Fremsat den 28. februar 2018 af forsvarsministeren (Claus Hjort Frederiksen)

Forslag

til

Lov om ændring af lov om Center for Cybersikkerhed

(Konsekvensændringer som følge af databeskyttelsesforordningen og databeskyttelsesloven)

§ 1

I lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed foretages følgende ændringer:

1. I § 8, stk. 1, 2. pkt., ændres »og fra lov om behandling af personoplysninger, jf. § 2, stk. 11, i lov om behandling af personoplysninger« til: »og fra databeskyttelsesloven og Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, jf. § 3, stk. 2, i databeskyttelsesloven, samt fra lov om retshåndhævende myndigheders behandling af personoplysninger, jf. § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af person­oplysnin?ger«.

2. I § 8, stk. 2, ændres »kapitel 8-10 i lov om behandling af personoplysninger« til: »databeskyttelsesloven, Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«.

3. I § 14 indsættes som stk. 2:

»Stk. 2. Personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.«

4. I § 23, stk. 2, ændres »lov om behandling af personoplysninger« til: »databeskyttelsesloven og fra Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt fra lov om retshåndhævende myndigheders behandling af personoplysninger«.

§ 2

Loven træder i kraft den 25. maj 2018.

§ 3

Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

Almindelige bemærkninger

1. Indledning og baggrund

EU's databeskyttelsesforordning finder anvendelse i Danmark fra den 25. maj 2018. Med henblik på at supplere reglerne i databeskyttelsesforordningen har Justitsministeriet endvidere den 25. oktober 2017 fremsat forslag til en ny databeskyttelseslov, der forventes at træde i kraft den 25. maj 2018. Samtidig vil den nuværende persondatalov blive ophævet.

Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, er national it-sikkerhedsmyndighed samt netsikkerhedstjeneste. En af centerets væsentligste opgaver er at opdage, analysere og bidrage til at imødegå avancerede cyberangreb mod myndigheder samt virksomheder, der er beskæftiget med samfundsvigtige funktioner. Det sker blandt andet gennem monitorering af internettrafikken hos en lang række myndigheder og virksomheder, der er tilsluttet centerets netsikkerhedstjeneste. Center for Cybersikkerheds virksomhed er reguleret i lov om Center for Cybersikkerhed.

Center for Cybersikkerhed er ikke omfattet af den nuværende persondatalov, og den behandling af personoplysninger, som udføres af Center for Cybersikkerhed, vil heller ikke blive omfattet af databeskyttelsesforordningen og den nye databeskyttelseslov. Dette følger af databeskyttelsesforordningens artikel 2, stk. 2, litra a, og af § 3, stk. 2, i den foreslåede nye databeskyttelseslov.

En række af persondatalovens centrale principper for behandling af personoplysninger er imidlertid indarbejdet i lov om Center for Cybersikkerhed, som også indeholder flere henvisninger til persondataloven. Der er derfor behov for at konsekvensændre lov om Center for Cybersikkerhed som følge af den nye databeskyttelsesregulering.

Formålet med dette lovforslag er at gennemføre de nødvendige konsekvensændringer.

Det vurderes, at der med den nuværende regulering af Center for Cybersikkerheds behandling af personoplys­nin?ger er fundet en passende balance mellem på den ene side hensynet til de særlige forhold, der gør sig gældende for centerets aktiviteter, og på den anden side hensynet til at sikre et højt beskyttelsesniveau i forhold til behandlingen af personoplysninger. For så vidt angår de centrale principper for Center for Cybersikkerheds behandling af personoplysninger vil der derfor med lovforslaget ske en indholdsmæssig uændret videreførelse af gældende ret. Herudover vil der med lovforslaget ske en tydeliggørelse af reglerne for overførsel af personoplysninger til arkiv i medfør af arkivlovgivningen.

2. Lovforslagets hovedindhold

2.1. Gældende ret

EU-Kommissionen fremsatte i januar 2012 et forslag til en databeskyttelsespakke, som blev endeligt vedtaget den 14. april 2016. Databeskyttelsespakken består af Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og af direktiv om retshåndhævende myndigheders behandling af personoplysninger (retshåndhævelsesdirektivet). Retshåndhævelsesdirektivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger, som trådte i kraft den 30. april 2017. Databeskyttelsesforordningen finder anvendelse den 25. maj 2018 og suppleres af et forslag til lov om databeskyttelse, som justitsministeren har fremsat for Folketinget den 25. oktober 2017. Det forventes, at persondataloven ophæves med den kommende databeskyttelseslov, som skal træde i kraft den 25. maj 2018 samtidigt med, at databeskyttelsesforordningen finder anvendelse.

Det følger af § 1, stk. 2, i lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger, at loven ikke finder anvendelse på den behandling, der udføres for eller af politiets og forsvarets efterretningstjenester.

Efter § 2, stk. 11, i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven) gælder loven ikke for behandlinger, der udføres for politiets og forsvarets efterretningstjenester. Ved § 55 i lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger er persondatalovens § 2, stk. 11, blevet § 2, stk. 10.

Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste, og det følger således af persondatalovens § 2, stk. 10, og af § 1, stk. 2, i lov om retshåndhævende myndigheders behandling af personoplysninger, at centerets virksomhed er undtaget fra de to love.

Det er desuden tydeliggjort i § 8, stk. 1, i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at centerets virksomhed er undtaget fra persondataloven. Persondatalovens regler finder derfor ikke direkte anvendelse på centerets behandling af personoplysninger. Forsvarsministeren kan dog efter § 8, stk. 2, i lov om Center for Cybersikkerhed bestemme, at kapitel 8-10 i persondataloven (om oplysningspligt over for den registrerede, den registreredes indsigtsret og øvrige rettigheder) helt eller delvist finder anvendelse for Center for Cybersikkerhed vedrørende centerets behandling af anmodninger om tilslutning til netsikkerhedstjenesten, centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet og centerets personalesager.

Efter den gældende ordning i lov om Center for Cybersikkerhed finder en række centrale principper fra persondataloven anvendelse for centeret, da principperne er indarbejdet i lovens kapitel 6. Det gælder blandt andet krav til behandlingsgrundlag og krav om proportionalitet og dataminimering.

Det er i de almindelige bemærkninger til forslaget til lov om Center for Cybersikkerhed, jf. Folketingstidende 2013-2014, A, L 192 som fremsat, side 13, anført, at de centrale principper i persondataloven så vidt muligt bør gælde for Center for Cybersikkerhed. De særlige forhold, som gør sig gældende for Center for Cybersikkerheds aktiviteter, tilsiger imidlertid, at centeret ikke i samme omfang som andre offentlige myndigheder bør være omfattet af den almindelige persondataretlige lovgivning. Dette skal særligt ses i lyset af, at centerets netsikkerhedstjeneste i overensstemmelse med sit formål behandler store mængder data, hvor behandlingens fokus imidlertid som altovervejende hovedregel er på oplysninger af rent teknisk karakter.

Det anføres i bemærkningerne, at principperne om oplysningspligt over for den registrerede og den registreredes indsigts- og indsigelsesret ikke vil finde anvendelse på centerets virksomhed. Baggrunden herfor er, at formålet med Center for Cybersikkerheds netsikkerhedstjeneste ikke er at behandle personoplysninger, men at netsikkerhedstjenesten uundgåeligt vil skulle behandle personoplysninger i forbindelse med sine aktiviteter. Indsamlingen af personoplysninger er således en nødvendig del af netsikkerhedstjenestens virke, og det er vurderingen, at opfyldelse af en oplysningspligt over for den registrerede vil være uforholdsmæssig vanskelig, ligesom behovet for at kunne begære indsigt eller gøre indsigelse er mindre fremtrædende end de administrative byrder, det ville påføre netsikkerhedstjenesten.

Herudover fremgår det af § 23, stk. 2, i lov om Center for Cybersikkerhed, at Tilsynet med Efterretningstjenesternes virksomhed er undtaget fra persondataloven, når der føres tilsyn med Center for Cybersikkerheds behandling af person­oplysninger.

2.2. Forsvarsministeriets overvejelser

I lyset af, at persondataloven foreslås ophævet, og at reguleringen af databeskyttelsesområdet fremover primært vil ske i databeskyttelsesforordningen og den nye databeskyttelseslov, vurderes der at være behov for at foretage en konsekvensændring af lov om Center for Cybersikkerhed.

Den nuværende regulering af Center for Cybersikkerheds behandling af personoplysninger, herunder afvejningen af hensynet til de særlige forhold, der gør sig gældende for Center for Cybersikkerheds virksomhed, over for hensynet til at sikre et højt beskyttelsesniveau i forhold til behandlingen af personoplysninger, er et resultat af grundige overvejelser, som blev foretaget i forbindelse med lov om Center for Cybersikkerhed. De kommende ændringer i databeskyttelsesreguleringen fører ikke til en ændret vurdering heraf.

Forsvarsministeriet finder derfor, at gældende ret efter lov om Center for Cybersikkerhed i videst muligt omfang bør videreføres. Tilpasningen af lov om Center for Cybersikkerhed til den nye databeskyttelsesregulering bør således begrænse sig til de ændringer af teknisk karakter, som er en konsekvens af ændringerne i databeskyttelsesreguleringen.

Det bemærkes i den forbindelse, at den nye databeskyttelsesregulering vil finde anvendelse for de myndigheder og virksomheder, som er tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste, eller som på anden vis anmoder om centerets bistand i forbindelse med f.eks. cyberangreb. De tilsluttede myndigheder og virksomheder videregiver som led i samarbejdet med netsikkerhedstjenesten data - her­un?der persondata - til Center for Cybersikkerhed. Denne videregivelse vil fortsat kunne ske inden for rammerne af den nye databeskyttelsesregulering. Der henvises i den forbindelse særligt til databeskyttelsesforordningens præambelbetragtning 49, hvoraf det fremgår, at behandling af person­oplysninger - i det omfang, det er strengt nødvendigt og forholdsmæssigt for at sikre net- og informationssikkerheden - der foretages af eksempelvis Computer Emergency Response Teams (CERT'er) eller Computer Security Incident Response Teams (CSIRT'er) udgør en legitim interesse for den berørte dataansvarlige.

Endvidere finder Forsvarsministeriet det mest korrekt, at det af lov om Center for Cybersikkerhed udtrykkeligt fremgår, at personoplysninger kan overføres til arkiv efter reg­le?rne i arkivlovgivningen. En sådan bestemmelse vil svare til den nuværende § 14 i persondataloven og § 14 i den kommende databeskyttelseslov. Der vil i lighed med disse to bestemmelser alene være tale om en tydeliggørelse af, hvad der følger af arkivlovgivningen.

2.3. Den foreslåede ordning

Det forslås, at henvisningerne i lov om Center for Cybersikkerhed til persondataloven konsekvensændres, således at der i stedet henvises til den nye databeskyttelsesregulering.

Ændringerne foreslås at omfatte lovens § 8, stk. 1, der henviser til persondatalovens undtagelsesbestemmelse ved­rørende efterretningstjenester, samt lovens § 23, stk. 2, hvoraf det følger, at Tilsynet med Efterretningstjenesternes virksomhed er undtaget fra persondataloven. Det foreslås således, at det i overensstemmelse med den gældende ordning i lov om Center for Cybersikkerhed udtrykkeligt fremgår af bestemmelserne, at centeret og tilsynet er undtaget fra henholdsvis databeskyttelsesforordningen, databeskyttelsesloven og lov om retshåndhævende myndigheders behandling af personoplysninger.

Der foreslås endvidere en konsekvensændring af lovens § 8, stk. 2, hvor den gældende hjemmel til, at forsvarsministeren kan sætte persondatalovens kapitel 8-10 i kraft for Center for Cybersikkerheds behandling af anmodninger om tilslutning til netsikkerhedstjenesten, centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet samt centerets personalesager, ændres til, at ministeren fremover vil kunne bestemme, at databeskyttelsesforordningen og den nye databeskyttelseslov helt eller delvist skal finde anvendelse i de nævnte tilfælde.

Lovens øvrige bestemmelser om behandling af person­oplysninger foreslås ikke ændret. Lovens kapitel 6 om behandling af personoplysninger i Center for Cybersikkerhed vil dermed blive videreført uændret. De bestemmelser i kapitlet, der er baseret på den nuværende persondatalov, vil fortsat efter persondatalovens ophævelse skulle fortolkes i overensstemmelse med forarbejder til og praksis efter persondataloven. Bestemmelserne vil dermed ikke skulle fortolkes i lyset af reglerne i databeskyttelsesforordningen, den nye databeskyttelseslov samt fremtidig praksis herom.

Det foreslås desuden, at der tilføjes en ny bestemmelse i § 14, stk. 2, der tydeliggør, at personoplysninger, som Center for Cybersikkerhed behandler i medfør af lov om Center for Cybersikkerhed, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

3. Økonomiske og administrative konsekvenser for det offentlige

Lovforslaget har ikke økonomiske og administrative konsekvenser for det offentlige.

4. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget har ikke økonomiske og administrative konsekvenser for erhvervslivet mv.

5. Administrative konsekvenser for borgerne

Lovforslaget har ikke administrative konsekvenser for borgerne.

6. Miljømæssige konsekvenser

Lovforslaget har ikke miljømæssige konsekvenser.

7. Forholdet til EU-retten

Databeskyttelsesforordningen finder ikke anvendelse for Center for Cybersikkerhed, jf. forordningens artikel 2, stk. 2, litra a.

8. Hørte myndigheder og organisationer mv.

Et udkast til lovforslaget har i perioden fra den 13. december 2017 til den 15. januar 2018 været sendt i høring hos følgende myndigheder og organisationer mv.:

Advokatrådet, Amnesty International, Danske Advokater, Dansk Energi, Dansk Erhverv, Dansk Industri, Dansk Internet Forum (DIFO), DANSK IT, Danske Regioner, Datatilsynet, Den Danske Dommerforening, DI ITEK, DKCERT, Domstolsstyrelsen, Institut for Menneskerettigheder, ISP Sikkerhedsforum, IT-Branchen, IT-Politisk Forening, Justitia, KL, PROSA, Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Retspolitisk Forening, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færøerne, Rådet for Digital Sikkerhed, samtlige byretspræsidenter, Teleindustrien (TI) og Tilsynet med Efterretningstjenesterne.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1

Center for Cybersikkerheds virksomhed er i medfør af persondatalovens § 2, stk. 10, (tidligere § 2, stk. 11), undtaget fra persondataloven, hvilket ligeledes fremgår af § 8, stk. 1, i lov om Center for Cybersikkerhed.

Ved den nye databeskyttelseslovs ikrafttræden ophæves persondataloven. Det følger af § 3, stk. 2, i den nye databeskyttelseslov, at loven og databeskyttelsesforordningen ikke vil finde anvendelse på den behandling af personoplysnin?g­er, som udføres for eller af politiets og forsvarets efterretningstjenester.

Som konsekvens heraf foreslås det at ændre henvisningen til persondataloven i § 8, stk. 1, så der fremover henvises til databeskyttelsesforordningen og databeskyttelsesloven, jf. § 3, stk. 2, i databeskyttelsesloven.

Det foreslås samtidig, at det af lovteksten udtrykkeligt fremgår, at Center for Cybersikkerheds virksomhed ikke er omfattet af lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger, som trådte i kraft den 30. april 2017.

Der er alene tale om en lovteknisk konsekvensændring, som ikke indebærer en ændring af gældende ret.

Til nr. 2

Det følger af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvarsministeren kan bestemme, at kapitel 8-10 i persondataloven helt eller delvist finder anvendelse for Center for Cybersikkerhed vedrørende centerets behandling af anmodninger om tilslutning til netsikkerhedstjenesten, centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet og centerets personale­sager.

Som en konsekvens af den nye databeskyttelsesregulering foreslås det, at forsvarsministeren fremover kan bestemme, at databeskyttelsesforordningen og databeskyttelsesloven helt eller delvis finder anvendelse for Center for Cybersikkerhed vedrørende centerets behandling af anmodninger om tilslutning til netsikkerhedstjenesten, centerets virksomhed som myndighed for informationssikkerhed og beredskab på teleområdet og centerets personalesager. Det forudsættes, at det som led heri tillige vil kunne bestemmes, at databeskyttelsesforordningen og databeskyttelsesloven helt eller delvis finder anvendelse for de myndighedsopgaver vedrørende informationssikkerhed, som Center for Cybersikkerhed måtte blive tillagt som led i implementeringen af Europa-Parlamentets og Rådets direktiv 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-direktivet).

Det forudsættes endvidere, at Forsvarsministeriet drøfter de administrative regler udstedt i medfør heraf med Tilsynet med Efterretningstjenesterne, og at Udvalget vedrørende Efterretningstjenesterne underrettes, inden reglerne udstedes.

Til nr. 3

Der foreslås indsat en ny § 14, stk. 2, hvorefter person­oplysninger, som Center for Cybersikkerhed behandler i medfør af lov om Center for Cybersikkerhed, kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Bestemmelsen er identisk med den nuværende § 14 i persondataloven, og med indsættelsen af denne bestemmelse vil det blive tydeliggjort, at den ordning, der i dag følger af persondatalovens § 14, også gælder for Center for Cybersikkerhed. Bestemmelsen skal forstås og fortolkes i overensstemmelse med persondatalovens forarbejder og den relevante praksis.

Til nr. 4

Det følger af § 23, stk. 2, i lov om Center for Cybersikkerhed, at Tilsynet med Efterretningstjenesternes virksomhed er undtaget fra persondataloven.

Som konsekvens af den nye databeskyttelsesregulering foreslås det, at henvisningen til persondataloven erstattes af en henvisning til databeskyttelsesforordningen og databeskyttelsesloven.

Det foreslås herudover, at det i lovteksten præciseres, at Tilsynet med Efterretningstjenesternes virksomhed, i lighed med Center for Cybersikkerheds virksomhed, ikke er omfattet af lov om retshåndhævende myndigheders behandling af personoplysninger.

Der er alene tale om en lovteknisk konsekvensændring, som ikke indebærer en ændring af gældende ret.

Til § 2

Det foreslås, at loven træder i kraft den 25. maj 2018. Dermed vil loven træde i kraft samtidig med, at databeskyttelsesforordningen finder anvendelse og den nye databeskyttelseslov forventes at træde i kraft, hvorefter persondataloven ophæves.

Til § 3

Bestemmelsen vedrører lovens territoriale gyldighed.

Lov om Center for Cybersikkerhed gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger, jf. lovens § 26.

På den baggrund indebærer den foreslåede bestemmelse, at loven ikke gælder for Færøerne og Grønland, men at loven ved kongelig anordning helt eller delvis kan sættes i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.

Bilag 1

Lovforslaget sammenholdt med gældende lov