L 68 - 2017-18 - Endeligt svar på spørgsmål 66: Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamle persondata til nye formål, til justitsministeren

Retsudvalget 2017-18, Retsudvalget 2017-18
L 68 , L 69
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

12. december 2017

Databeskyttelseskontoret

Nanna Due Binø

2017-0037-0005

603665

Hermed sendes besvarelse af spørgsmål 24 vedrørende forslag til lov om

supplerende bestemmelser til forordning om beskyttelse af fysiske perso-

ner i forbindelse med behandling af personoplysninger og om fri udveks-

ling af sådanne oplysninger (databeskyttelsesloven) (L 68) og forslag til

lov om ændring af lov om retshåndhævende myndigheders behandling af

personoplysninger, lov om massemediers informationsdatabaser og for-

skellige andre love (Konsekvensændringer som følge af databeskyttelses-

loven og databeskyttelsesforordningen samt medieansvarslovens anven-

delse på offentligt tilgængelige informationsdatabaser m.v.) (L 69), som

Folketingets Retsudvalg efter ønske fra Zenia Stampe (RV) har stillet til

justitsministeren den 8. december 2017.

Søren Pape Poulsen

Jakob Lundsager

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

L 68 - 2017-18 - Endeligt svar på spørgsmål 66: Spm., om det private erhvervsliv skal undtages fra at skabe gennemsigtighed for borgerne i en myndigheds genanvendelse af allerede indsamle persondata til nye formål, til justitsministeren

Spørgsmål 24 fra Folketingets Retsudvalg efter ønske fra Zenia Stampe

(RV) vedrørende L 68 og L 69:

”Kan ministeren oplyse, hvordan bestemmelserne i lovforslaget

om viderebehandling af oplysninger til andre formål, jf. § 5, stk.

3 og 23, respekterer de principper, som et enigt Retsudvalg

vedtog i en beretning fra januar 2015, jf. beretning af almen art

nr. 4 (2014-15 (1. samling)), herunder om nødvendigheden af,

at registrering til alle tider overvejes, og at man bør tilstræbe

mindst mulig registrering, at borgere skal kunne få oplyst,

hvilke data der er registreret om dem, hvem der har adgang til

dem, og hvad de bliver anvendt til, samt at der tages hensyn til

borgernes retssikkerhed ved samkøring af registre, der indehol-

der følsomme og fortrolige personoplysninger?”

Svar:

Databeskyttelsesforordningens artikel 5 indeholder de grundlæggende prin-

cipper, som dataansvarlige skal iagttage, når de behandler personoplysnin-

ger.

Det fremgår f.eks. af databeskyttelsesforordningens artikel 5, stk. 1, litra c,

at personoplysninger skal være tilstrækkelige, relevante og begrænset til,

hvad der er nødvendigt i forhold til de formål, hvortil de behandles (data-

minimering).

Dataansvarlige, der indsamler og anvender personoplysninger, skal således

iagttage dette princip om dataminimering. Der findes i dag en bestemmelse

med stort set tilsvarende indhold i persondatalovens § 5, stk. 3.

En dataansvarlig skal dermed overveje, om det f.eks. er nødvendigt at ind-

samle og behandle personoplysninger i given situation.

Dette princip vil også gøre sig gældende i de situationer, som fremadrettet

vil blive reguleret i en bekendtgørelse efter lovforslagets § 5, stk. 3.

Dermed vil der også efter den 25. maj 2018 gælde et princip om, at en regi-

strering af oplysninger til alle tider overvejes, og at der kun indsamles og

behandles oplysninger, som er nødvendige.

Det bemærkes også, at den registrerede uanset bestemmelsen i lovforslagets

§ 23 kan søge om indsigt i de oplysninger, der er registreret om den pågæl-

dende efter databeskyttelsesforordningens artikel 15.

Lovforslaget til databeskyttelseslovens § 23 lægger alene op til at begrænse

oplysningspligten for den dataansvarlige (myndigheden), der allerede én

gang har opfyldt sin oplysningspligt over for den registrerede efter databe-

skyttelsesforordningens artikel 13, stk. 1 og 2, eller artikel 14, stk. 1 og 2.

Den registrerede er dermed i denne situation blevet orienteret af den data-

ansvarlige om de oplysninger, som fremgår af artikel 13, stk. 1 og 2, eller

artikel 14, stk. 1 og 2. Dermed ved den registrerede allerede, at den data-

ansvarlige har registreret personoplysninger om vedkommende.

Hvis den pågældende dataansvarlige videregiver oplysninger med hjemmel

i en bekendtgørelse udstedt efter lovforslagets § 5, stk. 3, til en anden data-

ansvarlig (en anden myndighed), skal sidstnævnte dataansvarlig selv sikre

sig, at vedkommende dataansvarlig lever op til oplysningspligten.

Det er på den baggrund Justitsministeriets opfattelse, at denne snævre und-

tagelse fra oplysningspligten i lovforslagets § 23 er forsvarlig. Der henvises

i den forbindelse også til svarene på spørgsmål 4 og 20 til L 68 og L 69.