Vedtaget af Folketinget ved 3. behandling den 27. april 2017

Vedtaget af Folketinget ved 3. behandling den 27. april 2017
Forslag
til
Lov om retshåndhævende myndigheders behandling af personoplysninger1)
Afsnit I
Indledende bestemmelser
Kapitel 1
Lovens område
§ 1. Loven gælder for politiets, anklagemyndighedens,
herunder den militære anklagemyndigheds, kriminalforsor-
gens, Den Uafhængige Politiklagemyndigheds og domstole-
nes behandling af personoplysninger, der helt eller delvis
foretages ved hjælp af automatisk databehandling, og for an-
den ikkeautomatisk behandling af personoplysninger, der er
eller vil blive indeholdt i et register, når behandlingen fore-
tages med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner, herunder for at beskytte mod eller forebygge
trusler mod den offentlige sikkerhed.
Stk. 2. Loven finder ikke anvendelse på den behandling af
personoplysninger, som udføres for eller af politiets og for-
svarets efterretningstjenester.
Stk. 3. Loven finder ikke anvendelse på behandling af
personoplysninger i medfør af EU-retsakter, der den 6. maj
2016 eller inden denne dato er trådt i kraft på området for
retligt samarbejde i straffesager og politisamarbejde, og som
regulerer behandling mellem medlemsstaterne og de ud-
pegede myndigheders adgang til EU-informationssystemer.
§ 2. Regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling,
går forud for reglerne i denne lov.
Kapitel 2
Definitioner
§ 3. I denne lov forstås ved:
1) Personoplysninger: Enhver form for information om
en identificeret eller identificerbar fysisk person (den
registrerede).
2) Behandling: Enhver aktivitet eller række af aktiviteter
med eller uden brug af automatisk behandling, som
personoplysninger eller en samling af per-
sonoplysninger gøres til genstand for.
3) Begrænsning af behandling: Mærkning af opbevarede
personoplysninger med den hensigt at begrænse frem-
tidig behandling af disse oplysninger.
4) Profilering: Enhver form for automatisk behandling af
personoplysninger, der består i at anvende per-
sonoplysninger til at evaluere bestemte personlige for-
hold vedrørende en fysisk person.
5) Register: Enhver struktureret samling af personoplys-
ninger, der er tilgængelig efter bestemte kriterier,
hvad enten denne samling er placeret centralt eller de-
centralt eller er fordelt på et funktionsbestemt eller et
geografisk grundlag.
6) Kompetent myndighed: Enhver offentlig myndighed
eller ethvert andet organ eller enhver anden enhed, der
i henhold til medlemsstaternes nationale ret er bemyn-
diget til at udøve offentlig myndighed og offentlige
beføjelser med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner, herunder beskytte
mod og forebygge trusler mod den offentlige sikker-
hed. De kompetente myndigheder i Danmark er politi-
et, anklagemyndigheden, herunder den militære an-
1) Loven gennemfører Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, EU-Tidende
2016, nr. L 119, side 89.
Til lovforslag nr. L 168 Folketinget 2016-17
Justitsmin., j.nr. 2016-7910-0008
AX019986
klagemyndighed, kriminalforsorgen, Den Uafhængige
Politiklagemyndighed og domstolene.
7) Dataansvarlig: Den kompetente myndighed, der alene
eller sammen med andre afgør, til hvilke formål og
med hvilke hjælpemidler der må foretages behandling
af personoplysninger.
8) Databehandler: En fysisk eller juridisk person, en of-
fentlig myndighed, en institution eller et andet organ,
der behandler personoplysninger på den dataansvarli-
ges vegne.
9) Modtager: En fysisk eller juridisk person, en offentlig
myndighed, en institution eller et andet organ, hvortil
personoplysninger videregives, således at modtageren
herefter selvstændigt træffer beslutning om, til hvilket
formål og med hvilke midler denne behandler de vide-
regivne oplysninger, uanset om det er en tredjemand
eller ej. Myndigheder, som vil kunne få meddelt per-
sonoplysninger som led i en isoleret forespørgsel, be-
tragtes ikke som modtagere.
10) Brud på persondatasikkerheden: Ethvert brud på sik-
kerheden, der fører til hændelig eller ulovlig tilintet-
gørelse, hændeligt eller ulovligt tab, hændelig eller
ulovlig ændring eller uautoriseret videregivelse af el-
ler adgang til personoplysninger, der er transmitteret,
opbevaret eller på anden måde behandlet.
11) Genetiske data: Personoplysninger vedrørende en fy-
sisk persons arvede eller erhvervede genetiske karak-
teristika, som giver entydig information om den fysi-
ske persons fysiologi eller helbred, og som navnlig
foreligger efter en analyse af en biologisk prøve fra
den pågældende fysiske person.
12) Biometriske data: Personoplysninger, der som følge af
specifik teknisk behandling vedrørende en fysisk per-
sons fysiske, fysiologiske eller adfærdsmæssige ka-
rakteristika muliggør eller bekræfter en entydig identi-
fikation af vedkommende, f.eks. ansigtsbillede eller
fingeraftryksoplysninger.
13) Helbredsoplysninger: Personoplysninger, der vedrører
en fysisk persons fysiske eller mentale helbred, herun-
der levering af sundhedsydelser, og som giver infor-
mation om vedkommendes helbredstilstand.
14) International organisation: En folkeretlig organisation
og organer, der er underordnet en sådan organisation,
og ethvert andet organ, der er oprettet ved eller med
hjemmel i en aftale mellem to eller flere lande.
Afsnit II
Behandlingsregler
Kapitel 3
Behandling af oplysninger
§ 4. Oplysninger skal behandles i overensstemmelse med
god databehandlingsskik og under hensyntagen til oplysnin-
gernes karakter.
Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt
angivne og saglige formål, som er omfattet af § 1, stk. 1, og
senere behandling må ikke være uforenelig med disse for-
mål, jf. dog § 5.
Stk. 3. Oplysninger, som behandles, skal være relevante
og tilstrækkelige og må ikke omfatte mere, end hvad der
kræves til opfyldelse af de formål, hvortil oplysningerne
indsamles, og de formål, hvortil oplysningerne senere be-
handles.
Stk. 4. Oplysninger, som behandles, skal være korrekte og
om nødvendigt ajourførte. Der skal tages ethvert rimeligt
skridt for at sikre, at personoplysninger, der er urigtige i for-
hold til de formål, hvortil de behandles, straks slettes eller
berigtiges.
Stk. 5. Den dataansvarlige træffer alle rimelige foranstalt-
ninger til at sikre, at personoplysninger ikke videregives el-
ler stilles til rådighed, hvis de er urigtige, ufuldstændige el-
ler ikke ajourførte. I dette øjemed verificerer den dataan-
svarlige så vidt muligt kvaliteten af personoplysningerne,
før de videregives eller stilles til rådighed. I forbindelse med
videregivelse af oplysninger skal der så vidt muligt tilføjes
nødvendige oplysninger, der gør det muligt for den modta-
gende kompetente myndighed at vurdere, i hvor høj grad
personoplysningerne er rigtige, fuldstændige og pålidelige,
og i hvilket omfang de er ajourførte. Konstateres det, at der
er videregivet urigtige personoplysninger, eller at per-
sonoplysninger er videregivet ulovligt, skal dette straks
meddeles modtageren. Oplysningerne skal i givet fald berig-
tiges eller slettes, eller behandlingen skal begrænses.
Stk. 6. Indsamlede oplysninger må ikke opbevares på en
måde, der giver mulighed for at identificere den registrerede
i et længere tidsrum end det, der er nødvendigt af hensyn til
de formål, hvortil oplysningerne behandles.
Stk. 7. Indsamlede oplysninger skal behandles på en må-
de, der sikrer en tilstrækkelig sikkerhed for de pågældende
personoplysninger, herunder beskyttelse mod uautoriseret
eller ulovlig behandling og mod hændeligt tab, hændelig til-
intetgørelse eller hændelig beskadigelse, under anvendelse
af passende tekniske eller organisatoriske foranstaltninger,
jf. § 27.
Stk. 8. Den dataansvarlige er ansvarlig for og skal kunne
påvise, at stk. 1-7 overholdes.
§ 5. Senere behandling af oplysninger til et andet af de
formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprinde-
lig var indsamlet, kan foretages af den samme eller en anden
af de kompetente myndigheder, når behandlingen sker på
baggrund af lov og er nødvendig og forholdsmæssig i for-
hold til dette efterfølgende formål.
Stk. 2. Der kan i medfør af stk. 1 endvidere foretages be-
handling af oplysninger, der alene sker til arkivformål i sam-
fundets interesse eller i historisk, statistisk eller videnskabe-
ligt øjemed.
Stk. 3. Den dataansvarlige er ansvarlig for og skal kunne
påvise, at stk. 1 og 2 overholdes.
§ 6. Foretages der videregivelse af oplysninger, fastsætter
og underretter den videregivende kompetente myndighed
om eventuelle særlige vilkår for behandling af oplysninger-
ne. Der kan ikke fastsættes særlige vilkår, alene som følge af
2
at der er tale om videregivelse til en modtager i en anden
medlemsstat.
Stk. 2. Behandling af oplysninger, der er modtaget fra en
kompetent myndighed, må ikke ske i strid med særlige vil-
kår, som er fastsat af den videregivende kompetente myn-
dighed.
§ 7. Den dataansvarlige skal tilrettelægge behandlingen af
personoplysninger således, at der fastsættes passende frister
for sletning af personoplysninger eller regelmæssig undersø-
gelse af behovet for lagring af oplysningerne. Det sikres
endvidere ved proceduremæssige foranstaltninger, at tidsfri-
sterne overholdes.
§ 8. Den dataansvarlige skal, når det er relevant, så vidt
muligt sondre mellem personoplysninger om forskellige ka-
tegorier af registrerede, herunder
1) personer, om hvem der er væsentlig grund til at tro, at
de har begået eller vil begå en strafbar handling,
2) personer, der er dømt for en strafbar handling,
3) ofre for en strafbar handling eller personer, om hvem
visse faktiske omstændigheder giver anledning til at
tro, at de kunne blive ofre for en strafbar handling, og
4) andre parter i forbindelse med en strafbar handling så-
som personer, der kan blive indkaldt som vidner i efter-
forskninger i forbindelse med strafbare handlinger eller
i efterfølgende straffesager, personer, der kan tilveje-
bringe oplysninger om strafbare handlinger, eller kon-
takt- eller ledsagepersoner for de personer, der er
nævnt i nr. 1 og 2.
§ 9. Behandling af oplysninger må kun finde sted, når be-
handlingen er nødvendig for at forebygge, efterforske, afslø-
re eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder for at beskytte mod eller
forebygge trusler mod den offentlige sikkerhed.
§ 10. Der må ikke behandles personoplysninger om race
eller etnisk oprindelse, politisk, religiøs eller filosofisk over-
bevisning, fagforeningsmæssigt tilhørsforhold, genetiske da-
ta, biometriske data med det formål entydigt at identificere
en fysisk person, helbredsoplysninger eller oplysninger om
en fysisk persons seksuelle forhold eller seksuelle oriente-
ring.
Stk. 2. Under overholdelse af betingelserne i denne lov
kan der dog foretages behandling af oplysninger omfattet af
stk. 1, når det er strengt nødvendigt og sker af hensyn til de
formål, der er nævnt i § 1, stk. 1, herunder for at beskytte
den registreredes eller en anden fysisk persons vitale interes-
ser, eller hvis behandlingen vedrører oplysninger, som tyde-
ligvis er offentliggjort af den registrerede.
§ 11. Der kan træffes afgørelser, der har negativ retsvirk-
ning for den registrerede eller betydeligt påvirker den på-
gældende, alene på grundlag af automatisk behandling, her-
under profilering.
Stk. 2. Ved afgørelser, der er omfattet af stk. 1, skal der
findes passende foranstaltninger til at sikre den registreredes
berettigede interesser, herunder i det mindste en ret for den
registrerede til at kræve menneskelig indgriben fra den data-
ansvarliges side.
§ 12. De kompetente myndigheder skal indføre effektive
mekanismer, som tilskynder til fortrolig indberetning til til-
synsmyndighederne af overtrædelser af denne lov.
Afsnit III
Den registreredes rettigheder
Kapitel 4
Oplysninger, der skal stilles til rådighed for eller gives til
den registrerede
§ 13. Den dataansvarlige skal stille følgende oplysninger
til rådighed for den registrerede:
1) Identitet på og kontaktoplysninger for den dataansvarli-
ge.
2) Kontaktoplysninger for databeskyttelsesrådgiveren og
oplysninger om dennes funktion i forhold til de regi-
strerede.
3) Formålene med den behandling, som personoplys-
ningerne skal bruges til.
4) Retten til at indgive en klage til en tilsynsmyndighed
og kontaktoplysninger for tilsynsmyndigheden.
5) Den registreredes rettigheder efter kapitel 5 og 6.
6) Retten til at lade den kompetente tilsynsmyndighed ud-
øve den registreredes rettigheder i forhold til de kom-
petente myndigheders afgørelser om undladelse, udsæt-
telse, begrænsning eller nægtelse efter dette kapitel og
kapitel 5 og 6, jf. § 40, stk. 1, nr. 10.
Stk. 2. Er det nødvendigt for, at den registrerede kan vare-
tage sine interesser, skal den dataansvarlige som minimum
give den registrerede meddelelse om følgende:
1) Retsgrundlaget for behandlingen.
2) Det tidsrum, hvor personoplysningerne vil blive opbe-
varet, eller, hvis dette ikke er muligt, de kriterier, der
anvendes til at fastlægge dette tidsrum.
3) Kategorierne af eventuelle modtagere af personop-
lysningerne, herunder i tredjelande eller internationale
organisationer.
4) Yderligere oplysninger, hvis det er nødvendigt, navnlig
hvis personoplysningerne indsamles uden den registre-
redes vidende.
§ 14. Meddelelse efter § 13, stk. 2, kan udsættes, begræn-
ses eller undlades, hvis den registreredes interesse i at få
kendskab til oplysningerne findes at burde vige for at
1) undgå, at der lægges hindringer i vejen for officielle el-
ler retlige undersøgelser, efterforskninger eller proce-
durer,
2) undgå at skade forebyggelsen, afsløringen, efterforsk-
ningen eller retsforfølgningen af strafbare handlinger
eller fuldbyrdelsen af strafferetlige sanktioner,
3) beskytte den offentlige sikkerhed,
4) beskytte statens sikkerhed eller
5) beskytte den registreredes eller andres rettigheder.
Stk. 2. Justitsministeren fastsætter nærmere regler om,
hvilke kategorier af behandling der er omfattet af stk. 1, og
3
om, at meddelelse efter § 13, stk. 2, kan udsættes til et pas-
sende tidspunkt, for så vidt hensynene i stk. 1 må antages at
medføre, at meddelelser i almindelighed må underkastes en
sådan udsættelse.
Kapitel 5
Den registreredes indsigtsret
§ 15. Fremsætter en registreret begæring herom, skal den
dataansvarlige bekræfte over for den pågældende, om der
behandles oplysninger om vedkommende.
Stk. 2. Behandles der oplysninger om den pågældende,
skal der gives adgang til oplysningerne samt gives en med-
delelse med følgende oplysninger:
1) Formålene med og retsgrundlaget for behandlingen.
2) De berørte kategorier af personoplysninger.
3) De modtagere eller kategorier af modtagere, som per-
sonoplysningerne er videregivet til, herunder navnlig
modtagere i tredjelande eller internationale organisatio-
ner.
4) Om muligt, det påtænkte tidsrum, hvor personoplys-
ningerne vil blive opbevaret, eller, hvis dette ikke er
muligt, de kriterier, der anvendes til at fastlægge dette
tidsrum.
5) Retten til at anmode den dataansvarlige om berigtigelse
eller sletning af personoplysninger eller begrænsning af
behandling vedrørende den registrerede.
6) Retten til at indgive en klage til tilsynsmyndigheden og
kontaktoplysninger for tilsynsmyndigheden.
7) Hvilke personoplysninger der er omfattet af behandlin-
gen, og enhver tilgængelig oplysning om, hvorfra de
stammer.
§ 16. Indsigt efter § 15 kan udsættes, begrænses eller
nægtes, hvis den registreredes interesse i at få kendskab til
oplysningerne findes at burde vige for de hensyn til offentli-
ge interesser, der er nævnt i § 14, stk. 1.
Stk. 2. En afgørelse om, at den registreredes indsigt ud-
sættes, begrænses eller nægtes, skal meddeles den registre-
rede skriftligt og skal være ledsaget af en begrundelse og en
klagevejledning. Afgørelsen skal endvidere indeholde oplys-
ninger om den registreredes ret til at lade den kompetente
tilsynsmyndighed udøve den registreredes rettigheder, jf. §
40, stk. 1, nr. 10.
Stk. 3. Af hensyn til de i stk. 1 nævnte formål kan den re-
gistrerede i stedet for meddelelse efter stk. 2 gives meddelel-
se om, at det ikke kan oplyses, om der behandles oplysnin-
ger om den pågældende. En sådan meddelelse skal indehol-
de en klagevejledning og oplysninger om den registreredes
ret til at lade den kompetente tilsynsmyndighed udøve den
registreredes rettigheder, jf. § 40, stk. 1, nr. 10.
Stk. 4. Justitsministeren fastsætter nærmere regler om,
hvilke kategorier af behandling der er omfattet af stk. 1, her-
under om undtagelser fra retten til at få oplysninger efter §
15, for så vidt hensynene i stk. 1 må antages at medføre, at
begæringer om indsigt i almindelighed må nægtes.
Kapitel 6
Ret til berigtigelse, sletning og begrænsning af behandling
§ 17. Den dataansvarlige skal efter anmodning fra den re-
gistrerede uden unødig forsinkelse berigtige oplysninger,
der viser sig urigtige. På tilsvarende måde skal der ske fuld-
stændiggørelse af ufuldstændige oplysninger, hvis dette kan
ske uden at bringe formålet med behandlingen i fare. Den
dataansvarlige skal meddele berigtigelse af urigtige per-
sonoplysninger til den kompetente myndighed, hvorfra de
urigtige oplysninger stammer.
Stk. 2. Den dataansvarlige skal efter anmodning fra den
registrerede uden unødig forsinkelse slette oplysninger, der
er behandlet i strid med kapitel 3, eller hvis det er påkrævet
for at overholde en retlig forpligtelse, som den dataansvarli-
ge er underlagt.
Stk. 3. Den dataansvarlige skal i stedet for sletning be-
grænse behandlingen af personoplysninger, hvis
1) rigtigheden af personoplysningerne bestrides af den re-
gistrerede og deres rigtighed eller urigtighed ikke kan
konstateres eller
2) personoplysningerne skal bevares som bevismiddel.
Stk. 4. Er behandling begrænset i henhold til stk. 3, nr. 1,
underretter den dataansvarlige den registrerede herom, inden
begrænsningen af behandling ophæves.
Stk. 5. Et afslag på en anmodning om berigtigelse, slet-
ning eller begrænsning af behandling skal meddeles den re-
gistrerede skriftligt og skal være ledsaget af en begrundelse
og en klagevejledning. Afgørelsen skal endvidere indeholde
oplysninger om den registreredes ret til at lade den kompe-
tente tilsynsmyndighed udøve den registreredes rettigheder,
jf. § 40, stk. 1, nr. 10. Bestemmelsen i § 16, stk. 3, finder
tilsvarende anvendelse.
Stk. 6. Den dataansvarlige skal underrette modtagere om,
at der er sket berigtigelse, sletning eller begrænsning af be-
handling af personoplysninger. Modtagerne berigtiger eller
sletter personoplysningerne eller begrænser behandling af
personoplysninger, som de har ansvaret for.
Kapitel 7
Generelle bestemmelser
§ 18. Oplysninger og meddelelser, der er nævnt i dette af-
snit, skal stilles til rådighed eller gives gratis i en kortfattet,
letforståelig og lettilgængelig form og i et klart og enkelt
sprog.
Stk. 2. Den dataansvarlige skal snarest og på skrift besva-
re anmodninger som nævnt i dette afsnit. Er anmodningen
ikke besvaret inden 4 uger efter modtagelsen, skal den data-
ansvarlige underrette den pågældende om grunden hertil
samt om, hvornår anmodningen forventes besvaret.
Stk. 3. Retsplejelovens og den militære retsplejelovs reg-
ler om retten til oplysninger, indsigt i og berigtigelse eller
sletning og begrænsning af behandling af personoplysninger
i straffesager finder anvendelse i forhold til rettigheder i
medfør af dette afsnit.
Stk. 4. Justitsministeren fastsætter nærmere regler om be-
handling af anmodninger i medfør af dette afsnit og om be-
4
handling af klagesager, herunder at afgørelser ikke skal kun-
ne påklages til anden administrativ myndighed.
§ 19. Den dataansvarlige kan afvise at imødekomme
åbenbart grundløse eller overdrevent gentagne anmodninger,
som er fremsat i henhold til bestemmelserne i dette afsnit.
Afsnit IV
Forpligtelser for den dataansvarlige og databehandleren
Kapitel 8
Forpligtelser for den dataansvarlige
§ 20. Den dataansvarlige gennemfører og om nødvendigt
ajourfører og reviderer de fornødne tekniske og organisato-
riske foranstaltninger for at sikre og for at være i stand til at
påvise, at behandling er i overensstemmelse med denne lov.
Står det i rimeligt forhold til behandlingsaktiviteterne, skal
den dataansvarlige tillige gennemføre de fornødne databe-
skyttelsespolitikker.
Stk. 2. Foranstaltninger efter stk. 1 omfatter databeskyttel-
se gennem design og gennem standardindstillinger.
§ 21. Fastsætter to eller flere dataansvarlige i fællesskab
formålene med og hjælpemidlerne til behandling, betragtes
de som fælles dataansvarlige. Fælles dataansvarlige skal
fastsætte en ordning for fordeling af ansvaret for, at behand-
lingen er i overensstemmelse med loven, herunder navnlig i
forhold til den registreredes rettigheder efter afsnit III. Ord-
ningen skal omfatte udpegning af et fælles kontaktpunkt.
Der kan udpeges et særligt kontaktpunkt, der kan fungere
som fælles kontaktpunkt for de registrerede, når disse udø-
ver deres rettigheder.
Kapitel 9
Forpligtelser for databehandleren m.v.
§ 22. Overlader en dataansvarlig en behandling af oplys-
ninger til en databehandler, skal den dataansvarlige sikre
sig, at databehandleren kan træffe de tekniske og organisato-
riske sikkerhedsforanstaltninger, der er nævnt i §§ 20 og 24,
og påse, at dette sker.
Stk. 2. Gennemførelse af en behandling ved en databe-
handler skal ske i henhold til lov eller en skriftlig aftale mel-
lem databehandleren og den dataansvarlige. Loven eller af-
talen skal fastsætte genstanden for og varigheden af behand-
lingen, behandlingens karakter og formål, typen af per-
sonoplysninger og kategorierne af registrerede samt den da-
taansvarliges forpligtelser og rettigheder. Det skal navnlig
fremgå, at databehandleren
1) kun må handle efter instruks fra den dataansvarlige,
2) sikrer, at de fysiske personer, der er autoriseret til at be-
handle personoplysninger, har forpligtet sig til fortro-
lighed eller er underlagt en passende lovbestemt tavs-
hedspligt,
3) bistår den dataansvarlige på enhver hensigtsmæssig
måde med at sikre overholdelse af bestemmelserne om
den registreredes rettigheder,
4) efter den dataansvarliges valg sletter eller tilbageleve-
rer alle personoplysningerne til den dataansvarlige, ef-
ter at tjenesterne vedrørende behandling er ophørt,
medmindre anden lovgivning foreskriver opbevaring af
personoplysningerne,
5) stiller alle oplysninger, der er nødvendige for at påvise
overholdelse af denne bestemmelse, til rådighed for
den dataansvarlige og
6) overholder betingelserne i nr. 1-5 og stk. 3 med henblik
på at gøre brug af en anden databehandler.
Stk. 3. En databehandlers overladelse af behandling til en
anden databehandler skal ske i henhold til en generel eller
specifik skriftlig aftale med den dataansvarlige. Sker over-
ladelse i henhold til en generel aftale, skal databehandleren
underrette den dataansvarlige herom senest 14 dage forud
for overladelsen.
Stk. 4. Enhver, der udfører arbejde for den dataansvarlige
eller databehandleren, og som har adgang til personoplys-
ninger, må kun efter instruks fra den dataansvarlige behand-
le disse oplysninger, medmindre det følger af anden lovgiv-
ning, at den pågældende skal foretage behandlingen.
Kapitel 10
Fortegnelser over behandlingsaktiviteter og logning
§ 23. Den dataansvarlige skal føre skriftlige fortegnelser
over alle kategorier af behandlingsaktiviteter under den da-
taansvarliges ansvar. Fortegnelserne skal indeholde oplys-
ning om
1) navn på og kontaktoplysninger for den dataansvarlige
og, hvis det er relevant, den fælles dataansvarlige og
databeskyttelsesrådgiveren,
2) formålene med behandlingen,
3) de kategorier af modtagere, som personoplysningerne
er eller vil blive videregivet til, herunder modtagere i
tredjelande eller internationale organisationer,
4) en beskrivelse af kategorierne af registrerede og kate-
gorierne af personoplysninger,
5) brugen af profilering, hvor det er relevant,
6) kategorierne af overførsler af personoplysninger til et
tredjeland eller en international organisation, hvor det
er relevant,
7) retsgrundlaget for behandlingsaktiviteten, herunder
overførsler, hvortil personoplysningerne er bestemt,
8) de forventede tidsfrister for sletning af de forskellige
kategorier af personoplysninger, hvis det er muligt, og
9) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
Stk. 2. Databehandleren fører skriftlige fortegnelser over
alle kategorier af behandlingsaktiviteter, der foretages på
vegne af en dataansvarlig. Fortegnelserne skal indeholde op-
lysning om
1) navn på og kontaktoplysninger for databehandleren el-
ler databehandlerne for hver dataansvarlig, på hvis veg-
ne databehandleren handler, og, hvor det er relevant,
databeskyttelsesrådgiveren,
2) de kategorier af behandling, der foretages på vegne af
den enkelte dataansvarlige,
5
3) overførsler af personoplysninger til et tredjeland eller
en international organisation, hvor det er relevant, når
den dataansvarlige udtrykkeligt har givet instruks her-
om, herunder angivelse af dette tredjeland eller denne
internationale organisation, og
4) en generel beskrivelse af de tekniske og organisatoriske
sikkerhedsforanstaltninger omhandlet i § 27, hvis det er
muligt.
§ 24. I automatiske databehandlingssystemer foretages
logning af indsamling, ændring, søgning, videregivelse, her-
under overførsel, samkøring og sletning.
Stk. 2. Justitsministeren fastsætter nærmere regler om,
hvilke automatiske databehandlingssystemer indført før den
6. maj 2016, der er omfattet af stk. 1.
Kapitel 11
Konsekvensanalyser og høring af tilsynsmyndighederne
§ 25. Vil en type behandling, navnlig ved brug af nye tek-
nologier og i medfør af sin karakter, sit omfang, sin sam-
menhæng og sit formål, sandsynligvis indebære en høj risi-
ko for fysiske personers rettigheder, skal den dataansvarlige
forud for behandlingen foretage en analyse af de påtænkte
behandlingsaktiviteters konsekvenser for beskyttelse af per-
sonoplysninger.
Stk. 2. Analysen skal indeholde en generel beskrivelse af
de planlagte behandlingsaktiviteter, en vurdering af risiciene
for de registreredes rettigheder, de foranstaltninger, der på-
tænkes for at imødegå disse risici, garantier, sikkerhedsfor-
anstaltninger og mekanismer, som kan sikre beskyttelse af
personoplysninger og påvise overholdelse af denne lov,
under hensyntagen til de registreredes og andre berørte per-
soners rettigheder og legitime interesser.
§ 26. Den dataansvarlige eller databehandleren skal høre
tilsynsmyndigheden inden behandling af personoplysninger,
der vil indgå som en del af et nyt register, der skal oprettes,
når
1) en konsekvensanalyse vedrørende databeskyttelse, jf. §
25, viser, at behandlingen vil føre til en høj risiko i
mangel af foranstaltninger truffet af den dataansvarlige
for at begrænse risikoen, eller
2) den type behandling, navnlig ved brug af nye teknolo-
gier, mekanismer eller procedurer, indebærer en høj ri-
siko for de registreredes rettigheder.
Stk. 2. Finder tilsynsmyndigheden, at den planlagte be-
handling ikke vil overholde loven, herunder navnlig hvis
den dataansvarlige ikke tilstrækkeligt har identificeret eller
begrænset risikoen, giver tilsynsmyndigheden inden for en
periode på op til 6 uger efter modtagelse af anmodningen
om høring den dataansvarlige og, hvor det er relevant, data-
behandleren skriftlig rådgivning. Tilsynsmyndigheden kan i
den forbindelse anvende enhver af sine beføjelser, jf. kapitel
20. Denne periode kan forlænges med 1 måned under hen-
syntagen til den påtænkte behandlings kompleksitet. Til-
synsmyndigheden underretter den dataansvarlige og, hvor
det er relevant, databehandleren om enhver sådan forlængel-
se senest 1 måned efter modtagelse af anmodningen om hø-
ring sammen med begrundelsen for forsinkelsen.
Stk. 3. Tilsynsmyndighederne opstiller en liste over de be-
handlingsaktiviteter, hvor der i henhold til stk. 1 skal foreta-
ges en forudgående høring.
Afsnit V
Personoplysningssikkerhed
Kapitel 12
Behandlingssikkerhed
§ 27. Den dataansvarlige og databehandleren skal under
hensyntagen til det aktuelle tekniske niveau, implemente-
ringsomkostningerne og behandlingens karakter, omfang,
sammenhæng og formål og risicienes varierende sandsynlig-
hed og alvor for fysiske personers rettigheder gennemføre
passende tekniske og organisatoriske foranstaltninger for at
sikre et sikkerhedsniveau, der passer til disse risici, navnlig
for så vidt angår behandlingen af de særlige kategorier af
personoplysninger, der er omfattet af § 10.
Stk. 2. For så vidt angår automatisk behandling, skal den
dataansvarlige eller databehandleren på grundlag af en risi-
kovurdering gennemføre foranstaltninger til at sikre, at
1) uautoriserede personer ikke kan få adgang til det be-
handlingsudstyr, der benyttes til behandling (kontrol
med fysisk adgang til udstyret),
2) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af datamedier (kontrol med datamedier),
3) der ikke sker uautoriseret indlæsning af personoplys-
ninger eller uautoriseret læsning, ændring eller slet-
ning af opbevarede personoplysninger (kontrol med
opbevaring),
4) automatiske behandlingssystemer ikke via datakom-
munikationsudstyr kan benyttes af uautoriserede per-
soner (brugerkontrol),
5) personer med bemyndigelse til at anvende et automa-
tisk behandlingssystem kun har adgang til de per-
sonoplysninger, der er omfattet af deres adgangstilla-
delse (kontrol med dataadgangen),
6) det er muligt at kontrollere og fastslå de modtagere, til
hvilke der er blevet transmitteret eller stillet oplysnin-
ger til rådighed eller kan transmitteres eller stilles op-
lysninger til rådighed ved hjælp af datakommunika-
tionsudstyr (kommunikationskontrol),
7) det er muligt efterfølgende at undersøge og fastslå,
hvilke personoplysninger der er indlæst i automatiske
behandlingssystemer, og hvornår og af hvem per-
sonoplysningerne blev indlæst (kontrol med indlæs-
ning),
8) der ikke sker uautoriseret læsning, kopiering, ændring
eller sletning af personoplysninger i forbindelse med
overførsler af disse eller under transport af datamedier
(transportkontrol),
9) de anvendte systemer i tilfælde af teknisk uheld kan
genetableres (genopretning) og
10) systemet fungerer, at indtrufne fejl meldes (pålidelig-
hed), og at opbevarede personoplysninger ikke bliver
6
ødelagt som følge af fejlfunktioner i systemet (integri-
tet).
Stk. 3. For oplysninger af særlig interesse for fremmede
magter skal der træffes foranstaltninger, der muliggør bort-
skaffelse eller tilintetgørelse i tilfælde af krig eller lignende
forhold, jf. dog stk. 5.
Stk. 4. Justitsministeren fastsætter nærmere regler om de i
stk. 1-3 nævnte foranstaltninger.
Stk. 5. Justitsministeren kan efter indstilling fra en kom-
petent myndighed fastsætte regler om, at personoplysninger
omfattet af stk. 3 ikke skal underlægges foranstaltninger, der
muliggør bortskaffelse eller tilintetgørelse, hvis dette ud fra
en samlet vurdering må anses for forsvarligt.
Kapitel 13
Brud på datasikkerheden
§ 28. Ved brud på persondatasikkerheden skal den data-
ansvarlige uden unødig forsinkelse og om muligt, senest 72
timer efter at den dataansvarlige er blevet bekendt med
bruddet, anmelde bruddet til tilsynsmyndigheden, medmin-
dre det er usandsynligt, at bruddet indebærer en risiko for
fysiske personers rettigheder. En overskridelse af fristen på
72 timer skal begrundes.
Stk. 2. Databehandleren underretter uden unødig forsin-
kelse den dataansvarlige om et brud på persondatasikkerhe-
den.
Stk. 3. Anmeldelsen efter stk. 1 skal
1) beskrive karakteren af bruddet på persondatasikkerhe-
den, herunder i videst muligt omfang kategorierne af
og det berørte antal registrerede og kategorierne af og
det berørte antal registreringer af personoplysninger,
2) angive navn på og kontaktoplysninger for databeskyt-
telsesrådgiveren eller et andet kontaktpunkt, hvor yder-
ligere oplysninger kan indhentes,
3) beskrive de sandsynlige konsekvenser af bruddet på
persondatasikkerheden og
4) beskrive de foranstaltninger, som den dataansvarlige
har truffet eller foreslår truffet for at håndtere bruddet
på persondatasikkerheden, herunder, hvis det er rele-
vant, foranstaltninger for at begrænse dets mulige ska-
devirkninger.
Stk. 4. Er det ikke muligt at forelægge oplysningerne, der
er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplys-
ningerne meddeles trinvis uden unødig forsinkelse.
Stk. 5. Den dataansvarlige skal dokumentere alle brud på
persondatasikkerheden, som er omfattet af stk. 1, herunder
de faktiske omstændigheder vedrørende bruddet, bruddets
virkninger og de trufne afhjælpende foranstaltninger.
Stk. 6. Omhandler bruddet på persondatasikkerheden op-
lysninger, der er transmitteret af eller til en dataansvarlig i
en anden medlemsstat, skal oplysninger, der er nævnt i stk.
3, uden unødig forsinkelse meddeles til den dataansvarlige i
denne medlemsstat.
§ 29. Ved brud på persondatasikkerheden, som sandsyn-
ligvis vil indebære en høj risiko for fysiske personers rettig-
heder, skal den dataansvarlige uden unødig forsinkelse un-
derrette den registrerede om bruddet.
Stk. 2. Underretningen skal i et klart og enkelt sprog be-
skrive karakteren af bruddet og indeholde de oplysninger,
der er nævnt i § 28, stk. 3, nr. 2-4.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke, hvis
1) den dataansvarlige har gennemført passende tekniske
og organisatoriske beskyttelsesforanstaltninger og disse
foranstaltninger er blevet anvendt på de personoplys-
ninger, som er berørt af bruddet på persondatasikkerhe-
den, herunder navnlig foranstaltninger, der f.eks. på
grund af kryptering gør personoplysningerne uforståeli-
ge for enhver, der ikke har autoriseret adgang hertil,
2) den dataansvarlige har truffet efterfølgende foranstalt-
ninger, der sikrer, at den høje risiko for de registreredes
rettigheder som omhandlet i stk. 1 sandsynligvis ikke
længere er reel, eller
3) det vil kræve en uforholdsmæssig indsats af den data-
ansvarlige.
Stk. 4. I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i
stedet gives en offentlig meddelelse eller træffes tilsvarende
foranstaltning, hvorved de registrerede underrettes på en til-
svarende effektiv måde.
Stk. 5. Har den dataansvarlige ikke allerede underrettet
den registrerede om bruddet på persondatasikkerheden, kan
tilsynsmyndigheden efter at have overvejet sandsynligheden
for, at bruddet på persondatasikkerheden indebærer en høj
risiko, kræve, at den dataansvarlige gør dette, eller beslutte,
at en af betingelserne i stk. 3 er opfyldt.
Stk. 6. Underretning af den registrerede kan udsættes, be-
grænses eller undlades af de grunde, der er nævnt i § 14, stk.
1.
Afsnit VI
Databeskyttelsesrådgiver
Kapitel 14
Udpegelse af en databeskyttelsesrådgiver
§ 30. Den dataansvarlige udpeger på grundlag af faglige
kvalifikationer, herunder navnlig ekspertise inden for data-
beskyttelsesret og -praksis og evnen til at udføre de opgaver,
der er nævnt i kapitel 15, en databeskyttelsesrådgiver, som
inddrages i alle spørgsmål vedrørende beskyttelse af perso-
noplysninger.
Stk. 2. Flere dataansvarlige kan under hensyntagen til de-
res størrelse og organisatoriske forhold udpege en fælles da-
tabeskyttelsesrådgiver.
Stk. 3. Bestemmelsen i stk. 1 gælder ikke for domstolene,
når disse foretager behandling af personoplysninger i deres
egenskab af domstole.
Stk. 4. Den dataansvarlige offentliggør kontaktoplysnin-
gerne for databeskyttelsesrådgiveren og meddeler disse til
tilsynsmyndigheden.
Kapitel 15
Databeskyttelsesrådgiverens stilling og opgaver
§ 31. Den dataansvarlige understøtter, at databeskyttelses-
rådgiveren kan
7
1) underrette og rådgive den dataansvarlige og de ansatte,
der behandler personoplysninger, om deres forpligtel-
ser i medfør af denne lov og anden lovgivning om data-
beskyttelse,
2) overvåge overholdelsen af denne lov og anden lovgiv-
ning om databeskyttelse og af den dataansvarliges poli-
tikker om beskyttelse af personoplysninger, herunder
fordeling af ansvar, oplysningskampagner og uddannel-
se af det personale, der medvirker ved behandlingsakti-
viteterne og de tilhørende revisioner,
3) rådgive, når der anmodes herom, med hensyn til konse-
kvensanalysen vedrørende databeskyttelse og overvåge
dens opfyldelse i henhold til bestemmelsen i § 25 og
4) samarbejde med tilsynsmyndigheden og fungere som
tilsynsmyndighedens kontaktpunkt i spørgsmål vedrø-
rende behandling, herunder den forudgående høring,
der er nævnt i § 26, og høre tilsynsmyndigheden, når
det er hensigtsmæssigt, om eventuelle andre spørgsmål.
Afsnit VII
Overførsler af personoplysninger til tredjelande eller
internationale organisationer
Kapitel 16
Generelle principper
§ 32. Overførsel af personoplysninger, der behandles eller
planlægges behandlet efter overførsel til et tredjeland eller
en international organisation, herunder videreoverførsel til
et andet tredjeland eller en anden international organisation,
må kun finde sted under overholdelse af reglerne i denne
lov, og hvis betingelserne i dette afsnit er overholdt, herun-
der navnlig at
1) overførslen er nødvendig i forhold til de formål, der er
nævnt i § 1, stk. 1,
2) personoplysningerne overføres til en dataansvarlig i et
tredjeland eller en international organisation, der er en
myndighed, der er kompetent i forhold til de formål,
der er nævnt i § 1, stk. 1,
3) en kompetent myndighed i en anden medlemsstat har
givet sin forudgående godkendelse til overførslen i
henhold til dens nationale regler og personoplysninger-
ne transmitteres eller stilles til rådighed af denne myn-
dighed,
4) der foreligger et af de overførselsgrundlag, der er
nævnt i kapitel 17, og
5) den kompetente myndighed, der foretog den oprindeli-
ge overførsel, i tilfælde af videreoverførsel til et andet
tredjeland eller en anden international organisation gi-
ver bemyndigelse til videreoverførslen, efter at den har
taget behørigt hensyn til alle relevante faktorer, herun-
der en strafbar handlings grovhed, det formål, hvortil
personoplysningerne oprindelig blev overført, og be-
skyttelsesniveauet for personoplysninger i det tredje-
land eller den internationale organisation, hvortil per-
sonoplysningerne videreoverføres.
Stk. 2. Overførsel uden forudgående godkendelse efter
stk. 1, nr. 3, kan ske, hvis overførslen er nødvendig for at fo-
rebygge en umiddelbar og alvorlig trussel mod en medlems-
stats eller et tredjelands offentlige sikkerhed eller mod en
medlemsstats væsentlige interesser og den forudgående god-
kendelse ikke kan indhentes i tide. Den myndighed, der er
ansvarlig for at give den pågældende godkendelse, underret-
tes straks om overførslen.
Kapitel 17
Grundlag for overførsel
§ 33. Overførsel kan ske, hvis Europa-Kommissionen har
truffet afgørelse om, at tredjelandet, et område eller en eller
flere specifikke sektorer i dette tredjeland eller den pågæl-
dende internationale organisation har et tilstrækkeligt be-
skyttelsesniveau.
§ 34. Foreligger der ikke en afgørelse som nævnt i § 33,
kan der ske overførsel, hvis
1) der i en international aftale er givet de fornødne garan-
tier, hvad angår beskyttelsen af personoplysninger, el-
ler
2) den dataansvarlige har vurderet alle forhold i forbindel-
se med overførslen af personoplysninger og konklude-
ret, at der findes de fornødne garantier for beskyttelsen
af personoplysninger.
Stk. 2. Den dataansvarlige underretter tilsynsmyndighe-
den om kategorier af overførsler i medfør af stk. 1, nr. 2.
Stk. 3. En overførsel i medfør af stk. 1, nr. 2, dokumente-
res i forhold til dato og tidspunkt for overførslen, oplysnin-
ger om den modtagende kompetente myndighed, begrundel-
sen for overførslen og de overførte personoplysninger. Do-
kumentationen stilles efter anmodning til rådighed for til-
synsmyndigheden.
§ 35. Foreligger der ikke en afgørelse som nævnt i § 33
eller de fornødne garantier som nævnt i § 34, kan en over-
førsel eller en kategori af overførsler kun finde sted, hvis
overførslen er nødvendig
1) for at beskytte den registreredes eller en anden persons
vitale interesser,
2) for at beskytte den registreredes legitime interesser,
hvis det er fastsat i henhold til lov,
3) for at afværge en umiddelbar og alvorlig trussel mod en
medlemsstats eller et tredjelands offentlige sikkerhed,
4) i enkeltsager med henblik på de formål, der er nævnt i
§ 1, stk. 1, eller
5) i en enkeltsag, for at retskrav kan fastlægges, gøres
gældende eller forsvares med henblik på de formål, der
er nævnt i § 1, stk. 1.
Stk. 2. Overførsel efter stk. 1, nr. 4 og 5, kan ikke finde
sted, hvis hensynet til den registreredes rettigheder går forud
for den samfundsmæssige interesse i overførslen.
Stk. 3. En overførsel i medfør af stk. 1 dokumenteres i
forhold til dato og tidspunkt for overførslen, oplysninger om
den modtagende kompetente myndighed, begrundelsen for
overførslen og de overførte personoplysninger. Dokumenta-
tionen stilles efter anmodning til rådighed for tilsynsmyn-
digheden.
8
§ 36. De kompetente myndigheder kan overføre per-
sonoplysninger til andre end kompetente myndigheder og
internationale organisationer på baggrund af en international
aftale eller i enkeltstående og specifikke tilfælde, hvis
1) overførslen er strengt nødvendig for den overførende
kompetente myndigheds udførelse af en opgave, der
følger af lovgivningen, og forfølger de formål, der er
nævnt i § 1, stk. 1,
2) den overførende kompetente myndighed fastslår, at in-
gen af den pågældende registreredes grundlæggende
rettigheder går forud for samfundets interesse, der nød-
vendiggør overførslen i det foreliggende tilfælde,
3) den overførende kompetente myndighed mener, at
overførslen til en myndighed, der i tredjelandet er kom-
petent i forhold til de formål, der er nævnt i § 1, stk. 1,
er ineffektiv eller uhensigtsmæssig, navnlig fordi over-
førslen ikke kan foretages i tide,
4) den myndighed, der i tredjelandet er kompetent i for-
hold til de formål, der er nævnt i § 1, stk. 1, underrettes
uden unødig forsinkelse, medmindre dette er ineffektivt
eller uhensigtsmæssigt, og
5) den overførende kompetente myndighed underretter
modtageren om det eller de specifikke formål, hvortil
sidstnævnte udelukkende kan behandle personoplys-
ningerne, forudsat at denne behandling er nødvendig.
Stk. 2. Den overførende kompetente myndighed doku-
menterer og underretter tilsynsmyndigheden om overførsler
i medfør af stk. 1.
Afsnit VIII
Tilsynsmyndighed
Kapitel 18
Datatilsynet
§ 37. Datatilsynet, der består af et råd og et sekretariat, fø-
rer tilsyn med enhver behandling, der omfattes af loven, jf.
dog kapitel 19.
Stk. 2. Tilsynets daglige forretninger varetages af et sekre-
tariat, der ledes af en direktør.
Stk. 3. Justitsministeren nedsætter Datarådet, som består
af 1 formand, der er dommer, og 6 andre medlemmer. Der
kan udpeges stedfortrædere for medlemmerne. Formanden
og medlemmerne og stedfortræderne for disse udpeges for 4
år. Der kan ske genudpegning to gange. Udpegningen af for-
mand og medlemmer og stedfortrædere for disse sker på
baggrund af disses faglige kvalifikationer, herunder navnlig
ekspertise inden for databeskyttelsesret.
Stk. 4. Rådet fastsætter sin forretningsorden og de nærme-
re regler om arbejdets fordeling mellem råd og sekretariat.
Stk. 5. Udpegningen af formand og medlemmer og sted-
fortrædere for disse er betinget af, at de pågældende sikker-
hedsgodkendes, og at godkendelsen opretholdes i hele em-
bedsperioden.
Stk. 6. Hvervet som formand, medlem eller stedfortræder
ophører ved udgangen af embedsperioden eller ved frivillig
fratræden.
Stk. 7. Formanden og medlemmer og stedfortrædere for
disse kan alene afskediges i tilfælde af alvorligt embedsmis-
brug, eller hvis disse ikke længere opfylder betingelserne for
at varetage hvervet.
Stk. 8. Sekretariatets personale og Datarådets formand og
medlemmer og stedfortrædere for disse kan kun have bibe-
skæftigelse, i det omfang det er foreneligt med udøvelsen af
de pligter, der er knyttet til stillingen eller hvervet.
Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i
Det Europæiske Databeskyttelsesråd.
Kapitel 19
Tilsyn med domstolene
§ 38. Domstolsstyrelsen fører tilsyn med behandling af
oplysninger, der foretages for domstolene, når disse ikke
handler i deres egenskab af domstol.
Stk. 2. For anden behandling af oplysninger træffes afgø-
relse af vedkommende ret. Afgørelsen kan kæres til højere
ret. For særlige domstole, hvis afgørelser ikke kan indbrin-
ges for højere ret, kan den afgørelse, der er nævnt i 1. pkt.,
kæres til den landsret, i hvis kreds retten er beliggende. Kæ-
refristen er 4 uger fra den dag, afgørelsen er meddelt den på-
gældende.
Kapitel 20
Tilsynsmyndighedernes opgaver og beføjelser
§ 39. Tilsynsmyndighederne udøver deres funktioner i
fuld uafhængighed.
§ 40. Tilsynsmyndighederne har til opgave her i landet at
1) føre tilsyn med og håndhæve anvendelsen af denne
lov,
2) fremme offentlighedens kendskab til og forståelse af
risici, regler, garantier og rettigheder i forbindelse
med behandling af personoplysninger,
3) rådgive Folketinget, regeringen og andre institutioner
og organer om lovgivningsmæssige og administrative
foranstaltninger til beskyttelse af fysiske personers
rettigheder i forbindelse med behandling,
4) fremme dataansvarliges og databehandleres kendskab
til deres forpligtelser i medfør af denne lov,
5) efter anmodning informere alle registrerede om udø-
velsen af deres rettigheder i medfør af denne lov og
med henblik herpå samarbejde med tilsynsmyndighe-
derne i andre medlemsstater, hvis det er relevant,
6) behandle klager, der indgives af en registreret eller af
et organ, en organisation eller en sammenslutning i
overensstemmelse med bestemmelsen i § 48, og, for
så vidt det er hensigtsmæssigt, undersøge genstanden
for klagen og underrette klageren om forløbet og re-
sultatet af undersøgelsen inden for højst 3 måneder,
navnlig hvis yderligere undersøgelse eller koordine-
ring med en anden tilsynsmyndighed er nødvendig,
7) videresende klager, som skal behandles af en tilsyns-
myndighed i en anden medlemsstat,
8) efter anmodning yde supplerende bistand til en regi-
streret, der har indgivet en klage, som er blevet vide-
9
resendt til en tilsynsmyndighed i en anden medlems-
stat,
9) underrette en registreret, der har indgivet en klage, om
adgangen til retsmidler efter kapitel 22,
10) efter anmodning kontrollere, om en behandling af per-
sonoplysninger er lovlig i henhold til undladelse, ud-
sættelse, begrænsning eller nægtelse efter kapitel 4-6,
og underrette den registrerede inden for en rimelig
frist om resultatet af undersøgelsen eller om årsagerne
til, at undersøgelsen ikke er foretaget, og om den regi-
streredes adgang til retsmidler efter kapitel 22,
11) samarbejde med andre tilsynsmyndigheder, herunder
gennem udveksling af oplysninger og gensidig bistand
med henblik på at sikre ensartet anvendelse og hånd-
hævelse af denne lov,
12) gennemføre undersøgelser om anvendelsen af denne
lov, herunder på grundlag af oplysninger, der er mod-
taget fra en anden tilsynsmyndighed eller en anden of-
fentlig myndighed,
13) holde øje med relevant udvikling, for så vidt den har
indvirkning på beskyttelse af personoplysninger,
navnlig udviklingen inden for informations- og kom-
munikationsteknologi,
14) rådgive om behandlingsaktiviteter som omhandlet i §
26 og
15) bidrage til Det Europæiske Databeskyttelsesråds akti-
viteter.
Stk. 2. Tilsynsmyndighederne letter indgivelsen af klager
efter stk. 1, nr. 6.
Stk. 3. Tilsynsmyndighederne kan afvise at imødekomme
åbenbart grundløse eller overdrevent gentagne anmodninger
efter denne lov.
§ 41. Tilsynsmyndighederne kan kræve enhver oplysning,
der er af betydning for deres virksomhed, herunder til afgø-
relse af, om et forhold falder ind under lovens bestemmel-
ser.
Stk. 2. Tilsynsmyndighedernes medlemmer og personale
har mod behørig legitimation til enhver tid uden retskendel-
se adgang til alle lokaler, hvorfra en behandling af per-
sonoplysninger foretages.
§ 42. Tilsynsmyndighederne kan over for den dataansvar-
lige og databehandleren afgive udtalelse om, at planlagte be-
handlingsaktiviteter sandsynligvis vil være i strid med denne
lov, give påbud om at bringe behandlingsaktiviteter i over-
ensstemmelse med denne lov eller midlertidigt eller defini-
tivt begrænse, herunder forbyde, behandling af personoplys-
ninger.
Stk. 2. Tilsynsmyndighedernes afgørelser efter denne lov
kan ikke indbringes for anden administrativ myndighed.
§ 43. Ved udarbejdelse af generelle retsforskrifter, der har
betydning for behandling af personoplysninger, skal der ind-
hentes en udtalelse fra Datatilsynet. Er der tale om generelle
forskrifter, der har betydning for behandling af oplysninger,
der foretages for domstolene, skal der indhentes en udtalelse
fra Domstolsstyrelsen.
§ 44. Tilsynsmyndighederne kan indbringe spørgsmål om
overtrædelser af denne lov for retten i den borgerlige rets-
plejes former.
§ 45. Tilsynsmyndighederne afgiver en årlig beretning om
deres virksomhed til Folketinget og justitsministeren. Beret-
ningen offentliggøres.
Kapitel 21
Samarbejde
§ 46. Tilsynsmyndighederne samarbejder, i det omfang
det er nødvendigt for at opfylde deres pligter, navnlig ved at
udveksle alle relevante oplysninger.
§ 47. Tilsynsmyndighederne besvarer anmodninger fra en
tilsynsmyndighed i en anden medlemsstat uden unødig for-
sinkelse og senest 1 måned efter modtagelsen. Oplysninger,
som en tilsynsmyndighed i en anden medlemsstat har anmo-
det om, fremsendes elektronisk i et standardformat.
Stk. 2. Anmodninger om bistand skal indeholde alle nød-
vendige oplysninger, herunder formålet med og grunden til
anmodningen. Udvekslede oplysninger må kun anvendes til
det formål, som er angivet i anmodningen.
Stk. 3. Anmodninger kan alene afvises, når den anmodede
tilsynsmyndighed ikke har kompetence med hensyn til gen-
standen for anmodningen eller de foranstaltninger, som den
anmodes om at iværksætte, eller en imødekommelse af an-
modningen vil være i strid med denne eller anden lov. Et af-
slag på at imødekomme en anmodning skal begrundes.
Afsnit IX
Retsmidler, ansvar og sanktioner
Kapitel 22
Retsmidler, ansvar og sanktioner
§ 48. Den registrerede eller dennes repræsentant kan kla-
ge til vedkommende tilsynsmyndighed over behandling af
oplysninger vedrørende den registrerede.
Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af
at behandle en klage fra en registreret eller en manglende
underretning efter § 40, stk. 1, nr. 6, kan af den registrerede
eller dennes repræsentant indbringes for domstolene i den
borgerlige retsplejes former.
Stk. 3. Den registrerede eller dennes repræsentant kan ind-
bringe spørgsmål om dataansvarliges og databehandleres
overholdelse af denne lov for domstolene i den borgerlige
retsplejes former.
§ 49. Enhver person, som har lidt materiel eller immateri-
el skade som følge af en ulovlig behandlingsaktivitet eller
enhver anden behandling i strid med denne lov, har ret til er-
statning fra den dataansvarlige i overensstemmelse med det
almindelige EU-retlige erstatningsansvar.
§ 50. Medmindre højere straf er forskyldt efter anden lov-
givning, kan en privat databehandler, der i forbindelse med
en behandling, der udføres for en kompetent myndighed,
overtræder § 22, stk. 2 og 3, § 23, stk. 2, § 27 og § 28, stk. 2,
eller undlader at efterkomme et påbud eller forbud, der er
10
meddelt i henhold til § 42, straffes med bøde eller fængsel
indtil 4 måneder.
Stk. 2. Dataansvarlige, der undlader at efterkomme et på-
bud eller forbud, der er meddelt i henhold til § 42, straffes
med bøde.
Stk. 3. I regler, der udstedes i medfør af loven, kan der
fastsættes straf af bøde eller fængsel indtil 4 måneder.
Stk. 4. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel.
Afsnit X
Afsluttende bestemmelser
Kapitel 23
Afsluttende bestemmelser, herunder
ikrafttrædelsesbestemmelser m.v.
§ 51. Justitsministeren kan fastsætte regler, som er nød-
vendige for at gennemføre de af Europa-Kommissionen ud-
stedte retsakter, som træffes med henblik på gennemførelse
af direktivet om beskyttelse af fysiske personer i forbindelse
med kompetente myndigheders behandling af personoplys-
ninger med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner og om fri udveksling af sådanne oplysninger
og om ophævelse af Rådets rammeafgørelse 2008/977/RIA,
eller regler, som er nødvendige for at anvende de af Europa-
Kommissionen udstedte retsakter på direktivets område.
§ 52. Loven træder i kraft dagen efter bekendtgørelsen i
Lovtidende.
Stk. 2. Lovforslaget kan stadfæstes straks efter dets vedta-
gelse.
§ 53. Lovens §§ 25 og 26 gælder i forhold til ny behand-
ling af personoplysninger, der iværksættes, og registre, der
oprettes den 1. maj 2017 eller senere.
§ 54. Overførsler til tredjelande og internationale organi-
sationer kan ske i medfør af internationale aftaler, der er
indgået inden den 6. maj 2016, indtil aftalerne ændres, er-
stattes eller ophæves.
§ 55. I lov nr. 429 af 31. maj 2000 om behandling af per-
sonoplysninger, som ændret senest ved § 1 i lov nr. 639 af
12. juni 2013, foretages følgende ændringer:
1. § 2, stk. 4, ophæves.
Stk. 5-11 bliver herefter stk. 4-10.
2. Efter § 2 indsættes i kapitel 1:
»§ 2 a. Loven gælder ikke for behandling, som er omfat-
tet af lov om retshåndhævende myndigheders behandling af
personoplysninger, jf. dog stk. 2.
Stk. 2. Regler udstedt i medfør af § 32, stk. 5, § 41, stk. 5,
§ 55, stk. 4, og § 72 gælder for den behandling af person-
oplysninger, der er omfattet af lov om retshåndhævende
myndigheders behandling af personoplysninger, medmindre
det vil være i strid med denne lov.«
§ 56. Loven gælder ikke for Færøerne, men kan ved kon-
gelig anordning sættes i kraft for rigsmyndighedernes be-
handling af oplysning med de ændringer, som de færøske
forhold tilsiger. Loven gælder ikke for Grønland, men kan
ved kongelig anordning sættes i kraft med de ændringer,
som de grønlandske forhold tilsiger.
Folketinget, den 27. april 2017
PIA KJÆRSGAARD
/ Bent Bøgsted
11