PDF to HTML - Convert PDF files to HTML files

Europaudvalget 2011-12
KOM (2012) 0011 Bilag 2
Offentligt

Civil- og Politiafdelingen

Dato:

Kontor:

8. maj 2012

EU-

formandskabssekretaria-

tet

Sagsbeh: Christian Wiese

Svanberg

Sagsnr.: 2012-3756-0005

Dok.:

331847

GRUND- OG NÆRHEDSNOTAT

vedrørende Kommissionens forslag til

Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og den fri

udveksling af sådanne oplysninger (generel forordning om databe-

skyttelse)

KOM (2012) 11 endelig

Resumé

Forslaget til en generel forordning om databeskyttelse er ikke omfattet af

retsforbeholdet. Forslaget er på en række punkter en videreførelse af regu-

leringen i det gældende databeskyttelsesdirektiv, men forslaget indeholder

samtidig en række væsentlige ændringer og nyskabelser. Det er regerin-

gens helt foreløbige vurdering, at forslaget er i overensstemmelse med

nærhedsprincippet. Forslaget vurderes at have lovgivningsmæssige konse-

kvenser. Forslaget vurderes at have statsfinansielle konsekvenser. Kom-

missionens forslag vurderes at medføre såvel administrative lettelser som

administrative byrder for danske virksomheder. Der ses ikke at foreligge

offentlige tilkendegivelser om de øvrige medlemsstaters holdninger til for-

slaget. Fra dansk side er man overordnet set positiv over for forslaget. For-

slagets omfattende karakter og dets forventede indvirkning på store dele af

den offentlige og private sektor nødvendiggør dog, at der foretages en nø-

jere vurdering af forslagets indhold, inden en nærmere stillingtagen til for-

slaget kan finde sted.

Baggrund

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

Den 4. november 2010 afgav Kommissionen en meddelelse med titlen:

”En global metode til beskyttelse af personoplysninger i Den Europæiske

Union” (KOM(2010) 609 endelig). Denne meddelelse beskriver hovedte-

maerne for den reform af EU’s databeskyttelsesregler, som Kommissionen

nu tilsigter at gennemføre bl.a. ved det foreliggende forordningsforslag.

PDF to HTML - Convert PDF files to HTML files

I forbindelse med fremsættelse af det foreliggende forordningsforslag af-

gav Kommissionen endvidere en meddelelse med titlen: ”Beskyttelse af

privatlivets fred i en forbundet verden: En europæisk databeskyttelses-

ramme til det 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen be-

skrives de overvejelser, der ligger til grund for Kommissionens forslag.

Det anføres i den forbindelse, at Kommissionen finder, at der er brug for

moderne, sammenhængende databeskyttelsesregler for hele EU, så oplys-

ninger kan flyde frit mellem medlemsstaterne. Virksomhederne har samti-

dig brug for klare og ensartede regler, der giver retssikkerhed og minime-

rer den administrative byrde. Dette er efter Kommissionens opfattelse vig-

tigt for at sikre, at det indre marked er velfungerende og i stand til at skabe

økonomisk vækst, nye job og innovation.

Herudover anfører Kommissionen bl.a., at artikel 16 i Traktaten om den

Europæiske Unions Funktionsmåde (TEUF) har skabt et nyt retsgrundlag,

der muliggør en moderniseret og global tilgang til databeskyttelse og fri

udveksling af personoplysninger, som også omfatter politimæssigt og ret-

ligt samarbejde i straffesager.

Kommissionen har afholdt flere offentlige høringer om databeskyttelse og

ført en tæt dialog med de relevante interessenter i de seneste år. På bag-

grund af de oplysninger, som Kommissionen har indsamlet i den forbin-

delse, konkluderes det i meddelelsen, at både borgere og virksomheder øn-

sker, at der gennemføres en altomfattende reform af EU's databeskyttelses-

regler.

Kommissionen ønsker derfor, at der skabes ”en stærk og konsekvent retlig

ramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.

styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-

livet.

Kommissionen foreslår, at denne nye retlige ramme skal bestå af

–

en databeskyttelsesforordning, der skal erstatte det gæl-

dende direktiv 95/46/EF om beskyttelse af fysiske perso-

ner i forbindelse med behandling af personoplysninger og

om fri udveksling af sådanne oplysninger (databeskyttel-

sesdirektivet), og

et direktiv, der skal erstatte den gældende rammeafgørel-

se 2008/977/RIA om beskyttelse af personoplysninger i

forbindelse med politisamarbejde og retligt samarbejde i

kriminalsager.

–

PDF to HTML - Convert PDF files to HTML files

Det bemærkes, at Kommissionens forslag til et direktiv om beskyttelse af

fysiske personer i forbindelse med de kompetente myndigheders behand-

ling af personoplysninger med henblik på at forebygge, efterforske, opda-

ge eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige

sanktioner og om fri udveksling af sådanne oplysninger (KOM (2012) 10

endelig) behandles i et selvstændigt grund- og nærhedsnotat.

Indhold

2.1. Indledning

Forslaget til Europa-Parlamentets og Rådets forordning om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og den

fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) er

fremsat efter artikel 16, stk. 2, i TEUF, hvorefter der kan fastsættes regler

for beskyttelse af fysiske personer i forbindelse med behandling af person-

oplysninger, der foretages af bl.a. medlemsstaterne under udøvelse af akti-

viteter, der er omfattet af EU-retten.

Forslaget er endvidere fremsat under henvisning til EUF-traktatens artikel

114, stk. 1, hvorefter der, med henblik på virkeliggørelsen af de i artikel 26

fastsatte mål (oprettelsen af det indre marked), efter den almindelige lov-

givningsprocedure kan vedtages foranstaltninger med henblik på indbyrdes

tilnærmelse af medlemsstaternes love og administrative bestemmelser, der

vedrører det indre markeds oprettelse og funktion.

Det bemærkes, at forslaget i en række henseender tager udgangspunkt i

den regulering, der følger af det gældende databeskyttelsesdirektiv (direk-

tiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behand-

ling af personoplysninger (persondataloven). På den baggrund – og i lyset

af forslagets omfattende karakter – vil der i det følgende hovedsageligt

blive fokuseret på de væsentligste nyskabelser og ændringer, som forslaget

vil indebære.

2.2. Generelle bestemmelser (forordningens kapitel I)

I kapitel I fastsættes regler om forordningens genstand og formål og dens

materielle og territorielle anvendelsesområder. Endvidere defineres en

række udvalgte begreber.

Forslagets overordnede formål er at beskytte fysiske personers grundlæg-

gende rettigheder og frihedsrettigheder, især retten til beskyttelse af per-

sonoplysninger, og at sikre at den frie udveksling af personoplysninger i

PDF to HTML - Convert PDF files to HTML files

EU hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse

af fysiske personer i forbindelse med behandling af personoplysninger.

Forordningen vil ifølge forslaget finde anvendelse på behandling af per-

sonoplysninger, der helt eller delvis foretages automatisk, og på anden be-

handling end automatisk behandling af personoplysninger, som er eller vil

blive indeholdt i et register.

De følgende behandlinger af personoplysninger er undtaget fra forord-

ningsforslagets anvendelsesområde:



Behandlinger, som iværksættes med henblik på udøvelse af aktivi-

teter, der ikke er omfattet af EU-retten, navnlig for så vidt angår

national sikkerhed.



Behandlinger, som foretages af EU-institutioner,

-kontorer og -agenturer.

-organer,



Behandlinger, som foretages af medlemsstaterne ved udførelse af

aktiviteter, der falder inden for rammerne af kapitel 2 i traktaten

om Den Europæiske Union (fælles udenrigs- og sikkerhedspolitik).



Behandlinger, som uden vederlag foretages af en fysisk person som

led i rent personlige eller familiemæssige aktiviteter.



Behandlinger, som foretages af kompetente myndigheder med hen-

blik på forebyggelse, efterforskning, opdagelse eller retsforfølgning

af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sank-

tioner.

Forordningen vil ifølge forslaget finde anvendelse på behandling af per-

sonoplysninger i forbindelse med aktiviteter, der gennemføres af en regi-

steransvarligs eller registerførers virksomhed i EU.

Herudover vil forordningen finde anvendelse på behandling af personop-

lysninger om registrerede, der er bosiddende i EU, som foretages af en re-

gisteransvarlig, der ikke er etableret i EU, hvis behandlingsaktiviteterne

vedrører udbud af varer eller tjenester til sådanne registrerede i EU eller

overvågning af sådanne registreredes adfærd.

Endelig vil forordningen finde anvendelse på behandling af personoplys-

ninger, som foretages af en registeransvarlig, der ikke er etableret i Unio-

nen, men et sted, hvor en medlemsstats nationale lovgivning gælder i hen-

hold til folkeretten.

PDF to HTML - Convert PDF files to HTML files

I kapitlet defineres endvidere en række centrale begreber. Visse af disse

begreber er nyskabelser eller ændrede i forhold til, hvad der følger af det

gældende databeskyttelsesdirektiv. Blandt de nye begreber kan særligt

fremhæves definitionerne af ”brud på persondatasikkerheden”, ”genetiske

data”, ”biometriske data”, ”helbredsoplysninger”, ”hovedvirksomhed” og

”bindende virksomhedsregler”.

I forhold til definitionen af ”hovedvirksomhed” bemærkes det, at dette be-

greb anvendes til at fastlægge, hvilken national tilsynsmyndighed der er

kompetent i forhold til en registeransvarlig eller registerfører, som er etab-

leret i mere end én medlemsstat.

2.3. Principper (forordningens kapitel II)

Forordningsforslagets kapitel II indeholder en række generelle behand-

lingsprincipper, der altid skal efterleves i forbindelse med behandling af

personoplysninger, og dernæst en række specifikke regler for, hvornår op-

lysninger må behandles, såkaldte behandlingsregler. Forslaget følger i

denne henseende i vidt omfang strukturen i det gældende databeskyttelses-

direktiv.

De generelle behandlingsprincipper i forslaget viderefører i vidt omfang de

grundlæggende principper, der følger af det gældende databeskyttelsesdi-

rektiv. Det gælder f.eks. krav om, at oplysninger skal være korrekte og

ajourførte, og at oplysninger skal indsamles til udtrykkeligt angivne og le-

gitime formål og ikke senere må gøres til genstand for behandling, som er

uforenelig med disse formål (det såkaldte finalité-princip).

Derudover indeholder forslaget som nævnt en række behandlingsregler.

Disse regler regulerer, hvornår der må behandles oplysninger. Behand-

lingsreglernes indhold varierer alt efter, hvor følsomme oplysninger der er

tale om. Kapitel II indeholder herudover en række yderligere behandlings-

regler, der fastsætter de betingelser, som behandlingen af særlige kategori-

er af personoplysninger skal efterleve.

Forslaget opererer med en række særlige kategorier af personoplysninger

(som i dansk sammenhæng ofte betegnes som følsomme). Det drejer sig

om: Personoplysninger, der viser race og etnisk oprindelse, politisk, religi-

øs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold,

genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold,

straffedomme eller tilknyttede sikkerhedsforanstaltninger. I forhold til det

gældende databeskyttelsesdirektiv er det en nyskabelse, at oplysninger om

genetiske data og oplysninger om straffedomme og tilknyttede sikkerheds-

PDF to HTML - Convert PDF files to HTML files

foranstaltninger er omfattet af opregningen af følsomme personoplysnin-

ger.

Det bemærkes, at sammenholdt med den engelske sprogversion indeholder

den danske sprogversion en ikke uvæsentlig afvigelse. Behandlingsgrund-

laget i artikel 9, stk. 2, litra f, omfatter således i den danske sprogversion

kun behandling, der er nødvendig for, at et retskrav kan fastslås, gøres

gældende eller forsvares ved en domstol. Den engelske sprogversion ses

ikke at indeholde den begrænsning, der følger af de tre sidste ord, idet be-

handlingsgrundlaget i denne version vedrører behandlinger, der er

”necessary for the establishment, exercise or defence of legal claims”.

Som en nyskabelse fastsættes der i forslaget endvidere en række særlige

betingelser, der skal efterleves, når der behandles personoplysninger om

børn.

Herudover fastsættes der bl.a. regler for, i hvilken udstrækning samtykke

kan anvendes, og hvilke krav der skal iagttages, når der indhentes samtyk-

ke fra den registrerede. Det bemærkes i den forbindelse, at ifølge forslaget

vil et samtykke ikke kunne tilvejebringe det fornødne retsgrundlag for en

behandling, hvis der er en ”klar skævhed mellem den registrerede og den

registeransvarlige”. Det fremgår af den relevante præambelbetragtning i

forslaget, at en sådan skævhed navnlig foreligger, når den registrerede be-

finder sig i et afhængighedsforhold til den registeransvarlige, herunder når

personoplysninger behandles af en arbejdsgiver som led i et ansættelses-

forhold.

2.4. Den registreredes rettigheder (forordningens kapitel III)

Forordningens kapitel III indeholder bl.a. regler om gennemsigtighed, den

registreredes ret til information og adgang til oplysninger, berigtigelse og

sletning samt om den registreredes ret til at gøre indsigelse.

Som en nyskabelse i forhold til det gældende databeskyttelsesdirektiv kan

bl.a. nævnes, at forslaget indeholder en ret til såkaldt dataportabilitet. Det

indebærer, at den registrerede under visse betingelser har ret til at få en

kopi af de oplysninger, som den registeransvarlige behandler om den på-

gældende ”i et almindeligt anvendt elektronisk og struktureret format, som

den registrerede kan anvende senere”. Denne rettighed skal bl.a. gøre det

muligt for registrerede at flytte deres personoplysninger mellem forskellige

udbydere af digitale ydelser.

PDF to HTML - Convert PDF files to HTML files

Kapitlet indeholder også en nyskabelse i form af indførelsen af den såkald-

te ret til at blive glemt. Retten til at blive glemt indebærer efter forslaget, at

den registrerede kan kræve, at den registeransvarlige sletter personoplys-

ninger vedrørende den registrerede og undlader yderligere udbredelse af

sådanne oplysninger, navnlig hvad angår personoplysninger, som den regi-

strerede har stillet til rådighed, da vedkommende var barn. Sletning skal

bl.a. finde sted, hvis personoplysningerne ikke længere er nødvendige til

opfyldelse af de formål, hvortil de blev indsamlet, eller hvis den registre-

rede tilbagekalder et samtykke, der er grundlaget for behandlingen.

Retten til at blive glemt er dog underlagt en række undtagelser, herunder at

den registeransvarlige skal bevare personoplysningerne for at opfylde en

retlig forpligtelse i henhold til EU-retten eller medlemsstatslovgivning.

Som en tredje nyskabelse kan nævnes, at forslaget indeholder en ret for

enhver fysisk person til ikke at være genstand for såkaldt profilering. Her-

ved forstås en foranstaltning, der har retsvirkninger for vedkommende eller

berører vedkommende i væsentlig grad, og alene er baseret på automatisk

databehandling, der har til formål at vurdere eller analysere bestemte per-

sonlige forhold vedrørende den registrerede f.eks. med det formål at forud-

sige vedkommendes erhvervsevne, økonomiske situation mv. Det må an-

tages, at dette f.eks. kan være gennemførelsen af en vurdering af en per-

sons kreditværdighed.

Ifølge forslaget kan en person kun gøres til genstand for foranstaltninger

baseret på profilering, hvis det sker som led i indgåelsen eller opfyldelsen

af en aftale, hvis foranstaltningen er mulig efter EU-retten eller efter med-

lemsstatens lovgivning, eller hvis den registrerede har givet samtykke her-

til.

2.5. Registeransvarlig og registerfører (forordningens kapitel IV)

Forordningens kapitel IV indeholder bl.a. regler om den registeransvarli-

ges og registerførerens generelle forpligtelser, regler om datasikkerhed og

regler om udarbejdelse af en konsekvensanalyse om databeskyttelse. End-

videre fastsættes regler om udpegning af en databeskyttelsesansvarlig og

regler om adfærdskodekser og certificering.

Generelt bemærkes det, at dette kapitel indeholder en række forpligtelser

for den registeransvarlige og registerføreren, der ikke følger af det gæl-

dende databeskyttelsesdirektiv. Det gælder bl.a. indførelsen af et krav om

såkaldt ”indbygget databeskyttelse”. Dette krav indebærer bl.a., at den re-

gisteransvarlige ved fastlæggelsen af behandlingen, metoderne til behand-

PDF to HTML - Convert PDF files to HTML files

lingen, og når selve behandlingen af personoplysninger foretages, skal

træffe passende tekniske og organisatoriske foranstaltninger med henblik

på, at behandlingen opfylder forslagets krav og sikrer beskyttelsen af den

registreredes rettigheder.

Som en nyskabelse stiller forslaget også krav om, at den registeransvarlige

og registerføreren skal opbevare dokumentation for enhver behandling af

personoplysninger, de gennemfører. Denne dokumentation skal stilles til

rådighed for tilsynsmyndigheden efter anmodning. Disse dokumentations-

krav finder dog ikke anvendelse for fysiske personer, der behandler per-

sonoplysninger uden kommerciel interesse, og for virksomheder og orga-

nisationer, der beskæftiger under 250 personer, og som udelukkende be-

handler personoplysninger som en aktivitet i tilknytning til deres hovedak-

tiviteter.

En yderlig nyskabelse er indførelsen af kravet om, at den registeransvarli-

ge skal anmelde brud på persondatasikkerheden til tilsynsmyndigheden.

Ifølge forslaget skal anmeldelsen ske uden unødig forsinkelse og om mu-

ligt senest 24 timer efter, at den registeransvarlige er blevet bekendt med et

persondatasikkerhedsbrud. Anmeldelsen skal bl.a. beskrive karakteren af

bruddet på persondatasikkerheden, herunder kategorierne og antallet af be-

rørte registrerede. Anmeldelsen skal endvidere indeholde en anbefaling af

foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på

persondatasikkerheden, og en beskrivelse af de foranstaltninger, som den

registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på per-

sondatasikkerheden.

Når sikkerhedsbruddet kan forventes at krænke beskyttelsen af personop-

lysninger eller privatlivets fred for en registreret person, skal den register-

ansvarlige ligeledes uden unødig forsinkelse underrette den registrerede

om sikkerhedsbruddet. Denne underretning skal omfatte karakteren af

bruddet på persondatasikkerheden og indeholde en række af de oplysning-

er og anbefalinger, der også skal afgives til tilsynsmyndigheden. Dog er

det ikke nødvendigt at underrette den registrerede om et brud på personda-

tasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den regi-

steransvarliges side, at denne har gennemført passende teknologiske be-

skyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på

de data, som sikkerhedsbruddet vedrørte. Ifølge forslaget tillægges Kom-

missionen beføjelse til at fastlægge formatet for den meddelelse, der skal

gives til den registrerede. Kommissionen tillægges ligeledes beføjelse til at

fastsætte procedurer for afgivelsen af denne meddelelse.

PDF to HTML - Convert PDF files to HTML files

Forslagets kapitel IV indeholder endvidere krav om, at registeransvarlige

eller registerførere, som udfører behandling af personoplysninger, der kan

indebære specifikke risici for den registreredes rettigheder og frihedsret-

tigheder som følge af behandlingens karakter, omfang eller formål, skal

gennemføre en såkaldt konsekvensanalyse af den planlagte behandling for

så vidt angår beskyttelsen af personoplysninger.

I forslaget anføres det, at behandlinger, der kan udløse en konsekvensana-

lyse, bl.a. er dem, hvor der indgår en systematisk og omfattende evaluering

af personlige aspekter vedrørende en fysisk person. En konsekvensanalyse

kan også være nødvendig, hvis en behandling sker med henblik på analyse

eller forudsigelse af en fysisk persons økonomiske situation, lokalitet (op-

holdssted), sundhed, personlige præferencer, pålidelighed eller adfærd ba-

seret på elektronisk databehandling, som kan resultere i foranstaltninger,

der har retsvirkning for vedkommende eller berører vedkommende i væ-

sentlig grad.

Herudover kan en konsekvensanalyse være nødvendig, hvis der finder en

omfattende videoovervågning sted af offentligt tilgængelige områder, eller

hvis der behandles personoplysninger i omfattende registre vedrørende

børn, genetiske data eller biometriske data.

Kapitel IV indeholder endvidere regler om udpegning af såkaldte databe-

skyttelsesansvarlige. Dette krav – der er en nyskabelse – finder anvendel-

se, når behandlingen foretages af en offentlig myndighed eller et offentligt

organ, eller når behandlingen foretages af en virksomhed, der beskæftiger

mindst 250 personer. Kravet finder endvidere anvendelse, når den register-

ansvarliges eller registerførerens kerneaktiviteter består af behandling, der

i medfør af dens karakter, omfang eller formål kræver regelmæssig og sy-

stematisk overvågning af registrerede. Det følger bl.a. af forslaget, at virk-

somhedskoncerner kan udpege en fælles databeskyttelsesansvarlig, og at

offentlige myndigheder eller organer kan udpege en databeskyttelsesan-

svarlig for flere enheder i overensstemmelse med myndighedens eller or-

ganets struktur.

Den databeskyttelsesansvarlige har bl.a. til opgave at underrette og rådgive

den registeransvarlige eller registerføreren om deres forpligtelser i henhold

til forordningen og at dokumentere denne aktivitet og de modtagne reakti-

oner.

Den databeskyttelsesansvarlige skal også kontrollere overholdelsen af kra-

vene om dokumentation, anmeldelser og meddelelser vedrørende brud på

PDF to HTML - Convert PDF files to HTML files

persondatasikkerheden samt gennemførelsen af konsekvensanalyser vedrø-

rende databeskyttelse.

Herudover skal den databeskyttelsesansvarlige bl.a. fungere som tilsyns-

myndighedens kontaktpunkt i spørgsmål vedrørende behandling af per-

sonoplysninger og på eget initiativ og efter behov rådføre sig med tilsyns-

myndigheden.

Ifølge forslaget skal den registeransvarlige eller registerføreren bl.a. sikre,

at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige

med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og

ikke medfører en interessekonflikt.

Kapitlet indeholder endvidere en bestemmelse om, at medlemsstaterne, til-

synsmyndighederne og Kommissionen skal tilskynde til udarbejdelsen af

adfærdskodekser, der – afhængigt af de særlige forhold i de forskellige be-

handlingssektorer – bidrager til en korrekt anvendelse af forordningen. Så-

danne adfærdskodekser kan bl.a. navnlig vedrøre information til offentlig-

heden og registrerede samt anmodninger fra registrerede i forbindelse med

udøvelsen af deres rettigheder.

2.6. Videregivelse af personoplysninger til tredjelande eller internati-

onale organisationer (forordningens kapitel V)

Forordningens kapitel V fastsætter reglerne for, hvornår der kan videregi-

ves personoplysninger til tredjelande eller internationale organisationer.

Overordnet set indeholder kapitlet fire forskellige videregivelsesgrundlag,

som registerføreren efter omstændighederne kan anvende, når der skal fin-

de en videregivelse sted. Kapitlet indeholder en række væsentlige ændrin-

ger og nyskabelser i forhold til de tilsvarende bestemmelser i det gældende

direktiv.

For det første kan en videregivelse finde sted, hvis Kommissionen har fast-

slået, at et tredjeland, et område eller en behandlingssektor (f.eks. sund-

hedssektoren) i tredjelandet eller en international organisation sikrer et til-

strækkeligt databeskyttelsesniveau. Ved udfærdigelsen af sådanne afgørel-

ser skal Kommissionen tage hensyn til en række nærmere opregnede for-

hold i tredjelandet mv., herunder retsstatsprincippet (”rule of law”), gæl-

dende lovgivning, regler for god forretningsskik og de sikkerhedsforan-

staltninger, der gælder. Kommissionen skal også tage hensyn til, om de re-

gistrerede tillægges effektive rettigheder, der kan håndhæves retsligt af re-

gistrerede, som er bosiddende i EU, og hvis personoplysninger videregi-

PDF to HTML - Convert PDF files to HTML files

ves. Efter forslaget kan Kommissionen også træffe afgørelse om, at et tred-

jeland mv. ikke sikrer et tilstrækkeligt databeskyttelsesniveau.

En videregivelse til et tredjeland mv. kan endvidere finde sted, hvis en re-

gisteransvarlig eller registerfører finder, at der i en retligt bindende retsakt

er indført de fornødne garantier, som sikrer beskyttelsen af personoplys-

ninger. Konkret kan de fornødne garantier bl.a. sikres gennem såkaldte

bindende virksomhedsregler, der er nærmere omtalt nedenfor, gennem

standardbestemmelser om databeskyttelse vedtaget af Kommissionen,

gennem standardbestemmelser om databeskyttelse vedtaget af en tilsyns-

myndighed efter indhentelse af en udtalelse fra Det Europæiske Databe-

skyttelsesråd og Kommissionen eller gennem kontraktbestemmelser – som

en tilsynsmyndighed har godkendt – mellem den registeransvarlige eller

registerføreren og modtageren af personoplysningerne.

Som anført ovenfor kan videregivelse finde sted, hvis der foreligger så-

kaldte bindende virksomhedsregler. Det er en forudsætning, at disse regler

er godkendt af tilsynsmyndigheden. En sådan godkendelse kan finde sted,

hvis reglerne er retligt bindende, gælder for og anvendes af alle virksom-

heder i den registeransvarliges eller registerførerens koncern og omfatter

deres medarbejdere. Reglerne skal endvidere udtrykkeligt tillægge de re-

gistrerede rettigheder, der kan håndhæves retligt og opfylde en række ud-

førlige krav, der opregnes i forslaget.

Endvidere indeholder forslaget adgang til, at der kan ske videregivelse i en

række konkrete tilfælde. Videregivelse kan således bl.a. ske, hvis den regi-

strerede har givet sit samtykke hertil, hvis videregivelsen er nødvendig af

hensyn til opfyldelsen af en kontrakt mellem den registrerede og den regi-

steransvarlige, eller hvis videregivelsen er nødvendig af hensyn til vigtige

samfundsinteresser.

Det bemærkes, at i den danske sprogversion indeholder artikel 44, stk. 1,

litra e, en afvigelse i forhold til den engelske sprogversion. Denne afvigel-

se svarer til den, der er omtalt ovenfor under pkt. 2.3.

2.7. Uafhængige tilsynsmyndigheder (forordningens kapitel VI)

Forordningens kapitel VI indeholder regler om de nationale tilsynsmyn-

digheders uafhængige status og deres opgaver og beføjelser.

I forhold til de tilsvarende regler i det gældende databeskyttelsesdirektiv

opstiller kapitlet en række nye og uddybede krav til de nationale tilsyns-

myndigheders organisering og uafhængighed. Det følger således bl.a. ud-

PDF to HTML - Convert PDF files to HTML files

trykkeligt af forslaget, at medlemmer af tilsynsmyndigheden ved udøvel-

sen af deres opgaver hverken må søge eller modtage instrukser fra andre,

og at medlemmer efter embedsperiodens ophør skal udvise hæderlighed og

tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere

visse fordele. Samtidig skal hver medlemsstat sikre, at tilsynsmyndigheden

er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed.

Det fastsættes endvidere i forslaget, at hver medlemsstat skal sikre, at til-

synsmyndigheden råder over tilstrækkelige finansielle og menneskelige

ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver og

udøve sine beføjelser.

Ifølge forslaget skal medlemsstaterne vedtage bestemmelser om, at

medlemmer af tilsynsmyndigheden udpeges af parlamentet eller

regeringen i den pågældende medlemsstat.

I forhold til tilsynsmyndighedernes organisering og opgaver følger det af

forslaget, at hver medlemsstat ved lov bl.a. skal fastsætte regler om

tilsynsmyndighedens oprettelse og status, de kvalifikationer og den

erfaring og kompetence, der er nødvendig for at udøve hvervet som

medlem af tilsynsmyndigheden, reglerne og procedurerne for udnævnelsen

af medlemmerne af tilsynsmyndigheden, regler om handlinger og hverv,

der er uforenelige med hvervet som medlem af tilsynsmyndigheden, og

regler om de pligter, der påhviler tilsynsmyndighedens medlemmer og

personale.

Som en væsentlig nyskabelse i forhold til de gældende regler om tilsyns-

myndighedernes kompetence fastsættes der i forslaget særlige regler, når

personoplysninger behandles i forbindelse med aktiviteter, der gennemfø-

res af en registeransvarligs eller registerførers virksomhed i Unionen, og

den registeransvarlige eller registerføreren er etableret i mere end én med-

lemsstat. I disse tilfælde er tilsynsmyndigheden i den medlemsstat, hvor

den registeransvarliges eller registerførerens hovedvirksomhed er etable-

ret, ansvarlig for at kontrollere den registeransvarliges eller registerføre-

rens behandlingsaktiviteter i alle medlemsstater.

Dette indebærer, at det alene vil være tilsynsmyndigheden i den medlems-

stat, hvor den registeransvarliges hovedvirksomhed er etableret, der vil

være kompetent til at behandle klager mv. Dette vil være tilfældet, uanset

at der behandles personoplysninger om registrerede bosat i andre med-

lemsstater.

PDF to HTML - Convert PDF files to HTML files

Ifølge forslaget vil tilsynsmyndigheden bl.a. skulle varetage en række nye

opgaver, herunder godkendelse af bindende virksomhedsregler i henhold

til forordningen og deltagelse i Det Europæiske Databeskyttelsesråds akti-

viteter.

Herudover vil tilsynsmyndigheden skulle arbejde for at styrke offentlig-

hedens kendskab til risici, regler, garantier og rettigheder i forbindelse med

behandling af personoplysninger.

2.8. Samarbejde og sammenhæng (forordningens kapitel VII)

Forordningens kapitel VI indeholder bl.a. regler om samarbejde mellem

tilsynsmyndighederne, regler om en såkaldt ”sammenhængsmekanisme”,

som skal sikre en ensartet anvendelse af forordningen, og regler om Det

Europæiske Databeskyttelsesråd.

Set i forhold til det gældende databeskyttelsesdirektiv indeholder forslaget

i dette kapitel en væsentlig mere detaljeret beskrivelse af tilsynsmyndig-

hedernes indbyrdes samarbejde. Det følger således af forslaget, at hver til-

synsmyndighed skal træffe alle foranstaltninger, som er nødvendige for at

besvare anmodninger fra en anden tilsynsmyndighed uden forsinkelse og

senest en måned efter modtagelsen af anmodningen. Efter forslaget kan

sådanne foranstaltninger bl.a. omfatte videregivelse af relevante oplys-

ninger under undersøgelsen eller håndhævelsesforanstaltninger, der har til

formål at stoppe eller forbyde behandling, der er i strid med forslaget.

Herudover fastsættes det bl.a. i forslaget, at en tilsynsmyndighed, der mod-

tager en anmodning om bistand, ikke kan afvise at imødekomme denne,

medmindre den ikke har kompetence i forbindelse med anmodningen, eller

hvis imødekommelse af anmodningen er uforenelig med bestemmelserne i

forslaget.

Som en yderligere nyskabelse indeholder forslaget udtrykkelige regler om,

at tilsynsmyndigheder kan udføre fælles aktiviteter, der bl.a. kan omfatte

fælles undersøgelsesopgaver, fælles håndhævelsesforanstaltninger og an-

dre fælles aktiviteter. Endvidere indeholder forslaget regler om, at når re-

gistrerede i flere medlemsstater sandsynligvis berøres af en behandling,

har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i

fælles undersøgelsesopgaver eller fælles aktiviteter. Den kompetente til-

synsmyndighed skal i disse tilfælde indbyde tilsynsmyndigheden i hver af

de berørte medlemsstater til at deltage i de respektive fælles undersøgel-

sesopgaver eller fælles aktiviteter og skal straks besvare en tilsynsmyndig-

heds anmodning om deltagelse i aktiviteterne.

PDF to HTML - Convert PDF files to HTML files

Forslaget indeholder også regler om, at den såkaldte værtstilsynsmyndig-

hed i overensstemmelse med sin nationale lovgivning og med den udsend-

ende tilsynsmyndigheds godkendelse kan delegere forvaltningsbeføjelser,

herunder undersøgelsesopgaver, til den udsendende tilsynsmyndigheds

medlemmer eller medarbejdere, som deltager i fælles aktiviteter. For så

vidt værtstilsynsmyndighedens lovgivning giver mulighed herfor, kan

værtsmyndigheden endvidere tillade, at den udsendende tilsynsmyndig-

heds medlemmer eller medarbejdere udøver deres forvaltningsbeføjelser i

overensstemmelse med den udsendende tilsynsmyndigheds lovgivning.

Efter forslaget må sådanne forvaltningsbeføjelser dog kun udøves under

vejledning og i reglen også tilstedeværelse af værtstilsynsmyndighedens

medlemmer eller medarbejdere.

Som en anden væsentlig nyskabelse indeholder kapitlet regler om den

nævnte ”sammenhængsmekanisme”. Denne mekanisme har til formål at

sikre, at tilsynsmyndighederne anvender forordningens regler på en ensar-

tet og sammenhængende måde. Samlet set fremstår mekanismen som en

væsentlig udbygning af det gældende databeskyttelsesdirektivs regler om

samarbejde mellem tilsynsmyndighederne.

Mekanismen er forankret i Det Europæiske Databeskyttelsesråd, der er et

nyt organ, der efter forslaget skal oprettes til formålet, jf. nærmere herom

nedenfor.

Forslaget indebærer, at afgørelser truffet af de nationale tilsynsmyndig-

heder i en række tilfælde skal forelægges for Det Europæiske Databeskyt-

telsesråd, som afgiver en udtalelse om sagen. Blandt de typer af sager, som

skal forelægges for Det Europæiske Databeskyttelsesråd, er foranstalt-

ninger, der omfatter behandlingsaktiviteter, der vedrører udbud af varer el-

ler tjenester til registrerede i flere medlemsstater eller overvågning af deres

adfærd, foranstaltninger, der i væsentlig grad kan påvirke den frie udveks-

ling af personoplysninger i EU, og foranstaltninger, der har til formål at

godkende bindende virksomhedsregler.

Efter forslaget kan enhver tilsynsmyndighed, Det Europæiske Databeskyt-

telsesråd eller Kommissionen kræve, at en sag underlægges sammen-

hængsmekanismen.

Der er fastsat en bestemt procedure, der skal følges, når spørgsmål

forelægges for Det Europæiske Databeskyttelsesråd.

PDF to HTML - Convert PDF files to HTML files

Det bemærkes i den forbindelse, at såfremt en tilsynsmyndighed eksem-

pelvis afviser at efterkomme en udtalelse fra Databeskyttelsesrådet, kan

Kommissionen under visse betingelser vedtage en begrundet afgørelse,

som kræver, at tilsynsmyndigheden suspenderer vedtagelsen af den fore-

slåede foranstaltning.

Herudover indeholder forslaget bestemmelser om, at en særlig hasteproce-

dure kan iværksættes af en tilsynsmyndighed under ekstraordinære om-

stændigheder, hvis det er nødvendigt at handle omgående for at beskytte

registreredes interesser. I så fald skal Databeskyttelsesrådet træffe afgørel-

se i sagen ved simpelt flertal inden for to uger.

I kapitlet fastsættes endvidere de nærmere regler for oprettelsen af Det Eu-

ropæiske Databeskyttelsesråd. Efter forslaget skal Databeskyttelsesrådet

sammensættes af direktøren for tilsynsmyndigheden i hver medlemsstat og

Den Europæiske Tilsynsførende for Databeskyttelse. Herudover har

Kommissionen ret til at deltage i Det Europæiske Databeskyttelsesråds ak-

tiviteter og møder.

Det Europæiske Databeskyttelsesråd har til opgave at sikre, at forordnin-

gen anvendes på en ensartet måde. I den forbindelse skal rådet bl.a. rådgi-

ve Kommissionen om ethvert spørgsmål vedrørende beskyttelse af person-

oplysninger i EU og undersøge ethvert spørgsmål vedrørende anvendelsen

af forordningen. Rådet skal endvidere arbejde for at fremme samarbejde

og en effektiv udveksling af information mellem tilsynsmyndighederne.

Det Europæiske Databeskyttelsesråd skal vælge en formand og to næst-

formænd blandt sine medlemmer. Den ene næstformand er Den Europæi-

ske Tilsynsførende for Databeskyttelse, medmindre vedkommende vælges

som formand. Den Europæiske Tilsynsførende for Databeskyttelse er end-

videre ansvarlig for driften af Databeskyttelsesrådets sekretariat. Sekretari-

atet skal yde analytisk, administrativ og logistisk støtte til rådet under for-

mandens ledelse.

2.9. Klageadgang, ansvar og sanktioner (forordningens kapitel VIII)

Forslagets kapitel VIII indeholder bl.a. bestemmelser om registreredes ret

til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de

finder, at behandlingen af deres personoplysninger ikke er i overensstem-

melse med bestemmelserne i forslaget.

Herudover følger det som en nyskabelse af forslaget, at alle organer, orga-

nisationer eller sammenslutninger, der har til formål at beskytte registrere-

PDF to HTML - Convert PDF files to HTML files

des rettigheder og interesser i forbindelse med beskyttelsen af deres per-

sonoplysninger, og som er etableret i overensstemmelse med en medlems-

stats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i en-

hver medlemsstat på vegne af en eller flere registrerede. Det forudsættes,

at det vurderes, at den registreredes rettigheder i henhold til forslaget er

blevet krænket som følge af behandlingen af personoplysninger.

De samme organisationer mv. har efter forslaget ret til – uafhængigt af en

klage fra en registreret – at indgive klage til en tilsynsmyndighed i enhver

medlemsstat, hvis de vurderer, at et brud på persondatasikkerheden har

fundet sted.

Forslaget tillægger således enhver organisation – uanset dennes størrelse

og medlemskreds – en ret til at indgive klage til enhver tilsynsmyndighed,

alene på baggrund af organisationens vurdering af, om der har fundet et

brud på persondatasikkerheden sted.

Kapitel VIII indeholder endvidere som en nyskabelse regler om adgangen

til at søge retsmidler anvendt over for tilsynsmyndigheder. Det følger såle-

des bl.a. af forslaget, at en registreret, der berøres af en afgørelse, som er

truffet af en tilsynsmyndighed i en anden medlemsstat end den medlems-

stat, hvor den registrerede har sit sædvanlige opholdssted, kan anmode til-

synsmyndigheden i opholdsmedlemsstaten om på den registreredes vegne

at anlægge dennes sag mod den kompetente tilsynsmyndighed i den anden

medlemsstat.

Forslaget lægger hermed op til, at de nationale tilsynsmyndigheder, på

baggrund af en anmodning fra en registreret, skal kunne anlægge sager ved

domstolene mod andre nationale tilsynsmyndigheder eller i hvert fald tage

initiativ til, at sagen anlægges i en anden medlemsstat.

Som en væsentlig nyskabelse indeholder kapitel VIII forholdsvis udførlige

regler om, at de nationale tilsynsmyndigheder har beføjelse til at anvende

administrative sanktioner. Ifølge forslaget skal administrative sanktioner

pålægges ud fra en niveaumæssig graduering fastsat efter karakteren af de

overtrædelser, der er begået.

Første niveau indebærer, at tilsynsmyndigheden skal pålægge en bøde på

op til 250.000 euro, eller, hvis der drejer sig om en virksomhed, på op til

0,5 % af dens årlige globale omsætning.

PDF to HTML - Convert PDF files to HTML files

Andet niveau indebærer pålæggelsen af en bøde på op til 500.000 euro, el-

ler hvis det drejer sig om en virksomhed, på op til 1 % af dens årlige glo-

bale omsætning.

Tredje og sidste niveau indebærer pålæggelsen af en bøde på op til

1.000.000 euro, eller, hvis det drejer sig om en virksomhed, på op til 2 %

af dens årlige globale omsætning.

De administrative sanktioner kan efter forslaget pålægges for såvel forsæt-

lige som uagtsomme overtrædelser. Den konkrete administrative sanktion

skal efter forslaget være effektiv, stå i rimeligt forhold til overtrædelsen og

have afskrækkende virkning. Bødens størrelse skal fastlægges under hen-

syntagen til overtrædelsens karakter, alvor og varighed, overtrædelsens

forsætlige eller uagtsomme karakter, den fysiske eller juridiske persons

grad af ansvar, denne persons eventuelle tidligere overtrædelser, de tekni-

ske og organisatoriske foranstaltninger og procedurer, der er gennemført i

henhold til forordningens regler herom, og graden af samarbejde med til-

synsmyndigheden for at afhjælpe bruddet.

Efter forslaget kan der i tilfælde af en uforsætlig førstegangsovertrædelse

af forordningen gives en skriftlig advarsel uden pålæggelse af sanktioner i

tilfælde, hvor en fysisk person behandler personoplysninger uden kom-

merciel interesse, og i tilfælde, hvor en virksomhed eller organisation, der

beskæftiger under 250 personer, udelukkende behandler personoplysninger

som en aktivitet i tilknytning til dens hovedaktiviteter.

2.10. Bestemmelser vedrørende specifikke databehandlingssituationer

(forordningens kapitel IX)

Kapitlet indeholder en række bestemmelser om behandling af personop-

lysninger i særlige situationer, herunder i ansættelsesforhold og til brug for

historiske, statistiske eller videnskabelige forskningsformål.

I kapitlet fastsættes det bl.a., i hvilket omfang medlemsstaterne kan fast-

sætte fritagelser eller undtagelser fra bestemte bestemmelser i forordnin-

gen med henblik på at forene retten til beskyttelse af personoplysninger

med retten til ytringsfrihed.

Der fastsættes endvidere regler om behandling af personoplysninger om

helbredsforhold i en række situationer. Det fastsættes i den forbindelse, at

der under overholdelse af forordningen i øvrigt kan behandles personlige

helbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgiv-

ningen, som fastsætter tilstrækkelige og specifikke foranstaltninger til be-

PDF to HTML - Convert PDF files to HTML files

skyttelse af den registreredes legitime interesser, og som er nødvendig for

en række nærmere opregnede typer af behandlinger.

Bestemmelsen giver således medlemsstaterne adgang til under visse betin-

gelser f.eks. at fastsætte regler om behandling af personoplysninger om

helbredsforhold til brug for patientbehandling eller for historiske, statisti-

ske eller videnskabelige forskningsformål.

Kapitlet indeholder endvidere regler om medlemsstaternes adgang til –

under overholdelse af forordningen – at vedtage specifikke bestemmelser

om behandling af personoplysninger i forbindelse med ansættelsesforhold

og regler om behandling af personoplysninger til historiske, statistiske el-

ler videnskabelige forskningsformål.

Herudover indeholder kapitlet en bestemmelse om, at medlemsstaterne –

under overholdelse af forordningen – kan vedtage specifikke regler om

forholdet mellem tilsynsmyndighedernes undersøgelsesbeføjelser og nati-

onale tavshedspligtsregler.

Endvidere indeholder kapitlet en bestemmelse om kirkers og religiøse

sammenslutningers adgang til at opretholde gældende regler af omfattende

karakter om behandling af personoplysninger under forudsætning af, at

reglerne bringes i overensstemmelse med forslaget.

2.11. Delegerede retsakter og gennemførelsesforanstaltninger (forord-

ningens kapitel X)

Kapitlet indeholder en opregning af de bestemmelser i forslaget, hvorved

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter, og

en regulering af, hvordan Kommissionen kan udøve disse beføjelser.

Forslaget indeholder herudover en række afsluttende bestemmelser, hvor

der bl.a. lægges op til at ophæve det gældende databeskyttelsesdirektiv

95/46/EF.

Gældende dansk ret

3.1. Indledning

Henset til at forordningsforslaget berører forhold, der har relevans for en

række retsområder, er det alene et udvalg af de berørte love, der omtales i

dette afsnit.

PDF to HTML - Convert PDF files to HTML files

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-

nere ændringer (persondataloven) er der fastsat generelle regler om be-

handling af personoplysninger for offentlige myndigheder og den private

sektor.

Persondataloven indeholder således bl.a. regler om, hvornår behandling af

personoplysninger i almindelighed må finde sted, ligesom loven indehol-

der regler vedrørende behandling af særlige typer oplysninger (f.eks. regler

om personnumre) og vedrørende behandling af personoplysninger på sær-

lige områder (f.eks. regler om kreditoplysningsbureauer).

Loven indeholder desuden en række bestemmelser om rettigheder for de

personer, der behandles oplysninger om, f.eks. regler om den registreredes

ret til information, indsigelse, indsigt, berigtigelse og sletning af personop-

lysninger. Endvidere er fastsat regler om datasikkerhed i forbindelse med

behandling af personoplysninger.

Persondataloven indeholder også bestemmelser om Datatilsynets kontrol

med behandling af personoplysninger, der foretages for offentlige myn-

digheder og den private sektor, ligesom der i loven er fastsat regler om

pligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemte

typer behandling af personoplysninger.

Persondataloven er først og fremmest baseret på databeskyttelsesdirektivet.

3.3. Forvaltningsloven

I lov nr. 571 af 19. december 1985 med senere ændringer (forvaltningslo-

ven) fastsættes regler om en række forhold vedrørende den offentlige for-

valtning, herunder om udveksling af oplysninger mellem forvaltningsmyn-

digheder.

Det følger af lovens § 27, stk. 1, at reglerne i persondatalovens § 5, stk. 1-

3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 gælder for videregivelse af op-

lysninger om enkeltpersoner (personoplysninger) til en anden forvalt-

ningsmyndighed.

3.4. Sundhedslovgivningen

Den endelige vurdering af, i hvilket omfang forordningsforslaget vil berøre

reglerne på sundhedsområdet, er endnu ikke foretaget. Dog forventes for-

ordningsforslaget, herunder navnlig den foreslåede artikel 9, stk. 2, litra h,

PDF to HTML - Convert PDF files to HTML files

samt artikel 81 (om behandling af helbredsoplysninger), generelt at berøre

de gældende regler på sundhedsområdet.

Det bemærkes i den forbindelse, at lovbekendtgørelse nr. 913 af 13. juli

2010 med senere ændringer (sundhedsloven) bl.a. indeholder bestemmel-

ser, der regulerer sundhedspersoners tavshedspligt, videregivelse og ind-

hentning af helbredsoplysninger, herunder medicin- og vaccinationsoplys-

ninger, oplysninger om øvrige rent private forhold og andre fortrolige op-

lysninger, jf. lovens kapitel 9, herunder § 42 a, samt §§ 157 og 157 a. Dis-

se regler må forventes at blive berørt af forordningsforslagets regler.

Endvidere må forordningsforslagets artikel 83 om behandling af personop-

lysninger til historiske, statistiske eller videnskabelige formål forventes at

have betydning for forskningsarbejde på det sundhedsmæssige område,

idet sundhedslovens §§ 46-48 regulerer, i hvilket omfang der kan ske vide-

regivelse af helbredsoplysninger til særlige formål såsom forskning og sta-

tistik mv.

3.5. Andre love mv.

En række andre love og retsakter indeholder bestemmelser om behandling

af personoplysninger. Dette gælder f.eks. lovgivningen om behandling af

personoplysninger til forskningsformål, om tv-overvågning, om behand-

ling af personoplysninger i CPR-systemet samt i forbindelse med udøvel-

sen af offentlig og privat virksomhed inden for en række konkrete områ-

der.

4. Lovgivningsmæssige, administrative og statsfinansielle konse-

kvenser

Det følger af EUF-traktatens artikel 288, at en forordning er almengyldig,

samt at den binder i alle enkeltheder og gælder umiddelbart i hver med-

lemsstat. Hertil kommer, at forordningsforslaget efter sit indhold bl.a. har

til formål at ophæve og erstatte det gældende databeskyttelsesdirektiv (di-

rektiv 95/46/EF). En konsekvens af forslaget vil derfor bl.a. være, at den

regulering, der følger af lov nr. 429 af 31. maj 2000 om behandling af per-

sonoplysninger (persondataloven) – samt andre love, bekendtgørelser mv.,

der vedrører behandling af personoplysninger – efter omstændighederne

vil skulle ophæves eller ændres i overensstemmelse med ordlyden af den

endelige forordning.

Det bemærkes dog, at forordningsforslaget indeholder en række bestem-

melser, hvorved medlemsstaterne på konkrete områder overlades beføjelse

PDF to HTML - Convert PDF files to HTML files

til – under overholdelse af forordningen – at fastsætte nærmere regler om

behandling af personoplysninger, jf. bl.a. under pkt. 2.10 ovenfor.

Den endelige fastlæggelse af, hvilke love der vil være behov for at ophæve

eller ændre, vil finde sted i samarbejde med de berørte ressortministerier.

Forslaget vil indebære, at bestemmelserne i den gældende persondatalov i

al væsentlighed vil skulle erstattes af forordningens regulering, der som

nævnt vil gælde umiddelbart i hver medlemsstat. De behandlingsregler,

rettigheder for den registrerede, datasikkerhedsregler mv., der i dag følger

af persondataloven, vil – efter forslagets vedtagelse – således alene være at

finde i forordningen.

Det følger endvidere af forslaget, at forordningens regulering skal supple-

res af national lovgivning bl.a. om oprettelse af en national tilsynsmyndig-

hed.

Herudover bemærkes det, at for Danmarks vedkommende vil anvendelsen

af sanktioner som nævnt i forslagets artikel 79 i givet fald skulle ske i form

af udenretlige bødeforlæg. Datatilsynet har ikke en sådan adgang efter

gældende ret, og det vil således kræve en lovændring med henblik på at

etablere denne adgang i overensstemmelse med forslaget.

Forslaget vurderes at have statsfinansielle konsekvenser.

Efter et foreløbigt skøn baseret på de foreliggende forslag (forordning og

direktiv), vil reformpakken om databeskyttelse medføre øgede omkostnin-

ger. Det følger af budgetreglerne, at finansieringen af disse øgede omkost-

ninger skal holdes inden for Justitsministeriets ramme eller forelægges re-

geringens Ø-udvalg, hvis det skønnes, at dette ikke kan lade sige gøre.

Kommissionens forslag vurderes at medføre såvel administrative lettelser

som administrative byrder for danske virksomheder.

De administrative lettelser skyldes især harmoniseringen af databeskyt-

telseskrav og bestemmelsen om, at det alene er databeskyttelses-

myndigheden i det land, hvor selskabet har sit hovedkontor, der skal afgø-

re om selskabet handler lovligt. Lettelserne vil derfor især vedrøre virk-

somheder, der opererer i flere EU-lande.

Forslaget vil dog også medføre en række nye byrder for erhvervslivet som

følge af bl.a. bestemmelserne om dokumentation af databehandling, jf. ar-

tikel 28 og kravet om konsekvensanalyser vedrørende databeskyttelse, in-

den der foretages risikobehæftede databehandlinger, jf. artikel 33.

PDF to HTML - Convert PDF files to HTML files

De forventede administrative konsekvenser ved forslaget vil blive under-

søgt nærmere med henblik på dels at kvantificere konsekvenserne for dan-

ske virksomheder, dels at komme med anbefalinger til, hvordan de admini-

strative byrder i forslaget kan reduceres.

Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationer

mv.:

Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Præsi-

denten for Sø- og Handelsretten, Præsidenterne for byretterne, Advokatrå-

det, Advokatsamfundet, Akademikernes Centralorganisation, Amnesty In-

ternational, Arbejderbevægelsens Erhvervsråd, Arbejdsmarkedsstyrelsen,

Arbejdstilsynet, BAT-Kartellet (Bygge- Anlægs- og Trækartellet), BFID

(Brancheforeningen af Farmaceutiske Industrivirksomheder i Danmark),

Boligselskabernes Landsforening, Brancheforeningen for Sæbe, Parfume

og Teknisk/kemiske artikler, Bryggeriforeningen, Børnerådet, Danmarks

Apotekerforening, Danmarks Rederiforening, Danmarks Statistik, Dansk

Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomsmæglerforening,

Dansk Eksportforening, Dansk Erhverv, Dansk Industri, Dansk Inkasso-

Brancheforening, Dansk Metal, Dansk Metalarbejderforbund, Dansk Rej-

sebureau Forening, Dansk Retspolitisk Forening, Dansk Selskab for

Akutmedicin, Dansk Selskab for Retsmedicin, Dansk Standard, Dansk Sy-

geplejeråd, Dansk Told og Skatteforbund, Dansk Varefakta Nævn, Danske

Advokater, Danske Arkitektvirksomheder, Danske Dagblades Forening,

Danske Maritime (skibsværtforening), Danske Regioner, Danske Rekla-

mebureauers Branceforening, Danske Speditører, De Danske Patentagen-

ters Forening, De Videnskabsetiske Komiteer for Region Hovedstaden, De

Videnskabsetiske Komiteer for Region Midtjylland, De Videnskabsetiske

Komitéer for Region Sjælland, Den Centrale Videnskabsetiske Komité,

Den Videnskabsetiske Komité for Region Nordjylland, Den Videnskabs-

etiske Komité for Region Syddanmark, Det Etiske Råd, Det Frie Forsk-

ningsråd, Det Nordiske Cochrane Center, Det Strategiske Forskningsråd,

DI-Organisation for erhvervslivet, DJØF, Dommerforeningen, Dommer-

fuldmægtigforeningen, Domstolenes Tjenestemandsforening, Domstols-

styrelsen, DPU - Danmarks Pædagogiske Universitetsskole, DSI – Dansk

Sundhedsinstitut, Elektricitetsrådet, Fagligt Fælles Forbund, FDB, Finans

og Leasing, Finansrådet, Forbrugerombudsmanden, Forbrugerrådet, Fore-

byggelses- og Patientrådet, Foreningen af Advokater og Advokatfuldmæg-

tige, Foreningen af Danske Interaktive Medier, Foreningen af Offentlige

Anklagere, Foreningen af Registrerede Revisorer, Foreningen af Rådgi-

PDF to HTML - Convert PDF files to HTML files

vende Ingeniører, Foreningen af Statsautoriserede Revisorer, Foreningen

Danske Inkassoadvokater, Forsikring & Pension, Frederiksberg Kommu-

ne, FTF-Funktionærernes og Tjenestemændenes Fællesråd, Grundejernes

Landsorganisation, Grønlands Hjemmestyre, Handels- og Kontorfunktio-

nærernes Forbund, Handelshøjskolen i København (Juridisk Institut),

Handelshøjskolen i Århus (Juridisk Institut), HK Landsklubben Danmarks

Domstole, Horesta, Håndværksrådet, IDA (Ingeniørforeningen), Institut

for Menneskerettigheder, IT-Brancheforeningen, ITEK, Jordemoderfor-

eningen, Kommunernes Landsforening, Kooperationen, Kræftens Bekæm-

pelse, Københavns Kommune, Københavns Universitet, Københavns Uni-

versitetshospital, Landbrug og Fødevarer, Landsforeningen af Beskikkede

Advokater, Landsforeningen af Forsvarsadvokater, Ledernes Hovedorga-

nisation, Lejernes Landsorganisation, Liberale Erhvervs Råd, LIF – Læ-

gemiddelindustriforeningen, LO, Lægeforeningen, Lægemiddelindustri-

foreningen – LIF, MCI – Danmark, Medicoindustrien, Microsoft Dan-

mark, Motorola, NFA - Det Nationale Forskningscenter for Arbejdsmiljø,

Offentligt Ansattes Organisationer, Organisationen af Lægevidenskabelige

Selskaber, Parellelimportørforeningen af Lægemidler, Patientforsikringen,

Patientombuddet, Politiforbundet i Danmark, Praktiserende Lægers Orga-

nisation, Procesbevillingsnævnet, Professionshøjskolen Metropol, Profes-

sionshøjskolen UCC, Professionshøjskolen University College Nordjyl-

land, Realkreditrådet, Retspolitisk Forening, Retssikkerhedsfonden, RUC,

Sammenslutningen af Danske Småøer, SFI (Det Nationale Forskningscen-

ter for Velfærd), Skibsværftsforeningen, Sonofon, Statens Seruminstitut,

Syddansk Universitet, Syddansk Universitet (Juridisk Institut), Tele2 A/S,

Telekommunikationsindustrien, Telia, University College Lillebælt, Uni-

versity College Sjælland, University College Syddanmark, VIA University

College, Yngre Læger, Aalborg Universitet, Aarhus Universitet, Datatilsy-

net, Digitaliseringsstyrelsen, Direktoratet for Kriminalforsorgen, Erhvervs-

styrelsen, Finanstilsynet, Forsknings- og Innovationsstyrelsen, Konkurren-

ce- og Forbrugerstyrelsen, Lægemiddelstyrelsen, Miljøstyrelsen, Natursty-

relsen, Patent- og Varemærkestyrelsen, Rigsadvokaten, Rigspolitiet, Sik-

kerhedsstyrelsen, Styrelsen for Slotte og Kulturejendomme, Søfartsstyrel-

sen og Trafikstyrelsen.

Høringsfristen er fastsat til den 1. juli 2012.

Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at retten til beskyt-

telse af personoplysninger, som er udtrykkeligt anerkendt i artikel 8 i Den

PDF to HTML - Convert PDF files to HTML files

Europæiske Unions Charter om Grundlæggende Rettigheder, kræver sam-

me databeskyttelsesniveau i hele EU. Hvis der ikke indføres fælles EU-

regler, opstår der ifølge Kommissionen risiko for forskellige databeskyttel-

sesniveauer i medlemsstaterne og begrænsninger for strømmen af person-

oplysninger på tværs af landegrænserne mellem medlemsstater med for-

skellige standarder.

Herudover har Kommissionen peget på, at personoplysninger videregives

stadig hurtigere på tværs af nationale grænser, og at der er en række prakti-

ske udfordringer i forbindelse med håndhævelsen af lovgivningen om da-

tabeskyttelse og et behov for samarbejde mellem medlemsstaterne og de-

res myndigheder, som bør organiseres på EU-plan for at sikre en ensartet

anvendelse af EU-retten. Kommissionen anser desuden EU som mest vel-

egnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fy-

siske personer, når deres personoplysninger videregives til tredjelande.

Kommissionen anfører også, at der er et specifikt behov for at skabe en

harmoniseret og sammenhængende ramme, som muliggør nem udveksling

af personoplysninger på tværs af EU's grænser, samtidig med at alle fysi-

ske personer i EU sikres en effektiv beskyttelse. Kommissionen mener ik-

ke, at medlemsstaterne selv kan mindske de aktuelle problemer, navnlig

ikke problemerne vedrørende de nationale lovgivningers fragmentering.

Kommissionen anfører herudover, at den foreslåede EU-lovgivning vil væ-

re mere effektiv end tilsvarende lovgivning på medlemsstatsniveau på

grund af problemernes karakter og omfang, som ikke kun gør sig gældende

for en eller flere medlemsstater.

Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres på

EU-niveau.

Regeringen er umiddelbart enig med Kommissionen i, at en manglende

ensartet udformning og anvendelse af databeskyttelsesregler på tværs af

medlemsstaterne skaber visse vanskeligheder navnlig for private virksom-

heder, der driver virksomhed i flere medlemsstater. Det er på den bag-

grund regeringens helt foreløbige vurdering, at forslaget er i overensstem-

melse med nærhedsprincippet. Det bemærkes i den forbindelse, at det gæl-

dende databeskyttelsesdirektiv bl.a. har til formål at sikre en indbyrdes til-

nærmelse af medlemsstaternes lovgivninger med henblik på at fjerne hin-

dringer for udveksling af personoplysninger.

PDF to HTML - Convert PDF files to HTML files

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-

lemsstaters holdning til forslaget.

Foreløbig generel dansk holdning

Fra dansk side er man overordnet set positiv over for Kommissionens for-

slag.

Den endelige stillingtagen til forslaget vil navnlig bero på en nærmere

vurdering af, om forslaget skaber den rette balance mellem hensynet til da-

tabeskyttelsen og en række andre væsentlige hensyn, herunder hensynet til

den fri bevægelighed i EU, til muligheden for at udøve forskning, til de be-

rørte virksomheders rammevilkår, til den offentlige sektors effektive op-

gaveløsning og til udnyttelsen af de muligheder, som moderne teknologi

medfører. Endvidere vil en stillingtagen bero på en vurdering af, om for-

slaget skaber den rette balance mellem merværdi og omkostninger, herun-

der i form af administrative konsekvenser. Skabelsen af den rette balance

vil efter regeringens opfattelse bl.a. indebære, at forslaget ikke unødigt

hindrer løsningen af væsentlige opgaver i såvel den offentlige som den

private sektor, og at forslaget ikke indebærer unødige omkostninger.

Fra dansk side vil man arbejde for, at omkostningerne ved forslaget redu-

ceres i forhold til Kommissionens forslag.

Samlet set finder regeringen, at forslagets forholdsvis omfattende karakter

og dets forventede indvirkning på store dele af den offentlige og private

sektor nødvendiggør, at der foretages en nærmere vurdering af forslagets

indhold, inden en endelig stillingtagen til forslaget kan finde sted. Denne

vurdering vil bl.a. finde sted på baggrund af resultatet af den iværksatte

høring over forslaget, jf. pkt. 5 ovenfor, samt en vurdering af de statsfinan-

sielle og administrative konsekvenser.

Regeringen finder endvidere, at forordningsforslagets administrative sank-

tioner, som i visse tilfælde indebærer et meget højt bødeniveau, må over-

vejes med henblik på at sikre, at de foreslåede administrative sanktionsni-

veauer er i overensstemmelse med proportionalitetsprincippet.

Herudover finder regeringen, at den nærmere rækkevidde og det nærmere

indhold af en række af forslagets bestemmelser må søges afklaret under de

kommende forhandlinger. Det gælder bl.a. i forhold til forslagets anven-

delse i forhold til registeransvarlige, der er etablerede i tredjelande, defini-

tionen af ”hovedvirksomhed”, Kommissionens adgang til at vedtage dele-

PDF to HTML - Convert PDF files to HTML files

gerede retsakter og de mange nyskabelser, der er indeholdt i forslaget. Det

gælder også i forhold til de nævnte uklarheder i den danske sprogversion.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-

tingets Retsudvalg.