PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2010-11 (1. samling)
KOM (2010) 0609 Bilag 1
Offentligt

Lovafdelingen

Dato:

Kontor:

Sagsnr.:

Dok.:

15. november 2010

Statsretskontoret

2010-7614-0030

OTE40148

GRUND- OG NÆRHEDSNOTAT

vedrørende meddelelse fra Kommissionen om en global metode til

beskyttelse af personoplysninger i Den Europæiske Union

Resumé

Meddelelsen fastlægger Kommissionens metode til en modernisering af

EU-retlige regler vedrørende beskyttelse af personoplysninger og angi-

ver en række databeskyttelsesretlige emner, som Kommissionen har til

hensigt at undersøge nærmere. Kommissionen har til hensigt i 2011 at

fremkomme med et konkret forslag til en revision af de nuværende regler

om databeskyttelse, herunder databeskyttelsesdirektivet. Det forventes, at

meddelelsen vil blive forelagt på rådsmødet (retlige og indre anliggen-

der) den 2.-3. december 2010 til en orienterede drøftelse.

Baggrund

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (per-

sondataloven) er der fastsat generelle regler om behandling af personop-

lysninger for offentlige myndigheder og den private sektor.

Persondataloven er først og fremmest baseret på Europa-Parlamentets og

Rådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesdirektivet).

Kommissionen afgav den 4. november 2010 en meddelelse om en global

metode til beskyttelse af personoplysninger i EU. Formålet med medde-

lelsen er at fastlægge Kommissionens metode til modernisering af de

EU-retlige regler vedrørende beskyttelse af personoplysninger på alle

områder, hvor EU agerer, især på baggrund af de udfordringer, som glo-

balisering og ny teknologi skaber, således at man fortsat kan sikre fysiske

personer et højt beskyttelsesniveau med hensyn til behandling af person-

oplysninger.

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

De i meddelelsen angivne mål vil danne grundlag for yderligere drøftel-

ser med de øvrige EU-institutioner og andre interessenter og skal senere

munde ud i konkrete forslag og foranstaltninger. Kommissionen har såle-

des til hensigt i 2011 at fremkomme med et konkret forslag til en revision

af de nuværende generelle regler om databeskyttelse, herunder databe-

skyttelsesdirektivet. Andre foranstaltninger, f.eks. tilskyndelse til selvre-

gulering og muligheden for EU-datasikkerhedsmærkning, vil også blive

undersøgt. I anden omgang vil Kommissionen vurdere behovet for at til-

passe andre retlige instrumenter til de nye generelle regler for databeskyt-

telse.

Det danske retsforbehold

Kommissionen peger i meddelelsen på TEUF artikel 16 som retsgrundla-

get for nye EU-regler om behandling af personoplysninger.

Meddelelsen fra Kommissionen vedrører bl.a. behandling af personop-

lysninger, som medlemsstaterne foretager under udøvelsen af aktiviteter,

der er omfattet af TEUF 3. del, afsnit V, kap. 4 eller 5 (retligt samarbejde

i straffesager og politisamarbejde).

Ifølge artikel 2 i protokollen om Danmarks stilling, der er knyttet til Lis-

sabontraktaten, er ingen af de foranstaltninger, der er vedtaget i henhold

til TEUF 3. del, afsnit V, bindende for eller finder anvendelse i Danmark.

Det følger af protokollens artikel 2 a, at den nævnte bestemmelse ligele-

des finder anvendelse i forbindelse med de regler, der er fastsat på grund-

lag af TEUF artikel 16 og vedrører medlemsstaternes behandling af per-

sonoplysninger under udøvelsen af aktiviteter, der er omfattet af TEUF 3.

del, afsnit V, kap. 4 eller 5.

Indhold

2.1. Generelt

2.1.1.

Det fremgår af meddelelsen, at der fra forskellige sider er peget på

en række områder med problemer og specifikke udfordringer i relation til

databeskyttelse.

Der er således peget på, at det er nødvendigt at klarlægge og præcisere,

hvordan databeskyttelsesprincipperne skal anvendes på ny teknologi, så-

ledes at det sikres, at personoplysninger rent faktisk beskyttes effektivt,

uanset hvilken teknologi der anvendes ved databehandlingen, og at de

PDF to HTML - Convert PDF files to HTML files

dataansvarlige er fuldt ud bevidste om, hvilke konsekvenser ny teknologi

har for databeskyttelse (håndtering

af konsekvenserne af ny teknologi).

Endvidere er der peget på, at der er en utilstrækkelig harmonisering af

medlemsstaternes lovgivning om databeskyttelse (større

vægt på databe-

skyttelse som led i det indre marked).

Der er desuden peget på, at den stigende outsourcing af databehandling –

ofte til lande uden for EU – er forbundet med flere problemer, og at in-

ternationale dataoverførsler bør gøres enklere og mindre besværlige

(håndtering

af globaliseringen og forbedring af internationale dataover-

førsler).

Der er også peget på, at databeskyttelsesmyndighederne skal spille en

vigtigere rolle med henblik på at forbedre håndhævelsen af databeskyt-

telsesreglerne (en

bedre institutionel ordning til effektiv håndhævelse af

databeskyttelsesreglerne).

Endelig er der peget på nødvendigheden af et overordnet instrument, der

finder anvendelse på databehandlingsprocesser i alle sektorer og på alle

politiske områder i EU, således at der skabes en integreret metode og op-

nås en beskyttelse, der er ensartet, konsekvent og effektiv (øget

sammen-

hæng i retsreglerne om databeskyttelse).

2.1.2.

Med henblik på at håndtere de ovennævnte udfordringer må der

efter Kommissionens opfattelse udvikles en såkaldt global og sammen-

hængende metode, der kan sikre, at retten til beskyttelse af personoplys-

ninger respekteres både i og uden for EU.

Kommissionen peger herved på, at der med Lissabontraktaten findes det

fornødne retsgrundlag (TEUF artikel 16) til at skabe globale og sammen-

hængende EU-regler om beskyttelse af fysiske personer i forbindelse

med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger.

Formålet med meddelelsen er at fastlægge Kommissionens metode til

modernisering af EU-retlige regler vedrørende beskyttelse af personop-

lysninger på alle de områder, hvor EU agerer. Kommissionen peger på en

række hovedformål med den globale metode til databeskyttelse, herunder

en række emner som Kommissionen har til hensigt at undersøge nærme-

re.

PDF to HTML - Convert PDF files to HTML files

2.2. Nærmere om hovedelementerne i Kommissionens meddelelse om

en global metode til beskyttelse af personoplysninger i Den Europæi-

ske Union

2.2.1. Styrkelse af fysiske personers rettigheder

Fysiske personer skal nyde passende beskyttelse i enhver situation

Kommissionen vil overveje, hvordan man kan sikre, at databeskyttelses-

reglerne anvendes på sammenhængende vis, under hensyntagen til den

nye teknologis indvirkning på fysiske personers rettigheder og frihedsret-

tigheder og målet om at sikre fri udveksling af personoplysninger i det

indre marked.

Øget gennemsigtighed for den registrerede

Kommissionen vil overveje at indføre et generelt princip om gennemsig-

tighed i behandlingen af personoplysninger i EU-reglerne. Desuden vil

Kommissionen overveje at pålægge dataansvarlige specifikke forpligtel-

ser, herunder over for børn, med hensyn til, hvilke informationer de skal

give, og på hvilken måde disse skal gives. Kommissionen vil endvidere

overveje at udfærdige en eller flere EU-standardformularer ("erklæringer

om beskyttelse af personoplysninger"), som skal anvendes af dataansvar-

lige. Kommissionen vil endelig undersøge, hvordan der i de generelle

retsregler kan indføres en generel underretningspligt ved persondatasik-

kerhedsbrud, herunder hvem der skal underrettes og kriterierne for, hvor-

når underretningspligten indtræder.

Øget kontrol over egne personoplysninger

Kommissionen vil undersøge, hvordan princippet om dataminimering

kan styrkes. Desuden vil Kommissionen undersøge, hvordan man kan

give bedre muligheder for, at fysiske personer rent faktisk kan udøve de-

res ret til adgang, berigtigelse, sletning og blokering af personoplysnin-

ger (f.eks. ved at indføre frister for svar på anmodninger herom, ved at

tillade, at rettigheder kan udøves via internettet eller ved at knæsætte

princippet om, at adgang til personoplysninger skal være gratis).

Kommissionen vil endvidere undersøge, hvordan man kan tydeliggøre

den såkaldte "ret til at blive glemt", dvs. fysiske personers ret til at få

slettet personoplysninger, så de ikke længere kan databehandles, når de

ikke længere er nødvendige til legitime formål (det er eksempelvis tilfæl-

det, når databehandlingen er betinget af den fysiske persons samtykke,

PDF to HTML - Convert PDF files to HTML files

når vedkommende trækker sit samtykke tilbage, eller når lagringsperio-

den er udløbet).

Endelig vil Kommissionen undersøge, hvordan de registreredes rettighe-

der kan udbygges ved at sikre "dataportabilitet", dvs. fysiske personers

udtrykkelige ret til at fjerne egne personoplysninger (eksempelvis fotos

eller en liste over venner) fra et program eller tjeneste og derefter, så vidt

det er teknisk muligt, portere dem til et andet program eller tjeneste, uden

at dataansvarlige kan modsætte sig det.

Oplysningsarbejde

Kommissionen vil undersøge, om det er muligt at medfinansiere oplys-

ningsaktiviteter via EU's budget. Endvidere vil Kommissionen undersø-

ge, om der er behov og mulighed for at indføje en forpligtelse til oplys-

ningsaktiviteter på dette område.

Sikring af informeret og frivilligt samtykke

Kommissionen vil undersøge, hvordan reglerne om samtykke kan tyde-

liggøres og styrkes.

Beskyttelse af følsomme oplysninger

Kommissionen vil overveje, om andre kategorier af oplysninger end

dem, der følger af det gældende EU-retlige retsgrundlag, bør betragtes

som "følsomme oplysninger", f.eks. genetiske data. Endvidere vil Kom-

missionen overveje yderligere at afklare og harmonisere betingelserne for

at tillade behandling af kategorier af følsomme oplysninger.

Mere effektive retsmidler og sanktioner

Kommissionen vil overveje at give databeskyttelsesmyndigheder, organi-

sationer i civilsamfundet og andre organisationer, der repræsenterer de

registreredes interesser, mulighed for at anlægge sag ved de nationale

domstole og vurdere behovet for at styrke de gældende bestemmelser om

sanktioner, f.eks. ved at operere eksplicit med strafferetlige sanktioner i

tilfælde af alvorlige krænkelser af databeskyttelsen, for at gøre bestem-

melserne mere effektive.

PDF to HTML - Convert PDF files to HTML files

2.2.2. Større vægt på databeskyttelse som led i det indre marked

Styrket retssikkerhed og lige vilkår for registeransvarlige

Kommissionen vil undersøge, hvordan der kan opnås yderligere harmo-

nisering af databeskyttelsesreglerne på EU-niveau.

Færre administrative byrder

Kommissionen vil undersøge forskellige muligheder for at forenkle og

harmonisere det nuværende anmeldelsessystem, herunder for at udfærdi-

ge et fælles EU-registreringsskema.

Præcisering af reglerne om, hvilket lands regler der skal anvendes og af

medlemsstaternes ansvar

Kommissionen vil undersøge, hvordan de gældende bestemmelser om,

hvilket lands regler der skal anvendes (lovvalgsreglerne), kan revideres

og præciseres med henblik på at styrke retssikkerheden og tydeliggøre

medlemsstaternes ansvar for at anvende databeskyttelsesreglerne, samt i

sidste ende give de registrerede i EU-medlemsstater samme grad af be-

skyttelse, uanset hvor den dataansvarlige fysisk befinder sig.

Større ansvar til den dataansvarlige

Med henblik på at øge de dataansvarliges ansvar vil Kommissionen un-

dersøge muligheden for at gøre det obligatorisk for den dataansvarlige at

udpege en databeskyttelsesansvarlig og harmonisere reglerne for de data-

beskyttelsesansvarliges opgaver og beføjelser, men samtidig overveje,

hvor bagatelgrænsen bør gå for at undgå unødige administrative byrder,

navnlig for små virksomheder og mikrovirksomheder. Kommissionen vil

endvidere undersøge mulighederne for at lade retsreglerne omfatte en

forpligtelse for de dataansvarlige til at foretage en konsekvensanalyse,

for så vidt angår databeskyttelse i bestemte tilfælde, eksempelvis når føl-

somme oplysninger behandles, eller når arten af databehandling på anden

måde indebærer særlige risici, herunder særlig når der anvendes specifik-

ke teknologier, mekanismer eller procedurer, deriblandt ”profiling” eller

videoovervågning. Endelig vil Kommissionen undersøge muligheder for

yderligere at fremme anvendelsen af teknologier til beskyttelse af privat-

livets fred og mulighederne for at gennemføre begrebet "Privacy by De-

sign" i praksis.

PDF to HTML - Convert PDF files to HTML files

Større selvregulering og mulighed for EU-certificeringsordninger

Kommissionen vil undersøge, hvordan man kan tilskynde yderlige til

selvregulering, herunder aktivt fremme adfærdskodekser. Kommissionen

vil endvidere undersøge, om det er muligt at oprette EU-

certificeringsordninger for at beskytte privatlivets fred og datasikkerhe-

den.

2.2.3. Revision af databeskyttelsesreglerne inden for politisamarbej-

det og det retlige samarbejde i straffesager

Kommissionen vil navnlig overveje at udvide anvendelsen af de generel-

le databeskyttelsesregler til områderne politisamarbejde og retligt samar-

bejde i straffesager, herunder databehandling i den enkelte medlemsstat,

samtidig med, at der om nødvendigt foretages harmoniserede begræns-

ninger i nogle af de databeskyttelsesrettigheder, som fysiske personer

har, eksempelvis vedrørende adgang til oplysninger eller gennemsigtig-

hedsprincippet.

Endvidere vil Kommissionen undersøge behovet for at indføje specifikke

og harmoniserede bestemmelser i de nye generelle regler for databeskyt-

telse, f.eks. vedrørende databeskyttelse i forbindelse med behandling af

genetiske data til strafferetlige formål eller skelnen mellem de forskellige

kategorier af registrerede (vidner, mistænkte osv.) inden for politisamar-

bejde og retligt samarbejde i straffesager.

Kommissionen vil i 2011 iværksætte en høring af alle interessenter om,

hvordan man bedst kan revidere det nuværende system med tilsyn inden

for politisamarbejde og retligt samarbejde i straffesager, således at der

sikres et effektiv og konsekvent tilsyn med databeskyttelse i alle EU-

institutioner, -organer, -kontorer og -agenturer.

Kommissionen vil endelig vurdere behovet for på længere sigt at tilnær-

me de eksisterende forskellige sektorspecifikke EU-regler for politisam-

arbejde og retligt samarbejde i straffesager til de nye generelle regler for

databeskyttelse. Som eksempler på sektorspecifikke regler peger Kom-

missionen bl.a. på de regler, der vedrører Europol, Eurojust, Schengen-

informationssystemet og Told-informationssystemet.

PDF to HTML - Convert PDF files to HTML files

2.2.4. Databeskyttelsens globale dimension

Præcisering og forenkling af reglerne for internationale dataoverførsler

Kommissionen agter at undersøge, hvordan de nuværende procedurer i

forbindelse med internationale dataoverførsler kan forbedres og strøm-

lines, herunder i form af retligt bindende instrumenter og "bindende virk-

somhedsregler", så EU's metode i forhold til tredjelande og internationale

organisationer bliver mere ensartet og sammenhængende. Kommissionen

vil endvidere undersøge, hvordan Kommissionens procedure til vurde-

ring af, om databeskyttelsesniveauet i et tredjeland eller en international

organisationer er tilstrækkeligt, kan tydeliggøres, herunder hvordan de

krav og kriterier, der anvendes ved vurderingerne, kan udspecificeres.

Endelig vil Kommissionen undersøge, hvordan kerneelementer vedrø-

rende EU's databeskyttelse, der kan anvendes ved alle typer af internatio-

nale aftaler, kan defineres.

Fremme universelle principper

Kommissionen vil fortsat fremme udviklingen af høje retlige og tekniske

databeskyttelsesstandarder i tredjelande og internationalt. Kommissionen

vil endvidere arbejde for princippet om gensidighed i beskyttelsen i EU's

internationale foranstaltninger, herunder særlig for så vidt angår registre-

rede, hvis data overføres fra EU til tredjelande. For at nå dette mål vil

Kommissionen øge samarbejdet med tredjelande og internationale orga-

nisationer såsom OECD, Europarådet, De Forenede Nationer og regiona-

le organisationer. Kommissionen vil nøje følge standardiseringsorganers

(f.eks. CEN og ISO) udvikling af internationale tekniske standarder, så

det sikres, at de supplerer retsreglerne hensigtsmæssigt, og at de vigtigste

databeskyttelseskrav rent faktisk gennemføres effektivt

2.2.5. En stærkere institutionel ordning til bedre håndhævelse af da-

tabeskyttelsesreglerne

Kommissionen vil undersøge, hvordan de nationale databeskyttelses-

myndigheders status og beføjelser kan styrkes, tydeliggøres og harmoni-

seres i de nye retsregler, herunder hvordan begrebet "fuld uafhængighed"

kan gennemføres fuldt ud. Desuden vil Kommissionen undersøge, hvor-

dan samarbejdet og koordineringen mellem databeskyttelsesmyndighe-

derne kan forbedres. Endelig vil Kommissionen undersøge, hvordan det

kan sikres, at EU's databeskyttelsesregler anvendes mere konsekvent i

PDF to HTML - Convert PDF files to HTML files

hele det indre marked. Dette kan indebære en styrkelse af den rolle, som

de nationale tilsynsførende for databeskyttelse spiller, en bedre koordine-

ring af deres arbejde via artikel 29-gruppen (som bør blive et mere åbent

organ), og/eller indførelse af en mekanisme, der under Kommissionens

ledelse kan sikre konsekvens i det indre marked.

Gældende dansk ret

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med

senere ændringer (persondataloven) er der fastsat generelle regler om be-

handling af personoplysninger for offentlige myndigheder og den private

sektor.

Persondataloven indeholder således bl.a. regler om, hvornår behandling

af personoplysninger i almindelighed må finde sted, ligesom loven inde-

holder særlige regler vedrørende behandling af særlige typer oplysninger

(f.eks. regler om personnumre) og områder (f.eks. regler om kreditoplys-

ningsbureauer). Loven indeholder desuden en række bestemmelser om

rettigheder for de personer, der behandles oplysninger om, f.eks. regler

om den registreredes ret til information, indsigelse, indsigt, berigtigelse

og sletning af personoplysninger. Endvidere er fastsat regler om datasik-

kerhed i forbindelse med behandling af personoplysninger. Persondatalo-

ven indeholder også bestemmelser om Datatilsynets kontrol med behand-

ling af personoplysninger, der foretages for offentlige myndigheder og

den private sektor, ligesom der i loven er fastsat regler om pligt til at fo-

retage anmeldelse til Datatilsynet i forbindelse med bestemte typer be-

handling af personoplysninger.

Persondataloven er først og fremmest baseret på Europa-Parlamentets og

Rådets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesdirektivet).

Lovgivningsmæssige og statsfinansielle konsekvenser

4.1. Lovgivningsmæssige konsekvenser

Kommissionen meddelelse lægger op til, at Europa-Parlamentets og Rå-

dets direktiv af 24. oktober 1995 om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (databeskyttelsesdirektivet) skal erstattes af nye EU-

regler om databeskyttelse.

PDF to HTML - Convert PDF files to HTML files

Dette vil indebære en ændring af persondataloven, der som nævnt oven-

for under pkt. 3 er baseret på databeskyttelsesdirektivet. Endvidere må

nye EU-regler om databeskyttelse antages at kunne få betydning for an-

den lovgivning, der indeholder bestemmelser om behandling af person-

oplysninger.

Som anført under pkt. 1 vil eventuelle EU-regler (i medfør af TEUF arti-

kel 16) om behandling af personoplysninger, som foretages af medlems-

staterne under udøvelsen af aktiviteter, der er omfattet af TEUF 3. del,

afsnit V, kap. 4 eller 5, ikke være bindende for eller finder anvendelse i

Danmark.

4.2. Statsfinansielle konsekvenser

Det kan ikke på nuværende tidspunkt vurderes, om nye EU-regler om

databeskyttelse vil have statsfinansielle konsekvenser.

Høring

Der er ikke foretaget høring vedrørende sagen.

Nærhedsprincippet

Det kan ikke på nuværende tidspunkt vurderes, om nye EU-regler om

databeskyttelse vil rejse spørgsmål i relation til nærhedsprincippet.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-

lemsstaters holdning til forslaget.

Foreløbig generel dansk holdning

Fra dansk side er man overordnet positiv over for Kommissionens med-

delelse, hvori der peger på en række relevante problemstillinger inden for

databeskyttelsesretten.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-

tingets Retsudvalg.