2.7.5.1.

Bestemmelser, der regulerer videregivelse af personoplysninger

     
Opdateret: 30.11.2017

Persondatalovens betingelser for videregivelse af personoplysninger
Det afhænger af oplysningernes karakter og formålet med videregivelsen, i hvilket omfang der kan udveksles personoplysninger efter persondatalovens §§ 6-8.

Det bemærkes, at begrebet ”behandling” i lovens §§ 6-8 bl.a. omfatter videregivelse.

Betingelserne for videregivelse af oplysninger skærpes jo mere følsomme oplysninger, der er tale om. Det er den myndighed, der vil videregive oplysninger, som skal vurdere, om betingelserne for videregivelse er opfyldt i det konkrete tilfælde.

Persondataloven regulerer alene, hvornår en dataansvarlig er berettiget til at videregive de pågældende oplysninger. Spørgsmålet om, hvorvidt myndigheden er forpligtet til at videregive oplysningerne, beror på lovgivningen i øvrigt, herunder navnlig forvaltningslovens § 31.

I persondatalovens § 8, stk. 3, er der særligt restriktive betingelser for videregivelse af følsomme oplysninger omfattet af lovens § 7, stk. 1, og § 8, stk. 1. Bestemmelsen gælder for forvaltningsmyndigheder, der udfører opgaver inden for det sociale område.

Forvaltningsmyndigheder, der udfører opgaver inden for det sociale område, er ifølge forarbejderne til bestemmelsen f.eks. kommunale socialforvaltninger og Ankestyrelsen. Det er ikke entydigt, hvilke lovgivningsområder der er en opgave inden for det sociale område i lovens forstand. Der må tages udgangspunkt i, hvilke lovgivningsområder der er omfattet af lov om retssikkerhed og administration på det sociale område ved behandling af sager i kommunen, da lov om retssikkerhed og administration på det sociale område ifølge lovens forarbejder regulerer behandlingen af sager efter den sociale lovgivning. Opgaver på det sociale område, der er omfattet af persondatalovens § 8, stk. 3, kan således varetages af en kommunal forvaltning, der ikke nødvendigvis er organiseret som en socialforvaltning.

Det bemærkes, at visse af persondatalovens regler, herunder § 5, stk. 1-3, og §§ 6-8, finder anvendelse på manuel videregivelse af oplysninger mellem myndigheder, jf. persondatalovens § 1, stk. 3, og forvaltningslovens § 28, stk. 1.

Særligt ved fastsættelse af bestemmelser, der regulerer videregivelse af personoplysninger
Ved fastsættelse af bestemmelser, der regulerer videregivelse af personoplysninger, bør fagministeriet være særlig opmærksom på ovennævnte bestemmelser om betingelser for videregivelse af personoplysninger og oplysningspligten for modtagere af oplysninger, jf. persondatalovens § 29, samt fristen for at give meddelelse, i det omfang oplysningerne på indsamlingstidspunktet er bestemt til videregivelse, jf. lovens § 29.

Som eksempel på bestemmelser om videregivelse kan henvises til §§ 9 og 10 i lovbekendtgørelse nr. 1507 af 6. december 2016 om Udbetaling Danmark med senere ændringer.

Et lovforslag, der indeholder bestemmelser om videregivelse af personoplysninger, der er omfattet af persondatalovens anvendelsesområde, bør indeholde en overordnet beskrivelse af de relevante regler i persondataloven. Beskrivelsen – der almindeligvis bør placeres under punktet, hvor gældende ret beskrives – bør bl.a. indeholde et afsnit om persondatalovens generelle forhold til andre love. Afsnittet bør formuleres således:

»Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.

Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Det fremgår imidlertid af forarbejderne til persondataloven (jf. Folketingstidende 1999-2000, Tillæg A, side 4057 (lovforslag nr. L 147)), at dette ikke gælder, hvis den dårligere retsstilling har været tilsigtet.«

Er den omhandlede behandling af personoplysninger reguleret af regler, der går forud for persondatalovens regler, bør gældende ret således i stedet indeholde en overordnet beskrivelse af de relevante regler i anden lov.

Den generelle beskrivelse af de relevante regler i persondataloven bør endvidere omfatte en redegørelse for de grundlæggende databeskyttelsesretlige principper i persondatalovens § 5, stk. 1-3, de relevante behandlingsbetingelser i persondatalovens §§ 6-8 og eventuelt bestemmelser i §§ 10-14. Som eksempel kan henvises til punkt 2.7.1 i forslag nr. L 86 til lov om sagsbehandling og administration i Udbetaling Danmark (Udbetaling Danmark-loven) fra folketingsåret 2011-12.

Et lovforslag, der indeholder bestemmelser om videregivelse af personoplysninger, bør endvidere indeholde bemærkninger om bestemmelsernes nærmere forhold til persondatalovens regler om videregivelse. Bemærkningerne bør indeholde en vurdering af, om lovforslagets bestemmelser er udtryk for en specifik udmøntning af reglerne i persondataloven eller en fravigelse fra persondataloven, herunder bør det beskrives, hvori denne udmøntning eller fravigelsen består, og hvorfor den findes nødvendig.

Fraviges videregivelsesreglerne i persondataloven helt eller delvis, bør der i lovforslagets bemærkninger redegøres nærmere for forholdet til databeskyttelsesdirektivet (direktiv 95/46/EF af 24. oktober 1995), idet persondatalovens regler gennemfører direktivet. I den forbindelse bør lovforslaget indeholde en overordnet beskrivelse af de relevante regler i direktivet samt en vurdering af, om forslaget holder sig inden for rammerne af direktivet. Se f.eks. punkt 2.8.2.2 i ovennævnte lovforslag til Udbetaling Danmark-loven.

Indeholder lovforslaget en specifik udmøntning eller fravigelse af regler i persondataloven, bør fagministeriet være opmærksom på, at der i henhold til databeskyttelsesdirektivets (direktiv 95/46/EF af 24. oktober 1995) regler vedrørende oplysninger, der er omfattet af artikel 7, hverken må tilføjes nye principper vedrørende grundlaget for behandling af oplysninger i direktivets artikel 7 eller fastsættes supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel, jf. EU-Domstolens dom af 24. november 2011 i de forenede sager C-468/10 og C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) og Federación de Comercio Electrónico y Marketing Directo (FECEMD) mod Administración del Estado, præmis 32.  

Fra og med den 25. maj 2018 finder EU’s generelle databeskyttelsesforordning anvendelse. Forordningen erstatter databeskyttelsesdirektivet fra 1995, og forordningen vil have direkte virkning i Danmark.

Med forordningen sker der i vidt omfang en videreførelse og præcisering af, hvad der allerede gælder i Danmark i dag. For at fremtidssikre lovforslag i videst muligt omfang, bør det – hvor det er relevant – overvejes, hvilken betydning forordningens regler har for lovforslaget. Det bemærkes i den forbindelse, at Justitsministeriet den 24. maj 2017 har offentliggjort betænkning nr. 1565 om databeskyttelsesforordningen, der beskriver, hvordan forordningen kommer til at påvirke dansk lovgivning.