Fremsat den 28. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen)

Fremsat den 28. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen)
Forslag
til
Lov om ændring af lov om Center for Cybersikkerhed
(Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven)
§ 1
I lov nr. 713 af 25. juni 2014 om Center for
Cybersikkerhed foretages følgende ændringer:
1. I § 8, stk. 1, 2. pkt., ændres »og fra lov om behandling af
personoplysninger, jf. § 2, stk. 11, i lov om behandling af
personoplysninger« til: »og fra databeskyttelsesloven og Eu-
ropa-Parlamentets og Rådets forordning nr. 2016/679 af 27.
april 2016 om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelseslo-
ven, samt fra lov om retshåndhævende myndigheders be-
handling af personoplysninger, jf. § 1, stk. 2, i lov om rets-
håndhævende myndigheders behandling af personoplys-
ninger«.
2. I § 8, stk. 2, ændres »kapitel 8-10 i lov om behandling af
personoplysninger« til: »databeskyttelsesloven, Europa-Par-
lamentets og Rådets forordning nr. 2016/679 af 27. april
2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af så-
danne oplysninger«.
3. I § 14 indsættes som stk. 2:
»Stk. 2. Personoplysninger kan overføres til opbevaring i
arkiv efter reglerne i arkivlovgivningen.«
4. I § 23, stk. 2, ændres »lov om behandling af personoplys-
ninger« til: »databeskyttelsesloven og fra Europa-Parlamen-
tets og Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger samt fra lov om retshåndhævende myndigheders be-
handling af personoplysninger«.
§ 2
Loven træder i kraft den 25. maj 2018.
§ 3
Loven gælder ikke for Færøerne og Grønland, men kan
ved kongelig anordning helt eller delvis sættes i kraft for
Færøerne og Grønland med de ændringer, som de færøske
og grønlandske forhold tilsiger.
Lovforslag nr. L 155 Folketinget 2017-18
Forsvarsmin.
AG000829
Bemærkninger til lovforslaget
Almindelige bemærkninger
1. Indledning og baggrund
EU’s databeskyttelsesforordning finder anvendelse i Dan-
mark fra den 25. maj 2018. Med henblik på at supplere reg-
lerne i databeskyttelsesforordningen har Justitsministeriet
endvidere den 25. oktober 2017 fremsat forslag til en ny da-
tabeskyttelseslov, der forventes at træde i kraft den 25. maj
2018. Samtidig vil den nuværende persondatalov blive op-
hævet.
Center for Cybersikkerhed, der er en del af Forsvarets Ef-
terretningstjeneste, er national it-sikkerhedsmyndighed samt
netsikkerhedstjeneste. En af centerets væsentligste opgaver
er at opdage, analysere og bidrage til at imødegå avancerede
cyberangreb mod myndigheder samt virksomheder, der er
beskæftiget med samfundsvigtige funktioner. Det sker
blandt andet gennem monitorering af internettrafikken hos
en lang række myndigheder og virksomheder, der er tilslut-
tet centerets netsikkerhedstjeneste. Center for Cybersikker-
heds virksomhed er reguleret i lov om Center for Cybersik-
kerhed.
Center for Cybersikkerhed er ikke omfattet af den nuvæ-
rende persondatalov, og den behandling af personoplysnin-
ger, som udføres af Center for Cybersikkerhed, vil heller ik-
ke blive omfattet af databeskyttelsesforordningen og den
nye databeskyttelseslov. Dette følger af databeskyttelsesfor-
ordningens artikel 2, stk. 2, litra a, og af § 3, stk. 2, i den
foreslåede nye databeskyttelseslov.
En række af persondatalovens centrale principper for be-
handling af personoplysninger er imidlertid indarbejdet i lov
om Center for Cybersikkerhed, som også indeholder flere
henvisninger til persondataloven. Der er derfor behov for at
konsekvensændre lov om Center for Cybersikkerhed som
følge af den nye databeskyttelsesregulering.
Formålet med dette lovforslag er at gennemføre de nød-
vendige konsekvensændringer.
Det vurderes, at der med den nuværende regulering af
Center for Cybersikkerheds behandling af personoplys-
ninger er fundet en passende balance mellem på den ene si-
de hensynet til de særlige forhold, der gør sig gældende for
centerets aktiviteter, og på den anden side hensynet til at
sikre et højt beskyttelsesniveau i forhold til behandlingen af
personoplysninger. For så vidt angår de centrale principper
for Center for Cybersikkerheds behandling af personoplys-
ninger vil der derfor med lovforslaget ske en indholdsmæs-
sig uændret videreførelse af gældende ret. Herudover vil der
med lovforslaget ske en tydeliggørelse af reglerne for over-
førsel af personoplysninger til arkiv i medfør af arkivlovgiv-
ningen.
2. Lovforslagets hovedindhold
2.1. Gældende ret
EU-Kommissionen fremsatte i januar 2012 et forslag til en
databeskyttelsespakke, som blev endeligt vedtaget den 14.
april 2016. Databeskyttelsespakken består af Europa-Parla-
mentets og Rådets forordning nr. 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger og om fri udveksling af så-
danne oplysninger (databeskyttelsesforordningen) og af di-
rektiv om retshåndhævende myndigheders behandling af
personoplysninger (retshåndhævelsesdirektivet). Retshånd-
hævelsesdirektivet er gennemført i dansk ret ved lov nr. 410
af 27. april 2017 om retshåndhævende myndigheders be-
handling af personoplysninger, som trådte i kraft den 30.
april 2017. Databeskyttelsesforordningen finder anvendelse
den 25. maj 2018 og suppleres af et forslag til lov om data-
beskyttelse, som justitsministeren har fremsat for Folketin-
get den 25. oktober 2017. Det forventes, at persondataloven
ophæves med den kommende databeskyttelseslov, som skal
træde i kraft den 25. maj 2018 samtidigt med, at databeskyt-
telsesforordningen finder anvendelse.
Det følger af § 1, stk. 2, i lov nr. 410 af 27. april 2017 om
retshåndhævende myndigheders behandling af personoplys-
ninger, at loven ikke finder anvendelse på den behandling,
der udføres for eller af politiets og forsvarets efterretnings-
tjenester.
Efter § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om be-
handling af personoplysninger (persondataloven) gælder lo-
ven ikke for behandlinger, der udføres for politiets og for-
svarets efterretningstjenester. Ved § 55 i lov nr. 410 af 27.
april 2017 om retshåndhævende myndigheders behandling
af personoplysninger er persondatalovens § 2, stk. 11, blevet
§ 2, stk. 10.
Center for Cybersikkerhed er en del af Forsvarets Efterret-
ningstjeneste, og det følger således af persondatalovens § 2,
stk. 10, og af § 1, stk. 2, i lov om retshåndhævende myndig-
heders behandling af personoplysninger, at centerets virk-
somhed er undtaget fra de to love.
Det er desuden tydeliggjort i § 8, stk. 1, i lov nr. 713 af
25. juni 2014 om Center for Cybersikkerhed, at centerets
virksomhed er undtaget fra persondataloven. Persondatalo-
vens regler finder derfor ikke direkte anvendelse på cente-
rets behandling af personoplysninger. Forsvarsministeren
kan dog efter § 8, stk. 2, i lov om Center for Cybersikkerhed
bestemme, at kapitel 8-10 i persondataloven (om oplys-
ningspligt over for den registrerede, den registreredes ind-
sigtsret og øvrige rettigheder) helt eller delvist finder anven-
delse for Center for Cybersikkerhed vedrørende centerets
behandling af anmodninger om tilslutning til netsikkerheds-
tjenesten, centerets virksomhed som myndighed for infor-
mationssikkerhed og beredskab på teleområdet og centerets
personalesager.
2
Efter den gældende ordning i lov om Center for Cybersik-
kerhed finder en række centrale principper fra persondatalo-
ven anvendelse for centeret, da principperne er indarbejdet i
lovens kapitel 6. Det gælder blandt andet krav til behand-
lingsgrundlag og krav om proportionalitet og dataminime-
ring.
Det er i de almindelige bemærkninger til forslaget til lov
om Center for Cybersikkerhed, jf. Folketingstidende
2013-2014, A, L 192 som fremsat, side 13, anført, at de cen-
trale principper i persondataloven så vidt muligt bør gælde
for Center for Cybersikkerhed. De særlige forhold, som gør
sig gældende for Center for Cybersikkerheds aktiviteter, til-
siger imidlertid, at centeret ikke i samme omfang som andre
offentlige myndigheder bør være omfattet af den almindeli-
ge persondataretlige lovgivning. Dette skal særligt ses i lyset
af, at centerets netsikkerhedstjeneste i overensstemmelse
med sit formål behandler store mængder data, hvor behand-
lingens fokus imidlertid som altovervejende hovedregel er
på oplysninger af rent teknisk karakter.
Det anføres i bemærkningerne, at principperne om oplys-
ningspligt over for den registrerede og den registreredes ind-
sigts- og indsigelsesret ikke vil finde anvendelse på cente-
rets virksomhed. Baggrunden herfor er, at formålet med
Center for Cybersikkerheds netsikkerhedstjeneste ikke er at
behandle personoplysninger, men at netsikkerhedstjenesten
uundgåeligt vil skulle behandle personoplysninger i forbin-
delse med sine aktiviteter. Indsamlingen af personoplysnin-
ger er således en nødvendig del af netsikkerhedstjenestens
virke, og det er vurderingen, at opfyldelse af en oplysnings-
pligt over for den registrerede vil være uforholdsmæssig
vanskelig, ligesom behovet for at kunne begære indsigt eller
gøre indsigelse er mindre fremtrædende end de administrati-
ve byrder, det ville påføre netsikkerhedstjenesten.
Herudover fremgår det af § 23, stk. 2, i lov om Center for
Cybersikkerhed, at Tilsynet med Efterretningstjenesternes
virksomhed er undtaget fra persondataloven, når der føres
tilsyn med Center for Cybersikkerheds behandling af person-
oplysninger.
2.2. Forsvarsministeriets overvejelser
I lyset af, at persondataloven foreslås ophævet, og at regu-
leringen af databeskyttelsesområdet fremover primært vil
ske i databeskyttelsesforordningen og den nye databeskyttel-
seslov, vurderes der at være behov for at foretage en konse-
kvensændring af lov om Center for Cybersikkerhed.
Den nuværende regulering af Center for Cybersikkerheds
behandling af personoplysninger, herunder afvejningen af
hensynet til de særlige forhold, der gør sig gældende for
Center for Cybersikkerheds virksomhed, over for hensynet
til at sikre et højt beskyttelsesniveau i forhold til behandlin-
gen af personoplysninger, er et resultat af grundige overve-
jelser, som blev foretaget i forbindelse med lov om Center
for Cybersikkerhed. De kommende ændringer i databeskyt-
telsesreguleringen fører ikke til en ændret vurdering heraf.
Forsvarsministeriet finder derfor, at gældende ret efter lov
om Center for Cybersikkerhed i videst muligt omfang bør
videreføres. Tilpasningen af lov om Center for Cybersikker-
hed til den nye databeskyttelsesregulering bør således be-
grænse sig til de ændringer af teknisk karakter, som er en
konsekvens af ændringerne i databeskyttelsesreguleringen.
Det bemærkes i den forbindelse, at den nye databeskyttel-
sesregulering vil finde anvendelse for de myndigheder og
virksomheder, som er tilsluttet Center for Cybersikkerheds
netsikkerhedstjeneste, eller som på anden vis anmoder om
centerets bistand i forbindelse med f.eks. cyberangreb. De
tilsluttede myndigheder og virksomheder videregiver som
led i samarbejdet med netsikkerhedstjenesten data – her-
under persondata – til Center for Cybersikkerhed. Denne vi-
deregivelse vil fortsat kunne ske inden for rammerne af den
nye databeskyttelsesregulering. Der henvises i den forbin-
delse særligt til databeskyttelsesforordningens præambelbe-
tragtning 49, hvoraf det fremgår, at behandling af personop-
lysninger – i det omfang, det er strengt nødvendigt og for-
holdsmæssigt for at sikre net- og informationssikkerheden –
der foretages af eksempelvis Computer Emergency Respon-
se Teams (CERT’er) eller Computer Security Incident Re-
sponse Teams (CSIRT’er) udgør en legitim interesse for den
berørte dataansvarlige.
Endvidere finder Forsvarsministeriet det mest korrekt, at
det af lov om Center for Cybersikkerhed udtrykkeligt frem-
går, at personoplysninger kan overføres til arkiv efter reg-
lerne i arkivlovgivningen. En sådan bestemmelse vil svare
til den nuværende § 14 i persondataloven og § 14 i den kom-
mende databeskyttelseslov. Der vil i lighed med disse to be-
stemmelser alene være tale om en tydeliggørelse af, hvad
der følger af arkivlovgivningen.
2.3. Den foreslåede ordning
Det forslås, at henvisningerne i lov om Center for Cyber-
sikkerhed til persondataloven konsekvensændres, således at
der i stedet henvises til den nye databeskyttelsesregulering.
Ændringerne foreslås at omfatte lovens § 8, stk. 1, der
henviser til persondatalovens undtagelsesbestemmelse ved-
rørende efterretningstjenester, samt lovens § 23, stk. 2, hvor-
af det følger, at Tilsynet med Efterretningstjenesternes virk-
somhed er undtaget fra persondataloven. Det foreslås såle-
des, at det i overensstemmelse med den gældende ordning i
lov om Center for Cybersikkerhed udtrykkeligt fremgår af
bestemmelserne, at centeret og tilsynet er undtaget fra hen-
holdsvis databeskyttelsesforordningen, databeskyttelseslo-
ven og lov om retshåndhævende myndigheders behandling
af personoplysninger.
Der foreslås endvidere en konsekvensændring af lovens
§ 8, stk. 2, hvor den gældende hjemmel til, at forsvarsmini-
steren kan sætte persondatalovens kapitel 8-10 i kraft for
Center for Cybersikkerheds behandling af anmodninger om
tilslutning til netsikkerhedstjenesten, centerets virksomhed
som myndighed for informationssikkerhed og beredskab på
teleområdet samt centerets personalesager, ændres til, at mi-
nisteren fremover vil kunne bestemme, at databeskyttelses-
forordningen og den nye databeskyttelseslov helt eller del-
vist skal finde anvendelse i de nævnte tilfælde.
3
Lovens øvrige bestemmelser om behandling af personop-
lysninger foreslås ikke ændret. Lovens kapitel 6 om behand-
ling af personoplysninger i Center for Cybersikkerhed vil
dermed blive videreført uændret. De bestemmelser i kapit-
let, der er baseret på den nuværende persondatalov, vil fort-
sat efter persondatalovens ophævelse skulle fortolkes i over-
ensstemmelse med forarbejder til og praksis efter personda-
taloven. Bestemmelserne vil dermed ikke skulle fortolkes i
lyset af reglerne i databeskyttelsesforordningen, den nye da-
tabeskyttelseslov samt fremtidig praksis herom.
Det foreslås desuden, at der tilføjes en ny bestemmelse i §
14, stk. 2, der tydeliggør, at personoplysninger, som Center
for Cybersikkerhed behandler i medfør af lov om Center for
Cybersikkerhed, kan overføres til opbevaring i arkiv efter
reglerne i arkivlovgivningen.
3. Økonomiske og administrative konsekvenser for det
offentlige
Lovforslaget har ikke økonomiske og administrative kon-
sekvenser for det offentlige.
4. Økonomiske og administrative konsekvenser for er-
hvervslivet mv.
Lovforslaget har ikke økonomiske og administrative kon-
sekvenser for erhvervslivet mv.
5. Administrative konsekvenser for borgerne
Lovforslaget har ikke administrative konsekvenser for
borgerne.
6. Miljømæssige konsekvenser
Lovforslaget har ikke miljømæssige konsekvenser.
7. Forholdet til EU-retten
Databeskyttelsesforordningen finder ikke anvendelse for
Center for Cybersikkerhed, jf. forordningens artikel 2, stk.
2, litra a.
8. Hørte myndigheder og organisationer mv.
Et udkast til lovforslaget har i perioden fra den 13. decem-
ber 2017 til den 15. januar 2018 været sendt i høring hos
følgende myndigheder og organisationer mv.:
Advokatrådet, Amnesty International, Danske Advokater,
Dansk Energi, Dansk Erhverv, Dansk Industri, Dansk Inter-
net Forum (DIFO), DANSK IT, Danske Regioner, Datatil-
synet, Den Danske Dommerforening, DI ITEK, DKCERT,
Domstolsstyrelsen, Institut for Menneskerettigheder, ISP
Sikkerhedsforum, IT-Branchen, IT-Politisk Forening, Justi-
tia, KL, PROSA, Præsidenten for Vestre Landsret, Præsi-
denten for Østre Landsret, Retspolitisk Forening, Rigsom-
budsmanden i Grønland, Rigsombudsmanden på Færøerne,
Rådet for Digital Sikkerhed, samtlige byretspræsidenter, Te-
leindustrien (TI) og Tilsynet med Efterretningstjenesterne.
9. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang)
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Ingen
Administrative konsekvenser for stat,
kommuner og regioner
Ingen Ingen
Økonomiske konsekvenser for er-
hvervslivet
Ingen Ingen
Administrative konsekvenser for er-
hvervslivet
Ingen Ingen
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Databeskyttelsesforordningen finder ikke anvendelse på Center for Cybersikker-
heds virksomhed, jf. forordningens artikel 2, stk. 2, litra a.
Overimplementering af EU-retlige mi-
nimumsforpligtelser
Ja Nej
X
4
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
Center for Cybersikkerheds virksomhed er i medfør af
persondatalovens § 2, stk. 10, (tidligere § 2, stk. 11), undta-
get fra persondataloven, hvilket ligeledes fremgår af § 8, stk.
1, i lov om Center for Cybersikkerhed.
Ved den nye databeskyttelseslovs ikrafttræden ophæves
persondataloven. Det følger af § 3, stk. 2, i den nye databe-
skyttelseslov, at loven og databeskyttelsesforordningen ikke
vil finde anvendelse på den behandling af personoplysning-
er, som udføres for eller af politiets og forsvarets efterret-
ningstjenester.
Som konsekvens heraf foreslås det at ændre henvisningen
til persondataloven i § 8, stk. 1, så der fremover henvises til
databeskyttelsesforordningen og databeskyttelsesloven, jf. §
3, stk. 2, i databeskyttelsesloven.
Det foreslås samtidig, at det af lovteksten udtrykkeligt
fremgår, at Center for Cybersikkerheds virksomhed ikke er
omfattet af lov nr. 410 af 27. april 2017 om retshåndhæven-
de myndigheders behandling af personoplysninger, som
trådte i kraft den 30. april 2017.
Der er alene tale om en lovteknisk konsekvensændring,
som ikke indebærer en ændring af gældende ret.
Til nr. 2
Det følger af § 8, stk. 2, i lov om Center for Cybersikker-
hed, at forsvarsministeren kan bestemme, at kapitel 8-10 i
persondataloven helt eller delvist finder anvendelse for Cen-
ter for Cybersikkerhed vedrørende centerets behandling af
anmodninger om tilslutning til netsikkerhedstjenesten, cen-
terets virksomhed som myndighed for informationssikker-
hed og beredskab på teleområdet og centerets personalesag-
er.
Som en konsekvens af den nye databeskyttelsesregulering
foreslås det, at forsvarsministeren fremover kan bestemme,
at databeskyttelsesforordningen og databeskyttelsesloven
helt eller delvis finder anvendelse for Center for Cybersik-
kerhed vedrørende centerets behandling af anmodninger om
tilslutning til netsikkerhedstjenesten, centerets virksomhed
som myndighed for informationssikkerhed og beredskab på
teleområdet og centerets personalesager. Det forudsættes, at
det som led heri tillige vil kunne bestemmes, at databeskyt-
telsesforordningen og databeskyttelsesloven helt eller delvis
finder anvendelse for de myndighedsopgaver vedrørende in-
formationssikkerhed, som Center for Cybersikkerhed måtte
blive tillagt som led i implementeringen af Europa-Parla-
mentets og Rådets direktiv 2016/1148 af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsni-
veau for net- og informationssystemer i hele Unionen (NIS-
direktivet).
Det forudsættes endvidere, at Forsvarsministeriet drøfter
de administrative regler udstedt i medfør heraf med Tilsynet
med Efterretningstjenesterne, og at Udvalget vedrørende Ef-
terretningstjenesterne underrettes, inden reglerne udstedes.
Til nr. 3
Der foreslås indsat en ny § 14, stk. 2, hvorefter personop-
lysninger, som Center for Cybersikkerhed behandler i med-
før af lov om Center for Cybersikkerhed, kan overføres til
opbevaring i arkiv efter reglerne i arkivlovgivningen.
Bestemmelsen er identisk med den nuværende § 14 i per-
sondataloven, og med indsættelsen af denne bestemmelse vil
det blive tydeliggjort, at den ordning, der i dag følger af per-
sondatalovens § 14, også gælder for Center for Cybersikker-
hed. Bestemmelsen skal forstås og fortolkes i overensstem-
melse med persondatalovens forarbejder og den relevante
praksis.
Til nr. 4
Det følger af § 23, stk. 2, i lov om Center for Cybersikker-
hed, at Tilsynet med Efterretningstjenesternes virksomhed
er undtaget fra persondataloven.
Som konsekvens af den nye databeskyttelsesregulering
foreslås det, at henvisningen til persondataloven erstattes af
en henvisning til databeskyttelsesforordningen og databe-
skyttelsesloven.
Det foreslås herudover, at det i lovteksten præciseres, at
Tilsynet med Efterretningstjenesternes virksomhed, i lighed
med Center for Cybersikkerheds virksomhed, ikke er omfat-
tet af lov om retshåndhævende myndigheders behandling af
personoplysninger.
Der er alene tale om en lovteknisk konsekvensændring,
som ikke indebærer en ændring af gældende ret.
Til § 2
Det foreslås, at loven træder i kraft den 25. maj 2018. Der-
med vil loven træde i kraft samtidig med, at databeskyttel-
sesforordningen finder anvendelse og den nye databeskyttel-
seslov forventes at træde i kraft, hvorefter persondataloven
ophæves.
Til § 3
Bestemmelsen vedrører lovens territoriale gyldighed.
Lov om Center for Cybersikkerhed gælder ikke for Færø-
erne og Grønland, men kan ved kongelig anordning sættes
helt eller delvis i kraft for Færøerne og Grønland med de
ændringer, som de færøske og grønlandske forhold tilsiger,
jf. lovens § 26.
På den baggrund indebærer den foreslåede bestemmelse,
at loven ikke gælder for Færøerne og Grønland, men at lo-
ven ved kongelig anordning helt eller delvis kan sættes i
kraft for Færøerne og Grønland med de ændringer, som de
færøske og grønlandske forhold tilsiger.
5
Bilag 1
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 1
I lov nr. 713 af 25. juni 2014 om Center for Cy-
bersikkerhed foretages følgende ændringer:
§ 8. Center for Cybersikkerheds virksomhed er
undtaget fra lov om offentlighed i forvaltningen
bortset fra lovens § 13. Center for Cybersikkerheds
virksomhed er endvidere undtaget fra forvaltnings-
lovens kapitel 4-6 og fra lov om behandling af per-
sonoplysninger, jf. § 2, stk. 11, i lov om behand-
ling af personoplysninger.
1. I § 8, stk. 1, 2. pkt., ændres »og fra lov om be-
handling af personoplysninger, jf. § 2, stk. 11, i lov
om behandling af personoplysninger« til: »og fra
databeskyttelsesloven og Europa-Parlamentets og
Rådets forordning nr. 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger, jf. § 3, stk. 2, i
databeskyttelsesloven, samt fra lov om retshånd-
hævende myndigheders behandling af personop-
lysninger, jf. § 1, stk. 2, i lov om retshåndhævende
myndigheders behandling af personoplysninger«.
Stk. 2. Forsvarsministeren kan bestemme, at ka-
pitel 8-10 i lov om behandling af personoplys-
ninger, lov om offentlighed i forvaltningen og for-
valtningslovens kapitel 4-6 helt eller delvis finder
anvendelse for Center for Cybersikkerhed vedrø-
rende
1) centerets behandling af anmodninger om til-
slutning til netsikkerhedstjenesten, jf. § 3, stk. 3,
2) centerets virksomhed som myndighed for in-
formationssikkerhed og beredskab på teleområdet
og
3) centerets personalesager.
2. I § 8, stk. 2, ændres »kapitel 8-10 i lov om be-
handling af personoplysninger« til: »databeskyttel-
sesloven, Europa-Parlamentets og Rådets forord-
ning nr. 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne
oplysninger«.
§ 14. --- 3. I § 14 indsættes som stk. 2:
»Stk. 2. Personoplysninger kan overføres til op-
bevaring i arkiv efter reglerne i arkivlovgivning-
en.«
§ 23. ---
Stk. 2. Tilsynets virksomhed er undtaget fra for-
valtningslovens kapitel 4-6 og fra lov om behand-
ling af personoplysninger.
4. I § 23, stk. 2, ændres »lov om behandling af per-
sonoplysninger« til: »databeskyttelsesloven og fra
Europa-Parlamentets og Rådets forordning nr.
2016/679 af 27. april 2016 om beskyttelse af fysi-
ske personer i forbindelse med behandling af per-
6
sonoplysninger og om fri udveksling af sådanne
oplysninger samt fra lov om retshåndhævende
myndigheders behandling af personoplysninger«.
§ 2
Loven træder i kraft den 25. maj 2018.
§ 3
Loven gælder ikke for Færøerne og Grønland,
men kan ved kongelig anordning helt eller delvis
sættes i kraft for Færøerne og Grønland med de
ændringer, som de færøske og grønlandske forhold
tilsiger.
7