L68/L69 - svar på spm. 91 om, hvordan kan ministeren være sikker på, at offentlige myndigheders viderebehandling af personoplysninger ikke strider imod de grundlæggende principper i databeskyttelsesforordningen, fra justitsministeren

Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål nr. 91 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Eva Flyvholm (EL) har stillet til justitsministeren den 5.
april 2018.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato: 17. april 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Nanna Due Binø
Sagsnr.: 2017-0037-0005
Dok.: 704178
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 91 , L 69 endeligt svar på spørgsmål 91
Offentligt
2
Spørgsmål nr. 91 fra Folketingets Retsudvalg efter ønske fra Eva Flyv-
holm (EL) vedrørende L 68 og L 69:
”Hvordan kan ministeren være sikker på, at offentlige myndig-
heders viderebehandling af personoplysninger – som samkøring
af registre med henblik på at pointgive familier – ikke strider
imod de grundlæggende principper i databeskyttelsesforordnin-
gen, om ikke at indsamle flere data end nødvendigt?”
Svar:
Justitsministeriet kan oplyse, at hvis der udstedes en bekendtgørelse som
beskrevet i initiativet fra Børne- og Socialministeriet i besvarelsen af
spørgsmål nr. 71 til L 68 og L 69, skal der i øvrigt være hjemmel til al be-
handling af personoplysninger. Derudover skal al behandling af personop-
lysninger også overholde de grundlæggende principper i databeskyttelses-
forordningen.
For nærmere herom henvises til besvarelsen af spørgsmål nr. 4 og 52 samt
ændringsforslag af 9. februar 2018 til lovforslag nr. L 68 (bilag 20).


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål 71 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Eva Flyvholm (EL), har stillet til justitsministeren den
16. marts 2018.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato: 23. marts 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Neda Marica
Sagsnr.: 2017-0037-0005
Dok.: 690145
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 91 , L 69 endeligt svar på spørgsmål 91
Offentligt
2
Spørgsmål 71 fra Folketingets Retsudvalg efter ønske fra Eva Flyvholm
(EL) vedrørende L 68 og L 69:
”Vil ministeren redegøre for, om det bliver op til den enkelte
kommune at beslutte, hvilke familier der skal profileres, jf. re-
geringens udspil om opsporing af udsatte børn, der indgår i re-
geringens ghettoudspil?”
Svar:
1. Det følger af § 5, stk. 3, i forslaget til databeskyttelseslov (L 68), at ved-
kommende minister efter forhandling med justitsministeren og inden for
rammerne af databeskyttelsesforordningens artikel 23 kan fastsætte nær-
mere regler om, at personoplysninger af offentlige myndigheder må videre-
behandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt
af formålenes forenelighed.
Der henvises til svarene på bl.a. spørgsmål 4 og 52 samt ændringsforslag af
9. februar 2018 (bilag 20) til L 68 og L 69, hvor der nærmere er redegjort
for overvejelserne bag og rammerne for lovforslagets § 5, stk. 3.
2. Justitsministeriet har til brug for besvarelsen indhentet et bidrag fra
Børne- og Socialministeriet – under hvis ressort det i spørgsmålet nævnte
initiativ om opsporing af udsatte børn hører – der udtaler følgende:
”Regeringen vil med initiativet give kommunerne mulighed for
at bruge deres eksisterende data til tidligt at opspore ud-
satte børn ved at samkøre data fra forskellige forvaltninger og
dermed kunne hjælpe udsatte børn tidligere.
Initiativet skal bidrage til en tidlig opsporing af udsatte børn og
dermed udgøre et supplement til de eksisterende muligheder for
tidlig opsporing, herunder underretningsreglerne.
Regeringen lægger op til at give kommunerne en mulighed for
at lave databaseret opsporing alene med det formål at opspore
udsatte børn.
Grundlaget for denne mulighed påtænkes at være en bekendtgø-
relse, der skal udstedes i medfør af databeskyttelsesloven, som i
øjeblikket forhandles i Folketinget i regi af Justitsministeriet.
Regeringen har endnu ikke taget stilling til den konkrete ud-
formning af modellen. Når Folketingets behandling af databe-
3
skyttelsesloven er afsluttet, og lovens endelige udformning der-
med er på plads, vil Børne- og Socialministeriet udforme en
konkret model. Herefter vil børne- og socialministeren invitere
Folketingets partier til en drøftelse af modellen.”


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål 4 vedrørende forslag til lov om sup-
plerende bestemmelser til forordning om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love. (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg har stillet til justitsministeren den 22. november 2017.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg Slot 1
1218 København K
Dato: 8. december 2017
Kontor: Databeskyttelseskontoret
Sagsbeh: Anders Lotterup
Sagsnr.: 2017-0037-0005
Dok.: 585389
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 91 , L 69 endeligt svar på spørgsmål 91
Offentligt
2
Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69:
”Vil ministeren overveje at ændre forslagets punkter vedrørende
• regler for myndighedernes videreanvendelse af oplysninger til
andre formål, end de oprindeligt er indsamlet til,
• regler for oplysningspligt herom samt
• regler om, at bemyndigelse fastsættes på bekendtgørelsesni-
veau mellem justitsministeren og ressortministeren, således at
man med lovforslaget afholder sig fra at udnytte muligheden for
nationale særregler på området i det brede omfang, ministeren
har valgt i lovforslaget?
Svar:
1. Der skal være hjemmel til al behandling af personoplysninger. Hjemlen
kan findes særligt i lovforslagets (L 68) §§ 6-14 med henvisningerne heri til
databeskyttelsesforordningens artikel 6, stk. 1, og artikel 9, stk. 2.
2. Udover, at der skal være et hjemmelsgrundlag for behandlingen, skal al
behandling af personoplysninger også overholde de grundlæggende princip-
per i databeskyttelsesforordningens artikel 5, herunder at behandling af op-
lysninger skal være tilstrækkelig, relevant og begrænset til, hvad der er nød-
vendigt i forhold til de formål, hvortil de behandles, jf. artikel 5, stk. 1, litra
c.
Det følger også af forordningens artikel 5, at personoplysninger skal ind-
samles til udtrykkeligt angivne og legitime formål og ikke må viderebehand-
les på en måde, der er uforenelig med disse formål, jf. stk. 1, litra b (det så-
kaldte finalité-princip). Denne forordningsbestemmelse er medtaget i lov-
forslagets § 5, stk. 1, og kendes allerede fra gældende ret efter persondata-
lovens § 5, stk. 2, hvorefter indsamling af oplysninger skal ske til udtrykke-
ligt angivne og saglige formål, og senere behandling må ikke være uforene-
lig med disse formål.
Selvom der er hjemmel til behandling af personoplysninger, er der således
grænser for, hvilke andre, senere formål personoplysninger kan anvendes
til.
I databeskyttelsesforordningens artikel 6, stk. 4, præciseres det, at der er tre
muligheder for, hvornår en viderebehandling af personoplysninger er lovlig
3
og i overensstemmelse med artikel 5, stk. 1, litra b, og dermed lovforslagets
§ 5, stk. 1.
En viderebehandling er således lovlig, hvis den for det første er baseret på
et samtykke til viderebehandlingen, hvis den for det andet bygger på en be-
stemmelse i EU-retten eller medlemsstaternes nationale ret i overensstem-
melse med artikel 23, stk. 1, eller hvis viderebehandlingen for det tredje for-
følger et formål, der ikke er uforeneligt med det oprindelige indsamlings-
formål på baggrund af ”ikke-uforenelighedstesten” i artikel 6, stk. 4, 2. led,
litra a-e.
Den nævnte anden mulighed for viderebehandling, bl.a. på baggrund af en
bestemmelse i national ret om viderebehandling, danner baggrund for lov-
forslagets § 5, stk. 3, der omtales nedenfor (punkt 3-7). Den nævnte tredje
mulighed for viderebehandling på baggrund af en ”ikke-uforenelighedstest”
er medtaget i lovforslagets § 5, stk. 2, og omtales umiddelbart nedenfor.
Den tredje mulighed betyder, at den dataansvarlige på baggrund af »testen«
i artikel 6, stk. 4, 2. led, litra a-e, kan foretage en vurdering af, hvornår en
viderebehandling er forenelig med det formål, som personoplysningerne op-
rindeligt blev indsamlet til. Det fremgår således af forordningens art. 6, stk.
4, 2. led, litra a-e, og betragtning 50, 1. afsnit, 5. pkt., at for at afgøre om et
andet behandlingsformål er foreneligt med det formål, som personoplysnin-
gerne oprindeligt blev indsamlet til, skal den dataansvarlige bl.a. tage hen-
syn til enhver forbindelse mellem det formål, som personoplysningerne er
indsamlet til, og formålet med den påtænkte viderebehandling, den sam-
menhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hen-
syn til forholdet mellem den registrerede og den dataansvarlige, personop-
lysningernes art, navnlig om særlige kategorier af personoplysninger be-
handles, jf. art. 9, eller om personoplysninger vedrørende straffedomme og
lovovertrædelser behandles, jf. art. 10, den påtænkte viderebehandlings mu-
lige konsekvenser for de registrerede og tilstedeværelse af fornødne garan-
tier, som kan omfatte kryptering eller pseudonymisering.
Hvis en behandling således på baggrund af testen ikke er uforenelig med det
oprindelige behandlingsformål, kan behandlingen lovligt ske på baggrund
af og inden for rammerne af det oprindelige hjemmelsgrundlag.
3. Det fremgår af lovforslagets § 5, stk. 3, at vedkommende minister efter
forhandling med justitsministeren – uanset § 5, stk. 1 og 2 – og inden for
rammerne af databeskyttelsesforordningens artikel 23 kan fastsætte nær-
4
mere regler om, at personoplysninger af offentlige myndigheder må videre-
behandles til andre formål, end de oprindeligt var indsamlet til, uafhængigt
af formålenes forenelighed.
Baggrunden for forslaget er bl.a., at regeringen ønsker, at det offentlige kan
videreanvende og genbruge data på en effektiv, åben og transparent måde,
der stadig lever op til kravene om databeskyttelse.
Samtidig skal der skabes rammer for en effektiv datadeling, så borgerne og
virksomhederne kan få en mere effektiv sagsbehandling og mere målrettede,
sammenhængende indsatser, der virker bedre for den enkelte. Lovforslagets
§ 5, stk. 3, skal bidrage til, at borgere og virksomheder får bedre og hurti-
gere afgørelser samt målsætningen om, at borgere og virksomheder i videst
muligt omfang kun skal afgive samme oplysning én gang til den offentlige
sektor. Det giver samtidig medarbejdere i det offentlige mere tid til kerne-
opgaven og fremmer en mere sammenhængende offentlig sektor.
Med lovforslagets § 5, stk. 3, lægges der derfor op til – inden for de databe-
skyttelsesretlige rammer – at tydeliggøre den adgang til videreanvendelse
og genbrug af oplysninger, som følger af databeskyttelsesforordningen, ved
at fastsætte en særlig bestemmelse om formålsbestemthed.
Dette vil bidrage til at skabe mere åbenhed for borgerne, når de på forhånd
vil kunne orientere sig i, om en given viderebehandling kan ske til et andet
formål end det oprindelige, ligesom det set fra myndighedens side vil skabe
et sikkert retligt grundlag.
Vurderingen af, om der efter den ovenfor nævnte gældende persondatalovs
§ 5, stk. 2, eller databeskyttelsesforordningens artikel 5, stk. 1, litra b (lov-
forslagets § 5, stk. 2), kan ske viderebehandling til nye formål, der ikke er
uforenelige med de oprindelige formål, forudsætter i udgangspunktet en
konkretiseret vurdering. Der opstår på den baggrund erfaringsmæssigt for-
skellig praksis i f.eks. kommunerne for, om en viderebehandling må ske i
en konkret situation på et bestemt lovområde.
En udnyttelse af bemyndigelsen i lovforslagets § 5, stk. 3, kan gøre op med
den tvivl ved præcist at fastlægge i hvilke tilfælde, der lovligt kan ske vide-
rebehandling i en kommune eller mellem kommunerne, og i hvilke tilfælde
der ikke kan.
5
4. Der kan som eksempel på anvendelse af bemyndigelsen i stk. 3 nævnes
”borgeroversigter” til segmentering og udsøgning af borgere, der modtager
ydelser på tværs af flere forvaltningsområder. Endvidere kan bemyndigel-
sen bidrage til, at kommunale sagsbehandlere i jobcentrene med udgangs-
punkt i en konkret borger kan få adgang til et overblik over, hvilke ydelser
og indsatser borgeren modtager på tværs af forvaltningerne i kommunen.
5. Efter ordlyden af lovforslagets § 5, stk. 3, kan bemyndigelsen anvendes
til at fastsætte regler om, at offentlige myndigheder må viderebehandle per-
sonoplysninger til andre formål, end de oprindeligt var indsamlet til, ”uaf-
hængigt af formålenes forenelighed.”
I det omfang bemyndigelsesbestemmelsen vil blive brugt til at fastsætte reg-
ler om viderebehandling til forenelige formål, er der tale om en viderebe-
handling af oplysninger, der i forvejen var mulighed for ved anvendelse af
”ikke-uforenelighedstesten” (finalité-princippet) i databeskyttelsesforord-
ningens artikel 6, stk. 4, 2. afsnit, jf. lovforslagets § 5, stk. 2.
En udnyttelse af bemyndigelsesbestemmelsen i disse tilfælde vil bidrage til
åbenheden og klarhed omkring videreanvendelsen af personoplysninger,
hvilket ikke mindst i grænsetilfældene eller i de tilfælde, hvor myndigheder
anlægger en forskellig fortolkning af, hvad en konkret anvendelse af fina-
lité-princippet fører til, vil være til stor gavn for borgerne og myndighe-
derne, da der vil blive skabt et mere sikkert og gennemsigtigt grundlag for
videreanvendelsen.
Det bemærkes, at der efter gældende praksis er forholdsvise vide rammer
for offentlige myndigheder – i modsætning til private aktører, hvor ram-
merne i praksis er snævrere – til at viderebehandle personoplysninger til an-
dre formål.
6. I det omfang bemyndigelsesbestemmelse vil blive brugt til at fastsætte
regler om viderebehandling til formål, der kan siges ikke at være forenelige
med det oprindelige formål, eller hvor der er tvivl om foreneligheden, er der
en række mekanismer i forordningen, som sikrer beskyttelse af de registre-
redes rettigheder, ligesom lovforslagets § 5, stk. 3, i sig selv indeholder væ-
sentlige indskrænkninger i muligheden for at fastsætte regler efter bestem-
melsen.
Bemyndigelsesbestemmelsen i forslagets § 5, stk. 3, finder således udtryk-
kelig ikke anvendelse på behandling af oplysninger i medfør af lovforsla-
6
gets § 10 om rammerne og begrænsningerne for behandling af oplysninger
med henblik på at udføre statistiske eller videnskabelige undersøgelser af
væsentlig samfundsmæssig betydning.
Derudover kan bemyndigelsesbestemmelsen heller ikke anvendes til at fast-
sætte regler om viderebehandling til formål, der ikke er forenelige med det
oprindelige formål, hvis der er tale om helbredsoplysninger og genetiske,
der er følsomme personoplysninger omfattet af forordningens artikel 9, i det
omfang disse følsomme oplysninger er indsamlet i medfør af sundhedslov-
givningen eller i medfør af lovforslagets § 7, stk. 3, om bl.a. nødvendig be-
handling af personoplysninger henblik på forebyggende sygdomsbekæm-
pelse, medicinsk diagnose, sygepleje eller patientbehandling.
Denne begrænsning betyder eksempelvis, at videreanvendelse af oplysnin-
ger, som en læge på et hospital eller i en lægepraksis indsamler om en pa-
tient til brug for behandling af patienten, alene kan reguleres efter bemyn-
digelsesbestemmelsen i det omfang, der er tale om videreanvendelse til for-
mål, der er forenelige med det oprindelige formål (dvs. patientbehandling).
Det skal herudover bemærkes, at det er en forudsætning for anvendelsen af
bemyndigelsesbestemmelsen i lovforslagets § 5, stk. 3, at den ikke anven-
des til udstedelse af regler, der strider mod andre regler, f.eks. en særlig lov-
bestemt tavshedspligt omfattet af § 35 i lov om offentlighed i forvaltningen
– såsom skatteforvaltningslovens § 17, sundhedslovens § 40 og folkeskole-
lovens § 55 b – eller regler om, at en videregivelse af oplysninger alene må
finde sted på bestemte betingelser.
Eksempelvis følger det af den nævnte § 55 b i folkeskoleloven, at testre-
sultaterne i de nationale test er fortrolige. Der er med bestemmelsen tale om
en særlig tavshedspligt, og bemyndigelsen i lovforslagets § 5, stk. 3, kan så-
ledes ikke anvendes til at fastsætte regler om en viderebehandling af perso-
noplysninger, der ville være i strid med tavshedspligten i folkeskolelovens
§ 55 b. En sådan viderebehandling ville i stedet kræve en lovændring af be-
stemmelsen i folkeskoleloven.
Det er Justitsministeriets opfattelse, at der er væsentlige områder, hvor mu-
ligheden for at fastsætte regler om videreanvendelse af oplysninger, således
allerede er undtaget fra bestemmelsen. Hvis man på disse områder ønsker at
fastsætte regler om videreanvendelse af oplysningerne til formål, der er
uforenlige med de oprindelige, vil det kræve en lovændring.
7
7. I de tilfælde, hvor der er tale om viderebehandling til et formål, der ikke
er foreneligt med det oprindelige formål, eller hvor der er tvivl om forene-
ligheden, sikrer henvisningen i forslagets § 5, stk. 3, til databeskyttelsesfor-
ordningens artikel 23, at der er snævre grænser for brugen af lovforslagets
§ 5, stk. 3, og at der i den forbindelse tages behørig hensyn databeskyttelse
og de registreredes rettigheder.
Forordningens artikel 23 giver således mulighed for at begrænse bl.a. for-
ordningens artikel 5, herunder finalité-princippet. Der er dog efter bestem-
melsen en række strenge krav til en sådan begrænsning, der skal respektere
det væsentligste indhold af de grundlæggende rettigheder og frihedsrettig-
heder og skal være en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund.
Enhver konkret udnyttelse af bemyndigelsen i stk. 3 skal således ligge in-
den for mindst én af litraerne i litra a til j i artikel 23, stk. 1, i forordningen,
hvor eksempelvis litra e giver mulighed for at begrænse rettighederne af
hensyn til en medlemsstats væsentlige økonomiske interesser.
Når bemyndigelsen i lovforslagets § 5, stk. 3, udnyttes, skal bekendtgørel-
sen også leve op til kravene i forordningens artikel 23, stk. 2, hvorefter en-
hver lovgivningsmæssig foranstaltning, der er omhandlet i artikel 23 stk. 1,
som minimum, hvor det er relevant, skal indeholde specifikke bestemmel-
ser vedrørende de i stk. 2, litra a-h, angivne krav.
Det vil således eksempelvis være relevant i bekendtgørelsen specifikt at re-
gulere, hvilke formål der kan ske videreanvendelse til, og hvilke formål der
ikke kan ske videreanvendelse til. Det vil også være relevant at fastsætte be-
stemmelser om, hvor lang tid personoplysningerne må opbevares, ligesom
der skal fastsættes regler, som sikrer, at videreanvendte oplysninger ikke
kan misbruges.
Regler fastsat efter lovforslagets § 5, stk. 3, må forventes ofte at blive af tek-
nisk præget karakter, og på den baggrund er det nærliggende, at sådanne
regler fastsættes i bekendtgørelsesform.
Det skal også nævnes, at Datatilsynet som uafhængig tilsynsmyndighed på
forhånd skal udtale sig om bekendtgørelser efter § 5, stk. 3, herunder om
forholdet til forordningen og beskyttelsen af personoplysninger i øvrigt, jf.
lovforslagets § 28.
8
Som det fremgår af bemærkningerne til forslagets § 28, skal Datatilsynet i
forbindelse med høringen udtale sig om, hvorvidt de påtænkte retsforskrif-
ter mv. efter tilsynets opfattelse giver anledning til betænkeligheder i for-
hold til forordningen og dette lovforslag eller i øvrigt i relation til beskyttel-
sen af de registreredes privatliv.
Justitsministeriet vil i øvrigt løbende overvåge brugen af bemyndigelsen i
stk. 3 og føre en liste over bekendtgørelser udstedt i medfør af bestemmel-
sen.
8. Det følger af databeskyttelsesforordningens artikel 13, stk. 3, og artikel
14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplys-
ningerne til et andet formål end det, hvortil de er indsamlet, giver den data-
ansvarlige forud for denne viderebehandling den registrerede oplysninger
om dette andet formål og andre relevante yderligere oplysninger. Der er så-
ledes tale om en fornyet oplysningspligt i forhold til oplysningspligten, der
i øvrigt følger af artikel 13, stk. 1 og 2, og artikel 14, stk. 1 og 2.
Oplysningspligten i forordningens artikel 13 og 14 er en central rettighed
for den registrerede, der giver mulighed for at blive orienteret herom, når en
dataansvarlig behandler oplysninger om én.
Set fra den dataansvarliges side kan den fornyede oplysningspligt, der nu
følger af forordningens artikel 13, stk. 3, og artikel 14, stk. 4, opleves som
administrativ byrdefuld. Samtidig synes det tvivlsomt, om en fornyet oplys-
ningspligt i denne situation reelt vil skabe større retssikkerhed for den regi-
strerede.
Det er på denne baggrund Justitsministeriets vurdering, at det er forsvarligt
– inden for rammerne af forordningens artikel 23 – at begrænse alene den
fornyede oplysningspligt efter forordningens artikel 13, stk. 3, og artikel 14,
stk. 4, i det omfang vedkommende minister har udnyttet bemyndigelsen i
lovforslagets § 5, stk. 3, og i bekendtgørelsesform bestemt, at en nærmere
angiven viderebehandling af personoplysninger lovligt skal kunne finde sted
i den offentlige forvaltning.
Der er derfor indsat en bestemmelse herom i lovforslagets § 23.
Det bemærkes, at lovforslagets § 23 alene lægger op til at begrænse oplys-
ningspligten for den dataansvarlige (myndigheden), der allerede én gang har
opfyldt sin oplysningspligt over for den registrerede efter databeskyttelses-
9
forordningens artikel 13, stk. 1-2, eller artikel 14, stk. 1-2. Hvis den pågæl-
dende dataansvarlige videregiver oplysninger på baggrund af en bekendtgø-
relse udstedt efter lovforslagets § 5, stk. 3, til en anden dataansvarlig (en an-
den myndighed), skal sidstnævnte dataansvarlig selv sikre sig, at vedkom-
mende lever op til oplysningspligten.
Der henvises vedrørende dette spørgsmål i det hele til lovforslagets afsnit
2.3.1.2., 2.3.1.3. og 2.4.3.5 samt bemærkningerne til forslagets § 5, stk. 3,
og § 23.
9. På den baggrund er det Justitsministeriets opfattelse, at der med bemyn-
digelsesbestemmelsen i lovforslagets § 5, stk. 3, er fundet den rette balance
mellem behovet for effektiv og gennemsigtig udveksling af oplysninger i
den offentlige forvaltning samtidigt med, at der fortsat er en høj beskyttelse
af borgernes personoplysninger. Der er på den baggrund ikke planer om at
ændre på lovforslagets § 5, stk. 3, og § 23.


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Hermed sendes besvarelse af spørgsmål 52 vedrørende forslag til lov om
supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af
sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om
ændring af lov om retshåndhævende myndigheders behandling af personop-
lysninger, lov om massemediers informationsdatabaser og forskellige andre
love (Konsekvensændringer som følge af databeskyttelsesloven og databe-
skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt
tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-
valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den
11. januar 2018.
Søren Pape Poulsen
/
Jakob Lundsager
Folketinget
Retsudvalget
Christiansborg
1240 København K
Dato: 9. februar 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Anders Lotterup
Sagsnr.: 2017-0037-0005
Dok.: 627514
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 91 , L 69 endeligt svar på spørgsmål 91
Offentligt
2
Spørgsmål 52 fra Folketingets Retsudvalg efter ønske fra Josephine
Fock (ALT) vedrørende L 68 og L 69:
”Vil ministeren redegøre for, om det er korrekt forstået – som anført
af Dr. Jur.Niels Fenger i Forvaltningsloven med kommentarer, 2013,
s. 783 ff – at det databeskyttelsesretlige formålsbestemthedsprincip
(finalité-princip) meget sjældent sætter grænser for myndighedernes
genbrug af borgernes persondata i forbindelse med behandling af sa-
ger?”
Svar:
1. Det følger af forordningens artikel 5, stk. 1, litra b, at personoplysninger
skal indsamles til udtrykkeligt angivne og legitime formål og ikke må vide-
rebehandles på en måde, der er uforenelig med disse formål (det såkaldte fi-
nalité-princip). Denne forordningsbestemmelse er medtaget i lovforslagets
§ 5, stk. 1, og kendes allerede fra den gældende persondatalovs § 5, stk. 2.
Bestemmelsen indebærer, at de oplysninger, som den dataansvarlige måtte
indsamle, ikke frit vil kunne genbruges, videregives mv. Der vil således hel-
ler ikke frit kunne videregives oplysninger inden for f.eks. den offentlige
forvaltning. I det omfang genbrug, udveksling mv. ikke er uforenelig med
det eller de formål, hvortil oplysningerne er indsamlet af den dataansvar-
lige, vil der dog være mulighed herfor. I hvilket omfang dette er tilfældet,
vil bero på en konkret vurdering i den enkelte situation.
I vurderingen af, om en ny behandling ikke er ”uforenelig” med det oprin-
delige formål, skal alle relevante omstændigheder vurderes. Her skal der
særligt lægges vægt på forholdet mellem det oprindelige formål og genbe-
handlingsformålet samt sammenhængen, hvori personoplysningerne er ble-
vet indsamlet. Endvidere skal der særligt lægges vægt på en vurdering af, i
hvilket omfang den registrerede med rimelighed må forvente genbehand-
ling, typen af personoplysninger, og den indflydelse genbehandlingen vil få
for den registrerede samt sikkerhedsgarantier, som er vedtaget af den data-
ansvarlige for at sikre en rimelig behandling og for at hindre unødig ind-
virkning på den registrerede. Det følger af lovforslagets § 5, stk. 2, jf. for-
ordningens artikel 6, stk. 4.
Vurderingen af foreneligheden efter den gældende persondatalovs § 5, stk.
2, svarer nogenlunde til vurderingen efter forordningens artikel 5, stk. 1, li-
tra b, jf. betænkning nr. 1565/2017 om databeskyttelsesforordningen, side
97.
3
2. Som det fremgår af svaret på spørgsmål 4 til L 68 og L 69, er der efter
gældende praksis forholdsvis vide rammer for offentlige myndigheder – i
modsætning til private aktører, hvor rammerne i praksis er snævrere – til at
viderebehandle personoplysninger til andre formål.
Der kan i den forbindelse bl.a. henvises til Henrik Waaben og Kristian Kor-
fits Nielsen, Lov om behandling af personoplysninger med kommentarer, 3.
udgave (2015), side 202f og 226f, hvor det fremgår, at der som oftest ikke
vil være noget til hinder for, at oplysninger videregives til andre offentlige
myndigheder, som har behov for oplysningerne i deres sagsbehandling. For-
fatterne nævner her som eksempel fra Datatilsynets praksis en sag (Dt.s j.nr.
2006-321-0486), hvori Udenrigsministeriet anmodede tilsynet om en for-
håndstilkendegivelse vedrørende spørgsmålet om, hvorvidt ministeriet på
baggrund af oplysninger i et register (modtaget fra politiet), hvori navn og
personnummer på evakuerede personer fra Libanon var opført, kunne enten
be- eller afkræfte om en bestemt person var opført i registeret over for bl.a.
kommuner, der ønskede at kontrollere, om den pågældende person havde
begået socialt bedrageri. Datatilsynet endte med at acceptere, at kommuner-
nes videreanvendelse af personoplysninger med henblik på at kontrollere
for socialt bedrageri var foreneligt med indsamlingsformålet, der var at
evakuere de pågældende danske statsborgere.
Datatilsynet udtalte således, at Udenrigsministeriet lovligt kunne af- eller
bekræfte, om en bestemt person var opført i registret, når blot den anmo-
dende kommune kunne godtgøre, at den havde hjemmel til at foretage en
sådan kontrol af enkeltpersoner. Udenrigsministeriet kunne også videregive
hele registret til en kommune, der anmodede derom, såfremt kommunen
selv opfyldte betingelserne for at kunne sammenstille og samkøre personop-
lysninger i kontroløjemed – dvs. den modtagende myndighed skulle have et
klart og utvetydigt retsgrundlag, som giver lovhjemmel til at foretage sam-
menstilling eller samkøring i kontroløjemed – og såfremt myndigheden for-
udgående havde informeret de persongrupper, der blev berørt af kontrollen,
om muligheden for at foretage en generel kontrol.
Det bemærkes i den forbindelse, at lovforslaget (L 68) ikke ændrer ved, at
den modtagende myndighed – dvs. kommunerne i eksemplet ovenfor, der
modtog oplysninger fra Udenrigsministeriet – skal overveje sin oplysnings-
pligt. Som anført bl.a. i svarene på spørgsmål 4 og 20 til L 68 og L 69, skal
den myndighed, der modtager oplysninger fra en afgivende myndighed,
selvstændigt sikre sig, at der sker underretning af den registrerede i overens-
4
stemmelse med forordningens oplysningspligt – det ændrer hverken lovfor-
slagets § 5, stk. 3, eller § 23 på.
Der er også praksis, der viser, at der er grænser for, hvornår det nye formål
er foreneligt med det oprindelige formål. Som det anføres i Henrik Waaben
og Kristian Korfits Nielsen, Lov om behandling af personoplysninger med
kommentarer, 3. udgave (2015), side 204, må det eksempelvis antages, at
personoplysninger fra personalesager som altovervejende hovedregel ikke
uden den registreredes samtykke kan anvendes til andre formål end perso-
naleadministration. Der henvises i den forbindelse til, at Datatilsynet har gi-
vet udtryk for, at Forsvarets Personeltjeneste tilsidesatte finalité-princippet
i persondatalovens § 5, stk. 2, ved at videregive oplysninger om ansatte til
Topdanmark til brug for forsikringsselskabets markedsføring, jf. Datatilsy-
nets udtalelse j.nr. 2008-632-0034.
Det bemærkes, at videregivelse til andre formål end de formål, hvortil op-
lysningerne oprindeligt er indsamlet, i øvrigt skal ske i overensstemmelse
med de materielle behandlingsregler i databeskyttelsesforordningen, særligt
artikel 6, 9 og 10, og forslaget til ny databeskyttelseslov (L 68), særligt §§
6-8.
3. Som også nævnt under samrådet den 23. januar 2018 i forbindelse med
besvarelsen af samrådsspørgsmål A, og som det bl.a. fremgår af svaret på
spørgsmål 4 til L 68 og L 69, medfører den konkrete vurdering af, om to
formål er ”forenelige” erfaringsmæssigt tvivl hos myndigheder og forskel-
lig praksis i f.eks. kommunerne for, om en viderebehandling må ske i en
konkret situation på et bestemt lovområde.
Med lovforslagets § 5, stk. 3, lægges der derfor op til – inden for de databe-
skyttelsesretlige rammer – at tydeliggøre den adgang til videreanvendelse
og genbrug af oplysninger, som følger af databeskyttelsesforordningen, ved
at fastsætte en særlig bestemmelse om formålsbestemthed.
Dette vil bidrage til at skabe mere åbenhed for borgerne, når de på forhånd
vil kunne orientere sig i, om en given viderebehandling kan ske til et andet
formål end det oprindelige, ligesom det set fra myndighedens side vil skabe
et sikkert retligt grundlag for viderebehandling.
En udnyttelse af bemyndigelsen i lovforslagets § 5, stk. 3, kan således gøre
op med denne tvivl ved præcist at fastlægge, i hvilke tilfælde der lovligt kan
5
ske viderebehandling i en kommune eller mellem kommunerne, og i hvilke
tilfælde der ikke kan.
4. Specifikt for så vidt angår den behandling af personoplysninger, der be-
står i sammenstilling eller samkøring i kontroløjemed, henledes opmærk-
somheden på lovforslagets afsnit 2.3.2.3.4. Som det fremgår heraf, kræver
samkøring af personoplysninger i kontroløjemed efter praksis særskilt lov-
hjemmel. Det følger således af en tilkendegivelse fra Retsudvalgets flertal i
betænkningen over lovforslag nr. L 50 af 16. januar 1991 om ændring af lov
om offentlige myndigheders registre og tidligere praksis fra Registertilsy-
net, som er videreført af Datatilsynet, at der ved samkøring i kontroløjemed
stilles krav om, at samkøringen sker på et klart og utvetydigt retsgrundlag,
hvilket i praksis vil sige på grundlag af direkte lovhjemmel, ligesom der stil-
les krav om, at de berørte personer har fået meddelelse om kontrollen, in-
den de afgiver oplysninger til myndigheden.
Som det også anføres i lovforslagets afsnit 2.3.2.3.4, er det med forslaget
ikke længere en forudsætning, at samkøring af personoplysninger i kon-
troløjemed skal have hjemmel særskilt i en lov. Det skyldes, at det er Ju-
stitsministeriets vurdering, at særligt databeskyttelsesforordningens artikel
5 og artikel 6, stk. 4, om principper for behandling af personoplysninger,
herunder proportionalitetsprincippet og princippet om formålsbegrænsning,
yder en tilstrækkelig stærk beskyttelse til de registrerede samtidigt med, at
forordningen sikrer rum for offentlige myndigheders saglige behov for at
kunne samkøre personoplysninger i kontroløjemed.
Efter databeskyttelsesforordningen vil samkøring i kontroløjemed således
skulle leve op til de almindelige principper og regler om behandling. Da
samkøring i kontroløjemed per definition vil være en indgribende behand-
lingssituation, vil sådan en behandling skærpe kravene til overholdelse af
bl.a. forordningens artikel 5 om de grundlæggende principper for behand-
ling af personoplysninger, herunder ikke mindst proportionalitetsprincippet.
Der henvises om de fremhævede principper til betænkning nr. 1565/2017
om databeskyttelsesforordningen, side 93-99.
5. Hvis samkøring af personoplysninger i kontroløjemed foretages på bag-
grund af en bekendtgørelse efter § 5, stk. 3, i L 68, sikres borgers rettighe-
der med henvisningen i bestemmelsen til databeskyttelsesforordningens ar-
tikel 23, der medfører, at der skal opstilles garantier for de registreredes ret-
tigheder.
6
Som anført bl.a. i svaret på spørgsmål 4 til L 68, vil det således eksempel-
vis være relevant i bekendtgørelsen specifikt at regulere, hvilke formål der
kan ske videreanvendelse til, og hvilke formål der ikke kan ske viderean-
vendelse til. Det vil også være relevant at fastsætte bestemmelser om, hvor
lang tid personoplysningerne må opbevares, ligesom der skal fastsættes reg-
ler, som sikrer, at videreanvendte oplysninger ikke kan misbruges.
Desuden er der fortsat en lang række andre garantier for at beskytte person-
data, herunder skal borgeren partshøres efter forvaltningsloven, før f.eks. en
kommune kan træffe afgørelse om at nedsætte en ydelse. Herudover er det
en følge af forordningens artikel 32 om behandlingssikkerhed, at myndig-
heder – ligesom i dag – skal sikre sig, at personoplysninger ikke er tilgæn-
gelige for de personer, som ikke er beskæftiget med de formål, hvortil op-
lysningerne behandles. Det gælder efter Datatilsynets praksis i særdeleshed
for fortrolige og følsomme oplysninger. Disse garantier vil fortsat og uæn-
dret gælde.
Der opstilles med lovforslaget således konkrete garantier, der skal iagttages,
inden der kan ske samkøring af personoplysninger i kontroløjemed.
6. For så vidt angår lovforslagets § 23 i L 68 om myndighedernes fornyede
oplysningspligt, når der viderebehandles oplysninger på baggrund af en be-
kendtgørelse efter § 5, stk. 3, henvises til det samtidige fremsendte æn-
dringsforslag til bestemmelsen.


Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
jm@jm.dk
Ændringsforslag
til
Forslag til lov om supplerende bestemmelser til forordning om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplys-
ninger og om fri udveksling af sådanne oplysninger (databeskyttelses-
loven)
(L 68)
Æ n d r i n g s f o r s l a g
Til § 23
1) Efter 1. pkt. indsættes som nyt 2. pkt.:
»1. pkt. finder ikke anvendelse, når formålet er sammenstilling eller samkø-
ring af personoplysninger i kontroløjemed.«
[Begrænsning af undtagelse fra den fornyede oplysningspligt i forbindelse
med sammenstilling eller samkøring i kontroløjemed]
Bemærkninger til nr. 1
1. Efter lovforslagets § 23 finder oplysningspligten efter databeskyttelses-
forordningens artikel 13, stk. 3, og artikel 14, stk. 4, ikke anvendelse, når
offentlige myndigheder viderebehandler personoplysningerne til et andet
formål end det, hvortil de er indsamlet, og viderebehandlingen sker på bag-
grund af regler fastsat efter bemyndigelsesbestemmelsen i lovforslagets § 5,
stk. 3.
Det foreslås hermed, at der indsættes et nyt 2. pkt. i § 23, hvorefter undta-
gelsen i 1. pkt. ikke finder anvendelse, når det andet, nye formål, der forføl-
Dato: 9. februar 2018
Kontor: Databeskyttelseskontoret
Sagsbeh: Anders Lotterup
Sagsnr.: 2017-0037-0005
Dok.: 646053
Retsudvalget, Retsudvalget 2017-18
L 68 endeligt svar på spørgsmål 91 , L 69 endeligt svar på spørgsmål 91
Offentligt
2
ges med en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, er sam-
menstilling eller samkøring af personoplysninger i kontroløjemed.
2. I dag kan offentlige myndigheder efter persondataloven i vidt omfang
genbruge oplysninger til andre formål end det oprindelige. Det kræver en
konkret vurdering i hver enkelt sag, og myndigheden må ikke genbruge data
til ”uforenelige” formål. Denne mulighed for viderebehandling af oplysnin-
ger efter en konkret vurdering bevares, jf. lovforslagets § 5, stk. 1 og 2.
Erfaringsmæssigt kan man f.eks. i kommunerne ofte komme i tvivl om,
hvorvidt personoplysninger på den baggrund lovligt senere må bruges til et
andet formål. Den konkrete vurdering af, om et nyt formål er foreneligt el-
ler ej, skaber usikkerhed og tvivl i myndighedernes daglige sagsbehandling.
Det har ført til en forskelligartet praksis.
Lovforslagets § 5, stk. 3, har til formål at komme denne tvivl til livs og skabe
klarhed. Bestemmelsen indeholder en bemyndigelse til, at vedkommende
minister efter forhandling med justitsministeren og inden for rammerne af
databeskyttelsesforordningens artikel 23 kan fastsætte nærmere regler om,
at personoplysninger af offentlige myndigheder må viderebehandles til an-
dre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes
forenelighed.
Det afgørende efter bemyndigelsesbestemmelsen i stk. 3 er således ikke, om
bekendtgørelsen medfører, at der i en databeskyttelsesretlig sammenhæng
viderebehandles til ”forenelige” formål eller ej. Formålet med bestemmel-
sen er netop at give mulighed for at undgå denne konkrete vurdering, der i
praksis i bl.a. kommunerne har vist sig at være vanskelig og ført til forskel-
ligartet praksis.
Med bemyndigelsesbestemmelsen kan der skabes klarhed samtidig med, at
bekendtgørelserne skal leve op til databeskyttelsesforordningens artikel 23
og dermed ligge inden for databeskyttelsesforordningens rammer. Artikel
23 kræver til gengæld, at der i en bekendtgørelse udstedt efter lovforslagets
§ 5, stk. 3, skal fastsættes garantier, der beskytter borgerne, såsom bestem-
melser om, hvor lang tid personoplysningerne må opbevares, ligesom der
skal fastsættes regler, som sikrer, at oplysninger ikke kan misbruges eller
tilgås ulovligt.
Formålet med bestemmelsen er således at rydde tvivl af vejen og ”en gang
for alle” på forhånd i en bekendtgørelse at regulere, hvilke oplysninger der
3
må viderebehandles, og hvilke oplysninger der ikke må viderebehandles.
Formålet er at sikre, at det offentlige kan videreanvende og genbruge data
på en effektiv, ensartet og åben måde.
Datatilsynet skal som uafhængig tilsynsmyndighed efter lovforslagets § 28
på forhånd udtale sig om hver enkelt bekendtgørelse, der udstedes med
hjemmel i forslagets § 5, stk. 3, herunder om, hvorvidt bekendtgørelsen er i
strid med EU-reglerne eller i øvrigt giver anledning til betænkeligheder.
Desuden er der fortsat en lang række garantier for at beskytte persondata,
herunder skal borgeren partshøres efter forvaltningsloven, før f.eks. en kom-
mune kan træffe afgørelse om at nedsætte en ydelse. Disse garantier vil fort-
sat og uændret gælde.
Endelig er der i lovforslaget opsat hegnspæle for bekendtgørelserne efter §
5, stk. 3. Det betyder, at der f.eks. ikke kan udstedes en bekendtgørelse, der
strider mod en særlig lovbestemt tavshedspligt, f.eks. sundhedslovens § 40
om sundhedspersoners tavshedspligt og folkeskolelovens § 55 b om tavs-
hedspligt om testresultater. Det vil således kræve en lovændring at ændre på
f.eks. praktiserende lægers tavshedspligt.
Der henvises til bl.a. svar på spørgsmål 4 og den samtidige besvarelse af
spørgsmål 52 til L 68 og L 69. Opmærksomheden henledes i den forbindelse
på det anførte i den samtidige besvarelse af spørgsmål 52, hvorefter samkø-
ring i kontroløjemed per definition vil være en indgribende behandlingssi-
tuation, hvilket vil skærpe kravene til overholdelse af bl.a. forordningens ar-
tikel 5 om de grundlæggende principper for behandling af personoplysnin-
ger, herunder ikke mindst proportionalitetsprincippet.
3. Som eksempler på anvendelsen af lovforslagets § 5, stk. 3, kan nævnes
udarbejdelse af oversigter i en kommune over alle dens borgere, der modta-
ger forskellige økonomiske ydelser, med henblik på at undersøge og kon-
trollere, om de får de rette økonomiske ydelser fra kommunen. Som et an-
det eksempel kan i forlængelse heraf nævnes muligheden for i en bekendt-
gørelse at fravige udgangspunktet i forvaltningslovens § 29 om, at myndig-
heder i ansøgningssøger, f.eks. i sager om ansøgning om en social ydelse,
ikke må indhente oplysninger om ansøgerens rent private forhold, som an-
dre dele af den pågældende myndighed eller en anden forvaltningsmyndig-
hed ligger inde med.
4
Som et yderligere eksempel på brugen af bemyndigelsesbestemmelsen i lov-
forslagets § 5, stk. 3, kan peges på muligheden for i en bekendtgørelse at
fastsætte nærmere regler om genanvendelse af de personoplysninger, som
de forskellige grene i en kommune i forvejen ligger inde med, med henblik
på bedst muligt at kunne hjælpe socialt udsatte børn med det mest optimale
behandlingsforløb.
Der kan om de anførte eksempler henvises til de specielle bemærkninger til
§ 5, stk. 3, i lovforslaget.
4. Det følger af databeskyttelsesforordningens artikel 13, stk. 3, og artikel
14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplys-
ningerne til et andet formål end det, hvortil de er indsamlet, giver den data-
ansvarlige forud for denne viderebehandling den registrerede oplysninger
om dette andet formål og andre relevante yderligere oplysninger. Der er så-
ledes tale om en fornyet oplysningspligt i forhold til oplysningspligten, der
i øvrigt følger af artikel 13, stk. 1 og 2, og artikel 14, stk. 1 og 2.
Lovforslagets § 23 lægger som nævnt op til at begrænse oplysningspligten
for myndigheden, der allerede én gang har opfyldt sin oplysningspligt over
for den registrerede. Den registrerede er i denne situation således allerede
én gang blevet orienteret om de oplysninger, som fremgår af artikel 13, stk.
1 og 2, eller artikel 14, stk. 1 og 2, i forbindelse med myndighedens oprin-
delige indsamling og i den anledning blevet orienteret om de formål med
behandlingen af personoplysninger, der var aktuelle på indsamlingstids-
punktet. Det kunne f.eks. være et formål og krav om en bestemt register-
samkøring i kontroløjemed som krav for at modtage en bestemt ydelse.
Det betyder, at undtagelsen i lovforslagets § 23 alene går ud på, at myndig-
heden, som på baggrund af en bekendtgørelse udstedt efter lovforslagets §
5, stk. 3, ønsker at anvende lovligt indsamlede oplysninger til et andet for-
mål end det oprindelige formål, ikke skal give underretning til den registre-
rede om dette nye formål.
Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel
i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden myn-
dighed, skal sidstnævnte myndighed selv sikre sig, at myndigheden lever op
til oplysningspligten i forordningens artikel 13-14.
Der er ved udarbejdelsen af undtagelsen i lovforsalgets § 23 lagt vægt på, at
det set fra den dataansvarliges side kan opleves som administrativt byrde-
5
fuldt at skulle foretage en ny underretning af den registrerede. Samtidig sy-
nes det tvivlsomt, om en fornyet underretning i denne situation reelt vil
skabe større retssikkerhed for den registrerede. Der er i den forbindelse også
lagt vægt på, at, at en bekendtgørelse efter § 5, stk. 3 – i overensstemmelse
med forordningens artikel 23 – skal indeholde en række garantier f.eks. ga-
rantier for at undgå misbrug eller ulovlig adgang.
Der henvises i øvrigt til svar på spørgsmål 4 og 20 til L 68 og L 69.
5. Der er efter førstebehandlingen af lovforslaget den 16. november 2017
blevet rejst kritik af bl.a. lovforslagets § 23. Kritikken af forslagets § 23 er
særligt gået på, at undtagelsen er for vidtgående i situationer, hvor oplysnin-
ger viderebehandles af myndigheden med henblik på sammenstilling eller
samkøring af registre i kontroløjemed rettet mod borgeren.
Justitsministeriet har noteret sig dette og har forståelse for denne del af kri-
tikken.
På den baggrund foreslås det med dette ændringsforslag, at undtagelsen i §
23 ikke skal finde anvendelse, når den nye behandling, som en bekendtgø-
relse efter lovforslagets § 5, stk. 3, giver mulighed for, går ud på at sammen-
stille og samkøre personoplysninger i kontroløjemed, dvs. med henblik på
f.eks. at kontrollere, om borgere uretmæssigt modtager ydelser, fordi de ikke
opfylder betingelserne dertil.
Herved sikres det, at borgerne på forhånd bliver oplyst herom – inden for
rammerne af reglerne om oplysningspligt i forordningens artikel 13 og 14 –
når myndigheden, der oprindeligt har indsamlet oplysninger om borgeren til
ét formål, efterfølgende anvender en bekendtgørelse efter forslagets § 5, stk.
3, til at sammenstille eller samkøre de pågældende oplysninger med andre
oplysninger for at kontrollere forhold vedrørende borgeren.