjelser. Reglerne er sammenfaldende med reg-
lerne om tilsynsmyndigheden i databeskyttelsesforordnin-
gens kapitel VI.
2.9.3.1. I forhold til Datatilsynets organisation foreslås der i
vidt omfang en videreførelse af den gældende ordning.
Det er imidlertid et krav efter direktivets artikel 44, stk. 1,
litra e, at medlemsstaterne fastsætter regler om, hvorvidt der
kan ske genudnævnelse af medlemmer af tilsynsmyndighe-
den, og i givet fald hvor mange gange, at der kan ske genud-
nævnelse.
Justitsministeriet finder, at hensynet til at sikre en vis konti-
nuitet for Datarådet, og til at sikre, at rådets medlemmer op-
når tilstrækkelig erfaring med behandling af rådets sager, ta-
ler for, at der skal være mulighed for genudnævnelse.
På den anden side vil en ubegrænset adgang til genudnæv-
nelse – såfremt en sådan ordning ville være i overensstem-
melse med direktivet – kunne skabe tvivl om medlemmets
uafhængighed, idet det ville kunne anføres, at medlemmet
agerer på en måde i rådet, som er egnet til at sikre, at der
sker genudnævnelse af den pågældende.
Justitsministeriet finder, at en ordning, hvor der er mulighed
for at blive genudnævnt to gange, udgør en fornuftig balance
mellem disse to hensyn.
Justitsministeriet finder desuden, at karakteren af de oplys-
ninger om de kompetente myndigheders automatiske data-
behandlingssystemer, som vil kunne tilgå rådet, kan begrun-
de, at der fremover stilles krav om, at rådets formand, med-
lemmer og stedfortrædende medlemmer kan sikkerhedsgod-
kendes, og at sikkerhedsgodkendelsen kan opretholdes i hele
embedsperioden. En sådan ordning er i overensstemmelse
med direktivets artikel 43, stk. 4, hvorefter et medlem bl.a.
kan afskediges, hvis den pågældende ikke længere opfylder
betingelserne for at varetage sit hverv.
Det bemærkes, at medarbejdere ved Datatilsynet også fortsat
vil skulle sikkerhedsgodkendes i overensstemmelse med Ju-
stitsministeriets cirkulære nr. 10338 af 17. december 2014
om sikkerhedsbeskyttelse af informationer af fælles interes-
se for landene i NATO eller EU, andre klassificerede infor-
mationer samt informationer af sikkerhedsmæssig beskyttel-
sesinteresse i øvrigt (sikkerhedscirkulæret).
I forhold til direktivets krav om, at den enkelte tilsynsmyn-
digheds medlem eller medlemmer og personale såvel under
som efter deres embedsperiode skal have tavshedspligt for
så vidt angår alle fortrolige oplysninger, der er kommet til
deres kendskab under udførelsen af deres opgaver eller udø-
velsen af deres beføjelser, jf. artikel 44, stk. 2, er det Justits-
ministeriets vurdering, at dette krav er opfyldt gennem Data-
rådets forretningsorden, jf. pkt. 2.9.1.1 ovenfor, forvalt-
ningslovens § 27 og straffelovens § 152.
51
Der henvises i øvrigt til lovforslagets § 37 og bemærknin-
gerne hertil.
2.9.3.2. Tilsynsmyndigheden har efter direktivet ikke kom-
petence til at føre tilsyn med domstolenes behandlingsakti-
viteter, når de handler i deres egenskab af domstol.
Der foreslås på den baggrund, at ordningen efter persondata-
lovens § 67 videreføres, hvorefter Domstolsstyrelsen alene
har kompetence til at føre tilsyn med domstolenes behand-
ling af personoplysninger med hensyn til administrative for-
hold.
Der henvises i øvrigt til lovforslagets § 38 og bemærknin-
gerne hertil.
2.9.3.3. For så vidt angår spørgsmålet om tilsynsmyndighe-
dernes uafhængighed, som er reguleret i direktivets artikel
42, er der tale om en videreførelse af gældende ret, herunder
udtryk for en kodificering af EU-Domstolens retspraksis om
fortolkningen af de krav til tilsynsmyndighedens uafhængig-
hed, som følger af databeskyttelsesdirektivet.
Den gældende ordning i Danmark efter persondatalovens §§
55 og 56 og §§ 67 og 68 for Datatilsynets og Domstolssty-
relsens tilsyn anses for at leve op til det gældende uafhæn-
gighedskrav.
Justitsministeriet forholdt sig således til tilsynsmyndighe-
dernes uafhængighed i et svar af 17. december 2012 på
spørgsmål nr. 284 (Alm. del) af 19. november 2012 fra Fol-
ketingets Retsudvalg. Det fremgår af besvarelsen, at det af §
56 i den danske persondatalov følger, at Datatilsynet udøver
sine funktioner i fuld uafhængighed. Dette indebærer bl.a.,
at hverken Justitsministeriet eller andre ministerier kan give
instruktioner eller føre tilsyn med Datatilsynet.
Det fremgår videre af besvarelsen, at det af forarbejderne til
persondataloven (Folketingstidende 1999-2000, tillæg A, si-
de 4101) fremgår, at der ved udpegning af medlemmer af rå-
det skal tilstræbes uvildighed og sagkundskab, og at rådets
medlemmer således skal udpeges på en måde, der sikrer Da-
tatilsynet den fornødne uafhængighed. Hvad angår de ansat-
te i Datatilsynets sekretariat er disse ikke undergivet et
tjenstligt tilsyn fra Justitsministeriets side.
Det foreslås på den baggrund, at der fastsættes regler om, at
tilsynsmyndigheden skal udøve sine funktioner i fuld uaf-
hængighed. Den foreslåede bestemmelse omfatter således
tillige de aspekter af uafhængighedskravet, som er anført i
direktivets artikel 42, stk. 2-6. I forhold til spørgsmålet om
tilsynsmyndighedens budget, som efter direktivets artikel
42, stk. 6, skal være særskilt, kan det bemærkes, at bevillin-
gen til Datatilsynet og Domstolsstyrelsen fremgår særskilt af
den årlige finanslov under Justitsministeriet.
Der henvises i øvrigt til lovforslagets § 39 og bemærknin-
gerne hertil.
2.10. Retsmidler, ansvar og sanktioner
2.10.1. Gældende ret
Bestemmelser om erstatnings- og strafansvar er fastsat i per-
sondatalovens kapitel 18 (§§ 69-71). Den generelle adgang
til at klage til tilsynsmyndigheden over behandling af perso-
noplysninger findes i lovens § 40.
2.10.1.1. Efter § 69 skal den dataansvarlige erstatte skade,
der er forvoldt ved behandling i strid med bestemmelserne i
loven, medmindre det godtgøres, at skaden ikke kunne have
været afværget ved den agtpågivenhed og omhu, der må
kræves i forbindelse med behandling af oplysninger.
Der er således tale om et præsumptionsansvar (culpa med
omvendt bevisbyrde) for den dataansvarlige. Erstatningsan-
svaret reguleres i øvrigt af de almindelige erstatningsretlige
principper.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4043 f.), at valget af
præsumptionsansvar som ansvarsgrundlag var påkrævet for
at sikre en korrekt implementering af databeskyttelsesdirek-
tivet.
2.10.1.2. Lovens § 70, stk. 2, indeholder regler om straf i
forbindelse med behandling, som udføres for offentlige
myndigheder. Medmindre højere straf er forskyldt efter den
øvrige lovgivning, straffes med bøde eller hæfte den, der
overtræder § 41, stk. 3 (om behandlingssikkerhed), eller §
53 (om forudgående anmeldelse for databehandlere) eller
tilsidesætter vilkår som nævnt i § 7, stk. 7 (om behandling af
følsomme oplysninger), § 9, stk. 3 (om førelse af retsinfor-
mationssystemer), § 10, stk. 3 (om videregivelse af følsom-
me oplysninger og oplysninger om rent private forhold til
tredjemand i statistisk eller videnskabeligt øjemed), § 13,
stk. 1 (om registrering af udgående telefonopkald), § 27, stk.
4 (overførsel af oplysninger til tredjelande), eller en betin-
gelse eller et vilkår for en tilladelse i henhold til regler ud-
stedt i medfør af loven.
Det fremgår videre af persondatalovens § 70, stk. 5, at der
kan pålægges selskaber m.v. (juridiske personer) strafansvar
efter reglerne i straffelovens 5. kapitel.
52
Det fremgår af straffelovens § 27, stk. 2, at statslige myn-
digheder og kommuner alene kan straffes i anledning af
overtrædelser, der begås ved udøvelse af virksomhed, der
svarer til eller kan sidestilles med virksomhed udøvet af pri-
vate.
2.10.2. Retshåndhævelsesdirektivet
2.10.2.1. Efter direktivets artikel 52 skal enhver registreret
have adgang til at indgive klager til tilsynsmyndigheden.
Sendes klagen til den forkerte tilsynsmyndighed, skal der
ske videresendelse. Tilsynsmyndigheden skal efter anmod-
ning yde bistand til den registrerede og skal underrette den
pågældende om forløbet og resultatet af klagen samt vejlede
om adgangen til retsmidler.
2.10.2.2. Efter direktivets artikler 53 og 54 skal den registre-
rede – med forbehold af en eventuel administrativ klagead-
gang – have ret til at indbringe henholdsvis tilsynsmyndig-
hedens afgørelser og spørgsmål om dataansvarliges og data-
behandleres krænkelser af de rettigheder, der garanteres
vedkommende i henhold til national lovgivning, for en dom-
stol. En sag mod en tilsynsmyndighed skal anlægges i den
medlemsstat, hvor tilsynsmyndigheden er etableret, jf. arti-
kel 53, stk. 3.
2.10.2.3. Den registrerede skal i overensstemmelse med na-
tionale retsplejeregler have ret til at bemyndige et organ, en
organisation eller en sammenslutning, der er etableret i
overensstemmelse med medlemsstaternes nationale ret, som
ikke arbejder med gevinst for øje, hvis vedtægtsmæssige
formål er af almen interesse, og som er aktiv på området for
beskyttelse af registreredes rettigheder og frihedsrettigheder
med hensyn til beskyttelse af deres personoplysninger, til at
indgive en klage på sine vegne og til at udøve de rettigheder,
der er omhandlet i artikel 52, 53 og 54 på sine vegne.
Det fremgår af direktivets præambelbetragtning nr. 87, at
den registreredes ret til at lade sig repræsentere ikke bør be-
røre medlemsstaternes nationale retsplejeregler, som vil
kunne kræve obligatorisk repræsentation af registrerede ved
advokat for en national domstol.
2.10.2.4. Direktivets artikel 56 omhandler retten til erstat-
ning. Efter bestemmelsen er enhver, der har lidt skade som
følge af en ulovlig handling eller enhver anden handling, der
er uforenelig med de nationale bestemmelser, der vedtages
til gennemførelse af direktivet, berettiget til erstatning for
den forvoldte skade fra den kompetente myndighed (eller en
anden myndighed, der er kompetent i henhold til den natio-
nale lovgivning).
2.10.2.5. Efter artikel 57 fastsætter medlemsstaterne regler
om sanktioner, der er effektive, står i et rimeligt forhold til
lovovertrædelsen, har afskrækkende virkning, og som skal
finde anvendelse i tilfælde af overtrædelse af de bestemmel-
ser, der vedtages til gennemførelse af direktivet.
2.10.3. Justitsministeriets overvejelser og lovforslagets ud-
formning
2.10.3.1. Direktivets artikel 52 indeholder et krav om, at
enhver registreret har ret til at indgive klage til en tilsyns-
myndighed.
Bestemmelsen svarer til den gældende bestemmelse i per-
sondatalovens § 40, som foreslås videreført.
Der henvises i øvrigt til lovforslagets § 48, stk. 1, og be-
mærkningerne hertil.
2.10.3.2. Direktivets artikel 53 indeholder regler om, at den
registrerede skal have adgang til at indbringe en tilsynsmyn-
digheds afgørelser for domstolene. Der skal endvidere være
adgang for den registrerede til at indbringe tilsynet for dom-
stolene, hvis tilsynet har undladt at opfylde sine opgaver ef-
ter direktivet i forhold til den registrerede, dvs. ikke har be-
handlet en klage eller givet underretning om forløbet eller
resultatet af en klage inden for tre måneder.
For så vidt angår spørgsmålet om adgangen til at indbringe
en tilsynsmyndigheds afgørelser for domstolene, følger det
af grundlovens § 63, at domstolene er berettiget til at påken-
de ethvert spørgsmål om øvrighedsmyndighedens grænser.
Denne mulighed for domstolsprøvelse vil bl.a. kunne udnyt-
tes, såfremt Datatilsynet eller Domstolsstyrelsen har be-
handlet en klage fra en registreret person. I givet fald vil den
registrerede, som tilsynsmyndighedens afgørelse måtte gå
imod, kunne indbringe denne for domstolene.
For så vidt angår adgangen til at indbringe en tilsynsmyn-
dighed for domstolene for ikke at havde opfyldt sine opga-
ver, følger adgangen til at indbringe tilsynsmyndigheden for
domstolene af retsplejelovens almindelige regler, hvorefter
offentlige myndigheder kan sagsøges af personer med retlig
interesse i spørgsmålet.
For så vidt angår spørgsmålet om, hvor en sag mod Datatil-
synet eller Domstolsstyrelsen skal anlægges, fremgår det af
retsplejelovens § 240, stk. 1, at staten har hjemting i den
retskreds, hvor den myndighed, som stævnes på statens veg-
ne, har kontor.
Det foreslås på den baggrund, at der fastsættes en regel om,
at den registrerede kan indbringe tilsynsmyndigheders afgø-
relser, undladelser af at behandle en klage fra en registreret
eller en manglende underretning om forløbet eller resultatet
53
af en klage inden for tre måneder, for retten i den borgerlige
retsplejes former, dvs. efter retsplejelovens regler om civile
søgsmål.
Den foreslåede bestemmelse er således en videreførelse af
gældende ret.
Der henvises i øvrigt til lovforslagets § 48, stk. 2, og be-
mærkningerne hertil.
2.10.3.3. Efter direktivets artikel 54 skal den registrerede ha-
ve adgang til effektive retsmidler over for en dataansvarlig
eller en databehandler.
Adgangen til at indbringe tilsynsmyndigheden for domstole-
ne, hvilket anses for at opfylde kravet om adgang til effekti-
ve retsmidler, følger af retsplejelovens almindelige regler, jf.
det ovenfor i pkt. 2.10.3.2 anførte om adgangen til at ind-
bringe tilsynsmyndighederne for domstolene.
Det foreslås på den baggrund, at der fastsættes en tilsvaren-
de mulighed for, at den registrerede kan indbringe spørgs-
mål om dataansvarliges og databehandleres overholdelse af
loven for domstolene i den borgerlige retsplejes former, dvs.
efter retsplejelovens regler om civile søgsmål.
Der henvises i øvrigt til lovforslagets § 48, stk. 2 og 3, og
bemærkningerne hertil.
2.10.3.4. Efter direktivets artikel 55 skal den registrerede ha-
ve adgang til at lade sig repræsentere i forhold til klager til
tilsynsmyndigheden og indbringelse af henholdsvis tilsyns-
myndighederne samt dataansvarlige og databehandlere for
domstolene. Denne ret er efter direktivet begrænset til et or-
gan, en organisation eller en sammenslutning, der er etable-
ret i overensstemmelse med medlemsstaternes nationale ret,
som ikke arbejder med gevinst for øje, hvis vedtægtsmæssi-
ge formål er af almen interesse, og som er aktiv på området
for beskyttelse af registreredes rettigheder og frihedsrettig-
heder med hensyn til beskyttelse af deres personoplysninger.
Retten til at lade sig repræsentere er efter gældende ret ikke
begrænset på en måde, som svarer til direktivets artikel 55.
Således gælder der i dansk forvaltningsret på ulovbestemt
grundlag et grundlæggende princip om, at den, der er part i
en sag ved den offentlige forvaltning, på ethvert tidspunkt
kan lade sige repræsentere eller bistå af andre. For så vidt
angår afgørelsessager er dette princip kodificeret i forvalt-
ningslovens § 8, stk. 1. Den, som optræder som repræsen-
tant, skal kunne godtgøre, at vedkommende er berettiget
hertil.
For så vidt angår den registreredes adgang til at lade sig re-
præsentere af andre ved anlæggelse af søgsmål følger dette
af dansk rets regler om mandatarer. Mandataren kan føre
sagen på partens vegne på samme måde som en procesfuld-
mægtig, og mandatarens optræden i sagen bygger på partens
bemyndigelse, der når som helst kan tilbagekaldes.
Justitsministeriet finder ikke grundlag for at indsnævre de
registreredes adgang til at lade sig repræsentere i sager om-
fattet af lovforslagets område i forhold til dansk rets almin-
delige regler herom.
Det foreslås på den baggrund, at der fastsættes regler om, at
den registrerede tillige skal have adgang til at udøve sine
rettigheder gennem en repræsentant.
Der henvises i øvrigt til lovforslagets § 48 og bemærknin-
gerne hertil.
2.10.3.5. Det fremgår af direktivets artikel 56, at enhver,
som har lidt materiel eller immateriel skade som følge af en
ulovlig behandlingsaktivitet eller en overtrædelse af de nati-
onale regler, der vedtages i henhold til direktivet, har ret til
erstatning for den forvoldte skade fra den dataansvarlige el-
ler en anden myndighed, der er kompetent i henhold til nati-
onal ret.
Efter den gældende bestemmelse i persondatalovens § 69
skal den dataansvarlige erstatte skade, der er forvoldt ved
behandling i strid med bestemmelserne i loven, medmindre
det godtgøres, at skaden ikke kunne have været afværget
ved den agtpågivenhed og omhu, der må kræves i forbindel-
se med behandling af oplysninger.
Efter de gældende regler gælder der således et skærpet an-
svarsgrundlag i form af præsumptionsansvar (culpa med
omvendt bevisbyrde). I modsætning til et almindeligt culpa-
ansvar, hvor den skadelidte har bevisbyrden for, at skade-
volderen har handlet culpøst, indebærer præsumptionsansva-
ret, at skadevolderen har bevisbyrden for, at vedkommende
ikke har handlet ansvarspådragende. Efter den gældende be-
stemmelse i persondatalovens § 69 skal den dataansvarlige
således bevise, at hverken den pågældende selv eller nogen,
for hvis fejl den dataansvarlige i givet fald er ansvarlig for,
har handlet culpøst. Herudover finder de almindelige erstat-
ningsretlige principper anvendelse.
Det fremgår af forarbejderne til persondataloven, jf. lovfor-
slag nr. L 147 af 9. december 1999 (Folketingstidende
1999-2000, tillæg A, side 4043 f.), at valget af præsumpti-
onsansvar som ansvarsgrundlag var påkrævet for at sikre en
korrekt implementering af databeskyttelsesdirektivet.
54
Retshåndhævelsesdirektivets artikel 56 regulerer i modsæt-
ning til databeskyttelsesdirektivet ikke nærmere, hvordan
reglerne om erstatning skal udformes, herunder hvilket an-
svarsgrundlag der skal anvendes.
Det er Justitsministeriets opfattelse, at spørgsmålet om er-
statningsansvaret for overtrædelse af lovens bestemmelser
skal håndteres i medfør af de almindelige regler om EU-
medlemsstaternes erstatningsansvar for tilsidesættelse af
EU-retten, og at der ikke er grundlag eller behov for at fast-
sætte et skærpet præsumptionsansvar.
For at en EU-medlemsstat er erstatningsansvarlig efter EU-
retten, er det bl.a. en betingelse, at den overtrædelse af EU-
retten, der er tale om, er tilstrækkelig kvalificeret.
Afgørende for, om en overtrædelse af EU-retten kan anses
for tilstrækkelig kvalificeret til, at den er erstatningspådra-
gende, er, om den pågældende medlemsstat åbenbart og
groft har overskredet grænserne for sine skønsbeføjelser, jf.
EU-Domstolens dom af 5. marts 1996 i de forenede sager
C-46/93 og C-48/93 (Brasserie du pêcheur), præmis 55, og
EU-Domstolens dom af 28. juni 2001 i sag C-118/00 (Lar-
sy), præmis 38. Selve den omstændighed, at der er begået en
overtrædelse af EU-retten, kan være tilstrækkelig til at bevi-
se, at der foreligger en tilstrækkelig kvalificeret tilsidesæt-
telse, såfremt medlemsstaten på det tidspunkt, da den begik
overtrædelsen, kun havde et stærkt begrænset eller intet
skøn, jf. Larsy-dommen, præmis 38.
Ved afgørelsen af, om selve den omstændighed, at der er be-
gået en overtrædelse af EU-retten, udgør en tilstrækkelig
kvalificeret tilsidesættelse, skal der tages hensyn til alle de
momenter i den konkrete sag, der er blevet forelagt den nati-
onale ret. Disse momenter er bl.a., hvor klar og præcis den
tilsidesatte bestemmelse er, om overtrædelsen er begået, el-
ler tabet er forvoldt forsætligt eller uagtsomt, om en eventu-
el retsvildfarelse er undskyldelig eller uundskyldelig samt
den omstændighed, at en EU-institutions holdning kan have
været medvirkende til vedtagelsen eller opretholdelsen af
nationale foranstaltninger eller praksis i strid med EU-retten,
jf. Larsy-dommen præmis 39.
En overtrædelse af EU-retten er under alle omstændigheder
åbenbart kvalificeret, når den har varet ved til trods for, at
der er afsagt en dom i en præjudiciel sag, hvoraf det frem-
går, at den omtvistede adfærd har karakter af en overtrædel-
se, jf. Brasserie du pêcheur-dommens præmis 57 og Larsy-
dommens præmis 44.
Retshåndhævelsesdirektivets artikel 56 drejer sig om adgan-
gen til at søge erstatning hos den dataansvarlige for skade
som følge af en ulovlig behandlingsaktivitet eller enhver an-
den behandling i strid med de nationale regler, som gennem-
fører direktivet. For så vidt angår de tilfælde, hvor skaden er
opstået som følge af en handling eller undladelse foretaget
af en databehandler, vil den dataansvarlige efter de alminde-
lige regler om erstatning inden for kontraktforhold kunne
gøre et krav gældende mod databehandleren. Adgangen her-
til kan være nærmere reguleret i databehandleraftalen.
Der henvises i øvrigt til lovforslagets § 49 og bemærknin-
gerne hertil.
2.10.3.6. Direktivets artikel 57 forpligter medlemsstaterne til
at fastsætte regler om sanktioner samt at træffe alle nødven-
dige foranstaltninger for at sikre, at sanktionerne anvendes.
Sanktionerne skal være effektive, stå i et rimeligt forhold til
overtrædelsen og have afskrækkende virkning.
Persondatalovens § 70, stk. 2, indeholder regler om straf i
forbindelse med behandling, som udføres for offentlige
myndigheder. Handlinger, der tillige indebærer en overtræ-
delse af bestemmelser, der kan medføre højere straf, kan
henføres under sådanne bestemmelser. Der tænkes herved
navnlig på bestemmelsen i straffelovens § 264 d om bl.a.
forsætlig, uberettiget videregivelse af oplysninger om en an-
den persons private forhold. Der tænkes endvidere på for-
skellige andre bestemmelser i straffeloven om forbrydelser i
offentlig tjeneste eller hverv m.v., herunder bl.a. §§ 152 og
152 c-f samt §§ 155-157.
Strafansvar efter persondatalovens § 70, stk. 2, vedrører pri-
mært bestemmelser, som private databehandlere, der udfører
opgaver for offentlige myndigheder, skal iagttage. Strafan-
svar i forhold til den offentlige myndighed er navnlig rele-
vant ved overtrædelser af vilkår fastsat af Datatilsynet. Of-
fentlige myndigheder kan ifalde strafansvar for overtrædelse
af persondataloven i overensstemmelse med straffelovens
regler om strafansvar for juridiske personer mv.
Det foreslås på den baggrund, at der fastsættes en bestem-
melse, hvor private dataansvarlige kan ifalde strafansvar i
forhold til behandling, som udføres for de kompetente myn-
digheder, og hvor de kompetente myndigheder kan ifalde
strafansvar ved overtrædelse af påbud og forbud, der er
meddelt i henhold til den foreslåede § 42.
Med den foreslåede ordning sikres det, at tilsynsmyndighe-
derne har en reaktionsmulighed i tilfælde af, at en kompe-
tent myndighed ikke overholder et påbud eller forbud.
Strafansvaret efter denne bestemmelse vil således navnlig
være relevant i forhold til overtrædelser af generel eller sy-
stematisk karakter, idet strafansvar for så vidt angår over-
trædelser i form af konkrete behandlinger, f.eks. en polititje-
nestemands uberettigede videregivelse af personoplysninger
til et nyhedsmedie, som typisk ikke vil blive genstand for
påbud eller forbud fra tilsynsmyndigheder, fortsat vil kunne
55
fastlægges i medfør af straffelovens regler suppleret af even-
tuelle disciplinære reaktioner.
Strafansvaret for offentlige myndigheder skal også fortsat
pålægges i overensstemmelse med reglerne i straffelovens 5.
kapitel, herunder straffelovens § 27, stk. 2. Det følger heraf,
at statslige myndigheder og kommuner alene kan straffes i
anledning af overtrædelser, der begås ved udøvelse af virk-
somhed, der svarer til eller kan sidestilles med virksomhed
udøvet af private.
Der henvises i øvrigt til lovforslagets § 50 og bemærknin-
gerne hertil.
3. Økonomiske og administrative konsekvenser for det
offentlige
Lovforslaget indebærer økonomiske konsekvenser for de
retshåndhævende myndigheder i forbindelse med omstillin-
gen til de nye regler og den efterfølgende anvendelse af reg-
lerne. Det er vurderingen, at de opgaver, der følger af lov-
forslaget, vil medføre et øget ressourcebehov hos de rets-
håndhævende myndigheder på 40,0 mio. kr. i 2017 og 18,5
mio. kr. fra 2018 og frem. Merudgifterne består dels af etab-
leringsomkostninger i det første år, f.eks. tilpasning af data-
systemer, dels af varige driftsudgifter til ansættelse af yder-
ligere årsværk, f.eks. databehandlere og databeskyttelsesråd-
givere.
Til finansiering af merudgifterne i 2017 foretages en bevil-
lingsoverførsel på forslag til lov om tillægsbevilling for
2017. De reserverede midler til regeringens indsats mod
ungdomskriminalitet i 2017 anvendes til finansiering af ini-
tiativet, idet reformen ikke træder i kraft i år.
§ 35.11.33. Reserve til rege-
ringens indsats mod
ungdomskriminalitet
-40,0
mio. kr.
§ 11.23.01. Politiet og den loka-
le anklagemyndig-
hed mv.
19,5 mio.
kr.
§ 11.31.01. Direktoratet for Kri-
minalforsorgen
8,5 mio.
kr.
§ 11.41.01 Domstolsstyrelsen 2,0 mio.
kr.
§ 11.23.04. Den Centrale Ankla-
gemyndighed
8,5 mio.
kr.
§ 11.11.51. Politiklagemyndig-
heden
0,5 mio.
kr.
§ 12.12.03. Forsvarsministeriets
Personalestyrelsen
1,0 mio.
kr.
Merudgifterne fra 2018 og frem vil blive afholdt inden for
de eksisterende økonomiske rammer på Justitsministeriets
og Forsvarsministeriets områder.
4. Økonomiske og administrative konsekvenser for er-
hvervslivet mv.
Lovforslaget har ikke administrative eller økonomiske kon-
sekvenser for erhvervslivet.
5. Administrative konsekvenser for borgerne
Lovforslaget indebærer, at de registrerede generelt får flere
rettigheder, og der sker derfor en udvidelse af de registrere-
des muligheder for at klage til tilsynsmyndighederne over
den behandling af personoplysninger, som foretages af de
kompetente myndigheder.
Lovforslaget indebærer endvidere, at de registrerede har mu-
lighed for at udøve deres rettigheder gennem tilsynsmyndig-
hederne.
Lovforslaget indebærer herudover, at de registrerede skal
underrettes, hvis der sker brud på persondatasikkerheden,
som sandsynligvis vil indebære en høj risiko for fysiske per-
soners rettigheder.
Med lovforslaget bemyndiges justitsministeren til at fastsæt-
te nærmere regler om behandlingen af klager over de data-
ansvarlige myndigheders afgørelser i medfør af lovforsla-
gets afsnit III.
6. Miljømæssige konsekvenser
Lovforslaget har ikke miljømæssige konsekvenser.
7. Forholdet til EU-retten
Lovforslaget gennemfører Europa-Parlamentets og Rådets
direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fy-
siske personer i forbindelse med kompetente myndigheders
behandling af personoplysninger med henblik på at forebyg-
ge, efterforske, afsløre eller retsforfølge strafbare handlinger
eller fuldbyrde strafferetlige sanktioner og om fri udveksling
af sådanne oplysninger og om ophævelse af Rådets ramme-
afgørelse 2008/977/RIA.
56
8. Hørte myndigheder og organisationer mv.
Et udkast til lovforslaget har i perioden fra den 1. marts
2017 til den 15. marts 2017 været sendt i høring hos følgen-
de myndigheder og organisationer mv.: Østre Landsret,
Vestre Landsret, byretterne, Datatilsynet, Direktoratet for
Kriminalforsorgen, Dommerfuldmægtigforeningen, Dom-
stolsstyrelsen, Rigsadvokaten, Rigspolitiet, Skatteministeri-
et, Advokatrådet, Landsforeningen af Forsvarsadvokater,
Danske Advokater. Den Danske Dommerforening, Forenin-
gen af Offentlige Anklagere, Institut for Menneskerettighe-
der, Politiforbundet, Foreningen af fængselsinspektører, vi-
cefængselsinspektører og økonomichefer, Fængselsforbun-
det i Danmark, HK Landsklubben Kriminalforsorgen, Kri-
minalforsorgsforeningen og Landsklubben af socialrådgive-
re ansat i Kriminalforsorgen.
9. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter (hvis
ja, angiv omfang)
Økonomiske konsekvenser for
stat, kommuner og regioner
Ingen Lovforslaget medfører merudgifter på
40,0 mio. kr. i 2017 og 18,5 mio. kr. fra
2018 og frem for de retshåndhævende
myndigheder.
Administrative konsekvenser for
stat, kommuner og regioner
Ingen En række nye forpligtelser, herunder for-
pligtelsen til at udpege en databeskyttel-
sesrådgiver, i visse situationer at foretage
konsekvensanalyser og forudgående hø-
ring af tilsynsmyndigheden, samt et krav
om, at myndigheden som udgangspunkt
uden unødig forsinkelse skal anmelde
visse brud på persondatasikkerheden til
tilsynsmyndigheden og – i en række til-
fælde – underrette den registrerede her-
om.
Økonomiske konsekvenser for er-
hvervslivet
Ingen Ingen
Administrative konsekvenser for
erhvervslivet
Ingen Ingen
Administrative konsekvenser for
borgerne
Øgede muligheder for at klage til tilsyns-
myndighederne, adgang til at udøve rettig-
hederne gennem tilsynsmyndighederne og
underretning ved brud på persondatasik-
kerheden.
Bemyndigelse til at begrænse klagead-
gangen.
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget gennemfører Europa-Parlamentets og Rådets direktiv 2016/680/EU af
27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente
myndigheders behandling af personoplysninger med henblik på at forebygge, efter-
forske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets
rammeafgørelse 2008/977/RIA.
Overimplementering af EU-retli-
ge minimumsforpligtelser (sæt X)
JA NEJ
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
57
Persondataloven gælder generelt for behandling af persono-
plysninger, der helt eller delvis foretages ved hjælp af elek-
tronisk databehandling, og for ikke-elektronisk behandling
af personoplysninger, der er eller vil blive indeholdt i et re-
gister, jf. lovens § 1, stk. 1. Regler om behandling af perso-
noplysninger i anden lovgivning, som giver den registrerede
en bedre retsstilling, går forud for reglerne i persondatalo-
ven, jf. § 2, stk. 1.
Persondataloven gælder således også for politiets, anklage-
myndighedens, herunder den militære anklagemyndigheds,
kriminalforsorgens, Den Uafhængige Politiklagemyndig-
heds og domstolenes behandling af personoplysninger.
Det fremgår imidlertid af lovens § 2, stk. 4, at lovens be-
stemmelser om oplysningspligt over for den registrerede
(kapitel 8), den registreredes ret til indsigelse, berigtigelse,
blokering og sletning af personoplysninger (§§ 35-37) og
om automatiske afgørelser (§ 39) ikke finder anvendelse på
behandlinger, der foretages for domstolene, politiet og an-
klagemyndigheden inden for det strafferetlige område. Her-
udover finder lovens regler om den registreredes ret til ind-
sigt (kapitel 9) ikke anvendelse på behandlinger, der foreta-
ges for domstolene inden for det strafferetlige område.
Det foreslås i stk. 1, at loven skal gælde for politiets, ankla-
gemyndighedens, herunder den militære anklagemyndig-
heds, Den Uafhængige Politiklagemyndigheds, kriminalfor-
sorgens og domstolenes behandling af personoplysninger,
der helt eller delvis foretages ved hjælp af automatisk data-
behandling, og på anden ikke-automatisk behandling af per-
sonoplysninger, der er eller vil blive indeholdt i et register,
når behandlingen foretages med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder for at beskytte
mod eller forebygge trusler mod den offentlige sikkerhed.
Efter den foreslåede ordning er lovens anvendelsesområde
begrænset til de kompetente myndigheders behandling af
personoplysninger med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod eller fore-
bygge trusler med den offentlige sikkerhed.
Begrebet automatisk databehandling er sammenfaldende
med elektronisk databehandling, som anvendes i personda-
talovens § 1, stk. 1.
Loven finder således først og fremmest anvendelse på den
behandling af personoplysninger, som finder sted i forbin-
delse med de kompetente myndigheders aktiviteter inden for
strafferetsplejen.
For så vidt angår udstrækningen af begrebet forebyggelse af
strafbare handlinger, vil dette omfatte de aktiviteter, der
udøves som led i de kompetente myndigheders generelle og
individualiserede forebyggelsesindsatser, f.eks. indsatsen for
at understøtte personers exit fra rocker- og bandemiljøet, lo-
kalpolitiets kriminalitetsforebyggende arbejde, indsatsen
mod radikalisering, bekymringssamtaler med udsatte unge
og lignende. Anvendelsesområdet knytter sig således også
til generelle forebyggelsesindsatser, f.eks. i forhold til de de-
le af færdselskontrolindsatsen, som ikke – endnu – har for-
bindelse til konkrete strafbare forhold.
Indsamling og behandling af personoplysninger, der er knyt-
tet til efterforskningen og afsløringen af en konkret strafbar
handling, såvel som politiets mere generelle monitorering af
kriminalitetsområder, kriminelle miljøer mv. på såvel taktisk
som strategisk plan, er ligeledes omfattet af det foreslåede
anvendelsesområde.
For så vidt angår retsforfølgningen af strafbare handlinger,
vil samtlige behandlinger af personoplysninger, der finder
sted som led i politiets og anklagemyndighedens forberedel-
se og gennemførelse af straffesager, være omfattet af anven-
delsesområdet. Behandlingen af personoplysninger om sig-
tede, tiltalte, vidner, domsmænd mv. i den forbindelse, vil
således i det hele være omfattet.
Endelig vil de kompetente myndigheders behandling af per-
sonoplysninger med henblik på opgaver knyttet til fuldbyr-
delse af strafferetlige sanktioner falde ind under anvendel-
sesområdet.
Loven vil endvidere finde anvendelse på aktiviteter, som ik-
ke er knyttet til en helt konkret strafbar handling, f.eks. udø-
velsen af beføjelser gennem tvangsindgreb som f.eks. politi-
aktiviteter i forbindelse med demonstrationer, store sports-
begivenheder og uroligheder.
Disse aktiviteter omfatter også opretholdelse af lov og orden
som en opgave, der er overdraget til politiet eller andre rets-
håndhævende myndigheder, hvor det er nødvendigt for at
beskytte mod og forebygge trusler mod den offentlige sik-
kerhed og de ved lov beskyttede grundlæggende samfunds-
interesser, som kan føre til en strafbar handling.
Uden for lovens anvendelsesområde falder de administrative
sager, som behandles af de kompetente myndigheder, herun-
der politiets behandling af klager over politiets dispositioner
uden for strafferetsplejen, udstedelse af tilladelser til udøvel-
se af forskellige hverv, herunder pantelånere, idrætskontrol-
lører, dørmænd og vagter, samt tilladelser til afholdelse af
forskellige offentlige arrangementer eller aktiviteter, herun-
der forlystelser, boksekampe og særtransporter. Ligeledes
modtager og behandler politiet og andre retshåndhævende
myndigheder, på samme måde som andre forvaltningsmyn-
58
digheder, løbende aktindsigtsanmodninger efter offentlig-
hedsloven og forvaltningsloven og vil også fremadrettet
skulle behandle personoplysninger i forbindelse med be-
handlingen af konkrete anmodninger om indsigt i henhold til
den gældende databeskyttelsesretlige regulering.
På tilsvarende måde vil behandling af personoplysninger,
der finder sted i forbindelse med de kompetente myndighe-
ders ansættelse af medarbejdere og den løbende administra-
tion af ansættelsesmæssige forhold falde uden for lovens an-
vendelsesområde.
Behandling af personoplysninger i sådanne sager vil i stedet
være omfattet af de generelle regler i persondataloven og –
fra den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.1.3 i lovforslagets almindeli-
ge bemærkninger.
Det fremgår af persondatalovens § 2, stk. 1, at loven ikke
gælder for den behandling, der udføres for politiets og for-
svarets efterretningstjenester. Rammeafgørelsesbekendtgø-
relsens § 1, stk. 3, indeholder en tilsvarende bestemmelse.
Den foreslåede stk. 2 viderefører den gældende ordning ve-
drørende efterretningstjenesterne.
Der henvises i øvrigt til pkt. 2.1.3.6 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af rammeafgørelsesbekendtgørelsens § 1, stk. 1,
at bekendtgørelsen ikke finder anvendelse i forhold til per-
sonoplysninger, der udveksles eller stilles til rådighed i for-
bindelse med samarbejde efter Rådets afgørelse
2008/615/RIA af 23. juni 2008 om intensivering af det
grænseoverskridende samarbejde, navnlig om bekæmpelse
af terrorisme og grænseoverskridende kriminalitet (Prümaf-
gørelsen), eller efter Konvention om gensidig retshjælp i
straffesager mellem den Den Europæiske Unions medlems-
stater.
Det foreslås i stk. 3, at loven ikke skal finde anvendelse i
forhold til behandling af personoplysninger i medfør af EU-
retsakter, der den eller inden den 6. maj 2016 er trådt i kraft
på området for retligt samarbejde i straffesager og politisam-
arbejde, og som regulerer behandling mellem medlemssta-
terne og medlemsstaternes udpegede myndigheders adgang
til EU-informationssystemer.
Den foreslåede ordning indebærer, at regler om behandling
af personoplysninger i gældende EU-retsakter – eller natio-
nale regler, der implementerer sådanne EU-retsakter – fort-
sat finder anvendelse. Det gælder f.eks. de kompetente myn-
digheders udveksling af oplysninger om f.eks. DNA og fin-
geraftryk i medfør af Prüm-afgørelsen, jf. ovenfor.
Til § 2
Det fremgår af persondatalovens § 2, stk. 1, at regler om be-
handling af personoplysninger i anden lovgivning, som gi-
ver den registrerede en bedre retsstilling, går forud for regle-
rne i persondataloven.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4057), at persondata-
loven finder anvendelse, hvis regler om behandling af perso-
noplysninger i anden lovgivning giver den registrerede en
dårligere retsstilling. Dette gælder dog ikke, hvis den dårlige
retsstilling har været tilsigtet og i øvrigt ikke strider mod
reglerne i databeskyttelsesdirektivet.
Det foreslås i § 2 at videreføre den gældende bestemmelse i
persondatalovens § 2.
Efter den foreslåede bestemmelse vil lovforslaget således ik-
ke finde anvendelse, hvis den registrerede opnår en bedre
retsstilling efter anden lovgivning. Anden lovgivning, som
giver den registrerede en dårligere retsstilling, finder dog
anvendelse, hvis den dårligere retsstilling har været tilsigtet
og i øvrigt ikke strider mod reglerne i retshåndhævelsesdi-
rektivet. Bestemmelsen indebærer ikke, at databeskyttelses-
forordningens regler vil finde anvendelse, desuagtet at den-
ne i en konkret sammenhæng kan siges at føre til en bedre
retsstilling for den registrerede. Den foreslåede bestemmelse
vil således alene finde anvendelse i forhold til bestemmel-
ser, der regulerer de kompetente myndigheders behandling
af personoplysninger inden for lovens anvendelsesområde.
Som eksempel på sådanne bestemmelser kan der peges på
bestemmelserne i retsplejelovens §§ 818 og 819, der bl.a. re-
gulerer behandlingen af personoplysninger i forbindelse
med politiets udstedelse af signalementer og efterlysninger.
Disse bestemmelser fastsætter særlige bestemmelser, der ef-
ter omstændighederne giver den registrerede en bedre rets-
stilling.
Der henvises i øvrigt til pkt. 2.1.3.7 i lovforslagets alminde-
lige bemærkninger.
Til § 3
Det fremgår af persondatalovens § 3, nr. 1, at personoplys-
ninger defineres som enhver form for information om en
identificeret eller identificerbar fysisk person (den registre-
rede).
59
Det foreslås i nr. 1, at personoplysninger defineres som enh-
ver form for information om en identificeret eller identifi-
cerbar fysisk person (den registrerede).
Ved identificerbar fysisk person forstås en fysisk person, der
direkte eller indirekte kan identificeres, navnlig ved en iden-
tifikator som f.eks. et navn, et identifikationsnummer, loka-
liseringsdata, en online-identifikator eller et eller flere ele-
menter, der er særlige for denne fysiske persons fysiske, fy-
siologiske, genetiske, psykiske, økonomiske, kulturelle eller
sociale identitet, jf. herved retshåndhævelsesdirektivets arti-
kel 3, nr. 1.
Der er således tale om en videreførelse af definitionen af
personoplysninger i persondataloven.
Det fremgår af persondatalovens § 3, nr. 2, at behandling
defineres som enhver operation eller række af operationer
med eller uden brug af elektronisk databehandling, som op-
lysninger gøres til genstand for.
Det foreslås i nr. 2, at behandling defineres som enhver akti-
vitet eller række af aktiviteter – med eller uden brug af auto-
matisk behandling – som personoplysninger eller en samling
af personoplysninger gøres til genstand for.
Behandling omfatter således f.eks. indsamling, registrering,
organisering, systematisering, opbevaring, tilpasning eller
ændring, genfinding, søgning, brug, videregivelse ved trans-
mission, overførsel til tredjeland, formidling eller enhver an-
den form for overladelse, sammenstilling eller samkøring,
begrænsning, sletning eller tilintetgørelse, jf. herved rets-
håndhævelsesdirektivets artikel 3, nr. 2.
Der er således i praksis tale om en videreførelse af definitio-
nen af behandling i persondataloven.
Persondataloven indeholder ikke en definition af begrebet
begrænsning af behandling.
Det fremgår imidlertid af persondatalovens § 37, stk. 1, at
den dataansvarlige skal berigtige, slette eller blokere oplys-
ninger, der viser sig urigtige eller vildledende eller på lig-
nende måde er behandlet i strid med lov eller bestemmelser
udstedt i medfør af lov, hvis en registreret person fremsætter
anmodning herom.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4092), at blokering af
oplysninger indebærer, at det fortsat er tilladt at opbevare
indsamlede oplysninger, hvorimod det ikke er tilladt at be-
handle og bruge oplysningerne, herunder navnlig videregive
dem til tredjemand. Oplysninger, som er blokeret, skal der-
for være forsynet med en sådan markering, at en bruger in-
formeres om blokeringen.
Det foreslås i nr. 3, at begrænsning af behandling defineres
som mærkning af opbevarede personoplysninger med den
hensigt at begrænse fremtidig behandling af disse oplysnin-
ger.
Begrænsning kan ske ved, at udvalgte oplysninger flyttes til
et andet behandlingssystem, f.eks. til arkivformål, eller at
udvalgte oplysninger gøres utilgængelige. I automatiske re-
gistre kan begrænsning ske ved hjælp af tekniske hjælpe-
midler. En begrænsning skal anføres i registeret på en sådan
måde, at det tydeligt fremgår, at behandlingen af persono-
plysninger er begrænset, jf. herved direktivets præambelbe-
tragtning nr. 47.
Der er således i praksis tale om en videreførelse af den for-
ståelse af begrebet blokering, som følger af persondatalo-
ven.
Persondataloven indeholder ikke en definition af begrebet
profilering.
Det foreslås i nr. 4, at profilering defineres som enhver form
for automatisk behandling af personoplysninger, der består i
at anvende personoplysninger til at evaluere bestemte per-
sonlige forhold vedrørende en fysisk person.
Profilering kan navnlig have til formål at analysere eller for-
udsige forhold vedrørende den fysiske persons arbejdsind-
sats, økonomiske situation, helbred, personlige præferencer,
interesser, pålidelighed, adfærd, geografisk position eller be-
vægelser, jf. retshåndhævelsesdirektivets artikel 3, nr. 4.
Det fremgår af persondatalovens § 3, nr. 3, begrebet register
med personoplysninger (register) defineres som enhver
struktureret samling af personoplysninger, der er tilgængeli-
ge efter bestemte kriterier, hvad enten denne samling er pla-
ceret centralt, decentralt eller er fordelt på et funktionsbe-
stemt eller geografisk grundlag.
Det foreslås i nr. 5, at register defineres som enhver struktu-
reret samling af personoplysninger, der er tilgængelig efter
bestemte kriterier, hvad enten denne samling er placeret
centralt, decentralt eller er fordelt på funktionsbestemt eller
geografisk grundlag.
Der er således tale om en videreførelse af definitionen af re-
gister i persondataloven.
Persondataloven indeholder ikke en definition af kompeten-
te myndigheder.
60
Det foreslås i nr. 6, at kompetente myndigheder defineres
som enhver offentlig myndighed eller ethvert andet organ
eller enhver anden enhed, der i henhold til medlemsstaternes
nationale ret er bemyndiget med hensyn til at udøve offent-
lig myndighed og offentlige beføjelser med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sik-
kerhed.
Det foreslås endvidere, at det i definitionen præciseres, at de
kompetente myndigheder i Danmark er politiet, anklage-
myndigheden, herunder den militære anklagemyndighed,
kriminalforsorgen, Den Uafhængige Politiklagemyndighed
og domstolene.
Den generelle definition er relevant i forbindelse med den
udveksling af oplysninger, der sker mellem de danske kom-
petente myndigheder og de kompetente myndigheder i andre
medlemsstater.
Det fremgår af persondatalovens § 3, nr. 4, at begrebet den
dataansvarlige defineres som den fysiske eller juridiske per-
son, offentlige myndighed, institution eller ethvert andet or-
gan, der alene eller sammen med andre afgør, til hvilket for-
mål og med hvilke hjælpemidler der må foretages behand-
ling af oplysninger.
Det foreslås i nr. 7, at begrebet den dataansvarlige defineres
som den kompetente myndighed, der alene eller sammen
med andre afgør, til hvilke formål og med hvilke hjælpemid-
ler der må foretages behandling af personoplysninger.
Definitionen er således knyttet til definitionen af de kompe-
tente myndigheder, da det alene er disse myndigheders be-
handling af personoplysninger, der er omfattet af det fore-
slåede anvendelsesområde for loven.
Det fremgår af persondatalovens § 3, nr. 5, at begrebet data-
behandleren defineres som den fysiske eller juridiske per-
son, offentlige myndighed, institution eller ethvert andet or-
gan, der behandler oplysninger på den dataansvarliges veg-
ne.
Det foreslås i nr. 8, at begrebet databehandleren defineres
som en fysisk eller juridisk person, en offentlig myndighed,
en institution eller et andet organ, der behandler persono-
plysninger på den dataansvarliges vegne.
Der er således tale om en videreførelse af definitionen af da-
tabehandler i persondataloven.
Det fremgår af persondatalovens § 3, nr. 7, at begrebet mod-
tager defineres som den fysiske eller juridiske person, of-
fentlige myndighed, institution eller ethvert andet organ,
hvortil oplysningerne meddeles, uanset om der er tale om en
tredjemand. Myndigheder, som vil kunne få meddelt oplys-
ninger som led i en isoleret forespørgsel, betragtes ikke som
modtagere.
Det foreslås i nr. 9, at begrebet modtager defineres som en
fysisk eller juridisk person, en offentlig myndighed, en insti-
tution eller et andet organ, hvortil personoplysninger videre-
gives, således at modtageren selvstændigt herefter træffer
beslutning om, til hvilket formål og med hvilke midler den-
ne behandler de videregivne oplysninger, uanset om det er
en tredjemand eller ej. Myndigheder, som vil kunne få med-
delt personoplysninger som led i en isoleret forespørgsel,
betragtes ikke som modtagere.
Angivelsen af, at myndigheder, som vil kunne få meddelt
personoplysninger som led i en isoleret forespørgsel, ikke
betragtes som modtagere, er relevant i forhold til de myn-
digheder, som de kompetente myndigheder løbende samar-
bejder med f.eks. i forbindelse med konkrete efterforsknin-
ger af strafbare forhold. I det omfang der i den forbindelse –
inden for gældende ret i øvrigt – finder enkeltstående vide-
regivelser af personoplysninger sted, vil den eller de modta-
gende myndigheder ikke være at anse som modtagere i be-
stemmelsens forstand. Eksempler på myndigheder, der i
overensstemmelse med gældende ret kan få personoplysnin-
ger meddelt som led i en isoleret forespørgsel omfatter bl.a.
skattemyndighederne, Finanstilsynet og andre myndigheder,
der på lignende vis udøver tilsyns- og kontrolbeføjelser.
Dette vil bl.a. have betydning for, hvilke oplysninger der
skal meddeles i forbindelse med iagttagelsen af lovens reg-
ler om oplysninger, der skal stilles til rådighed for eller gi-
ves til den registrerede, jf. § 13, stk. 2.
Videregivelse til myndigheder, der efter gældende ret skal
finde sted i mere systematisk omfang, eller uden at der fore-
tages en konkret vurdering af, om videregivelsen skal finde
sted, vil ikke være at anse som isoleret i bestemmelsens for-
stand. Ligeledes vil en videregivelse af et register som hel-
hed eller en videregivelse med henblik på at gennemføre en
samkøring af registre ikke udgøre en enkeltstående videregi-
velse som led i en isoleret forespørgsel.
Persondataloven indeholder ikke en definition af begrebet
brud på persondatasikkerheden.
Det foreslås i nr. 10, at brud på persondatasikkerheden defi-
neres som ethvert brud på sikkerheden, der fører til hænde-
lig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vi-
deregivelse af eller adgang til personoplysninger, der er
transmitteret, opbevaret eller på anden måde behandlet, jf.
direktivets artikel 3, nr. 11.
61
Persondataloven indeholder ikke en definition af begrebet
genetiske data.
Det foreslås i nr. 11, at begrebet genetiske data defineres
som personoplysninger vedrørende en fysisk persons arvede
eller erhvervede genetiske karakteristika, som giver entydig
information om den fysiske persons fysiologi eller helbred,
og som navnlig foreligger efter en analyse af en biologisk
prøve fra den pågældende fysiske person.
Den biologiske prøve kan f.eks. være en analyse på kromo-
somniveau, af deoxyribonukleinsyre (DNA) eller ribonuk-
leinsyre (RNA), eller efter en analyse af et andet element til
indhentning af lignende oplysninger, jf. retshåndhævelsesdi-
rektivets præambelbetragtning nr. 23.
Persondataloven indeholder ikke en definition af begrebet
biometriske data.
Det foreslås i nr. 12, at begrebet biometriske data defineres
som personoplysninger, der som følge af specifik teknisk
behandling vedrørende en fysisk persons fysiske, fysiologi-
ske eller adfærdsmæssige karakteristika muliggør eller be-
kræfter en entydig identifikation af vedkommende, f.eks. an-
sigtsbillede eller fingeraftryksoplysninger.
Persondataloven indeholder ikke en definition af begrebet
helbredsoplysninger.
Det foreslås i nr. 12, at begrebet helbredsoplysninger define-
res som personoplysninger, der vedrører en fysisk persons
fysiske eller mentale helbred, herunder levering af sund-
hedsydelser, og som giver information om vedkommendes
helbredstilstand.
Helbredsoplysninger omfatter alle personoplysninger om
den registreredes helbredstilstand, som giver oplysninger
om den registreredes tidligere, nuværende eller fremtidige
fysiske eller mentale helbredstilstand, dvs. enhver oplysnin-
ger om f.eks. en sygdom, et handicap, en sygdomsrisiko, en
sygehistorie, en sundhedsfaglig behandling eller den regi-
streredes fysiologiske eller biomedicinske tilstand uafhæn-
gigt af kilden hertil, f.eks. fra en læge eller anden sundheds-
person, et hospital, medicinsk udstyr eller prøveudtagnings-
udstyr.
Der kan endvidere være tale om oplysninger, der hidrører
fra prøver eller undersøgelser af en legemsdel eller legemlig
substans, herunder fra genetiske data og biologiske prøver.
Persondataloven indeholder ikke en definition af begrebet
international organisation.
Det foreslås i nr. 14, at begrebet international organisation
defineres som en folkeretlig organisation og organer, der er
underordnet en sådan organisation, samt ethvert andet or-
gan, der er oprettet ved eller med hjemmel i en aftale mel-
lem to eller flere lande.
Omfattet af definitionen er f.eks. Interpol, som Danmark og
de øvrige EU-medlemsstater er tilknyttet.
Til § 4
Det fremgår af persondatalovens § 5, stk. 1, at oplysninger
skal behandles i overensstemmelse med god databehand-
lingsskik.
God databehandlingsskik er en retlig standard, som udfyldes
af tilsynsmyndighederne. Begrebet indebærer bl.a., at be-
handlingen af oplysninger skal være rimelig og lovlig.
God databehandlingsskik anses efter praksis fra Datatilsynet
for bl.a. at omfatte krav til den dataansvarlige om forudgå-
ende underretning af den registrerede om visse behandlings-
aktiviteter, en pligt til at notere den registreredes indsigelser
i forhold til rigtigheden af de registrerede oplysninger og
underretning af berørte personer ved brud på datasikkerhe-
den. God databehandlingsskik supplerer således navnlig lo-
vens regler om den registreredes rettigheder.
Det foreslås i stk. 1, at oplysninger skal behandles i overens-
stemmelse med god databehandlingsskik og under hensynta-
gen til oplysningernes karakter.
Der sker således en videreførelse af begrebet god databe-
handlingsskik. Dette indebærer, at behandling skal være lov-
lig, rimelig og gennemsigtig i forhold til de registrerede,
samt at der – på samme måde som i dag – vil være tale om
en retlig standard, som skal udfyldes af tilsynsmyndigheder-
ne.
Kravet forhindrer ikke i sig selv de kompetente myndighe-
der i at udføre aktiviteter som f.eks. hemmelige undersøgel-
ser eller videoovervågning, så længe dette sker under behø-
rig hensyntagen til de berørte registreredes legitime interes-
ser.
Kravet om, at der skal tages hensyn til oplysningernes ka-
rakter, indebærer, at der skal sondres mellem personoplys-
ninger, der bygger på faktiske omstændigheder, og persono-
plysninger, der bygger på personlige vurderinger, jf. herved
retshåndhævelsesdirektivets artikel 7, stk. 1.
Dette har f.eks. betydning i forhold til vurderingen af oplys-
ningernes rigtighed. Navnlig i retssager er udsagn, der inde-
62
holder personoplysninger, baseret på en subjektiv opfattelse
af fysiske personer, og det er ikke altid muligt at kontrollere
dem. Kravet om oplysningernes rigtighed bør derfor ikke
vedrøre rigtigheden af en subjektiv opfattelse, men derimod
blot rigtigheden af, at der er fremsat et konkret udsagn.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 2, at indsamling af
oplysninger skal ske til udtrykkeligt angivne og saglige for-
mål, og at senere behandling ikke må være uforenelig med
disse formål. Senere behandling af oplysninger, der alene
sker i historisk, statistisk eller videnskabeligt øjemed, anses
ikke for uforenelig med de formål, hvortil oplysningerne er
indsamlet.
Det fremgår af lovens forarbejder (Folketingstidende
1999-2000, tillæg A, side 4064), at der i kravet om udtryk-
kelighed ligger, at den dataansvarlige i forbindelse med ind-
samlingen skal angive et formål, som er tilstrækkeligt velde-
fineret og velafgrænset til at skabe åbenhed og klarhed om-
kring behandlingen. Formålet med behandlingen af oplys-
ningerne skal således defineres med en vis præcision. Der
henvises i den forbindelse til, at en formålsangivelse som
f.eks. ”til brug for udbud af finansielle ydelser” anses for at
være tilstrækkelig præcis.
Det foreslås i stk. 2, at indsamling af oplysninger skal ske til
udtrykkeligt angivne og saglige formål, som er omfattet af
den foreslåede § 1, og at senere behandling ikke må være
uforenelig med disse formål, idet der dog henvises til den
forslåede § 5, som angiver betingelserne for, hvornår en ef-
terfølgende behandling kan finde sted. Der er i vidt omfang
tale om en videreførelse af gældende ret.
Adgangen til at behandle oplysninger i historisk, statistisk
eller videnskabeligt øjemed er således delvist reguleret i den
foreslåede § 5 for så vidt, at der er tale om en behandling
med et formål, som er omfattet af lovens anvendelsesområ-
de. Såfremt formålet falder uden for lovens anvendelsesom-
råde – hvilket i praksis ofte vil være tilfældet – vil behand-
lingen skulle ske på baggrund af persondataloven og – fra
den 25. maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 3, at oplysninger,
som behandles, skal være relevante og tilstrækkelige og ikke
omfatte mere, end hvad der kræves til opfyldelse af de for-
mål, hvortil oplysningerne indsamles, og de formål, hvortil
oplysningerne senere behandles.
Det foreslås i stk. 3, at oplysninger, som behandles, skal væ-
re relevante og tilstrækkelige og ikke omfatte mere, end der
kræves til opfyldelse af de formål, hvortil oplysningerne
indsamles, og de formål, hvortil oplysningerne senere be-
handles.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 4, at behandling af
oplysninger skal tilrettelægges således, at der foretages for-
nøden ajourføring af oplysningerne. Der skal endvidere
foretages den fornødne kontrol for at sikre, at der ikke be-
handles urigtige eller vildledende oplysninger. Oplysninger,
der viser sig urigtige eller vildledende, skal snarest muligt
slettes eller berigtiges.
Det foreslås i stk. 4, at oplysninger, som behandles, skal væ-
re korrekte og om nødvendigt ajourførte, og at der skal tages
ethvert rimeligt skridt for at sikre, at personoplysninger, der
er urigtige i forhold til de formål, hvortil de behandles,
straks slettes eller berigtiges.
Der er således tale om en videreførelse af gældende ret. De
sproglige forskelle mellem persondatalovens § 5, stk. 4, og
den foreslåede § 4, stk. 4, skyldes således alene hensynet til
at sikre, at der ikke kan opstå tvivl om, hvorvidt der er sket
en korrekt gennemførelse af retshåndhævelsesdirektivets ar-
tikel 4, stk. 1, litra d.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 4, 2. pkt., at der
skal foretages den fornødne kontrol for at sikre, at der ikke
behandles urigtige eller vildledende oplysninger.
Det fremgår af rammeafgørelsesbekendtgørelsens § 9, stk. 1,
at den dataansvarlige skal træffe alle rimelige foranstaltnin-
ger til at sikre, at personoplysninger ikke videregives eller
stilles til rådighed, hvis de er urigtige, ufuldstændige eller
ikke ajourførte. I dette øjemed verificerer den dataansvarlige
så vidt muligt kvaliteten af personoplysningerne, før de vi-
deregives eller stilles til rådighed. I forbindelse med al vide-
regivelse af oplysninger skal der så vidt muligt tilføjes til-
gængelige oplysninger, der gør det muligt for den udenland-
ske myndighed at vurdere, om oplysningerne er rigtige,
fuldstændige, ajourførte og pålidelige.
Hvis det konstateres, at der er videregivet urigtige persono-
plysninger, eller at oplysningerne er videregivet ulovligt,
63
meddeles dette straks den udenlandske myndighed. Oplys-
ningerne skal berigtiges, slettes eller blokeres omgående, jf.
bekendtgørelsens § 9, stk. 2.
Det foreslås i stk. 5, at den dataansvarlige skal træffe alle ri-
melige foranstaltninger til at sikre, at personoplysninger ik-
ke videregives eller stilles til rådighed, hvis de er urigtige,
ufuldstændige eller ikke ajourførte. I dette øjemed verifice-
rer den dataansvarlige så vidt muligt kvaliteten af persono-
plysningerne, før de videregives eller stilles til rådighed. I
forbindelse med videregivelse af oplysninger skal der så vidt
muligt tilføjes nødvendige oplysninger, der gør det muligt
for den modtagende kompetente myndighed at vurdere, i
hvor høj grad personoplysningerne er rigtige, fuldstændige
og pålidelige, og i hvilket omfang de er ajourførte. Konsta-
teres det, at der er videregivet urigtige personoplysninger,
eller at personoplysninger er videregivet ulovligt, skal dette
straks meddeles modtageren. Oplysningerne skal i givet fald
berigtiges eller slettes, eller behandlingen skal begrænses.
Den foreslåede bestemmelse udgør i nogen grad en præcise-
ring af princippet i den foreslåede § 4, stk. 4, hvorefter det
generelt skal sikres, at de oplysninger, som behandles, er
korrekte.
Med den foreslåede bestemmelse præciseres det således, at
den dataansvarlige navnlig i forbindelse med, at persono-
plysninger videregives og stilles til rådighed, skal sikre sig,
at oplysningerne er korrekte, fuldstændige og ajourførte.
Oplysninger, som kan gøre det muligt for den modtagende
myndighed at vurdere, om oplysningerne er rigtige, fuld-
stændige og ajourførte, kan efter omstændighederne bestå i
oplysninger om kilden til oplysningerne og om, hvornår op-
lysningerne er indsamlet.
De kompetente myndigheder er allerede efter gældende ret
underlagt en sådan forpligtelse i forhold til den grænseover-
skridende udveksling af personoplysninger, men med den
foreslåede bestemmelse udvides – den eksplicitte – forplig-
telsen til rent nationale forhold.
Kravet vil dog fortsat navnlig være relevant i forbindelse
med, at de danske kompetente myndigheder videregiver op-
lysninger til de kompetente myndigheder i andre medlems-
stater, idet kravet om, at der skal ske berigtigelse, sletning
eller begrænsning dog retter sig til danske kompetente myn-
digheder, som har modtaget oplysninger fra kompetente
myndigheder i andre medlemsstater.
Bestemmelsens angivelse af, at den dataansvarlige skal tage
visse skridt så vidt muligt, indebærer alene en overordnet
pligt for den dataansvarlige til at have for øje, om de kon-
krete skridt – f.eks. at verificere personoplysninger inden en
videregivelse – bør gennemføres under iagttagelse af de sær-
lige forholdsregler, som bestemmelsen angiver. I den forbin-
delse vil den dataansvarlige efter omstændighederne kunne
tage hensyn til bl.a. den konkrete videregivelse, modtageren
af oplysningerne, til hvilke formål oplysningerne skal an-
vendes, om der er tale om en behandling, der er forudsat i
lovgivningen, og om behandlingen i tidligere tilfælde har
medført risici for de registrerede mv.
Kravet om oplysningernes rigtighed vedrører ikke rigtighe-
den af en subjektiv opfattelse, men derimod blot rigtigheden
af, at der er fremsat et konkret udsagn.
Der henvises i øvrigt til pkt. 2.3.3.4 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 5, at indsamlede
oplysninger ikke må opbevares på en måde, der giver mulig-
hed for at identificere den registrerede i et længere tidsrum
end det, der er nødvendigt af hensyn til de formål, hvortil
oplysningerne behandles.
Det foreslås i stk. 6, at indsamlede oplysninger ikke må op-
bevares på en måde, der giver mulighed for at identificere
den registrerede i et længere tidsrum end det, der er nødven-
digt af hensyn til de formål, hvortil oplysningerne behand-
les.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 3, at den dataan-
svarlige skal træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt el-
ler ulovligt tilintetgøres, fortabes eller forringes, samt mod,
at de kommer til uvedkommendes kendskab, misbruges eller
i øvrigt behandles i strid med loven. Tilsvarende gælder for
databehandlere.
Det foreslås i stk. 7, at indsamlede oplysninger skal behand-
les på en måde, der sikrer en tilstrækkelig sikkerhed for de
pågældende personoplysninger, herunder beskyttelse mod
uautoriseret eller ulovlig behandling og mod hændeligt tab,
tilintetgørelse eller beskadigelse, under anvendelse af pas-
sende tekniske eller organisatoriske foranstaltninger, jf. de
foreslåede regler om behandlingssikkerhed i § 27.
Med den foreslåede bestemmelse præciseres det således al-
lerede i forbindelse med de generelle behandlingsprincipper,
at den dataansvarlige skal sikre, at behandlingen sker under
anvendelse af passende tekniske og organisatoriske foran-
staltninger.
64
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Persondataloven indeholder ikke en eksplicit og overordnet
bestemmelse om den dataansvarliges ansvar. I stedet følger
den dataansvarliges ansvar implicit af, at den dataansvarlige
har retten til at disponere og bestemme over de pågældende
personoplysninger og derfor også er ansvarlig for overhol-
delse af databeskyttelsesretten ved behandling af persono-
plysninger.
Det foreslås i stk. 8, at den dataansvarlige er ansvarlig for og
skal kunne påvise, at behandlingsprincipperne i den foreslå-
ede § 4, stk. 1-7, overholdes.
Bestemmelsen indeholder det databeskyttelsesretlige princip
om ansvarlighed. Dette princip indebærer, at den dataan-
svarlige i passende omfang skal kunne påvise, at de behand-
linger af personoplysninger, der finder sted, er i overens-
stemmelse med stk. 1-7. Kravet om at påvise overholdelse
må navnlig antages at indebære en mere generel pligt til
over for tilsynsmyndigheden på foranledning at kunne godt-
gøre, at de relevante krav efterleves. Dette vil i praksis –
som det i dag er tilfældet under persondataloven – kunne ske
ved at stille den dataansvarliges sikkerhedspolitik og andre
relevante interne regelsæt til rådighed. Kravet vil f.eks. også
kunne imødekommes ved, at den dataansvarlige i relevant
omfang godtgør, at der er taget skridt til at sikre en passende
uddannelse og oplysning af medarbejderne om indholdet af
de relevante krav, som loven og de relevante interne politi-
kker indeholder.
Bestemmelsen indebærer på den anden side ikke krav om en
meget udførlig og findelt dokumentation af enhver behand-
lingsaktivitet, som den dataansvarlige gennemfører. Der
lægges i den forbindelse vægt på, at de kompetente myndig-
heder behandler en meget betydelig mængde personoplys-
ninger på baggrund af et udførligt lovgrundlag og generelt –
for politi og anklagemyndighedens vedkommende – er un-
derlagt en særlig legalitetskontrol for så vidt angår de be-
handlinger, der finder sted som led i efterforskningen mv. af
strafbare forhold, og som dermed tilrettelægges med henblik
på at kunne tåle en nærmere retslig prøvelse. Det vil således
under alle omstændigheder ikke bibringe væsentlig mervær-
di, såfremt f.eks. politiet var forpligtet til meget udførligt at
beskrive, hvorfor konkrete personoplysninger behandles til
brug for en given type straffesag mv.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 5
Det fremgår af persondatalovens § 5, stk. 2, 1. pkt., at ind-
samling af oplysninger skal ske til udtrykkeligt angivne og
saglige formål, og at senere behandling ikke må være ufor-
enelig med disse formål.
Bestemmelsen er udtryk for det såkaldte finalité-princip,
som indebærer, at indsamlingen af oplysninger skal ske med
et bestemt formål for øje, og at der er visse grænser for,
hvordan oplysningerne efterfølgende kan anvendes. Angi-
velsen af, at senere behandling blot ikke må være uforenelig
med det oprindelige formål, indebærer dog, at der er en ret
lempelig adgang for navnlig offentlige myndigheder til at
behandle, herunder videregive, oplysninger til nye formål.
Det foreslås i stk. 1, at senere behandling af oplysninger til
et andet af de formål, der er nævnt i § 1, stk. 1, end det,
hvortil de oprindeligt var indsamlet, kan foretages af den
samme eller en anden af de kompetente myndigheder, når
behandlingen sker på baggrund af lov og er nødvendig og
forholdsmæssig i forhold til dette efterfølgende formål.
Den foreslåede bestemmelse giver således en relativt vid ad-
gang for de kompetente myndigheder til at behandle, herun-
der videregive, oplysninger til nye formål inden for lovens
anvendelsesområde.
Det er f.eks. relevant i forhold til den videregivelse af perso-
noplysninger, som finder sted i forbindelse med en straffe-
sags forløb. Politiet kan således indsamle oplysninger om en
mistænkts telefonnummer i forbindelsen med efterforsknin-
gen af et strafbart forhold. Hvis der indledes en straffesag,
vil oplysningen om den (nu) tiltaltes telefonnummer blive
videregivet til domstolene til brug for forkyndelse af ankla-
geskrift og indkaldelse til hovedforhandling. Hvis den på-
gældende findes skyldig og idømmes en fængselsstraf, vil
oplysningerne om den (nu) dømtes telefonnummer blive vi-
deregivet til kriminalforsorgen til brug for indkaldelse til af-
soning.
Såfremt det efterfølgende formål falder uden for lovens an-
vendelsesområde, vil behandlingen, herunder den kompe-
tente myndigheds videregivelse, skulle ske på baggrund af
persondataloven og – fra den 25. maj 2018 – databeskyttel-
sesforordningen.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 5, stk. 2, 2. pkt., at senere
behandling af oplysninger, der alene sker i historisk, stati-
stisk eller videnskabeligt øjemed, ikke anses for uforenelig
med de formål, hvortil oplysningerne er indsamlede.
65
Det fremgår videre af persondatalovens § 14, at oplysninger,
der er omfattet af persondataloven, kan overføres til arkiv
efter reglerne i arkivlovgivningen.
Det foreslås i stk. 2, at der i medfør af stk. 1 endvidere kan
foretages behandling af oplysninger, der alene sker til arkiv-
formål i samfundets interesse eller i historisk, statistisk eller
videnskabeligt øjemed.
Med den foreslåede bestemmelse gøres det klart, at en be-
handling, der alene sker til arkivformål i samfundets interes-
se eller i historisk, statistisk eller videnskabeligt øjemed, op-
fylder betingelsen i den foreslåede § 5, stk. 1, om, at en ef-
terfølgende behandling skal være nødvendig og forholds-
mæssig.
Bestemmelsen omfatter alene behandling, der er omfattet af
lovens anvendelsesområde. I det omfang, at der er tale om
behandling med henblik på arkivformål i samfundets inte-
resse eller i historisk, statistisk eller videnskabeligt øjemed,
som falder uden for lovens anvendelsesområde, vil behand-
lingen, herunder videregivelsen, i stedet skulle ske efter de
ovennævnte regler i persondataloven og – fra den 25. maj
2018 – databeskyttelsesforordningen.
Persondataloven indeholder ikke et en eksplicit og overord-
net bestemmelse om den dataansvarliges ansvar. I stedet føl-
ger den dataansvarliges ansvar implicit af, at den dataan-
svarlige har retten til at disponere og bestemme over de på-
gældende personoplysninger og derfor også er ansvarlig for
overholdelse af databeskyttelsesretten ved behandling af
personoplysninger.
Det foreslås i stk. 3, at den dataansvarlige er ansvarlig for og
skal kunne påvise, at en efterfølgende behandling er i over-
ensstemmelse med den foreslåede § 5, stk. 1 og 2, jf. herved
også den foreslåede § 4, stk. 8, og bemærkningerne hertil.
Der henvises i øvrigt til pkt. 2.3.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 6
Det fremgår af rammeafgørelsesbekendtgørelsens § 3, stk. 3,
at behandling ikke må ske i strid med specifikke begræns-
ninger for behandling af videregivne oplysninger fastsat i
lovgivningen gældende for den videregivende udenlandske
myndighed, når den videregivende myndighed gør opmærk-
som på begrænsningerne.
Det foreslås i stk. 1, at når der foretages videregivelse, fast-
sætter og underretter den videregivende kompetente myn-
dighed om eventuelle særlige vilkår for behandling af oplys-
ninger. Der kan ikke fastsættes særlige vilkår alene som føl-
ge af, at der er tale om en videregivelse til en modtager i en
anden medlemsstat.
Den foreslåede bestemmelse vedrører både videregivelse
mellem de kompetente danske myndigheder og videregivel-
se fra en dansk kompetent myndighed til en kompetent myn-
dighed i anden medlemsstat.
Bestemmelsen giver mulighed for, at de kompetente myn-
digheder i Danmark kan opstille de samme vilkår for, hvor-
dan henholdsvis en anden dansk kompetent myndighed og
en kompetent myndighed i en anden medlemsstat kan be-
handle, herunder navnlig videregive, personoplysninger. Der
kan f.eks. være tale om et forbud mod at videregive perso-
noplysninger til andre, eller at anvende oplysningerne til an-
dre formål end dem, på baggrund af hvilke de blev videregi-
vet til modtageren.
Det foreslås videre i stk. 2, at behandling af oplysninger, der
er modtaget fra en kompetent myndighed, ikke må ske i
strid med særlige vilkår, som er fastsat af den videregivende
kompetente myndighed.
Med den foreslåede bestemmelse sikres det, at de kompeten-
te myndigheder er forpligtet til at overholde eventuelle sær-
lige vilkår, som er fastsat af den videregivende myndighed.
Det er en forudsætning, at den videregivende myndighed har
gjort opmærksom på det særlige vilkår, eller det på anden
måde står klart for den modtagende myndighed, at der gæl-
der særlige vilkår for behandlingen af de modtagne persono-
plysninger.
Til § 7
Det fremgår af persondatalovens § 5, stk. 5, at indsamlede
oplysninger ikke må opbevares på en måde, der giver mulig-
hed for at identificere den registrerede i et længere tidsrum
end det, der er nødvendigt af hensyn til de formål, hvortil
oplysningerne behandles.
Det fremgår af rammeafgørelsesbekendtgørelsens § 8, at den
dataansvarlige skal tilrettelægge behandlingen af persono-
plysninger således, at der fastsættes passende frister for slet-
ningen af personoplysninger eller regelmæssig undersøgelse
af behovet for lagringen af oplysningerne. Det sikres endvi-
dere ved proceduremæssige foranstaltninger, at tidsfristerne
overholdes.
Det foreslås i § 7, at den dataansvarlige skal tilrettelægge
behandlingen af personoplysninger således, at der fastsættes
passende frister for sletningen af personoplysninger eller re-
gelmæssig undersøgelse af behovet for lagringen af oplys-
66
ningerne. Det sikres endvidere ved proceduremæssige foran-
staltninger, at tidsfristerne overholdes.
De kompetente myndigheder er allerede efter gældende ret
underlagt en sådan forpligtelse i forhold til den grænseover-
skridende udveksling af personoplysninger, men med den
foreslåede bestemmelse udvides – den eksplicitte – forplig-
telsen til rent nationale forhold.
Kravet vil kunne opfyldes ved, at den dataansvarlige myn-
dighed fastsætter generelle frister for, hvornår de persono-
plysninger, som myndigheden behandler, skal slettes.
Der er således ikke krav om, at den dataansvarlige løbende
skal gennemgå samtlige sine sager, dokumenter mv. med
henblik på at sikre, at der ikke opbevares konkrete persono-
plysninger i strid med bestemmelsen, så længe myndigheden
har procedurer, som sikrer, at der sker sletning i overens-
stemmelse med de fastsatte frister. Der er således ikke krav
om, at der skal fastsættes specifikke frister for de enkelte
dokumenter og oplysninger, der indgår i en straffesag.
Der henvises i øvrigt til pkt. 2.3.3.2 i lovforslagets alminde-
lige bemærkninger.
Til § 8
Gældende ret indeholder ikke en eksplicit forpligtelse for
den dataansvarlige til at sondre mellem forskellige kategori-
er af registrerede.
Det foreslås i § 8, at den dataansvarlige, når det er relevant,
så vidt muligt skal sondre mellem personoplysninger om
forskellige kategorier af registrerede, herunder personer, om
hvem der er væsentlig grund til at tro, at de har begået eller
vil begå en strafbar handling, personer, der er dømt for en
strafbar handling, ofre for en strafbar handling eller perso-
ner, om hvem visse faktiske omstændigheder giver anled-
ning til at tro, at de kunne blive ofre for en strafbar handling,
og andre parter i forbindelse med en strafbar handling, så-
som personer, der kan blive indkaldt som vidner i efterforsk-
ninger i forbindelse med strafbare handlinger eller i efterføl-
gende straffesager, personer, der kan tilvejebringe oplysnin-
ger om strafbare handlinger, eller kontakt- eller ledsageper-
soner for personer, om hvem der er væsentlig grund til at
tro, at de har begået eller vil begå en strafbar handling, eller
personer, der er dømt for en strafbar handling.
Kravet vil efter omstændighederne fortsat kunne opfyldes på
forskellige måder. Der vil således kunne ske en opfyldelse
af kravet ved at anvende forskellige databehandlingssyste-
mer eller forskellige generelle regler for forskellige katego-
rier af registrerede. Det vil endvidere kunne opfyldes gen-
nem konkrete angivelser af, hvilken kategori af registrerede
som en given oplysning vedrører, hvilket muliggør, at der
vil kunne foretages en konkret afvejning, inden der iværk-
sættes behandling. Angivelsen af, at der så vidt muligt skal
sondres, indebærer dog, at der i de fleste sammenhænge ik-
ke skal ske en forskellig behandling af oplysninger om for-
skellige kategorier af registrerede i den samme konkrete
straffesag.
Angivelsen af, at der skal sondres, når det er relevant, inde-
bærer, at der kan være situationer, hvor der ikke skal son-
dres mellem forskellige kategorier af registrerede. Der kan
f.eks. være tale om en behandling af personoplysninger, som
varetager et så tungtvejende hensyn, f.eks. forebyggelse af
alvorlig kriminalitet, at der ikke er krav om at foretage en
sondring mellem de forskellige kategorier af registrerede,
som oplysningerne vedrører.
Der henvises i øvrigt til pkt. 2.3.3.3 i lovforslagets alminde-
lige bemærkninger.
Til § 9
Det fremgår af persondatalovens § 6, at behandling af perso-
noplysninger kan ske, når den registrerede har meddelt sam-
tykke hertil (stk. 1, nr. 1), når behandlingen er nødvendig for
at overholde en retlig forpligtelse, som påhviler den dataan-
svarlige (stk. 1, nr. 3), når behandlingen er nødvendig for at
beskytte den registreredes vitale interesser (stk. 1, nr. 4), når
behandlingen er nødvendig af hensyn til udførelsen af en
opgave, der henhører under offentlig myndighedsudøvelse,
som den dataansvarlige er pålagt (stk. 1, nr. 6), eller når be-
handlingen er nødvendig af hensyn til en berettiget interes-
se, og hensynet til den registrerede ikke overstiger denne in-
teresse (stk. 1, nr. 7).
Det foreslås i § 9, at behandling af oplysninger kun må finde
sted, når behandlingen er nødvendig for at forebygge, efter-
forske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder for at beskytte
mod eller forebygge trusler mod den offentlige sikkerhed.
Den foreslåede bestemmelse erstatter således de behand-
lingsgrundlag efter persondataloven, som de kompetente
myndigheder i dag anvender til behandling af personoplys-
ninger, herunder personnumre.
Der henvises i øvrigt til pkt. 2.3.3.5 i lovforslagets alminde-
lige bemærkninger.
Til § 10
Det fremgår af persondatalovens § 7 stk. 1, at der som ho-
vedregel ikke må behandles oplysninger om racemæssig el-
67
ler etnisk baggrund, politisk, religiøs eller filosofisk overbe-
visning, fagforeningsmæssige tilhørsforhold og oplysninger
om helbredsmæssige og seksuelle forhold.
Det fremgår videre af bestemmelsens stk. 6, at behandling af
de følsomme oplysninger, der er nævnt i stk. 1, kan ske, hvis
behandlingen er nødvendig af hensyn til en offentlig myn-
digheds varetagelse af sine opgaver på det strafferetlige om-
råde.
Persondatalovens § 7, stk. 6, suppleres for så vidt angår
grænseoverskridende udveksling af oplysninger af rammeaf-
gørelsesbekendtgørelsens § 2, stk. 2. Det fremgår heraf, at
behandling af oplysninger om racemæssig eller etnisk bag-
grund, politisk, religiøs eller filosofisk overbevisning, fag-
foreningsmæssige tilhørsforhold og oplysninger om hel-
bredsmæssige og seksuelle forhold efter persondatalovens §
7, stk. 6, ikke må ske, medmindre behandlingen er strengt
nødvendig.
Det foreslås i stk. 1, at der ikke må behandles personoplys-
ninger om race eller etnisk oprindelse, politisk, religiøs eller
filosofisk overbevisning eller fagforeningsmæssigt tilhørs-
forhold samt genetiske data, biometriske data, der behandles
med det formål entydigt at identificere en fysisk person, hel-
bredsoplysninger eller oplysninger om en fysisk persons
seksuelle forhold eller seksuelle orientering.
Det foreslås videre i stk. 2, at der dog under overholdelse af
betingelserne i lovforslaget kan foretages behandling af op-
lysninger omfattet af stk. 1, når det er strengt nødvendigt og
sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herun-
der for at beskytte den registreredes eller en anden fysisk
persons vitale interesser, eller hvis behandlingen vedrører
oplysninger, som tydeligvis er offentliggjort af den registre-
rede.
I forhold til behandlingen af almindelige personoplysninger,
er der således efter den foreslåede bestemmelse tale om et
skærpet krav til nødvendigheden, idet behandlingen for så
vidt angår disse særlige kategorier af oplysninger skal være
strengt nødvendig. Kravet er desuden skærpet i forhold til
den gældende bestemmelse i persondatalovens § 7, stk. 6,
men er en videreførelse af kravet i rammeafgørelsesbekendt-
gørelsens § 2, stk. 2.
I praksis vil det dog formentlig ikke vil være muligt at angi-
ve nogen væsentlig forskel på kriterierne ”nødvendigt” og
”strengt nødvendigt”. Det gælder således bl.a. i relation til
politiets mv. adgang til at behandle de nævnte typer af føl-
somme personoplysninger med henblik på kriminalitetsbe-
kæmpelse, f.eks. behandling af oplysninger om politisk
overbevisning i forbindelse med opklaring af et politisk mo-
tiveret mord, eller behandling af oplysninger om race med
henblik på at identificere en gerningsmand.
Henvisningen til, at der kan ske behandling for at beskytte
den registreredes eller en anden fysisk persons vitale interes-
ser, eller hvis der er tale om oplysninger, som tydeligvis er
offentliggjort af den registrerede, er medtaget for at sikre, at
der ikke kan opstå tvivl om, hvorvidt der er sket en korrekt
implementering af retshåndhævelsesdirektivets artikel 10.
Der henvises i øvrigt til pkt. 2.3.3.6 i lovforslagets alminde-
lige bemærkninger.
Til § 11
Det fremgår af persondatalovens § 39, at hvis en registreret
person fremsætter indsigelse herimod, kan den dataansvarli-
ge ikke foranstalte, at den registrerede undergives afgørel-
ser, der har retsvirkninger for eller i øvrigt berører den på-
gældende i væsentlig grad, og som alene er truffet på grund-
lag af elektronisk databehandling af oplysninger, der er be-
stemt til at vurdere bestemte personlige forhold.
Efter bestemmelsens stk. 3 har den registrerede ret til hos
den dataansvarlige snarest muligt og uden ugrundet ophold
at få at vide, hvilke beslutningsregler der ligger bag en afgø-
relse som nævnt i stk. 1. Persondatalovens § 30 om undta-
gelser fra oplysningspligten finder tilsvarende anvendelse.
Persondatalovens § 30 finder ikke anvendelse for politiets,
anklagemyndighedens og domstolenes behandling af perso-
noplysninger inden for det strafferetlige område.
Det foreslås i stk. 1, at der kan træffes afgørelser, der har ne-
gativ retsvirkning for den registrerede eller betydeligt påvir-
ker den pågældende, alene på grundlag af automatisk be-
handling, herunder profilering.
Det er en betingelse, at der findes passende foranstaltninger
til at sikre den registreredes berettigede interesser, herunder
i det mindste en ret for den registrerede til at kræve menne-
skelig indgriben fra den dataansvarliges side, jf. det foreslå-
ede stk. 2.
Der træffes ikke aktuelt sådanne afgørelser af de kompetente
myndigheder, men hvis det i fremtiden måtte blive relevant,
navnlig som følge af den teknologiske udvikling, etableres
der med den foreslåede bestemmelse en mulighed herfor.
De afgørelser, som i givet fald vil være omfattet af bestem-
melsen, vil være myndighedsafgørelser i forvaltningslovens
forstand, dvs. udtalelser, der går ud på at fastsætte, hvad der
er eller skal være ret i et foreliggende tilfælde, idet automa-
tiske afgørelser ikke er relevante i forhold til afgørelser truf-
fet af domstolene.
68
De foranstaltninger, som skal fastsættes for at sikre den regi-
streredes berettigede interesser, kan udover adgangen til at
kræve menneskelig indgriben f.eks. være regler om, at der
stikprøvevis skal foretages en menneskelig kontrol af de
automatiske afgørelser.
Der henvises i øvrigt til pkt. 2.3.3.7 i lovforslagets alminde-
lige bemærkninger.
Til § 12
Gældende ret indeholder ikke en forpligtelse for den dataan-
svarlige til at indføre mekanismer, som kan tilskynde til ind-
beretning af overtrædelse af reglerne om beskyttelse af per-
sonoplysninger.
Det foreslås i § 12, at de kompetente myndigheder skal ind-
føre effektive mekanismer, som tilskynder til fortrolig ind-
beretning til tilsynsmyndighederne af overtrædelser af den
foreslåede lov.
Der kræves ikke etablering af egentlige whistle-blower-ord-
ninger for at opfylde kravet. En mekanisme kan således
f.eks. bestå i, at det sikres, at ansatte – eventuelt via databe-
skyttelsesrådgiveren – kan indberette en overtrædelse af lo-
ven – eller en formodning herom – til tilsynsmyndigheden,
såfremt der er truffet foranstaltninger, der sikrer, at dette ik-
ke vil føre til disciplinære reaktioner over for de pågælden-
de.
Til § 13
Det fremgår af persondatalovens § 28, stk. 1, at den dataan-
svarlige eller dennes repræsentant ved indsamling af oplys-
ninger hos den registrerede skal give den registrerede med-
delelse om den dataansvarliges og dennes repræsentants
identitet, formålene med den behandling, hvortil oplysnin-
gerne er bestemt, og alle yderligere oplysninger, der under
hensyn til de særlige omstændigheder, hvorunder oplysnin-
gerne er indsamlet, er nødvendige for, at den registrerede
kan varetage sine interesser. Som eksempler på sådanne
yderligere oplysninger nævnes i stk. 1 kategorierne af mod-
tagere, om det er obligatorisk eller frivilligt at besvare stille-
de spørgsmål samt mulige følger af ikke at svare, og om reg-
lerne om indsigt i og om berigtigelse af de oplysninger, der
vedrører den registrerede. Bestemmelsen i stk. 1 gælder ik-
ke, hvis den registrerede allerede er bekendt med disse op-
lysninger, jf. stk. 2.
Det fremgår videre af persondatalovens § 29, stk. 1, at hvor
oplysninger ikke er indsamlet hos den registrerede, påhviler
det den dataansvarlige eller dennes repræsentant ved regi-
streringen, eller hvor de indsamlede oplysninger er bestemt
til videregivelse til tredjemand, senest når videregivelsen af
oplysningerne finder sted, at give den registrerede meddelel-
se om den dataansvarliges og dennes repræsentants identitet,
formålene med den behandling, hvortil oplysningerne er be-
stemt, og alle yderligere oplysninger, der under hensyn til de
særlige omstændigheder, hvorunder oplysningerne er ind-
samlet, er nødvendige for, at den registrerede kan varetage
sine interesser. Som eksempler på sådanne yderligere oplys-
ninger nævnes i stk. 1 hvilken type oplysninger det drejer
sig om, kategorierne af modtagere og om reglerne om ind-
sigt i og om berigtigelse af de oplysninger, der vedrører den
registrerede. Bestemmelsen i stk. 1 gælder ikke, hvis den re-
gistrerede allerede er bekendt med disse oplysninger, hvis
registreringen eller videregivelsen udtrykkeligt er fastsat ved
lov eller bestemmelser fastsat i henhold til lov, eller hvis un-
derretning af den registrerede viser sig umulig eller er ufor-
holdsmæssigt vanskelig, jf. stk. 2 og 3.
Det foreslås i stk. 1, at den dataansvarlige skal stille følgen-
de oplysninger til rådighed for den registrerede:
1) Identitet på og kontaktoplysninger for den dataansvarli-
ge.
2) Kontaktoplysninger for databeskyttelsesrådgiveren og
oplysninger om dennes funktion i forhold til de regi-
strerede.
3) Formålene med den behandling, som personoplysnin-
gerne skal bruges til.
4) Retten til at indgive en klage til en tilsynsmyndighed
og kontaktoplysningerne for tilsynsmyndigheden.
5) Den registreredes rettigheder efter kapitel 5 og 6.
6) Retten til at lade den kompetente tilsynsmyndighed
udøve den registreredes rettigheder i forhold til de
kompetente myndigheders afgørelser om undladelse,
udsættelse, begrænsning eller nægtelse efter kapitel
4-6, jf. § 40, stk. 1, nr. 10.
Den dataansvarliges forpligtelse til at stille oplysninger til
rådighed kan f.eks. opfyldes ved at gøre oplysningerne til-
gængelige på den kompetente myndigheds hjemmeside eller
gennem trykt materiale, som er tilgængeligt for de registre-
rede.
Navnlig for så vidt angår kravet i bestemmelsens nr. 3,
hvorefter den dataansvarlige skal angive formålene med den
behandling, som personoplysningerne skal bruges til, vil en
mere generel angivelse af de opgaver, som myndigheden va-
retager, anses for at være tilstrækkelig. Det vil således f.eks.
i forhold til en dataansvarlig politimyndighed være tilstræk-
keligt, hvis det fremgår af de oplysninger, der stilles til rå-
dighed, at oplysninger behandles med henblik på at løse de
opgaver, der fremgår af politilovens § 2, kombineret med en
nærmere angivelse af, hvilke opgaver der fremgå af politilo-
vens § 2.
Bestemmelsen i stk. 2 indebærer en pligt for den dataansvar-
lige til at meddele en række oplysninger til den registrerede.
69
Det foreslås således i stk. 2, at når det er nødvendigt for, at
den registrerede kan varetage sine interesser, skal den data-
ansvarlige som minimum give den registrerede meddelelse
om følgende:
1) Retsgrundlaget for behandlingen.
2) Det tidsrum, hvor personoplysningerne vil blive opbe-
varet, eller, hvis dette ikke er muligt, de kriterier, der
anvendes til at fastlægge dette tidsrum.
3) Kategorierne af eventuelle modtagere af personoply-
sningerne, herunder i tredjelande eller internationale
organisationer.
4) Yderligere oplysninger, hvis det er nødvendigt, navnlig
hvis personoplysningerne indsamles uden den registre-
redes vidende.
Efter den foreslåede bestemmelse stilles der – i modsætning
til efter den foreslåede § 13, stk. 1 – krav om, at den dataan-
svarlige myndighed konkret underretter den registrerede.
Underretning skal ske, når det er nødvendigt under hensyn-
tagen til de specifikke omstændigheder, hvorunder oplysnin-
gerne behandles, med henblik på at sikre den registrerede en
rimelig behandling af oplysningerne. Der vil imidlertid skul-
le tages behørigt hensyn til f.eks. de særlige fortroligheds-
hensyn, som politiet og anklagemyndighedens behandling af
personoplysninger om mistænkte mv. er underlagt i forbin-
delse med en straffesags efterforskning og forberedelse, jf.
også bemærkningerne til lovforslagets § 14.
Det vil ikke være nødvendigt at foretage underretning af den
registrerede, hvis der er tale om en sammenhæng, hvor be-
handlingen af oplysningerne ikke kan føre til negative rets-
virkninger for den registrerede, eller hvis det ud fra sam-
menhængen, hvori oplysningerne er indsamlet, må stå klart
for den registrerede, hvad oplysningerne skal anvendes til,
f.eks. en person, der til brug for en konkret efterforskning
afgiver forklaring til politiet. Tilsvarende vil gælde behand-
ling af oplysninger vedrørende personer, som utilsigtet eller
tilfældigt kommer i berøring med en konkret straffesag,
f.eks. i forbindelse med overvågning, aflytning og lignende
af en person, som er mistænkt for et strafbart forhold.
Når der er tale om personoplysninger, der er indeholdt i en
konkret straffesag hos f.eks. politiet eller anklagemyndighe-
den eller i en retsafgørelse i en straffesag, skal oplysnings-
pligten gennemføres efter reglerne om underretning i rets-
plejeloven, jf. den foreslåede § 18, stk. 3. Det indebærer, at
der i disse tilfælde sker underretning af de pågældende per-
soner i overensstemmelse med retsplejelovens regler. Det
kan f.eks. være underretning af den sigtede om sigtelsen, jf.
§ 752, underretning om indgreb i meddelelseshemmelighe-
den, jf. § 788, eller underretning om en ransagning, jf. §
798.
Underretningen skal ske ved indsamlingen eller i umiddel-
bar forlængelse heraf. Der skal ske underretning, uanset om
oplysningerne indsamles med eller uden den pågældendes
vidende.
Der er ingen formkrav til underretningen, men hensynet til
at sikre, at der ikke kan opstå tvivl om, hvorvidt der er fore-
taget korrekt underretning, fører til, at underretningen som
udgangspunkt bør ske skriftligt.
Kravet i nr. 1 om, at retsgrundlaget for behandlingen skal
meddeles til den registrerede, kan opfyldes gennem en angi-
velse af den lovbestemmelse, der danner grundlag for den
relevante behandling af personoplysninger. Alt efter de kon-
krete omstændigheder kan retsgrundlaget være en generel
lovhjemlet opgave, som f.eks. de opgaver, der fremgår af
politilovens § 2, eller være knyttet til mere konkrete opga-
ver, sagstyper mv., som den dataansvarlige varetager. Det
afgørende for, om kravet kan anses for opfyldt, vil være, om
den registrerede tilvejebringes en mulighed for at gøre sig
bekendt med det retlige grundlag for behandlingen af perso-
noplysninger.
Underretningen skal ikke indeholde oplysninger om, hvilke
konkrete oplysninger der behandles om den pågældende.
Ønsker den registrerede oplysninger herom, skal det ske i
medfør af den foreslåede § 15 om den registreredes indsigts-
ret.
Hvis der er tale om en løbende indsamling af oplysninger, er
det tilstrækkeligt, hvis underretningen gives én gang, eller at
en tidligere meddelt underretning suppleres.
For så vidt angår kravet om, at der skal gives yderligere op-
lysninger, når det er nødvendigt, jf. nr. 4, kan der f.eks. være
tale om oplysninger om, at den registrerede vil blive under-
lagt en automatisk afgørelse efter den foreslåede § 11.
Der henvises i øvrigt til pkt. 2.4.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 14
Det fremgår af persondatalovens § 30, stk. 1, at bestemmel-
serne i § 28, stk. 1, og § 29, stk. 1, ikke gælder, hvis den re-
gistreredes interesse i at få kendskab til oplysningerne findes
at burde vige for afgørende hensyn til private interesser, her-
under hensynet til den pågældende selv.
Undtagelse fra bestemmelserne i § 28, stk. 1, og § 29, stk. 1,
kan ifølge § 30, stk. 2, tillige gøres, hvis den registreredes
interesse i at få kendskab til oplysningerne findes at burde
vige for afgørende hensyn til offentlige interesser, herunder
70
navnlig til statens sikkerhed (nr. 1), forsvaret (nr. 2), den of-
fentlige sikkerhed (nr. 3), forebyggelse, efterforskning, af-
sløring og retsforfølgning i straffesager eller i forbindelse
med brud på etiske regler for lovregulerede erhverv (nr. 4),
væsentlige økonomiske eller finansielle interesser hos en
medlemsstat eller Den Europæiske Union, herunder valuta-,
budget- og skatteanliggender (nr. 5), og kontrol-, tilsyns- el-
ler reguleringsopgaver, herunder opgaver af midlertidig ka-
rakter, der er et led i den offentlige myndighedsudøvelse på
de i nr. 3-5 nævnte områder (nr. 6).
Det foreslås i stk. 1, at meddelelse efter den foreslåede § 13,
stk. 2, kan udsættes, begrænses eller undlades, hvis det føl-
ger af lov, eller hvis den registreredes interesse i at få kends-
kab til oplysningerne findes at burde vige for at
1) undgå, at der lægges hindringer i vejen for officielle el-
ler retlige undersøgelser, efterforskninger eller proce-
durer,
2) undgå at skade forebyggelsen, afsløringen, efterforsk-
ningen eller retsforfølgningen af strafbare handlinger
eller fuldbyrdelsen af strafferetlige sanktioner,
3) beskytte den offentlige sikkerhed,
4) beskytte statens sikkerhed eller
5) beskytte den registreredes eller andres rettigheder.
Med den foreslåede bestemmelse gives der mulighed for at
udsætte, begrænse eller undlade en underretning af den regi-
strerede.
Som følge af det foreslåede anvendelsesområde for loven,
vil navnlig hensynet til at undgå, at der lægges hindringer i
vejen for officielle eller retlige undersøgelser, efterforsknin-
ger eller procedurer, jf. nr. 1, og hensynet til at undgå at ska-
de forebyggelsen, afsløringen, efterforskningen eller retsfor-
følgningen af strafbare handlinger eller fuldbyrdelsen af
strafferetlige sanktioner, jf. nr. 2, ofte føre til, at der ikke
skal gives underretning til den registrerede i medfør af den
foreslåede § 13, stk. 2. Der kan f.eks. være tale om situatio-
ner, hvor en meddelelse til den registrerede om, at politiet i
forbindelse med en efterforskning behandler oplysninger om
den pågældende, f.eks. i form af en aflytning, vil indebære,
at formålet med efterforskningen forspildes.
Hensynet til at beskytte den offentlige sikkerhed og statens
sikkerhed skal forstås i lyset af EU-Domstolens praksis. Det
fremgår således af EU-Domstolens dom af 23. november
2010 i sagen C-145/09, Tsakouridis, præmis 43 og 44, at
Domstolen vedrørende den offentlige sikkerhed har fastslå-
et, at begrebet omfatter både en medlemsstats indre og ydre
sikkerhed, og en trussel mod de grundlæggende offentlige
institutioners og tjenesters funktionsmåde eller befolknin-
gens overlevelse samt risikoen for en alvorlig forstyrrelse af
de internationale relationer eller af nationernes fredelige
sameksistens eller en trussel mod militære interesser kan på-
virke den offentlige sikkerhed.
Hensynet til den offentlige sikkerhed kan f.eks. være rele-
vant i forbindelse med de kompetente myndigheders be-
handling af sager mod ansatte fra Forsvarets Efterretnings-
tjeneste og Politiets Efterretningstjeneste.
Begrænsninger i underretningspligten, som følger af eksi-
sterende lovgivning, herunder retsplejelovens regler, vil
kunne opretholdes, såfremt begrænsningen sker af hensyn til
en af de grunde, som fremgår af den foreslåede § 14, stk. 2,
jf. herved også den foreslåede § 2 og bemærkningerne hertil.
Det foreslås videre i stk. 2, at justitsministeren bemyndiges
til at fastsætte nærmere regler om, hvilke kategorier af be-
handling der er omfattet af stk. 1, samt om, at meddelelse ef-
ter § 13, stk. 2, kan udsættes til et passende tidspunkt, for så
vidt hensynene i stk. 1 må antages at medføre, at meddelel-
ser i almindelighed må underkastes en sådan udsættelse.
Ved fastsættelsen af sådanne regler vil der ske en inddragel-
se af de relevante myndigheder, herunder forsvarsministeren
for så vidt angår regler med betydning for den militære an-
klagemyndigheds behandling af personoplysninger.
Adgangen for justitsministeren til at fastsætte nærmere reg-
ler om, at meddelelse efter § 13, stk. 2, kan udsættes til et
passende tidspunkt, vil navnlig kunne anvendes til at fast-
sætte regler om, at meddelelse bør finde sted samtidig med
de øvrige processuelle skridt, som straffesager er underlagt.
I praksis vil de hensyn, som fremgår af den foreslåede § 14,
stk. 1, føre til, at oplysningspligten efter § 13, stk. 1, ikke
kan iagttages tidligere end det tidspunkt, hvor der eksempel-
vis rejses sigtelse, og hvor der således gives meddelelse til
den pågældende i overensstemmelse med retsplejelovens
regler herom. Efter bestemmelsen vil justitsministeren såle-
des kunne regulere nærmere, hvornår lignende tilfælde må
antages at foreligge inden for lovens anvendelsesområde,
samt hvordan meddelelse i sådanne tilfælde skal gennemfø-
res mv. Bemyndigelsen vil f.eks. muliggøre, at der i be-
kendtgørelse om behandling af personoplysninger i Det
Centrale Kriminalregister (Kriminalregisteret) fastsættes
regler om, hvornår en registreret skal gives meddelelse om,
at registeret indeholder oplysninger om den pågældende.
Reglerne i sådanne bekendtgørelser vil selvsagt skulle over-
holde retshåndhævelsesdirektivets regler.
Den registreredes ret til at lade den kompetente tilsynsmyn-
dighed udøve den registreredes rettigheder i forhold til ud-
sættelse, begrænsning eller nægtelse finder fortsat anvendel-
se, uanset at en udsættelse af tidspunktet for meddelelse ef-
ter § 13, stk. 2, følger af en sådan generelt fastsat regel.
Der henvises i øvrigt til pkt. 2.4.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 15
71
Det fremgår af persondatalovens § 31, at når en person
fremsætter begæring herom, skal den dataansvarlige give
den pågældende meddelelse om, hvorvidt der behandles op-
lysninger om vedkommende. Behandles sådanne oplysnin-
ger, skal der på en let forståelig måde gives den registrerede
meddelelse om, hvilke oplysninger der behandles, behand-
lingens formål, kategorierne af modtagere af oplysningerne
og tilgængelig information om, hvorfra disse oplysninger
stammer.
Den dataansvarlige skal snarest besvare begæringer som
nævnt i stk. 1. Er begæringen ikke besvaret inden 4 uger ef-
ter modtagelsen, skal den dataansvarlige underrette den på-
gældende om grunden hertil, samt om, hvornår afgørelsen
kan forventes at foreligge, jf. stk. 2.
Bestemmelsen i § 31 finder ikke anvendelse på behandlin-
ger, der foretages for domstolene inden for det strafferetlige
område, jf. § 2, stk. 4.
Det foreslås i stk. 1, at hvis en registreret fremsætter begæ-
ring herom, skal den dataansvarlige bekræfte over for den
pågældende, om der behandles oplysninger om vedkom-
mende.
Behandles der oplysninger om den pågældende, skal der ef-
ter det foreslåede stk. 2, gives adgang til oplysningerne samt
en meddelelse med følgende oplysninger:
1) Formålene med og retsgrundlaget for behandlingen.
2) De berørte kategorier af personoplysninger.
3) De modtagere eller kategorier af modtagere, som per-
sonoplysningerne er videregivet til, herunder navnlig
modtagere i tredjelande eller internationale organisatio-
ner.
4) Om muligt, det påtænkte tidsrum, hvor personoplysnin-
gerne vil blive opbevaret, eller, hvis dette ikke er mu-
ligt, de kriterier, der anvendes til at fastlægge dette
tidsrum.
5) Retten til at anmode den dataansvarlige om berigtigelse
eller sletning af personoplysninger eller begrænsning af
behandling vedrørende den registrerede.
6) Retten til at indgive en klage til tilsynsmyndigheden og
kontaktoplysningerne for tilsynsmyndigheden.
7) Hvilke personoplysninger, der er omfattet af behandlin-
gen, og enhver tilgængelig oplysning om, hvorfra de
stammer.
De oplysninger, der efter bestemmelsen skal meddeles til
den registrerede, er de oplysninger, der behandles på tids-
punktet for begæringen og indtil begæringen ekspederes.
Den registrerede har ikke krav på at få oplyst, hvilke oplys-
ninger der tidligere har været undergivet behandling.
Formålet med behandlingen, jf. nr. 1, kan angives generelt,
f.eks. ”til brug for efterforskning af strafbare forhold”.
Hvis der hersker rimelig tvivl om identiteten af den fysiske
person, der fremsætter en indsigtsanmodning, skal den data-
ansvarlige i overensstemmelse med de almindelige forvalt-
ningsretlige principper anmode om de yderligere oplysnin-
ger, der er nødvendige for at bekræfte den pågældendes
identitet.
Når der er tale om personoplysninger, der er indeholdt i en
konkret straffesag hos f.eks. politiet eller anklagemyndighe-
den eller i en retsafgørelse i en straffesag, skal indsigtsretten
i øvrigt gennemføres efter retsplejelovens regler om adgang
til materialet i straffesager og om indsigt i retsafgørelser, jf.
den foreslåede § 18, stk. 3. Indsigtsanmodninger skal såle-
des afgøres efter retsplejelovens regler i kapitel 3 a om akt-
indsigt i bl.a. domme og kendelser og i dokumenterne i en
straffesag samt §§ 729 a – d om den sigtedes adgang til ma-
terialet i straffesagen. For så vidt angår registrerede, hvis
indsigtsret ikke er reguleret af retsplejelovens regler, f.eks.
personer, som optræder som bipersoner i en straffesag, vil
reglerne i det foreslåede afsnit III finde anvendelse.
Til § 16
Persondatalovens § 32 indeholder en række undtagelser til
indsigtsretten efter § 31. Det fremgår således af bestemmel-
sens stk. 1, at retten til indsigt ikke gælder, hvis betingelser-
ne i § 30 er opfyldt, jf. ovenfor.
Det fremgår videre af bestemmelsens stk. 3, at der ikke er
ret til indsigt i oplysninger, der behandles for domstolene,
hvis oplysningerne indgår i tekst, som ikke foreligger i en-
delig form. Dette gælder dog ikke, hvis oplysningerne er vi-
deregivet til en tredjemand. Der er ikke ret til indsigt i vote-
ringsprotokoller og andre referater af domstolenes rådslag-
ning samt materiale udarbejdet af domstolene til brug for
rådslagningen.
Bestemmelsen i § 31, stk. 1, finder heller ikke anvendelse,
hvis oplysningerne udelukkende behandles i videnskabeligt
øjemed, eller hvor oplysningerne kun opbevares i form af
personoplysninger i det tidsrum, som kræves for at udarbej-
de statistikker, jf. stk. 4.
Det fremgår desuden af bestemmelsens stk. 5, at for behand-
ling af oplysninger på det strafferetlige område, der foreta-
ges for den offentlige forvaltning, kan justitsministeren fast-
sætte undtagelser fra retten til at få oplysninger efter § 31,
stk. 1, for så vidt bestemmelsen i § 32, stk. 1, jf. herved §
30, må antages at medføre, at begæringer om ret til indsigt i
almindelighed må afslås.
Justitsministeren har anvendt bemyndigelsesbestemmelsen i
lovens § 32, stk. 5, til ved bekendtgørelse at gøre undtagelse
fra indsigtsretten. Det følger således af § 13 i bekendtgørelse
72
nr. 1776 af 16. december 2015 om politiets anvendelse af
automatisk nummerpladegenkendelse (ANPG), at indsigts-
retten ikke finder anvendelse i forhold til oplysninger, der
behandles i ANPG. Tilsvarende følger det af § 13, stk. 1, i
bekendtgørelse nr. 921 af 2. juli 2010 om behandling af per-
sonoplysninger i Politiets Efterforskningsstøtte Database
(PED), at indsigtsretten som udgangspunkt ikke finder an-
vendelse i forhold til oplysninger behandlet i PED.
Det foreslås i stk. 1, at indsigt efter § 15 kan udsættes, be-
grænses eller nægtes, hvis den registreredes interesse i at få
kendskab til oplysningerne findes at burde vige for de hen-
syn til offentlige interesser, der er nævnt i § 14, stk. 1.
Med den foreslåede bestemmelse gives der mulighed for at
udsætte, begrænse eller undlade at give den registrerede ind-
sigt.
Som følge af det foreslåede anvendelsesområde for loven vil
navnlig hensynet til at undgå, at der lægges hindringer i ve-
jen for officielle eller retlige undersøgelser, efterforskninger
eller procedurer, jf. § 14, stk. 1, nr. 1, og hensynet til at und-
gå at skade forebyggelsen, afsløringen, efterforskningen el-
ler retsforfølgningen af strafbare handlinger eller fuldbyrdel-
sen af strafferetlige sanktioner, jf. § 14, stk. 1, nr. 2, ofte fø-
re til, at der ikke skal meddeles indsigt til den registrerede i
medfør af den foreslåede § 15. Der kan f.eks. være tale om
situationer, hvor den omstændighed, at den registrerede bli-
ver bekendt med, at politiet i forbindelse med en efterforsk-
ning behandler oplysninger om den pågældende, f.eks. i
form af en aflytning, vil indebære, at formålet med efter-
forskningen forspildes.
Begrænsninger i indsigtsretten, som følger af eksisterende
lovgivning, herunder retsplejelovens regler, vil kunne opret-
holdes, såfremt begrænsningen sker af hensyn til en af de
grunde, som fremgår af den foreslåede § 16, jf. § 14, stk. 1,
jf. herved også den foreslåede § 2 og bemærkningerne hertil.
Det foreslås endvidere i stk. 2, at en afgørelse om, at den re-
gistreredes indsigt udsættes, begrænses eller nægtes, skal
meddeles den registrerede skriftligt og skal være ledsaget af
en begrundelse og en klagevejledning samt oplysninger om
den registreredes ret til at lade den kompetente tilsynsmyn-
dighed udøve den registreredes rettigheder i forhold til ud-
sættelse, begrænsning eller nægtelse, jf. den foreslåede § 40,
stk. 1, nr. 10.
Bestemmelsen skal forstås i lyset af de almindelige regler i
forvaltningslovens kapitel 6 og 7 om begrundelse og klage-
vejledning, idet det dog efter den foreslåede bestemmelse er
obligatorisk for den dataansvarlige at give en skriftlig be-
grundelse, ligesom der er et særligt krav om at oplyse om
muligheden for, at den registrerede kan udøve sin indsigtsret
gennem tilsynsmyndigheden.
Det foreslås videre i stk. 3, at af hensyn til de i stk. 1, jf. §
14, stk. 1, nævnte formål kan den registrerede i stedet for
meddelelse efter stk. 2 gives meddelelse om, at det ikke kan
oplyses, om der behandles oplysninger om den pågældende.
En sådan meddelelse skal indeholde en klagevejledning og
oplysninger om den registreredes ret til at lade den kompe-
tente tilsynsmyndighed udøve den registreredes rettigheder,
jf. § 40, stk. 1, nr. 10.
Den kompetente myndighed vil efter den foreslåede bestem-
melse således kunne svare den registrerede, at det hverken
kan af- eller bekræftes, at der behandles oplysninger om den
pågældende. Den foreslåede bestemmelse indebærer deri-
mod ikke, at den dataansvarlige kan undlade at give en kla-
gevejledning samt oplyse om den registreredes mulighed for
at udøve sin indsigtsret gennem tilsynsmyndigheden.
Det foreslås i stk. 4, at justitsministeren bemyndiges til at
fastsætte nærmere regler om, hvilke kategorier af behand-
ling der er omfattet af stk. 1, jf. § 14, stk. 1, samt om undta-
gelse fra retten til at få oplysninger efter § 15 for så vidt
hensynene i stk. 1 må antages at medføre, at begæringer om
indsigt i almindelighed må afslås. Ved fastsættelsen af så-
danne regler vil der ske en inddragelse af de relevante myn-
digheder, herunder forsvarsministeren for så vidt angår reg-
ler med betydning for den militære anklagemyndigheds be-
handling af personoplysninger.
Bestemmelsen vil f.eks. muliggøre, at der ligesom i dag kan
fastsættes nærmere regler om, hvornår registrerede skal have
adgang til indsigt i Det Centrale Kriminalregister eller op-
lysninger i ANPG-systemet, jf. henholdsvis bekendtgørelse
om behandling af personoplysninger i Det Centrale Krimi-
nalregister (Kriminalregisteret) og bekendtgørelse nr. 1776
af 16. december 2015 om politiets anvendelse af automatisk
nummerpladegenkendelse (ANPG). Reglerne i sådanne be-
kendtgørelser vil selvsagt skulle overholde retshåndhævel-
sesdirektivets regler.
Den registreredes ret til at lade den kompetente tilsynsmyn-
dighed udøve den registreredes rettigheder i forhold til ud-
sættelse, begrænsning eller nægtelse, jf. § 40, stk. 1, nr. 10,
finder fortsat anvendelse, uanset om et afslag på indsigt føl-
ger af en sådan generelt fastsat regel.
Der henvises i øvrigt til pkt. 2.4.3.2 i lovforslagets alminde-
lige bemærkninger.
Til § 17
Det fremgår af persondatalovens § 37, at den dataansvarlige
skal berigtige, slette eller blokere oplysninger, der viser sig
urigtige eller vildledende eller på lignende måde er behand-
73
let i strid med lov eller bestemmelser udstedt i medfør af
lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets,
anklagemyndighedens og domstolenes behandling af perso-
noplysninger inden for det strafferetlige område, jf. person-
datalovens § 2, stk. 4, men bestemmelsen finder dog anven-
delse i forbindelse med den grænseoverskridende udveks-
ling af personoplysninger, jf. rammeafgørelsesbekendtgørel-
sens § 2, stk. 4.
Det foreslås i stk. 1, at den dataansvarlige efter anmodning
fra den registrerede uden unødig forsinkelse skal berigtige
oplysninger, der viser sig urigtige. På tilsvarende måde skal
der ske fuldstændiggørelse af ufuldstændige oplysninger,
hvis dette kan ske uden at bringe formålet med behandlin-
gen i fare. Den dataansvarlige skal meddele berigtigelse af
urigtige personoplysninger til den kompetente myndighed,
hvorfra de urigtige oplysninger stammer.
Med den foreslåede bestemmelse sker der således i vidt om-
fang en videreførelse af de gældende regler om berigtigelse,
som dog fremover tillige vil finde anvendelse i rent nationa-
le forhold.
Retten til berigtigelse giver ikke den registrerede mulighed
for at korrigere indholdet af f.eks. et vidneudsagn, idet
spørgsmålet om, hvorvidt de personoplysninger, som frem-
går af et vidneudsagn, er korrekte, skal håndteres i forbin-
delse med en straffesags behandling ved domstolene, jf. og-
så den foreslåede § 17, stk. 3, nr. 2.
Den foreslåede bestemmelse skal endvidere ses i sammen-
hæng med den foreslåede § 4, stk. 1, om, at der ved behand-
lingen skal tages hensyn til oplysningernes karakter, hvoraf
det følger, at der skal sondres mellem personoplysninger,
der bygger på faktiske omstændigheder, og personoplysnin-
ger, der bygger på personlige vurderinger.
Dette har betydning i forhold til vurderingen af oplysninger-
nes rigtighed. Navnlig i retssager er udsagn, der indeholder
personoplysninger, baseret på en subjektiv opfattelse af fysi-
ske personer, og det er ikke altid muligt at kontrollere dem.
Kravet om oplysningernes rigtighed bør derfor ikke vedrøre
rigtigheden af en subjektiv opfattelse, men derimod blot rig-
tigheden af, at der er fremsat et konkret udsagn.
Adgangen til fuldstændiggørelse kan opfyldes ved, at den
registrerede fremlægger en supplerende erklæring, som kan
knyttes til de oplysninger, som den dataansvarlige myndig-
hed har om den registrerede.
Når der er tale om personoplysninger, der er indeholdt i en
konkret straffesag hos f.eks. politiet eller anklagemyndighe-
den eller i en retsafgørelse i en straffesag, skal berigtigelse
mv. af oplysningerne gennemføres efter reglerne i retspleje-
loven, jf. forslaget til § 18, stk. 3. Det indebærer, at en an-
modning om berigtigelse af en retsafgørelse skal behandles i
henhold til retsplejelovens § 221.
Hvis der hersker rimelig tvivl om identiteten af den fysiske
person, der fremsætter en anmodning, skal den dataansvarli-
ge i overensstemmelse med de almindelige forvaltningsretli-
ge principper anmode om de yderligere oplysninger, der er
nødvendige for at kunne bekræfte den pågældendes identi-
tet.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 37, at den dataansvarlige
skal berigtige, slette eller blokere oplysninger, der viser sig
urigtige eller vildledende eller på lignende måde er behand-
let i strid med lov eller bestemmelser udstedt i medfør af
lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets,
anklagemyndighedens og domstolenes behandling af perso-
noplysninger inden for det strafferetlige område, jf. person-
datalovens § 2, stk. 4, men bestemmelsen finder dog anven-
delse i forbindelse med den grænseoverskridende udveks-
ling af personoplysninger, jf. rammeafgørelsesbekendtgørel-
sens § 2, stk. 4.
Det foreslås i stk. 2, at den dataansvarlige efter anmodning
fra den registrerede uden unødig forsinkelse skal slette op-
lysninger, der er behandlet i strid med behandlingsreglerne i
kapitel 3, eller hvis det er påkrævet for at overholde en retlig
forpligtelse, som den dataansvarlige er underlagt.
Med den foreslåede bestemmelse sker der således i vidt om-
fang en videreførelse af de gældende regler om berigtigelse,
som dog fremover for så vidt angår politiet, anklagemyndig-
heden og domstolene tillige vil finde anvendelse i rent natio-
nale forhold.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 37, at den dataansvarlige
skal berigtige, slette eller blokere oplysninger, der viser sig
urigtige eller vildledende eller på lignende måde er behand-
let i strid med lov eller bestemmelser udstedt i medfør af
lov, hvis en registreret person fremsætter anmodning herom.
Bestemmelsen finder generelt ikke anvendelse for politiets,
anklagemyndighedens og domstolenes behandling af perso-
74
noplysninger inden for det strafferetlige område, jf. person-
datalovens § 2, stk. 4, men bestemmelsen finder dog anven-
delse i forbindelse med den grænseoverskridende udveks-
ling af personoplysninger, jf. rammeafgørelsesbekendtgørel-
sens § 2, stk. 4.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4092), at blokering af
oplysninger indebærer, at det fortsat er tilladt at opbevare
indsamlede oplysninger, hvorimod det ikke er tilladt at be-
handle og bruge oplysningerne, herunder navnlig videregive
dem til tredjemand. Oplysninger, som er blokeret, skal der-
for være forsynet med en sådan markering, at en bruger in-
formeres om blokeringen.
Det foreslås i stk. 3, at den dataansvarlige i stedet for slet-
ning skal begrænse behandlingen af personoplysninger, hvis
rigtigheden af personoplysningerne bestrides af den registre-
rede, og deres rigtighed eller urigtighed ikke kan konstate-
res, eller personoplysningerne skal bevares som bevismid-
del.
Med den foreslåede bestemmelse gives der mulighed for, at
den dataansvarlige i stedet for sletning kan foretage be-
grænsning af anvendelsen af de pågældende oplysninger.
Der kan således ske begrænsning, hvis det ikke umiddelbart
kan konstateres, om de personoplysninger, som den dataan-
svarlige myndighed har om den registrerede, er korrekte.
Anvendelsen af oplysningerne vil i givet fald være begræn-
set, indtil den dataansvarlige har fundet ud af, om oplysnin-
gerne er korrekte. Hvis oplysningerne er korrekte, skal be-
grænsningen ophæves.
Der kan endvidere ske begrænsning, hvis der er tale om op-
lysninger, der skal bevares som bevismidler. Det er f.eks. re-
levant i forhold til indholdet af et vidneudsagn, idet spørgs-
målet om, hvorvidt de personoplysninger, som fremgår af et
vidneudsagn, er korrekte, skal håndteres i forbindelse med
en straffesags behandling ved domstolene. Der henvises i
øvrigt til bemærkningerne til stk. 1.
Begrænsning kan ske ved, at udvalgte oplysninger flyttes til
et andet behandlingssystem, f.eks. til arkivformål, eller at
udvalgte oplysninger gøres utilgængelige. I automatiske re-
gistre kan begrænsning ske ved hjælp af tekniske hjælpe-
midler. En begrænsning skal anføres i registeret på en sådan
måde, at det tydeligt fremgår, at behandlingen af persono-
plysninger er begrænset, jf. herved direktivets præambelbe-
tragtning nr. 47.
Der er således i praksis tale om en videreførelse af den for-
ståelse af begrebet blokering, som følger af persondatalo-
ven.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 4, at hvis behandling er begrænset som
følge af, at rigtigheden af personoplysningerne bestrides af
den registrerede, og deres rigtighed eller urigtighed ikke kan
konstateres, skal den dataansvarlige underrette den registre-
rede herom, inden begrænsningen af behandling ophæves.
Den foreslåede bestemmelse skal ses i sammenhæng med
den foreslåede § 17, stk. 3, idet der er tale om den situation,
hvor der sker begrænsning som følge af, at det ikke umid-
delbart kan konstateres, om de personoplysninger, som den
dataansvarlige myndighed har om den registrerede, er kor-
rekte. Anvendelsen af oplysningerne vil i givet fald være be-
grænset, indtil den dataansvarlige har fundet ud af, om op-
lysningerne er korrekte. Hvis oplysningerne er korrekte, skal
begrænsningen ophæves.
Den foreslåede bestemmelse indebærer, at der i en sådan si-
tuation skal ske en forudgående underretning af den registre-
rede.
Der er ikke noget krav om, at den dataansvarlige myndighed
afventer den registreredes svar på underretningen, inden be-
grænsningen ophæves. Bestemmelsen skal således ses i
sammenhæng med det foreslåede stk. 5.
Der henvises i øvrigt til pkt. 2.4.3.3 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 5, at et afslag på en anmodning om berig-
tigelse, sletning eller begrænsning skal meddeles den regi-
strerede skriftligt og skal være ledsaget af en begrundelse og
en klagevejledning. Afgørelsen skal endvidere indeholde
oplysninger om den registreredes ret til at lade den kompe-
tente tilsynsmyndighed udøve den registreredes rettigheder i
forhold til retten til berigtigelse, sletning eller begrænsning.
Bestemmelsen i § 16, stk. 3, finder tilsvarende anvendelse.
Det indebærer, at af hensyn til de formål, der er nævnt i §
16, stk. 3, jf. stk. 1, jf. § 14, stk. 1, kan den kompetente
myndighed undlade at begrunde afslaget på berigtigelse,
sletning eller begrænsning af behandling. Et sådant afslag
skal dog indeholde en klagevejledning og oplysninger om
den registreredes ret til at lade den kompetente tilsynsmyn-
dighed udøve den registreredes rettigheder, jf. § 40, stk. 1,
nr. 10. Bestemmelsen skal ses i sammenhæng med de fore-
slåede §§ 14 og 16, hvorefter henholdsvis meddelelse af op-
lysninger og indsigtsretten kan begrænses mv. af hensyn til
de formål, der er nævnt i § 14, stk. 1.
Den foreslåede bestemmelse skal forstås i lyset af de almin-
delige regler i forvaltningslovens kapitler 6 og 7 om begrun-
delse og klagevejledning, idet det dog efter den foreslåede
75
bestemmelse er obligatorisk for den dataansvarlige at give
en skriftlig begrundelse, ligesom der er et særligt krav om at
oplyse om muligheden for, at den registrerede kan udøve si-
ne rettigheder i forhold til retten til berigtigelse, sletning el-
ler begrænsning gennem tilsynsmyndigheden.
Det fremgår af persondatalovens § 37, stk. 2, at den dataan-
svarlige skal underrette den tredjemand, hvortil oplysninger-
ne er videregivet, om, at de videregivne oplysninger er be-
rigtiget, slettet eller blokeret i henhold til stk. 1, hvis en regi-
streret person fremsætter anmodning herom. Dette gælder
dog ikke, hvis underretningen viser sig umulig eller er ufor-
holdsmæssigt vanskelig.
Bestemmelsen finder generelt ikke anvendelse for politiets,
anklagemyndighedens og domstolenes behandling af perso-
noplysninger inden for det strafferetlige område, jf. person-
datalovens § 2, stk. 4, men bestemmelsen finder dog anven-
delse i forbindelse med den grænseoverskridende udveks-
ling af personoplysninger, jf. rammeafgørelsesbekendtgørel-
sens § 2, stk. 4.
Det foreslås i stk. 6, at den dataansvarlige skal underrette
modtagere om, at der er sket berigtigelse, sletning eller be-
grænsning af personoplysninger. Modtagerne berigtiger eller
sletter personoplysningerne eller begrænser behandling af
personoplysninger, som de har ansvaret for.
Med den foreslåede bestemmelse sker der en skærpelse af
forpligtelsen til at underrette modtagere om, at der er sket
berigtigelse, sletning eller begrænsning af personoplysnin-
ger, som tillige udvides til at finde anvendelse i rent nationa-
le forhold. Forpligtelsen skal dog ses i lyset af, at de kompe-
tente myndigheder typisk videregiver oplysninger til en me-
re afgrænset kreds af modtagere.
Forpligtelsen for modtagerne til at berigtige, slette eller be-
grænse anvendelsen af de pågældende oplysninger gælder
for de kompetente myndigheder. Forpligtelsen er således en
understregning af det behandlingsprincip, som fremgår af
den foreslåede § 4, stk. 4. Det bemærkes i den forbindelse,
at lovens definition af modtagere ikke omfatter dem, der
modtager oplysninger i forbindelse med isolerede forespørg-
sler.
I det omfang, at der er tale om en behandling, herunder vi-
deregivelse, af oplysninger, som falder uden for det foreslå-
ede anvendelsesområde for loven, reguleres spørgsmålet om
retten til berigtigelse, sletning og begrænsning af personda-
taloven og – fra den 25. maj 2018 – databeskyttelsesforord-
ningen.
Til § 18
Det fremgår af persondatalovens § 31, at når en person
fremsætter begæring om indsigt, skal den dataansvarlige gi-
ve den pågældende meddelelse om, hvorvidt der behandles
oplysninger om vedkommende. Behandles sådanne oplys-
ninger, skal der på en let forståelig måde gives den registre-
rede meddelelse om, hvilke oplysninger der behandles, be-
handlingens formål, kategorierne af modtagere af oplysnin-
gerne og tilgængelig information om, hvorfra disse oplys-
ninger stammer.
Det foreslås i stk. 1, at oplysninger og meddelelser, der er
nævnt i afsnit III, skal stilles til rådighed eller gives gratis i
en kortfattet, letforståelig og lettilgængelig form og i et klart
og enkelt sprog.
Med den foreslåede bestemmelse understreges det, at oplys-
ninger efter den foreslåede § 13, stk. 1 og 2, meddelelser i
forbindelse med den registreredes indsigtsanmodninger efter
den foreslåede § 15 og eventuelle afslag herpå efter den
foreslåede § 16 samt meddelelser om afslag på berigtigelse,
sletning eller begrænsning af behandling efter den foreslåe-
de § 17 skal stilles til rådighed eller gives gratis og på en
måde, som lettilgængelig og letforståelig for den almindeli-
ge borger.
Der henvises i øvrigt til pkt. 2.4.3.4 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 31, stk. 2, at den dataan-
svarlige snarest skal besvare indsigtsbegæringer som nævnt
i § 31, stk. 1. Er begæringen ikke besvaret inden 4 uger efter
modtagelsen, skal den dataansvarlige underrette den pågæl-
dende om grunden hertil, samt om, hvornår afgørelsen kan
forventes at foreligge.
Det fremgår videre af persondatalovens § 34, at meddelelser
i henhold til § 31, stk. 1, om den registreredes indsigtsret på
begæring skal gives skriftligt. I tilfælde, hvor hensynet til
den registrerede taler derfor, kan meddelelse dog gives i
form af en mundtlig underretning om indholdet af oplysnin-
gerne.
Det foreslås i stk. 2, at den dataansvarlige snarest og på
skrift skal besvare begæringer som nævnt i afsnittet. Er be-
gæringen ikke besvaret inden 4 uger efter modtagelsen, skal
den dataansvarlige underrette den pågældende om grunden
hertil, samt om hvornår anmodningen forventes besvaret.
Med den foreslåede bestemmelse gøres det obligatorisk for
den dataansvarlige at besvare begæringer fra den registrere-
de skriftligt. Den gældende ordning, hvorefter den registre-
rede skal underrettes, hvis begæringen ikke er besvaret in-
den for 4 uger, videreføres og udstrækkes til at omfatte alle
76
de begæringer, som den registrerede kan fremsætte i medfør
af bestemmelserne i afsnittet.
Der henvises i øvrigt til pkt. 2.4.3.4 i lovforslagets alminde-
lige bemærkninger.
Retsplejelovens kapitel 66, henholdsvis den militære rets-
plejelov, indeholder regler om sigtede personers mv. adgang
til materiale, som er tilvejebragt af politiet, henholdsvis
auditøren, i forbindelse med strafferetlig forfølgning. Rets-
plejeloven indeholder endvidere regler om aktindsigt i dom-
me, kendelser og andre dokumenter, der vedrører en straffe-
sag. Udgangspunktet er, at enhver har ret til aktindsigt i
domme og kendelser mv., ligesom den, der har en individu-
el, væsentlig interesse i et konkret retsspørgsmål, som ud-
gangspunkt kan forlange at blive gjort bekendt med doku-
menter, der vedrører en straffesag, herunder indførsler i rets-
bøgerne, i det omfang dokumenterne har betydning for vur-
deringen af det pågældende retsspørgsmål. Herudover inde-
holder retsplejeloven regler om berigtigelse af retsafgørel-
ser.
Det foreslås i stk. 3, at retsplejelovens og den militære rets-
plejelovs regler om retten til oplysninger, indsigt i og berig-
tigelse eller sletning og begrænsning af behandling af perso-
noplysninger i straffesager finder anvendelse i forhold til
den registreredes rettigheder i medfør af afsnit III.
Retsplejelovens regler suppleres af den militære retsplejelov
for så vidt angår militære straffesager. Dette indebærer, at
der i sådanne sager tillige vil kunne ske en begrænsning af
den registreredes rettigheder med henvisning til den militæ-
re sikkerhed.
Med den foreslåede bestemmelse sikres det således, at op-
lysningspligten over den registrerede samt anmodninger om
indsigt, berigtigelse, sletning eller begrænsning af behand-
ling af personoplysninger håndteres efter retsplejelovens og
den militære retsplejelovs regler i det omfang, at retsplejelo-
ven og den militære retsplejelov indeholder regler herom.
Der henvises i øvrigt til bemærkningerne til de foreslåede §
13, stk. 2, og §§ 15 og 17.
Det foreslås i stk. 4, at justitsministeren bemyndiges til at
fastsætte nærmere regler om behandlingen af anmodninger i
medfør af afsnit III samt om behandling af klagesager, her-
under at afgørelser ikke skal kunne påklages til anden admi-
nistrativ myndighed. Ved fastsættelsen af sådanne regler vil
der ske en inddragelse af de relevante myndigheder, herun-
der forsvarsministeren for så vidt angår regler med betyd-
ning for den militære anklagemyndigheds behandling af per-
sonoplysninger.
Adgangen for justitsministeren til at fastsætte nærmere reg-
ler vil f.eks. kunne anvendes til at fastsætte regler om, at den
registrerede skal rette anmodninger i medfør af afsnit III til
en bestemt dataansvarlig i tilfælde af, at der er tale om en
ordning med fælles dataansvarlige efter den foreslåede § 21.
Bemyndigelsen vil også kunne anvendes til at begrænse de
registreredes adgang til at klage til anden administrativ myn-
dighed. Den foreslåede ordning skal ses i lyset af, at den re-
gistrerede under alle omstændigheder vil have mulighed for
at klage til tilsynsmyndigheden.
Til § 19
Det fremgår af persondatalovens § 33, at en registreret per-
son, der har fået meddelelse efter § 31, stk. 1, om den regi-
streredes indsigtsret, ikke har krav på ny meddelelse før 6
måneder efter sidste meddelelse, medmindre der godtgøres
en særlig interesse heri.
Det foreslås i § 19, at den dataansvarlige kan afvise at imø-
dekomme åbenbart grundløse eller overdrevent gentagne an-
modninger, som er fremsat i henhold til bestemmelserne i
afsnit III.
Det er den dataansvarlige, som bærer bevisbyrden for, at be-
tingelserne for, at der kan ske afvisning, er opfyldt. Det er
således ikke op til den registrerede at godtgøre en berettiget
interesse, men i det omfang, at den registrerede fremkom-
mer med oplysninger om en sådan interesse, vil der formo-
dningsvist ikke være grundlag for at afvise anmodningen i
medfør af den foreslåede bestemmelse.
Til § 20
Det fremgår af persondatalovens § 41, stk. 3, at den dataan-
svarlige skal træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt el-
ler ulovligt tilintetgøres, fortabes eller forringes, samt mod,
at de kommer til uvedkommendes kendskab, misbruges eller
i øvrigt behandles i strid med loven. Tilsvarende gælder for
databehandlere.
Det foreslås i stk. 1, at den dataansvarlige skal gennemføre
og om nødvendigt ajourføre og revidere de fornødne tekni-
ske og organisatoriske foranstaltninger for at sikre og for at
være i stand til at påvise, at behandling er i overensstemmel-
se med loven. Står det i rimeligt forhold til behandlingsakti-
viteterne, skal den dataansvarlige tillige gennemføre de for-
nødne databeskyttelsespolitikker.
Med den foreslåede bestemmelse understreges den dataan-
svarliges forpligtelser. Forpligtelserne efter denne bestem-
77
melse må imidlertid i praksis anses for at være dækket af
den foreslåede § 27 om behandlingssikkerhed.
Der henvises i øvrigt til pkt. 2.5.3.1 i lovforslagets alminde-
lige bemærkninger.
Persondataloven indeholder ikke bestemmelser, som speci-
fikt kræver databeskyttelse gennem design eller databeskyt-
telse gennem standardindstillinger.
Persondatalovens § 41, stk. 3, forpligter imidlertid den data-
ansvarlige og databehandleren til at beskytte mod, at oplys-
ninger hændeligt eller ulovligt tilintetgøres, fortabes eller
forringes, samt mod, at de kommer til uvedkommendes
kendskab, misbruges eller i øvrigt behandles i strid med per-
sondataloven.
Persondataloven fastsætter ingen nærmere tidsmæssig ram-
me for, hvornår foranstaltningerne skal være truffet. Foran-
staltningerne vil imidlertid skulle forberedes eller imple-
menteres forud for, at behandlingen påbegyndes. Datatilsy-
nets praksis indeholder eksempler på, at persondatalovens
behandlingsbetingelser og sikkerhedskrav skal iagttages ved
indretningen af digitale løsninger.
Det foreslås i stk. 2, at det præciseres, at foranstaltninger ef-
ter stk. 1 omfatter databeskyttelse gennem design og gen-
nem standardindstillinger.
Et eksempel på, at der kan opnås databeskyttelse gennem
design, er en teknisk foranstaltning, som pseudonymiserer
personoplysningerne, dvs. at personoplysninger behandles
på en sådan måde, at oplysningerne ikke længere kan henfø-
res til en bestemt registreret uden brug af supplerende oplys-
ninger.
Pseudonymisering skal forstås som behandling af persono-
plysninger på en sådan måde, at personoplysningerne ikke
længere kan henføres til en bestemt registreret uden brug af
supplerende oplysninger, forudsat at sådanne supplerende
oplysninger opbevares separat og er underlagt tekniske og
organisatoriske foranstaltninger for at sikre, at personoply-
sningerne ikke henføres til en identificeret eller identificer-
bar fysisk person, jf. direktivets artikel 3, nr. 5.
Pseudonymisering indebærer således, at enkelte direkte
identificerende parametre, f.eks. navn eller personnummer, i
oplysningerne erstattes med koder. Koderne opbevares på en
særskilt liste, hvor man kan genfinde koblingen mellem op-
lysningerne og den person, som de vedrører.
Et eksempel på, at der kan opnås databeskyttelse gennem
standardindstillinger, er indstillinger, som begrænser adgan-
gen til de pågældende oplysninger eller fastsætter særlige
opbevaringsperioder.
Kravet om databeskyttelse gennem design og standardind-
stillinger stiller ikke krav om, at eksisterende systemer skal
redesignes. Kravene er således relevante i forhold til udvik-
ling og design af fremtidige systemer samt i forhold til væ-
sentlige ændringer i behandlingen af oplysninger i eksister-
ende systemer.
Der henvises i øvrigt til pkt. 2.5.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 21
Spørgsmålet om fælles dataansvarlige er ikke direkte regule-
ret i persondataloven. Det følger imidlertid af definitionen af
begrebet ”den dataansvarlige” i persondatalovens § 3, nr. 4,
at dette kan være en fysisk eller juridisk person, offentlig
myndighed, institution eller ethvert andet organ, der alene
eller sammen med andre afgør, til hvilket formål og med
hvilke virkemidler der må foretages behandling af oplysnin-
ger.
Spørgsmålet om fordelingen af ansvar og forpligtelser for de
fælles dataansvarlige er ikke reguleret direkte i gældende
ret. I sager, hvor Datatilsynet har accepteret et fælles dataan-
svar, har tilsynet lagt til grund, at der skal foreligge klare
retningslinjer og instruktionsbeføjelser for så vidt angår be-
handlingen af oplysninger. Herudover skal de registrerede
kunne gøre deres rettigheder efter persondatalovens afsnit
III, såsom retten til indsigt, gældende over for enhver af de
fælles dataansvarlige.
Ordningerne med fælles dataansvarlige forekommer imid-
lertid forholdsvis sjældent i praksis. Fælles dataansvarlige
har dog været anvendt inden for politiet, der bl.a. er kende-
tegnet ved anvendelsen af en række fælles centrale it-syste-
mer, der understøtter udveksling af oplysninger på tværs af
flere dataansvarlige myndigheder.
Det foreslås i § 21, at flere dataansvarlige i fællesskab kan
fastsætte formålene med og hjælpemidlerne til behandling.
De dataansvarlige skal om nødvendigt fastsætte en ordning
for en fordeling af ansvaret for, at behandlingen er i over-
ensstemmelse med loven, herunder navnlig i forhold til den
registreredes rettigheder efter kapitel 5-7. Ordningen skal
tillige indeholde oplysninger om et fælles kontaktpunkt for
de dataansvarlige eller om kontaktpunkterne for de enkelte
dataansvarlige.
Med den foreslåede bestemmelse indføres der således eks-
plicitte regler om fælles dataansvarlige.
78
Bestemmelsen vil bl.a. kunne anvendes inden for politiets
samlede virksomhed med henblik på at gennemføre en ens-
artet, omkostningseffektiv og – navnlig for den registrerede
– tilgængelig regulering af flere fælles dataansvarliges ind-
byrdes forhold og varetagelse af kontakten til registrerede.
En ordning med fælles dataansvarlige vil i øvrigt kunne un-
derstøtte en generel og ensartet beskrivelse af de pågælden-
de myndigheders it-systemer, behandlingsaktiviteter, efterle-
velsen af anden relevant databeskyttelsesretlig regulering og
i den forbindelse understøtte de dataansvarliges generelle ef-
terlevelse af loven gennem iagttagelse af princippet om an-
svarlighed.
Kravet om, at de fælles dataansvarlige skal udpege et kon-
taktpunkt, kan opfyldes ved at udpege den eller de dataan-
svarliges databeskyttelsesrådgiver som kontaktpunkt.
Der henvises i øvrigt til pkt. 2.5.3.2 i lovforslagets alminde-
lige bemærkninger.
Til § 22
Det fremgår af persondatalovens § 41, stk. 3, at den dataan-
svarlige skal træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt el-
ler ulovligt tilintetgøres, fortabes eller forringes, samt mod,
at de kommer til uvedkommendes kendskab, misbruges eller
i øvrigt behandles i strid med loven. Tilsvarende gælder for
databehandlere.
Det fremgår videre af persondatalovens § 42, stk. 1, at når
en dataansvarlig overlader en behandling af oplysninger til
en databehandler, skal den dataansvarlige sikre sig, at data-
behandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske
og organisatoriske sikkerhedsforanstaltninger, og påse, at
dette sker.
Det foreslås i stk. 1, at når en dataansvarlig overlader en be-
handling af oplysninger til en databehandler, skal den data-
ansvarlige sikre sig, at databehandleren kan træffe de tekni-
ske og organisatoriske sikkerhedsforanstaltninger, der er
nævnt i §§ 20 og 24, og påse, at dette sker.
Med den foreslåede bestemmelse sker der en videreførelse
af reglerne om den dataansvarliges forpligtelse til at sikre, at
databehandleren kan træffe de nødvendige foranstaltninger.
For så vidt angår kravet om, at den dataansvarlige skal påse,
at databehandleren træffer de foranstaltninger, der er nævnt i
de forslåede §§ 20 og 24, vil dette kunne ske gennem ind-
hentelse af uvildige revisionserklæringer eller en ordning,
hvor den dataansvarlige foretager et besøg hos den dataan-
svarlige for at kontrollere de foranstaltninger, som er truffet
af databehandleren.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 42, stk. 2, at gennemfø-
relse af en behandling ved en databehandler skal ske i hen-
hold til en skriftlig aftale parterne imellem. Af aftalen skal
det fremgå, at databehandleren alene handler efter instruks
fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligele-
des gælder for behandlingen ved databehandleren. Hvis da-
tabehandleren er etableret i en anden medlemsstat, skal det
fremgå af aftalen, at de bestemmelser om sikkerhedsforan-
staltninger, som er fastsat i lovgivningen i den medlemsstat,
hvor databehandleren er etableret, gælder for denne.
Hvis en databehandler foretager behandling af oplysninger,
uden at der foreligger en instruks fra den dataansvarlige –
dvs. databehandleren fastlægger formålene med og hjælpe-
midlerne til behandling – anses denne databehandler for at
være en dataansvarlig, for så vidt angår den pågældende be-
handling. Dette vil navnlig indebære, at behandlingen alene
vil være lovlig i det omfang, at den pågældende – nye – da-
taansvarlige kan påvise et lovligt grundlag for behandlingen
af de pågældende personoplysninger. Herudover må der i et
sådant tilfælde oftest forventes også at foreligge en overtræ-
delse af databehandleraftalen.
Såfremt en behandling i videre omfang end instrueret af den
dataansvarlige følger af anden lovgivning, som databehand-
leren er underlagt, skal databehandleren underrette den data-
ansvarlige forud for, at den pågældende behandling foreta-
ges.
Det foreslås i stk. 2, at gennemførelse af en behandling ved
en databehandler skal ske i henhold til lov eller en skriftlig
aftale mellem databehandleren og den dataansvarlige. Loven
eller aftalen skal fastsætte genstanden for og varigheden af
behandlingen, behandlingens karakter og formål, typen af
personoplysninger og kategorierne af registrerede samt den
dataansvarliges forpligtelser og rettigheder. Det skal navnlig
fremgå, at databehandleren
1) kun må handle efter instruks fra den dataansvarlige,
2) sikrer, at de fysiske personer, der er autoriseret til at be-
handle personoplysninger, har forpligtet sig til fortro-
lighed eller er underlagt en passende lovbestemt tav-
shedspligt,
3) bistår den dataansvarlige på enhver hensigtsmæssig
måde med at sikre overholdelse af bestemmelserne om
den registreredes rettigheder,
4) efter den dataansvarliges valg sletter eller tilbageleve-
rer alle personoplysningerne til den dataansvarlige, ef-
ter at tjenesterne vedrørende behandling er ophørt,
79
medmindre anden lovgivning foreskriver opbevaring af
personoplysningerne,
5) stiller alle oplysninger, der er nødvendige for at påvise
overholdelse af denne bestemmelse, til rådighed for
den dataansvarlige, og
6) overholder betingelserne i stk. 2 og 3 med henblik på at
gøre brug af en anden databehandler.
Med den foreslåede bestemmelse fastsættes der mere detal-
jerede krav til indholdet i en databehandleraftale, og dermed
til databehandlerens forpligtelser over for den dataansvarli-
ge, end efter gældende ret.
Bestemmelsen indebærer, at pligten til at sikre, at en databe-
handling finder sted i overensstemmelse med de oplistede
krav, både gælder for den dataansvarlige og eventuelle data-
behandlere og underdatabehandlere.
De kompetente myndigheder vil tillige behandle persono-
plysninger i sager og med formål, som falder uden for det
foreslåede anvendelsesområde for loven. Denne behandling
vil i stedet være omfattet af persondataloven og – fra den 25.
maj 2018 – databeskyttelsesforordningen. Dette indebærer,
at eventuelle databehandleraftaler vil skulle overholde kra-
vene i såvel retshåndhævelsesdirektivet som – efter den 25.
maj 2018 – databeskyttelsesforordningen.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 1, at personer,
virksomheder mv., der udfører arbejde under den dataan-
svarlige eller databehandleren, og som får adgang til oplys-
ninger, kun må behandle disse efter instruks fra den dataan-
svarlige, medmindre andet følger af lov eller bestemmelser
fastsat i henhold til lov.
Loven indeholder således ikke en eksplicit regulering af den
situation, hvor en databehandler ønsker at gøre brug af en
underdatabehandler.
Det foreslås i stk. 3, at en databehandlers overladelse af be-
handling til en anden databehandler skal ske i henhold til en
generel eller specifik skriftlig aftale med den dataansvarlige.
Sker overladelse i henhold til en generel aftale, skal databe-
handleren underrette den dataansvarlige herom senest 14
dage forud for overladelsen.
Med den foreslåede bestemmelse sker der en præcisering af
kravet om, at en databehandler alene må behandle oplysnin-
ger efter instruks fra den dataansvarlige.
Kravet om, at databehandleren senest 14 dage forud for
overladelsen skal underrette den dataansvarlige om, at der
sker overladelse af behandling til en underdatabehandler i
medfør af en generel aftale, har til formål at sikre, at den da-
taansvarlige har mulighed for at sikre sig, at også underdata-
behandleren træffer de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger, jf. herved den dataansvarliges
forpligtelser efter den foreslåede § 22, stk. 1.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 41, stk. 1, at personer,
virksomheder mv., der udfører arbejde under den dataan-
svarlige eller databehandleren, og som får adgang til oplys-
ninger, kun må behandle disse efter instruks fra den dataan-
svarlige, medmindre andet følger af lov eller bestemmelser
fastsat i henhold til lov.
Det foreslås i stk. 4, at enhver, der udfører arbejde for den
dataansvarlige eller databehandleren, og som har adgang til
personoplysninger, kun må behandle disse oplysninger efter
instruks fra den dataansvarlige, medmindre det følger af an-
den lovgivning, at den pågældende skal foretage behandlin-
gen. Anden lovgivning omfatter tillige EU-regler og natio-
nal ret i de øvrige medlemsstater, jf. herved retshåndhævel-
sesdirektivets artikel 23.
Med den foreslåede bestemmelse sker der en videreførelse
af persondatalovens regler om, at behandling af oplysninger
skal ske på baggrund af en instruks fra den dataansvarlige.
Der henvises i øvrigt til pkt. 2.5.3.3 i lovforslagets alminde-
lige bemærkninger.
Til § 23
Persondataloven indeholder ikke krav om, at den dataan-
svarlige eller databehandleren skal føre fortegnelser over be-
handlingsaktiviteter.
Persondatalovens kapitel 12 (§§ 43-47) indeholder dog reg-
ler om anmeldelse af behandlinger, der foretages for den of-
fentlige forvaltning, til tilsynsmyndigheden.
Det fremgår således af lovens § 43, jf. § 44, at der skal ske
anmeldelse til tilsynsmyndigheden forinden iværksættelse af
behandling af fortrolige oplysninger. Anmeldelsen skal in-
deholde en række nærmere angivne oplysninger, herunder
om behandlingens formål, en generel beskrivelse af behand-
lingen, kategorierne af registrerede og foranstaltninger, der
iværksættes af hensyn til behandlingssikkerheden og oplys-
ninger om tidspunktet for sletning af oplysningerne.
80
Persondatalovens § 54 indeholder regler om, at tilsynsmyn-
digheden skal føre en fortegnelse over de modtagne anmel-
delser, og at denne fortegnelse skal indeholde de samme op-
lysninger som anmeldelsen. Den dataansvarlige skal stille
disse oplysninger til rådighed for enhver, der anmoder her-
om, jf. bestemmelsens stk. 2.
Det foreslås i stk. 1, at dataansvarlige forpligtes til at føre
skriftlige fortegnelser over alle kategorier af behandlingsak-
tiviteter under deres ansvar. Fortegnelserne skal indeholde
oplysning om
1) navn på og kontaktoplysninger for den dataansvarlige
og, hvis det er relevant, den fælles dataansvarlige og
databeskyttelsesrådgiveren,
2) formålene med behandlingen,
3) de kategorier af modtagere, som personoplysningerne
er eller vil blive videregivet til, herunder modtagere i
tredjelande eller internationale organisationer,
4) en beskrivelse af kategorierne af registrerede og kate-
gorierne af personoplysninger,
5) brugen af profilering, hvor det er relevant,
6) kategorierne af overførsler af personoplysninger til et
tredjeland eller en international organisation, hvor det
er relevant,
7) retsgrundlaget for behandlingsaktiviteten, herunder
overførsler, hvortil personoplysningerne er bestemt,
8) de forventede tidsfrister for sletning af de forskellige
kategorier af personoplysninger, hvis det er muligt, og
9) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
Det foreslås endvidere i stk. 2, at databehandleren forpligtes
til at føre skriftlige fortegnelser over alle kategorier af be-
handlingsaktiviteter, der foretages på vegne af en dataan-
svarlig. Fortegnelserne skal indeholde oplysning om
1) navn på og kontaktoplysninger for databehandleren el-
ler databehandlerne, for hver dataansvarlig, på hvis
vegne databehandleren handler, samt, hvis det er rele-
vant, databeskyttelsesrådgiveren,
2) de kategorier af behandling, der foretages på vegne af
den enkelte dataansvarlige,
3) overførsler af personoplysninger til et tredjeland eller
en international organisation, hvor det er relevant, når
den dataansvarlige udtrykkeligt har givet instruks her-
om, herunder angivelse af dette tredjeland eller denne
internationale organisation, og
4) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
Den dataansvarlige og databehandleren skal ikke føre for-
tegnelsen i en bestemt form, men fortegnelsen skal foreligge
skriftligt og elektronisk. Der er således intet til hinder for, at
en fortegnelse føres i f.eks. et skema eller i et almindeligt
tekstbehandlingsdokument, der let kan printes og stilles til
rådighed for tilsynsmyndigheden, såfremt denne anmoder
herom.
Der henvises i øvrigt til pkt. 2.5.3.4 i lovforslagets alminde-
lige bemærkninger.
Til § 24
Det fremgår af § 19, jf. § 2, stk. 2, i sikkerhedsbekendtgørel-
sen, at der skal foretages maskinel registrering (logning) af
alle anvendelser af personoplysninger, som er omfattet af
pligten til at foretage anmeldelse til Datatilsynet efter regle-
rne i persondatalovens kapitel 12. Registreringen skal
mindst indeholde oplysning om tidspunkt, bruger, type af
anvendelse og angivelse af den person, de anvendte oplys-
ninger vedrørte, eller det anvendte søgekriterium. Loggen
skal opbevares i 6 måneder, hvorefter den skal slettes. Myn-
digheder med et særligt behov kan opbevare loggen i op til 5
år.
Det fremgår videre af bestemmelsens stk. 2, at stk. 1 ikke
finder anvendelse for personoplysninger, som indgår i tekst-
behandlingsdokumenter og lignende, der ikke foreligger i
endelig form. Det samme gælder sådanne dokumenter, som
foreligger i endelig form, hvis der sker sletning inden for en
af den dataansvarlige myndighed nærmere fastsat kortere
frist.
Bestemmelsen i stk. 1 finder heller ikke anvendelse, hvis be-
handlingen af personoplysninger udelukkende sker ved af-
vikling af programmer, som foretager en forud defineret
massebehandling af personoplysninger (batch-kørsler). Der
skal dog foretages maskinel logning af bruger og tidspunkt
for behandlingen, jf. stk. 3.
Bestemmelsen i stk. 1 finder endvidere ikke anvendelse,
hvis behandlingen af personoplysningerne udelukkende sker
med henblik på statistiske eller videnskabelige undersøgel-
ser, og identifikationsoplysningerne forinden enten er kryp-
teret eller erstattet med et kodenummer eller lignende. Der
skal dog foretages maskinel logning af bruger og tidspunkt
for behandlingen, jf. stk. 4.
Bestemmelsen i stk. 1 finder endelig ikke anvendelse for
personoplysninger, som i form af måle- eller analyseresulta-
ter automatisk lagres i medicoteknisk udstyr. Undtagelsen
omfatter tillige personoplysninger, som manuelt registreres i
medicoteknisk udstyr til supplering af automatisk lagrede
oplysninger, jf. stk. 5.
Sikkerhedsbekendtgørelsen for domstolene indeholder i § 19
regler svarende til de ovennævnte regler i sikkerhedsbe-
kendtgørelsens § 19, stk. 1, 2 og 4.
81
Rammeafgørelsesbekendtgørelsens § 10 indeholder et krav
om, at den dataansvarlige med henblik på at kontrollere, om
databehandlingen er lovlig, samt med henblik på at udøve
egenkontrol og sikre integritet og sikkerhed skal registrere
eller dokumentere hver videregivelse af personoplysninger.
Registreringen eller dokumentationen skal bl.a. indeholde
oplysninger om, til hvilke organer der er blevet eller kan
være blevet videregivet eller stillet personoplysninger til rå-
dighed ved hjælp af datakommunikationsudstyr, og hvilke
personoplysninger der er indlæst i edb-systemerne, hvornår
og af hvem.
Registreringer, der foretages, eller dokumentation, der udar-
bejdes, videregives til Datatilsynet på dennes anmodning
med henblik på kontrol af databeskyttelsen. For domstolenes
vedkommende sker videregivelsen til Domstolsstyrelsen.
Datatilsynet og Domstolsstyrelsen anvender kun disse op-
lysninger med henblik på kontrol af databeskyttelsen og
med henblik på at sikre en korrekt databehandling og data-
enes integritet og sikkerhed, jf. § 10, stk. 2.
Det foreslås i stk. 1, at der i automatiske databehandlingssy-
stemer skal foretages logning af indsamling, ændring, søg-
ning, videregivelse, herunder overførsel, samkøring og slet-
ning.
Med den foreslåede bestemmelse sker der en implemente-
ring af retshåndhævelsesdirektivets artikel 25. Som anført
oven for i pkt. 2.5.3.4 i lovforslagets almindelige bemærk-
ninger giver det nærmere omfang af direktivets forpligtelse
til at foretage logning imidlertid anledning til tvivl, herunder
i forhold til spørgsmålet om i hvilket omfang det i øvrigt vil
være muligt at opretholde den gældende ordning for logning
i sikkerhedsbekendtgørelserne.
Det foreslås på den baggrund i stk. 2, at justitsministeren får
bemyndigelse til at fastsætte nærmere regler om, hvilke
automatiske databehandlingssystemer, der er indført før den
6. maj 2016, som logningskravet skal finde anvendelse på.
Ved fastsættelsen af sådanne regler vil der ske en inddragel-
se af de relevante myndigheder, herunder forsvarsministeren
for så vidt angår regler med betydning for den militære an-
klagemyndigheds behandling af personoplysninger.
Denne ordning giver således mulighed for, at der sammen
med de kompetente myndigheder kan ske en nærmere afkla-
ring af rækkevidden af logningsforpligtelsen, inden der tag-
es initiativ til at ændre de kompetente myndigheders auto-
matiske databehandlingssystemer, der er indført før den 6.
maj 2016.
Det sikres endvidere herved, at der vil kunne ske en løbende
indfasning af forpligtelsen, eventuelt i forbindelse med at
der sker udskiftning af eksisterende automatiske behand-
lingssystemer.
Der henvises i øvrigt til pkt. 2.5.3.4 i lovforslagets alminde-
lige bemærkninger.
Til § 25
Gældende ret indeholder ikke et krav om, at den dataansvar-
lige skal udarbejde konsekvensanalyser.
Det foreslås i stk. 1, at hvis en type behandling, navnlig ved
brug af nye teknologier og i medfør af sin karakter, omfang,
sammenhæng og formål, sandsynligvis vil indebære en høj
risiko for fysiske personers rettigheder, skal den dataansvar-
lige forud for behandlingen foretage en analyse af de på-
tænkte behandlingsaktiviteters konsekvenser for beskyttelse
af personoplysninger.
Angivelsen af, at konsekvensanalysen skal foretages forud
for behandlingen, indebærer, at kravet alene er relevant i
forhold til behandling, der foretages den 1. maj 2017 eller
senere, dvs. efter det foreslåede ikrafttrædelsestidspunkt.
Der skal med andre ord ikke foretages konsekvensanalyser
af eksisterende behandlingsaktiviteter, jf. også den foreslåe-
de § 53 og bemærkningerne hertil.
Det foreslås videre i stk. 2, at analysen skal indeholde en ge-
nerel beskrivelse af de planlagte behandlingsaktiviteter, en
vurdering af risiciene for de registreredes rettigheder, de for-
anstaltninger, der påtænkes for at imødegå disse risici, ga-
rantier, sikkerhedsforanstaltninger og mekanismer, som kan
sikre beskyttelse af personoplysninger og påvise overholdel-
se af denne lov, under hensyntagen til de registreredes og
andre berørte personers rettigheder og legitime interesser.
De krævede oplysninger er i vidt omfang sammenfaldende
med de oplysninger, som en anmeldelse efter persondatalo-
vens afsnit V skal indeholde, jf. persondatalovens § 43, stk.
2.
Der henvises i øvrigt til pkt. 2.5.3.5 i lovforslagets alminde-
lige bemærkninger.
Til § 26
Gældende ret indeholder ikke et krav om, at den dataansvar-
lige skal foretage forudgående høring af tilsynsmyndighe-
den.
82
Persondatalovens kapitel 12 (§§ 43-47) indeholder dog reg-
ler om anmeldelse af behandlinger, der foretages for den of-
fentlige forvaltning, til tilsynsmyndigheden.
Det fremgår således af lovens § 43, jf. § 44, at der skal ske
anmeldelse til tilsynsmyndigheden forinden iværksættelse af
behandling af oplysninger, som er omfattet af pligten til at
foretage anmeldelse til Datatilsynet efter reglerne i person-
datalovens kapitel 12. Anmeldelsen skal indeholde en række
nærmere angivne oplysninger, herunder om behandlingens
formål, en generel beskrivelse af behandlingen, kategorierne
af registrerede og foranstaltninger, der iværksættes af hen-
syn til behandlingssikkerheden og oplysninger om tidspunk-
tet for sletning af oplysningerne.
I visse situationer skal der tillige indhentes en udtalelse fra
tilsynsmyndigheden, jf. lovens § 45. Der er tale om bl.a. be-
handlinger, som omfatter følsomme oplysninger, og behand-
linger, som udelukkende finder sted i videnskabeligt eller
statistisk øjemed.
Det foreslås i stk. 1, at den dataansvarlige eller databehand-
leren skal høre tilsynsmyndigheden inden behandling af per-
sonoplysninger, der vil indgå som en del af et nyt register,
der skal oprettes, når
1) en konsekvensanalyse vedrørende databeskyttelse, jf.
den foreslåede § 25, viser, at behandlingen vil føre til
en høj risiko i mangel af foranstaltninger truffet af den
dataansvarlige for at begrænse risikoen, eller
2) den type behandling, navnlig ved brug af nye teknolo-
gier, mekanismer eller procedurer, indebærer en høj ri-
siko for de registreredes rettigheder.
Pligten til forudgående høring af tilsynsmyndigheden knyt-
ter sig til behandling af personoplysninger i nye registre.
Der skal således ikke foretages forudgående høring, hvis der
iværksættes en ny behandling i et allerede eksisterende regi-
ster.
Den forudgående høring i medfør af stk. 1, nr. 1, har til for-
mål at give tilsynsmyndigheden mulighed for at vurdere, om
de foranstaltninger, som den dataansvarlige vil træffe for at
begrænse risikoen, er tilstrækkelige.
Den forudgående høring i medfør af stk. 1, nr. 2, kan være
relevant, hvis der er tale om nye registre, som behandler op-
lysninger om et meget stort antal registrerede eller særlige
kategorier af oplysninger, jf. den foreslåede § 10.
Kravet om forudgående høring vil i praksis ofte være sam-
menfaldende med de situationer, hvor der efter gældende ret
skal ske anmeldelse til tilsynsmyndigheden.
Kravet om forudgående høring finder anvendelse på regi-
stre, der oprettes den 1. maj 2017 eller senere, dvs. efter det
foreslåede ikrafttrædelsestidspunkt. Der skal med andre ord
ikke foretages høring af tilsynsmyndigheden i forhold til ek-
sisterende registre, jf. også den foreslåede § 53 og bemærk-
ningerne hertil.
Det foreslås videre i stk. 2, at hvis tilsynsmyndigheden fin-
der, at den planlagte behandling ikke vil overholde loven,
herunder navnlig hvis den dataansvarlige ikke tilstrækkeligt
har identificeret eller begrænset risikoen, giver tilsynsmyn-
digheden inden for en periode på op til 6 uger efter modta-
gelse af anmodningen om høring den dataansvarlige og,
hvor det er relevant, databehandleren skriftlig rådgivning.
Tilsynsmyndigheden kan i den forbindelse anvende enhver
af sine beføjelser, jf. kapitel 20. Denne periode kan forlæn-
ges med en måned under hensyntagen til den påtænkte be-
handlings kompleksitet. Tilsynsmyndigheden underretter
den dataansvarlige og, hvor det er relevant, databehandleren
om enhver sådan forlængelse senest en måned efter modta-
gelse af anmodningen om høring sammen med begrundelsen
for forsinkelsen.
Med den foreslåede bestemmelse reguleres tilsynsmyndig-
hedens reaktionsmuligheder i forhold til en forudgående hø-
ring.
Det foreslås i stk. 3, at tilsynsmyndighederne skal kunne
fastsætte en liste over de behandlingsaktiviteter, hvor der i
henhold til stk. 1 skal foretages en forudgående høring.
Med den foreslåede bestemmelse gives tilsynsmyndigheden
en adgang til at fastsætte en liste over de behandlingsaktivi-
teter, hvor der skal ske en forudgående høring. Der skal væ-
re tale om behandlingsaktiviteter i et nyt register.
Der henvises i øvrigt til pkt. 2.5.3.5 i lovforslagets alminde-
lige bemærkninger.
Til § 27
Det fremgår af persondatalovens § 41, stk. 1, at personer,
virksomheder mv., der udfører arbejde under den dataan-
svarlige eller databehandleren, og som får adgang til oplys-
ninger, kun må behandle disse efter instruks fra den dataan-
svarlige, medmindre andet følger af lov eller bestemmelser
fastsat i henhold til lov.
Efter persondatalovens § 41, stk. 3, skal den dataansvarlige
træffe de fornødne tekniske og organisatoriske sikkerheds-
foranstaltninger mod, at oplysninger hændeligt eller ulovligt
tilintetgøres, fortabes eller forringes, samt mod, at de kom-
mer til uvedkommendes kendskab, misbruges eller i øvrigt
83
behandles i strid med loven. Tilsvarende gælder for databe-
handlere.
Efter persondatalovens § 41, stk. 4, skal der for oplysninger,
der behandles for den offentlige forvaltning, og som er af
særlig interesse for fremmede magter, træffes foranstaltnin-
ger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde
af krig eller lignende forhold (krigsreglen).
Persondatalovens § 41, stk. 5, bemyndiger justitsministeren
til at fastsætte nærmere regler om de i stk. 3 anførte sikker-
hedsforanstaltninger. Justitsministeren har med hjemmel i
bestemmelsen udstedt sikkerhedsbekendtgørelsen og sikker-
hedsbekendtgørelsen for domstolene.
Det fremgår af bekendtgørelsernes § 5, at den dataansvarlige
myndighed skal fastsætte nærmere interne bestemmelser om
sikkerhedsforanstaltninger i myndigheden til uddybning af
de regler, der fremgår af bekendtgørelsen. Bestemmelserne
skal navnlig omfatte organisatoriske forhold og fysisk sik-
ring, herunder sikkerhedsorganisation, administration af ad-
gangskontrolordninger og autorisationsordninger samt kon-
trol med autorisationer. Der skal endvidere fastsættes in-
strukser, som fastlægger ansvaret for og beskriver behand-
ling og destruktion af ind- og uddatamateriale samt anven-
delse af edb-udstyr. Desuden skal der fastsættes retningslin-
jer for myndighedens tilsyn med overholdelsen af de sikker-
hedsforanstaltninger, der er fastsat for myndigheden.
De interne bestemmelser skal gennemgås mindst én gang
hvert år med henblik på at sikre, at de er fyldestgørende og
afspejler de faktiske forhold i myndigheden, jf. bestemmel-
sernes stk. 2.
Bekendtgørelserne indeholder herudover nærmere regler om
bl.a. instruktion over for medarbejdere, der behandler perso-
noplysninger, samt om autorisation og adgangskontrol.
Det foreslås i stk. 1, at den dataansvarlige og databehandle-
ren under hensyntagen til det aktuelle tekniske niveau, im-
plementeringsomkostningerne og behandlingens karakter,
omfang, sammenhæng og formål samt risicienes varierende
sandsynlighed og alvor for fysiske personers rettigheder skal
gennemføre passende tekniske og organisatoriske foranstalt-
ninger for at sikre et sikkerhedsniveau, der passer til disse
risici, navnlig for så vidt angår behandlingen af de særlige
kategorier af personoplysninger, der er omfattet af den fore-
slåede § 10.
Med den foreslåede bestemmelse fastslås det generelle prin-
cip om, at de fornødne tekniske og organisatoriske foran-
staltninger skal fastsættes ud fra en risikobaseret tilgang.
Dette princip er i praksis en videreførelse af det gældende
krav i persondatalovens § 41, stk. 3.
Det foreslås videre i stk. 2, at for så vidt angår automatisk
behandling, skal den dataansvarlige eller databehandleren på
grundlag af en risikovurdering gennemføre foranstaltninger
til at sikre, at
1) uautoriserede personer ikke kan få adgang til det be-
handlingsudstyr, der benyttes til behandling (kontrol
med fysisk adgang til udstyret),
2) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af datamedier (kontrol med datamedier),
3) der ikke sker uautoriseret indlæsning af personoplys-
ninger samt uautoriseret læsning, ændring eller slet-
ning af opbevarede personoplysninger (kontrol med
opbevaring),
4) automatiske behandlingssystemer ikke via datakom-
munikationsudstyr kan benyttes af uautoriserede per-
soner (brugerkontrol),
5) personer med bemyndigelse til at anvende et automa-
tisk behandlingssystem kun har adgang til de persono-
plysninger, der er omfattet af deres adgangstilladelse
(kontrol med dataadgangen),
6) det er muligt at kontrollere og fastslå de modtagere, til
hvilke der er blevet eller kan transmitteres eller stilles
oplysninger til rådighed ved hjælp af datakommunika-
tionsudstyr (kommunikationskontrol),
7) det er muligt efterfølgende at undersøge og fastslå,
hvilke personoplysninger der er indlæst i automatiske
behandlingssystemer, og hvornår og af hvem persono-
plysningerne blev indlæst (kontrol med indlæsning),
8) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af personoplysninger i forbindelse med
overførsler af disse eller under transport af datamedier
(transportkontrol),
9) de anvendte systemer i tilfælde af teknisk uheld kan
genetableres (genopretning), og
10) systemet fungerer, at indtrufne fejl meldes (pålidelig-
hed), og at opbevarede personoplysninger ikke bliver
ødelagt som følge af fejlfunktioner i systemet (integri-
tet).
Der sker med den foreslåede bestemmelse en detaljeret op-
listning af de sikkerhedskrav, som stilles ved automatisk be-
handling af personoplysninger. Kravene er i vidt omfang en
videreførelse af de gældende regler om behandlingssikker-
hed i persondatalovens § 41 og sikkerhedsbekendtgørelsens
regler. Kravene i de foreslåede nr. 6 og 7 skal ses i lyset af
den foreslåede § 24 om logning.
Det foreslås videre i stk. 3, at for oplysninger af særlig inte-
resse for fremmede magter skal der træffes foranstaltninger,
der muliggør bortskaffelse eller tilintetgørelse i tilfælde af
krig eller lignende forhold.
84
Med den foreslåede bestemmelse sker der en videreførelse
af den såkaldte krigsregel, som indebærer, at der skal træffes
særlige foranstaltninger i forhold til oplysninger med særlig
interesse for fremmede magter bl.a. for dermed hurtigt og
effektivt at kunne overtage den almindelige administration.
Den foreslåede bestemmelse indebærer, at ikke alle behand-
linger vil kunne udføres af en databehandler i udlandet, hvis
en sådan overladelse medfører, at krigsreglen ikke kan iagt-
tages af den dataansvarlige.
Bestemmelsen varetager hensynet til den offentlige sikker-
hed og skal fortolkes i lyset af Danmarks EU-retlige forplig-
telser.
Der foreslås videre i stk. 4, at justitsministeren bemyndiges
til at fastsætte nærmere regler om sikkerhedsforanstaltnin-
ger. Der er tale om en videreførelse af den gældende be-
stemmelse i persondatalovens § 41, stk. 5.
Ved fastsættelsen af reglerne forudsættes det, at der foreta-
ges den afvejning, der er nævnt ovenfor under bemærknin-
gerne til stk. 1. Forinden fastsættelsen af reglerne skal der
ske høring af de relevante myndigheder, organisationer mv.
samt eventuelle andre relevante organer, f.eks. Rådet for Di-
gital Sikkerhed.
Det er hensigten, at bestemmelsen skal anvendes til at udste-
de en bekendtgørelse, som skal erstatte den gældende sik-
kerhedsbekendtgørelse og sikkerhedsbekendtgørelsen for
domstolene i forhold til den behandling af personoplysnin-
ger, der er omfattet af lovforslaget, jf. herved også bemærk-
ningerne til den foreslåede § 55, nr. 2.
Den almindelige forpligtelse til at træffe de fornødne foran-
staltninger efter stk. 1 og 2 gælder uanset udstedelsen af
nærmere regler herom.
Det foreslås i stk. 5, at justitsministeren efter indstilling fra
en kompetent myndighed kan fastsætte regler om, at perso-
noplysninger omfattet af stk. 3 ikke skal underlægges foran-
staltninger, der muliggør bortskaffelse eller tilintetgørelse,
hvis dette ud fra en samlet vurdering må anses for forsvar-
ligt. Ved fastsættelsen af sådanne regler vil der ske en ind-
dragelse af de relevante myndigheder, herunder forsvarsmi-
nisteren.
Med den foreslåede bestemmelse sikres det som noget nyt,
at justitsministeren efter indstilling fra en kompetent myn-
dighed kan fastsætte nærmere regler om, at oplysninger, der
er omfattet af den foreslåede stk. 3, ikke skal være underlagt
et krav om, at det i tilfælde af krig eller lignende forhold
skal være muligt at foretage bortskaffelse eller tilintetgørel-
se.
Krigsreglen indebærer som nævnt ovenfor, at visse registre
– som følge af karakteren af de personoplysninger, som er
indeholdt heri – skal føres i Danmark.
Den foreslåede bestemmelse vil gøre det praktisk muligt for
de kompetente myndigheder helt eller delvist at gøre brug af
f.eks. cloud-tjenester, hvor opbevaringen af oplysninger sker
på servere i udlandet.
Vurderingen af, om det kan anses for forsvarligt at opbevare
de pågældende oplysninger i udlandet, vil navnlig inddrage
de pågældende oplysningers karakter og de tekniske og or-
ganisatoriske foranstaltninger, jf. § 27, stk. 2, som træder i
stedet for de foranstaltninger, som ellers skulle have været
truffet i medfør af den foreslåede § 27, stk. 3. Det vil være
op til den relevante kompetente myndighed at fremlægge en
nærmere begrundelse for, at det er forsvarligt, at der ikke
stilles krav om, at det pågældende register skal føres i Dan-
mark.
Der henvises i øvrigt til pkt. 2.6.3.1 i lovforslagets alminde-
lige bemærkninger.
Til § 28
Persondataloven indeholder ikke regler, hvorefter dataan-
svarlige, der har sikkerhedsbrud i forbindelse med behand-
ling af personoplysninger, har pligt til at underrette tilsyns-
myndigheden herom.
Det foreslås i stk. 1, at ved brud på persondatasikkerheden
skal den dataansvarlige uden unødig forsinkelse og om mu-
ligt senest 72 timer efter, at den dataansvarlige er blevet be-
kendt med bruddet, anmelde bruddet til tilsynsmyndigheden,
medmindre det er usandsynligt, at bruddet indebærer en risi-
ko for fysiske personers rettigheder. En overskridelse af fri-
sten på 72 timer skal begrundes.
Med den foreslåede bestemmelse forpligtes den dataansvar-
lige til i visse situationer at anmelde brud på datasikkerhe-
den til tilsynsmyndigheden.
Der skal ikke ske anmeldelse, hvis det er usandsynligt, at
bruddet indebærer en risiko for fysiske personers rettighe-
der. Der kunne f.eks. være tale om en situation, hvor en da-
taansvarlig har mistet et bærbart medie, hvorpå der er lagret
persondata i krypteret form. Der kan være anvendt en til-
strækkelig stærk kryptering, som ikke kan brydes eller om-
gås inden for en tilstrækkelig lang årrække, og uvedkom-
mende har ikke og får ikke mulighed for at dekryptere data
på normal vis – f.eks. ved at komme i besiddelse af rette
krypteringsnøgle.
85
Bevisbyrden for, at det var usandsynligt, at bruddet ville in-
debære en risiko for fysiske personers rettigheder, påhviler
den dataansvarlige. Rettigheder skal forstås i bred forstand
og retter sig således ikke kun til den registreredes rettighe-
der i medfør af nærværende lov.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 2, at databehandleren uden unødig forsin-
kelse underretter den dataansvarlige om et brud på person-
datasikkerheden.
Med den foreslåede bestemmelse sikres det, at den dataan-
svarlige bliver bekendt med eventuelle sikkerhedsbrud. Den
dataansvarlige skal på baggrund af underretningen fra data-
behandleren vurdere, om der skal ske anmeldelse til tilsyns-
myndigheden efter den foreslåede § 28, stk. 1.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 3, at anmeldelsen efter stk. 1 skal
1) beskrive karakteren af bruddet på persondatasikkerhe-
den, herunder i videst muligt omfang kategorierne af
og det berørte antal registrerede samt kategorierne af
og det berørte antal registreringer af personoplysninger,
2) angive navn på og kontaktoplysninger for databeskyt-
telsesrådgiveren eller et andet kontaktpunkt, hvor yder-
ligere oplysninger kan indhentes,
3) beskrive de sandsynlige konsekvenser af bruddet på
persondatasikkerheden, og
4) beskrive de foranstaltninger, som den dataansvarlige
har truffet eller foreslår truffet for at håndtere bruddet
på persondatasikkerheden, herunder, hvis det er rele-
vant, foranstaltninger for at begrænse dets mulige ska-
devirkninger.
Det foreslås videre i stk. 4, at når det ikke er muligt at fore-
lægge oplysningerne, der er nævnt i stk. 3, samlet for til-
synsmyndigheden, skal oplysningerne meddeles trinvis uden
unødig forsinkelse.
Med de foreslåede bestemmelser fastslås det, hvilke oplys-
ninger anmeldelsen til tilsynsmyndigheden skal indeholde,
og at det ikke er nødvendigt for den dataansvarlige at ind-
samle alle oplysningerne, inden anmeldelsen sendes til til-
synsmyndigheden.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 5, at den dataansvarlige skal dokumentere
alle brud på persondatasikkerheden, som er omfattet af stk.
1, herunder de faktiske omstændigheder vedrørende bruddet,
dets virkninger og de trufne afhjælpende foranstaltninger.
Med den foreslåede bestemmelse forpligtes den dataansvar-
lige til at opbevare de oplysninger, som i øvrigt skal fremgå
af anmeldelsen til tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 6, at hvis bruddet på persondatasikkerhe-
den omhandler oplysninger, der er transmitteret af eller til
en dataansvarlig i en anden medlemsstat, skal oplysninger,
der er nævnt i stk. 3, uden unødig forsinkelse meddeles til
den dataansvarlige i denne medlemsstat.
Med den foreslåede bestemmelse forpligtes den dataansvar-
lige til at underrette dataansvarlige i andre medlemsstater,
hvis der er tale om oplysninger, som er modtaget fra eller vi-
deregivet til en anden medlemsstat. Det sikres herved, at den
udenlandske dataansvarlige kan tage højde for, at der f.eks.
er sket en utilsigtet spredning af oplysningerne, hvilket kan
have betydning for f.eks. en verserende efterforskning af et
strafbart forhold.
Der henvises i øvrigt til pkt. 2.6.3.2 i lovforslagets alminde-
lige bemærkninger.
Til § 29
Persondataloven indeholder ikke eksplicitte regler, hvorefter
dataansvarlige, der har sikkerhedsbrud i forbindelse med be-
handling af personoplysninger, har pligt til at underrette de
registrerede herom.
Persondatalovens § 5, stk. 1, indeholder imidlertid et krav
om, at oplysninger skal behandles i overensstemmelse med
god databehandlingsskik.
God databehandlingsskik anses efter praksis fra Datatilsynet
for bl.a. at omfatte krav til den dataansvarlige om at foretage
underretning af berørte personer ved brud på datasikkerhe-
den, når personoplysninger er kommet til uvedkommendes
kendskab eller har været i risiko herfor. Ved vurderingen af
spørgsmålet om underretning må den dataansvarlige bl.a.
tage oplysningernes karakter og de mulige konsekvenser for
de berørte i betragtning. Ved utilsigtet offentliggørelse af
personoplysninger på en hjemmeside på internettet skal de
dataansvarlige således bl.a. foretage underretning af de be-
rørte personer.
86
Det foreslås i stk. 1, at ved brud på persondatasikkerheden,
som sandsynligvis vil indebære en høj risiko for fysiske per-
soners rettigheder, skal den dataansvarlige uden unødig for-
sinkelse underrette den registrerede om bruddet.
Med den foreslåede bestemmelse forpligtes den dataansvar-
lige til i visse situationer at underrette den registrerede om
brud på datasikkerheden. Det vil f.eks. være relevant for den
dataansvarlige at foretage underretning af en registreret, hvis
bruddet på persondatasikkerheden har ført til, at oplysninger
om den registreredes personnummer kan være kommet til
uvedkommendes kendskab.
I modsætning til kravet om anmeldelse af et brud på person-
datasikkerheden til tilsynsmyndigheden, jf. den foreslåede §
28, skal underretningen ske uden unødig forsinkelse, efter at
bruddet er påvist. Underretningen skal give den registrerede
mulighed for at træffe de fornødne forholdsregler. Det er så-
ledes væsentligt, at der sker en hurtig underretning, hvis
bruddet på datasikkerheden kan have store konsekvenser for
den registrerede, f.eks. hvis adresseoplysninger mv. for et
vidne i en straffesag, bliver tilgængelige for tredjemand.
Det foreslås videre i stk. 2, at underretningen i et klart og en-
kelt sprog skal beskrive karakteren af bruddet samt indehol-
de de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.
Det foreslås herudover i stk. 3, at kravet om underretning ik-
ke gælder, hvis
1) den dataansvarlige har gennemført passende tekniske
og organisatoriske beskyttelsesforanstaltninger, og dis-
se foranstaltninger er blevet anvendt på de persono-
plysninger, som er berørt af bruddet på persondatasik-
kerheden, herunder navnlig foranstaltninger, der f.eks.
på grund af kryptering gør personoplysningerne ufor-
ståelige for enhver, der ikke har autoriseret adgang her-
til,
2) den dataansvarlige har truffet efterfølgende foranstalt-
ninger, der sikrer, at den høje risiko for de registreredes
rettigheder som omhandlet i stk. 1 sandsynligvis ikke
længere er reel, eller
3) det vil kræve en uforholdsmæssig indsats af den data-
ansvarlige.
Med den foreslåede bestemmelse sker der en nærmere regu-
lering af, hvornår der ikke skal gives en underretning til den
registrerede. Bestemmelsen skal ses som en præcisering af
den risikovurdering, som den dataansvarlige skal foretage i
medfør af den foreslåede § 29, stk. 1.
Der vil f.eks. kunne undlades at foretage underretning efter
nr. 1, hvis der er tale om en situation, hvor en dataansvarlig
har mistet et bærbart medie, hvorpå der er lagret persondata,
men hvor der er anvendt en tilstrækkelig stærk kryptering,
som indebærer, at uvedkommende ikke kan få adgang til
indholdet.
Der vil f.eks. kunne undlades at foretage underretning efter
nr. 2, hvis der er tale om en situation, hvor der i en periode
har været risiko for ikke-autoriseret adgang til personoplys-
ninger, men den dataansvarlige sørger for, at adgangen hin-
dres, og den dataansvarliges log viser, at der rent faktisk ik-
ke har været uautoriserede personer, som har tilgået oplys-
ningerne.
Det foreslås desuden i stk. 4, at i de tilfælde, der er nævnt i
stk. 3, nr. 3, skal der i stedet foretages en offentlig meddelel-
se eller tilsvarende foranstaltning, hvorved de registrerede
underrettes på en tilsvarende effektiv måde.
Det foreslås i stk. 5, at hvis den dataansvarlige ikke allerede
har underrettet den registrerede om bruddet på persondata-
sikkerheden, kan tilsynsmyndigheden efter at have overvejet
sandsynligheden for, at bruddet på persondatasikkerheden
indebærer en høj risiko, kræve, at den dataansvarlige gør
dette, eller beslutte, at en af betingelserne i den foreslåede §
29, stk. 3, er opfyldt.
Med den foreslåede bestemmelse får tilsynsmyndigheden
mulighed for at pålægge den dataansvarlige at foretage un-
derretning. Bestemmelsen skal således ses i sammenhæng
med tilsynsmyndighedens beføjelser efter den foreslåede §
42.
Endeligt foreslås det i stk. 6, at underretning af den registre-
rede kan udsættes, begrænses eller undlades af de grunde,
der er nævnt i § 14, stk. 1.
Med den foreslåede bestemmelse sikres det, at en dataan-
svarlig kompetent myndighed ikke er forpligtet til at under-
rette en registreret om brud på datasikkerheden, hvis den re-
gistrerede ville have været afskåret fra at opnå indsigt efter
den foreslåede § 16, stk. 1, jf. § 14, stk. 1.
Der henvises i øvrigt til pkt. 2.6.3.3 i lovforslagets alminde-
lige bemærkninger.
Til § 30
Gældende ret indeholder ikke regler om databeskyttelsesråd-
givere.
Den foreslås i stk. 1, at den dataansvarlige på grundlag af
faglige kvalifikationer, herunder navnlig ekspertise inden
for databeskyttelsesret og -praksis samt evnen til at udføre
de opgaver, der er nævnt i kapitel 15, udpeger en databe-
87
skyttelsesrådgiver, som inddrages i alle spørgsmål vedrøren-
de beskyttelse af personoplysninger.
Databeskyttelsesgiveren kan være en af den dataansvarliges
eksisterende medarbejdere, som har fået særlig uddannelse
inden for databeskyttelsesret og -praksis for at tilegne sig
ekspertise på dette område. Vedkommendes opgaver vil
kunne udføres på deltid eller fuldtid.
Databeskyttelsesrådgiveren vil endvidere kunne udpeges
som databeskyttelsesrådgiver i forhold til databeskyttelses-
forordningen.
Databeskyttelsesrådgiveren vil endvidere kunne fungere
som kontaktpunkt, når der er tale om fælles dataansvarlige,
jf. den foreslåede § 21.
Det foreslås videre i stk. 2, at flere dataansvarlige under hen-
syntagen til deres størrelse og organisatoriske forhold kan
udpege en fælles databeskyttelsesrådgiver.
Med den foreslåede bestemmelse gives der mulighed for, at
f.eks. politikredsene, som varetager rollen som både politi-
og anklagemyndighed inden for den samme organisation, vil
kunne udpege én databeskyttelsesrådgiver for al den be-
handling af personoplysninger, som foretages af politikred-
sen.
Det foreslås herudover i stk. 3, at forpligtelsen til at udpege
en databeskyttelsesrådgiver ikke gælder for domstolene, når
disse foretager behandling af personoplysninger inden for
deres egenskab af domstole.
Med den foreslåede bestemmelse understreges det, at det
særlige forhold ved domstolene, herunder navnlig domstole-
nes uafhængighed og den særlige ordning for tilsynet med
domstolenes behandling af personoplysninger, indebærer, at
der ikke skal udpeges en databeskyttelsesrådgiver for så vidt
angår den behandling af personoplysninger, der foretages i
forbindelse med domstolenes udøvelse af judicielle aktivite-
ter.
Endeligt foreslås det i stk. 4, at den dataansvarlige offentlig-
gør kontaktoplysningerne for databeskyttelsesrådgiveren og
meddeler disse til tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.7.3 i lovforslagets almindeli-
ge bemærkninger.
Til § 31
Gældende ret indeholder ikke regler om databeskyttelsesråd-
givere.
Det foreslås i § 31, at den dataansvarlige understøtter, at da-
tabeskyttelsesrådgiveren kan
1) underrette og rådgive den dataansvarlige og de ansatte,
der behandler personoplysninger, om deres forpligtel-
ser i medfør af denne lov og anden lovgivning om data-
beskyttelse,
2) overvåge overholdelsen af denne lov og anden lovgiv-
ning om databeskyttelse og af den dataansvarliges poli-
tikker om beskyttelse af personoplysninger, herunder
fordeling af ansvar, oplysningskampagner og uddannel-
se af det personale, der medvirker ved behandlingsakti-
viteterne, og de tilhørende revisioner,
3) rådgive, når der anmodes herom, med hensyn til konse-
kvensanalysen vedrørende databeskyttelse og overvåge
dens opfyldelse i henhold til bestemmelsen i § 25,
4) samarbejde med tilsynsmyndigheden, og
5) fungere som tilsynsmyndighedens kontaktpunkt i
spørgsmål vedrørende behandling, herunder den forud-
gående høring, der er nævnt i § 26, og at høre tilsyns-
myndigheden, når det er hensigtsmæssigt, om eventuel-
le andre spørgsmål.
Med den foreslåede bestemmelse slås det fast, hvilke opga-
ver databeskyttelsesrådgiveren skal løse.
Det vil være en naturlig del af databeskyttelsesrådgiverens
opgaver, at der gives rådgivning også i forbindelse med ud-
viklingen af nye automatiske databehandlingssystemer, da
det vil være nærliggende, at databeskyttelsesrådgiveren har
den fornødne viden om på den ene side den kompetente
myndigheds behov for at foretage behandling af persono-
plysninger, og på den anden side de krav til overholdelse af
behandlingsprincipper, sikkerhedskrav mv., som følger af
den foreslåede lov.
Til § 32
Den foreslåede bestemmelse vedrører de generelle princip-
per for overførsel til tredjelande.
Det foreslås i stk. 1, at overførsel af personoplysninger, der
behandles eller planlægges behandlet efter overførsel til et
tredjeland eller en international organisation, herunder vide-
reoverførsel til et andet tredjeland eller en anden internatio-
nal organisation, kun må finde sted under overholdelse af
reglerne i lovforslaget, og hvis betingelserne i lovforslagets
afsnit VII er overholdt, herunder navnlig at
1) overførslen er nødvendig i forhold til de formål, der er
nævnt i den foreslåede § 1, stk. 1,
2) personoplysningerne overføres til en dataansvarlig i et
tredjeland eller en international organisation, der er en
88
myndighed, der er kompetent i forhold til de formål,
der er nævnt i dem foreslåede § 1, stk. 1,
3) en kompetent myndighed fra en anden medlemsstat har
givet sin forudgående godkendelse til overførslen i
henhold til dens nationale regler, hvor personoplysnin-
ger transmitteres eller stilles til rådighed af denne myn-
dighed,
4) der foreligger et af de overførselsgrundlag, der er
nævnt i kapitel 17, og
5) den kompetente myndighed, der foretog den oprindeli-
ge overførsel, i tilfælde af videreoverførsel til et andet
tredjeland eller en anden international organisation, gi-
ver bemyndigelse til videreoverførslen, efter at den har
taget behørigt hensyn til alle relevante faktorer, herun-
der den strafbare handlings grovhed, det formål, hvortil
personoplysningerne oprindeligt blev overført, og be-
skyttelsesniveauet for personoplysninger i det tredje-
land eller den internationale organisation, hvortil perso-
noplysningerne videreoverføres.
Med den foreslåede bestemmelse fastlægges de generelle
principper for, hvornår der kan ske overførsel til tredjelande
eller internationale organisationer.
Det er således en betingelse, at overførsel er nødvendig af
hensyn til de formål, som fremgår af den foreslåede § 1 (nr.
1), at overførslen sker til myndigheder eller internationale
organisationer, som er kompetente i forhold til disse formål
(nr. 2), og at der foreligger et af de overførselsgrundlag,
som følger af de foreslåede §§ 33, 34 og 35 (nr. 4).
Et eksempel på en international organisation, der er kompe-
tent i forhold til de formål, der fremgår af den foreslåede §
1, stk. 1, er Interpol.
Hvis der er tale om oplysninger, som er indsamlet i en anden
medlemsstat, skal der endvidere foreligge en forudgående
godkendelse fra den kompetente myndighed i den pågæl-
dende medlemsstat (nr. 3).
Hvis der er tale om en videreoverførsel fra et tredjeland eller
en international organisation til et andet tredjeland eller en
anden international organisation, skal der endvidere forelig-
ge en tilladelse fra den kompetente myndighed, som foretog
den oprindelig overførsel (nr. 5). Dette indebærer, at der ved
en overførsel skal være en kontrol med den efterfølgende
overførsel af oplysningerne.
Det foreslås dog videre i § 32, stk. 2, at der skal kunne ske
overførsel uden forudgående godkendelse efter stk. 1, nr. 3,
hvis overførslen er nødvendig for at forebygge en umiddel-
bar og alvorlig trussel mod en medlemsstats eller et tredje-
lands offentlige sikkerhed eller mod en medlemsstats væ-
sentlige interesser, og den forudgående godkendelse ikke
kan indhentes i tide. Den myndighed, der er ansvarlig for at
give den pågældende godkendelse, underrettes straks om
overførslen.
Med den foreslåede bestemmelse sikres det, at der er mulig-
hed for at overføre oplysninger uden at skulle afvente en
godkendelse fra den kompetente myndighed i den medlems-
stat, hvor oplysningerne er indsamlet, hvis der foreligger
kvalificerede omstændigheder.
Til § 33
Det fremgår af persondatalovens § 27, stk. 1, at der kan
overføres oplysninger til et tredjeland, hvis dette land sikrer
et tilstrækkeligt beskyttelsesniveau.
Spørgsmålet om, hvorvidt et tredjeland har et tilstrækkeligt
beskyttelsesniveau, er i praksis knyttet til Europa-Kommis-
sionens såkaldte tilstrækkelighedsafgørelser, som er binden-
de for medlemsstaterne. Foreligger der en sådan afgørelse,
kan medlemsstaterne videregive oplysninger til det pågæl-
dende tredjeland på samme måde som til en anden med-
lemsstat.
Det foreslås i § 33, at overførsel til tredjelande mv. kan ske,
hvis Europa-Kommissionen har truffet afgørelse om, at tred-
jelandet, et område eller en eller flere specifikke sektorer i
dette tredjeland eller den pågældende internationale organi-
sation har et tilstrækkeligt beskyttelsesniveau.
Med den foreslåede bestemmelse gives der mulighed for, at
der fremover kan ske overførsel af personoplysninger til
tredjelande på baggrund af en tilstrækkelighedsafgørelse fra
Europa-Kommissionen.
Kommissionens adgang til at træffe sådanne afgørelser føl-
ger af retshåndhævelsesdirektivets artikel 36. Som følge af,
at retshåndhævelsesdirektivet finder anvendelse for de øvri-
ge medlemsstater fra den 6. maj 2018, vil overførsler på
baggrund af tilstrækkelighedsafgørelser fra Kommissionen
først være relevant efter dette tidspunkt.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindeli-
ge bemærkninger.
Til § 34
Det fremgår af persondatalovens § 27, stk. 1, at der udover
overførsler på baggrund af et tilstrækkeligt beskyttelsesni-
veau kan ske overførsel, hvis en af de i stk. 3, nr. 1-8, nævn-
te betingelser er opfyldt.
89
Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er
nødvendig af hensyn til forebyggelse, efterforskning og for-
følgning af strafbare forhold samt straffuldbyrdelse og be-
skyttelse af sigtede, vidner eller andre i sager om strafferet-
lig forfølgning, eller overførsel er nødvendig af hensyn til
den offentlige sikkerhed, rigets forsvar eller statens sikker-
hed.
Der kan endvidere ske overførsel, hvis den dataansvarlige i
tredjelandet yder tilstrækkelige garantier for beskyttelse af
den registreredes rettigheder, og tilsynsmyndigheden har gi-
vet særlig tilladelse hertil, eller på baggrund af kontrakter,
der er i overensstemmelse med standardkontraktbestemmel-
ser, som er godkendt af Europa-Kommissionen, jf. stk. 4 og
5.
Herudover skal persondatalovens almindelige behandlings-
regler mv. være opfyldt ved overførsel af oplysninger til
tredjelande efter stk. 1 og 3-5, jf. stk. 6.
Rammeafgørelsesbekendtgørelsens §§ 4-6 indeholder særli-
ge regler om overførsel til tredjelande eller internationale or-
ganer af personoplysninger, som er modtaget fra eller stillet
til rådighed af en anden medlemsstat.
Det fremgår af § 4, stk. 1, at videregivelse kun må ske, hvis
det er nødvendigt for forebyggelse, efterforskning, afsløring
eller retsforfølgning af straffelovsovertrædelser eller fuld-
byrdelse af strafferetlige sanktioner, og den modtagende
myndighed i tredjelandet eller det modtagende internationa-
le organ har ansvaret for at forebygge, efterforske, afsløre
eller retsforfølge straffelovsovertrædelser eller fuldbyrde
strafferetlige sanktioner.
Det kræves endvidere, at den videregivende myndighed i
den medlemsstat, som har sendt eller stillet oplysninger til
rådighed, har givet sin godkendelse til at videregive disse i
henhold til sin nationale lovgivning, og at det pågældende
tredjeland eller internationale organ sikrer et tilstrækkeligt
beskyttelsesniveau for den påtænkte behandling af oplysnin-
gerne.
Der kan dog efter stk. 2 ske videregivelse uden forhånds-
godkendelse fra den videregivende myndighed i den med-
lemsstat, som har sendt eller stillet oplysninger til rådighed,
hvis videregivelsen af oplysningerne er afgørende for fore-
byggelse af en umiddelbar og alvorlig trussel mod den of-
fentlige sikkerhed i et tredjeland eller et land inden for Den
Europæiske Union eller Schengen-samarbejdet, eller videre-
givelsen af oplysningerne er afgørende for væsentlige inte-
resser for et land inden for Den Europæiske Union eller
Schengen-samarbejdet.
Det er en betingelse for videregivelsen, at forhåndsgodken-
delse ikke kan indhentes i tide, og den udenlandske myndig-
hed, der skulle have givet sin godkendelse, skal orienteres
omgående.
Der kan efter bestemmelsens stk. 3 ske videregivelse i til-
fælde, hvor det pågældende tredjeland eller internationale
organ ikke sikrer et tilstrækkeligt beskyttelsesniveau for den
påtænkte behandling af oplysningerne, hvis lovgivningen gi-
ver mulighed herfor på grund af den registreredes specifikke
legitime interesser, eller legitime vigtige interesser, navnlig
vigtige offentlige interesser, eller tredjelandet eller det mod-
tagende internationale organ giver sikkerhedsgarantier, som
den videregivende myndighed anser for tilstrækkelige i hen-
hold til sin nationale lovgivning.
Det foreslås i § 34, at hvis der ikke foreligger en tilstrække-
lighedsafgørelse, jf. den foreslåede § 33, kan der ske over-
førsel, hvis
1) der i en international aftale er givet de fornødne garan-
tier, hvad angår beskyttelsen af personoplysninger, el-
ler
2) den dataansvarlige har vurderet alle forhold i forbindel-
se med overførslen af personoplysninger og konklude-
rer, at der findes de fornødne garantier for beskyttelsen
af personoplysninger.
Med den foreslåede bestemmelse etableres et alternativ til
overførsel på grundlag af en tilstrækkelighedsafgørelse fra
Europa-Kommissionen. Der er tale om overførsler til kom-
petente myndigheder i tredjelande.
Formålet med de fornødne garantier er at sikre, at databe-
skyttelseskravene og de registreredes rettigheder opfyldes,
herunder retten til effektiv administrativ eller retslig prøvel-
se.
Ved vurderingen af, om der foreligger de fornødne garanti-
er, kan der inddrages eventuelle samarbejdsaftaler, der er
indgået mellem Europol eller Eurojust og tredjelande, som
tillader udveksling af personoplysninger. Det kan endvidere
inddrages, om overførslen af personoplysninger vil være un-
derlagt tavshedspligt, og at oplysningerne ikke bliver be-
handlet til andre formål end formålene med overførslen.
Herudover vil det kunne inddrages, om der foreligger eksi-
sterende tilstrækkelighedsafgørelser i medfør af databeskyt-
telsesdirektivet vedrørende det pågældende tredjeland mv.
Det foreslås videre i stk. 2, at den dataansvarlige skal under-
rette tilsynsmyndigheden om kategorier af overførsler i
medfør af stk. 1, nr. 2, dvs. hvor overførsel sker, uden at der
foreligger en international aftale herom.
90
Det foreslås i stk. 3, at en overførsel i medfør af stk. 1, nr. 2,
dokumenteres i forhold til dato og tidspunkt for overførslen,
oplysninger om den modtagende kompetente myndighed,
begrundelsen for overførslen og de overførte personoplys-
ninger. Dokumentationen skal efter anmodning stilles til rå-
dighed for tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindeli-
ge bemærkninger.
Til § 35
Det fremgår af persondatalovens § 27, stk. 1, at der udover
overførsler på baggrund af et tilstrækkeligt beskyttelsesni-
veau kan ske overførsel, hvis en af de i stk. 3, nr. 1-8, nævn-
te betingelser er opfyldt.
Overførsel efter stk. 3 kan bl.a. ske, såfremt overførsel er
nødvendig af hensyn til forebyggelse, efterforskning og for-
følgning af strafbare forhold samt straffuldbyrdelse og be-
skyttelse af sigtede, vidner eller andre i sager om strafferet-
lig forfølgning, eller overførsel er nødvendig af hensyn til
den offentlige sikkerhed, rigets forsvar eller statens sikker-
hed.
Det foreslås i stk. 1, at hvis der ikke foreligger en afgørelse
som nævnt i den foreslåede § 33 eller de fornødne garantier
som nævnt i den foreslåede § 34, kan en overførsel eller en
kategori af overførsler kun finde sted, hvis overførslen er
nødvendig
1) for at beskytte den registreredes eller en anden persons
vitale interesser,
2) for at beskytte den registreredes legitime interesser,
hvis det er fastsat i henhold til lov,
3) for at afværge en umiddelbar og alvorlig trussel mod en
medlemsstats eller et tredjelands offentlige sikkerhed,
4) i enkeltsager med henblik på de formål, der er nævnt i
§ 1, stk. 1, eller
5) i en enkeltsag for, at retskrav kan fastlægges, gøres
gældende eller forsvares med henblik på de formål, der
er nævnt i § 1, stk. 1.
Med den foreslåede bestemmelse etableres der et alternativt
overførselsgrundlag, hvis der ikke foreligger en tilstrække-
lighedsafgørelse eller de fornødne garantier. Overførsel kan
således ske, hvis det er nødvendigt af hensyn til et af de
nærmere angivne særlige formål. Overførsel i medfør af
denne bestemmelse skal alene ske undtagelsesvist og skal
begrænses til de oplysninger, som er strengt nødvendige for
at varetage det pågældende formål.
De generelle principper i den foreslåede § 32 skal også over-
holdes ved en overførsel i medfør af den foreslåede § 35,
idet en overførsel i medfør af nr. 3 dog vil kunne ske uden
forudgående godkendelse fra den indsamlende kompetente
myndighed i en anden medlemsstat, jf. den foreslåede § 32,
stk. 2.
Det foreslås således i stk. 2, overførsel efter stk. 1, nr. 4 og
5, dvs. i enkeltsager, ikke kan finde sted, hvis hensynet til
den registreredes rettigheder går forud for den samfunds-
mæssige interesse i overførslen. Hvis der f.eks. er tale om
oplysninger vedrørende efterforskning af strafbare forhold,
skal der tages hensyn til det strafbare forholds karakter, idet
overførsel således ikke bør ske, hvis der er tale om mindre
alvorlig kriminalitet.
Det foreslås i stk. 3, at en overførsel i medfør af stk. 1 doku-
menteres i forhold til dato og tidspunkt for overførslen, op-
lysninger om den modtagende kompetente myndighed, be-
grundelsen for overførslen og de overførte personoplysnin-
ger. Dokumentationen skal efter anmodning stilles til rådig-
hed for tilsynsmyndigheden.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindeli-
ge bemærkninger.
Til § 36
Den foreslåede bestemmelse vedrører overførsel af oplys-
ninger til modtagere, der ikke er kompetente i forhold til de
formål, der er nævnt i den foreslåede § 1, stk.1.
Det foreslås i stk. 1, at de kompetente myndigheder kan
overføre personoplysninger til andre end kompetente myn-
digheder og internationale organisationer på baggrund af in-
ternational aftale eller i enkeltstående og specifikke tilfælde,
hvis
1) overførslen er strengt nødvendig for den overførende
kompetente myndigheds udførelse af en opgave, der
følger af lovgivningen, og forfølger de formål, der er
nævnt i § 1, stk. 1,
2) den overførende kompetente myndighed fastslår, at in-
gen af den pågældende registreredes grundlæggende
rettigheder går forud for samfundets interesse, der nød-
vendiggør overførslen i det foreliggende tilfælde,
3) den overførende kompetente myndighed mener, at
overførslen til en myndighed, der i tredjelandet er kom-
petent i forhold til de formål, der er nævnt i § 1, stk. 1,
er ineffektiv eller uhensigtsmæssig, navnlig fordi over-
førslen ikke kan foretages i tide,
4) den myndighed, der i tredjelandet er kompetent i for-
hold til de formål, der er nævnt i § 1, stk. 1, underrettes
uden unødig forsinkelse, medmindre dette er ineffektivt
eller uhensigtsmæssigt, og
5) den overførende kompetente myndighed underretter
modtageren om det eller de specifikke formål, hvortil
sidstnævnte udelukkende kan behandle personoplysnin-
gerne, forudsat at denne behandling er nødvendig.
91
Med den foreslåede bestemmelse gives der mulighed for, at
der undtagelsesvist kan ske overførsel af oplysninger til an-
dre end kompetente myndigheder og internationale organi-
sationer.
Overførsel kan for det første ske på baggrund af en internati-
onal aftale.
Overførsel kan for det andet ske i enkeltstående og specifik-
ke tilfælde, hvis en række nærmere angivne betingelser er
opfyldt. Overførsel efter bestemmelsen kan ske, hvis en
overførsel til en kompetent myndighed i det pågældende
tredjeland vil være ineffektiv eller uhensigtsmæssig, navnlig
fordi overførslen ikke kunne gennemføres rettidigt, eller for-
di den nævnte myndighed i tredjelandet ikke respekterer
retsstatsprincippet eller internationale menneskerettigheds-
normer og –standarder.
Overførsel efter bestemmelsen kan være relevant, hvis der
er akut behov for at overføre personoplysninger for at redde
en person, som er i livsfare eller i alvorlig fare for at blive
offer for en alvorlig strafbar handling, eller for at forhindre
en nært forestående forbrydelse, herunder terrorisme.
Det foreslås videre i stk. 2, at den overførende kompetente
myndighed skal dokumentere og underrette tilsynsmyndig-
heden om overførsler til modtagere, der ikke er kompetente
myndigheder.
Der henvises i øvrigt til pkt. 2.8.3 i lovforslagets almindeli-
ge bemærkninger.
Til § 37
Det fremgår af persondatalovens § 55, at datatilsynet, der
består af et råd og et sekretariat, fører tilsyn med enhver be-
handling, der omfattes af loven, idet tilsynet med domstole-
ne dog varetages af Domstolsstyrelsen for så vidt angår be-
handling af oplysninger med hensyn til domstolenes admini-
strative forhold.
Det foreslås i stk. 1, at Datatilsynet, der består af et råd og et
sekretariat, skal føre tilsyn med enhver behandling, der om-
fattes af loven, jf. dog kapitel 19 om tilsyn med domstolene.
Med den foreslåede bestemmelse får tilsynet til opgave at
føre tilsyn med behandling, der er omfattet af loven. Datatil-
synet varetager således både tilsynet i forhold til persondata-
loven og – efter den 25. maj 2018 – databeskyttelsesforord-
ningen samt den foreslåede lov.
Der henvises i øvrigt til pkt. 2.9.3 i lovforslagets almindeli-
ge bemærkninger.
Det fremgår af persondatalovens § 55, stk. 2, at Datatilsy-
nets daglige forretninger varetages af sekretariatet, der ledes
af en direktør.
Det foreslås i stk. 2, at tilsynets daglige forretninger vareta-
ges af et sekretariat, der ledes af en direktør.
Der sker således med den foreslåede bestemmelse en videre-
førelse af den gældende ordning.
Det fremgår af persondatalovens § 55, stk. 3, at Datarådet,
der nedsættes af justitsministeren, består af en formand, der
er dommer, og af 6 andre medlemmer. Der kan udnævnes
stedfortrædere for medlemmerne. Medlemmerne og stedfor-
træderne for disse udnævnes for 4 år.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4101), at der ved ud-
pegning af medlemmer af rådet skal tilstræbes uvildighed og
sagkundskab.
Det foreslås i stk. 3, at justitsministeren nedsætter Datarådet,
som består af en formand, der er dommer, og af 6 andre
medlemmer. Der kan udpeges stedfortrædere for medlem-
merne. Formanden, medlemmerne og stedfortræderne for
disse udpeges for 4 år. Der kan ske genudpegning to gange.
Udpegelsen af formand, medlemmer og stedfortrædere for
disse sker på baggrund af disses faglige kvalifikationer, her-
under navnlig ekspertise inden for databeskyttelsesret.
Der sker med den foreslåede bestemmelse en videreførelse
af reglerne om Datarådets nedsættelse med den ændring, at
der alene kan ske genudpegning to gange.
Det fremgår af persondatalovens § 55, stk. 4, at Datarådet
fastsætter sin forretningsorden og de nærmere regler om ar-
bejdets fordeling mellem råd og sekretariat.
Det foreslås i stk. 4, at bemyndigelsen til, at Datarådet kan
fastsætte sin forretningsorden og fordelingen af arbejdet
mellem rådet og sekretariatet videreføres. Det bemærkes, at
indtil rådet har fastsat en forretningsorden mv. i medfør af
denne bestemmelse, vil den gældende forretningsorden fort-
sat gælde for Datarådets tilsyn i medfør af nærværende lov,
jf. herved den foreslåede § 54, nr. 1 (den foreslåede § 2 a,
stk. 2).
Det foreslås i stk. 5, at udpegelsen af formand, medlemmer
og stedfortrædere for disse er betinget af, at de pågældende
92
sikkerhedsgodkendes, og at godkendelsen opretholdes i hele
embedsperioden.
Der skal som minimum ske en sikkerhedsgodkendelse til
klassifikationsgraden HEMMELIGT i overensstemmelse
med sikkerhedscirkulæret.
Med den foreslåede bestemmelse sikres det, at Datarådet
kan håndtere oplysninger om de kompetente myndigheders
systemer på betryggende vis. Hvis et medlem mister sin sik-
kerhedsgodkendelse, vil den pågældende ikke længere kun-
ne være medlem af rådet.
Det foreslås i stk. 6, at hvervet som formand, medlem eller
stedfortræder ophører ved udgangen af embedsperioden el-
ler ved frivillig fratræden.
Det foreslås videre i stk. 7, at formanden, medlemmer og
stedfortrædere for disse alene kan afskediges i tilfælde af al-
vorligt embedsmisbrug, eller hvis disse ikke længere opfyl-
der betingelserne for at varetage hvervet.
Med de foreslåede bestemmelser understreges det, at med-
lemmer af Datarådet skal kunne agere uafhængigt i hele em-
bedsperioden. Der er således ikke mulighed for at afskedige
et medlem som følge af generel utilfredshed med det pågæl-
dende medlems beslutninger i Rådet.
Der henvises i øvrigt til pkt. 2.9.3.1 i lovforslagets alminde-
lige bemærkninger.
Det fremgår af persondatalovens § 56, at Datatilsynet vare-
tager sine opgaver i fuld uafhængighed.
Det fremgår af forarbejderne til persondataloven (Folke-
tingstidende 1999-2000, tillæg A, side 4101), at der ved ud-
pegning af medlemmer af rådet skal tilstræbes uvildighed og
sagkundskab, og at rådets medlemmer således skal udpeges
på en måde, der sikrer Datatilsynet den fornødne uafhængig-
hed.
Det foreslås i stk. 8, at sekretariatets personale samt Datarå-
dets formand, medlemmer og stedfortrædere for disse kun
kan have bibeskæftigelse, for så vidt og i det omfang det er
foreneligt med udøvelsen af de pligter, der er knyttet til stil-
lingen eller hvervet.
Der sker med den foreslåede bestemmelse en understregning
af, at tilsynets personale og Datarådets medlemmer skal væ-
re uafhængige. Der er således i praksis tale om en viderefø-
relse af gældende ret.
Der henvises i øvrigt til pkt. 2.9.3.1 i lovforslagets alminde-
lige bemærkninger.
Det foreslås i stk. 9, at Datatilsynet repræsenterer tilsyns-
myndighederne i Det Europæiske Databeskyttelsesråd.
Tilsynsmyndigheder efter loven vil være Datatilsynet og
Domstolsstyrelsen. Med den foreslåede bestemmelse fasts-
lås det, at Datatilsynet skal repræsentere tilsynsmyndighe-
derne i Det Europæiske Databeskyttelsesråd. Datatilsynet
skal i den forbindelse også varetage Domstolsstyrelsens
synspunkter som tilsynsmyndighed, jf. også den foreslåede
§ 46 om samarbejde mellem tilsynsmyndighederne.
Til § 38
Det fremgår af persondatalovens § 67, at Domstolsstyrelsen
fører tilsyn med behandling af oplysninger, der foretages for
domstolene. Tilsynet omfatter behandling af oplysninger
med hensyn til domstolenes administrative forhold, jf. stk. 2.
Det fremgår videre af § 67, stk. 3, at for anden behandling af
oplysninger træffes afgørelse af vedkommende ret. Afgørel-
sen kan kæres til højere ret. For særlige domstole, hvis afgø-
relser ikke kan indbringes for højere ret, kan den i 1. pkt.
nævnte afgørelse kæres til den landsret, i hvis kreds retten er
beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er
meddelt den pågældende.
Det foreslås i stk. 1, at Domstolsstyrelsen fører tilsyn med
behandling af oplysninger, der foretages for domstolene, når
disse handler uden for deres egenskab af domstol.
Det foreslås videre i stk. 2, at for anden behandling af oplys-
ninger træffes afgørelse af vedkommende ret. Afgørelsen
kan kæres til højere ret. For særlige domstole, hvis afgørel-
ser ikke kan indbringes for højere ret, kan afgørelsen kæres
til den landsret, i hvis kreds retten er beliggende. Kærefri-
sten er 4 uger fra den dag, afgørelsen er meddelt den pågæl-
dende.
Med den foreslåede bestemmelse sker der en videreførelse
af gældende ret i forhold til tilsynet med domstolenes be-
handling af personoplysninger.
Der henvises i øvrigt til pkt. 2.9.3.2 i lovforslagets alminde-
lige bemærkninger.
Til § 39
93
Det fremgår af persondatalovens § 56, at Datatilsynet udø-
ver sine funktioner i fuld uafhængighed. Tilsvarende gælder
for Domstolsstyrelsen, jf. § 68, stk. 1.
Det foreslås i § 39, at det fastslås, at tilsynsmyndighederne
udøver deres funktioner i fuld uafhængighed.
Der er således tale om en videreførelse af gældende ret.
Der henvises i øvrigt til pkt. 2.9.3.3 i lovforslagets alminde-
lige bemærkninger.
Til § 40
Det foreslås i stk. 1, at det fastlægges, at tilsynsmyndighe-
derne har til opgave her i landet at
1) føre tilsyn med og håndhæve anvendelsen af denne
lov,
2) fremme offentlighedens kendskab til og forståelse af
risici, regler, garantier og rettigheder i forbindelse
med behandling af personoplysninger,
3) rådgive Folketinget, regeringen og andre institutioner
og organer om lovgivningsmæssige og administrative
foranstaltninger til beskyttelse af fysiske personers
rettigheder i forbindelse med behandling,
4) fremme dataansvarliges og databehandleres kendskab
til deres forpligtelser i medfør af denne lov,
5) efter anmodning informere alle registrerede om udø-
velsen af deres rettigheder i medfør af denne lov og
med henblik herpå samarbejde med tilsynsmyndighe-
derne i andre medlemsstater, hvis det er relevant,
6) behandle klager, der indgives af en registreret eller af
et organ, en organisation eller en sammenslutning i
overensstemmelse med bestemmelsen i § 48, og, for
så vidt det er hensigtsmæssigt, undersøge genstanden
for klagen og underrette klageren om forløbet og re-
sultatet af undersøgelsen inden for senest 3 måneder,
navnlig hvis yderligere undersøgelse eller koordine-
ring med en anden tilsynsmyndighed er nødvendig,
7) videresende klager, som skal behandles af en tilsyns-
myndighed i en anden medlemsstat,
8) efter anmodning yde supplerende bistand til en regi-
streret, der har indgivet en klage, som er blevet vide-
resendt til en tilsynsmyndighed i en anden medlems-
stat,
9) underrette en registreret, der har indgivet en klage, om
adgangen til retsmidler efter kapitel 22,
10) efter anmodning kontrollere, om en behandling af per-
sonoplysninger er lovlig i henhold til udsættelse, be-
græsning, undladelse eller nægtelse efter kapitel 4-6,
og underrette den registrerede inden for en rimelig
frist om resultatet af undersøgelsen eller om årsagerne
til, at undersøgelsen ikke er foretaget, og om den regi-
streredes adgang til retsmidler efter kapitel 22,
11) samarbejde med andre tilsynsmyndigheder, herunder
gennem udveksling af oplysninger og gensidig bistand
med henblik på at sikre ensartet anvendelse og hånd-
hævelse af denne lov,
12) gennemføre undersøgelser om anvendelsen af denne
lov, herunder på grundlag af oplysninger, der er mod-
taget fra en anden tilsynsmyndighed eller en anden of-
fentlig myndighed,
13) holde øje med relevant udvikling, for så vidt den har
indvirkning på beskyttelse af personoplysninger,
navnlig udviklingen inden for informations- og kom-
munikationsteknologi,
14) rådgive om behandlingsaktiviteter som omhandlet i §
26 og
15) bidrage til Det Europæiske Databeskyttelsesråds akti-
viteter.
Med den foreslåede bestemmelse sker der en samlet oplist-
ning af tilsynsmyndighedernes opgaver efter loven. Der er i
vidt omfang tale om en videreførelse af gældende ret i for-
hold til de opgaver, som tilsynsmyndighederne varetager i
dag.
Det foreslås i stk. 2, at tilsynsmyndighederne letter indgivel-
sen af klager efter stk. 1, nr. 6.
Det foreslås i stk. 3, at tilsynsmyndighederne kan afvise at
imødekomme åbenbart grundløse eller overdrevent gentagne
anmodninger efter den foreslåede lov.
Det er tilsynsmyndigheden, som har bevisbyrden for, at be-
tingelserne for, at der kan ske afvisning, er opfyldt. Det er
således ikke op til den registrerede at godtgøre en berettiget
interesse, men i det omfang, at den registrerede fremkom-
mer med oplysninger om en sådan interesse, vil der formo-
dningsvist ikke være grundlag for at afvise anmodningen i
medfør af den foreslåede bestemmelse.
Til § 41
Det fremgår af persondatalovens § 62, stk. 1, at Datatilsynet
kan kræve enhver oplysning, der er af betydning for dets
virksomhed, herunder til afgørelse af, om et forhold falder
ind under lovens bestemmelser.
Tilsynets medlemmer og personale har til enhver tid mod
behørig legitimation uden retskendelse adgang til alle loka-
ler, hvorfra en behandling, som foretages for den offentlige
forvaltning, administreres, eller hvorfra der er adgang til de
oplysninger, som behandles, samt til lokaler, hvor oplysnin-
gerne eller tekniske hjælpemidler opbevares eller anvendes,
jf. § 62, stk. 2.
Tilsvarende gælder for Domstolsstyrelsen, jf. § 68, stk. 1.
94
Det foreslås i stk. 1, at tilsynsmyndighederne kan kræve
enhver oplysning, der er af betydning for deres virksomhed,
herunder til afgørelse af, om et forhold falder ind under lo-
vens bestemmelser.
Det foreslås videre i stk. 2, at tilsynsmyndighedernes med-
lemmer og personale til enhver tid mod behørig legitimation
uden retskendelse har adgang til alle lokaler, hvorfra en be-
handling foretages.
Med den foreslåede bestemmelse sker der en videreførelse
af gældende ret i forhold til spørgsmålet om tilsynsmyndig-
hedernes adgang til oplysninger og til lokaler, hvorfra der
foretages behandling af personoplysninger.
Bestemmelsen vil således først og fremmest kunne anvendes
i forhold til de kompetente myndigheder, men den vil også
kunne anvendes over for private databehandlere, der foreta-
ger behandling af personoplysninger på vegne af den data-
ansvarlige, samt i forhold til hjemmearbejdspladser, som er
etableret af den pågældende kompetente myndighed. Til-
synsmyndighedernes inspektioner skal foretages i overens-
stemmelse med reglerne i lov nr. 442 af 9. juni 2004 om
retssikkerhed ved forvaltningens anvendelse af tvangsind-
greb og oplysningspligter med senere ændringer (retssikker-
hedsloven), herunder lovens § 2 om proportionalitetsprin-
cippet og de særlige regler for fremgangsmåden i §§ 3-8.
Til § 42
Det fremgår af persondatalovens § 59, at Datatilsynet kan
påbyde en privat dataansvarlig at ophøre med en behand-
ling, der ikke må finde sted efter denne lov, og at berigtige,
slette eller blokere bestemte oplysninger, som er omfattet af
en sådan behandling.
Tilsynet kan forbyde en privat dataansvarlig at anvende en
nærmere angiven fremgangsmåde i forbindelse med behand-
lingen af oplysninger, hvis tilsynet finder, at den pågælden-
de fremgangsmåde medfører en væsentlig risiko for, at der
behandles oplysninger i strid med loven, jf. stk. 2.
Tilsynet kan i særlige tilfælde meddele databehandlere på-
bud eller forbud, jf. § 59, stk. 4.
Der er således efter gældende ret ikke mulighed for, at til-
synsmyndighederne kan meddele påbud eller forbud til of-
fentlige myndigheder.
Det foreslås i stk. 1, at tilsynsmyndighederne over for den
dataansvarlige og databehandleren kan afgive udtalelse om,
at planlagte behandlingsaktiviteter sandsynligvis vil være i
strid med nærværende lov, give påbud om at bringe behand-
lingsaktiviteter i overensstemmelse med nærværende lov, el-
ler midlertidigt eller definitivt begrænse, herunder forbyde,
behandling af personoplysninger.
Med den foreslåede bestemmelse sker der således en udvi-
delse af tilsynsmyndighedernes beføjelser over for de kom-
petente myndigheder i forhold til i dag.
Hvis den kompetente myndighed iværksætter behandlings-
aktiviteter uden hensyntagen til en udtalelse fra tilsynsmyn-
digheden om, at behandlingsaktiviteten sandsynligvis ville
være i strid med loven, vil tilsynsmyndigheden kunne med-
dele påbud eller forbud i forhold til den pågældende behand-
lingsaktivitet.
En overtrædelse af et påbud eller forbud vil efter omstæn-
dighederne indebære, at den kompetente myndighed ifalder
strafansvar, jf. herved den foreslåede § 50, stk. 2, og be-
mærkningerne hertil.
Det fremgår af persondatalovens § 61, at Datatilsynets afgø-
relser efter persondataloven ikke kan indbringes for anden
administrativ myndighed. Tilsvarende gælder for Domstols-
styrelsen, jf. § 68, stk. 1, 2. pkt.
Det foreslås i stk. 2, at tilsynsmyndighedernes afgørelser ef-
ter den foreslåede lov ikke kan indbringes for anden admini-
strativ myndighed.
Med den foreslåede bestemmelse sker der en videreførelse
af gældende ret i forhold til spørgsmålet om adgangen til at
indbringe tilsynsmyndighedernes afgørelser for anden admi-
nistrativ myndighed.
Til § 43
Det fremgår af persondatalovens § 57, at ved udarbejdelse af
bekendtgørelser, cirkulærer eller lignende generelle rets-
forskrifter, der har betydning for beskyttelsen af privatlivet i
forbindelse med behandling af oplysninger, skal der indhen-
tes en udtalelse fra Datatilsynet. Tilsvarende gælder for
Domstolsstyrelsen i forhold til behandling af personoplys-
ninger ved domstolene, jf. § 68, stk. 2.
Det foreslås i § 43, at der ved udarbejdelse af generelle rets-
forskrifter, der har betydning for behandling af personoplys-
ninger, skal indhentes en udtalelse fra Datatilsynet. Hvis der
er tale om generelle forskrifter, der har betydning for be-
handling af oplysninger, der foretages for domstolene, skal
der indhentes en udtalelse fra Domstolsstyrelsen.
95
Med den foreslåede bestemmelse sker der således en videre-
førelse af gældende ret i forhold til forpligtelsen til at ind-
drage tilsynsmyndighederne.
Til § 44
Der er ikke efter gældende ret mulighed for, at tilsynsmyn-
dighederne kan indbringe spørgsmål om overtrædelse af
persondataloven for domstolene. Tilsynsmyndighederne kan
anmelde forhold til politiet, hvorefter spørgsmålet om over-
trædelse af loven behandles i en straffesag.
Det foreslås i § 44, at tilsynsmyndighederne kan indbringe
spørgsmål om overtrædelse af den foreslåede lov for retten i
den borgerlige retsplejes former.
Med den foreslåede bestemmelse får tilsynsmyndighederne
mulighed for at indbringe spørgsmål om overtrædelse af den
foreslåede lov for domstolene i den borgerlige retsplejes for-
mer, dvs. efter retsplejelovens regler om civile sager.
Der etableres ikke med bestemmelsen en mulighed for til-
synsmyndighederne til at give møde i retten i videre omgang
end efter gældende ret.
Til § 45
Det fremgår af persondatalovens § 65, at Datatilsynet afgi-
ver en årlig beretning om sin virksomhed til Folketinget. Be-
retningen offentliggøres. Domstolsstyrelsen offentliggør li-
geledes en årlig beretning om dens virksomhed, jf. § 68, stk.
3.
Det foreslås i § 45, at tilsynsmyndighederne afgiver en årlig
beretning om deres virksomhed til Folketinget og justitsmi-
nisteren. Beretningerne offentliggøres.
Med den foreslåede bestemmelse sker der således i vidt om-
fang en videreførelse af gældende ret i forhold til tilsyns-
myndighedernes pligt til at afgive en årsberetning.
Til § 46
Det fremgår af persondatalovens § 66, at Datatilsynet og
Domstolsstyrelsen samarbejder, i det omfang det er nødven-
digt for at opfylde deres pligter, navnlig ved at udveksle alle
relevante oplysninger.
Det foreslås i § 46, at tilsynsmyndighederne samarbejder, i
det omfang det er nødvendigt for at opfylde deres pligter,
navnlig ved at udveksle alle relevante oplysninger.
Med den foreslåede bestemmelse sker der således en videre-
førelse af gældende ret i forhold til tilsynsmyndighedernes
pligt til at samarbejde.
Til § 47
Persondataloven indeholder ikke regler om tilsynsmyndig-
hedernes samarbejde med tilsynsmyndigheder fra andre
medlemsstater.
Det foreslås i stk. 1, at tilsynsmyndighederne uden unødig
forsinkelse og senest en måned efter modtagelsen besvarer
en anmodning fra en tilsynsmyndighed i en anden medlems-
stat. Oplysninger, som en tilsynsmyndighed i en anden til-
synsmyndighed har anmodet om, fremsendes elektronisk i et
standardformat.
Det foreslås videre i stk. 2, at anmodninger om bistand skal
indeholde alle nødvendige oplysninger, herunder formålet
med og grunden til anmodningen. Udvekslede oplysninger
må kun anvendes til det formål, som er angivet i anmodnin-
gen.
Endeligt foreslås det i stk. 3, at anmodninger alene kan afvi-
ses, når den anmodede tilsynsmyndighed ikke har kompe-
tence med hensyn til genstanden for anmodningen eller de
foranstaltninger, som den anmodes om at iværksætte, eller
en imødekommelse af anmodningen vil være i strid med
denne eller anden lov. Et afslag på at imødekomme en an-
modning skal begrundes.
Tilsynsmyndigheden vil således ikke kunne imødekomme
en anmodning om, at der meddeles et påbud om at forbyde
en behandling, som ikke er omfattet af den foreslåede lovs
anvendelsesområde, eller hvis den pågældende behandling
overholder reglerne i den foreslåede lov.
Til § 48
Det fremgår af persondatalovens § 40, at den registrerede
kan klage til vedkommende tilsynsmyndighed over behand-
ling af oplysninger vedrørende den pågældende.
Det foreslås i stk. 1, at den registrerede eller dennes repræ-
sentant kan klage til vedkommende tilsynsmyndighed over
behandling af oplysninger vedrørende den registrerede.
Med den foreslåede bestemmelse videreføres den generelle
adgang til at klage til tilsynsmyndigheden. Den registrerede
kan klage gennem en repræsentant i overensstemmelse med
forvaltningslovens regler om adgangen til at lade sig repræ-
sentere.
96
Det foreslås i stk. 2, at tilsynsmyndighedernes afgørelser,
undladelser af at behandle en klage fra en registreret eller en
manglende underretning efter § 40, stk. 1, nr. 6, af den regi-
strerede eller dennes repræsentant kan indbringes for dom-
stolene efter retsplejelovens regler.
Med den foreslåede bestemmelse fastslås den registreredes
adgang til at indbringe tilsynsmyndighedens afgørelser for
domstolene. For så vidt angår spørgsmålet om adgangen til
at indbringe en tilsynsmyndigheds afgørelser for domstole-
ne, følger det af grundlovens § 63, at domstolene er beretti-
get til at påkende ethvert spørgsmål om øvrighedsmyndighe-
dens grænser. Denne mulighed for domstolsprøvelse vil bl.a.
kunne udnyttes, såfremt Datatilsynet eller Domstolsstyrelsen
har behandlet en klage fra en registreret person. I givet fald
vil den registrerede, som tilsynsmyndighedens afgørelse
måtte gå imod, kunne indbringe denne for domstolene.
Herudover fastslås det, at den registrerede også kan indbrin-
ge tilsynsmyndigheden for domstolene, hvis der ikke er sket
behandling af en klage, eller der ikke er givet den forpligte-
de underretning efter den foreslåede § 38, stk. 1, nr. 6. Det
må antages, at en sådan anlagt sag vil bortfalde, hvis tilsyns-
myndigheden i mellemtiden behandler klagen eller foretager
den fornødne underretning. Bestemmelsen må derfor anta-
ges at få beskeden betydning i praksis.
Det foreslås i stk. 3, at den registrerede eller den registrere-
des repræsentant kan indbringe spørgsmål om dataansvarli-
ges og databehandleres overholdelse af denne lov for dom-
stolene i den borgerlige retsplejes former.
Adgangen til at indbringe tilsynsmyndigheden for domstole-
ne følger af retsplejelovens almindelige regler.
Med den foreslåede bestemmelse understreges det således,
at den registrerede kan indbringe spørgsmål om dataansvar-
liges og databehandleres overholdelse af denne lov for retten
i den borgerlige retsplejes former, dvs. efter retsplejelovens
regler om civile søgsmål.
For så vidt angår den registreredes adgang til at lade sig re-
præsentere af andre ved anlæggelse af søgsmål, følger dette
af dansk rets regler om mandatarer. Mandataren kan føre
sagen på partens vegne på samme måde som en procesfuld-
mægtig, og mandatarens optræden i sagen bygger på partens
bemyndigelse, der når som helst kan tilbagekaldes.
Der etableres ikke med bestemmelsen en mulighed for re-
præsentanten til at give møde i retten i videre omgang end
efter gældende ret.
Der henvises i øvrigt til pkt. 2.10.3.2-2.10.3.4 i lovforslagets
almindelige bemærkninger.
Til § 49
Det fremgår af persondatalovens § 69, at den dataansvarlige
skal erstatte skade, der er forvoldt ved behandling i strid
med bestemmelserne i loven, medmindre det godtgøres, at
skaden ikke kunne have været afværget ved den agtpågiven-
hed og omhu, der må kræves i forbindelse med behandling
af oplysninger.
Af den gældende erstatningsregel i persondatalovens § 69
følger der således et skærpet ansvarsgrundlag i form af et
præsumptionsansvar (culpa med omvendt bevisbyrde) for
den dataansvarlige. Herudover finder de almindelige erstat-
ningsretlige principper anvendelse.
Det foreslås i § 49, at enhver person, som har lidt materiel
eller immateriel skade som følge af en ulovlig behandlings-
aktivitet eller enhver anden behandling i strid med denne
lov, har ret til erstatning fra den dataansvarlige i overens-
stemmelse med det almindelige EU-retlige erstatningsan-
svar.
Bestemmelsen indebærer således, at en person, som har lidt
et tab som følge af en ansvarspådragende handling i form af
ulovlig behandling af personoplysninger, har ret til erstat-
ning. Bestemmelsen indebærer endvidere, at spørgsmålet
om erstatningsansvaret reguleres af de almindelige regler
om EU-medlemsstaternes erstatningsansvar for tilsidesættel-
se af EU-retten. For at en EU-medlemsstat er erstatningsan-
svarlig efter EU-retten, er det bl.a. en betingelse, at den
overtrædelse af EU-retten, der er tale om, er tilstrækkelig
kvalificeret.
Herudover finder de øvrige erstatningsretlige principper i
dansk ret anvendelse. Det er således en betingelse for, at
skadevolderen kan ifalde et erstatningsansvar, at skadelidte
har lidt et økonomisk tab. Derudover skal der være den nød-
vendige årsagsforbindelse (kausalitet) mellem den indtrådte
skade og skadevolderens adfærd. Endvidere forudsætter et
erstatningsansvar, at der foreligger såkaldt adækvans (påreg-
nelighed), dvs. at skaden er en påregnelig følge af skadevol-
dernes adfærd. Skader, der er helt atypiske eller tilfældige i
forhold til den risiko, som skadevolders adfærd har frem-
kaldt, falder dermed normalt uden for erstatningspligten.
Der henvises i øvrigt til pkt. 2.10.3.5 i lovforslagets almin-
delige bemærkninger.
Til § 50
Det fremgår af persondatalovens § 70, stk. 2, at medmindre
højere straf er forskyldt efter den øvrige lovgivning, straffes
med bøde eller hæfte den, der overtræder § 41, stk. 3 (om
97
behandlingssikkerhed), eller § 53 (om forudgående anmel-
delse for databehandlere) eller tilsidesætter vilkår som
nævnt i § 7, stk. 7 (om behandling af følsomme oplysnin-
ger), § 9, stk. 3 (om førelse af retsinformationssystemer), §
10, stk. 3 (om videregivelse af følsomme oplysninger og op-
lysninger om rent private forhold i statistisk eller videnska-
beligt øjemed), § 13, stk. 1 (om registrering af udgående te-
lefonopkald), § 27, stk. 4 (overførsel af oplysninger til tred-
jelande), eller en betingelse eller et vilkår for en tilladelse i
henhold til regler udstedt i medfør af loven.
Strafansvar efter § 70, stk. 2, vedrører primært bestemmel-
ser, som private databehandlere, der udfører opgaver for of-
fentlige myndigheder, skal iagttage.
Strafansvar i forhold til den offentlige myndighed er navnlig
relevant ved overtrædelser af vilkår fastsat af Datatilsynet.
Strafansvaret suppleres i disse situationer af straffelovens
regler samt af adgangen for myndigheden til at iværksætte
disciplinære sanktioner over for den fysiske person, dvs. den
ansatte, som har overtrådt persondataloven.
Det foreslås i stk. 1, at medmindre højere straf er forskyldt
efter anden lovgivning, kan en privat databehandler, der i
forbindelse med en behandling, der udføres for en kompe-
tent myndighed, overtræder § 22, stk. 2 og 3, § 23, stk. 2, §
27 og § 28, stk. 2, eller undlader at efterkomme et påbud el-
ler forbud, der er meddelt i henhold til § 42, straffes med bø-
de eller fængsel indtil 4 måneder.
Med den forslåede bestemmelse kan der således idømmes
straf i form af bøde eller fængsel, hvis en privat databehand-
ler overtræder den foreslåede § 22 om kravene til databe-
handlere, herunder kravene til gennemførsel af en behand-
ling ved en databehandler og anvendelse af underdatabe-
handlere. Endvidere strafbelægges databehandlerens pligt til
at føre skriftlige fortegnelser over alle kategorier af behand-
lingsaktiviteter efter § 23, stk. 2, samt bestemmelsen i § 27
om behandlingssikkerhed. Endelig strafbelægges databe-
handlerens pligt til at underrette den dataansvarlige om brud
på persondatasikkerheden efter § 28, stk. 2, samt en databe-
handlers manglende efterkommelse af et påbud eller forbud,
der er meddelt af en tilsynsmyndighed i henhold til lovens §
42.
Der er således til dels tale om en videreførelse af den gæl-
dende bestemmelse i persondatalovens § 70, stk. 2, hvoref-
ter en privat databehandler kan straffes for overtrædelse af
persondatalovens § 41, stk. 3.
Det foreslås i stk. 2, at medmindre højere straf er forskyldt
efter anden lovgivning, kan dataansvarlige, der undlader at
efterkomme et påbud eller forbud, der er meddelt i henhold
til § 42, straffes med bøde.
Med den foreslåede bestemmelse fastslås det, at offentlige
myndigheder kan ifalde strafansvar i form af bøde, hvis
myndigheden måtte undlade at efterkomme et påbud eller
forbud, som tilsynsmyndigheden har meddelt i henhold til
den foreslåede § 42.
Det sikres herved, at sanktioneringen af de kompetente
myndigheders overtrædelser af nærværende lov i første om-
gang håndteres af tilsynsmyndigheden gennem meddelelse
af påbud eller forbud. Overtrædes et sådant påbud eller for-
bud, vil tilsynsmyndigheden kunne anmelde forholdet til po-
litiet, som vurderer, om der er grundlag for at rejse en straf-
fesag.
Et eventuelt strafansvar over for myndigheden vil på samme
måde som i dag være suppleret af straffelovens regler samt
af adgangen for myndigheden til at iværksætte disciplinære
sanktioner over for ansatte, som foretager behandling i strid
med loven.
Der henvises i øvrigt til pkt. 2.10.3.6 i lovforslagets almin-
delige bemærkninger.
Det fremgår af persondatalovens § 70, stk. 4, at i regler, der
udstedes i medfør af loven, kan der fastsættes straf af bøde
eller hæfte.
Det fremgår videre af § 70, stk. 5, at der kan pålægges sel-
skaber m.v. (juridiske personer) strafansvar efter reglerne i
straffelovens 5. kapitel.
Det foreslås i stk. 3, at i regler, der udstedes i medfør af lo-
ven, kan der fastsættes straf af bøde eller fængsel indtil 4
måneder.
Der sker med den foreslåede bestemmelse en videreførelse
af adgangen til at fastsatte strafbestemmelser i regler, der
udstedes i medfør af loven, idet adgangen hertil dog – i
overensstemmelse med den foreslåede § 50, stk. 1 og 2 – be-
grænses til fængsel i op til 4 måneder.
Det foreslås videre i stk. 4, at der kan pålægges selskaber
mv. (juridiske personer) strafansvar efter reglerne i straffelo-
vens 5. kapitel.
Der sker med den foreslåede bestemmelse en videreførelse
af gældende ret. Efter straffelovens § 27, stk. 2, kan statslige
myndigheder og kommuner alene straffes i anledning af
overtrædelser, der begås ved udøvelse af virksomhed, der
svarer til eller kan sidestilles med virksomhed udøvet af pri-
vate.
98
Der henvises i øvrigt til pkt. 2.10.3.6 i lovforslagets almin-
delige bemærkninger.
Til § 51
Det fremgår af persondatalovens § 75, at justitsministeren
kan fastsætte regler, som er nødvendige for at gennemføre
de af Det Europæiske Fællesskab udstedte beslutninger, som
træffes med henblik på gennemførelse af direktivet om be-
skyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplys-
ninger, eller regler, som er nødvendige for at anvende de af
Fællesskabet udstedte retsakter på direktivets område.
Det foreslås i § 51, at justitsministeren bemyndiges til at
fastsætte regler, som er nødvendige for at gennemføre de af
Europa-Kommissionen udstedte retsakter, som udstedes
med henblik på gennemførelse af direktivet om beskyttelse
af fysiske personer i forbindelse med kompetente myndighe-
ders behandling af personoplysninger med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare
handlinger eller fuldbyrde strafferetlige sanktioner og om fri
udveksling af sådanne oplysninger og om ophævelse af Rå-
dets rammeafgørelse 2008/977/RIA, eller regler, som er
nødvendige for at anvende de af Europa-Kommissionen ud-
stedte retsakter på direktivets område.
Med den foreslåede bestemmelse tilvejebringes det fornødne
grundlag for justitsministeren til om nødvendigt at fastsætte
administrative bestemmelser til opfyldelse af de gennemfø-
relsesretsakter, som Europa-Kommissionen måtte vedtage
efter proceduren i retshåndhævelsesdirektivets artikel 58, jf.
artikel 36 om tilstrækkelighedsafgørelser og artikel 50 om
procedurer for gensidig bistand mellem tilsynsmyndigheder-
ne.
Bestemmelsen har således et snævert anvendelsesområde.
Således vil anvendelsen af EU-Kommissionens tilstrække-
lighedsafgørelser i forbindelse med overførsler til tredjelan-
de mv. og overholdelsen af EU-Kommissionens gennemfø-
relsesretsakter om format og procedurer for gensidig bistand
mellem tilsynsmyndighederne mv. som klart udgangspunkt
ikke kræve, at der fastsættes nærmere regler herom. Det er
imidlertid Justitsministeriets vurdering, at hensynet til at sik-
re, at der ikke kan opstå tvivl om de kompetente myndighe-
ders adgang til at overføre oplysninger på grundlag af en til-
strækkelighedsafgørelse fra EU-Kommissionen, og at til-
synsmyndighederne kan samarbejde med tilsynsmyndighe-
derne i de andre medlemsstater og Det Europæiske Databe-
skyttelsesråd, taler for, at justitsministeren bemyndiges til at
fastsætte regler herom, hvis det måtte blive nødvendigt.
Til § 52
Det foreslås i stk. 1, at loven træder i kraft dagen efter be-
kendtgørelse i Lovtidende.
Det foreslås i stk. 2, at lovforslaget kan stadfæstes straks ef-
ter dets vedtagelse.
Bestemmelsen skal ses i lyset af, at gennemførslen af rets-
håndhævelsesdirektivet skal ske inden den 1. maj 2017, idet
gennemførslen er en forudsætning for, at der kan indgås en
samarbejdsaftale mellem Danmark og Europol, som skal ha-
ve virkning fra samme dato.
Der er således behov for hurtigst muligt at træffe de foran-
staltninger, der er nødvendige for, at direktivet kan gennem-
føres i Danmark.
Der henvises i øvrigt til pkt. 1.1 i lovforslagets almindelige
bemærkninger.
Til § 53
Det foreslås i stk. 1, at lovens § 25 og § 26 gælder i forhold
til behandling af personoplysninger, der foretages, og regi-
stre, der oprettes, den 1. maj 2017 eller senere.
Med den foreslåede bestemmelse understreges det, at de
foreslåede bestemmelser om henholdsvis konsekvensanaly-
ser og forudgående høring af tilsynsmyndigheden finder an-
vendelse i forhold til ny behandling, der iværksættes, og re-
gistre, der oprettes, på tidspunktet for lovens ikrafttræden el-
ler senere.
Til § 54
Det foreslås i § 54, at overførsler til tredjelande og internati-
onale organisationer kan ske i medfør af internationale afta-
ler, der er indgået inden den 6. maj 2016, indtil aftalerne æn-
dres, erstattes eller ophæves.
Det sikres herved, at der fortsat kan ske overførsler af perso-
noplysninger til tredjelande og internationale organisationer
i medfør af internationale aftaler, som overholdt de regler
om databeskyttelse, der gjaldt inden den 6. maj 2016, hvor
retshåndhævelsesdirektivet trådte i kraft. Der kan f.eks. være
tale om aftaler om overførsel af personoplysninger til den
internationale politiorganisation Interpol.
Til § 55
Til nr. 1
99
Det fremgår af persondatalovens § 2, stk. 4, at bestemmel-
serne i lovens kapitel 8 og 9 og §§ 35-37 og § 39 ikke finder
anvendelse på behandlinger, der foretages for domstolene
inden for det strafferetlige område. Bestemmelserne i lovens
kapitel 8 og §§ 35-37 og § 39 finder i medfør af § 2, stk. 4,
heller ikke anvendelse på behandlinger, der foretages for po-
liti og anklagemyndighed inden for det strafferetlige områ-
de.
Det foreslås, at persondatalovens § 2, stk. 4, ophæves.
Ophævelsen skal ses i sammenhæng med den foreslåede æn-
dring i nr. 2.
Til nr. 2
Der foreslås indsat en ny § 2 a, stk. 1, i persondataloven,
hvorefter persondataloven ikke gælder for behandling, som
er omfattet af den foreslåede lov om retshåndhævende myn-
digheders behandling af personoplysninger.
Det foreslås endvidere, at der indsættes en ny § 2 a, stk. 2,
hvorefter de regler, som er udstedt i medfør af persondatalo-
vens § 32, stk. 5, § 41, stk. 5, § 55, stk. 4, og § 72 fortsat
gælder for den behandling af personoplysninger, der er om-
fattet af lov om retshåndhævende myndigheders behandling
af personoplysninger, medmindre det vil være i strid med
denne lov.
Med den foreslåede bestemmelse fastslås det, at persondata-
loven ikke længere finder anvendelse i forhold til den be-
handling af personoplysninger, der er omfattet af den fore-
slåede lov.
Der er imidlertid udstedt en række bekendtgørelser med
hjemmel i persondataloven, som har betydning for de kom-
petente myndigheders behandling af personoplysninger in-
den for den foreslåede lovs anvendelsesområde.
Med den foreslåede bestemmelse sikres det, at disse be-
kendtgørelser fortsat finder anvendelse for de kompetente
myndigheders behandling af personoplysninger. De pågæl-
dende bekendtgørelser kan erstattes af nye regler, som ud-
stedes i medfør af den foreslåede lov.
Der er tale om bekendtgørelse om politiets anvendelse af
automatisk nummerpladegenkendelse (ANPG), bekendtgø-
relse om behandling af personoplysninger, der leveres eller
modtages i henhold til Prümafgørelsen om udveksling af op-
lysninger om dna-profiler, fingeraftryk og køretøjer m.v.,
bekendtgørelse om behandling af personoplysninger i Det
Centrale Kriminalregister (Kriminalregisteret), bekendtgø-
relse om behandling af personoplysninger i Politiets Efter-
forskningsstøtte Database (PED), bekendtgørelse om forret-
ningsorden for Datarådet, sikkerhedsbekendtgørelsen for
domstolene og sikkerhedsbekendtgørelsen.
Anvendelsen af bekendtgørelserne skal ske i lyset af den
foreslåede § 2 og bemærkningerne hertil. Bekendtgørelser-
nes regler finder således anvendelse i det omfang, at disse
ikke strider mod reglerne i retshåndhævelsesdirektivet.
Til § 56
Bestemmelsen vedrører lovens territoriale gyldighed.
Det fremgår af persondatalovens § 83, at loven ikke gælder
for Færøerne, men at loven ved kongelig anordning kan sæt-
tes i kraft for rigsmyndighedernes behandling af oplysninger
med de afvigelser, som de særlige færøske forhold tilsiger.
Loven gælder heller ikke for Grønland, men kan ved konge-
lig anordning sættes i kraft med de afvigelser, som de særli-
ge grønlandske forhold tilsiger.
Persondataloven er ved anordning nr. 1238 af 14. oktober
2016 sat i kraft for Grønland.
Det foreslås i § 56, at loven ikke skal gælde for Færøerne,
men at loven ved kongelig anordning kan sættes i kraft for
rigsmyndighedernes behandling af oplysninger med de æn-
dringer, som de færøske forhold tilsiger. Loven gælder hel-
ler ikke for Grønland, men kan ved kongelig anordning sæt-
tes i kraft med de ændringer, som de grønlandske forhold
tilsiger.
100
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 2. ---
Stk. 2-3 ----
§ 55. I lov nr. 429 af 31. maj 2000 om behandling af perso-
noplysninger, som senest ændret ved lov nr. 639 af 12. juni
2013, foretages følgende ændringer:
Stk. 4. Bestemmelserne i lovens kapitel 8 og 9 og §§ 35-37
og § 39 finder ikke anvendelse på behandlinger, der foreta-
ges for domstolene inden for det strafferetlige område. Be-
stemmelserne i lovens kapitel 8 og §§ 35-37 og § 39 finder
heller ikke anvendelse på behandlinger, der foretages for po-
liti og anklagemyndighed inden for det strafferetlige områ-
de.
1. § 2, stk. 4, ophæves.
Stk. 5-11 bliver herefter stk. 4-10.
2. Efter § 2 indsættes i kapitel 1:
»§ 2 a. Loven gælder ikke for behandling, som er omfattet
af lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. dog stk. 2.
Stk. 2. Regler udstedt i medfør af § 32, stk. 5, § 41, stk. 5,
§ 55, stk. 4, og § 72 gælder for den behandling af persono-
plysninger, der er omfattet af lov om retshåndhævende myn-
digheders behandling af personoplysninger, medmindre det
vil være i strid med denne lov.«
101
Bilag 2
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680
af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af per-
sonoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare hand-
linger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om
ophævelse af Rådets rammeafgørelse 2008/977/RIA
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Regionsudvalget1),
efter den almindelige lovgivningsprocedure2) og
ud fra følgende betragtninger:
(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggen-
de rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»char-
tret«) og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det,
at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.
(2) Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af deres per-
sonoplysninger bør, uanset deres nationalitet eller bopæl, respektere deres grundlæggende rettigheder og
frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Dette direktiv har til formål at
bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed.
(3) Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyt-
telsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget bety-
deligt. Teknologien giver mulighed for at behandle personoplysninger i et hidtil uset omfang i forbindelse
med udøvelsen af aktiviteter såsom at forebygge, efterforske, afsløre eller retsforfølge strafbare handlin-
ger eller fuldbyrde strafferetlige sanktioner.
(4) Den frie udveksling af personoplysninger mellem kompetente myndigheder med henblik på at fore-
bygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner,
herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed i Unionen, og overførsel af så-
danne personoplysninger til tredjelande og internationale organisationer, bør lettes samtidig med, at der
sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en
stærk og mere sammenhængende ramme for beskyttelse af personoplysninger i Unionen, som understøt-
tes af en effektiv håndhævelse.
102
(5) Europa-Parlamentets og Rådets direktiv 95/46/EF3) finder anvendelse på al behandling af persono-
plysninger i medlemsstaterne både i den offentlige og private sektor. Det finder dog ikke anvendelse på
behandling af personoplysninger under udøvelse af aktiviteter, der falder uden for fællesskabsretten, så-
som retligt samarbejde i straffesager og politisamarbejde.
(6) Rådets rammeafgørelse 2008/977/RIA4) finder anvendelse inden for retligt samarbejde i straffesager
og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til behandling af persono-
plysninger, der videregives eller stilles til rådighed mellem medlemsstater.
(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af personoplysninger om fysiske perso-
ner og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder
for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål bør niveauet
for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente
myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og fore-
bygge trusler mod den offentlige sikkerhed, være ensartet i alle medlemsstater. For at sikre en effektiv
beskyttelse af personoplysninger i hele Unionen er det nødvendigt at styrke de registreredes rettigheder
og de forpligtelser, der påhviler dem, der behandler personoplysninger, samt tilsvarende beføjelser til at
kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.
(8) Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveks-
ling af sådanne oplysninger.
(9) På det grundlag fastsættes der ved Europa-Parlamentets og Rådets forordning (EU) 2016/6795) gene-
relle regler for at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri
udveksling af personoplysninger i Unionen.
(10) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og
politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabon-
traktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af per-
sonoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager
og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter.
(11) Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv, der fastsætter særlige regler
for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af persono-
plysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sik-
kerhed, idet disse aktiviteters særlige karakter respekteres. Disse kompetente myndigheder kan omfatte
ikke blot offentlige myndigheder som judicielle myndigheder, politi eller andre retshåndhævende myn-
digheder, men også alle andre organer eller enheder, som i henhold til medlemsstaternes nationale ret
udøver offentlig myndighed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende
organ eller den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette
direktiv, finder forordning (EU) 2016/679 anvendelse. Forordning (EU) 2016/679 finder derfor anvendel-
se i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre formål og viderebehand-
ler disse personoplysninger for at opfylde en retlig forpligtelse, som det/den er underlagt. For eksempel
103
opbevarer finansielle institutioner med henblik på efterforskning, afsløring eller retsforfølgning af strafba-
re handlinger visse personoplysninger, som de behandler, og disse personoplysninger videregives kun til
de kompetente nationale myndigheder i særlige tilfælde og i henhold til medlemsstaternes nationale ret.
Et organ eller en enhed, som behandler personoplysninger på sådanne myndigheders vegne inden for det-
te direktivs anvendelsesområde, bør være bundet af en kontrakt eller en anden retsakt og af de bestemmel-
ser, der gælder for databehandlere i henhold til dette direktiv, mens anvendelsen af forordning (EU)
2016/679 ikke berøres heraf, for så vidt angår databehandlerens behandlingsaktiviteter uden for dette di-
rektivs anvendelsesområde.
(12) De aktiviteter, der udføres af politiet eller andre retshåndhævende myndigheder, er hovedsageligt fo-
kuseret på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, herunder politiaktivite-
ter uden forudgående viden om, hvorvidt et forhold udgør en strafbar handling eller ej. Sådanne aktivite-
ter kan også omfatte udøvelsen af beføjelser gennem tvangsindgreb som f.eks. politiaktiviteter i forbindel-
se med demonstrationer, store sportsbegivenheder og uroligheder. De omfatter også opretholdelse af lov
og orden som en opgave, der er overdraget til politiet eller andre retshåndhævende myndigheder, hvor det
er nødvendigt for at beskytte mod og forebygge trusler mod den offentlige sikkerhed og de ved lov be-
skyttede grundlæggende samfundsinteresser, som kan føre til en strafbar handling. Medlemsstater kan
overdrage andre opgaver, der ikke nødvendigvis foretages med henblik på at forebygge, efterforske, af-
sløre eller retsforfølge strafbare handlinger, herunder beskytte mod og forebygge trusler mod den offentli-
ge sikkerhed, til de kompetente myndigheder, således at behandlingen af personoplysninger til disse andre
formål, for så vidt de er omfattet af EU-retten, falder ind under anvendelsesområdet for forordning (EU)
2016/679.
(13) En strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb som
fortolket af Den Europæiske Unions Domstol (»Domstolen«).
(14) Da dette direktiv ikke bør finde anvendelse på behandlingen af personoplysninger i forbindelse med
en aktivitet, der falder uden for EU-retten, bør aktiviteter vedrørende statens sikkerhed, aktiviteter udført
af agenturer eller enheder, der beskæftiger sig med spørgsmål om statens sikkerhed, og medlemsstaternes
behandling af personoplysninger ved udførelsen af aktiviteter, der falder inden for rammerne af afsnit V,
kapitel 2, i traktaten om Den Europæiske Union (TEU), ikke anses for at være aktiviteter, der falder inden
for dette direktivs anvendelsesområde.
(15) For at sikre et ensartet beskyttelsesniveau for fysiske personer ved hjælp af rettigheder, som kan
håndhæves i hele Unionen, og for at hindre, at forskelle hæmmer den frie udveksling af personoplysnin-
ger mellem kompetente myndigheder, bør dette direktiv fastsætte harmoniserede regler for beskyttelse og
fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og fore-
bygge trusler mod den offentlige sikkerhed. Den indbyrdes tilnærmelse af medlemsstaternes lovgivninger
bør ikke resultere i en forringelse af den beskyttelse af personoplysninger, de indeholder, men bør tværti-
mod søge at sikre et højt beskyttelsesniveau i Unionen. Medlemsstaterne bør ikke forhindres i at fastsætte
højere standarder end dem, der er indeholdt i dette direktiv, for beskyttelse af den registreredes rettigheder
og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.
(16) Dette direktiv berører ikke princippet om aktindsigt i officielle dokumenter. I henhold til forordning
(EU) 2016/679 kan personoplysninger i officielle dokumenter, som opbevares af en offentlig myndighed
eller et offentligt eller privat organ med henblik på udførelse af en opgave i samfundets interesse, videre-
104
gives af denne myndighed eller dette organ i overensstemmelse med EU-retten eller medlemsstaternes na-
tionale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle
dokumenter med retten til beskyttelse af personoplysninger.
(17) Den beskyttelse, som dette direktiv yder i forbindelse med behandling af personoplysninger, bør fin-
de anvendelse på fysiske personer uanset nationalitet eller bopæl.
(18) For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være tek-
nologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for
både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller
vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke
er struktureret efter bestemte kriterier, bør ikke være omfattet af dette direktivs anvendelsesområde.
(19) Europa-Parlamentets og Rådets forordning (EF) nr. 45/20016) finder anvendelse på behandling af
personoplysninger, der foretages af Den Europæiske Unions institutioner, organer, kontorer og agenturer.
Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse på en sådan behandling af per-
sonoplysninger, bør tilpasses til principperne og bestemmelserne i forordning (EU) 2016/679.
(20) Dette direktiv forhindrer ikke medlemsstaterne i at præcisere behandlingsaktiviteter og behandlings-
procedurer i deres nationale regler om strafferetspleje vedrørende behandling af personoplysninger ved
domstole og andre judicielle myndigheder, navnlig for så vidt angår personoplysninger, der er indeholdt i
en retsafgørelse eller et register i forbindelse med straffesager.
(21) Principperne for databeskyttelse bør gælde enhver information om en identificeret eller identificerbar
fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der
med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller
indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan
tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning,
såsom omkostninger ved og tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige
teknologi på behandlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne bør
derfor ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller iden-
tificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den regi-
strerede ikke længere kan identificeres.
(22) Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig
forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder, fi-
nansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markedsmyn-
digheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betragtes som
værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en isoleret fore-
spørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. An-
modninger om videregivelse af oplysninger sendt af de offentlige myndigheder bør altid være skriftlige,
begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af regi-
stre. Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse med
de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.
105
(23) Genetiske data bør defineres som personoplysninger vedrørende en fysisk persons arvede eller er-
hvervede genetiske karakteristika, som giver entydig information om den pågældende fysiske persons fy-
siologi eller helbred, og som foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske
person, navnlig en analyse på kromosomniveau, af deoxyribonukleinsyre (DNA) eller ribonukleinsyre
(RNA), eller efter en analyse af et andet element til indhentning af lignende oplysninger. I betragtning af
genetiske oplysningers kompleksitet og følsomhed er der stor risiko for misbrug og genanvendelse til for-
skellige formål fra den dataansvarliges side. Enhver forskelsbehandling på grund af genetiske anlæg bør i
princippet være forbudt.
(24) Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som
giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale hel-
bredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i løbet af registreringen af den-
ne med henblik på eller under levering af sundhedsydelser, jf. Europa-Parlamentets og Rådets direktiv
2011/24/EU7), til den fysiske person; et nummer, symbol eller særligt mærke, der tildeles en fysisk person
for entydigt at identificere den fysiske person til sundhedsformål; oplysninger, der hidrører fra prøver el-
ler undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prø-
ver; og enhver oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sund-
hedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kil-
den hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vitro-diag-
nostik.
(25) Alle medlemsstater er tilknyttet Den Internationale Kriminalpolitiorganisation (Interpol). Med hen-
blik på at opfylde sin funktion modtager, opbevarer og videregiver Interpol personoplysninger for at bistå
de kompetente myndigheder med at forebygge og bekæmpe international kriminalitet. Det er derfor rele-
vant at styrke samarbejdet mellem Unionen og Interpol ved at fremme en effektiv udveksling af persono-
plysninger, samtidig med at overholdelsen af de grundlæggende rettigheder og frihedsrettigheder med
hensyn til elektronisk behandling af personoplysninger sikres. Når der videregives personoplysninger fra
Unionen til Interpol og til lande, der er medlemmer af Interpol, bør dette direktiv, navnlig bestemmelser-
ne om internationale overførsler, finde anvendelse. Dette direktiv bør ikke berøre de særlige regler, der er
fastsat i Rådets fælles holdning 2005/69/RIA8) og Rådets afgørelse 2007/533/RIA9).
(26) Enhver behandling af personoplysninger skal være lovlig, rimelig og gennemsigtig i forhold til de
berørte fysiske personer og må kun finde sted til specifikke formål fastlagt ved lov. Det forhindrer ikke i
sig selv de retshåndhævende myndigheder i at udføre aktiviteter som f.eks. hemmelige undersøgelser eller
videoovervågning. Disse aktiviteter kan udføres med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og fore-
bygge trusler mod den offentlige sikkerhed, så længe de er fastlagt ved lov og udgør en nødvendig og
forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske per-
sons legitime interesser. Databeskyttelsesprincippet om rimelig behandling er et særskilt begreb i forhold
til retten til en retfærdig rettergang som defineret i chartrets artikel 47 og artikel 6 i den europæiske kon-
vention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (EMRK). Fysiske
personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af de-
res personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med behandlingen.
De konkrete formål med behandlingen af personoplysningerne bør navnlig være udtrykkelige og legitime
og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige og relevante
i forhold til de formål, hvortil de behandles. Det bør navnlig sikres, at de indsamlede personoplysninger
ikke er for omfattende og ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de
106
formål, hvortil de behandles. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke
med rimelighed kan opfyldes på anden måde. For at sikre, at oplysningerne ikke opbevares i længere tid
end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller regelmæssig revision. Med-
lemsstaterne bør fastsætte de fornødne garantier for personoplysninger, der i længere perioder opbevares
til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug.
(27) Med henblik på forebyggelse, efterforskning og retsforfølgning af strafbare handlinger er det nød-
vendigt, at de kompetente myndigheder behandler personoplysninger, der er indsamlet i forbindelse med
forebyggelse, efterforskning, afsløring eller retsforfølgning af konkrete strafbare handlinger, i en bredere
sammenhæng for derved at få en forståelse af kriminelle handlinger og sammenkoble forskellige strafbare
handlinger, som er blevet afsløret.
(28) For at opretholde sikkerheden i forhold til behandling og hindre behandling i strid med dette direktiv
bør personoplysninger behandles på en måde, der garanterer et tilstrækkeligt niveau af sikkerhed og for-
trolighed, herunder hindring af uautoriseret adgang til eller anvendelse af personoplysninger og af det ud-
styr, der anvendes til behandlingen, og under hensyntagen til det aktuelle tekniske niveau og den teknolo-
gi, der er tilgængelig, implementeringsomkostningerne i forbindelse med risiciene ved og karakteren af de
personoplysninger, der skal beskyttes.
(29) Personoplysninger bør indsamles til udtrykkeligt angivne og legitime formål inden for dette direktivs
anvendelsesområde og bør ikke behandles til formål, der er uforenelige med formålene med at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herun-
der beskytte mod og forebygge trusler mod den offentlige sikkerhed. Hvis personoplysninger behandles
af den samme eller en anden dataansvarlig til et formål inden for dette direktivs anvendelsesområde, men
som adskiller sig fra det, hvortil de er indsamlet, bør en sådan behandling være tilladt, forudsat at en så-
dan behandling er godkendt i overensstemmelse med gældende retlige bestemmelser og er nødvendig for
og står i et rimeligt forhold til dette andet formål.
(30) Princippet om oplysningernes rigtighed bør anvendes under hensyntagen til den pågældende behand-
lings karakter og formål. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en
subjektiv opfattelse af fysiske personer, og det er ikke altid muligt at kontrollere dem. Kravet om oplys-
ningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et
konkret udsagn.
(31) Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde inde-
bærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør
således, hvis det er relevant og så vidt muligt, sondres klart mellem personoplysninger om forskellige ka-
tegorier af registrerede såsom mistænkte, personer, der er dømt for en strafbar handling, ofre og andre
parter som f.eks. vidner, personer, der ligger inde med relevante oplysninger eller kontakter, eller mis-
tænktes og dømte kriminelles ledsagepersoner. Dette bør ikke være til hinder for anvendelsen af princip-
pet om uskyldsformodning, som er sikret ved chartret og ved EMRK, som fortolket i retspraksis ved hen-
holdsvis Domstolen og Den Europæiske Menneskerettighedsdomstol.
(32) De kompetente myndigheder bør sikre, at personoplysninger, som er urigtige, ufuldstændige eller ik-
ke ajourførte, ikke videregives eller stilles til rådighed. For at sikre beskyttelsen af fysiske personer, rig-
tigheden, fuldstændigheden, eller graden af ajourføring og pålideligheden af de personoplysninger, der vi-
107
deregives eller stilles til rådighed, bør de kompetente myndigheder så vidt muligt tilføje nødvendige op-
lysninger ved enhver videregivelse af personoplysninger.
(33) Når dette direktiv henviser til medlemsstaternes nationale ret, et retsgrundlag eller en lovgivnings-
mæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbe-
hold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. En sådan natio-
nal ret i medlemsstaterne, et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør
imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for de personer, der er om-
fattet af dets/dens anvendelsesområde, jf. retspraksis fra Domstolen og Den Europæiske Menneskerettig-
hedsdomstol. Medlemsstaternes nationale ret, som regulerer behandling af personoplysninger inden for
dette direktivs anvendelsesområde, bør som minimum angive målene, de personoplysninger, der skal be-
handles, formålene med behandlingen og procedurerne for sikring af personoplysningernes integritet og
fortrolighed samt procedurerne for deres tilintetgørelse og derved i tilstrækkelig grad sikre oplysningerne
mod risikoen for misbrug og vilkårlighed.
(34) Kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterfor-
ske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder at be-
skytte mod eller forebygge trusler mod den offentlige sikkerhed, bør dække enhver aktivitet eller række af
aktiviteter, med eller uden brug af automatisk behandling, som personoplysninger eller en samling af per-
sonoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbe-
varing, tilpasning eller ændring, genfinding, søgning, brug, sammenstilling eller samkøring, begrænsning
af behandling, sletning eller tilintetgørelse. Bestemmelserne i dette direktiv bør navnlig finde anvendelse
på videregivelse af personoplysninger med henblik på dette direktiv til en modtager, der ikke er omfattet
af dette direktiv. En sådan modtager bør omfatte en fysisk eller juridisk person, offentlig myndighed, in-
stitution eller ethvert andet organ, som personoplysningerne lovligt videregives til af den kompetente
myndighed. Hvis personoplysningerne oprindeligt blev indsamlet af en kompetent myndighed til et af
dette direktivs formål, bør forordning (EU) 2016/679 finde anvendelse på behandlingen af disse oplysnin-
ger til andre formål end med henblik på dette direktiv, hvis en sådan behandling er hjemlet i EU-retten
eller medlemsstaternes nationale ret. Bestemmelserne i forordning (EU) 2016/679 bør navnlig finde an-
vendelse på videregivelse af personoplysninger til formål, der ikke er omfattet af dette direktiv. Forord-
ning (EU) 2016/679 bør finde anvendelse på behandling af personoplysninger, der udføres af en modta-
ger, der ikke er en kompetent myndighed, eller der ikke fungerer som en sådan med henblik på dette di-
rektiv, og til hvilken en kompetent myndighed lovligt videregiver personoplysninger. Ved gennemførel-
sen af dette direktiv bør medlemsstaterne også yderligere kunne præcisere anvendelsen af bestemmelser-
ne i forordning (EU) 2016/679 med forbehold af de betingelser, som er fastsat i forordningen.
(35) For at være lovlig bør en behandling af personoplysninger i medfør af dette direktiv være nødvendig
for en kompetent myndigheds udførelse af en opgave i samfundets interesse på grundlag af EU-retten el-
ler medlemsstaternes nationale ret med henblik på at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler
mod den offentlige sikkerhed. Disse aktiviteter bør omfatte beskyttelsen af den registreredes vitale inte-
resser. Udførelsen af opgaverne med at forebygge, efterforske, afsløre eller retsforfølge strafbare handlin-
ger, som institutionelt er tillagt de kompetente myndigheder ved lov, gør det muligt for disse myndighe-
der at kræve, at fysiske personer efterlever de anmodninger, der fremsættes. I så fald bør den registreredes
samtykke som defineret i forordning (EU) 2016/679 ikke udgøre et retsgrundlag for de kompetente myn-
digheders behandling af personoplysninger. Hvis det kræves, at den registrerede opfylder en retlig for-
pligtelse, har den registrerede ikke et reelt og frit valg, hvorfor den registreredes reaktion ikke kan anses
108
for at være en frivillig viljetilkendegivelse. Dette bør ikke forhindre medlemsstaterne i ved lov at fastsæt-
te bestemmelser om, at den registrerede kan acceptere behandling af vedkommendes personoplysninger
med henblik på dette direktiv, som f.eks. DNA-test i strafferetlige efterforskninger eller elektronisk over-
vågning af vedkommendes geografiske position ved elektronisk fodlænke med henblik på fuldbyrdelse af
strafferetlige sanktioner.
(36) Medlemsstaterne bør, når EU-retten eller medlemsstatens nationale ret, der finder anvendelse for den
videregivende kompetente myndighed, fastsætter særlige vilkår, der finder anvendelse under særlige om-
stændigheder på behandling af personoplysninger, såsom anvendelse af regler for behandling af oplysnin-
ger, fastsætte bestemmelser om, at den videregivende kompetente myndighed underretter modtageren af
sådanne personoplysninger om disse vilkår og kravet om at opfylde dem. Sådanne vilkår kunne f.eks. in-
debære et forbud mod at videregive personoplysninger til andre, eller at anvende dem til andre formål end
dem, på baggrund af hvilke de blev videregivet til modtageren, eller at underrette den registrerede i tilfæl-
de af en begrænsning af retten til oplysninger uden forudgående godkendelse fra den videregivende kom-
petente myndighed. Disse forpligtelser bør også finde anvendelse for overførsler fra den videregivende
kompetente myndighed til modtagere i tredjelande eller internationale organisationer. Medlemsstaterne
bør sikre, at den videregivende kompetente myndighed ikke anvender sådanne betingelser på modtagere i
andre medlemsstater eller på agenturer, kontorer og organer, der er oprettet i henhold til afsnit V, kapitel
4 og 5, i TEUF, bortset fra de betingelser, der gælder for lignende videregivelser af oplysninger inden for
den pågældende kompetente myndigheds medlemsstat.
(37) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende ret-
tigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandlingen af dem
kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse oplysninger bør
omfatte personoplysninger om racemæssig eller etnisk oprindelse, idet anvendelsen af udtrykket »race-
mæssig oprindelse« i dette direktiv ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der
findes forskellige menneskeracer. Sådanne personoplysninger bør ikke behandles, medmindre behandling
er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, der er fastsat
ved lov, og er tilladt i tilfælde hjemlet ved lov; hvis ikke allerede er hjemlet i henhold til en sådan lov,
behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser; eller
behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede. Fornødne garanti-
er for den registreredes rettigheder og frihedsrettigheder kan omfatte muligheden for kun at indsamle dis-
se oplysninger i forbindelse med andre oplysninger om den pågældende fysiske person, muligheden for
tilstrækkelig sikring af de indsamlede oplysninger, skærpede regler for den kompetente myndigheds per-
sonales adgang til oplysningerne og forbud mod videregivelse af disse oplysninger. Behandlingen af så-
danne oplysninger bør desuden tillades ved lov, hvis den registrerede udtrykkeligt har givet sit samtykke
til en behandling, som er særlig indgribende for vedkommende. Den registreredes samtykke bør dog ikke
i sig selv udgøre et retsgrundlag for de kompetente myndigheders behandling af sådanne følsomme perso-
noplysninger.
(38) Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der evaluerer person-
lige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har nega-
tive retsvirkninger eller som betydeligt påvirker den pågældende. En sådan behandling bør under alle om-
stændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret
til menneskelig indgriben, navnlig til at fremkomme med sine synspunkter, til at få en forklaring på den
afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. Profilering, der fører til
forskelsbehandling af fysiske personer på grund af personoplysninger, der i kraft af deres karakter er sær-
109
ligt følsomme i forhold til de grundlæggende rettigheder og frihedsrettigheder, bør være forbudt på de
betingelser, der er fastsat i chartrets artikel 21 og 52.
(39) For at sætte den registrerede i stand til at udøve sine rettigheder, bør alle oplysninger til den registre-
rede være nemt tilgængelige, herunder på den dataansvarliges websted, og letforståelige, under anvendel-
se af et klart og forståeligt sprog. Sådanne oplysninger bør tilpasses behovene hos sårbare personer såsom
børn.
(40) Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i medfør af
de bestemmelser, der vedtages i henhold til dette direktiv, herunder mekanismer til at anmode om og i
givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og begrænsning
af behandling. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registre-
ret uden unødig forsinkelse, medmindre den dataansvarlige anvender begrænsninger af den registreredes
rettigheder i overensstemmelse med dette direktiv. Hvis der imidlertid er tale om anmodninger, som er
åbenbart grundløse eller uforholdsmæssige, som f.eks. når den registrerede på urimelig vis og gentagne
gange anmoder om oplysninger, eller hvis den registrerede misbruger sin ret til at modtage oplysninger,
f.eks. ved at give urigtige eller vildledende oplysninger ved fremsættelsen af anmodningen, bør den data-
ansvarlige kunne opkræve et rimeligt gebyr eller afvise at efterkomme anmodningen.
(41) Hvis den dataansvarlige anmoder om supplerende oplysninger, der er nødvendige for at bekræfte den
registreredes identitet, bør sådanne oplysninger kun behandles til dette specifikke formål og bør ikke op-
bevares længere end nødvendigt til dette formål.
(42) Som minimum bør følgende oplysninger gøres tilgængelige for den registrerede: den dataansvarliges
identitet, behandlingsaktivitetens eksistens, formålene med behandlingen, retten til at indgive en klage og
retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger el-
ler begrænsning af behandling. Dette kan ske på den kompetente myndigheds websted. Den registrerede
bør endvidere i konkrete sager og for at muliggøre udøvelsen af vedkommendes rettigheder oplyses om
retsgrundlaget for behandlingen og om, hvor længe oplysningerne opbevares, for så vidt som disse yderli-
gere oplysninger er nødvendige under hensyntagen til de specifikke omstændigheder, hvorunder oplys-
ningerne behandles med henblik på at sikre den registrerede en rimelig behandling af oplysningerne.
(43) En fysisk person bør have ret til indsigt i oplysninger, der er indsamlet om vedkommende, og til let
og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en be-
handlings lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om de
formål, hvortil oplysningerne behandles, perioden, hvor oplysningerne behandles, og modtagerne af op-
lysningerne, herunder sådanne i tredjelande. Når sådan en underretning omfatter meddelelse om persono-
plysningernes oprindelse, bør oplysningerne ikke afsløre identiteten på fysiske personer, navnlig fortroli-
ge kilder. Med henblik på overholdelse af denne ret er det tilstrækkeligt, at den registrerede er i besiddelse
af et fuldstændigt resumé af disse oplysninger i en letforståelig form, det vil sige en form, der giver den
pågældende registrerede mulighed for at blive opmærksom på disse oplysninger og kontrollere, at de er
korrekte og behandlet i overensstemmelse med dette direktiv, så det er muligt for den pågældende at udø-
ve de rettigheder, der tilkommer vedkommende i henhold til dette direktiv. Et sådant resumé kan have
form af en kopi af de personoplysninger, der behandles.
(44) Medlemsstaterne bør have beføjelse til at vedtage lovgivningsmæssige foranstaltninger, der udsætter,
begrænser eller afskærer meddelelse af oplysninger til de registrerede eller helt eller delvis begrænser de-
110
res ret til indsigt i oplysningerne, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og
forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske per-
sons grundlæggende rettigheder og legitime interesser, for at undgå, at der lægges hindringer i vejen for
officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, efterforskningen, afsløringen eller
retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktio-
ner, for at beskytte den offentlige sikkerhed eller statens sikkerhed eller for at beskytte andres rettigheder
og frihedsrettigheder. Den dataansvarlige bør gennem en konkret og individuel undersøgelse af de enkelte
tilfælde vurdere, hvorvidt indsigtsretten helt eller delvis bør begrænses.
(45) Ethvert afslag på eller begrænsning af indsigt bør i princippet meddeles den registrerede skriftligt og
omfatte de faktuelle eller retlige årsager til afgørelsen.
(46) Enhver begrænsning af den registreredes rettigheder skal overholde chartret og EMRK som fortolket
i retspraksis henholdsvis ved Domstolen og ved Den Europæiske Menneskerettighedsdomstol og navnlig
respekten for det væsentlige indhold i disse rettigheder og frihedsrettigheder.
(47) En fysisk person bør have ret til at få berigtiget urigtige personoplysninger om sig selv, navnlig når
det angår faktiske omstændigheder, og til at få slettet oplysninger, hvis behandlingen af sådanne oplysnin-
ger overtræder dette direktiv. Retten til berigtigelse bør imidlertid ikke berøre eksempelvis indholdet af et
vidneudsagn. En fysisk person bør også have ret til begrænsning af behandlingen, hvis vedkommende be-
strider personoplysningers rigtighed, og det ikke kan konstateres, om oplysningerne er rigtige eller ej, el-
ler hvis personoplysningerne skal bevares som bevismiddel. I stedet for at slette personoplysninger bør
behandling navnlig begrænses, hvis der i et konkret tilfælde er rimelig grund til at tro, at sletning vil kun-
ne påvirke den registreredes legitime interesser. I så fald bør begrænsede oplysninger kun behandles til
det formål, der gjorde, at de ikke blev slettet. Metoderne til at begrænse behandlingen af personoplysnin-
ger kan bl.a. omfatte, at udvalgte oplysninger flyttes til et andet behandlingssystem, f.eks. til arkivformål,
eller at udvalgte oplysninger gøres utilgængelige. I automatiske registre bør behandling i princippet be-
grænses ved hjælp af tekniske hjælpemidler. Det forhold, at behandlingen af personoplysningerne er be-
grænset, bør angives i registret på en sådan måde, at det tydeligt fremgår, at behandlingen af personoply-
sningerne er begrænset. En sådan berigtigelse eller sletning af personoplysninger eller begrænsning af be-
handling bør meddeles de modtagere, hvortil oplysningerne er videregivet, og de kompetente myndighe-
der, hvorfra de urigtige oplysninger stammer. Den dataansvarlige bør også afstå fra yderligere udbredelse
af sådanne oplysninger.
(48) Hvis den dataansvarlige nægter en registreret dennes ret til oplysninger, indsigt i eller berigtigelse
eller sletning af personoplysninger eller begrænsning af behandling, bør den registrerede have ret til at
anmode om, at den nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig.
Den registrerede bør underrettes om denne rettighed. Hvis tilsynsmyndigheden handler på vegne af den
registrerede, bør den registrerede som minimum underrettes af den pågældende tilsynsmyndighed om, at
tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden bør
også underrette den registrerede om adgangen til retsmidler.
(49) Hvis personoplysningerne behandles under en strafferetlig efterforskning og strafferetssag, bør med-
lemsstaterne kunne fastsætte bestemmelser om, at udøvelsen af retten til oplysninger, indsigt i og berigti-
gelse eller, sletning af personoplysninger og begrænsning af behandling skal udføres i henhold til de nati-
onale retsplejeregler.
111
(50) Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enh-
ver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges veg-
ne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og
bør kunne påvise, at behandlingsaktiviteterne overholder dette direktiv. Sådanne foranstaltninger bør tage
højde for behandlingens karakter, omfang, sammenhæng og formål samt risikoen for fysiske personers
rettigheder og frihedsrettigheder. De foranstaltninger, som den dataansvarlige træffer, bør omfatte udar-
bejdelse og gennemførelse af særlige garantier vedrørende behandling af personoplysninger om sårbare
fysiske personer såsom børn.
(51) Risiciene for fysiske personers rettigheder og frihedsrettigheder, der er af varierende sandsynlighed
og alvor, kan opstå som følge af behandling af oplysninger, der kan føre til fysisk, materiel eller immate-
riel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -
svig, finansielle tab, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavsheds-
pligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konse-
kvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at
udøve kontrol med deres personoplysninger; hvis der behandles personoplysninger, der viser race eller
etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold;
hvis genetiske data eller biometriske data behandles for entydigt at identificere en person, eller hvis hel-
bredsoplysninger eller oplysninger om seksuelle forhold og seksuel orientering, straffedomme og lov-
overtrædelser eller tilknyttede sikkerhedsforanstaltninger behandles; hvis personlige forhold evalueres,
navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation,
helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller
bevægelser, med henblik på at oprette eller anvende personlige profiler; hvis der behandles personoplys-
ninger om sårbare fysiske personer, navnlig børn; eller hvis behandlingen omfatter en stor mængde perso-
noplysninger og berører et stort antal registrerede.
(52) Risikoens sandsynlighed og alvor bør bestemmes med henvisning til behandlingens karakter, om-
fang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det
fastslås, om databehandlingsaktiviteter indebærer en høj risiko. En høj risiko er en særlig risiko for skade
på de registreredes rettigheder og frihedsrettigheder.
(53) Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af
personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sik-
re, at dette direktivs krav opfyldes. Gennemførelsen af sådanne foranstaltninger bør ikke alene afhænge af
økonomiske hensyn. For at kunne påvise overholdelse af dette direktiv bør den dataansvarlige vedtage
interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse
gennem design og databeskyttelse gennem standardindstillinger. Hvis den dataansvarlige har foretaget en
konsekvensanalyse vedrørende databeskyttelse i henhold til dette direktiv, bør der tages behørigt hensyn
til resultaterne heraf i forbindelse med udviklingen af disse foranstaltninger og procedurer. Foranstaltnin-
gerne kan bl.a. bestå i anvendelse af pseudonymisering tidligst muligt. Anvendelse af pseudonymisering
med henblik på dette direktiv kan tjene som et redskab, der navnlig kan lette fri udveksling af persono-
plysninger inden for området med frihed, sikkerhed og retfærdighed.
(54) Beskyttelse af registreredes rettigheder og frihedsrettigheder samt dataansvarliges og databehandler-
nes ansvar, herunder erstatningsansvar, også i forbindelse med tilsynsmyndighedernes kontrol og foran-
staltninger, kræver en klar fordeling af de ansvarsområder, der er fastsat i dette direktiv, herunder når en
112
dataansvarlig fastlægger formålene med og hjælpemidlerne til behandlingen sammen med andre dataan-
svarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.
(55) En databehandlers behandling bør være omfattet af et retligt dokument, herunder en kontrakt, der
binder databehandleren til den dataansvarlige, og som navnlig fastlægger, at databehandleren alene bør
handle efter instruks fra den dataansvarlige. Databehandleren bør tage hensyn til principperne om databe-
skyttelse gennem design og databeskyttelse gennem standardindstillinger.
(56) For at påvise overholdelse af dette direktiv bør den dataansvarlige eller databehandleren føre forteg-
nelser over alle kategorier af behandlingsaktiviteter under sit ansvar. Hver dataansvarlig og databehandler
bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille disse fortegnelser til
rådighed for tilsynsmyndigheden, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter.
Den dataansvarlige eller databehandler, der behandler personoplysninger i ikkeautomatiske databehand-
lingssystemer, bør have indført effektive metoder til at påvise, at behandlingen er lovlig, udøve egenkon-
trol og sikre dataintegriteten og datasikkerheden, såsom logning eller andre former for fortegnelser.
(57) Der bør som minimum ske logning af aktiviteter i automatiske databehandlingssystemer såsom ind-
samling, ændring, søgning, videregivelse, herunder overførsel, samkøring eller sletning. Navnet på den
person, som har søgt eller videregivet personoplysninger, bør logges, og herudfra bør det være muligt at
fastlægge begrundelsen for behandlingsaktiviteterne. Loggene bør udelukkende anvendes til at kontrolle-
re, om databehandlingen er lovlig, til egenkontrol, til at sikre dataintegriteten og datasikkerheden og i for-
bindelse med straffesager. Egenkontrol omfatter også kompetente myndigheders interne disciplinærsager.
(58) Den dataansvarlige bør foretage en konsekvensanalyse af databeskyttelsen, hvis behandlingsaktivite-
terne sandsynligvis vil indebære en høj risiko for den registreredes rettigheder og frihedsrettigheder som
følge af deres karakter, omfang eller formål, som navnlig bør omfatte de foranstaltninger, garantier og
mekanismer, der er planlagt for at sikre beskyttelsen af personoplysninger, og at påvise overholdelse af
dette direktiv. Konsekvensanalyser bør omfatte behandlingsaktiviteters relevante systemer og processer,
men ikke enkeltsager.
(59) For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder bør den data-
ansvarlige eller databehandleren i visse tilfælde høre tilsynsmyndigheden inden behandlingen.
(60) For at opretholde sikkerheden og forhindre behandling i strid med dette direktiv bør den dataansvar-
lige eller databehandleren vurdere de risici, som en behandling indebærer, og bør gennemføre foranstalt-
ninger, der kan begrænse disse risici, som f.eks. kryptering. Sådanne foranstaltninger bør sikre et tilstræk-
keligt sikkerhedsniveau, herunder fortrolighed, og tage hensyn til det aktuelle tekniske niveau, implemen-
teringsomkostningerne i forhold til risikoen og karakteren af de personoplysninger, der skal beskyttes.
Ved vurderingen af datasikkerhedsrisici bør der tages hensyn til de risici, som behandling af oplysninger
indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af el-
ler adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som
navnlig kan føre til fysisk, materiel eller immateriel skade. Den dataansvarlige og databehandleren bør
sikre, at behandlingen af personoplysninger ikke udføres af uautoriserede personer.
(61) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, på-
føre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplys-
113
ninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finansielle
tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for persono-
plysninger, der er omfattet af tavshedspligt, eller andre væsentlige økonomiske eller sociale konsekvenser
for den berørte fysiske person. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på
persondatasikkerheden, bør den dataansvarlige derfor anmelde bruddet på persondatasikkerheden til til-
synsmyndigheden uden unødig forsinkelse og om muligt inden for 72 timer efter, at denne er blevet be-
kendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvi-
se, at bruddet på persondatasikkerheden sandsynligvis ikke vil indebære en risiko for fysiske personers
rettigheder og frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den led-
sages af en begrundelse for forsinkelsen, og oplysningerne kan gives trinvis uden unødig yderligere for-
sinkelse.
(62) Fysiske personer bør uden unødig forsinkelse oplyses derom, når bruddet på persondatasikkerheden
sandsynligvis vil indebære en høj risiko for de fysiske personers rettigheder og frihedsrettigheder, med
henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Underretningen bør beskrive
karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person
med henblik på at begrænse de mulige skadevirkninger. Underretninger til registrerede bør gives, så snart
det med rimelighed er muligt, i tæt samarbejde med tilsynsmyndigheden og i overensstemmelse med ret-
ningslinjer, der er udstukket af denne eller andre relevante myndigheder. Eksempelvis kræver behovet for
at begrænse en umiddelbar risiko for skade omgående underretning af de registrerede, mens behovet for
at gennemføre passende foranstaltninger mod fortsatte eller lignende brud på persondatasikkerheden kan
begrunde en længere frist for underretningen. Hvor det ikke er muligt at undgå, at der lægges hindringer i
vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer, at undgå, at forebyggel-
sen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af
strafferetlige sanktioner skades, at beskytte den offentlige sikkerhed eller statens sikkerhed eller at be-
skytte andres rettigheder og frihedsrettigheder ved at udsætte eller begrænse underretningen af brud på
persondatasikkerheden til den berørte fysiske person, kan denne underretning under særlige omstændig-
heder udelades.
(63) Den dataansvarlige bør udpege en person, der skal hjælpe denne med at overvåge, at de bestemmel-
ser, der vedtages i henhold til dette direktiv, overholdes internt, medmindre en medlemsstat beslutter at
fritage domstole og andre uafhængige judicielle myndigheder, når de udfører deres judicielle opgaver.
Denne person kan være en af den dataansvarliges eksisterende medarbejdere, som har fået særlig uddan-
nelse inden for databeskyttelsesret og -praksis for at tilegne sig ekspertise på dette område. Den nødven-
dige ekspertise fastlægges navnlig i henhold til den databehandling, der skal udføres, og den beskyttelse,
der kræves for de personoplysninger, som den dataansvarlige behandler. Vedkommendes opgaver vil
kunne udføres på deltid eller fuldtid. Flere dataansvarlige kan udpege en fælles databeskyttelsesansvarlig
i overensstemmelse med deres struktur og størrelse, for eksempel i tilfælde af fælles ressourcer i centrale
enheder. Denne person kan også udpeges til forskellige stillinger i de berørte dataansvarliges struktur.
Denne person bør hjælpe den dataansvarlige og de medarbejdere, der behandler personoplysninger, ved at
oplyse og rådgive dem om opfyldelse af deres relevante databeskyttelsesforpligtelser. Disse databeskyt-
telsesrådgivere bør være i stand til at udøve deres opgaver på uafhængig vis i henhold til medlemsstater-
nes nationale ret.
(64) Medlemsstaterne bør sikre, at overførsel af personoplysninger til et tredjeland eller til en internatio-
nal organisation kun sker, hvis det er nødvendigt for at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler
114
mod den offentlige sikkerhed, og at den dataansvarlige i det pågældende tredjeland eller den pågældende
internationale organisation er en kompetent offentlig myndighed som defineret i dette direktiv. Der bør
kun finde overførsel sted ved kompetente myndigheder, der fungerer som dataansvarlige, medmindre da-
tabehandlere har fået udtrykkelige instrukser om overførsel på vegne af dataansvarlige. En sådan overfør-
sel kan finde sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjeland eller den
pågældende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, hvis der er indført de
fornødne garantier eller hvis der gælder undtagelser i særlige situationer. Når personoplysninger videregi-
ves fra Unionen til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internatio-
nale organisationer, må det beskyttelsesniveau for fysiske personer, som er fastsat i Unionen i medfør af
dette direktiv, ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra tredje-
landet eller den internationale organisation til dataansvarlige eller databehandlere i det samme eller et an-
det tredjeland eller en anden international organisation.
(65) Hvis der overføres personoplysninger fra en medlemsstat til tredjelande eller internationale organisa-
tioner, bør denne overførsel principielt kun finde sted, efter at den medlemsstat, hvor oplysningerne blev
indsamlet, har godkendt overførslen. Af hensyn til et effektivt samarbejde på retshåndhævelsesområdet
bør den kompetente myndighed være i stand til at overføre de relevante personoplysninger til det pågæl-
dende tredjeland eller den pågældende internationale organisation uden en sådan forudgående godkendel-
se i tilfælde, hvor truslen mod den offentlige sikkerhed i en medlemsstat eller et tredjeland eller mod en
medlemsstats væsentlige interesser er af en så hastende karakter, at det er umuligt at indhente en forudgå-
ende godkendelse i tide. Medlemsstaterne bør fastsætte bestemmelser om, at alle særlige betingelser ve-
drørende overførslen bør meddeles til tredjelande eller internationale organisationer. Videreoverførsel af
personoplysninger bør være genstand for forudgående godkendelse af den kompetente myndighed, som
foretog den oprindelige overførsel. Når der træffes afgørelse om en anmodning om tilladelse til videreo-
verførsel, bør den kompetente myndighed, som foretog den oprindelige overførsel, tage behørigt hensyn
til alle relevante faktorer, herunder den strafbare handlings grovhed, de særlige betingelser, der gælder for
den oprindelige overførsel, og det formål, hvortil oplysningerne oprindeligt blev overført, karakteren af
og betingelserne for fuldbyrdelsen af den strafferetlige sanktion og beskyttelsesniveauet for personoplys-
ninger i det tredjeland eller den internationale organisation, som personoplysningerne videreoverføres til.
Den kompetente myndighed, som foretog den oprindelige overførsel, bør også kunne fastsætte særlige be-
tingelser for videreoverførselen. Sådanne særlige betingelser kan f.eks. beskrives i regler for behandling
af oplysninger.
(66) Kommissionen bør med virkning for hele Unionen træffe afgørelse om, at visse tredjelande, et områ-
de eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation har et tilstræk-
keligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår
de tredjelande eller internationale organisationer, der vurderes at have et sådant beskyttelsesniveau. I så-
danne tilfælde bør personoplysninger kunne overføres til disse lande uden yderligere godkendelse, undta-
gen når en anden medlemsstat, hvor oplysningerne blev indsamlet, skal godkende overførslen.
(67) I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af
menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en speci-
fik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet, kla-
geadgang og domstolsprøvelse, internationale menneskerettighedsnormer og -standarder samt sin generel-
le og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens sikkerhed
samt offentlig orden og strafferet. Når der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesni-
veauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive krite-
115
rier, som f.eks. specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og
lovgivning i tredjelandet. Tredjelandet bør give garantier, der sikrer et passende beskyttelsesniveau, som i
det væsentlige svarer til det, der sikres i Unionen, især når oplysninger behandles i en eller flere specifik-
ke sektorer. Tredjelandet bør navnlig sikre et effektivt og uafhængigt databeskyttelsestilsyn og bør fast-
lægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede
bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvel-
se.
(68) Ud over de internationale forpligtelser, som tredjelandet eller den internationale organisation har ind-
gået, bør Kommissionen også tage hensyn til forpligtelser, der følger af tredjelandets eller den internatio-
nale organisations deltagelse i multilaterale eller regionale systemer, navnlig i forbindelse med beskyttel-
se af personoplysninger, samt gennemførelsen af sådanne forpligtelser. Der bør navnlig tages hensyn til
tredjelandets tiltrædelse af Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte men-
neske i forbindelse med elektronisk databehandling af personoplysninger og tillægsprotokollen hertil.
Kommissionen bør høre Det Europæiske Databeskyttelsesråd oprettet ved forordning (EU) 2016/679
(»Databeskyttelsesrådet«), når den vurderer beskyttelsesniveauet i tredjelande eller internationale organi-
sationer. Kommissionen bør også tage hensyn til eventuelle kommissionsafgørelser om tilstrækkelighe-
den af beskyttelsesniveauet vedtaget i overensstemmelse med artikel 45 i forordning (EU) 2016/679.
(69) Kommissionen bør overvåge virkningen af afgørelser om beskyttelsesniveauet i et tredjeland, et om-
råde eller en specifik sektor i et tredjeland eller en international organisation. I sine afgørelser om til-
strækkeligheden af beskyttelsesniveauet bør Kommissionen fastsætte en mekanisme for regelmæssig revi-
sion af afgørelsernes virkning. Denne regelmæssige revision bør foretages i samråd med det pågældende
tredjeland eller den pågældende internationale organisation og tage hensyn til enhver relevant udvikling i
tredjelandet eller den internationale organisation.
(70) Kommissionen bør også kunne fastslå, at et tredjeland, et område eller en specifik sektor i et tredje-
land, eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Over-
førsel af personoplysninger til et sådant tredjeland eller en sådan international organisation bør derfor for-
bydes, medmindre kravene i dette direktiv vedrørende overførsel omfattet af fornødne garantier og undta-
gelser i særlige situationer, er opfyldt. Der bør fastlægges bestemmelser om en procedure for konsultatio-
ner mellem Kommissionen og sådanne tredjelande eller internationale organisationer. Kommissionen bør
rettidigt underrette tredjelandet eller den internationale organisation om årsagerne og indlede konsultatio-
ner med tredjelandet eller den internationale organisation for at afhjælpe situationen.
(71) Overførsler, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet,
bør kun tillades, hvis der er givet de fornødne garantier i et juridisk bindende instrument, der sikrer be-
skyttelsen af personoplysninger, eller hvis den dataansvarlige har vurderet samtlige de forhold, der har
indflydelse på overførslen, og på grundlag af denne vurdering konkluderer, at de fornødne garantier for
beskyttelsen af personoplysninger er til stede. Sådanne juridisk bindende instrumenter kunne for eksem-
pel være juridisk bindende bilaterale aftaler, der er indgået af medlemsstaterne og gennemført i deres rets-
orden, og som kan håndhæves af de registrerede i disse stater, og som sikrer, at databeskyttelseskravene
og de registreredes rettigheder opfyldes, herunder retten til effektiv administrativ eller retslig prøvelse.
Den dataansvarlige bør ved vurderingen af samtlige forhold, der har indflydelse på overførslen, kunne
tage højde for samarbejdsaftaler, der er indgået mellem Europol eller Eurojust og tredjelande, som tillader
udveksling af personoplysninger. Den dataansvarlige bør også kunne tage højde for, at overførslen af per-
sonoplysninger vil være underlagt tavshedspligt og omfattet af specialitetsprincippet, hvorved det sikres,
116
at oplysningerne ikke bliver behandlet til andre formål end formålene med overførslen. Desuden bør den
dataansvarlige tage højde for, at personoplysningerne ikke vil blive anvendt til at kræve, idømme eller
fuldbyrde dødsstraf eller nogen anden form for grusom og umenneskelig behandling. Selv om disse betin-
gelser kan betragtes som værende fornødne garantier, der muliggør overførsel af oplysninger, bør den da-
taansvarlige kunne kræve yderligere garantier.
(72) Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller de fornød-
ne garantier ikke foreligger, kan en overførsel eller en kategori af overførsler kun finde sted i særlige si-
tuationer, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser
eller beskytte den registreredes legitime interesser, såfremt der er hjemmel hertil i national ret i den med-
lemsstat, der overfører personoplysningerne, for at forebygge en umiddelbar og alvorlig trussel mod en
medlemsstats eller et tredjelands offentlige sikkerhed, eller i enkeltsager med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller i enkeltsager med henblik på at
retskrav kan fastlægges, gøres gældende eller forsvares. Disse undtagelser bør fortolkes restriktivt og bør
ikke give mulighed for hyppige, omfattende og strukturelle overførsler af personoplysninger eller omfat-
tende overførsler af oplysninger, men bør begrænses til de oplysninger, der er strengt nødvendige. Sådan-
ne overførsler bør dokumenteres og efter anmodning stilles til rådighed for tilsynsmyndigheden med hen-
blik på at føre tilsyn med, om overførslen er lovlig.
(73) Medlemsstaternes kompetente myndigheder anvender gældende bilaterale eller multilaterale interna-
tionale aftaler, der er indgået med tredjelande om retligt samarbejde i straffesager og politisamarbejde, til
udveksling af relevante oplysninger, så de kan udføre de opgaver, der er tildelt dem efter loven. Dette
sker principielt via eller i det mindste i samarbejde med de myndigheder, der i de pågældende tredjelande
er kompetente med henblik på dette direktiv, undertiden selv i mangel af en bilateral eller multilateral
international aftale. I konkrete enkeltsager kan de regelmæssige procedurer, der kræver kontakt med en
sådan myndighed i tredjelandet, være ineffektive eller uhensigtsmæssige, navnlig fordi overførslen ikke
kunne gennemføres rettidigt, eller fordi den nævnte myndighed i tredjelandet ikke respekterer retsstats-
princippet eller internationale menneskerettighedsnormer og -standarder, således at medlemsstaternes
kompetente myndigheder kan beslutte at overføre personoplysninger direkte til modtagere i disse tredje-
lande. Dette kan være tilfældet, hvis der er akut behov for at overføre personoplysninger for at redde en
persons liv, som er i fare for at blive offer for en strafbar handling, eller for at forhindre en nært foreståen-
de forbrydelse, herunder terrorisme. Selv om en sådan overførsel mellem kompetente myndigheder og
modtagere i tredjelande kun bør finde sted i konkrete enkeltsager, bør dette direktiv fastsætte betingelser
for regulering af sådanne tilfælde. Disse bestemmelser bør ikke betragtes som værende undtagelser fra
eksisterende bilaterale eller multilaterale internationale aftaler om retligt samarbejde i straffesager og po-
litisamarbejde. Disse regler bør finde anvendelse som supplement til de andre regler i dette direktiv, navn-
lig reglerne om lovlig behandling af personoplysninger og reglerne i kapitel V.
(74) Når personoplysninger overføres på tværs af grænser, kan det medføre yderligere risici for fysiske
personers mulighed for at udøve deres databeskyttelsesrettigheder for at beskytte sig mod ulovlig brug
eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at
de ikke kan følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser.
Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende
beføjelser og uensartede retlige ordninger. Der er derfor behov for at fremme tættere samarbejde mellem
datatilsynsmyndigheder, så de bedre kan udveksle oplysninger med de tilsvarende udenlandske organer.
117
(75) Oprettelse af tilsynsmyndigheder i medlemsstaterne, som kan udøve deres hverv i fuld uafhængig-
hed, har afgørende betydning for beskyttelse af fysiske personer i forbindelse med behandling af persono-
plysninger. Tilsynsmyndighederne bør føre tilsyn med anvendelsen af de bestemmelser, der vedtages i
henhold til dette direktiv, og bidrage til en ensartet anvendelse i hele Unionen med det formål at beskytte
fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør til-
synsmyndighederne samarbejde med hinanden og med Kommissionen.
(76) Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale tilsyns-
myndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede er oprettet i
henhold til forordning (EU) 2016/679.
(77) Medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for at afspejle deres forfatnings-
mæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have de nødvendige fi-
nansielle og menneskelige ressourcer, samt lokaler og infrastrukturer til effektivt at kunne udføre sine op-
gaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i hele
Unionen. Hver tilsynsmyndighed bør have et separat offentligt årligt budget, der kan indgå i det samlede
statsbudget eller nationale budget.
(78) Tilsynsmyndighederne bør være underlagt uafhængige kontrol- eller overvågningsmekanismer, hvad
angår deres finansielle udgifter, forudsat at sådan finansiel kontrol ikke påvirker deres uafhængighed.
(79) De generelle betingelser for tilsynsmyndighedens medlem eller medlemmer bør fastsættes ved med-
lemsstaternes nationale ret og bør navnlig fastsætte, at disse medlemmer udnævnes af enten parlamentet
eller regeringen eller statschefen i den pågældende medlemsstat på grundlag af et forslag fra regeringen
eller et medlem af regeringen eller parlamentet eller et kammer i parlamentet eller af et uafhængigt organ,
der i henhold til medlemsstaternes nationale ret har bemyndigelse til udnævnelsen ved en gennemsigtig
procedure. For at sikre tilsynsmyndighedens uafhængighed bør medlemmet eller medlemmerne handle
med integritet, afholde sig fra enhver handling, der er uforenelig med deres hverv, og ikke, så længe deres
embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed. For at sikre tilsynsmyndighedens
uafhængighed bør personalet udvælges af tilsynsmyndigheden, eventuelt med medvirken af et uafhængigt
organ, der har fået bemyndigelse hertil i henhold til medlemsstaternes nationale ret.
(80) Selv om dette direktiv også finder anvendelse på de nationale domstoles og andre judicielle myndig-
heders aktiviteter, bør tilsynsmyndighedernes kompetence ikke omfatte behandling af personoplysninger,
når domstole handler i deres egenskab af domstol, for at sikre dommernes uafhængighed under udførelsen
af deres judicielle opgaver. Denne undtagelse bør begrænses til retlige aktiviteter i forbindelse med retssa-
ger og ikke gælde for andre aktiviteter, hvori dommere kan deltage i henhold til medlemsstaternes natio-
nale ret. Medlemsstaterne bør også kunne fastsætte bestemmelser om, at tilsynsmyndighedens kompeten-
ce ikke omfatter andre uafhængige judicielle myndigheders behandling af personoplysninger, når de udfø-
rer deres judicielle opgaver, f.eks. anklagemyndigheden. Under alle omstændigheder er domstolenes og
andre uafhængige judicielle myndigheders overholdelse af reglerne i dette direktiv altid underlagt en uaf-
hængig myndigheds kontrol i overensstemmelse med chartrets artikel 8, stk. 3.
(81) Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen eller
videresende den til den kompetente myndighed. Undersøgelsen af en klage bør foretages i det omfang det
er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Tilsynsmyndigheden bør under-
rette den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver
118
yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede under-
vejs underrettes herom.
(82) For at sikre effektiv, pålidelig og ensartet tilsyn med overholdelse og håndhævelse af dette direktiv i
hele Unionen i henhold til TEUF som fortolket af Domstolen bør tilsynsmyndighederne i hver medlems-
stat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser, korrigerende beføjel-
ser og rådgivningsbeføjelser, som udgør nødvendige midler for udførelsen af deres opgaver. Disse myn-
digheders beføjelser bør imidlertid ikke gribe ind i de særlige regler for straffesager, herunder efterforsk-
ning og retsforfølgning af strafbare handlinger, eller i retsvæsnets uafhængighed. Uden at dette berører de
retsforfølgende myndigheders beføjelser i henhold til medlemsstaternes nationale ret, bør tilsynsmyndig-
heder også have beføjelse til at indbringe overtrædelser af dette direktiv for de judicielle myndigheder
eller deltage i retssager. Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de for-
nødne retssikkerhedsgarantier, der er fastsat i EU-retten og medlemsstaternes nationale ret, uvildigt, ret-
færdigt og inden for en rimelig frist. Hver foranstaltning bør navnlig være passende, nødvendig og for-
holdsmæssig for at sikre overholdelsen af dette direktiv, idet der tages hensyn til omstændighederne i
hver enkelt sag, bør overholde enhver persons ret til at blive hørt, inden der træffes en individuel foran-
staltning, som vil berøre den pågældende person negativt, og undgå overflødige udgifter og urimelige
ulemper for denne person. Hvad angår adgang til lokaliteter bør undersøgelsesbeføjelserne udøves i hen-
hold til særlige krav i medlemsstaternes nationale ret, f.eks. kravet om en forudgående retskendelse. Ved-
tagelsen af en juridisk bindende afgørelse bør være underlagt domstolskontrol i medlemsstaten for den
tilsynsmyndighed, der har vedtaget afgørelsen.
(83) Tilsynsmyndighederne bør bistå hinanden i forbindelse med udførelsen af deres opgaver og yde gen-
sidig bistand for at sikre ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages i henhold
til dette direktiv.
(84) Databeskyttelsesrådet bør bidrage til en ensartet anvendelse af dette direktiv i hele Unionen, herun-
der ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen.
(85) Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed og have adgang til
effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkom-
mendes rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, er blevet kræn-
ket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage
eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse
af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af dom-
stolskontrol. Den kompetente tilsynsmyndighed bør underrette den registrerede om forløbet og resultatet
af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en
anden tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af kla-
ger bør hver tilsynsmyndighed træffe foranstaltninger som f.eks. at tilbyde en klageformular, der også kan
udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.
(86) Enhver fysisk eller juridisk person bør have adgang til effektive retsmidler ved den kompetente nati-
onale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for denne person. En
sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgelsesbeføjelser, korrigerende
beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager. Denne ret omfatter dog ikke
andre foranstaltninger truffet af tilsynsmyndigheder, der ikke er juridisk bindende, som f.eks. udtalelser
eller rådgivning fra tilsynsmyndigheden. En sag mod en tilsynsmyndighed bør anlægges ved domstolene i
119
den medlemsstat, hvor tilsynsmyndigheden er etableret, og bør føres i henhold til medlemsstatens natio-
nale ret. Disse domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske
og retlige omstændigheder, der er relevante for den tvist, som de får forelagt.
(87) Hvis en registreret finder, at vedkommendes rettigheder i henhold til dette direktiv er blevet krænket,
bør den pågældende have ret til at give et organ, der er etableret i henhold til medlemsstaternes nationale
ret, og som har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen
af deres personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til en tilsyns-
myndighed og udøve adgangen til retsmidler. Registreredes ret til at være repræsenteret bør ikke berøre
medlemsstaternes nationale retsplejeregler, som vil kunne kræve obligatorisk repræsentation af registrere-
de ved en advokat som defineret i Rådets direktiv 77/249/EØF10) for en national domstol.
(88) Personer, der måtte lide skade som følge af en behandling, der overtræder de bestemmelser, der ved-
tages i henhold til dette direktiv, bør have ret til erstatning fra den dataansvarlige eller en hvilken som
helst anden myndighed, der er kompetent i henhold til medlemsstaternes nationale ret. Begrebet »skade«
bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for
dette direktiv. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre
bestemmelser i EU-retten eller medlemsstaternes nationale ret. Når der henvises til en behandling, der er
ulovlig eller overtræder dette direktiv, omfatter det også behandling, der overtræder de gennemførelses-
retsakter, der er vedtaget i henhold til dette direktiv. Registrerede bør have fuld erstatning for den skade,
de har lidt.
(89) Sanktioner bør kunne pålægges fysiske eller juridiske personer, der overtræder dette direktiv, uanset
om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne
er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle
nødvendige foranstaltninger til at gennemføre sanktionerne.
(90) For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen tillægges
gennemførelsesbeføjelser, for så vidt angår det tilstrækkelige databeskyttelsesniveau, der skal sikres af et
tredjeland, et område eller en specifik sektor i dette tredjeland, eller en international organisation, og for-
matet og procedurerne for gensidig bistand og ordningerne for elektronisk udveksling af oplysninger mel-
lem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse beføjelser bør
udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/201111).
(91) Undersøgelsesproceduren bør anvendes til at vedtage gennemførelsesretsakter om det tilstrækkelige
databeskyttelsesniveau, der skal sikres af et tredjeland eller et område eller en specifik sektor i dette tred-
jeland, eller en international organisation og om formatet og procedurerne for gensidig bistand og ordnin-
gerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndighe-
der og Databeskyttelsesrådet, eftersom disse retsakter er af generel karakter.
(92) Kommissionen bør vedtage gennemførelsesretsakter, der finder anvendelse straks, når det er påkræ-
vet i behørigt begrundede særligt hastende tilfælde vedrørende et tredjeland, et område eller en specifik
sektor i dette tredjeland, eller en international organisation, som ikke længere sikrer et tilstrækkeligt be-
skyttelsesniveau.
120
(93) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og friheds-
rettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri udveksling af persono-
plysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af med-
lemsstaterne, men kan på grund af den foreslåede handlings omfang og virkninger bedre nås på EU-plan;
Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i
TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke vide-
re, end hvad der er nødvendigt for at nå disse mål.
(94) Specifikke bestemmelser i EU-retsakter, der er vedtaget inden for området retligt samarbejde i straf-
fesager og politisamarbejde, og som er vedtaget før datoen for vedtagelsen af dette direktiv, og som regu-
lerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndighe-
ders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendel-
se, såsom f.eks. de særlige bestemmelser vedrørende beskyttelse af personoplysninger, der finder anven-
delse i henhold til Rådets afgørelse 2008/615/RIA12), eller artikel 23 i konventionen om gensidig rets-
hjælp i straffesager mellem Den Europæiske Unions medlemsstater13). Eftersom chartrets artikel 8 og arti-
kel 16 i TEUF kræver, at den grundlæggende ret til beskyttelse af personoplysninger bør sikres på en ens-
artet måde i hele Unionen, bør Kommissionen se nærmere på forholdet mellem direktivet og retsakter, der
er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem
medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er ud-
viklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse særlige
bestemmelser til direktivet. Hvor det er hensigtsmæssigt, bør Kommissionen fremsætte forslag med hen-
blik på at sikre ensartede retsregler vedrørende behandling af personoplysninger.
(95) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen bør in-
ternationale aftaler, der er indgået af medlemsstaterne inden datoen for dette direktivs ikrafttræden og
som overholder relevant EU-ret, der er gældende inden denne dato, forblive i kraft, indtil de bliver ænd-
ret, erstattet eller ophævet.
(96) Medlemsstaterne bør have en frist på højst to år fra datoen for dette direktivs ikrafttræden til at gen-
nemføre det. Behandlinger, der allerede er iværksat på denne dato, bør bringes i overensstemmelse med
dette direktiv senest to år efter dette direktivs ikrafttræden. Hvis en sådan behandling imidlertid overhol-
der den EU-ret, der er gældende inden datoen for dette direktivs ikrafttræden, bør kravene i dette direktiv
om forudgående høring af tilsynsmyndigheden ikke finde anvendelse på de behandlingsaktiviteter, der al-
lerede var iværksat på denne dato, idet disse krav i sagens natur skal opfyldes forud for behandlingen.
Hvis medlemsstaterne anvender den længere gennemførelsesperiode, som udløber syv år efter datoen for
dette direktivs ikrafttræden, til at opfylde logningsforpligtelserne for automatiske databehandlingssyste-
mer, der er oprettet inden denne dato, bør den dataansvarlige eller databehandleren have indført effektive
metoder til at påvise, at databehandlingen er lovlig, til at udøve egenkontrol og til at sikre dataintegriteten
og datasikkerheden, såsom logning eller andre former for fortegnelser.
(97) Nærværende direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og seksuel
udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv 2011/93/EU14).
(98) Rammeafgørelse 2008/977/RIA bør derfor ophæves.
121
(99) I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt
angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og TEUF, er Det
Forenede Kongerige og Irland ikke bundet af regler fastsat i dette direktiv vedrørende medlemsstaternes
behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, ka-
pitel 4 eller 5, i TEUF, når Det Forenede Kongerige og Irland ikke er bundet af regler vedrørende former
for strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er
fastsat på grundlag af artikel 16 i TEUF.
(100) I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU
og TEUF, er de regler, der er fastsat i dette direktiv, vedrørende medlemsstaternes behandling af persono-
plysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF,
ikke bindende for og finder ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne ef-
ter bestemmelserne i tredje del, afsnit V, i TEUF, skal Danmark i henhold til artikel 4 i nævnte protokol
inden seks måneder efter direktivets vedtagelse træffe afgørelse om, hvorvidt det vil gennemføre direkti-
vet i sin nationale lovgivning.
(101) For så vidt angår Island og Norge, udgør dette direktiv en udvikling af bestemmelser i Schengen-
reglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeri-
get Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreg-
lerne15).
(102) For så vidt angår Schweiz, udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne,
jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om
Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenregler-
ne16).
(103) For så vidt angår Liechtenstein, udgør dette direktiv en udvikling af bestemmelser i Schengenreg-
lerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske For-
bund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem
Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associe-
ring i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne17).
(104) I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i chartret
som forankret i TEUF, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af perso-
noplysninger og adgang til effektive retsmidler og til en retfærdig rettergang. I overensstemmelse med
chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er
nødvendige for at nå mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af
andres rettigheder og frihedsrettigheder.
(105) I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommis-
sionen om forklarende dokumenter har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget,
at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer
forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesforanstalt-
ninger. Lovgiver finder fremsendelse af sådanne dokumenter velbegrundet i forbindelse med dette direk-
tiv.
122
(106) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel
28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 7. marts 201218).
(107) Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om udøvelsen af
registreredes ret til oplysninger, retten til indsigt i og berigtigelse, sletning og begrænsning af behandling
under en straffesag, samt mulige begrænsninger heraf i deres nationale regler om strafferetspleje —
VEDTAGET DETTE DIREKTIV:
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente
myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller
forebygge trusler mod den offentlige sikkerhed.
2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:
a) at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til be-
skyttelse af personoplysninger, beskyttes, og
b) at udvekslingen af personoplysninger mellem kompetente myndigheder i Unionen, hvor en så-
dan udveksling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, hverken
indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger.
3. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i
dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompe-
tente myndigheders behandling af personoplysninger.
Artikel 2
Anvendelsesområde
1. Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med
henblik på artikel 1, stk. 1.
2. Dette direktiv finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved
hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er
eller vil blive indeholdt i et register.
3. Dette direktiv gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) af EU-institutioner, -organer, -kontorer og -agenturer.
Artikel 3
123
Definitioner
I dette direktiv forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk per-
son (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indi-
rekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokalise-
ringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons
fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behand-
ling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsam-
ling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søg-
ning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammen-
stilling eller samkøring, begrænsning, sletning eller tilintetgørelse
3) »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at be-
grænse fremtidig behandling af disse oplysninger
4) »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende
personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at
analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation,
helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser
5) »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ik-
ke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at så-
danne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstalt-
ninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk per-
son
6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriteri-
er, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geo-
grafisk grundlag
7) »kompetent myndighed«:
a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyt-
te mod og forebygge trusler mod den offentlige sikkerhed, eller
b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret
udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed
8) »dataansvarlig«: den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke for-
mål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og
hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan
den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller med-
lemsstaternes nationale ret
9) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet
organ, der behandler personoplysninger på den dataansvarliges vegne
124
10) »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet or-
gan, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndighe-
der, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til medlems-
staternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse op-
lysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen
11) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilin-
tetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitte-
ret, opbevaret eller på anden måde behandlet
12) »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske
karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som
navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person
13) »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en
fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en enty-
dig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger
14) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale hel-
bred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstil-
stand
15) »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold
til artikel 41
16) »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt
ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
KAPITEL II
Principper
Artikel 4
Principper for behandling af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger skal:
a) behandles lovligt og rimeligt
b) indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er
uforenelig med disse formål
c) være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de
formål, hvortil de behandles
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at
personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes el-
ler berigtiges
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere
tidsrum end det, der er nødvendigt til de formål, hvortil de behandles
f) behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysnin-
ger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilin-
tetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foran-
staltninger.
125
2. Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål omfattet af
artikel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i det omfang:
a) den dataansvarlige er bemyndiget til at behandle sådanne personoplysninger til et sådant formål
i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, og
b) behandlingen er nødvendig for og forholdsmæssig i forhold til dette andet formål i overens-
stemmelse med EU-retten eller medlemsstaternes nationale ret.
3. Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkiv-
formål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug med henblik på artikel
1, stk. 1, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og
frihedsrettigheder.
4. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.
Artikel 5
Tidsfrister for opbevaring og revision
Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hensigtsmæssige tidsfrister for slet-
ning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger.
Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.
Artikel 6
Sondring mellem forskellige kategorier af registrerede
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor det er relevant og så vidt mu-
ligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede såsom:
a) personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar
handling
b) personer, der er dømt for en strafbar handling
c) ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver an-
ledning til at tro, at de kunne blive offer for en strafbar handling, og
d) andre parter i forbindelse med en strafbar handling, såsom personer, der kan blive indkaldt som
vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesa-
ger, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller
ledsagepersoner for en af de i litra a) og b) omhandlede personer.
Artikel 7
Sondring mellem personoplysninger og kontrol med kvaliteten af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal sondres mellem personoplys-
ninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderin-
ger.
2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder iværksætter alle rimelige
tiltag for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregi-
ves eller stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myndighed, så vidt det er
praktisk muligt, kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindel-
se med al videregivelse af personoplysninger skal nødvendige oplysninger, der gør det muligt for den
126
modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstæn-
dige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt tilføjes.
3. Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at personoplysninger er vi-
deregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal personoplysningerne berigtiges
eller slettes, eller behandling skal begrænses i overensstemmelse med artikel 16.
Artikel 8
Lovlig behandling
1. Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne
behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1,
stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret.
2. Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde,
skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formå-
lene med behandlingen.
Artikel 9
Særlige betingelser for behandling
1. Personoplysninger indsamlet af kompetente myndigheder med henblik på artikel 1, stk. 1, må ikke be-
handles til andre formål end med henblik på artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i
EU-retten eller medlemsstaternes nationale ret. Hvis personoplysninger behandles til disse andre formål,
finder forordning (EU) 2016/679 anvendelse, medmindre behandlingen udføres i forbindelse med en akti-
vitet, der falder uden for EU-rettens anvendelsesområde.
2. Hvis kompetente myndigheder i henhold til medlemsstaternes nationale ret har fået overdraget andre
opgaver end dem, der udføres med henblik på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendel-
se på behandling til disse formål, herunder til arkivformål i samfundets interesse, til videnskabelige eller
historiske forskningsformål eller til statistiske formål, medmindre behandlingen udføres i forbindelse med
en aktivitet, der falder uden for EU-rettens anvendelsesområde.
3. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed, hvis EU-
retten eller medlemsstaternes nationale ret, der finder anvendelse på den videregivende kompetente myn-
dighed, fastsætter særlige vilkår for behandling, underretter modtageren af sådanne personoplysninger om
disse vilkår og kravet om at overholde dem.
4. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed ikke an-
vender andre vilkår, jf. stk. 3, på modtagere i andre medlemsstater eller på agenturer, kontorer og organer,
der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder for lignende videre-
givelser af oplysninger inden for den medlemsstat, hvor den videregivende kompetente myndighed er be-
liggende.
Artikel 10
Behandling af særlige kategorier af personoplysninger
Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbe-
visning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med
det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk
127
persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt, forud-
sat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettig-
heder, og kun:
a) hvis hjemlet i EU-retten eller medlemsstaternes nationale ret
b) for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller
c) hvis denne behandling vedrører oplysninger, som tydeligvis er offentliggjort af den registrere-
de.
Artikel 11
Automatiske individuelle afgørelser
1. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der alene er baseret på automatisk be-
handling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydeligt påvirker
den pågældende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemsstaternes nationale ret,
som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettig-
heder og frihedsrettigheder, i det mindste den registreredes ret til menneskelig indgriben fra den dataan-
svarliges side.
2. De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på særlige kategorier af
personoplysninger, jf. artikel 10, medmindre der er indført passende foranstaltninger til beskyttelse af den
registreredes rettigheder og frihedsrettigheder samt legitime interesser.
3. Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af per-
sonoplysninger, jf. artikel 10, er forbudt i henhold til EU-retten.
KAPITEL III
Den registreredes rettigheder
Artikel 12
Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal iværksætte rimelige tiltag for
at give enhver oplysning som omhandlet i artikel 13 og enhver meddelelse som omhandlet i artikel 11,
14-18 og 31 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et
klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elek-
troniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmod-
ningen.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal lette udøvelsen af den regi-
streredes rettigheder i medfør af artikel 11 og 14-18.
3. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig
meddelelse om opfølgningen på dennes anmodning uden unødig forsinkelse.
4. Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der gives i medfør af artikel 13, og
enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis.
Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan
den dataansvarlige enten:
a) opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give
oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
128
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.
5. Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der frem-
sætter en anmodning som omhandlet i artikel 14 eller 16, anmode om de yderligere oplysninger, der er
nødvendige for at bekræfte den registreredes identitet.
Artikel 13
Oplysninger, der skal stilles til rådighed for eller gives til den registrerede
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende op-
lysninger til rådighed for den registrerede:
a) identitet på og kontaktoplysninger for den dataansvarlige
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til
d) retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysningerne for tilsynsmyn-
digheden
e) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af persono-
plysninger og begrænsning af behandling af personoplysningerne vedrørende den registrerede.
2. Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlemsstaterne ved lov bestemmelser
om, at den dataansvarlige i særlige tilfælde skal give den registrerede følgende yderligere oplysninger, for
at vedkommende kan udøve sine rettigheder:
a) retsgrundlaget for behandlingen
b) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de
kriterier, der anvendes til at fastlægge dette tidsrum
c) hvor det er relevant, kategorierne af modtagere af personoplysningerne, herunder i tredjelande
eller internationale organisationer
d) hvis det er nødvendigt, yderligere oplysninger, navnlig hvis personoplysningerne indsamles
uden den registreredes vidende.
3. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller af-
skærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foran-
staltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt
hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforsknin-
ger eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
4. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af be-
handling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.
Artikel 14
129
Den registreredes indsigtsret
Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges be-
kræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til per-
sonoplysningerne og følgende information, jf. dog artikel 15:
a) formålene med og retsgrundlaget for behandlingen
b) de berørte kategorier af personoplysninger
c) de modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, navn-
lig modtagere i tredjelande eller internationale organisationer
d) om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis det-
te ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
e) retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller
begrænsning af behandling vedrørende den registrerede
f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyn-
digheden
g) meddelelse af hvilke personoplysninger, der er omfattet af behandlingen, og enhver tilgængelig
oplysning om, hvorfra de stammer.
Artikel 15
Begrænsninger af indsigtsretten
1. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den
registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør
en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den
berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforsknin-
ger eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
2. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af be-
handling, som helt eller delvis er omfattet af stk. 1, litra a)-e).
3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvar-
lige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i
personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen.
En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk.
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske el-
ler retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndig-
hederne.
Artikel 16
Ret til berigtigelse, sletning og begrænsning af behandling
130
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplys-
ninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter
bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til
at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.
2. Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og
fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet
af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages
i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig for-
pligtelse, som den dataansvarlige er underlagt.
3. I stedet for sletning begrænser den dataansvarlige behandling, hvis:
a) rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urig-
tighed ikke kan konstateres, eller
b) personoplysningerne skal bevares som bevismiddel.
Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den regi-
strerede herom, inden begrænsningen af behandling ophæves.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig
meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af be-
handling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstalt-
ninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan
begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behø-
rigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforsknin-
ger eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal meddele berigtigelse af urigti-
ge personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.
6. Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigtiget eller slettet eller behandlin-
gen er blevet begrænset, jf. stk. 1, 2 og 3, bestemmelser om, at den dataansvarlige skal underrette modta-
gerne, og at modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af perso-
noplysninger, som de har ansvaret for.
Artikel 17
Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol
1. I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager med-
lemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den
kompetente tilsynsmyndighed.
131
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.
3. Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrere-
de om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndighe-
den underretter også den registrerede om dennes adgang til retsmidler.
Artikel 18
Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager
Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i artikel
13, 14 og 16, skal gennemføres i henhold til medlemsstaternes nationale ret, når personoplysningerne er
indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige
efterforskninger og straffesager.
KAPITEL IV
Dataansvarlig og databehandler
Afdeling 1
Generelle forpligtelser
Artikel 19
Den dataansvarliges forpligtelser
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til behandlin-
gens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for
fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske
foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med
dette direktiv. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet i
stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.
Artikel 20
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til det aktuelle
tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sam-
menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder
og frihedsrettigheder, som behandlingen indebærer, både på tidspunktet for fastlæggelse af midlerne til
behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatori-
ske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering
af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne ga-
rantier i behandlingen for at opfylde kravene i dette direktiv og beskytte de registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal gennemføre passende tekniske
og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun persono-
plysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse
gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbe-
132
varingsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger
sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles til rådighed for et ubegrænset
antal fysiske personer.
Artikel 21
Fælles dataansvarlige
1. Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og
hjælpemidlerne til behandling, bestemmelser om, at de skal være fælles dataansvarlige. De fastsætter på
en gennemsigtig måde deres respektive ansvar for overholdelse af dette direktiv, navnlig hvad angår udø-
velsen af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger,
der er omhandlet i artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det omfang de data-
ansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataan-
svarlige er underlagt. I ordningen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan udpe-
ge den af de fælles dataansvarlige, der kan fungere som fælles kontaktpunkt for de registrerede, når disse
udøver deres rettigheder.
2. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan medlemsstaterne fastsætte bestem-
melser om, at den registrerede kan udøve sine rettigheder i medfør af de bestemmelser, der vedtages i
henhold til dette direktiv, med hensyn til og over for den enkelte dataansvarlige.
Artikel 22
Databehandler
1. Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af en dataansvarlig, bestemmelser
om, at den dataansvarlige udelukkende må benytte databehandlere, der kan stille de fornødne garantier
for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at
behandlingen opfylder kravene i dette direktiv og sikrer beskyttelse af den registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke må gøre brug af en anden data-
behandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde
af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle plan-
lagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataan-
svarlige mulighed for at gøre indsigelse mod sådanne ændringer.
3. Medlemsstaterne fastsætter bestemmelser om, at en databehandlers behandling skal være omfattet af en
kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er
bindende for databehandleren med hensyn til den dataansvarlige, og fastsætter genstanden for og varighe-
den af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af re-
gistrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet retlige doku-
ment fastlægger navnlig, at databehandleren:
a) kun må handle efter instruks fra den dataansvarlige
b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til
fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
c) bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestem-
melserne om den registreredes rettigheder
d) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den data-
ansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier,
133
medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af persono-
plysningerne
e) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne artikel, til rådig-
hed for den dataansvarlige
f) overholder de betingelser, der er omhandlet i stk. 2 og 3, med henblik på at gøre brug af en
anden databehandler.
4. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder
elektronisk.
5. Hvis en databehandler i strid med dette direktiv fastlægger formålene med og hjælpemidlerne til be-
handling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende be-
handling.
Artikel 23
Behandling, der udføres for den dataansvarlige eller databehandleren
Medlemsstaterne fastsætter bestemmelser om, at databehandleren og enhver, der udfører arbejde for den
dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse
oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller med-
lemsstaternes nationale ret.
Artikel 24
Fortegnelser over behandlingsaktiviteter
1. Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fører fortegnelser over alle kategori-
er af behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysnin-
ger:
a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles data-
ansvarlige og databeskyttelsesrådgiveren
b) formålene med behandlingen
c) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder
modtagere i tredjelande eller internationale organisationer
d) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
e) hvor det er relevant, brugen af profilering
f) hvor det er relevant, kategorierne af overførsler af personoplysninger til et tredjeland eller en
international organisation
g) en angivelse af retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil perso-
noplysningerne er bestemt
h) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af persono-
plysninger
i) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger omhandlet i artikel 29, stk. 1.
2. Medlemsstaterne fastsætter bestemmelser om, at hver databehandler skal føre fortegnelser over alle ka-
tegorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal inde-
holde:
134
a) navn på og kontaktoplysninger for databehandleren eller databehandlerne, for hver dataansvar-
lig, på hvis vegne databehandleren handler, samt, hvis det er relevant, databeskyttelsesrådgive-
ren
b) de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
c) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international or-
ganisation, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af
dette tredjeland eller denne internationale organisation
d) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger omhandlet i artikel 29, stk. 1.
3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.
Den dataansvarlige og databehandleren stiller efter anmodning disse fortegnelser til rådighed for tilsyns-
myndigheden.
Artikel 25
Logning
1. Medlemsstaterne fastsætter bestemmelser om, at der som minimum skal foretages logning af følgende
former for behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, søgning,
videregivelse, herunder overførsel, samkøring og sletning. Logning af søgning og videregivelse skal gøre
det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter og i videst muligt om-
fang identifikation af den person, som har søgt eller videregivet personoplysninger, og identiteten på
modtagerne af sådanne personoplysninger.
2. Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre
integriteten og sikkerheden af personoplysningerne og i forbindelse med straffesager.
3. Den dataansvarlige og databehandleren stiller efter anmodning loggene til rådighed for tilsynsmyndig-
heden.
Artikel 26
Samarbejde med tilsynsmyndigheden
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren efter anmodning
skal samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.
Artikel 27
Konsekvensanalyse vedrørende databeskyttelse
1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sam-
menhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og friheds-
rettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen
foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplys-
ninger.
2. Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behand-
lingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foran-
staltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer,
135
som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensynta-
gen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Artikel 28
Forudgående høring af tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre til-
synsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der
skal oprettes, såfremt:
a) en konsekvensanalyse vedrørende databeskyttelse, jf. artikel 27, viser, at behandlingen vil føre
til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risi-
koen, eller
b) den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, inde-
bærer en høj risiko for de registreredes rettigheder og frihedsrettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal høres som led i udarbejdel-
sen af et forslag til lovgivningsmæssig foranstaltning, som skal vedtages af et nationalt parlament, eller af
en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, og som ve-
drører behandling.
3. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden kan fastsætte en liste over de be-
handlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige forelægger tilsynsmyndigheden
den i artikel 27 omhandlede konsekvensanalyse vedrørende databeskyttelse og efter anmodning andre op-
lysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse, og navn-
lig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.
5. Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i
nærværende artikels stk. 1, overtræder de bestemmelser, der vedtages i henhold til dette direktiv, navnlig
hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, bestemmelser om, at
tilsynsmyndigheden inden for en periode på op til seks uger efter modtagelse af anmodningen om høring
skal give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og i den forbin-
delse kan anvende enhver af sine beføjelser, jf. artikel 47. Denne periode kan forlænges med en måned
under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den data-
ansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter
modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.
Afdeling 2
Personoplysningssikkerhed
Artikel 29
Behandlingssikkerhed
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren under hensyn-
tagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, om-
fang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers
rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger
136
for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de
særlige kategorier af personoplysninger, der er omhandlet i artikel 10.
2. For så vidt angår automatisk behandling, fastsætter medlemsstaterne bestemmelser om, at den dataan-
svarlige eller databehandleren på grundlag af en risikovurdering gennemfører foranstaltninger til at sikre,
at:
a) uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behand-
ling (»kontrol med fysisk adgang til udstyret«)
b) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (»kontrol
med datamedier«)
c) der ikke sker uautoriseret indlæsning af personoplysninger samt uautoriseret læsning, ændring
eller sletning af opbevarede personoplysninger (»kontrol med opbevaring«)
d) automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautori-
serede personer (»brugerkontrol«)
e) personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til
de personoplysninger, der er omfattet af deres adgangstilladelse (»kontrol med dataadgangen«)
f) det er muligt at kontrollere og fastslå de organer, til hvilke der er blevet eller kan transmitteres
eller stilles til rådighed ved hjælp af datakommunikationsudstyr (»kommunikationskontrol«)
g) det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i
automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst
(»kontrol med indlæsning«)
h) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i for-
bindelse med overførsler af disse eller under transport af datamedier (»transportkontrol«)
i) de anvendte systemer i tilfælde af teknisk uheld kan genetableres (»genopretning«)
j) systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbevarede personoplysnin-
ger ikke bliver ødelagt som følge af fejlfunktioner i systemet (»integritet«).
Artikel 30
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
1. Medlemsstaterne fastsætter ved brud på persondatasikkerheden bestemmelser om, at den dataansvarlige
uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal an-
melde bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at det er usandsynligt, at
bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettighe-
der. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundel-
se for forsinkelsen.
2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærk-
som på, at der er sket et brud på persondatasikkerheden.
3. Den i stk. 1 omhandlede anmeldelse skal mindst:
a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, katego-
rierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal
berørte registreringer af personoplysninger
b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontakt-
punkt, hvor yderligere oplysninger kan indhentes
c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
137
d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndte-
re bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at be-
grænse dets mulige skadevirkninger.
4. Når og for så vidt som det ikke er muligt at forelægge oplysningerne samlet, kan oplysningerne medde-
les trinvist uden unødig yderligere forsinkelse.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere alle brud på per-
sondatasikkerheden som omhandlet i stk. 1, herunder de faktiske omstændigheder vedrørende bruddet på
persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation
skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.
6. Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden omfatter personoplysninger, der er
transmitteret af eller til den dataansvarlige i en anden medlemsstat, bestemmelser om, at de i stk. 3 om-
handlede oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i denne medlemsstat.
Artikel 31
Underretning om brud på persondatasikkerheden til den registrerede
1. Medlemsstaterne fastsætter, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj ri-
siko for fysiske personers rettigheder og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden
unødig forsinkelse skal underrette den registrerede om bruddet på persondatasikkerheden.
2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog
beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foran-
staltninger, der er omhandlet i artikel 30, stk. 3, litra b), c) og d).
3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betin-
gelser er opfyldt:
a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforan-
staltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt
af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne
uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for
de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke
længere er reel
c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en of-
fentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en
tilsvarende effektiv måde.
4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikker-
heden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasik-
kerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingel-
serne i stk. 3 er opfyldt.
5. Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses
eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 13, stk. 3.
Afdeling 3
Databeskyttelsesrådgiver
138
Artikel 32
Udpegelse af databeskyttelsesrådgiveren
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal udpege en databeskyttelses-
rådgiver. Medlemsstaterne kan fritage domstole og andre uafhængige judicielle myndigheder, når de ud-
fører deres judicielle opgaver, for denne forpligtelse.
2. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise in-
den for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 34.
3. En fælles databeskyttelsesansvarlig kan udpeges for flere kompetente myndigheder under hensyntagen
til deres organisatoriske struktur og størrelse.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal offentliggøre kontaktoplysnin-
gerne for databeskyttelsesrådgiveren og meddele disse til tilsynsmyndigheden.
Artikel 33
Databeskyttelsesrådgiverens stilling
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal sikre, at databeskyttelsesråd-
giveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 34
omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og
opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsakti-
viteter.
Artikel 34
Databeskyttelsesrådgiverens opgaver
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum skal overdrage følgen-
de opgaver til databeskyttelsesrådgiveren:
a) at underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger,
om deres forpligtelser i henhold til dette direktiv og anden EU-ret eller national ret i medlems-
staterne om databeskyttelse
b) at overvåge overholdelsen af dette direktiv, af anden EU-ret eller national ret i medlemsstater-
ne om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysnin-
ger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der
medvirker ved behandlingsaktiviteterne, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databe-
skyttelse og overvåge dens opfyldelse i henhold til artikel 27
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herun-
der den forudgående høring, der er omhandlet i artikel 28, og at høre tilsynsmyndigheden, når
det er hensigtsmæssigt, om eventuelle andre spørgsmål.
KAPITEL V
Overførsler af personoplysninger til tredjelande eller internationale organisationer
139
Artikel 35
Generelle principper for overførsler af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af personoplysninger, der foretages
af kompetente myndigheder, og som underkastes behandling eller planlægges behandlet efter overførsel
til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller
en anden international organisation, kun må finde sted, hvis de nationale bestemmelser, der vedtages i
henhold til dette direktiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:
a) overførslen er nødvendig med henblik på artikel 1, stk. 1
b) personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organi-
sation, der er en myndighed, der er kompetent med henblik på artikel 1, stk. 1
c) hvor personoplysninger transmitteres eller stilles til rådighed fra en anden medlemsstat, denne
medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale
ret
d) Kommissionen i henhold til artikel 36 har truffet en afgørelse om tilstrækkeligheden af beskyt-
telsesniveauet, eller der i fravær af en sådan afgørelse er blevet indført, eller der eksisterer de
fornødne garantier i henhold til artikel 37, eller, i fravær af en afgørelse om tilstrækkeligheden
af beskyttelsesniveauet i henhold til artikel 36 og de fornødne garantier, jf. artikel 37, undta-
gelser for særlige situationer finder anvendelse i henhold til artikel 38, og
e) den kompetente myndighed, der foretog den oprindelige overførsel, eller en anden kompetent
myndighed i den samme medlemsstat, i tilfælde af videreoverførsel til et andet tredjeland eller
en anden international organisation, giver bemyndigelse til videreoverførslen, efter at den har
taget behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings grovhed, det
formål, hvortil personoplysningerne oprindeligt blev overført, og beskyttelsesniveauet for per-
sonoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysninger-
ne videreoverføres.
2. Medlemsstaterne fastsætter bestemmelser om, at overførsel uden forudgående godkendelse fra en an-
den medlemsstat i overensstemmelse med stk. 1, litra c), kun må tillades, hvis overførslen af personoply-
sningerne er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et
tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående
godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den forudgående god-
kendelse, underrettes straks.
3. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau for fysiske perso-
ner, som sikres i dette direktiv, ikke undermineres.
Artikel 36
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
1. Medlemsstaterne fastsætter bestemmelser om, at overførsel af personoplysninger til et tredjeland eller
en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område
eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation
har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel af oplysninger kræver ikke specifik godken-
delse.
2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elemen-
ter i betragtning:
140
a) retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder,
relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed,
forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysnin-
ger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikker-
hedsforanstaltninger, herunder regler for videreoverførslen af personoplysninger til et andet
tredjeland eller en anden international organisation, der gælder i dette land eller denne interna-
tionale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæ-
ves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger
overføres
b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet,
eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at
databeskyttelsesregler overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå
og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyn-
dighederne i medlemsstaterne, og
c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har påta-
get sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter
og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig
vedrørende beskyttelse af personoplysninger.
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af gennemførel-
sesretsakter fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller
en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne ar-
tikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision,
som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den
internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte an-
vendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk. 2, litra
b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.
4. Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan
påvirke virkningen af de afgørelser, der er vedtaget i henhold til stk. 3.
5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirken-
de kraft afgørelsen omhandlet i denne artikels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i
denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke
sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttel-
sesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter un-
dersøgelsesproceduren i artikel 58, stk. 2.
I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 58, stk.
3, gennemførelsesretsakter, der finder anvendelse straks.
6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik
på at afhjælpe den situation, der giver anledning til en afgørelse vedtaget i henhold til stk. 5.
7. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som angivet i stk. 5 ikke berører overfør-
sel af personoplysninger til det pågældende tredjeland, det pågældende område eller en eller flere speci-
fikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 37 og
38.
141
8. Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over de tredje-
lande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fast-
slået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.
Artikel 37
Overførsler omfattet af fornødne garantier
1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3, fastsætter medlemsstaterne be-
stemmelser om, at en overførsel af personoplysninger til et tredjeland eller en international organisation
kan finde sted, hvis:
a) der er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, i et retligt
bindende instrument, eller
b) den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysnin-
ger og konkluderer, at der findes de fornødne garantier, hvad angår beskyttelsen af persono-
plysninger.
2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, litra
b).
3. En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og dokumentationen stilles til rådighed for
tilsynsmyndigheden efter anmodning, herunder dato og tidspunkt for overførslen, oplysninger om den
modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger.
Artikel 38
Undtagelser i særlige situationer
1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 eller for-
nødne garantier i henhold til artikel 37 fastsætter medlemsstaterne bestemmelser om, at en overførsel eller
en kategori af overførsler af personoplysninger til et tredjeland eller en international organisation kun må
finde sted, såfremt overførslen er nødvendig:
a) for at beskytte den registreredes eller en anden persons vitale interesser
b) for at beskytte den registreredes legitime interesser, hvis det er fastsat i national ret i den med-
lemsstat, der overfører personoplysningerne
c) for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands of-
fentlige sikkerhed
d) i enkeltsager med henblik på artikel 1, stk. 1, eller
e) i en enkeltsag for, at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på
artikel 1, stk. 1.
2. Personoplysninger må ikke overføres, hvis den overførende kompetente myndighed fastslår, at den på-
gældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interes-
se i overførslen, jf. stk. 1, litra d) og e).
3. En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumentationen stilles til rådighed for
tilsynsmyndigheden efter anmodning og skal omfatte dato og tidspunkt for overførslen, oplysninger om
den modtagende kompetente myndighed, begrundelsen for overførslen og angivelse af de overførte perso-
noplysninger.
Artikel 39
142
Overførsler af personoplysninger til modtagere i tredjelande
1. Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel international aftale, jf. nærværende
artikels stk. 2, kan EU-retten eller medlemsstaternes nationale ret fastsætte bestemmelser om, at de kom-
petente myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og specifikke tilfælde skal over-
føre personoplysninger direkte til modtagere i tredjelande, men kun hvis de øvrige bestemmelser i dette
direktiv overholdes, og alle af følgende betingelser er opfyldt:
a) overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en op-
gave som fastlagt i EU-retten eller medlemsstaternes nationale ret med henblik på artikel 1, stk. 1
b) den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes grund-
læggende rettigheder og frihedsrettigheder går forud for samfundets interesse, der nødvendiggør
overførslen i det foreliggende tilfælde
c) den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredjelandet
er kompetent med henblik på artikel 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig fordi
overførslen ikke kan foretages i tide
d) den myndighed, der i tredjelandet er kompetent med henblik på artikel 1, stk. 1, underrettes uden
unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt
e) den overførende kompetente myndighed underretter modtageren om det eller de specifikke for-
mål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne be-
handling er nødvendig.
2. En international aftale, jf. stk. 1, skal være en bilateral eller multilateral international aftale, der er ind-
gået mellem medlemsstater og tredjelande om retligt samarbejde i straffesager og politisamarbejde.
3. Den overførende kompetente myndighed underretter tilsynsmyndigheden om overførsler i medfør af
denne artikel.
4. Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumenteres.
Artikel 40
Internationalt samarbejde om beskyttelse af personoplysninger
Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer
de nødvendige foranstaltninger til at:
a) udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lov-
givningen om beskyttelse af personoplysninger
b) yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplys-
ninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informati-
onsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og
andre grundlæggende rettigheder og frihedsrettigheder
c) inddrage relevante parter i drøftelser og aktiviteter, der har til formål at fremme det internationale
samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger
d) fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og
praksis på området, herunder om kompetencekonflikter med tredjelande.
KAPITEL VI
Uafhængige tilsynsmyndigheder
Afdeling 1
143
Uafhængig status
Artikel 41
Tilsynsmyndighed
1. Hver medlemsstat fastsætter bestemmelser om, at en eller flere uafhængige offentlige myndigheder
skal være ansvarlige for at føre tilsyn med anvendelsen af dette direktiv, for at beskytte fysiske personers
grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveks-
ling af personoplysninger i Unionen (»tilsynsmyndighed«).
2. Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af dette direktiv i hele Unionen. Til
dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapi-
tel VII.
3. Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndighed, der er oprettet ved forord-
ning (EU) 2016/679, skal være den tilsynsmyndighed, der er omhandlet i dette direktiv, og skal overdra-
ges ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der skal oprettes i medfør af den-
ne artikels stk. 1.
4. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en
tilsynsmyndighed, der skal repræsentere disse myndigheder i det i artikel 51 omhandlede databeskyttel-
sesråd.
Artikel 42
Uafhængighed
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opga-
ver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.
2. Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller medlemmerne af deres tilsynsmyn-
digheder i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til dette
direktiv skal være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og at de hver-
ken søger eller modtager instrukser fra andre.
3. Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig fra enhver handling, der er ufor-
enelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller
ulønnet virksomhed.
4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tek-
niske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og
udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med
og deltagelse i Databeskyttelsesrådet.
5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der
alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.
6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke på-
virker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det
samlede statsbudget eller nationale budget.
Artikel 43
144
Generelle betingelser for medlemmer af en tilsynsmyndighed
1. Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres tilsynsmyndigheder skal ud-
nævnes efter en gennemsigtig procedure af:
— deres parlament
— deres regering
— deres statschef, eller
— et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har fået overdraget an-
svaret for udnævnelsen.
2. Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området be-
skyttelse af personoplysninger, der er nødvendig for at varetage dets hverv og udøve dets beføjelser.
3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligato-
risk fratrædelse i henhold til den pågældende medlemsstats nationale ret.
4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længe-
re opfylder betingelserne for at varetage sit hverv.
Artikel 44
Regler om oprettelse af en tilsynsmyndighed
1. Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:
a) den enkelte tilsynsmyndigheds oprettelse
b) de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne bli-
ve udnævnt til medlem af den enkelte tilsynsmyndighed
c) reglerne og procedurerne for udnævnelsen af medlemmet eller medlemmerne af den enkelte
tilsynsmyndighed
d) embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed, som
skal være mindst fire år, med undtagelse af den første udnævnelse efter den 6. maj 2016, som
kan være af kortere varighed, hvis det er nødvendigt for at beskytte den pågældende tilsyns-
myndigheds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure
e) om og i bekræftende fald i hvor mange embedsperioder medlemmet eller medlemmerne af
den enkelte tilsynsmyndighed kan genudnævnes
f) betingelserne vedrørende forpligtelserne for den enkelte tilsynsmyndigheds medlem eller med-
lemmer og personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, un-
der og efter embedsperioden samt regler for arbejdsophør.
2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med
EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt
for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres
opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indbe-
retninger fra fysiske personer af overtrædelser af dette direktiv.
Afdeling 2
Kompetence, opgaver og beføjelser
Artikel 45
Kompetence
145
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal have kompetence
til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv,
på dens egen medlemsstats område.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed ikke skal have kompe-
tence til at føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres egenskab af dom-
stol. Medlemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ikke skal have kompe-
tence til at føre tilsyn med andre uafhængige judicielle myndigheders behandlingsaktiviteter, når de udfø-
rer deres judicielle opgaver.
Artikel 46
Opgaver
1. Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:
a) føre tilsyn med og håndhæve anvendelsen af de bestemmelser, der vedtages i henhold til dette
direktiv, og gennemførelsesbestemmelserne hertil
b) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i
forbindelse med behandling
c) i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og an-
dre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til be-
skyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling
d) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af dette
direktiv
e) efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af dette
direktiv og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater,
hvis det er relevant
f) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sam-
menslutning i overensstemmelse med artikel 55, og, for så vidt det er hensigtsmæssigt, under-
søge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen
inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en an-
den tilsynsmyndighed er nødvendig
g) kontrollere, om en behandling er lovlig i henhold til artikel 17, og i henhold til nævnte artikels
stk. 3 underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller
om årsagerne til, at undersøgelsen ikke er foretaget
h) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og
gensidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af dette direktiv
i) gennemføre undersøgelser om anvendelsen af dette direktiv, herunder på grundlag af oplys-
ninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed
j) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af persono-
plysninger, navnlig udviklingen for informations- og kommunikationsteknologi
k) rådgive om behandlingsaktiviteter som omhandlet i artikel 28, og
l) bidrage til Databeskyttelsesrådets aktiviteter.
2. Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f), gennem foranstaltninger som
f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmid-
ler.
3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og for databeskyttel-
sesrådgiveren.
146
4. Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især fordi den gentages, kan tilsyns-
myndigheden opkræve et rimeligt gebyr baseret på dens administrative omkostninger eller afvise at efter-
komme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, på-
hviler tilsynsmyndigheden.
Artikel 47
Beføjelser
1. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataan-
svarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle
oplysninger, der kræves til udførelse af myndighedens opgaver.
2. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive korrigerende beføjelser såsom f.eks.:
a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlings-
aktiviteter sandsynligvis vil være i strid med de bestemmelser, der vedtages i henhold til dette
direktiv
b) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i
overensstemmelse med de bestemmelser, der vedtages i henhold til dette direktiv, hvis det er
hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist, navnlig
ved at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af be-
handling i henhold til artikel 16
c) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.
3. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive rådgivningsbeføjelser til at rådgive den dataansvarlige efter den procedure for forudgående høring,
der er omhandlet i artikel 28, og på eget initiativ eller efter anmodning at afgive udtalelser til dens natio-
nale parlament og dens regering eller i henhold til sin nationale ret til andre institutioner og organer samt
offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger.
4. Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de
fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og med-
lemsstaternes nationale ret i overensstemmelse med chartret.
5. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have be-
føjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, for de
judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik
på at håndhæve de bestemmelser, der vedtages i henhold til dette direktiv.
Artikel 48
Indberetning af overtrædelser
Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive me-
kanismer, som tilskynder til fortrolig indberetning af overtrædelser af dette direktiv.
Artikel 49
Aktivitetsrapport
147
Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke
typer overtrædelser der er blevet anmeldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter
fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget i henhold til
medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyt-
telsesrådet.
KAPITEL VII
Samarbejde
Artikel 50
Gensidig bistand
1. Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndigheder skal udveksle relevante op-
lysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende dette direktiv på
en ensartet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensi-
dig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmod-
ninger om gennemførelse af høringer, inspektioner og undersøgelser.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal træffe alle passen-
de foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden
unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan
bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.
3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grun-
den til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmod-
ningen.
4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:
a) den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger,
som den anmodes om at iværksætte, eller
b) imødekommelse af anmodningen ville udgøre en overtrædelse af dette direktiv eller af EU-ret
eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen,
er underlagt.
5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller
efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme an-
modningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmod-
ning i henhold til stk. 4.
6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndig-
heder anmoder om, elektronisk i et standardformat.
7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på
grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre
hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig
bistand.
8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge format og procedurer for gensidig
bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem til-
148
synsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse gennemførelsesretsak-
ter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.
Artikel 51
Databeskyttelsesrådets opgaver
1. Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679, udøver alle af følgende opgaver i
forbindelse med behandling af personoplysninger inden for dette direktivs anvendelsesområde:
a) rådgiver Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i
Unionen, herunder om ethvert forslag til ændring af dette direktiv
b) undersøger, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning
fra Kommissionen ethvert spørgsmål vedrørende anvendelsen af dette direktiv og udsteder ret-
ningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af dette direktiv
c) udarbejder retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger,
jf. artikel 47, stk. 1 og 3
d) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra
b) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse
omhandlet i artikel 30, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataan-
svarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden
e) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra
b) vedrørende de omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil in-
debære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i ar-
tikel 31, stk. 1
f) gennemgår den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis,
der er omhandlet i litra b) og c)
g) afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttel-
sesniveauet i et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller
en international organisation, herunder vurdering af, om et sådant tredjeland, et sådant område,
en sådan specifik sektor eller en sådan international organisation ikke længere sikrer et tilstræk-
keligt beskyttelsesniveau
h) fremmer samarbejdet og en effektiv bilateral og multilateral udveksling af oplysninger og bed-
ste praksis mellem tilsynsmyndighederne
i) fremmer fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighe-
derne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale
organisationer
j) fremmer udveksling af viden og dokumentation vedrørende databeskyttelsesret og -praksis med
datatilsynsmyndigheder over hele verden.
For så vidt angår første afsnit, litra g), forelægger Kommissionen Databeskyttelsesrådet al nødvendig do-
kumentation for, herunder korrespondance med regeringen i tredjelandet, med området eller den specifik-
ke sektor i tredjelandet, eller med den internationale organisation.
2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under
hensyntagen til, hvor meget den pågældende sag haster.
3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til
Kommissionen og det udvalg, der er omhandlet i artikel 58, stk. 1, og offentliggør dem.
149
4. Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på udtalelser, retningslinjer, hen-
stillinger og bedste praksis udarbejdet af Databeskyttelsesrådet.
KAPITEL VIII
Retsmidler, ansvar og sanktioner
Artikel 52
Ret til at indgive klage til en tilsynsmyndighed
1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlems-
staterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyn-
dighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende
overtræder de bestemmelser, der vedtages i henhold til dette direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til,
uden unødig forsinkelse skal videresende den til den kompetente tilsynsmyndighed, hvis klagen ikke er
indgivet til den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den registrerede under-
rettes om videresendelsen.
3. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, skal
yde supplerende bistand efter den registreredes anmodning.
4. Den kompetente tilsynsmyndighed underretter den registrerede om forløbet og resultatet af klagen, her-
under om muligheden for anvendelse af retsmidler, jf. artikel 53.
Artikel 53
Adgang til effektive retsmidler over for en tilsynsmyndighed
1. Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne
bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk
bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.
2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede
adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk.
1, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en
klage, der er indgivet i henhold til artikel 52, inden for tre måneder.
3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved en
domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.
Artikel 54
Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler
Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til
at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser
om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommen-
des rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som
følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.
Artikel 55
150
Repræsentation af registrerede
Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes nationale retsplejeregler bestem-
melser om, at den registrerede skal have ret til at bemyndige et organ, en organisation eller en sammen-
slutning, der er etableret i overensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med
gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for be-
skyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres persono-
plysninger, til at indgive en klage på sine vegne og til at udøve de rettigheder, der er omhandlet i artikel
52, 53 og 54, på sine vegne.
Artikel 56
Ret til erstatning
Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har lidt materiel eller immateriel
skade som følge af en ulovlig behandlingsaktivitet eller enhver anden handling, der overtræder de natio-
nale bestemmelser, der vedtages i henhold til dette direktiv, har ret til erstatning for den forvoldte skade
fra den dataansvarlige eller en anden myndighed, der er kompetent i henhold til medlemsstaternes natio-
nale ret.
Artikel 57
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de be-
stemmelser, der vedtages i henhold til dette direktiv, og træffer alle nødvendige foranstaltninger for at sik-
re, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have
afskrækkende virkning.
KAPITEL IX
Gennemførelsesretsakter
Artikel 58
Udvalgsprocedure
1. Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et
udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
3. Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med
dennes artikel 5 anvendelse.
KAPITEL X
Afsluttende bestemmelser
Artikel 59
Ophævelse af rammeafgørelse 2008/977/RIA
1. Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj 2018.
2. Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvisninger til dette direktiv.
151
Artikel 60
EU-retsakter, der allerede er i kraft
De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsakter, der den eller inden den 6.
maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regu-
lerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til infor-
mationssystemer, der er oprettet i henhold til traktaterne inden for dette direktivs anvendelsesområde, be-
røres ikke.
Artikel 61
Forhold til tidligere indgåede internationale aftaler på området for retligt samarbejde i straffesager
og politisamarbejde
Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale or-
ganisationer, som er indgået af medlemsstaterne inden den 6. maj 2016, og som overholder den EU-ret,
der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.
Artikel 62
Kommissionsrapporter
1. Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og
Rådet en rapport om evaluering og revision af dette direktiv. Rapporterne skal offentliggøres.
2. I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navn-
lig, hvordan kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisatio-
ner anvendes og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til artikel 36, stk. 3, og
artikel 39.
3. Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger fra medlemsstaterne og tilsyns-
myndighederne.
4. Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og
resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.
5. Kommissionen forelægger om nødvendigt relevante forslag med henblik på ændring af dette direktiv,
navnlig under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i
informationssamfundet.
6. Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-retsakter, som regulerer de
kompetente myndigheders behandling med henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i
artikel 60, for at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hensigtsmæssigt, at
fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent
tilgang til beskyttelse af personoplysninger inden for dette direktivs anvendelsesområde.
Artikel 63
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de love og administrative bestemmel-
ser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til dis-
se love og bestemmelser. De anvender disse love og bestemmelser fra den 6. maj 2018.
152
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved
offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for hen-
visningen.
2. Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det er uforholdsmæssigt vanskeligt,
fastsætte bestemmelser om, at automatiske behandlingssystemer, der er indført før den 6. maj 2016, skal
bringes i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.
3. Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordinære omstændigheder bringe et
automatisk behandlingssystem som omhandlet i denne artikels stk. 2 i overensstemmelse med artikel 25,
stk. 1, inden for en nærmere angivet periode efter den periode, der er omhandlet i nærværende artikels stk.
2, hvis det i modsat fald ville forårsage alvorlige vanskeligheder for driften af det pågældende automati-
ske behandlingssystem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til disse alvorli-
ge vanskeligheder og årsagerne til den angivne periode, inden for hvilken den bringer det pågældende
automatiske behandlingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne periode må under
ingen omstændigheder være senere end den 6. maj 2026.
4. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de ud-
steder på det område, der er omfattet af dette direktiv.
Artikel 64
Ikrafttræden
Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 65
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den 27. april 2016.
På Europa-Parlamentets vegne
M. SCHULZ
Formand
På Rådets vegne
J. A. HENNIS-PLASSCHAERT
Formand
153
1) EUT C 391 af 18.12.2012, s. 127.
2) Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 8.4.2016 (endnu ikke offentliggjort
i EUT). Europa-Parlamentets holdning af 14.4.2016.
3) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysnin-
ger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).
4) Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbej-
de i kriminalsager (EUT L 350 af 30.12.2008, s. 60).
5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af persono-
plysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (se side 1 i denne
EUT).
6) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
7) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser
(EUT L 88 af 4.4.2011, s. 45).
8) Rådets fælles holdning 2005/69/RIA af 24. januar 2005 om udveksling af bestemte oplysninger med Interpol (EUT L 27 af 29.1.2005, s. 61).
9) Rådets afgørelse 2007/533/RIA af 12. juni 2007 om oprettelse, drift og brug af anden generation af Schengen-informationssystemet (SIS II) (EUT L 205
af 7.8.2007, s. 63).
10) Rådets direktiv 77/249/EØF af 22. marts 1977 om lettelser med henblik på den faktiske gennemførelse af advokaters fri udveksling af tjenesteydelser
(EFT L 78 af 26.3.1977, s. 17).
11) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal
kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
12) Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og græn-
seoverskridende kriminalitet (EUT L 210 af 6.8.2008, s. 1).
13) Rådets retsakt af 29. maj 2000 om udarbejdelse i henhold til artikel 34 i traktaten om Den Europæiske Union af konventionen om gensidig retshjælp i
straffesager mellem Den Europæiske Unions medlemsstater (EFT C 197 af 12.7.2000, s. 1).
14) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børne-
pornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).
15) EFT L 176 af 10.7.1999, s. 36.
16) EUT L 53 af 27.2.2008, s. 52.
17) EUT L 160 af 18.6.2011, s. 21.
18) EUT C 192 af 30.6.2012, s. 7.
154