2.7.5.

Bestemmelser om behandling af personoplysninger

     
Opdateret: 01.12.2017

Lovforslag, der indeholder bestemmelser om behandling af personoplysninger, bør indeholde overvejelser i forhold til persondatalovens regler.

Persondataloven
Persondataloven gælder bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. persondatalovens § 1, stk. 1.

Persondatalovens § 5, stk. 1-3, §§ 6-8, § 10 og § 11, stk. 1, der vedrører behandling af personoplysninger, samt § 38 om tilbagekaldelse af samtykke og § 40 om klageadgang til Datatilsynet gælder også for manuel videregivelse af personoplysninger fra en forvaltningsmyndighed til en anden, jf. forvaltningslovens § 28, stk. 1, og persondatalovens § 1, stk. 3. Der gælder således den samme adgang til at udveksle personoplysninger med en anden forvaltningsmyndighed, uafhængigt af om der er tale om oplysninger fra myndighedernes IT-systemer eller fra en manuel sag, og uanset på hvilken måde udvekslingen sker.

Ved personoplysninger forstås enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede), jf. persondatalovens § 3, stk. 1, nr. 1. Ved behandling forstås enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for, jf. persondatalovens § 3, stk. 1, nr. 2.

I persondatalovens § 2 findes der undtagelser til persondatalovens anvendelsesområde efter § 1.

Persondatalovens geografiske anvendelsesområde følger af lovens § 4.

Bestemmelser, der regulerer behandling af personoplysninger
Et lovforslag, der indeholder bestemmelser om behandling af personoplysninger, der er omfattet af persondatalovens anvendelsesområde, bør indeholde en overordnet beskrivelse af de relevante regler i persondataloven. Beskrivelsen – der almindeligvis bør placeres under punktet, hvor gældende ret beskrives – bør bl.a. indeholde et afsnit om persondatalovens generelle forhold til andre love. Afsnittet bør formuleres således:

»Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.

Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Det fremgår imidlertid af forarbejderne til persondataloven (jf. Folketingstidende 1999-2000, Tillæg A, side 4057 (lovforslag nr. L 147)), at dette ikke gælder, hvis den dårligere retsstilling har været tilsigtet.«

Er den omhandlede behandling af personoplysninger reguleret af regler, der går forud for persondatalovens regler, bør gældende ret således i stedet indeholde en overordnet beskrivelse af de relevante regler i anden lov.

Et lovforslag, der indeholder bestemmelser om behandling af personoplysninger, bør endvidere indeholde bemærkninger om det nærmere forhold til persondatalovens bestemmelser om behandling af personoplysninger. Bemærkningerne bør indeholde en vurdering af, om lovforslagets bestemmelser er udtryk for en specifik udmøntning af reglerne i persondataloven eller en fravigelse af persondataloven, herunder bør det beskrives, hvori denne specifikke udmøntning eller fravigelse består, og hvorfor den findes nødvendig.

Fraviges reglerne i persondataloven helt eller delvis, bør der i bemærkningerne tages stilling til forholdet til databeskyttelsesdirektivet (direktiv 95/46/EF af 24. oktober 1995), idet persondatalovens regler gennemfører direktivet. I den forbindelse bør lovforslaget indeholde en overordnet beskrivelse af de relevante regler i direktivet samt en vurdering af, om forslaget holder sig inden for rammerne af direktivet.

Indeholder lovforslaget en specifik udmøntning eller fravigelse af regler i persondataloven, bør fagministeriet være opmærksom på, at der i henhold til databeskyttelsesdirektivets (direktiv 95/46/EF af 24. oktober 1995) regler vedrørende oplysninger, der er omfattet af artikel 7, hverken må tilføjes nye principper vedrørende grundlaget for behandling af oplysninger i direktivets artikel 7 eller fastsættes supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel, jf. EU-Domstolens dom af 24. november 2011 i de forenede sager C-468/10 og C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) og Federación de Comercio Electrónico y Marketing Directo (FECEMD) mod Administración del Estado, præmis 32.

Fra og med den 25. maj 2018 finder EU’s generelle databeskyttelsesforordning anvendelse. Forordningen erstatter databeskyttelsesdirektivet fra 1995, og forordningen vil have direkte virkning i Danmark.

Med forordningen sker der i vidt omfang en videreførelse og præcisering af, hvad der allerede gælder i Danmark i dag. For at fremtidssikre lovforslag i videst muligt omfang bør det – hvor det er relevant – overvejes, hvilken betydning forordningens regler har for lovforslaget. Det bemærkes i den forbindelse, at Justitsministeriet den 24. maj 2017 har offentliggjort betænkning nr. 1565 om databeskyttelsesforordningen, der beskriver, hvordan forordningen kommer til at påvirke dansk lovgivning.

Bestemmelser om offentliggørelsesordninger og samkøring i kontroløjemed
Spørgsmålet om, hvorvidt bestemmelser om behandling af personoplysninger holder sig inden for persondatalovens rammer, opstår ofte, når der fastsættes regler om etablering af offentliggørelsesordninger, hvorefter offentlige myndigheder skal offentliggøre ikke-anonyme afgørelser mv., eller myndighedernes adgang til at foretage samkøring af oplysninger i kontroløjemed.