2.7.5.3.

Øvrige bestemmelser inden for databeskyttelseslovgivningens område

     
Opdateret: 02.07.2018

Generelle overvejelser
Ved behandling af personoplysninger gælder databeskyttelseslovgivningen. Lovforslaget kan derfor med fordel, hvor det er relevant, indeholde afsnit om de registreredes rettigheder, behandlingssikkerhed mv.

Konsekvensanalyse
Databeskyttelsesforordningens artikel 35 indeholder et krav om, at hvis en behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. Artikel 35 indeholder endvidere de nærmere krav til en konsekvensanalyse vedrørende databeskyttelse. Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko.

Det fremgår af forordningens artikel 35, stk. 10, at hvis en behandling i henhold til artikel 6, stk. 1, litra c, om behandling som er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller stk. 1, litra e, om behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, har et retsgrundlag i EU-retten eller i den medlemsstats nationale ret, som den dataansvarlige er underlagt, og denne ret regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelse af dette retsgrundlag, finder artikel 35, stk. 1-7, ikke anvendelse, medmindre medlemsstaterne anser det for nødvendigt at foretage en sådan analyse inden behandlingsaktiviteter.

I praksis vil en generel konsekvensanalyse efter artikel 35, stk. 10, således kunne foretages i forbindelse med udformningen af lovforslag eller eventuelt en bekendtgørelse. Det bemærkes, at det alene er relevant at overveje undtagelsesmuligheden i stk. 10, i det omfang, der ellers er pligt til at udarbejde en konsekvensanalyse efter artikel 35, stk. 1.

Samkøring
Det er flere steder i den offentlige forvaltning fundet nødvendigt at sammenkøre oplysninger fra forskellige IT-systemer eller registre, der er oparbejdet med henblik på at varetage forskellige opgaver, eller med henblik på at kontrollere f.eks., om borgere får udbetalt offentlige ydelser i videre omfang, end de er berettiget til. Et sådant behov for samkøring af IT-systemer i kontroløjemed ses både internt i myndigheder og mellem forskellige myndigheder.

Begrebet samkøring er en fælles betegnelse for forskellige tekniske løsninger, som vedrører sammenkobling af oplysninger, der kommer fra forskellige (IT-)systemer. Det drejer sig f.eks. om IT-mæssige (maskinelle) overførsler, hvorved et register tilføres oplysninger fra et andet register, således at det modtagende register udvides med disse oplysninger. Til begrebet samkøring henregnes endvidere sammenstillinger af oplysninger fra forskellige registre, hvorved der dannes et nyt register (et nyt såkaldt ”uddata-produkt”).

Ved samkøring i kontroløjemed forstås først og fremmest samkøring eller sammenstilling af oplysninger med det formål at afsløre, om en person ansøger om en ydelse, som vedkommende ikke er berettiget til, f.eks. ved socialt bedrageri. Der kan dog også i andre situationer være tale om samkøring i kontroløjemed, f.eks. hvis formålet er at afsløre ulovlige bopælsforhold eller i øvrigt at kontrollere afgivne oplysninger.

Efter den tidligere gældende persondatalov var der et krav om, at der ved samkøring i kontroløjemed blev stillet krav om, at en sådan samkøring skete på et klart og utvetydigt retsgrundlag, hvilket i praksis ville sige på grundlag af direkte lovhjemmel, ligesom der blev stillet krav om, at de berørte personer havde fået meddelelse om kontrollen, inden de afgav oplysninger til myndigheden.

Med databeskyttelsesloven opretholdes denne forudsætning ikke, hvorfor der bl.a. ikke længere er et krav om direkte lovhjemmel. Det er dog vigtigt at være opmærksom på databeskyttelsesforordningens artikel 5 og artikel 6, stk. 4, om principper for behandling af personoplysninger, herunder proportionalitetsprincippet og princippet om formålsbegrænsning, yder en tilstrækkelig stærk beskyttelse til de registrerede samtidigt med, at forordningen sikrer rum for offentlige myndigheders saglige behov for at kunne samkøre personoplysninger i kontroløjemed, når der fastsættes lovforslag om samkøring, særligt i kontroløjemed.