L 69 - 2017-18 - Endeligt svar på spørgsmål 2: Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren

Retsudvalget 2017-18
L 69
Offentligt

Folketinget

Retsudvalget

Christiansborg Slot 1

1218 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

8. december 2017

Databeskyttelseskontoret

Anders Lotterup

2017-0037-0005

577139

Hermed sendes besvarelse af spørgsmål 2 vedrørende forslag til lov om sup-

plerende bestemmelser til forordning om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesloven) (L 68), som Folketingets Rets-

udvalg har stillet til justitsministeren den 16. november 2017.

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

L 69 - 2017-18 - Endeligt svar på spørgsmål 2: Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren

Spørgsmål 2 fra Folketingets Retsudvalg vedrørende forslag L 68 til lov

om supplerende bestemmelser til forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri

udveksling af sådanne oplysninger (databeskyttelsesloven):

”Vil

ministeren redegøre for, om det er korrekt forstået, at et

samtykke til anvendelse af persondata ikke skal fornys, selv om

det oprindelige formål for anvendelsen ændres?”

Svar:

Nej, et samtykke vil i praksis skulle fornys, hvis det oprindelige formål

for anvendelsen ændres.

Det følger således af databeskyttelsesforordningen, at et samtykke fra den

registrerede er enhver frivillig, specifik, informeret og utvetydig viljestil-

kendegivelse fra den registrerede, hvorved den registrerede ved erklæring

eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den

pågældende, gøres til genstand for behandling, jf. forordningens artikel 4,

nr. 11.

Man kan som registreret give sit samtykke til behandling af sine personop-

lysninger til

–

som det hedder i forordningen

– ”et

eller flere specifikke for-

mål”, både for så vidt angår almindelige

personoplysninger omfattet af for-

ordningens artikel 6 og følsomme personoplysninger omfattet af artikel 9.

I kravet om, at samtykke skal være

specifikt

ligger, at det ikke må være ge-

nerelt udformet eller uden en præcis angivelse af formålene med behandlin-

gen af personoplysninger. Et samtykke skal med andre ord være konkreti-

seret på en sådan måde, at det klart og tydeligt fremgår, hvad der meddeles

samtykke til.

I kravet om, at samtykket skal være

informeret

ligger, at den registrerede

skal være klar over, hvad der gives samtykke til. Den dataansvarlige skal

give den registrerede en række informationer, som skal sikre, at den regi-

strerede kan træffe sin beslutning om at samtykke på et oplyst grundlag, bl.a.

skal der gives oplysning om den dataansvarliges identitet, formålet med den

påtænkte behandling, hvilke oplysninger der behandles, og hvilken behand-

ling der finder sted.

L 69 - 2017-18 - Endeligt svar på spørgsmål 2: Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren

Den registreredes samtykke skal meddeles i form af en

utvetydig tilkende-

givelse.

Det betyder, at det ikke må give anledning til tvivl, om der er givet

samtykke. Tavshed, allerede afkrydsede felter på hjemmesider eller inakti-

vitet er ikke tilstrækkeligt til at udgøre en utvetydig tilkendegivelse og kan

derfor ikke udgøre et samtykke.

Det følger af databeskyttelsesforordningens artikel 7, stk. 1, at det er den

dataansvarlige, som har bevisbyrden for, at den registrerede har givet fornø-

dent samtykke, ligesom artikel 7, stk. 3, som noget nyt stiller som betingelse

for et samtykkes gyldighed, at den registrerede på forhånd er blevet oplyst

om, at samtykket kan trækkes tilbage.

Datatilsynet og Justitsministeriet har i november 2017 offentliggjort en vej-

ledning om samtykket efter databeskyttelsesreglerne, der nærmere uddyber

kravene til et samtykke. Vejledningen er tilgængelig på Datatilsynets hjem-

meside.

Al behandling af personoplysninger, herunder behandling på baggrund af

et samtykke, skal også overholde de grundlæggende betingelser for behand-

ling i forordningens artikel 5, hvor det bl.a. fremgår, at personoplysninger

kun må indsamles til udtrykkeligt angivne og legitime formål, jf. artikel 5,

stk. 1, litra b. Det samme følger af lovforslagets (L 68) § 5, stk. 1.

Selvom en behandling af personoplysninger sker på baggrund af et sam-

tykke, er der i den forbindelse grænser for, hvor mange oplysninger den da-

taansvarlige kan indsamle. Det følger således af artikel 5, stk. 1, litra c, at al

behandling af oplysninger skal være tilstrækkelig, relevant og begrænset til,

hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Det bemærkes, at samtykket er et blandt flere behandlingshjemler, der

kan anvendes som grundlag for lovlig behandling af personoplysninger. Ek-

sempelvis kan der også

–

uden samtykke

–

behandles almindelige person-

oplysninger omfattet af forordningens artikel 6, hvis behandlingen er nød-

vendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part

i (artikel 6, stk. 1, litra b), eller hvis behandlingen er nødvendig for at over-

holde en retlig forpligtelse, som påhviler den dataansvarlige (artikel 6, stk.

1, litra c).

Selvom en behandling af personoplysninger bygger på et eller flere af

disse lovlige grundlag for behandling, f.eks. den registreredes samtykke, er

der grænser for, hvilke andre, senere formål, oplysningerne kan anvendes

L 69 - 2017-18 - Endeligt svar på spørgsmål 2: Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren

til. Det følger således også af den ovenfor nævnte artikel 5, stk. 1, litra b, i

forordningen, at personoplysninger ikke må viderebehandles på en måde,

der er uforenelig med de oprindelige formål, jf. også lovforslagets § 5, stk.

I forordningens artikel 6, stk. 4, præciseres det i forlængelse heraf, at der er

tre muligheder for lovlig viderebehandling i overensstemmelse med artikel

5, stk. 1, litra b. En viderebehandling er således lovlig, hvis den for det første

er baseret på et (nyt) samtykke til viderebehandlingen, hvis den for det andet

bygger på en bestemmelse i EU-retten eller medlemsstaternes nationale ret

i overensstemmelse med artikel 23, stk. 1, eller hvis viderebehandlingen for

det tredje forfølger et formål, der ikke er uforeneligt med det oprindelige

indsamlingsformål på baggrund af ”ikke-uforenelighedstesten” i artikel 6,

stk. 4, 2. led, litra a-e.

Denne ”ikke-uforenelighedstest” er medtaget i

lovforslagets § 5, stk. 2.

Hvis en behandling således på baggrund af testen ikke er uforenelig med det

oprindelige behandlingsformål, kan behandlingen lovligt ske på baggrund

af og inden for rammerne af det oprindelige hjemmelsgrundlag, f.eks. et

samtykke.

Mulighederne for at viderebehandle oplysninger, der alene er baseret på

den registreredes samtykke, må dog anses for at være snævre. Der må med

andre ord i samtykkesituationen antages at være snævre grænser for, hvor-

når behandling til et nyt formål er foreneligt med det oprindelige formål.

Dette skyldes de nævnte betingelser, der skal være opfyldt, for, at et sam-

tykke er gyldigt og dermed kan bruges som behandlingsgrundlag, herunder

at det skal være ”specifik” og ”informeret”.

F.eks. kan der tænkes en situation, hvor man ved indmeldelse i et fitness-

center har samtykket til at modtage centrets månedlige nyhedsbrev, men

man er ikke blevet anmodet om at samtykke til at modtage særskilt mar-

kedsføringsmateriale fra den internetbutik med træningsudstyr, som fitness-

centrets ejer også driver. Her vil der være tale om viderebehandling af per-

sonoplysningerne på en måde, der er uforenelig med det oprindelige formål,

hvis fitnesscentret sender markedsføringsmaterialet fra internetbutikken til

brugeren af fitnesscentret. Ejeren skal i stedet indhente et gyldigt samtykke

til den viderebehandling for, at behandlingen er lovlig.

L 69 - 2017-18 - Endeligt svar på spørgsmål 2: Spm., om det er korrekt forstået, at et samtykke til anvendelse af persondata ikke skal fornys, til justitsministeren

Det betyder i praksis i de fleste tilfælde

–

som eksemplet umiddelbart oven-

for også viser

–

at hvis en dataansvarlig, der alene behandler oplysninger på

grundlag af et samtykke givet til ét formål, efterfølgende ønsker at anvende

oplysningerne til et andet formål, skal den dataansvarlige indhente et nyt

samtykke, der omfatter også den nye behandling. I modsat fald vil der være

tale om en ulovlig behandling af personoplysninger.

For så vidt angår lovforslagets § 5, stk. 3, hvorefter vedkommende mini-

ster efter forhandling med justitsministeren inden for rammerne af databe-

skyttelsesforordningens artikel 23 kan fastsætte nærmere regler om, at per-

sonoplysninger af offentlige myndigheder må viderebehandles til andre for-

mål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forene-

lighed, henvises til den samtidige besvarelse af spørgsmål nr. 4 vedrørende

L 68, som Folketingets Retsudvalg har stillet til justitsministeren den 22.

november 2017