L68/L69 - svar på spm. 87, om kommunernes praksis har ført til at personoplysninger er blevet genanvendt for lidt eller for meget i forhold til de gældende regler, fra justitsministeren

Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 87 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den
5. april 2018.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato: 17. april 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Nanna Due Binø
Sagsnr.: 2017-0037-0005
Dok.: 704211
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 87 , L 69 endeligt svar på spørgsmål 87
Offentligt
2
Spørgsmål nr. 87 fra Folketingets Retsudvalg efter ønske fra Josephine
Fock (ALT) vedrørende L 68 og L 69:
”Vil ministeren, i forlængelse af bemærkningerne til ministerens
ændringsforslag til § 23, hvoraf det fremgår, at formålet med be-
stemmelsen i § 5, stik. 3, er at give mulighed for at undgå den
konkrete vurdering af hvorvidt personoplysninger må genan-
vendes til andet formål, hvilket i praksis i bl.a. kommunerne har
været vanskelig og ført til forskellig praksis, redegøre for, om
kommunernes praksis har ført til at personoplysninger er blevet
genanvendt for lidt eller for meget i forhold til de gældende reg-
ler?”
Svar:
Justitsministeriet har forstået spørgsmålet således, at der spørges til, om mi-
nisteriet er bekendt med, om kommunerne har behandlet personoplysninger
i strid med persondatalovens § 5, stk. 2, 1. punktum, hvorefter indsamling
af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere
behandling ikke må være uforenelig med disse formål (finalité-princippet).
Som nævnt i pkt. 2 i besvarelsen af spørgsmål nr. 52 til L 68 og L 69 ved-
rørende bl.a. en konkret sag om Udenrigsministeriets videregivelse af op-
lysninger om evakuerede personer fra Libanon til kommuner er der efter
gældende praksis forholdsvis vide rammer for offentlige myndigheder til at
viderebehandle personoplysninger til andre formål.
Justitsministeriet er umiddelbart bekendt med én sag, hvor Datatilsynet har
vurderet, at finalité-princippet var overtrådt af en offentlig myndighed. Sa-
gen vedrørte forsvarets videregivelse af personaleoplysninger til Topdan-
mark til brug for markedsføring. I sagen lagde Datatilsynet vægt på, at de
videregivne oplysninger var indsamlet og blev behandlet for at administrere
et ansættelsesforhold, og at videregivelse til en privat virksomhed med hen-
blik på markedsføring ikke kunne anses som foreneligt med dette formål.
Datatilsynet lagde vægt på, at det ikke kunne antages at stå Forsvarets an-
satte klart, at oplysninger, der afgives i forbindelse med et ansættelsesfor-
hold, kan blive videregivet til en privat virksomhed til brug for markedsfø-
ring. Datatilsynet fandt ikke, at videregivelsen var i overensstemmelse med
persondatalovens § 5 om bl.a. finalité-princippet.


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål 52 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den
11. januar 2018.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato: 9. februar 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Anders Lotterup
Sagsnr.: 2017-0037-0005
Dok.: 627514
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 87 , L 69 endeligt svar på spørgsmål 87
Offentligt
2
Spørgsmål 52 fra Folketingets Retsudvalg efter ønske fra Josephine
Fock (ALT) vedrørende L 68 og L 69:
”Vil ministeren redegøre for, om det er korrekt forstået – som anført
af Dr. Jur.Niels Fenger i Forvaltningsloven med kommentarer, 2013,
s. 783 ff – at det databeskyttelsesretlige formålsbestemthedsprincip
(finalité-princip) meget sjældent sætter grænser for myndighedernes
genbrug af borgernes persondata i forbindelse med behandling af sa-
ger?”
Svar:
1. Det følger af forordningens artikel 5, stk. 1, litra b, at personoplysninger
skal indsamles til udtrykkeligt angivne og legitime formål og ikke må vide-
rebehandles på en måde, der er uforenelig med disse formål (det såkaldte fi-
nalité-princip). Denne forordningsbestemmelse er medtaget i lovforslagets
§ 5, stk. 1, og kendes allerede fra den gældende persondatalovs § 5, stk. 2.
Bestemmelsen indebærer, at de oplysninger, som den dataansvarlige måtte
indsamle, ikke frit vil kunne genbruges, videregives mv. Der vil således hel-
ler ikke frit kunne videregives oplysninger inden for f.eks. den offentlige
forvaltning. I det omfang genbrug, udveksling mv. ikke er uforenelig med
det eller de formål, hvortil oplysningerne er indsamlet af den dataansvar-
lige, vil der dog være mulighed herfor. I hvilket omfang dette er tilfældet,
vil bero på en konkret vurdering i den enkelte situation.
I vurderingen af, om en ny behandling ikke er ”uforenelig” med det oprin-
delige formål, skal alle relevante omstændigheder vurderes. Her skal der
særligt lægges vægt på forholdet mellem det oprindelige formål og genbe-
handlingsformålet samt sammenhængen, hvori personoplysningerne er ble-
vet indsamlet. Endvidere skal der særligt lægges vægt på en vurdering af, i
hvilket omfang den registrerede med rimelighed må forvente genbehand-
ling, typen af personoplysninger, og den indflydelse genbehandlingen vil få
for den registrerede samt sikkerhedsgarantier, som er vedtaget af den data-
ansvarlige for at sikre en rimelig behandling og for at hindre unødig ind-
virkning på den registrerede. Det følger af lovforslagets § 5, stk. 2, jf. for-
ordningens artikel 6, stk. 4.
Vurderingen af foreneligheden efter den gældende persondatalovs § 5, stk.
2, svarer nogenlunde til vurderingen efter forordningens artikel 5, stk. 1, li-
tra b, jf. betænkning nr. 1565/2017 om databeskyttelsesforordningen, side
97.
3
2. Som det fremgår af svaret på spørgsmål 4 til L 68 og L 69, er der efter
gældende praksis forholdsvis vide rammer for offentlige myndigheder – i
modsætning til private aktører, hvor rammerne i praksis er snævrere – til at
viderebehandle personoplysninger til andre formål.
Der kan i den forbindelse bl.a. henvises til Henrik Waaben og Kristian Kor-
fits Nielsen, Lov om behandling af personoplysninger med kommentarer, 3.
udgave (2015), side 202f og 226f, hvor det fremgår, at der som oftest ikke
vil være noget til hinder for, at oplysninger videregives til andre offentlige
myndigheder, som har behov for oplysningerne i deres sagsbehandling. For-
fatterne nævner her som eksempel fra Datatilsynets praksis en sag (Dt.s j.nr.
2006-321-0486), hvori Udenrigsministeriet anmodede tilsynet om en for-
håndstilkendegivelse vedrørende spørgsmålet om, hvorvidt ministeriet på
baggrund af oplysninger i et register (modtaget fra politiet), hvori navn og
personnummer på evakuerede personer fra Libanon var opført, kunne enten
be- eller afkræfte om en bestemt person var opført i registeret over for bl.a.
kommuner, der ønskede at kontrollere, om den pågældende person havde
begået socialt bedrageri. Datatilsynet endte med at acceptere, at kommuner-
nes videreanvendelse af personoplysninger med henblik på at kontrollere
for socialt bedrageri var foreneligt med indsamlingsformålet, der var at
evakuere de pågældende danske statsborgere.
Datatilsynet udtalte således, at Udenrigsministeriet lovligt kunne af- eller
bekræfte, om en bestemt person var opført i registret, når blot den anmo-
dende kommune kunne godtgøre, at den havde hjemmel til at foretage en
sådan kontrol af enkeltpersoner. Udenrigsministeriet kunne også videregive
hele registret til en kommune, der anmodede derom, såfremt kommunen
selv opfyldte betingelserne for at kunne sammenstille og samkøre personop-
lysninger i kontroløjemed – dvs. den modtagende myndighed skulle have et
klart og utvetydigt retsgrundlag, som giver lovhjemmel til at foretage sam-
menstilling eller samkøring i kontroløjemed – og såfremt myndigheden for-
udgående havde informeret de persongrupper, der blev berørt af kontrollen,
om muligheden for at foretage en generel kontrol.
Det bemærkes i den forbindelse, at lovforslaget (L 68) ikke ændrer ved, at
den modtagende myndighed – dvs. kommunerne i eksemplet ovenfor, der
modtog oplysninger fra Udenrigsministeriet – skal overveje sin oplysnings-
pligt. Som anført bl.a. i svarene på spørgsmål 4 og 20 til L 68 og L 69, skal
den myndighed, der modtager oplysninger fra en afgivende myndighed,
selvstændigt sikre sig, at der sker underretning af den registrerede i overens-
4
stemmelse med forordningens oplysningspligt – det ændrer hverken lovfor-
slagets § 5, stk. 3, eller § 23 på.
Der er også praksis, der viser, at der er grænser for, hvornår det nye formål
er foreneligt med det oprindelige formål. Som det anføres i Henrik Waaben
og Kristian Korfits Nielsen, Lov om behandling af personoplysninger med
kommentarer, 3. udgave (2015), side 204, må det eksempelvis antages, at
personoplysninger fra personalesager som altovervejende hovedregel ikke
uden den registreredes samtykke kan anvendes til andre formål end perso-
naleadministration. Der henvises i den forbindelse til, at Datatilsynet har gi-
vet udtryk for, at Forsvarets Personeltjeneste tilsidesatte finalité-princippet
i persondatalovens § 5, stk. 2, ved at videregive oplysninger om ansatte til
Topdanmark til brug for forsikringsselskabets markedsføring, jf. Datatilsy-
nets udtalelse j.nr. 2008-632-0034.
Det bemærkes, at videregivelse til andre formål end de formål, hvortil op-
lysningerne oprindeligt er indsamlet, i øvrigt skal ske i overensstemmelse
med de materielle behandlingsregler i databeskyttelsesforordningen, særligt
artikel 6, 9 og 10, og forslaget til ny databeskyttelseslov (L 68), særligt §§
6-8.
3. Som også nævnt under samrådet den 23. januar 2018 i forbindelse med
besvarelsen af samrådsspørgsmål A, og som det bl.a. fremgår af svaret på
spørgsmål 4 til L 68 og L 69, medfører den konkrete vurdering af, om to
formål er ”forenelige” erfaringsmæssigt tvivl hos myndigheder og forskel-
lig praksis i f.eks. kommunerne for, om en viderebehandling må ske i en
konkret situation på et bestemt lovområde.
Med lovforslagets § 5, stk. 3, lægges der derfor op til – inden for de databe-
skyttelsesretlige rammer – at tydeliggøre den adgang til videreanvendelse
og genbrug af oplysninger, som følger af databeskyttelsesforordningen, ved
at fastsætte en særlig bestemmelse om formålsbestemthed.
Dette vil bidrage til at skabe mere åbenhed for borgerne, når de på forhånd
vil kunne orientere sig i, om en given viderebehandling kan ske til et andet
formål end det oprindelige, ligesom det set fra myndighedens side vil skabe
et sikkert retligt grundlag for viderebehandling.
En udnyttelse af bemyndigelsen i lovforslagets § 5, stk. 3, kan således gøre
op med denne tvivl ved præcist at fastlægge, i hvilke tilfælde der lovligt kan
5
ske viderebehandling i en kommune eller mellem kommunerne, og i hvilke
tilfælde der ikke kan.
4. Specifikt for så vidt angår den behandling af personoplysninger, der be-
står i sammenstilling eller samkøring i kontroløjemed, henledes opmærk-
somheden på lovforslagets afsnit 2.3.2.3.4. Som det fremgår heraf, kræver
samkøring af personoplysninger i kontroløjemed efter praksis særskilt lov-
hjemmel. Det følger således af en tilkendegivelse fra Retsudvalgets flertal i
betænkningen over lovforslag nr. L 50 af 16. januar 1991 om ændring af lov
om offentlige myndigheders registre og tidligere praksis fra Registertilsy-
net, som er videreført af Datatilsynet, at der ved samkøring i kontroløjemed
stilles krav om, at samkøringen sker på et klart og utvetydigt retsgrundlag,
hvilket i praksis vil sige på grundlag af direkte lovhjemmel, ligesom der stil-
les krav om, at de berørte personer har fået meddelelse om kontrollen, in-
den de afgiver oplysninger til myndigheden.
Som det også anføres i lovforslagets afsnit 2.3.2.3.4, er det med forslaget
ikke længere en forudsætning, at samkøring af personoplysninger i kon-
troløjemed skal have hjemmel særskilt i en lov. Det skyldes, at det er Ju-
stitsministeriets vurdering, at særligt databeskyttelsesforordningens artikel
5 og artikel 6, stk. 4, om principper for behandling af personoplysninger,
herunder proportionalitetsprincippet og princippet om formålsbegrænsning,
yder en tilstrækkelig stærk beskyttelse til de registrerede samtidigt med, at
forordningen sikrer rum for offentlige myndigheders saglige behov for at
kunne samkøre personoplysninger i kontroløjemed.
Efter databeskyttelsesforordningen vil samkøring i kontroløjemed således
skulle leve op til de almindelige principper og regler om behandling. Da
samkøring i kontroløjemed per definition vil være en indgribende behand-
lingssituation, vil sådan en behandling skærpe kravene til overholdelse af
bl.a. forordningens artikel 5 om de grundlæggende principper for behand-
ling af personoplysninger, herunder ikke mindst proportionalitetsprincippet.
Der henvises om de fremhævede principper til betænkning nr. 1565/2017
om databeskyttelsesforordningen, side 93-99.
5. Hvis samkøring af personoplysninger i kontroløjemed foretages på bag-
grund af en bekendtgørelse efter § 5, stk. 3, i L 68, sikres borgers rettighe-
der med henvisningen i bestemmelsen til databeskyttelsesforordningens ar-
tikel 23, der medfører, at der skal opstilles garantier for de registreredes ret-
tigheder.
6
Som anført bl.a. i svaret på spørgsmål 4 til L 68, vil det således eksempel-
vis være relevant i bekendtgørelsen specifikt at regulere, hvilke formål der
kan ske videreanvendelse til, og hvilke formål der ikke kan ske viderean-
vendelse til. Det vil også være relevant at fastsætte bestemmelser om, hvor
lang tid personoplysningerne må opbevares, ligesom der skal fastsættes reg-
ler, som sikrer, at videreanvendte oplysninger ikke kan misbruges.
Desuden er der fortsat en lang række andre garantier for at beskytte person-
data, herunder skal borgeren partshøres efter forvaltningsloven, før f.eks. en
kommune kan træffe afgørelse om at nedsætte en ydelse. Herudover er det
en følge af forordningens artikel 32 om behandlingssikkerhed, at myndig-
heder – ligesom i dag – skal sikre sig, at personoplysninger ikke er tilgæn-
gelige for de personer, som ikke er beskæftiget med de formål, hvortil op-
lysningerne behandles. Det gælder efter Datatilsynets praksis i særdeleshed
for fortrolige og følsomme oplysninger. Disse garantier vil fortsat og uæn-
dret gælde.
Der opstilles med lovforslaget således konkrete garantier, der skal iagttages,
inden der kan ske samkøring af personoplysninger i kontroløjemed.
6. For så vidt angår lovforslagets § 23 i L 68 om myndighedernes fornyede
oplysningspligt, når der viderebehandles oplysninger på baggrund af en be-
kendtgørelse efter § 5, stk. 3, henvises til det samtidige fremsendte æn-
dringsforslag til bestemmelsen.