Retsudvalget 2017-18
L 69 Bilag 3
Offentligt
Teknisk gennemgang af L 68 og L 69
Databeskyttelsesloven
Anvendelsesområdet
L 68 § 3, stk. 9
Geografisk begrænsning erstatter krigsreglen. Krigsreglen kræver, at hvis
personoplysninger er af særlig interesse for fremmede magter, skal man have truffet
foranstaltninger, der gør, at man kan slette sine data hos sin databehandlere i tilfælde
af krig. Det fortolkes typisk således, at det er nødvendigt at opbevare sådanne kritiske
data på servere i Danmark for at have den fornødne kontrol. Nu skal justitsministeren
fastsætte regler om at nogle it-systemer må være i Danmark
L 68 § 2, stk. 5
Persondataloven skal finde anvendelse på afdøde personer i op til 10 år - forordningen
finder ikke anvendelse på afdøde personer (præambel 27)
L 68 § 3, stk. 2 ifm. L 69 § 4, stk. 12 og L 69 § 8, stk. 11
Persondataloven skal som udgangspunkt ikke finde anvendelse på PET og FE, men
ansvarlige minister kan bestemme, at databeskyttelsesloven finder anvendelse for PET
og FE for behandling af personoplysninger vedrørende sikkerhedsgodkendelser og egne
personalesager
L 68 § 3, stk. 3
Folketingets Administration omfattet, det parlamentariske arbejde undtaget
L 68 § 6, stk. 2
Børn er personer under 13 år
minimumsgrænse i forordningen
Datakategorier
Den hidtil gældende dansk persondatalov indeholder en særregulering af oplysninger
om rent private forhold, som blev behandlet som følsomme data. Disse data bliver ikke
nævnt i lovforslaget - ligestilling med
”almindelige” personoplysninger?
L 68 § 11, stk. 2
Private må behandle cpr-numre
Behandlingsprincipper
L 68 § 7, stk. 4
Generelt skal der gives udtrykkeligt samtykke for behandling af følsomme oplysninger.
Hvis der ikke er givet samtykke, skal der indhentes tilladelse fra Datatilsynet, hvis
behandlingen er nødvendig. Lovforslaget undtager offentlige myndigheder fra at
indhente tilladelse fra Datatilsynet. Denne undtagelse gælder ikke under den
nuværende persondatalov.
L 69 - 2017-18 - Bilag 3: Handout til teknisk gennemgang om databeskyttelsesloven
Registreredes rettigheder: undtagelser fra oplysningspligten og indsigtsret
L 68 § 22, stk. 1
Oplysningspligten og indsigtsretten må vige for private interesser. Af bemærkningerne
fremgår, at private interesser af den dataansvarlige bl.a. er forretningshemmeligheder,
tavshedspligten, eller retten til at forberede sit eget forsvar. Forordningens art. 23 og
art. 14, stk. 5, tillader, at oplysningspligten ikke behøver opfyldes, hvis det viser sig
umuligt eller vil kræve en uforholdsmæssig stor indsats. Desuden indeholder
forordningens art. 14, stk. 5 en undtagelse, hvis oplysningerne skal forblive fortrolige.
Dataindsamling i ansættelsesforhold
L 68 § 12, stk. 3
Samtykke kan generelt anvendes som grundlag af behandling i ansættelsesforhold.
Flere høringssvar henviser til Art. 29-gruppens udtalelse (WP249), der bemærker at
ansatte de facto ikke er i stand til at nægte at give samtykke. Samtykke i henhold til
forordningens art. 7, navnlig stk. 4, skal være reelt, samt at medlemsstaterne ikke kan
lempe kravene til et gyldigt samtykke
Forbud mod videregivelse af oplysninger for markedsføringsformål
L 68 § 13
Forbuddet findes ikke direkte i forordningen. Forordningen siger i art. 21, at den
registrerede har ret til indsigt, hvis personoplysninger skal videregives med henblik på
direkte markedsføring. Derudover griber oplysningspligten.
Kreditoplysninger
L 68 § 15-23
Dansk særregulering om videregivelse af oplysninger til kreditoplysningsbureauer
Databeskyttelsesrådgiver (DPO)
Forordningens art. 37
Mulighed for nationale særregler.
Sanktioner
L 68 § 41, stk. 5
Lovforslaget indeholder ikke en endelig stillingtagen til, hvorledes offentlige
myndigheder skal sanktioneres
Flere spørgsmål om databeskyttelsesloven, nye EU-databeskyttelsesregler
eller EU’s IT-
og
telekommunikationsret?
Kontakt: Julia Ballaschk (61 61 48 24)