L 68 - 2017-18 - Endeligt svar på spørgsmål 111: Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren

Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

19. januar 2018

Databeskyttelseskontoret

Nanna Due Binø

2017-0037-0005

616658

Hermed sendes besvarelse af spørgsmål 48 vedrørende forslag til lov om

supplerende bestemmelser til forordning om beskyttelse af fysiske personer

i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til lov om

ændring af lov om retshåndhævende myndigheders behandling af personop-

lysninger, lov om massemediers informationsdatabaser og forskellige andre

love (Konsekvensændringer som følge af databeskyttelsesloven og databe-

skyttelsesforordningen samt medieansvarslovens anvendelse på offentligt

tilgængelige informationsdatabaser m.v.) (L 69), som Folketingets Retsud-

valg efter ønske fra Josephine Fock (ALT) har stillet til justitsministeren den

21. december 2017.

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

L 68 - 2017-18 - Endeligt svar på spørgsmål 111: Spm., om ministeren er enig i, at man bør fortolke det nationale råderum som alene værende et råderum for medlemsstaternes parlamenter, til justitsministeren

Spørgsmål 48 fra Folketingets Retsudvalg efter ønske fra Josephine

Fock (ALT) vedrørende L 68 og L 69:

”Vil ministeren kommentere alle problematikkerne rejst af jurist

Catrine Søndergaard Byrne i artiklen ”Dansk lov går stik imod

udmelding fra europæisk datavagthund” fra version2.dk den 15.

december 2017?

Svar:

I databeskyttelsesforordningens artikel 6, stk. 4, præciseres det, at der er

tre muligheder for, hvornår en viderebehandling af personoplysninger er

lovlig og i overensstemmelse med artikel 5, stk. 1, litra b, og dermed lov-

forslagets § 5, stk. 1.

En viderebehandling er således lovlig, hvis den for det

første

er baseret på

et samtykke til viderebehandlingen, hvis den for det

andet

bygger på en be-

stemmelse i EU-retten eller medlemsstaternes nationale ret i overensstem-

melse med artikel 23, stk. 1, eller hvis viderebehandlingen for det

tredje

for-

følger et formål, der ikke er uforeneligt med det oprindelige indsamlings-

formål på baggrund af ”ikke-uforenelighedstesten” i artikel 6, stk. 4, 2. led,

litra a-e.

Den nævnte anden mulighed for viderebehandling, bl.a. på baggrund af en

bestemmelse i national ret om viderebehandling, danner baggrund for lov-

forslagets § 5, stk. 3.

I de tilfælde, hvor der er tale om viderebehandling til et formål, der ikke

er foreneligt med det oprindelige formål, eller hvor der er tvivl om forene-

ligheden, sikrer henvisningen i forslagets § 5, stk. 3, til databeskyttelsesfor-

ordningens artikel 23, at der er snævre grænser for brugen af lovforslagets

§ 5, stk. 3, og at der i den forbindelse tages behørig hensyn til databeskyt-

telse og de registreredes rettigheder.

Forordningens artikel 23 giver således mulighed for at begrænse bl.a. for-

ordningens artikel 5, herunder finalité-princippet. Der er dog efter bestem-

melsen en række strenge krav til en sådan begrænsning, der skal respektere

det væsentligste indhold af de grundlæggende rettigheder og frihedsrettig-

heder og skal være en nødvendig og forholdsmæssig foranstaltning i et de-

mokratisk samfund.

Enhver konkret udnyttelse af bemyndigelsen i stk. 3 skal således ligge in-

den for mindst én af litraerne i litra a til j i artikel 23, stk. 1, i forordningen,

hvor eksempelvis litra e giver mulighed for at begrænse rettighederne af

hensyn til en medlemsstats væsentlige økonomiske interesser.

Når bemyndigelsen i lovforslagets § 5, stk. 3, udnyttes, skal bekendtgørel-

sen også leve op til kravene i forordningens artikel 23, stk. 2, hvorefter en-

hver lovgivningsmæssig foranstaltning, der er omhandlet i artikel 23 stk. 1,

som minimum, hvor det er relevant, skal indeholde specifikke bestemmel-

ser vedrørende de i stk. 2, litra a-h, angivne krav.

Det vil således eksempelvis være relevant i bekendtgørelsen specifikt at re-

gulere, hvilke formål der kan ske videreanvendelse til, og hvilke formål der

ikke kan ske videreanvendelse til. Det vil også være relevant at fastsætte be-

stemmelser om, hvor lang tid personoplysningerne må opbevares, ligesom

der skal fastsættes regler, som sikrer, at videreanvendte oplysninger ikke

kan misbruges.

Regler fastsat efter lovforslagets § 5, stk. 3, må forventes ofte at blive af tek-

nisk præget karakter, og på den baggrund er det nærliggende, at sådanne

regler fastsættes i bekendtgørelsesform.

Det bemærkes, at det fremgår af præambelbetragtning nr. 41 til databeskyt-

telsesforordningen, at når forordningen henviser til et retsgrundlag eller en

lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der

er vedtaget af et parlament, med forbehold for krav i henhold til den forfat-

ningsmæssige orden i den pågældende medlemsstat.

Det fremgår af betænkning nr. 1565/2017 om databeskyttelsesforordningen,

side 158, at retsgrundlaget således f.eks. også kan fremgå af en bekendtgø-

relse, fastsat på baggrund af en bemyndigelse i lov, der rummer mulighed

for at fastsætte regler om behandling af personoplysninger.

Lovforslaget til databeskyttelseslovens § 23 lægger alene op til at be-

grænse oplysningspligten for den dataansvarlige (myndigheden), der alle-

rede én gang har opfyldt sin oplysningspligt over for den registrerede efter

databeskyttelsesforordningens artikel 13, stk. 1 og 2, eller artikel 14, stk. 1

og 2.

Den registrerede er dermed i denne situation blevet orienteret af den data-

ansvarlige om de oplysninger, som fremgår af artikel 13, stk. 1 og 2, eller

artikel 14, stk. 1 og 2. Det betyder, at undtagelsen i § 23 alene går ud på, at

den dataansvarlige, som på baggrund af en bekendtgørelse udstedt efter lov-

forslagets § 5, stk. 3, nu ønsker at benytte lovligt indsamlede oplysninger til

et nyt formål, ikke skal give underretning til den registrerede om dette nye

formål.

Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel

i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden data-

ansvarlig (en anden myndighed), skal sidstnævnte dataansvarlig selv sikre

sig, at vedkommende dataansvarlig lever op til oplysningspligten.

Det vil altså sige, at den myndighed, der modtager oplysningerne fra den af-

givende myndighed, selvstændigt skal sikre sig, at der sker underretning af

den registrerede.

Det er Justitsministeriets opfattelse, at denne snævre undtagelse fra oplys-

ningspligten er forsvarlig.

Artikel 29-gruppens udtalelse om databeskyttelsesforordningens bestem-

melser om gennemsigtighed og oplysningspligt ændrer ikke på Justitsmini-

steriets vurdering.