Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 Bilag 15, L 69 Bilag 15
Offentligt
1847250_0001.png
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
18. januar 2018
Databeskyttelseskontoret
Nanna Due Binø
2017-7910-0004
623955
Ændringsforslag
til
Forslag til lov om supplerende bestemmelser til forordning om beskyt-
telse af fysiske personer i forbindelse med behandling af personoplys-
ninger og om fri udveksling af sådanne oplysninger (databeskyttelses-
loven)
(L 68)
Ændringsforslag
Til § 22
1)
I
stk. 1
ændres »og artikel 15« til: »artikel 15 og artikel 34«.
[Mulighed for konkret at begrænse underretning om brud på persondatasik-
kerheden til den registrerede]
2)
I
stk. 2
ændres »artikel 13-15« til: »artikel 13, stk. 1-3, artikel 14, stk. 1-
4, artikel 15 og artikel 34«.
[Mulighed for konkret at begrænse underretning om brud på persondatasik-
kerheden til den registrerede og præcisering]
Til § 41
3)
I
stk. 2, nr. 1,
ændres »§ 20, stk. 1-4« til: »§ 20«.
[Præcisering]
Til § 47
4)
Henvisningen »§ 26, stk. 1, nr. 1-3« ændres til: »§ 26, stk. 1«.
[Præcisering]
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
L 69 - 2017-18 - Bilag 15: Ændringsforslag vedr. L 68, fra justitsministeren
Bemærkninger
Til 1)
Persondataloven indeholder ikke en specifik bestemmelse om underretning
af den registrerede i tilfælde af brud på persondatasikkerheden. Der er der-
for heller ikke en specifik bestemmelse, hvorefter en sådan underretning kan
begrænses.
Det følger af databeskyttelsesforordningens artikel 34, som finder anven-
delse den 25. maj 2018, at når et brud på persondatasikkerheden sandsyn-
ligvis vil indebære en høj risiko for fysiske personers rettigheder og friheds-
rettigheder, skal den dataansvarlige som udgangspunkt uden unødig forsin-
kelse underrette den registrerede om bruddet.
Idet der nu indføres en specifik bestemmelse om underretning af den regi-
strerede i forbindelse med brud på persondatasikkerheden foreslås det, at
der indsættes en mulighed for i helt konkrete tilfælde at begrænse denne un-
derretningspligt.
Det foreslås, at bestemmelsen i databeskyttelsesforordningens artikel 34
ikke gælder, hvis den registreredes interesse i at få kendskab til oplysnin-
gerne findes at burde vige for afgørende hensyn til private interesser, herun-
der hensynet til den pågældende selv.
Justitsministeriet vurderer, at det er inden for rammerne af databeskyttelses-
forordningens artikel 23 at indføre en mulighed for konkret at begrænse un-
derretningen af den registrerede om brud på persondatasikkerheden.
Der bør således efter Justitsministeriets vurdering ikke påhvile dataansvar-
lige en ubetinget pligt til at underrette den registrerede om brud på person-
datasikkerheden, og Justitsministeriet vurderer, at det er nødvendigt med
mulighed for konkret at kunne begrænse denne underretningspligt. En ube-
tinget pligt til at underrette den registrerede om brud på persondatasikker-
heden vil kunne være skadelig af hensyn til afgørende private interesser,
herunder hensynet til vedkommende selv.
Indskrænkningen i underretningspligten efter forordningens artikel 34 kan
kun ske på baggrund af en konkret afvejning af de modstående interesser,
som er nævnt i bestemmelsen.
2
L 69 - 2017-18 - Bilag 15: Ændringsforslag vedr. L 68, fra justitsministeren
Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte for-
mer for behandling af oplysninger fra underretningspligten efter artikel 34.
I den konkrete afvejning indgår som nævnt på den ene side den registrere-
des interesse i at få kendskab til, at der har været et brud på persondatasik-
kerheden. Heroverfor står på den anden side hensynet til private interesser,
herunder til den pågældende selv. De private interesser, som kan beskyttes
efter bestemmelsen, er såvel den dataansvarliges som tredjemands interes-
ser.
Som private interesser, der bl.a. vil kunne begrunde hemmeligholdelse, kan
nævnes afgørende hensyn til forretningshemmeligheder og afgørende hen-
syn til forebyggelse, efterforskning og forfølgning af lovovertrædelser samt
beskyttelse af vidner.
Med anvendelsen af udtrykket »afgørende« i bestemmelsen er det tilkende-
givet, at undtagelse fra forordningens artikel 34 kun kan gøres, hvor der er
nærliggende fare for, at privates interesser vil lide skade af væsentlig betyd-
ning.
Endvidere forudsætter begrænsningen af forordningens artikel 34, at hensy-
net til private interesser er igangværende og aktuelt. Det vil sige, at når hen-
synet ikke længere foreligger, bør den registrerede underrettes om bruddet
på persondatasikkerheden.
I overensstemmelse med forordningens artikel 23, stk. 2, skal den data-
ansvarlige i videst muligt og relevant omfang – når der konkret gøres und-
tagelse fra underretningspligten – forsøge at tage højde for de hensyn, som
følger af artikel 23, stk. 2, inden for det livsområde, som den dataansvarlige
vil begrænse.
Dette betyder eksempelvis, at den dataansvarlige er forpligtet til at overveje,
hvilke risici der er forbundet med undtagelse fra forordningens artikel 34,
jf. databeskyttelsesforordningens artikel 23, stk. 2, litra g. Således f.eks. om
der vil være en risiko for, at den manglende underretning vil kunne skade
den registrerede.
Til 2)
3
L 69 - 2017-18 - Bilag 15: Ændringsforslag vedr. L 68, fra justitsministeren
Persondataloven indeholder ikke en specifik bestemmelse om underretning
af den registrerede i tilfælde af brud på persondatasikkerheden. Der er der-
for heller ikke en specifik bestemmelse, hvorefter en sådan underretning kan
begrænses.
Det følger af databeskyttelsesforordningens artikel 34, som finder anven-
delse den 25. maj 2018, at når et brud på persondatasikkerheden sandsyn-
ligvis vil indebære en høj risiko for fysiske personers rettigheder og friheds-
rettigheder, skal den dataansvarlige som udgangspunkt uden unødig forsin-
kelse underrette den registrerede om bruddet.
Idet der nu indføres en specifik bestemmelse om underretning af den regi-
strerede i forbindelse med brud på persondatasikkerheden foreslås det, at
der indsættes en mulighed for i helt konkrete tilfælde at begrænse denne un-
derretningspligt.
Det foreslås således, at undtagelse fra databeskyttelsesforordningens artikel
34, kan gøres, hvis den registreredes interesse i at få kendskab til oplysnin-
gerne findes at burde vige for afgørende hensyn til offentlige interesser, her-
under navnlig til statens sikkerhed, forsvaret, den offentlige sikkerhed, fore-
byggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlin-
ger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod
og forebyggelse af trusler mod den offentlige sikkerhed, andre vigtige mål-
sætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats
generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væ-
sentlige økonomiske eller finansielle interesser, herunder valuta-, budget-
og skatteanliggender, folkesundhed og social sikkerhed, beskyttelse af
retsvæsenets uafhængighed og retssager, forebyggelse, efterforskning, af-
sløring og retsforfølgning i forbindelse med brud på etiske regler for lovre-
gulerede erhverv, kontrol-, tilsyns- eller reguleringsfunktioner, herunder op-
gaver af midlertidig karakter, der er forbundet med offentlig myndighedsu-
døvelse i nogle af de tilfælde, der er omhandlet ovenfor, beskyttelse af den
registrerede eller andres rettigheder og frihedsrettigheder, og håndhævelse
af civilretlige krav.
Justitsministeriet vurderer, at det er inden for rammerne af databeskyttelses-
forordningens artikel 23 at indføre en mulighed for konkret at begrænse un-
derretningen af den registrerede om brud på persondatasikkerheden.
Begrænsningen af underretningspligten bør ske i det omfang databeskyttel-
sesforordningens artikel 23 giver mulighed herfor, se betænkning nr.
4
L 69 - 2017-18 - Bilag 15: Ændringsforslag vedr. L 68, fra justitsministeren
1565/2017 om databeskyttelsesforordningen, side 396-404, hvor mulighe-
derne for begrænsning efter artikel 23 nærmere er gennemgået. Der lægges
herved vægt på, at samtlige de undtagelsesmuligheder, som fremgår af disse
bestemmelser, er udtryk for hensigtsmæssige begrænsninger af databeskyt-
telsesforordningens artikel 34.
Der bør efter Justitsministeriets vurdering ikke påhvile dataansvarlige en
ubetinget pligt til at underrette den registrerede om brud på persondatasik-
kerheden, og Justitsministeriet vurderer, at det er nødvendigt med mulighed
for konkret at kunne begrænse denne underretningspligt. En ubetinget pligt
til at underrette den registrerede om brud på persondatasikkerheden vil
kunne være skadelig af hensyn til afgørende hensyn til offentlige interesser.
Indskrænkningen i underretningspligten efter forordningens artikel 34 kan
kun ske på baggrund af en konkret afvejning af de modstående interesser,
som er nævnt i bestemmelsen.
Der er ikke efter bestemmelsen adgang til generelt at undtage bestemte for-
mer for behandling af oplysninger fra underretningspligten efter artikel 34.
I den konkrete afvejning vil undtagelse kun kunne gøres, hvis der er nærlig-
gende fare for, at det offentliges interesser vil lide skade af væsentlig betyd-
ning. Manglende underretning af den registrerede om brud på persondata-
sikkerheden vil eksempelvis kunne ske af hensyn til den offentlige sikker-
hed.
Med anvendelsen af udtrykket »afgørende« i bestemmelsen er det tilkende-
givet, at undtagelse fra forordningens artikel 34 kun kan gøres, hvor der er
nærliggende fare for, at offentlige interesser vil lide skade af væsentlig be-
tydning.
Endvidere forudsætter begrænsningen af forordningens artikel 34, at hensy-
net til offentlige interesser er igangværende og aktuelt. Det vil sige, at når
hensynet ikke længere foreligger, bør den registrerede underrettes om brud-
det på persondatasikkerheden.
I overensstemmelse med forordningens artikel 23, stk. 2, skal den data-
ansvarlige i videst muligt og relevant omfang – når der konkret gøres und-
tagelse fra underretningspligten – forsøge at tage højde for de hensyn, som
følger af artikel 23, stk. 2, inden for det livsområde, som den dataansvarlige
vil begrænse.
5
L 69 - 2017-18 - Bilag 15: Ændringsforslag vedr. L 68, fra justitsministeren
Dette betyder eksempelvis, at den dataansvarlige er forpligtet til at overveje,
hvilke risici der er forbundet med undtagelse fra forordningens artikel 34,
jf. databeskyttelsesforordningens artikel 23, stk. 2, litra g. Således f.eks. om
der vil være en risiko for, at den manglende underretning vil kunne skade
den registrerede.
Det foreslås endelig, at henvisningen til artikel 13-15 i lovforslagets § 22,
stk. 2, ændres til artikel 13, stk. 1-3, artikel 14, stk. 1-4, og artikel 15. Æn-
dringen er alene en præcisering og medfører ikke indholdsmæssige ændrin-
ger i forhold til det fremsatte lovforslag nr. L 68 af 25. oktober 2017.
Til 3)
Det foreslås, at henvisningen til § 20, stk. 1-4, i lovforslagets § 41, stk. 2,
ændres til § 20. Der er alene tale om en præcisering af henvisningen, og æn-
dringen medfører ikke indholdsmæssige ændringer i forhold til det frem-
satte lovforslag nr. L 68 af 25. oktober 2017.
Til 4)
Det foreslås, at henvisningen til § 26, stk. 1, nr. 1-3, i lovforslagets § 47, æn-
dres til § 26. Der er alene tale om en præcisering af henvisningen, og æn-
dringen medfører ikke indholdsmæssige ændringer i forhold til det frem-
satte lovforslag nr. L 68 af 25. oktober 2017.
6